#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что во второй половине 2023 года наблюдалось значительное увеличение числа кибератак с использованием комбинации AceCryptor и Rescoms, особенно в таких европейских странах, как Польша, Словакия, Болгария и Сербия. Это сотрудничество привело к резкому росту вредоносной активности, существенной эскалации распространения вредоносных программ, содержащих AceCryptor, и сосредоточению внимания на целевых спам-кампаниях, направленных на предприятия с целью сбора учетных данных для дальнейших атак. Участие служб спасения стало заметным, число выявленных атак возросло, что указывает на изменение ландшафта киберугроз за этот период.
-----

Значительное увеличение числа атак AceCryptor во второй половине 2023 года, более чем в два раза по сравнению с первым полугодием, обусловлено привлечением служб спасения (Remcos).

AceCryptor в сочетании с Rescoms наблюдался в многочисленных спам-кампаниях, нацеленных на европейские страны, такие как Польша, Словакия, Болгария и Сербия, при этом скомпрометированные учетные записи использовались для сбора учетных данных для дальнейших атак.

Во втором полугодии 2023 года ESET защитила более 42 000 пользователей от вредоносных программ, содержащих AceCryptor, при резком росте числа обнаружений, особенно в европейских странах, пострадавших от кампаний Rescoms.

Снижение количества уникальных образцов вредоносного по объясняется спам-кампаниями Rescoms, в которых повторно используются одни и те же файлы для более широкой базы пользователей, при этом некоторые семейства вредоносных программ снижают свою зависимость от AceCryptor.

AceCryptor продолжал распространять образцы из семейств вредоносных программ, таких как SmokeLoader, STOP ransomware и Vidar stealer.

Географическое влияние вредоносного ПО, содержащего AceCryptor, сместилось, чтобы больше сосредоточиться на европейских странах, таких как Польша, Украина, Испания и Сербия, особенно с полезными программами Rescoms и SmokeLoader.

Распространенность Rescoms значительно возросла во втором полугодии 2023 года, став самым известным семейством вредоносных программ, разработанных AceCryptor: было обнаружено более 32 000 инцидентов, в основном в Польше.

Известные спам-кампании, нацеленные на предприятия в Польше во втором полугодии 2023 года, с использованием сложного содержимого электронной почты и вложений, содержащих исполняемые файлы AceCryptor, запускающие Rescoms, с целью получения учетных данных электронной почты и браузера для дальнейших атак.

Аналогичные кампании, выявленные в Словакии, Болгарии и Сербии, ориентированные на местные компании, предполагают участие одного и того же субъекта угрозы с вариациями языка в зависимости от страны-мишени.

#ParsedReport #CompletenessLow
21-03-2024

New method! The latest backdoor of the APT28 organization has built-in a large number of controlled mailboxes (which can be logged in successfully) for data theft.

https://www.ctfiot.com/168931.html

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Oceanmap

Geo:
Ukrainian, American

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1027, T1114, T1132, T1566

IOCs:
Hash: 10
File: 1
IP: 5
Email: 13

Soft:
foxmail

Algorithms:
base64, rc4, des

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ коммуникационной модели бэкдора OCEANMAP, который состоит из трех этапов с использованием различного программного обеспечения почтового сервера. В нем освещаются проблемы, с которыми сталкиваются на каждом этапе, и определяется бэкдор OCEANMAP как относительно простой бэкдор C#, связанный с APT28. Бэкдор используется для удаленного управления по электронной почте, обрабатывает информацию учетной записи электронной почты, идентификаторы пользователей на основе сведений о хостинге и шифрует содержимое электронной почты с использованием таких алгоритмов, как RC4+Base64 и DES+Base64. В анализе также упоминается извлечение команд удаленного управления из черновых ящиков и приводятся подробные сведения о собранных адресах почтовых серверов и паролях контролируемых учетных записей почтовых ящиков, связанных с бэкдором OCEANMAP.
-----

Анализ сосредоточен на коммуникационной модели бэкдора OCEANMAP, которая разделена на три этапа. На этапе 1 автор первоначально использовал программное обеспечение hMailServer в Windows для создания почтового сервера, но столкнулся с проблемами доступа к нему через Интернет. Фаза 2 включала в себя попытку использования программного обеспечения с возможностью отправки по почте, доступ к которому можно было получить через Интернет, но которое не реагировало на команды бэкдора OCEANMAP. На этапе 3 автор использовал hmailserver+phpstudy+roundcube, который мог реагировать на добавление почты в папку "Входящие", но не на извлечение содержимого почты из черновика.

Необходимы дальнейшие исследования, чтобы понять, почему команда для извлечения содержимого почты из черновика не сработала. Анализ предполагает, что почтовые серверы на базе Linux могли бы более эффективно реагировать на команды бэкдора OCEANMAP. Бэкдор OCEANMAP не особенно сложен, написан на C# и впервые был раскрыт Украинским национальным центром реагирования на компьютерные чрезвычайные ситуации 28 декабря 2023 года. Он связан с организацией APT28 и получает команды удаленного управления по электронной почте.

Бэкдор включает информацию об учетной записи электронной почты, генерирует идентификатор пользователя на основе сведений о хостинге и шифрует содержимое электронной почты с помощью таких алгоритмов, как RC4+Base64 и DES+Base64. Он добавляет электронные письма во входящие, извлекает команды удаленного управления из черновиков и содержит две команды удаленного управления в своих образцах. Анализ также выявил 8 адресов почтовых серверов и 13 паролей контролируемых учетных записей почтовых ящиков из собранных образцов бэкдора OCEANMAP.

#ParsedReport #CompletenessMedium
21-03-2024

Cisco Talos Blog. New details on TinyTurla s post-compromise activity reveal full kill chain

https://blog.talosintelligence.com/tinyturla-full-kill-chain

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Tinyturla
Tinyturla-ng
Chisel_tool
Beacon
Winrm_tool

Victims:
European non-governmental organization

Industry:
Ngo

Geo:
Russian

TTPs:

IOCs:
Registry: 2
File: 1
Hash: 5
Domain: 4
IP: 1

Soft:
Microsoft Defender, Windows Service

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ недавней кампании кибершпионажа, проведенной российской группой Turla, с акцентом на развертывание и деятельность их имплантата TinyTurla-NG в сети европейских НПО. Кампания включала различные тактики, такие как внедрение бэкдоров, методы уклонения, эксфильтрация данных, боковое перемещение и механизмы сохранения, демонстрируя передовые возможности Turla в проведении сложных шпионских операций. Анализ подчеркивает использование таких инструментов, как Chisel, WinRM и пользовательские маяки для связи, а также сотрудничество между Cisco Talos и CERT.NGO для понимания и противодействия текущим угрозам, создаваемым такими продвинутыми субъектами угроз.
-----

Cisco Talos предоставила обновленную информацию о недавней кампании российской шпионской группы Turla, связанной с внедрением их имплантата TinyTurla-NG (TTNG). Эта кампания была нацелена на европейскую неправительственную организацию (НПО), где Turla заразила несколько систем и установила каналы связи через Chisel для эксфильтрации данных и бокового перемещения внутри сети.

Действия Turla после взлома при этом вторжении выходят за рамки развертывания бэкдора. Перед установкой TinyTurla-NG Turla настраивает антивирусные исключения, чтобы избежать обнаружения. Затем имплантат записывается на диск, а сохранение обеспечивается путем создания вредоносной службы. Первоначально Turla добавляет исключения в антивирусное программное обеспечение для местоположений, в которых размещен имплантат, с последующей настройкой сохранения с помощью пакетных файлов для создания службы в системе для библиотеки TTNG DLL.

Развертывание TinyTurla-NG включает в себя поиск каталогов, копирование файлов в промежуточный каталог и последующую эксфильтрацию на сервер командования и контроля (C2). Кроме того, Turla развертывает пользовательский маяк Chisel из платформы offensive framework, устанавливая обратный прокси-туннель к серверу, контролируемому злоумышленником, для связи. Использование подключений Windows Remote Management (WinRM) предполагает, что для установления удаленных сеансов могли использоваться дополнительные инструменты, такие как цепочки прокси-серверов и evil-winrm.

Анализ трафика Chisel показывает периодическую связь с сервером C2 каждый час, что указывает на продолжающуюся фильтрацию данных. Хотя взломанные системы датируются октябрем 2023 года, развертывание Chisel произошло в декабре 2023 года, а значительная эксфильтрация данных была проведена в январе 2024 года.

Действия Turla следуют цепочке кибератак - от первоначального доступа до эксфильтрации данных, включая методы уклонения, внедрение бэкдоров, боковое перемещение по сети и механизмы сохранения. Использование Chisel для создания зашифрованных каналов связи и перемещения внутри скомпрометированной сети демонстрирует расширенные возможности Turla в проведении шпионских операций.

Таким образом, недавняя кампания Turla с использованием TinyTurla-NG implant демонстрирует их сложную тактику, методы и процедуры компрометации организаций, включая меры защиты от обнаружения, постоянное внедрение имплантатов, эксфильтрацию данных по зашифрованным каналам и боковое перемещение внутри сетей с использованием таких инструментов, как Chisel и WinRM. Скоординированные усилия Cisco Talos и CERT.НПО предоставили ценную информацию о кибероперациях Turla, подчеркнув текущие угрозы, создаваемые изощренными злоумышленниками в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
21-03-2024

Curious Serpens FalseFont Backdoor: Technical Analysis, Detection and Prevention

https://unit42.paloaltonetworks.com/curious-serpens-falsefont-backdoor

Report completeness: Medium

Actors/Campaigns:
Apt33 (motivation: cyber_espionage)

Threats:
Falsefont

Industry:
Energy, Aerospace

Geo:
Iranian, Japanese, Iran

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1105, T1059, T1071, T1027, T1110, T1133, T1547, T1574, T1041, have more...

IOCs:
IP: 1
File: 9
Path: 3
Hash: 2
Domain: 1

Soft:
NET Core, ASP.NET Core SignalR, SignalR, Chrome, ASP.NET

Algorithms:
sha256, aes, base64

Functions:
GetDirectories, GetProcess, GetDir, GetHard, GetScreen

Languages:
powershell

Links:
https://github.com/simpleperson123/ChromeDecryptor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового бэкдора под названием FalseFont, приписываемого связанной с Ираном группе исполнителей угроз Curious Serpens. Бэкдор нацелен на соискателей работы в аэрокосмической и оборонной промышленности, выдавая себя за законное программное обеспечение отдела кадров, чтобы обманом заставить жертв установить его. FalseFont обладает различными возможностями, такими как кража учетных данных, захват экранов и связь со своим сервером управления. В статье подчеркивается важность понимания защитных механизмов и специалистов по безопасности и защиты от таких целенаправленных угроз.
-----

В статье обсуждается обнаружение нового бэкдора под названием FalseFont, который, как полагают, используется связанной с Ираном группой исполнителей угроз, известной как Curious Serpens. Эта группа активна по крайней мере с 2013 года и в прошлом нацеливалась на аэрокосмический и энергетический секторы. FalseFont - это новейший инструмент в их арсенале, предназначенный для имитации законного программного обеспечения отдела кадров, чтобы обманом заставить жертв установить бэкдор.

FalseFont - это высоконаправленный бэкдор, ориентированный в первую очередь на соискателей работы в аэрокосмической и оборонной промышленности. Он представляет собой графический пользовательский интерфейс для подачи заявлений о приеме на работу в американскую аэрокосмическую компанию. Вредоносная программа умеет устанавливать постоянство и взаимодействовать со своим сервером управления (C2). Она может выполнять процессы и команды, манипулировать файловой системой, захватывать экраны и красть учетные данные из браузеров и платформ для подачи заявок на работу в аэрокосмической промышленности.

Бэкдор выполняет процессы и команды на зараженных компьютерах с такими возможностями, как кража учетных данных, захват экранов и манипулирование файлами. Он взаимодействует со своим сервером C2 с помощью ASP.NET Core SignalR и может получать команды в режиме реального времени для выполнения различных вредоносных действий. FalseFont использует шифрование для запутывания своих строк и имеет механизмы для скачивания и выгрузки файлов, обновления вредоносного ПО и выполнения команд.

Вредоносная программа использует различные методы для связи с сервером C2, включая периодические запросы и связь в режиме реального времени с использованием SignalR. Она кодирует сообщения с помощью шифрования AES и кодировки Base64. FalseFont может получать команды для кражи учетных данных, захвата экранов и выполнения других вредоносных действий. Он устанавливает постоянство с помощью разделов реестра и нескольких своих копий на зараженных компьютерах, обеспечивая свою непрерывную работу даже после перезагрузки системы.

В статье подчеркивается важность защитных механизмов, таких как брандмауэры следующего поколения и решения для обеспечения безопасности конечных точек, такие как Cortex XDR, для обнаружения и предотвращения таких угроз, как FalseFont. Это также подчеркивает необходимость того, чтобы специалисты по безопасности понимали возможности FalseFont и внедряли соответствующие средства защиты для защиты от целенаправленных атак со стороны субъектов угроз, таких как Curious Serpens.

Подводя итог, можно сказать, что FalseFont - это сложный бэкдор, используемый группой исполнителей угроз с историей атак на критические секторы. Его возможности включают кражу учетных данных, захват экранов и выполнение команд на зараженных компьютерах. Меры безопасности, такие как расширенное предотвращение угроз и решения для обнаружения конечных точек и реагирования на них, необходимы для снижения рисков, связанных с ложным обнаружением и аналогичными угрозами.

#ParsedReport #CompletenessLow
21-03-2024

Cisco Talos Blog. "Pig butchering" is an evolution of a social engineering tactic we ve seen for years

https://blog.talosintelligence.com/threat-source-newsletter-march-21-2024

Report completeness: Low

Actors/Campaigns:
Pig_butchering (motivation: cyber_espionage)
Volt_typhoon
Yorotrooper (motivation: cyber_espionage)
Turla

Threats:
Nevada_ransomware
Supershell
Tinyturla-ng
Scar

Victims:
Public water systems operators, Unitedhealth, Commonwealth of independent countries government agencies

Industry:
Healthcare, Government, Financial, Education

Geo:
France, California, China, Chinese, Iran, American

ChatGPT TTPs:
do not use without manual check
T1566, T1584, T1562, T1547, T1190, T1059

IOCs:
Hash: 10
File: 6

Soft:
Instagram, WhatsApp

Crypto:
ripple

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности понимания и устранения разнообразных и постоянных киберугроз, таких как романтические аферы и продвинутые группы постоянных угроз, путем сотрудничества со специалистами в области безопасности, правоохранительными органами и правительствами стран мира для повышения готовности и принятия ответных мер.
-----

Любовные аферы, также известные как "ловля сомов" или "разделка свиней", имеют долгую историю, но недавно привлекли к себе внимание с появлением термина "разделка свиней". Эти мошеннические действия включают в себя ряд шагов, когда мошенники нацеливаются на отдельных лиц с помощью текстовых сообщений или онлайн-взаимодействий, начиная с безобидных сообщений, прежде чем перейти к построению фальшивых отношений и, в конечном счете, обманом заставить жертв отправить деньги. Масштабы этих мошенничеств значительно возросли, и некоторые мошенники прибегают к такой тактике, как торговля людьми, чтобы расширить свою деятельность. Это создает серьезные проблемы, поскольку решения по кибербезопасности сами по себе не могут решить эту проблему; для эффективной борьбы с этими мошенничествами требуется сочетание обучения пользователей, действий правоохранительных органов и международного сотрудничества.

Администрация Байдена выступила с предупреждением относительно потенциальных кибератак на общественные системы водоснабжения со стороны спонсируемых государством субъектов, особенно из Ирана и Китая. Белый дом и Агентство по охране окружающей среды США предупредили всех губернаторов США об угрозах и призвали руководителей систем общественного водоснабжения устранить известные уязвимости, чтобы предотвратить сбои. Упоминался тайфун Вольт, китайская передовая группа постоянных угроз, нацеленная на сети критической инфраструктуры. Несмотря на эти предупреждения, UnitedHealth продолжает восстанавливаться после кибератаки, которая повлияла на важнейшие платежи поставщикам медицинских услуг, в связи с ростом расходов и сообщениями о финансовых сбоях в секторе здравоохранения.

В рамках отдельного события судебная система штата Невада участвует в судебном разбирательстве, которое может повлиять на сквозное шифрование по всей территории США. Генеральный прокурор штата подает в суд на Meta, компанию, стоящую за Facebook, Instagram и WhatsApp, с целью отмены сквозного шифрования для несовершеннолетних в целях борьбы с незаконная деятельность, направленная против детей. Однако защитники конфиденциальности обеспокоены тем, что такие решения против шифрования могут иметь более широкие последствия и ослабить общую защиту конфиденциальности в Интернете.

Фреймворк Supershell C2 был освещен в презентации Четана Рагхупрасада, что указывает на растущее использование участниками угроз для создания ботнетов с имплантатами Supershell. YoroTrooper, исполнитель угроз, ориентированных на шпионаж в Содружестве независимых стран, активно проводит атаки с использованием обычных и специально созданных вредоносных программ. Talos раскрыл тактику группы Turla APT, в частности их инструмент TinyTurla-NG, проливающий свет на их методы кражи ценной информации и уклонения от обнаружения с помощью исключения антивируса и установления стойкости.

Понимание этих текущих угроз, включая продвинутые группы постоянных угроз, такие как Turla, и эволюционирующую тактику в романтических аферах, таких как "разделка свиней", имеет решающее значение для сообщества кибербезопасности для повышения готовности и принятия ответных мер. Сотрудничество между специалистами в области безопасности, правоохранительными органами и правительствами всего мира имеет важное значение для эффективного противодействия этим разнообразным и постоянным киберугрозам.

#AI #Bard

Все, этот Google Bard сломался, несите новый.

Интеграция Bard с GDrive способна анализировать не более 400 документов для выдачи ответа. Этот механизм явно не подходит для анализа наших 4К отчетов в год.
А все так хорошо начиналось...

#ParsedReport #CompletenessLow
22-03-2024

Dark Web Profile: RansomHub

https://socradar.io/dark-web-profile-ransomhub

Report completeness: Low

Actors/Campaigns:
Ransomhub (motivation: financially_motivated)
Ghostsec

Threats:
Lockbit
Blackcat
Ghostlocker

Victims:
Ykp, Healthcare-related institutions

Industry:
Financial, Healthcare

Geo:
Korea, Brazilian, Brazil, Russian, China, Indonesia, Cuba, Vietnam, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1583.002, T1027, T1071.001, T1496, T1489, T1021.001

Soft:
ESXi

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Появление нового участника программ-вымогателей под названием RansomHub примечательно тем, что предлагает утечки данных в поддержку своих требований. Группа, работающая по всему миру с акцентом на финансовую выгоду, использует модель "Программа-вымогатель как услуга" для привлечения филиалов, главным образом из России. Несмотря на то, что они нацелены на жертв из разных стран и отраслей, они избегают конкретных стран и некоммерческих организаций. Подход RansomHub к выплате компенсаций аффилированным лицам и использование программ-вымогателей на базе Golang предполагают стремление конкурировать с известными участниками программ-вымогателей. Эксперты по безопасности советуют организациям уделять приоритетное внимание общим стратегиям защиты от программ-вымогателей, а такие платформы, как SOCRadar, предоставляют проактивный мониторинг угроз и аналитические решения для повышения уровня безопасности.
-----

На рынке киберугроз появился новый исполнитель программ-вымогателей под названием RansomHub.

RansomHub отличается тем, что предоставляет утечки данных в подтверждение своих заявлений.

Впервые они нацелились на бразильскую компанию YKP в феврале 2024 года и заявили о 17 жертвах, перечислив 14 на своем сайте утечки.

RansomHub работает по модели "Программа-вымогатель как услуга", при этом аффилированные лица получают 90% платежей за выкуп.

Группа запрещает нацеливаться на конкретные страны и некоммерческие организации.

Они вербуют партнеров с форума RAMP, в основном россиян, и их штаммы программ-вымогателей представляют собой переписанные версии ESXi на Golang.

RansomHub нацелен на жертв по всему миру, не следуя определенной схеме, включая критически важные секторы, такие как учреждения здравоохранения.

Несмотря на то, что RansomHub является новым, он стремится конкурировать с такими известными игроками, как LockBit и ALPHV, демонстрируя преимущества для аффилированных лиц и фокусируясь на программах-вымогателях на базе Golang.

Эксперты по безопасности рекомендуют организациям общие стратегии защиты от программ-вымогателей, такие как регулярное резервное копирование данных, обучение навыкам безопасности, управление исправлениями и обновлениями.

SOCRadar предлагает проактивные решения для мониторинга угроз и аналитики для повышения уровня безопасности организаций.

#ParsedReport #CompletenessHigh
22-03-2024

APT29 Uses WINELOADER to Target German Political Parties. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Wineloader
Envyscout
Burntbatter
Muskybeat
Beatdrop_loader
Password_spray_technique
Donut
Daveshell
Dll_sideloading_technique
Process_injection_technique

Victims:
German political parties

Industry:
Government

Geo:
Peru, Ukraine, German, Germany, Russia, Czechia, India, Italy, Moscow, Latvia, Russian

TTPs:
Tactics: 2
Technics: 10

IOCs:
Url: 3
File: 16
Hash: 8

Soft:
Jenkins, WordPress, outlook, LibreOffice, Windows Service

Algorithms:
rc4, md5, zip

Languages:
php, javascript

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4