#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Qilin - это сложная партнерская программа-вымогатель как услуга, известная своими склонными к уклонению характеристиками, тактикой настройки для таргетинга на различные операционные системы и использованием метода двойного вымогательства для принуждения жертв платить за расшифровку. Группа, стоящая за Qilin, занимается целым рядом вредоносных действий, включая эксфильтрацию конфиденциальных данных, настройку вредоносного ПО для максимального воздействия и нацеливание на организации по всему миру с помощью фишинговых электронных писем. Их широкое распространение, включая компании из списка Fortune 500, подчеркивает значительное влияние и потенциальные риски, связанные с их деятельностью.
-----

Qilin работает как партнерская программа для Ransomware-as-a-Service, использующая программу-вымогатель на основе Rust, известную своими склонными к уклонению и труднодоступными для расшифровки характеристиками. Это позволяет настраивать вредоносное ПО для различных операционных систем, включая Windows, Linux и ESXi. Группа, стоящая за программой-вымогателем Qilin, использует метод двойного вымогательства, извлекая конфиденциальные данные в дополнение к их шифрованию, чтобы заставить жертв заплатить за дешифратор. Их операции включают в себя тактику настройки, такую как изменение расширений имен зашифрованных файлов и завершение определенных процессов и служб для максимального воздействия.

Qilin рекламирует свою программу-вымогатель в даркнете, демонстрируя проприетарный DLS с уникальными идентификаторами компаний и утеченными данными учетной записи. Недавние действия Qilin включают размещение данных о жертвах в своих DLS, причем случаи наблюдались в различных странах, таких как Австралия, Бразилия, Канада, Колумбия, Франция, Нидерланды, Сербия, Соединенное Королевство, Япония и Соединенные Штаты. Известные атаки, приписываемые Цилиню, включают кибератаку на Yanfeng Automotive Interiors и несколько других организаций в различных секторах и географических точках.

Группа нацеливается на жертв с помощью фишинговых электронных писем, содержащих вредоносные ссылки, чтобы получить первоначальный доступ к сетям и отфильтровать критически важные данные. Оказавшись внутри инфраструктуры жертвы, Qilin перемещается вбок, чтобы идентифицировать и зашифровать важные данные, оставляя записки о выкупе с инструкциями по расшифровке. В некоторых случаях операторы могут попытаться воспрепятствовать восстановлению данных путем перезагрузки систем и остановки определенных процессов.

Программа-вымогатель Qilin предлагает различные режимы шифрования, контролируемые оператором, что позволяет настраивать процесс шифрования. Программа-вымогатель поддерживает такие функции, как изменение расширения имени файла и завершение определенного процесса, что усиливает ее воздействие на жертв. Было замечено, что группа использует различные режимы шифрования, такие как пошаговое, процентное и быстрое, в рамках своих операций.

Хотя в настоящее время нет никаких конкретных сведений о происхождении или аффилированных лицах Qilin, широко распространенная ориентация группы на организации, включая компании из списка Fortune 500, подчеркивает значительное влияние и потенциальные риски, связанные с их деятельностью. Организации, стремящиеся защитить себя от внешних угроз, таких как уязвимости, фишинг, заражение вредоносными программами и утечки данных, часто обращаются к решениям в области кибербезопасности, таким как Cyberint, для усиления своей защиты от развивающихся киберугроз.

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 23, chart: 2, schema: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание последних разработок в группе программ-вымогателей Agenda, включая ее новый вариант Rust, методы распространения, тактику защитного уклонения и потенциальное воздействие на жертв в различных отраслях и регионах. В нем подчеркивается необходимость принятия упреждающих мер кибербезопасности для противодействия продвинутым программам-вымогателям, таким как Agenda.
-----

В записи блога подробно рассказывается о том, как группа вымогателей Agenda, также известная как Qilin и отслеживаемая Trend Micro как Water Galura, была активна и постоянно развивалась с момента своего обнаружения в 2022 году. Группа нацелена на различные отрасли, такие как финансы и юриспруденция, по всему миру, причем такие страны, как США, Аргентина, Австралия и Таиланд, входят в число ее главных целей. Последние данные анализа угроз свидетельствуют об увеличении числа обнаружений программ-вымогателей Agenda, начиная с декабря 2023 года, что указывает на повышенную активность или более широкое преследование со стороны операторов группы.

Одним из выделенных примечательных аспектов является внедрение последней версии Rust программы-вымогателя Agenda. В этой новой версии используются инструменты удаленного мониторинга и управления (RMM), а также такие инструменты, как Cobalt Strike, для развертывания двоичных файлов программы-вымогателя. Программа-вымогатель способна распространяться через PsExec, SecureShell и использовать уязвимые системные драйверы для обхода защиты.

Важной особенностью последней версии является использование нескольких аргументов командной строки, при этом команда "--spread-vcenter" позволяет программе-вымогателю распространяться по серверам VMware vCenter и ESXi. Встраивая пользовательский сценарий PowerShell в двоичный файл, программа-вымогатель может воздействовать на виртуальные машины и всю виртуальную инфраструктуру, потенциально приводя к потере данных, финансовым последствиям и сбоям в обслуживании.

Программа-вымогатель Agenda требует, чтобы жертвы вводили свои учетные данные на целевом хосте vCenter или ESXi, позволяя злоумышленникам выполнять свои вредоносные действия. Выполнение программы-вымогателя без файлов через поток памяти в процессах PowerShell повышает скрытность и стойкость. Кроме того, Agenda теперь изменяет пароль root для всех хостов ESXi, препятствуя доступу жертвы даже после шифрования.

Программа-вымогатель также вводит команду "--spread" для распространения, отбрасывая PsExec по определенным путям. Теперь он может печатать уведомления о выкупе на подключенных принтерах, копируя уведомление о выкупе во временный каталог и выполняя команды PowerShell для получения списка имен принтеров и информации о драйверах, что позволяет более эффективно взаимодействовать с пользователем в процессе получения выкупа.

Другой важной возможностью последнего варианта Agenda является его способность завершать работу VMclusters, воздействуя на группы виртуальных машин/хостов ESXi, настроенных для совместного использования ресурсов. Чтобы обойти системы безопасности, Agenda использует метод Bring Your Own Vulnerable Driver (BYOVD), используя различные уязвимые драйверы, такие как YDark и Spyboy Terminator, для отключения средств безопасности и уклонения от обнаружения. Такой адаптивный подход подчеркивает сложность защиты от кибербезопасности в борьбе с эволюционирующими угрозами со стороны программ-вымогателей.

Таким образом, последние разработки в варианте программы-вымогателя Agenda демонстрируют ее сложное распространение, выполнение без файлов, методы развертывания и тактику защитного уклонения, направленную на максимизацию воздействия, затруднение обнаружения и вымогательство у жертв в различных отраслях промышленности и географических регионах. Эти выводы подчеркивают важность упреждающих мер кибербезопасности для снижения рисков, создаваемых продвинутыми программами-вымогателями, такими как Agenda.

#ParsedReport #CompletenessHigh
28-03-2024

WarzoneRAT Returns with Multi-Stage Attack Post FBI Seizure

https://cyble.com/blog/warzonerat-returns-with-multi-stage-attack-post-fbi-seizure

Report completeness: High

Threats:
Warzone_rat
Avemaria_rat
Dll_sideloading_technique
Taskkill
Amsi_bypass_technique
Spear-phishing_technique
Process_injection_technique

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 23
Url: 4
Command: 1
Path: 1
Registry: 1
Domain: 1
Hash: 9

Soft:
Microsoft Edge, NET Framework, Windows Defender, Windows Firewall

Algorithms:
zip, sha256, sha1, md5

Functions:
ExecuteRandomEquations, CheckUsername, Execute, Invoke

Win API:
CreateProcess, VirtualAllocEx, ResumeThread, WriteProcessMemory, AmsiScanBuffer

Win Services:
ekrn, AvastSvc

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии ФБР схемы вредоносного ПО WarzoneRAT, выявлении кампании вредоносного ПО Cyble Research и Intelligence Labs с использованием WarzoneRAT, функциональных возможностях RAT, ее эволюции, тактике, используемой в кампании вредоносного ПО, и вызовах, создаваемых участниками угроз, использующими сложные методы для распространения и запуска вредоносных программ.
-----

В феврале ФБР провело операцию по ликвидации вредоносной схемы WarzoneRAT, что привело к захвату ее инфраструктуры и аресту двух лиц, связанных с операцией по борьбе с киберпреступностью. После этого Cyble Research and Intelligence Labs (CRIL) выявила образцы вредоносной кампании, распространяемой через спам-письма на налоговую тематику, развернув WarzoneRAT (также известный как Avemaria) в качестве конечной полезной нагрузки в двух различных сценариях.

В первом случае вложение электронной почты содержало сжатый файл с файлом LNK, который запускал серию действий, приводящих к выполнению WarzoneRAT. Это включало загрузку HTA-файла, запуск команд PowerShell для дальнейшей загрузки и, в конечном итоге, ввод конечной полезной нагрузки в RegSvcs.exe с использованием метода отражающей загрузки. Во втором сценарии вложение включало исполняемый файл, который использовал стороннюю загрузку библиотеки DLL для загрузки вредоносного модуля WarzoneRAT DLL при выполнении, устанавливая соединение с сервером управления (C&C).

AveMaria, характеризуемая как вредоносная программа для удаленного администрирования (RAT), предоставляет возможности удаленного управления для выполнения вредоносных действий при получении команд с сервера C&C. RAT впервые появилась в ходе фишинговой кампании 2018 года и была пресечена ФБР в феврале. Впоследствии ThreatMon анонсировал новые функции для WarZoneRAT v3, направленные на повышение эффективности вредоносного ПО.

Кампания вредоносных программ, раскрытая CRIL, использовала различные тактики обмана, включая маскировку файла быстрого доступа под изображение в спам-письме на налоговую тематику, чтобы запустить цепочку заражения. После запуска вредоносная программа выполнила несколько шагов для загрузки и выполнения конечной полезной нагрузки WarzoneRAT, используя методы обфускации для обхода мер безопасности и внедрения вредоносного кода в законные процессы.

WarzoneRAT, или Avemaria, - это троян удаленного доступа, предназначенный для обеспечения несанкционированного доступа к системам жертв и контроля над ними. Avemaria, способный выполнять такие действия, как утечка данных, повышение привилегий, кейлоггинг и многое другое, представляет серьезную угрозу для скомпрометированных систем. Анализ, проведенный Splunk, дает более глубокое представление о функциональных возможностях RAT и выявляет жестко закодированные строки в его двоичном исполняемом файле.

Другой пример кампании включал сжатый ZIP-файл с тремя файлами, один из которых был идентифицирован как двоичный файл вредоносной программы WarzoneRAT. Вредоносная программа использовала стороннюю загрузку DLL для постоянной загрузки в системную память, устанавливая соединения с доменами C&C для удаленного управления и вредоносных действий.

Злоумышленники часто используют тематические спам-вложения в электронных письмах, чтобы обманом заставить пользователей открывать вредоносный контент, как это наблюдалось в этой кампании, использующей электронные письма налоговой тематики для распространения WarzoneRAT. Используя отражающую загрузку, стороннюю загрузку библиотек DLL и другие сложные методы, участники угроз стремятся повысить сложность своих атак и обойти механизмы обнаружения, создавая проблемы для защитников в обнаружении, предотвращении и реагировании на такие киберугрозы.

#ParsedReport #CompletenessMedium
28-03-2024

Phobos Ransomware

https://explore.avertium.com/resource/phobos-ransomware

Report completeness: Medium

Threats:
Phobos
Smokeloader
Cobalt_strike
Bloodhound_tool
Dharma
Backmydata
Devos
Elking
8base
Snatch_ransomware

Victims:
County governments, Emergency services, Educational institutions, Government agencies, Healthcare facilities, Critical infrastructure organizations

Industry:
Healthcare, Financial, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1562.001, T1489, T1027, T1041, T1485, T1563.002, T1071.001, T1566.001, T1110.001, have more...

IOCs:
File: 7
Hash: 37
Domain: 3
IP: 4

Soft:
Windows shell, outlook, WinSCP

Algorithms:
aes, sha256, md5, sha1, cbc

Win Services:
sqlservr

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о программе-вымогателе Phobos, сложной угрозе, которая с 2019 года нацелена на критически важные сектора инфраструктуры. Он работает по модели "программа-вымогатель как услуга", сотрудничая с различными инструментами для шифрования данных, требуя крупных выкупов и демонстрируя высокий уровень изощренности своей тактики. В тексте освещается влияние Phobos на различные секторы, его эволюция, процесс шифрования, тактика проникновения, модульная архитектура и стратегии смягчения последствий для организаций, позволяющие эффективно защищаться от подобных атак программ-вымогателей.
-----

Программа-вымогатель Phobos нацелена на критически важные секторы инфраструктуры с 2019 года, требуя миллионных выплат выкупа и действуя по модели "программа-вымогатель как услуга".

Phobos сотрудничает с инструментами с открытым исходным кодом, такими как SmokeLoader, Cobalt Strike и Bloodhound, что делает его популярным благодаря простоте использования и эффективности для участников угроз.

В недавних рекомендациях подчеркивается влияние субъектов, представляющих угрозу Фобоса, на правительства округов, службы экстренной помощи и образовательные учреждения.

Phobos шифрует файлы в зараженных системах, используя различные тактики проникновения, включая скомпрометированные подключения к удаленному рабочему столу (RDP), фишинговые электронные письма и атаки методом перебора.

Phobos использует стандартизированный трехэтапный процесс, используя Smokeloader для скрытого развертывания дополнительных вредоносных программ и применяя сложные методы шифрования.

Варианты Phobos, такие как Backmydata, Devos и другие, нацелены на различные секторы по всему миру, демонстрируя изощренность с помощью социальной инженерии и использования уязвимостей.

Участники Phobos извлекают файлы с помощью таких инструментов, как WinSCP и Mega.io, определяют приоритетность определенных типов данных для кражи и удаляют резервные копии, чтобы предотвратить восстановление, прежде чем шифровать подключенные диски.

Снижение угрозы, исходящей от Phobos и аналогичных программ-вымогателей, требует от организаций внедрения надежных мер кибербезопасности, включая методы безопасного удаленного доступа, резервное копирование данных и обучение сотрудников, а также сетевую архитектуру с нулевым доверием и решения SIEM для раннего обнаружения угроз.

#ParsedReport #CompletenessLow
28-03-2024

Solana Drainer s Source Code Saga: Tracing Its Lineage to the Developers of MS Drainer

https://cyble.com/blog/solana-drainers-source-code-saga-tracing-its-lineage-to-the-developers-of-ms-drainer

Report completeness: Low

Victims:
Cryptocurrency users, 63,000 individuals, 63,210 victims

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1566.001, T1204.002, T1027, T1583.002, T1589.002, T1598.002, T1114.001

IOCs:
File: 18
Url: 4
Hash: 2

Soft:
Telegram, ChatGPT, Ubuntu

Wallets:
metamask, trezor, solflare_wallet, solflare

Crypto:
solana, ethereum

Algorithms:
zip, sha256

Functions:
sendMessageToChat

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в значительной угрозе кибербезопасности, создаваемой распространением крипто-сливщиков и эксплуатацией пользователей криптовалют субъектами угроз с помощью изощренной тактики социальной инженерии. В тексте обсуждается расследование утечки исходного кода, эволюция крипто-сливщиков, нацеленных на различные кошельки и платформы, тактика, используемая злоумышленниками для обмана жертв, эксплуатация таких платформ, как Google Ads и Twitter, и последствия распространения исходного кода вредоносного ПО в дикой природе. В нем подчеркиваются текущие проблемы, с которыми сталкиваются специалисты по кибербезопасности и правоохранительные органы в борьбе с этими растущими угрозами в сфере киберпреступности.
-----

Криптодрейнеры представляют значительную угрозу кибербезопасности, нацеливаясь на пользователей криптовалют с помощью тактики социальной инженерии.

Исходный код Solana Drainer, найденный на форумах по киберпреступности, содержит подробные инструкции по удалению криптоактивов жертв.

Злоумышленники используют поддельные веб-сайты, электронные письма и документы, чтобы обманом заставить пользователей предоставить доступ к их кошелькам.

Злоумышленники используют такие платформы, как Google Ads и X, для распространения средств для опустошения кошельков, компрометируя известные аккаунты для использования в поддельных схемах раздачи подарков.

Публикация исходного кода вредоносного ПО позволяет разрабатывать новые варианты, что приводит к увеличению числа "сливателей".

Подробные файлы конфигурации для Solana Drainer позволяют злоумышленникам настраивать поведение, настраивать фишинговые страницы и взаимодействовать с блокчейном.

Усилия по обеспечению кибербезопасности осложняются меняющейся тактикой участников угроз, влияющей на доверие к криптовалютным платформам.

#ParsedReport #CompletenessMedium
28-03-2024

Android Malware Vultur Expands Its Wingspan. Executive summary

https://research.nccgroup.com/2024/03/28/android-malware-vultur-expands-its-wingspan

Report completeness: Medium

Threats:
Vultur
Alphavnc_tool
Brunhilda
Vulture

Industry:
Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1475, T1571, T1547, T1444, T1555, T1027, T1111, T1125, T1518, T1020, have more...

IOCs:
File: 18
Hash: 26
Domain: 15

Soft:
Android, Google Chrome

Algorithms:
zip, aes, base64

Functions:
onClick, onAccessibilityEvent, onServiceConnected

Languages:
kotlin, java

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, table: 1