#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #CompletenessMedium
27-03-2024

Agenda Ransomware Propagates to vCenters and ESXi via Custom PowerShell Script. Execution

https://www.trendmicro.com/en_us/research/24/c/agenda-ransomware-propagates-to-vcenters-and-esxi-via-custom-pow.html

Report completeness: Medium

Threats:
Qilin_ransomware
Cobalt_strike
Byovd_technique
Akira_ransomware
Avoslocker
Kasseika
Terminator_tool

Industry:
Financial

Geo:
Thailand, Argentina, Australia

TTPs:
Tactics: 4
Technics: 6

IOCs:
Command: 4
File: 1

Soft:
ESXi, PsExec

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 23, chart: 2, schema: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание последних разработок в группе программ-вымогателей Agenda, включая ее новый вариант Rust, методы распространения, тактику защитного уклонения и потенциальное воздействие на жертв в различных отраслях и регионах. В нем подчеркивается необходимость принятия упреждающих мер кибербезопасности для противодействия продвинутым программам-вымогателям, таким как Agenda.
-----

В записи блога подробно рассказывается о том, как группа вымогателей Agenda, также известная как Qilin и отслеживаемая Trend Micro как Water Galura, была активна и постоянно развивалась с момента своего обнаружения в 2022 году. Группа нацелена на различные отрасли, такие как финансы и юриспруденция, по всему миру, причем такие страны, как США, Аргентина, Австралия и Таиланд, входят в число ее главных целей. Последние данные анализа угроз свидетельствуют об увеличении числа обнаружений программ-вымогателей Agenda, начиная с декабря 2023 года, что указывает на повышенную активность или более широкое преследование со стороны операторов группы.

Одним из выделенных примечательных аспектов является внедрение последней версии Rust программы-вымогателя Agenda. В этой новой версии используются инструменты удаленного мониторинга и управления (RMM), а также такие инструменты, как Cobalt Strike, для развертывания двоичных файлов программы-вымогателя. Программа-вымогатель способна распространяться через PsExec, SecureShell и использовать уязвимые системные драйверы для обхода защиты.

Важной особенностью последней версии является использование нескольких аргументов командной строки, при этом команда "--spread-vcenter" позволяет программе-вымогателю распространяться по серверам VMware vCenter и ESXi. Встраивая пользовательский сценарий PowerShell в двоичный файл, программа-вымогатель может воздействовать на виртуальные машины и всю виртуальную инфраструктуру, потенциально приводя к потере данных, финансовым последствиям и сбоям в обслуживании.

Программа-вымогатель Agenda требует, чтобы жертвы вводили свои учетные данные на целевом хосте vCenter или ESXi, позволяя злоумышленникам выполнять свои вредоносные действия. Выполнение программы-вымогателя без файлов через поток памяти в процессах PowerShell повышает скрытность и стойкость. Кроме того, Agenda теперь изменяет пароль root для всех хостов ESXi, препятствуя доступу жертвы даже после шифрования.

Программа-вымогатель также вводит команду "--spread" для распространения, отбрасывая PsExec по определенным путям. Теперь он может печатать уведомления о выкупе на подключенных принтерах, копируя уведомление о выкупе во временный каталог и выполняя команды PowerShell для получения списка имен принтеров и информации о драйверах, что позволяет более эффективно взаимодействовать с пользователем в процессе получения выкупа.

Другой важной возможностью последнего варианта Agenda является его способность завершать работу VMclusters, воздействуя на группы виртуальных машин/хостов ESXi, настроенных для совместного использования ресурсов. Чтобы обойти системы безопасности, Agenda использует метод Bring Your Own Vulnerable Driver (BYOVD), используя различные уязвимые драйверы, такие как YDark и Spyboy Terminator, для отключения средств безопасности и уклонения от обнаружения. Такой адаптивный подход подчеркивает сложность защиты от кибербезопасности в борьбе с эволюционирующими угрозами со стороны программ-вымогателей.

Таким образом, последние разработки в варианте программы-вымогателя Agenda демонстрируют ее сложное распространение, выполнение без файлов, методы развертывания и тактику защитного уклонения, направленную на максимизацию воздействия, затруднение обнаружения и вымогательство у жертв в различных отраслях промышленности и географических регионах. Эти выводы подчеркивают важность упреждающих мер кибербезопасности для снижения рисков, создаваемых продвинутыми программами-вымогателями, такими как Agenda.

#ParsedReport #CompletenessHigh
28-03-2024

WarzoneRAT Returns with Multi-Stage Attack Post FBI Seizure

https://cyble.com/blog/warzonerat-returns-with-multi-stage-attack-post-fbi-seizure

Report completeness: High

Threats:
Warzone_rat
Avemaria_rat
Dll_sideloading_technique
Taskkill
Amsi_bypass_technique
Spear-phishing_technique
Process_injection_technique

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 23
Url: 4
Command: 1
Path: 1
Registry: 1
Domain: 1
Hash: 9

Soft:
Microsoft Edge, NET Framework, Windows Defender, Windows Firewall

Algorithms:
zip, sha256, sha1, md5

Functions:
ExecuteRandomEquations, CheckUsername, Execute, Invoke

Win API:
CreateProcess, VirtualAllocEx, ResumeThread, WriteProcessMemory, AmsiScanBuffer

Win Services:
ekrn, AvastSvc

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии ФБР схемы вредоносного ПО WarzoneRAT, выявлении кампании вредоносного ПО Cyble Research и Intelligence Labs с использованием WarzoneRAT, функциональных возможностях RAT, ее эволюции, тактике, используемой в кампании вредоносного ПО, и вызовах, создаваемых участниками угроз, использующими сложные методы для распространения и запуска вредоносных программ.
-----

В феврале ФБР провело операцию по ликвидации вредоносной схемы WarzoneRAT, что привело к захвату ее инфраструктуры и аресту двух лиц, связанных с операцией по борьбе с киберпреступностью. После этого Cyble Research and Intelligence Labs (CRIL) выявила образцы вредоносной кампании, распространяемой через спам-письма на налоговую тематику, развернув WarzoneRAT (также известный как Avemaria) в качестве конечной полезной нагрузки в двух различных сценариях.

В первом случае вложение электронной почты содержало сжатый файл с файлом LNK, который запускал серию действий, приводящих к выполнению WarzoneRAT. Это включало загрузку HTA-файла, запуск команд PowerShell для дальнейшей загрузки и, в конечном итоге, ввод конечной полезной нагрузки в RegSvcs.exe с использованием метода отражающей загрузки. Во втором сценарии вложение включало исполняемый файл, который использовал стороннюю загрузку библиотеки DLL для загрузки вредоносного модуля WarzoneRAT DLL при выполнении, устанавливая соединение с сервером управления (C&C).

AveMaria, характеризуемая как вредоносная программа для удаленного администрирования (RAT), предоставляет возможности удаленного управления для выполнения вредоносных действий при получении команд с сервера C&C. RAT впервые появилась в ходе фишинговой кампании 2018 года и была пресечена ФБР в феврале. Впоследствии ThreatMon анонсировал новые функции для WarZoneRAT v3, направленные на повышение эффективности вредоносного ПО.

Кампания вредоносных программ, раскрытая CRIL, использовала различные тактики обмана, включая маскировку файла быстрого доступа под изображение в спам-письме на налоговую тематику, чтобы запустить цепочку заражения. После запуска вредоносная программа выполнила несколько шагов для загрузки и выполнения конечной полезной нагрузки WarzoneRAT, используя методы обфускации для обхода мер безопасности и внедрения вредоносного кода в законные процессы.

WarzoneRAT, или Avemaria, - это троян удаленного доступа, предназначенный для обеспечения несанкционированного доступа к системам жертв и контроля над ними. Avemaria, способный выполнять такие действия, как утечка данных, повышение привилегий, кейлоггинг и многое другое, представляет серьезную угрозу для скомпрометированных систем. Анализ, проведенный Splunk, дает более глубокое представление о функциональных возможностях RAT и выявляет жестко закодированные строки в его двоичном исполняемом файле.

Другой пример кампании включал сжатый ZIP-файл с тремя файлами, один из которых был идентифицирован как двоичный файл вредоносной программы WarzoneRAT. Вредоносная программа использовала стороннюю загрузку DLL для постоянной загрузки в системную память, устанавливая соединения с доменами C&C для удаленного управления и вредоносных действий.

Злоумышленники часто используют тематические спам-вложения в электронных письмах, чтобы обманом заставить пользователей открывать вредоносный контент, как это наблюдалось в этой кампании, использующей электронные письма налоговой тематики для распространения WarzoneRAT. Используя отражающую загрузку, стороннюю загрузку библиотек DLL и другие сложные методы, участники угроз стремятся повысить сложность своих атак и обойти механизмы обнаружения, создавая проблемы для защитников в обнаружении, предотвращении и реагировании на такие киберугрозы.

#ParsedReport #CompletenessMedium
28-03-2024

Phobos Ransomware

https://explore.avertium.com/resource/phobos-ransomware

Report completeness: Medium

Threats:
Phobos
Smokeloader
Cobalt_strike
Bloodhound_tool
Dharma
Backmydata
Devos
Elking
8base
Snatch_ransomware

Victims:
County governments, Emergency services, Educational institutions, Government agencies, Healthcare facilities, Critical infrastructure organizations

Industry:
Healthcare, Financial, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1562.001, T1489, T1027, T1041, T1485, T1563.002, T1071.001, T1566.001, T1110.001, have more...

IOCs:
File: 7
Hash: 37
Domain: 3
IP: 4

Soft:
Windows shell, outlook, WinSCP

Algorithms:
aes, sha256, md5, sha1, cbc

Win Services:
sqlservr

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о программе-вымогателе Phobos, сложной угрозе, которая с 2019 года нацелена на критически важные сектора инфраструктуры. Он работает по модели "программа-вымогатель как услуга", сотрудничая с различными инструментами для шифрования данных, требуя крупных выкупов и демонстрируя высокий уровень изощренности своей тактики. В тексте освещается влияние Phobos на различные секторы, его эволюция, процесс шифрования, тактика проникновения, модульная архитектура и стратегии смягчения последствий для организаций, позволяющие эффективно защищаться от подобных атак программ-вымогателей.
-----

Программа-вымогатель Phobos нацелена на критически важные секторы инфраструктуры с 2019 года, требуя миллионных выплат выкупа и действуя по модели "программа-вымогатель как услуга".

Phobos сотрудничает с инструментами с открытым исходным кодом, такими как SmokeLoader, Cobalt Strike и Bloodhound, что делает его популярным благодаря простоте использования и эффективности для участников угроз.

В недавних рекомендациях подчеркивается влияние субъектов, представляющих угрозу Фобоса, на правительства округов, службы экстренной помощи и образовательные учреждения.

Phobos шифрует файлы в зараженных системах, используя различные тактики проникновения, включая скомпрометированные подключения к удаленному рабочему столу (RDP), фишинговые электронные письма и атаки методом перебора.

Phobos использует стандартизированный трехэтапный процесс, используя Smokeloader для скрытого развертывания дополнительных вредоносных программ и применяя сложные методы шифрования.

Варианты Phobos, такие как Backmydata, Devos и другие, нацелены на различные секторы по всему миру, демонстрируя изощренность с помощью социальной инженерии и использования уязвимостей.

Участники Phobos извлекают файлы с помощью таких инструментов, как WinSCP и Mega.io, определяют приоритетность определенных типов данных для кражи и удаляют резервные копии, чтобы предотвратить восстановление, прежде чем шифровать подключенные диски.

Снижение угрозы, исходящей от Phobos и аналогичных программ-вымогателей, требует от организаций внедрения надежных мер кибербезопасности, включая методы безопасного удаленного доступа, резервное копирование данных и обучение сотрудников, а также сетевую архитектуру с нулевым доверием и решения SIEM для раннего обнаружения угроз.

#ParsedReport #CompletenessLow
28-03-2024

Solana Drainer s Source Code Saga: Tracing Its Lineage to the Developers of MS Drainer

https://cyble.com/blog/solana-drainers-source-code-saga-tracing-its-lineage-to-the-developers-of-ms-drainer

Report completeness: Low

Victims:
Cryptocurrency users, 63,000 individuals, 63,210 victims

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1566.001, T1204.002, T1027, T1583.002, T1589.002, T1598.002, T1114.001

IOCs:
File: 18
Url: 4
Hash: 2

Soft:
Telegram, ChatGPT, Ubuntu

Wallets:
metamask, trezor, solflare_wallet, solflare

Crypto:
solana, ethereum

Algorithms:
zip, sha256

Functions:
sendMessageToChat

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в значительной угрозе кибербезопасности, создаваемой распространением крипто-сливщиков и эксплуатацией пользователей криптовалют субъектами угроз с помощью изощренной тактики социальной инженерии. В тексте обсуждается расследование утечки исходного кода, эволюция крипто-сливщиков, нацеленных на различные кошельки и платформы, тактика, используемая злоумышленниками для обмана жертв, эксплуатация таких платформ, как Google Ads и Twitter, и последствия распространения исходного кода вредоносного ПО в дикой природе. В нем подчеркиваются текущие проблемы, с которыми сталкиваются специалисты по кибербезопасности и правоохранительные органы в борьбе с этими растущими угрозами в сфере киберпреступности.
-----

Криптодрейнеры представляют значительную угрозу кибербезопасности, нацеливаясь на пользователей криптовалют с помощью тактики социальной инженерии.

Исходный код Solana Drainer, найденный на форумах по киберпреступности, содержит подробные инструкции по удалению криптоактивов жертв.

Злоумышленники используют поддельные веб-сайты, электронные письма и документы, чтобы обманом заставить пользователей предоставить доступ к их кошелькам.

Злоумышленники используют такие платформы, как Google Ads и X, для распространения средств для опустошения кошельков, компрометируя известные аккаунты для использования в поддельных схемах раздачи подарков.

Публикация исходного кода вредоносного ПО позволяет разрабатывать новые варианты, что приводит к увеличению числа "сливателей".

Подробные файлы конфигурации для Solana Drainer позволяют злоумышленникам настраивать поведение, настраивать фишинговые страницы и взаимодействовать с блокчейном.

Усилия по обеспечению кибербезопасности осложняются меняющейся тактикой участников угроз, влияющей на доверие к криптовалютным платформам.

#ParsedReport #CompletenessMedium
28-03-2024

Android Malware Vultur Expands Its Wingspan. Executive summary

https://research.nccgroup.com/2024/03/28/android-malware-vultur-expands-its-wingspan

Report completeness: Medium

Threats:
Vultur
Alphavnc_tool
Brunhilda
Vulture

Industry:
Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1475, T1571, T1547, T1444, T1555, T1027, T1111, T1125, T1518, T1020, have more...

IOCs:
File: 18
Hash: 26
Domain: 15

Soft:
Android, Google Chrome

Algorithms:
zip, aes, base64

Functions:
onClick, onAccessibilityEvent, onServiceConnected

Languages:
kotlin, java

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Банковская вредоносная программа для Android Vultur претерпела значительные обновления для расширения своих возможностей, включая расширенные функции удаленного управления, шифрование сообщений, использование законных маскировок приложений, методы обфускации и возможности записи экрана. Разработанный теми же участниками угроз, что и платформа dropper-framework Brunhilda, Vultur нацелен на банковские приложения для кейлоггинга и удаленного управления. Его недавняя эволюция включает развертывание нескольких зашифрованных полезных нагрузок для достижения целей вредоносного ПО, внедрение новых методов C2 и команд обмена сообщениями Firebase Cloud. Vultur использует методы обфускации и машинный код для расшифровки, чтобы избежать обнаружения, что усложняет анализ. Участники угроз используют гибридные методы атаки, чтобы обманом заставить жертв установить вредоносное ПО, уделяя особое внимание максимальному удаленному контролю над зараженными устройствами.
-----

Банковская вредоносная программа для Android Vultur, первоначально обнаруженная в марте 2021 года, недавно претерпела значительные обновления, чтобы расширить свои возможности и избежать обнаружения. Последние функции, добавленные его авторами, включают расширенную функциональность удаленного управления, шифрование связи C2, использование законных маскировок приложений и дополнительные методы запутывания. Теперь Vultur позволяет оператору вредоносного ПО скачивать, выгружать, удалять, устанавливать и находить файлы на устройстве жертвы, управлять устройством с помощью служб специальных возможностей, отображать пользовательские уведомления, отключать Keyguard и предотвращать запуск приложений.

Одним из примечательных аспектов Vultur являются возможности записи экрана, что делает его одним из первых семейств банковских вредоносных программ для Android, включающих такую функциональность. Вредоносное ПО нацелено на банковские приложения для кейлоггинга и удаленного управления. Изначально Vultur распространялся через dropper-фреймворк, известный как Brunhilda, ответственный за размещение вредоносных приложений в Google Play Store. Связь между Brunhilda и Vultur предполагает, что они разработаны одними и теми же участниками угроз.

Недавняя эволюция Vultur предполагает развертывание нескольких зашифрованных полезных нагрузок, при этом конечные полезные нагрузки работают в тандеме для достижения целей вредоносного ПО. В последней версии Vultur представлены новые методы C2 и команды обмена облачными сообщениями Firebase, расширяющие функциональность удаленного доступа с помощью специальных служб. Вредоносная программа теперь может выдавать команды для различных действий, таких как щелчки, прокрутки, свайпы и регулировка громкости, предоставляя злоумышленникам повышенный контроль над скомпрометированными устройствами.

Чтобы избежать обнаружения, Vultur использует методы обфускации и уклонения от обнаружения, включая шифрование сообщений с помощью шифрования AES и кодирования Base64. Использование вредоносным ПО собственного кода для расшифровки полезной нагрузки добавляет дополнительный уровень сложности, делая анализ и реверс-инжиниринг более сложными. Фрагментация вредоносного ПО на несколько полезных нагрузок усложняет процесс анализа и указывает на продолжающиеся усилия по разработке, направленные на дальнейшее расширение его возможностей.

Более того, злоумышленники, стоящие за Vultur, применили новые методы обмана жертв для установки вредоносного ПО, такие как использование гибридной атаки с использованием SMS-сообщений, телефонных звонков и троянских приложений. Такая тактика создает ощущение срочности и использует социальную инженерию, чтобы обманом заставить пользователей установить вредоносное программное обеспечение. Последние версии Vultur демонстрируют сдвиг в сторону максимального удаленного контроля над зараженными устройствами с акцентом на повышение гибкости и функциональности для операторов вредоносных программ.