#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в тактике, используемой мошенниками при голосовом фишинге или мошенничестве с "крысиным фишингом", важности обнаружения и предотвращения таких мошенничеств, а также стратегиях борьбы с мошенничеством путем оценки возможностей обнаружения мошенничества и готовности к нему. В нем подчеркивается взаимосвязь риска устройств и поведенческого риска для выявления подозрительных действий и предлагается использовать такие ресурсы, как ThreatFabric, для расширения возможностей обнаружения мошенничества. В тексте также упоминаются семинары для совершенствования навыков выявления и снижения рисков мошенничества и рекомендуется обращаться за консультациями по стратегиям предотвращения мошенничества.
-----

В третьем эпизоде серии блогов рассказывается о тактике, применяемой мошенниками, которые связываются с физическими лицами по телефону с намерением обмануть их, заставив поверить, что они представляют доверенную организацию, такую как банк, Microsoft или правоохранительные органы. Эти мошенники стремятся получить контроль над устройством жертвы с помощью набора инструментов удаленного доступа (RAT). Этот тип мошенничества, известный как голосовой фишинг или мошенничество с фишинговой крысой, широко распространен во всем мире, при этом в некоторых регионах, таких как Северная Америка и Великобритания, наблюдается более высокий уровень подобных мошеннических действий.

В блоге подчеркивается важность выявления и предотвращения подобных мошенничеств путем оценки возможностей обнаружения мошенничества и готовности к нему. Цель блога - предоставить читателям необходимые инструменты для выявления различных видов мошенничества и борьбы с ними, начиная от кампаний вредоносного по и заканчивая мошенничеством с выдачей себя за другого. Анализ включает в себя изучение тактики, методов и процедур (TTP), используемых мошенниками, определение цепочки убийств, связанной с этими мошенническими действиями, и выявление потенциальных пробелов в обнаружении, которые необходимо устранить.

Одной из ключевых стратегий, освещенных в блоге, является корреляция риска устройства и поведенческого риска для выявления подозрительных действий. Связывая такие показатели, как взаимодействие "по вызову", с наличием активного RAT и поведенческими аномалиями, организации могут повысить свою способность выявлять потенциальных мошенников и реагировать на них. Подчеркивается, что эффективная система обнаружения мошенничества должна охватывать как веб-, так и мобильные платформы, поскольку мошенники часто используют несколько каналов или переключаются между ними для осуществления своих схем. ThreatFabric, глобальный поставщик решений для обеспечения безопасности банков и финансовых учреждений, рекомендуется в качестве ресурса, помогающего в проведении углубленного анализа и расширяющего возможности обнаружения мошенничества.

Блог также приглашает читателей принять участие в семинарах по готовности к обнаружению, чтобы еще больше усовершенствовать свои навыки в выявлении и снижении рисков мошенничества. Заинтересованным сторонам рекомендуется обратиться за бесплатной консультацией, чтобы узнать, как ThreatFabric может помочь в укреплении их стратегий предотвращения мошенничества.

#ParsedReport #CompletenessLow
27-03-2024

Qilin Ransomware: Get the 2024 Lowdown

https://cyberint.com/blog/research/qilin-ransomware

Report completeness: Low

Threats:
Qilin_ransomware

Victims:
Yanfeng automotive interiors, Upper marion township, Etairos health, Kevin leeds, cpa, Commonwealth sign, International electro mechanical services, Felda global ventures holdings berhad, Bright wires, Pt sarana multi infrastruktur (persero), Casa santiveri, have more...

Industry:
Healthcare, Financial

Geo:
France, Colombia, Brazil, Australia, Malaysia, Japan, Spain, Canada, Netherlands, Indonesia, Serbia

ChatGPT TTPs:
do not use without manual check
T1562.001, T1486, T1071, T1027, T1560, T1567.002, T1566.002, T1083, T1059

IOCs:
Hash: 6

Soft:
ESXi

Algorithms:
sha256

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Qilin - это сложная партнерская программа-вымогатель как услуга, известная своими склонными к уклонению характеристиками, тактикой настройки для таргетинга на различные операционные системы и использованием метода двойного вымогательства для принуждения жертв платить за расшифровку. Группа, стоящая за Qilin, занимается целым рядом вредоносных действий, включая эксфильтрацию конфиденциальных данных, настройку вредоносного ПО для максимального воздействия и нацеливание на организации по всему миру с помощью фишинговых электронных писем. Их широкое распространение, включая компании из списка Fortune 500, подчеркивает значительное влияние и потенциальные риски, связанные с их деятельностью.
-----

Qilin работает как партнерская программа для Ransomware-as-a-Service, использующая программу-вымогатель на основе Rust, известную своими склонными к уклонению и труднодоступными для расшифровки характеристиками. Это позволяет настраивать вредоносное ПО для различных операционных систем, включая Windows, Linux и ESXi. Группа, стоящая за программой-вымогателем Qilin, использует метод двойного вымогательства, извлекая конфиденциальные данные в дополнение к их шифрованию, чтобы заставить жертв заплатить за дешифратор. Их операции включают в себя тактику настройки, такую как изменение расширений имен зашифрованных файлов и завершение определенных процессов и служб для максимального воздействия.

Qilin рекламирует свою программу-вымогатель в даркнете, демонстрируя проприетарный DLS с уникальными идентификаторами компаний и утеченными данными учетной записи. Недавние действия Qilin включают размещение данных о жертвах в своих DLS, причем случаи наблюдались в различных странах, таких как Австралия, Бразилия, Канада, Колумбия, Франция, Нидерланды, Сербия, Соединенное Королевство, Япония и Соединенные Штаты. Известные атаки, приписываемые Цилиню, включают кибератаку на Yanfeng Automotive Interiors и несколько других организаций в различных секторах и географических точках.

Группа нацеливается на жертв с помощью фишинговых электронных писем, содержащих вредоносные ссылки, чтобы получить первоначальный доступ к сетям и отфильтровать критически важные данные. Оказавшись внутри инфраструктуры жертвы, Qilin перемещается вбок, чтобы идентифицировать и зашифровать важные данные, оставляя записки о выкупе с инструкциями по расшифровке. В некоторых случаях операторы могут попытаться воспрепятствовать восстановлению данных путем перезагрузки систем и остановки определенных процессов.

Программа-вымогатель Qilin предлагает различные режимы шифрования, контролируемые оператором, что позволяет настраивать процесс шифрования. Программа-вымогатель поддерживает такие функции, как изменение расширения имени файла и завершение определенного процесса, что усиливает ее воздействие на жертв. Было замечено, что группа использует различные режимы шифрования, такие как пошаговое, процентное и быстрое, в рамках своих операций.

Хотя в настоящее время нет никаких конкретных сведений о происхождении или аффилированных лицах Qilin, широко распространенная ориентация группы на организации, включая компании из списка Fortune 500, подчеркивает значительное влияние и потенциальные риски, связанные с их деятельностью. Организации, стремящиеся защитить себя от внешних угроз, таких как уязвимости, фишинг, заражение вредоносными программами и утечки данных, часто обращаются к решениям в области кибербезопасности, таким как Cyberint, для усиления своей защиты от развивающихся киберугроз.

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 23, chart: 2, schema: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание последних разработок в группе программ-вымогателей Agenda, включая ее новый вариант Rust, методы распространения, тактику защитного уклонения и потенциальное воздействие на жертв в различных отраслях и регионах. В нем подчеркивается необходимость принятия упреждающих мер кибербезопасности для противодействия продвинутым программам-вымогателям, таким как Agenda.
-----

В записи блога подробно рассказывается о том, как группа вымогателей Agenda, также известная как Qilin и отслеживаемая Trend Micro как Water Galura, была активна и постоянно развивалась с момента своего обнаружения в 2022 году. Группа нацелена на различные отрасли, такие как финансы и юриспруденция, по всему миру, причем такие страны, как США, Аргентина, Австралия и Таиланд, входят в число ее главных целей. Последние данные анализа угроз свидетельствуют об увеличении числа обнаружений программ-вымогателей Agenda, начиная с декабря 2023 года, что указывает на повышенную активность или более широкое преследование со стороны операторов группы.

Одним из выделенных примечательных аспектов является внедрение последней версии Rust программы-вымогателя Agenda. В этой новой версии используются инструменты удаленного мониторинга и управления (RMM), а также такие инструменты, как Cobalt Strike, для развертывания двоичных файлов программы-вымогателя. Программа-вымогатель способна распространяться через PsExec, SecureShell и использовать уязвимые системные драйверы для обхода защиты.

Важной особенностью последней версии является использование нескольких аргументов командной строки, при этом команда "--spread-vcenter" позволяет программе-вымогателю распространяться по серверам VMware vCenter и ESXi. Встраивая пользовательский сценарий PowerShell в двоичный файл, программа-вымогатель может воздействовать на виртуальные машины и всю виртуальную инфраструктуру, потенциально приводя к потере данных, финансовым последствиям и сбоям в обслуживании.

Программа-вымогатель Agenda требует, чтобы жертвы вводили свои учетные данные на целевом хосте vCenter или ESXi, позволяя злоумышленникам выполнять свои вредоносные действия. Выполнение программы-вымогателя без файлов через поток памяти в процессах PowerShell повышает скрытность и стойкость. Кроме того, Agenda теперь изменяет пароль root для всех хостов ESXi, препятствуя доступу жертвы даже после шифрования.

Программа-вымогатель также вводит команду "--spread" для распространения, отбрасывая PsExec по определенным путям. Теперь он может печатать уведомления о выкупе на подключенных принтерах, копируя уведомление о выкупе во временный каталог и выполняя команды PowerShell для получения списка имен принтеров и информации о драйверах, что позволяет более эффективно взаимодействовать с пользователем в процессе получения выкупа.

Другой важной возможностью последнего варианта Agenda является его способность завершать работу VMclusters, воздействуя на группы виртуальных машин/хостов ESXi, настроенных для совместного использования ресурсов. Чтобы обойти системы безопасности, Agenda использует метод Bring Your Own Vulnerable Driver (BYOVD), используя различные уязвимые драйверы, такие как YDark и Spyboy Terminator, для отключения средств безопасности и уклонения от обнаружения. Такой адаптивный подход подчеркивает сложность защиты от кибербезопасности в борьбе с эволюционирующими угрозами со стороны программ-вымогателей.

Таким образом, последние разработки в варианте программы-вымогателя Agenda демонстрируют ее сложное распространение, выполнение без файлов, методы развертывания и тактику защитного уклонения, направленную на максимизацию воздействия, затруднение обнаружения и вымогательство у жертв в различных отраслях промышленности и географических регионах. Эти выводы подчеркивают важность упреждающих мер кибербезопасности для снижения рисков, создаваемых продвинутыми программами-вымогателями, такими как Agenda.

#ParsedReport #CompletenessHigh
28-03-2024

WarzoneRAT Returns with Multi-Stage Attack Post FBI Seizure

https://cyble.com/blog/warzonerat-returns-with-multi-stage-attack-post-fbi-seizure

Report completeness: High

Threats:
Warzone_rat
Avemaria_rat
Dll_sideloading_technique
Taskkill
Amsi_bypass_technique
Spear-phishing_technique
Process_injection_technique

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 23
Url: 4
Command: 1
Path: 1
Registry: 1
Domain: 1
Hash: 9

Soft:
Microsoft Edge, NET Framework, Windows Defender, Windows Firewall

Algorithms:
zip, sha256, sha1, md5

Functions:
ExecuteRandomEquations, CheckUsername, Execute, Invoke

Win API:
CreateProcess, VirtualAllocEx, ResumeThread, WriteProcessMemory, AmsiScanBuffer

Win Services:
ekrn, AvastSvc

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии ФБР схемы вредоносного ПО WarzoneRAT, выявлении кампании вредоносного ПО Cyble Research и Intelligence Labs с использованием WarzoneRAT, функциональных возможностях RAT, ее эволюции, тактике, используемой в кампании вредоносного ПО, и вызовах, создаваемых участниками угроз, использующими сложные методы для распространения и запуска вредоносных программ.
-----

В феврале ФБР провело операцию по ликвидации вредоносной схемы WarzoneRAT, что привело к захвату ее инфраструктуры и аресту двух лиц, связанных с операцией по борьбе с киберпреступностью. После этого Cyble Research and Intelligence Labs (CRIL) выявила образцы вредоносной кампании, распространяемой через спам-письма на налоговую тематику, развернув WarzoneRAT (также известный как Avemaria) в качестве конечной полезной нагрузки в двух различных сценариях.

В первом случае вложение электронной почты содержало сжатый файл с файлом LNK, который запускал серию действий, приводящих к выполнению WarzoneRAT. Это включало загрузку HTA-файла, запуск команд PowerShell для дальнейшей загрузки и, в конечном итоге, ввод конечной полезной нагрузки в RegSvcs.exe с использованием метода отражающей загрузки. Во втором сценарии вложение включало исполняемый файл, который использовал стороннюю загрузку библиотеки DLL для загрузки вредоносного модуля WarzoneRAT DLL при выполнении, устанавливая соединение с сервером управления (C&C).

AveMaria, характеризуемая как вредоносная программа для удаленного администрирования (RAT), предоставляет возможности удаленного управления для выполнения вредоносных действий при получении команд с сервера C&C. RAT впервые появилась в ходе фишинговой кампании 2018 года и была пресечена ФБР в феврале. Впоследствии ThreatMon анонсировал новые функции для WarZoneRAT v3, направленные на повышение эффективности вредоносного ПО.

Кампания вредоносных программ, раскрытая CRIL, использовала различные тактики обмана, включая маскировку файла быстрого доступа под изображение в спам-письме на налоговую тематику, чтобы запустить цепочку заражения. После запуска вредоносная программа выполнила несколько шагов для загрузки и выполнения конечной полезной нагрузки WarzoneRAT, используя методы обфускации для обхода мер безопасности и внедрения вредоносного кода в законные процессы.

WarzoneRAT, или Avemaria, - это троян удаленного доступа, предназначенный для обеспечения несанкционированного доступа к системам жертв и контроля над ними. Avemaria, способный выполнять такие действия, как утечка данных, повышение привилегий, кейлоггинг и многое другое, представляет серьезную угрозу для скомпрометированных систем. Анализ, проведенный Splunk, дает более глубокое представление о функциональных возможностях RAT и выявляет жестко закодированные строки в его двоичном исполняемом файле.

Другой пример кампании включал сжатый ZIP-файл с тремя файлами, один из которых был идентифицирован как двоичный файл вредоносной программы WarzoneRAT. Вредоносная программа использовала стороннюю загрузку DLL для постоянной загрузки в системную память, устанавливая соединения с доменами C&C для удаленного управления и вредоносных действий.

Злоумышленники часто используют тематические спам-вложения в электронных письмах, чтобы обманом заставить пользователей открывать вредоносный контент, как это наблюдалось в этой кампании, использующей электронные письма налоговой тематики для распространения WarzoneRAT. Используя отражающую загрузку, стороннюю загрузку библиотек DLL и другие сложные методы, участники угроз стремятся повысить сложность своих атак и обойти механизмы обнаружения, создавая проблемы для защитников в обнаружении, предотвращении и реагировании на такие киберугрозы.

#ParsedReport #CompletenessMedium
28-03-2024

Phobos Ransomware

https://explore.avertium.com/resource/phobos-ransomware

Report completeness: Medium

Threats:
Phobos
Smokeloader
Cobalt_strike
Bloodhound_tool
Dharma
Backmydata
Devos
Elking
8base
Snatch_ransomware

Victims:
County governments, Emergency services, Educational institutions, Government agencies, Healthcare facilities, Critical infrastructure organizations

Industry:
Healthcare, Financial, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1562.001, T1489, T1027, T1041, T1485, T1563.002, T1071.001, T1566.001, T1110.001, have more...

IOCs:
File: 7
Hash: 37
Domain: 3
IP: 4

Soft:
Windows shell, outlook, WinSCP

Algorithms:
aes, sha256, md5, sha1, cbc

Win Services:
sqlservr

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о программе-вымогателе Phobos, сложной угрозе, которая с 2019 года нацелена на критически важные сектора инфраструктуры. Он работает по модели "программа-вымогатель как услуга", сотрудничая с различными инструментами для шифрования данных, требуя крупных выкупов и демонстрируя высокий уровень изощренности своей тактики. В тексте освещается влияние Phobos на различные секторы, его эволюция, процесс шифрования, тактика проникновения, модульная архитектура и стратегии смягчения последствий для организаций, позволяющие эффективно защищаться от подобных атак программ-вымогателей.
-----

Программа-вымогатель Phobos нацелена на критически важные секторы инфраструктуры с 2019 года, требуя миллионных выплат выкупа и действуя по модели "программа-вымогатель как услуга".

Phobos сотрудничает с инструментами с открытым исходным кодом, такими как SmokeLoader, Cobalt Strike и Bloodhound, что делает его популярным благодаря простоте использования и эффективности для участников угроз.

В недавних рекомендациях подчеркивается влияние субъектов, представляющих угрозу Фобоса, на правительства округов, службы экстренной помощи и образовательные учреждения.

Phobos шифрует файлы в зараженных системах, используя различные тактики проникновения, включая скомпрометированные подключения к удаленному рабочему столу (RDP), фишинговые электронные письма и атаки методом перебора.

Phobos использует стандартизированный трехэтапный процесс, используя Smokeloader для скрытого развертывания дополнительных вредоносных программ и применяя сложные методы шифрования.

Варианты Phobos, такие как Backmydata, Devos и другие, нацелены на различные секторы по всему миру, демонстрируя изощренность с помощью социальной инженерии и использования уязвимостей.

Участники Phobos извлекают файлы с помощью таких инструментов, как WinSCP и Mega.io, определяют приоритетность определенных типов данных для кражи и удаляют резервные копии, чтобы предотвратить восстановление, прежде чем шифровать подключенные диски.

Снижение угрозы, исходящей от Phobos и аналогичных программ-вымогателей, требует от организаций внедрения надежных мер кибербезопасности, включая методы безопасного удаленного доступа, резервное копирование данных и обучение сотрудников, а также сетевую архитектуру с нулевым доверием и решения SIEM для раннего обнаружения угроз.

#ParsedReport #CompletenessLow
28-03-2024

Solana Drainer s Source Code Saga: Tracing Its Lineage to the Developers of MS Drainer

https://cyble.com/blog/solana-drainers-source-code-saga-tracing-its-lineage-to-the-developers-of-ms-drainer

Report completeness: Low

Victims:
Cryptocurrency users, 63,000 individuals, 63,210 victims

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1566.001, T1204.002, T1027, T1583.002, T1589.002, T1598.002, T1114.001

IOCs:
File: 18
Url: 4
Hash: 2

Soft:
Telegram, ChatGPT, Ubuntu

Wallets:
metamask, trezor, solflare_wallet, solflare

Crypto:
solana, ethereum

Algorithms:
zip, sha256

Functions:
sendMessageToChat

Languages:
php, javascript