#ParsedReport #CompletenessLow
22-03-2024

Dark Web Profile: RansomHub

https://socradar.io/dark-web-profile-ransomhub

Report completeness: Low

Actors/Campaigns:
Ransomhub (motivation: financially_motivated)
Ghostsec

Threats:
Lockbit
Blackcat
Ghostlocker

Victims:
Ykp, Healthcare-related institutions

Industry:
Financial, Healthcare

Geo:
Korea, Brazilian, Brazil, Russian, China, Indonesia, Cuba, Vietnam, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1583.002, T1027, T1071.001, T1496, T1489, T1021.001

Soft:
ESXi

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Появление нового участника программ-вымогателей под названием RansomHub примечательно тем, что предлагает утечки данных в поддержку своих требований. Группа, работающая по всему миру с акцентом на финансовую выгоду, использует модель "Программа-вымогатель как услуга" для привлечения филиалов, главным образом из России. Несмотря на то, что они нацелены на жертв из разных стран и отраслей, они избегают конкретных стран и некоммерческих организаций. Подход RansomHub к выплате компенсаций аффилированным лицам и использование программ-вымогателей на базе Golang предполагают стремление конкурировать с известными участниками программ-вымогателей. Эксперты по безопасности советуют организациям уделять приоритетное внимание общим стратегиям защиты от программ-вымогателей, а такие платформы, как SOCRadar, предоставляют проактивный мониторинг угроз и аналитические решения для повышения уровня безопасности.
-----

На рынке киберугроз появился новый исполнитель программ-вымогателей под названием RansomHub.

RansomHub отличается тем, что предоставляет утечки данных в подтверждение своих заявлений.

Впервые они нацелились на бразильскую компанию YKP в феврале 2024 года и заявили о 17 жертвах, перечислив 14 на своем сайте утечки.

RansomHub работает по модели "Программа-вымогатель как услуга", при этом аффилированные лица получают 90% платежей за выкуп.

Группа запрещает нацеливаться на конкретные страны и некоммерческие организации.

Они вербуют партнеров с форума RAMP, в основном россиян, и их штаммы программ-вымогателей представляют собой переписанные версии ESXi на Golang.

RansomHub нацелен на жертв по всему миру, не следуя определенной схеме, включая критически важные секторы, такие как учреждения здравоохранения.

Несмотря на то, что RansomHub является новым, он стремится конкурировать с такими известными игроками, как LockBit и ALPHV, демонстрируя преимущества для аффилированных лиц и фокусируясь на программах-вымогателях на базе Golang.

Эксперты по безопасности рекомендуют организациям общие стратегии защиты от программ-вымогателей, такие как регулярное резервное копирование данных, обучение навыкам безопасности, управление исправлениями и обновлениями.

SOCRadar предлагает проактивные решения для мониторинга угроз и аналитики для повышения уровня безопасности организаций.

#ParsedReport #CompletenessHigh
22-03-2024

APT29 Uses WINELOADER to Target German Political Parties. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties

Report completeness: High

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Wineloader
Envyscout
Burntbatter
Muskybeat
Beatdrop_loader
Password_spray_technique
Donut
Daveshell
Dll_sideloading_technique
Process_injection_technique

Victims:
German political parties

Industry:
Government

Geo:
Peru, Ukraine, German, Germany, Russia, Czechia, India, Italy, Moscow, Latvia, Russian

TTPs:
Tactics: 2
Technics: 10

IOCs:
Url: 3
File: 16
Hash: 8

Soft:
Jenkins, WordPress, outlook, LibreOffice, Windows Service

Algorithms:
rc4, md5, zip

Languages:
php, javascript

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участники киберугроз из APT29, связанные со Службой внешней разведки России (СВР), запустили фишинговую кампанию, нацеленную на политические партии Германии, с помощью нового варианта бэкдора под названием WINELOADER. Это знаменует собой смещение акцента APT29 с дипломатических миссий на политические организации, что указывает на более широкие стратегические усилия по сбору политической информации и влиянию на геополитическую динамику в Европе и на Западе. В бэкдоре используются передовые методы запутывания и коммуникации, что представляет значительную угрозу кибербезопасности и указывает на изощренность APT29 в проведении кибершпионажных мероприятий.
-----

В конце февраля участники киберугроз из APT29, группы, связанной со Службой внешней разведки России (СВР), запустили фишинговую кампанию, нацеленную на политические партии Германии, используя новый вариант бэкдора, известный как WINELOADER. Это стало первым случаем, когда этот подкластер APT29 был нацелен на политические партии, что является отходом от его обычного фокуса на дипломатических миссиях. Фишинговые электронные письма, маскировавшиеся под приглашения на званый ужин, организованный Христианско-демократическим союзом (ХДС), содержали вредоносные ссылки, ведущие на скомпрометированные веб-сайты, на которых размещалась полезная нагрузка бэкдора.

Вредоносная программа ROOTSAW, традиционно используемая APT29 для первоначального доступа, была использована для распространения бэкдора WINELOADER. WINELOADER, замеченный в предыдущих операциях, нацеленных на дипломатические учреждения в различных странах, демонстрирует сходство с другими семействами вредоносных программ APT29, такими как BURNTBATTER и MUSKYBEAT, что указывает на общего разработчика. Он использует передовые методы запутывания и методы связи для поддержания постоянства и получения команд с удаленного сервера.

Смещение APT29 в сторону нацеливания на политические партии в Германии отражает заинтересованность СВР в сборе политической информации за пределами традиционных дипломатических каналов. Такое расширение сферы деятельности представляет значительную угрозу для европейских и западных политических организаций, указывая на более широкую стратегическую направленность на влияние на геополитическую динамику. Документы-приманки и тактика, использованные в этой кампании, демонстрируют адаптивность и изощренность APT29 в проведении мероприятий по кибершпионажу.

Кроме того, бэкдор WINELOADER использует методы загрузки на стороне библиотеки DLL и алгоритмы шифрования для выполнения полезной нагрузки и связи со своим сервером управления (C2). Дизайн и функциональные возможности вредоносного ПО соответствуют устоявшейся тактике APT29, подчеркивая постоянный интерес группы к получению конфиденциальной информации от различных целей. Технический анализ, представленный в отчете, освещает тонкости функционирования вредоносного ПО и его потенциальные последствия для специалистов по кибербезопасности.

#ParsedReport #CompletenessLow
22-03-2024

New Go loader pushes Rhadamanthys stealer

https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys

Report completeness: Low

Threats:
Rhadamanthys
Putty_tool
Fakebat

Victims:
Putty users

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1204.002, T1140, T1105, T1020, T1059.003, T1547.001, T1566.001

IOCs:
Domain: 4
File: 2
Hash: 2
IP: 1

Soft:
Telnet client

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в рекламной кампании, использующей новый загрузчик, написанный на языке Go, для развертывания Rhadamanthys stealer в качестве дополнительной полезной нагрузки. Злоумышленник использовал тактику обмана с использованием PuTTY, чтобы обмануть ничего не подозревающих жертв и доставить вредоносную полезную нагрузку по двухэтапной цепочке перенаправления. Меры безопасности от Malwarebytes и ThreatDown выделяются в качестве основных средств защиты от таких угроз.
-----

Загрузчики вредоносных программ, также известные как дропперы или загрузчики-загрузчицы, широко востребованы в криминальном подполье за их способность компрометировать систему и доставлять дополнительную полезную нагрузку. Успех загрузчика зависит от его способности избегать обнаружения и точно нацеливаться на законных жертв, а не на изолированные среды. Эффективность загрузчика имеет решающее значение, поскольку она напрямую влияет на удовлетворенность его "клиентов", а именно других киберпреступников. В сообщении в блоге описана рекламная кампания с использованием нового загрузчика, написанного на языке Go, который использует уникальный метод для развертывания Rhadamanthys stealer в качестве дополнительной полезной нагрузки.

Злоумышленник, стоящий за этой кампанией, использовал PuTTY, популярный клиент SSH и Telnet для Windows, для обмана пользователей. Купив рекламу, которая маскируется под домашнюю страницу PuTTY, и стратегически разместив ее в верхней части результатов поиска Google, злоумышленник стремился обмануть ничего не подозревающих жертв. Само объявление вызвало подозрения из-за включения несвязанного доменного имени "arnaudpairoto . com.". Хотя в этом конкретном объявлении были очевидные "красные флажки", многие вредоносные объявления имитируют законные бренды, чтобы увеличить показатели успеха.

Вредоносная полезная нагрузка в данном случае была доставлена по двухэтапной цепочке перенаправления, тактика, обычно не наблюдаемая. Вредоносное ПО под названием PuTTy.exe функционирует как дроппер, закодированный на языке Go версии 1.21.0, который его создатель потенциально окрестил "Дроппер 1.3". Различные типы загрузчиков были выявлены в ходе кампаний по вредоносной рекламе, в частности, недавно в центре внимания оказался FakeBat. Вероятно, за загрузчиком и инфраструктурой вредоносной рекламы стоит один и тот же субъект угрозы, предлагающий комплексную услугу доставки вредоносных программ другим киберпреступникам. О кампании было сообщено в Google для принятия дальнейших мер.

Пользователи Malwarebytes и ThreatDown защищены от поддельного установщика PuTTY, идентифицированного как троян.Script.GO. Кроме того, пользователи ThreatDown, использующие фильтрацию DNS, имеют возможность активировать блокировку рекламы в своей консоли, чтобы предотвратить атаки, исходящие от вредоносной рекламы. Эти действия служат важной гарантией от угроз, распространяемых с помощью схем недобросовестной рекламы, подчеркивая текущие риски, с которыми сталкивается среда кибербезопасности.

#ParsedReport #CompletenessLow
22-03-2024

Large-Scale StrelaStealer Campaign in Early 2024

https://unit42.paloaltonetworks.com/strelastealer-campaign

Report completeness: Low

Threats:
Strela_stealer
Polyglot
Spear-phishing_technique

Victims:
Over 100 organizations

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1204.002, T1547.001, T1027, T1071, T1552.001

IOCs:
File: 4
Path: 1
Hash: 7
IP: 1

Algorithms:
zip, xor, base64

Languages:
jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что StrelaStealer - это стойкая и развивающаяся вредоносная программа, предназначенная для кражи учетных данных для входа в систему электронной почты с помощью сложных методов уклонения, и организациям необходимо внедрять упреждающие меры кибербезопасности для эффективной защиты от нее.
-----

StrelaStealer - это вредоносное программное обеспечение, предназначенное для кражи данных для входа в систему электронной почты из популярных почтовых клиентов и передачи украденной информации на сервер управления (C2) злоумышленника. Исполнитель угроз, стоящий за StrelaStealer, активно проводит крупномасштабные кампании по электронной почте с момента своего появления в 2022 году, в первую очередь нацеленные на организации по всему ЕС и США. Вредоносное ПО доставляется через спам-письма с вложениями, которые запускают установку полезной нагрузки DLL StrelaStealer.

Чтобы избежать обнаружения, злоумышленники часто изменяют формат файлов вложений электронной почты в каждой кампании, что затрудняет аналитикам и продуктам безопасности идентификацию вредоносного ПО на основе предыдущих шаблонов или сигнатур. Автор вредоносного ПО регулярно обновляет полезную нагрузку библиотеки DLL с помощью улучшенных методов запутывания и антианализа, что еще больше усложняет процесс анализа для специалистов по безопасности.

Недавние наблюдения исследователей выявили значительное увеличение числа кампаний StrelaStealer, затрагивающих более 100 организаций в ЕС и США. Эти кампании используют эволюционирующую тактику, позволяющую избежать обнаружения и проводить успешные атаки. Advanced WildFire, решение для обеспечения безопасности, предоставляемое Palo Alto Networks, обеспечивает защиту от StrelaStealer путем обнаружения новых вариантов и предотвращения цепочки атак вредоносного ПО.

В первоначальных версиях StrelaStealer использовался метод, при котором вложенный iso-файл содержал файл .lnk и HTML-файл, который выполнял полезную нагрузку при взаимодействии. Однако последняя версия StrelaStealer распространяется с помощью фишинговых электронных писем с вложениями в ZIP-файлы. При загрузке и открытии архива файл JScript удаляет файл, зашифрованный в Base64, который декодируется для создания вредоносного DLL-файла. Этот DLL-файл выполняется через rundll32.exe с целью кражи данных для входа по электронной почте у жертв.

В последней кампании, проведенной в январе 2024 года, вариант StrelaStealer демонстрирует эволюцию в своей технологии упаковки, используя запутывание потока управления для затруднения анализа. Полезная нагрузка вредоносного ПО, DLL-файл с функцией экспорта вредоносных программ, была обновлена, чтобы упростить обнаружение и анализ. Заметные изменения в этом варианте включают отсутствие строк PDB, которые присутствовали в более ранних версиях, что указывает на преднамеренную попытку помешать обнаружению, полагаясь на менее очевидные характеристики вредоносного ПО.

StrelaStealer остается активной угрозой в сфере кибербезопасности, поскольку субъекты угроз постоянно адаптируют вредоносное ПО, чтобы избежать обнаружения решениями безопасности, полагающимися на реактивные сигнатуры или шаблоны. В статье подчеркивается изощренность методов уклонения и обновлений StrelaStealer, подчеркивается важность упреждающих мер безопасности для эффективной борьбы с такими похитителями учетных данных электронной почты. Организациям рекомендуется использовать решения для кибербезопасности, такие как Cortex XDR, брандмауэры следующего поколения и Prisma Cloud Defender, для усиления своей защиты от развивающихся угроз, таких как StrelaStealer.

#ParsedReport #CompletenessLow
24-03-2024

APT-C-09. 1. Analysis of attack activities

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247495954&idx=1&sn=d1b69cdc1465a9c0c033fe88e5c9ce51

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Victims:
Palestinian federal tax office

Geo:
Palestinian, Pakistan, Asian

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1547, T1071, T1027, T1573, T1041

IOCs:
Hash: 2
Url: 3
File: 3

Algorithms:
rc4, aes, base64, md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 7, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кибератаки, приписываемой организации Mahagrass, с подробным описанием тактики и методов, используемых группой threat actor, а также их эволюции в использовании полезных бэкдоров на основе C#. Анализ подчеркивает настойчивость группы, адаптацию к мерам безопасности, историческую ориентацию на конкретные регионы и постоянные усилия по совершенствованию своих вредоносных инструментов для будущих операций.
-----

Проанализированный образец выявляет кибератаку, соответствующую тактике организации Mahagrass. Атака включает использование вредоносных файлов lnk для загрузки документов-приманки и полезной нагрузки с удаленных серверов, создания запланированных задач для сохранения и использования URL-адресов, содержащих строки "b-cdn.net". Вредоносная полезная нагрузка содержит подпись "RUNSWITHSCISSORS LTD", характерную для предыдущих действий группы Mahagrass. Примечательно, что значение IV в алгоритме AES соответствует значению, ранее определенному в анализе, связанном с Махараштрой, что указывает на потенциальную связь. Кроме того, формат URL для загрузки данных отражает прошлые действия. Использование алгоритма RC4 и определенных ключевых начальных символов еще больше увязывает эту атаку с предыдущими действиями Mahaca. Выбор злоумышленником адреса для загрузки в Пакистане в сочетании с историческими нападениями на Федеральное налоговое управление Палестины усиливает подозрения в принадлежности к группе Mahagrass.

APT-C-09 Mahagrass, также известный как White Elephant, Patchwork и Dropping Elephant, является объектом повышенной постоянной угрозы (APT), возникшим в Южной Азии и активно действующим с 2015 года. Известная тем, что нацелена на соседние страны с целью кражи конфиденциальной информации, организация постоянно совершенствует свою тактику обхода сетевой безопасности. Недавние наблюдения указывают на использование полезных бэкдоров на основе C#, что свидетельствует о расширении возможностей злоумышленника. Это дополнение является отходом от их предыдущих атак, предполагая новый этап в разработке их вредоносных инструментов. Переход к полезным нагрузкам на C# означает постоянные усилия Mahagrass по расширению своих арсеналов и адаптации к меняющимся мерам безопасности.

Фишинговый файл, использованный при атаке, запускает PowerShell для выполнения вредоносных инструкций при открытии файла lnk. Это действие инициирует загрузку содержимого-приманки и вредоносных полезных нагрузок с определенных URL-адресов, а также обеспечивает сохранение с помощью запланированных задач. Загруженная полезная нагрузка шифрует такие данные, как MAC-адрес, имя хоста, выполненные команды и результаты, которые впоследствии отправляются обратно на сервер C2. Процесс шифрования включает методы RC4 и Base64 перед передачей данных с использованием POST-запроса на указанный адрес сервера.

Принимая во внимание исторический контекст, Mahagrass постоянно участвовала в кибератаках, нацеленных на Пакистан и соседние страны, сохраняя постоянное внимание к своим целям. Преступники, стоящие за группой APT-C-09, демонстрируют твердую решимость постоянно совершенствовать свои методы атаки и адаптироваться к контрмерам. Внедрение полезных бэкдоров C# означает расширение их возможностей, что свидетельствует о намерении развивать и диверсифицировать их инструменты для будущих операций. В то время как текущая полезная нагрузка на C# относительно проста, организация, вероятно, со временем усложнит свой вредоносный код, что потребует постоянного изучения их эволюционирующей тактики.

#ParsedReport #CompletenessLow
24-03-2024

Cybercriminals Accelerate Online Scams During Ramadan and Eid Fitr

https://www.resecurity.com/blog/article/cybercriminals-accelerate-online-scams-during-ramadan-and-eid-fitr

Report completeness: Low

Actors/Campaigns:
Smishing_triad (motivation: cyber_criminal)

Industry:
Financial, Transport, Government, Logistic, E-commerce, Retail

Geo:
Mena

ChatGPT TTPs:
do not use without manual check
T1566, T1598, T1199, T1114, T1606, T1566.002, T1110, T1589, T1059

IOCs:
Domain: 12

Soft:
iMessage, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что во время Рамадана наблюдается значительный рост мошеннических действий, направленных против ближневосточных предприятий, особенно в секторе электронной коммерции в Саудовской Аравии. Киберпреступники используют онлайн-платформы с помощью различных тактик, таких как выдача себя за поставщиков логистических услуг, фишинговые схемы, нацеленные на финансовые учреждения и платформы, такие как SADAD, и использование многоступенчатых фишинговых наборов для перехвата 2FA и OTP. Эти мероприятия привели, по оценкам, к финансовому эффекту в размере от 70 до 100 миллионов долларов, что сказалось на экспатриантах, жителях и посетителях региона. Служба безопасности приняла меры по блокировке мошеннических сайтов, и для интернет-пользователей крайне важно проявлять осторожность при обмене личной и платежной информацией, чтобы снизить потенциальные риски мошенничества.
-----

Всплеск мошеннических действий, направленных против ближневосточных предприятий во время Рамадана.

Предполагаемый финансовый эффект составит 70-100 миллионов долларов, что затронет экспатриантов, местных жителей и иностранных гостей.

Выдача себя за поставщиков логистических услуг, таких как Aramex, SMSA Express и Zajil Express, посредством вводящих в заблуждение SMS-сообщений.

Жертв обманом заставляли совершать немедленные платежи или раскрывать данные кредитной карты и онлайн-банкинга.

Личная информация часто используется в Даркнете для дальнейших мошеннических схем.

Мошенники имитируют платежные формы финансовых учреждений, таких как SNB и Riyad Bank, для получения конфиденциальной информации.

Фишинговые схемы, нацеленные на учетные данные для входа на такие платформы, как SADAD, широко используемые для оплаты счетов в Саудовской Аравии.

Использование многоступенчатых фишинговых наборов для перехвата 2FA или OTP-сообщений, обеспечивающих несанкционированный доступ к учетной записи.

Мошенники вербуют жертв в качестве "денежных мулов" с помощью информации, связанной с работой, в рамках фишинговых схем.

Мошеннический таргетинг на официальные программы, такие как Ajeer и Ejar, путем создания поддельных предложений о работе с целью эксплуатации работников.

Служба безопасности заблокировала более 320 мошеннических сайтов, выдающих себя за ключевых поставщиков логистических услуг и услуг электронного правительства на Ближнем Востоке.

Пользователям Интернета рекомендуется избегать обмена личной и платежной информацией с подозрительными сайтами или лицами, выдающими себя за представителей банка или правительства.

Важность сообщения о подозрительных действиях местным правоохранительным органам и назначенным контактам внутри организаций.

Ожидание дальнейшей активизации мошеннических действий, использующих тактику социальной инженерии и облачные сервисы хостинга.

#cyberthreattech
На канале Кода Безопасности опубликована запись нашего совместного вебминара про Континент 4 и TI в нем.
В моей части попробовал рассказать основные особенности подготовки IoC и работы с ними именно в NGFW, т.к. там есть много нюансов, отличных от IoC в SIEM.
https://youtu.be/NRCt27PJirI?si=w1aO1GQ5bw5iG6be&t=1051

#technique

Generic and Automated Drive-by GPU Cache Attacks from the Browser

https://ginerlukas.com/publications/papers/WebGPUAttacks.pdf