CTT Report Hub
#ParsedReport #CompletenessMedium 18-04-2024 DuneQuixote campaign targets Middle Eastern entities with "CR4T" malware https://securelist.com/dunequixote/112425 Report completeness: Medium Threats: Dunequixote Victims: Government entities Industry: Government…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изощренной вредоносной кампании под названием "DuneQuixote", нацеленной на правительственные учреждения на Ближнем Востоке. Кампания включает в себя дропперы, связанные с бэкдором под названием "CR4T", использующие эффективные методы обхода как в сетевых коммуникациях, так и в коде вредоносного ПО, чтобы избежать обнаружения и анализа. Вредоносная программа разработана на C/C++ и включает в себя сегменты ассемблера с ложными вызовами API и динамическим разрешением функций Windows API. Имплантат CR4T предоставляет злоумышленникам доступ к компьютерам жертв из командной строки, использует уникальные методы дешифрования и демонстрирует адаптивность как к версиям C/C++, так и к Golang. Кампания демонстрирует использование замаскированных капельниц, имплантатов, работающих только с памятью, и методов уклонения, нацеленных на организации на Ближнем Востоке.
-----
Кампания вредоносного ПО под названием "DuneQuixote" нацелена на правительственные учреждения на Ближнем Востоке.
Обнаружено более 30 образцов капельниц, включая обычные капельницы и подделанные установочные файлы для "Total Commander".
Капельницы содержат код для загрузки бэкдора под названием "CR4T"; предполагается наличие других имплантатов CR4T.
Эффективные методы обхода сетевых коммуникаций и вредоносного кода для предотвращения обнаружения и анализа.
Вредоносная программа, разработанная на C/C++ с сегментами на ассемблере; использует фрагменты испанских стихотворений для ложных вызовов API.
Dropper расшифровывает адрес C2, используя уникальный метод, включающий имя файла, конкатенацию строк и хеширование MD5.
Имплантат CR4T предоставляет доступ из командной строки к компьютерам жертвы, устанавливает связь с C2.
Версия CR4T на Golang использует библиотеку Go-ole для сохранения данных через планировщик задач и Telegram API.
Жертвы были обнаружены на Ближнем Востоке с февраля 2023 года, а распространение вредоносных программ началось в декабре 2023 года.
Кампания "Дюнек-Кихот" демонстрирует изощренные методы уклонения и использование замаскированных капельниц.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изощренной вредоносной кампании под названием "DuneQuixote", нацеленной на правительственные учреждения на Ближнем Востоке. Кампания включает в себя дропперы, связанные с бэкдором под названием "CR4T", использующие эффективные методы обхода как в сетевых коммуникациях, так и в коде вредоносного ПО, чтобы избежать обнаружения и анализа. Вредоносная программа разработана на C/C++ и включает в себя сегменты ассемблера с ложными вызовами API и динамическим разрешением функций Windows API. Имплантат CR4T предоставляет злоумышленникам доступ к компьютерам жертв из командной строки, использует уникальные методы дешифрования и демонстрирует адаптивность как к версиям C/C++, так и к Golang. Кампания демонстрирует использование замаскированных капельниц, имплантатов, работающих только с памятью, и методов уклонения, нацеленных на организации на Ближнем Востоке.
-----
Кампания вредоносного ПО под названием "DuneQuixote" нацелена на правительственные учреждения на Ближнем Востоке.
Обнаружено более 30 образцов капельниц, включая обычные капельницы и подделанные установочные файлы для "Total Commander".
Капельницы содержат код для загрузки бэкдора под названием "CR4T"; предполагается наличие других имплантатов CR4T.
Эффективные методы обхода сетевых коммуникаций и вредоносного кода для предотвращения обнаружения и анализа.
Вредоносная программа, разработанная на C/C++ с сегментами на ассемблере; использует фрагменты испанских стихотворений для ложных вызовов API.
Dropper расшифровывает адрес C2, используя уникальный метод, включающий имя файла, конкатенацию строк и хеширование MD5.
Имплантат CR4T предоставляет доступ из командной строки к компьютерам жертвы, устанавливает связь с C2.
Версия CR4T на Golang использует библиотеку Go-ole для сохранения данных через планировщик задач и Telegram API.
Жертвы были обнаружены на Ближнем Востоке с февраля 2023 года, а распространение вредоносных программ началось в декабре 2023 года.
Кампания "Дюнек-Кихот" демонстрирует изощренные методы уклонения и использование замаскированных капельниц.
#ParsedReport #CompletenessHigh
18-04-2024
#StopRansomware: Akira Ransomware
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a
Report completeness: High
Threats:
Akira_ransomware
Phobos
Megazord
Spear-phishing_technique
Kerberoasting_technique
Mimikatz_tool
Lazagne_tool
Powertool_tool
Zemana
Anydesk_tool
Mobaxterm_tool
Rustdesk_tool
Shadow_copies_delete_technique
Adfind_tool
Radmin_tool
Pchunter64_tool
Nltest_tool
Minidump_tool
Credential_dumping_technique
Byovd_technique
Victims:
Businesses, Critical infrastructure entities
Industry:
Financial
Geo:
Australia, Netherlands, America
CVEs:
CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.5.0.5, <6.4.0.9, <6.3.0.6, <6.2.3.16)
- cisco adaptive security appliance software (<9.9.2.67, <9.8.4.20, <9.13.1.10, <9.10.1.40, <9.12.3.9)
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.10.1, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)
TTPs:
Tactics: 8
Technics: 25
IOCs:
File: 15
Hash: 26
Path: 1
Command: 2
Soft:
ESXi, Local Security Authority, WinSCP, Active Directory, macOS, OpenSSH
Crypto:
bitcoin
Algorithms:
chacha20, md5, sha256
Languages:
powershell, rust
Platforms:
cross-platform
Links:
18-04-2024
#StopRansomware: Akira Ransomware
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a
Report completeness: High
Threats:
Akira_ransomware
Phobos
Megazord
Spear-phishing_technique
Kerberoasting_technique
Mimikatz_tool
Lazagne_tool
Powertool_tool
Zemana
Anydesk_tool
Mobaxterm_tool
Rustdesk_tool
Shadow_copies_delete_technique
Adfind_tool
Radmin_tool
Pchunter64_tool
Nltest_tool
Minidump_tool
Credential_dumping_technique
Byovd_technique
Victims:
Businesses, Critical infrastructure entities
Industry:
Financial
Geo:
Australia, Netherlands, America
CVEs:
CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.5.0.5, <6.4.0.9, <6.3.0.6, <6.2.3.16)
- cisco adaptive security appliance software (<9.9.2.67, <9.8.4.20, <9.13.1.10, <9.10.1.40, <9.12.3.9)
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.10.1, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)
TTPs:
Tactics: 8
Technics: 25
IOCs:
File: 15
Hash: 26
Path: 1
Command: 2
Soft:
ESXi, Local Security Authority, WinSCP, Active Directory, macOS, OpenSSH
Crypto:
bitcoin
Algorithms:
chacha20, md5, sha256
Languages:
powershell, rust
Platforms:
cross-platform
Links:
https://github.com/cisagov/Decider/https://github.com/cisagov/cset/releases/tag/v10.3.0.0Vulners Database
CVE-2020-3259 - vulnerability database | Vulners.com
A vulnerability in the web services interface of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to retrieve memory contents on an affected device, wh...
👍1
CTT Report Hub
#ParsedReport #CompletenessHigh 18-04-2024 #StopRansomware: Akira Ransomware https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a Report completeness: High Threats: Akira_ransomware Phobos Megazord Spear-phishing_technique Kerberoasting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в совместном рекомендательном документе по кибербезопасности (CSA), в котором основное внимание уделяется участникам угроз, связанных с программой-вымогателем Akira, с подробным описанием их тактики, методов и процедур (TTP), а также показателей компрометации (IOCs). В нем рассказывается о влиянии программы-вымогателя Akira на организации в Северной Америке, Европе и Австралии, об используемых вариантах программы-вымогателя, используемых схемах шифрования и методах, используемых злоумышленниками для оказания давления на жертв с целью получения выкупа. В CSA также содержатся рекомендации для организаций по снижению риска инцидентов с программами-вымогателями, в которых подчеркивается важность устранения известных уязвимостей, внедрения многофакторной аутентификации и регулярного проведения оценки уязвимостей. Кроме того, в нем пропагандируются усилия и ресурсы #StopRansomware, которые помогут организациям бороться с угрозами программ-вымогателей.
-----
Объединенный консультативный совет по кибербезопасности (CSA) сосредоточен на действиях злоумышленников Akira, которые повлияли на организации в Северной Америке, Европе и Австралии, и, по сообщениям, по состоянию на январь 2024 года выручка от программ-вымогателей составила 42 миллиона долларов.
Злоумышленники Akira используют уязвимости, в частности, нацеливаясь на VPN-сервисы без многофакторной аутентификации, получая первоначальный доступ с помощью таких методов, как использование уязвимостей Cisco, протокола удаленного рабочего стола, скрытого фишинга и злоупотребления действительными учетными данными.
Злоумышленники используют два варианта программ-вымогателей - "Megazord" и шифровальщик ESXi под названием "Akira_v2". Они угрожают опубликовать отфильтрованные данные в сети Tor, если требования о выкупе не будут выполнены, и требуют выплаты в биткоинах.
Рекомендации CSA включают приоритетное устранение известных уязвимостей, внедрение многофакторной аутентификации, регулярное внесение исправлений и оценку уязвимостей.
Злоумышленники Akira используют сложные схемы шифрования, нацеливаются на контроллеры домена, создают новые учетные записи домена и используют методы последующей эксплуатации, такие как Kerberoasting и инструменты очистки учетных данных.
Организациям настоятельно рекомендуется незамедлительно сообщать об инцидентах с программами-вымогателями в ФБР или CISA, поскольку выплата выкупа не гарантирует восстановления файлов и может способствовать финансированию незаконной деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в совместном рекомендательном документе по кибербезопасности (CSA), в котором основное внимание уделяется участникам угроз, связанных с программой-вымогателем Akira, с подробным описанием их тактики, методов и процедур (TTP), а также показателей компрометации (IOCs). В нем рассказывается о влиянии программы-вымогателя Akira на организации в Северной Америке, Европе и Австралии, об используемых вариантах программы-вымогателя, используемых схемах шифрования и методах, используемых злоумышленниками для оказания давления на жертв с целью получения выкупа. В CSA также содержатся рекомендации для организаций по снижению риска инцидентов с программами-вымогателями, в которых подчеркивается важность устранения известных уязвимостей, внедрения многофакторной аутентификации и регулярного проведения оценки уязвимостей. Кроме того, в нем пропагандируются усилия и ресурсы #StopRansomware, которые помогут организациям бороться с угрозами программ-вымогателей.
-----
Объединенный консультативный совет по кибербезопасности (CSA) сосредоточен на действиях злоумышленников Akira, которые повлияли на организации в Северной Америке, Европе и Австралии, и, по сообщениям, по состоянию на январь 2024 года выручка от программ-вымогателей составила 42 миллиона долларов.
Злоумышленники Akira используют уязвимости, в частности, нацеливаясь на VPN-сервисы без многофакторной аутентификации, получая первоначальный доступ с помощью таких методов, как использование уязвимостей Cisco, протокола удаленного рабочего стола, скрытого фишинга и злоупотребления действительными учетными данными.
Злоумышленники используют два варианта программ-вымогателей - "Megazord" и шифровальщик ESXi под названием "Akira_v2". Они угрожают опубликовать отфильтрованные данные в сети Tor, если требования о выкупе не будут выполнены, и требуют выплаты в биткоинах.
Рекомендации CSA включают приоритетное устранение известных уязвимостей, внедрение многофакторной аутентификации, регулярное внесение исправлений и оценку уязвимостей.
Злоумышленники Akira используют сложные схемы шифрования, нацеливаются на контроллеры домена, создают новые учетные записи домена и используют методы последующей эксплуатации, такие как Kerberoasting и инструменты очистки учетных данных.
Организациям настоятельно рекомендуется незамедлительно сообщать об инцидентах с программами-вымогателями в ФБР или CISA, поскольку выплата выкупа не гарантирует восстановления файлов и может способствовать финансированию незаконной деятельности.
#ParsedReport #CompletenessLow
18-04-2024
Ghost Locker 2.0: The Evolving Threat of Ransomware-as-a-Service Unveiled by GhostSec
https://www.seqrite.com/blog/ghost-locker-2-0-the-evolving-threat-of-ransomware-as-a-service-unveiled-by-ghostsec
Report completeness: Low
Actors/Campaigns:
Ghostsec
Stormous
Threats:
Ghostlocker
Ransom.ghostlockr
Geo:
Africa, Egypt, China, Turkey, Brazil, India
TTPs:
Tactics: 5
Technics: 9
IOCs:
Url: 6
File: 2
Hash: 2
Algorithms:
aes
Win Services:
bits
Languages:
python, golang
18-04-2024
Ghost Locker 2.0: The Evolving Threat of Ransomware-as-a-Service Unveiled by GhostSec
https://www.seqrite.com/blog/ghost-locker-2-0-the-evolving-threat-of-ransomware-as-a-service-unveiled-by-ghostsec
Report completeness: Low
Actors/Campaigns:
Ghostsec
Stormous
Threats:
Ghostlocker
Ransom.ghostlockr
Geo:
Africa, Egypt, China, Turkey, Brazil, India
TTPs:
Tactics: 5
Technics: 9
IOCs:
Url: 6
File: 2
Hash: 2
Algorithms:
aes
Win Services:
bits
Languages:
python, golang
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Ghost Locker 2.0: The Evolving Threat of Ransomware-as-a-Service Unveiled by GhostSec
<p>Ghost Locker is a Ransomware-as-a-Service (Raas) created by GhostSec [hacktivist groups]. In October 2023, GhostSec launched the GhostLocker framework. After their successful collaborative operations with the Stormous ransomware group in July 2023, GhostLocker…
CTT Report Hub
#ParsedReport #CompletenessLow 18-04-2024 Ghost Locker 2.0: The Evolving Threat of Ransomware-as-a-Service Unveiled by GhostSec https://www.seqrite.com/blog/ghost-locker-2-0-the-evolving-threat-of-ransomware-as-a-service-unveiled-by-ghostsec Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Ghost Locker - это программа-вымогатель как услуга (RaaS), разработанная группой хактивистов GhostSec, с двумя наблюдаемыми вариантами (1.0 на Python, 2.0 на Golang), которая осуществляет эксфильтрацию и шифрование файлов жертв, требует выкуп за ключи дешифрования и использует передовые методы для эксфильтрации данных, файлообменников и шифровальщиков-шифровальщиц. шифрование и сохранение на зараженных компьютерах. Варианты отличаются по использованию сервера C2 и другим эксплуатационным аспектам.
-----
Ghost Locker - это программа-вымогатель как услуга (Raas), разработанная группой хактивистов GhostSec. Платформа GhostLocker была запущена в октябре 2023 года после успешной работы с группой Stormous ransomware в июле того же года. Операторы программ-вымогателей предоставляют своим филиалам различные возможности, затрагивая такие страны, как Бразилия, Индия, Китай, Южная Африка, Египет и Турция. В дикой природе были обнаружены два варианта программы-вымогателя Ghost Locker: версия 1.0 написана на Python, а версия 2.0 - на Golang.
Ghost Locker 2.0 осуществляет эксфильтрацию и шифрование файлов жертв, требуя выкуп за ключ дешифрования, необходимый для разблокировки файлов. Идентификатор генерируется с использованием случайной 32-байтовой строки в файле JSON программы-вымогателя, который используется злоумышленниками для идентификации зараженных компьютеров. Программа-вымогатель устанавливает соединение с сервером управления (C2) злоумышленника через определенный URL-адрес, чтобы обновить список компьютеров-жертв в панели управления Ghost Locker.
Программа-вымогатель генерирует секретный ключ, используя алгоритм симметричного шифрования Fernet, отправляет его злоумышленнику через файл JSON и использует для шифрования файлов. Такая информация, как IP-адрес жертвы, код шифрования, дата заражения, статус шифрования, сумма выкупа и строка идентификатора жертвы, собирается и сохраняется в файле JSON на компьютере жертвы. Затем этот файл отправляется на сервер C2 для регистрации компьютера жертвы в панели управления.
Используя алгоритм шифрования AES с длиной ключа 256 бит, Ghost Locker шифрует файлы в памяти, создает зашифрованную копию на диске с расширением ".ghost" и удаляет исходный файл. После шифрования на рабочий стол жертвы помещается вложенная записка с требованием выкупа в формате HTML с именем "Ransomnote.html", которая запускается с помощью команды Windows "Пуск".
Хотя версия 2 Ghost Locker в основном основана на Golang, как и версия 1, есть заметные отличия. Серверы C2 изменились: в варианте 1 используется один URL-адрес, а в варианте 2 - другой. С точки зрения выполнения, вариант 1 работает без подключения к серверу C2, в отличие от варианта 2. Сгенерированный файл JSON содержит разные имена пользователей для двух вариантов.
Программа-вымогатель использует методы самосохранения, копируя себя в папку автозагрузки Windows и создавая 32-байтовый идентификатор для файла JSON. Как только компьютер регистрируется в панели управления C2, программа-вымогатель пытается завершить указанные процессы или службы, перечисленные злоумышленником. Он определяет местоположение целевых файлов на основе предопределенных расширений и загружает их на сервер C2 перед шифрованием, удаляя файлы и шифруя их с определенными расширениями, такими как .doc и .xls.
Ghost Locker представляет собой переход от скриптов Python к языку Go, в котором основное внимание уделяется фильтрации данных и шифрованию файлов. Чтобы избежать обнаружения, он завершает определенные процессы или службы и реализует механизм самоудаления после завершения процесса шифрования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Ghost Locker - это программа-вымогатель как услуга (RaaS), разработанная группой хактивистов GhostSec, с двумя наблюдаемыми вариантами (1.0 на Python, 2.0 на Golang), которая осуществляет эксфильтрацию и шифрование файлов жертв, требует выкуп за ключи дешифрования и использует передовые методы для эксфильтрации данных, файлообменников и шифровальщиков-шифровальщиц. шифрование и сохранение на зараженных компьютерах. Варианты отличаются по использованию сервера C2 и другим эксплуатационным аспектам.
-----
Ghost Locker - это программа-вымогатель как услуга (Raas), разработанная группой хактивистов GhostSec. Платформа GhostLocker была запущена в октябре 2023 года после успешной работы с группой Stormous ransomware в июле того же года. Операторы программ-вымогателей предоставляют своим филиалам различные возможности, затрагивая такие страны, как Бразилия, Индия, Китай, Южная Африка, Египет и Турция. В дикой природе были обнаружены два варианта программы-вымогателя Ghost Locker: версия 1.0 написана на Python, а версия 2.0 - на Golang.
Ghost Locker 2.0 осуществляет эксфильтрацию и шифрование файлов жертв, требуя выкуп за ключ дешифрования, необходимый для разблокировки файлов. Идентификатор генерируется с использованием случайной 32-байтовой строки в файле JSON программы-вымогателя, который используется злоумышленниками для идентификации зараженных компьютеров. Программа-вымогатель устанавливает соединение с сервером управления (C2) злоумышленника через определенный URL-адрес, чтобы обновить список компьютеров-жертв в панели управления Ghost Locker.
Программа-вымогатель генерирует секретный ключ, используя алгоритм симметричного шифрования Fernet, отправляет его злоумышленнику через файл JSON и использует для шифрования файлов. Такая информация, как IP-адрес жертвы, код шифрования, дата заражения, статус шифрования, сумма выкупа и строка идентификатора жертвы, собирается и сохраняется в файле JSON на компьютере жертвы. Затем этот файл отправляется на сервер C2 для регистрации компьютера жертвы в панели управления.
Используя алгоритм шифрования AES с длиной ключа 256 бит, Ghost Locker шифрует файлы в памяти, создает зашифрованную копию на диске с расширением ".ghost" и удаляет исходный файл. После шифрования на рабочий стол жертвы помещается вложенная записка с требованием выкупа в формате HTML с именем "Ransomnote.html", которая запускается с помощью команды Windows "Пуск".
Хотя версия 2 Ghost Locker в основном основана на Golang, как и версия 1, есть заметные отличия. Серверы C2 изменились: в варианте 1 используется один URL-адрес, а в варианте 2 - другой. С точки зрения выполнения, вариант 1 работает без подключения к серверу C2, в отличие от варианта 2. Сгенерированный файл JSON содержит разные имена пользователей для двух вариантов.
Программа-вымогатель использует методы самосохранения, копируя себя в папку автозагрузки Windows и создавая 32-байтовый идентификатор для файла JSON. Как только компьютер регистрируется в панели управления C2, программа-вымогатель пытается завершить указанные процессы или службы, перечисленные злоумышленником. Он определяет местоположение целевых файлов на основе предопределенных расширений и загружает их на сервер C2 перед шифрованием, удаляя файлы и шифруя их с определенными расширениями, такими как .doc и .xls.
Ghost Locker представляет собой переход от скриптов Python к языку Go, в котором основное внимание уделяется фильтрации данных и шифрованию файлов. Чтобы избежать обнаружения, он завершает определенные процессы или службы и реализует механизм самоудаления после завершения процесса шифрования.
#ParsedReport #CompletenessMedium
18-04-2024
OpenMetadata Vulnerabilities Allow Attackers to Cryptomine in Kubernetes Environments
https://socradar.io/openmetadata-attackers-cryptomine-in-kubernetes
Report completeness: Medium
Threats:
Interactsh_tool
Netcat_tool
Victims:
Openmetadata, Kubernetes
Geo:
China
CVEs:
CVE-2024-28255 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28847 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28848 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28254 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28253 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1190, T1574, T1046, T1105, T1059, T1071, T1036, T1113, T1053, T0204, have more...
IOCs:
File: 1
Domain: 2
IP: 3
Hash: 3
Soft:
OpenMetadata
Algorithms:
sha256
18-04-2024
OpenMetadata Vulnerabilities Allow Attackers to Cryptomine in Kubernetes Environments
https://socradar.io/openmetadata-attackers-cryptomine-in-kubernetes
Report completeness: Medium
Threats:
Interactsh_tool
Netcat_tool
Victims:
Openmetadata, Kubernetes
Geo:
China
CVEs:
CVE-2024-28255 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28847 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28848 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28254 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-28253 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1574, T1046, T1105, T1059, T1071, T1036, T1113, T1053, T0204, have more...
IOCs:
File: 1
Domain: 2
IP: 3
Hash: 3
Soft:
OpenMetadata
Algorithms:
sha256
SOCRadar® Cyber Intelligence Inc.
OpenMetadata Vulnerabilities Allow Attackers to Cryptomine in Kubernetes Environments
Recent findings from a Microsoft security blog reveal that attackers exploit newly discovered critical vulnerabilities in the OpenMetadata platform...
CTT Report Hub
#ParsedReport #CompletenessMedium 18-04-2024 OpenMetadata Vulnerabilities Allow Attackers to Cryptomine in Kubernetes Environments https://socradar.io/openmetadata-attackers-cryptomine-in-kubernetes Report completeness: Medium Threats: Interactsh_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Исследователи Microsoft обнаружили критические уязвимости в платформе OpenMetadata, которые злоумышленники используют для нацеливания на рабочие нагрузки Kubernetes для операций криптомайнинга. Злоумышленники используют уязвимости, такие как ошибки проверки токенов JWT и недостаточная проверка авторизации, для взлома систем, подтверждения доступа, незаметного установления сетевых подключений, развертывания вредоносной полезной нагрузки для криптомайнинга и поддержания постоянства с помощью инструментов удаленного доступа и запланированных задач. Злоумышленники, отследившие путь до сервера в Китае, оставили сообщение, в котором указывали на мотивацию "купить автомобиль", стоящую за атаками.
-----
Исследователи кибербезопасности из Microsoft недавно обнаружили ряд критических уязвимостей в платформе OpenMetadata, которые злоумышленники используют для нацеливания на рабочие нагрузки Kubernetes для операций криптомайнинга. Эти уязвимости, идентифицированные как CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 и CVE-2024-28254, были обнаружены 15 марта 2024 года и затрагивали версии OpenMetadata, предшествующие версии 1.3.1. Особую обеспокоенность вызывают CVE-2024-28255. и CVE-2024-28253, с соответствующими оценками CVSS 9,8 и 9,4. CVE-2024-28255 возникает из-за слабых мест в проверке токенов JWT в JwtFilter, что позволяет злоумышленникам манипулировать параметрами пути, обходить аутентификацию и потенциально вводить произвольные выражения. С другой стороны, CVE-2024-28253 облегчает удаленное выполнение кода, используя недостаточные проверки авторизации в PolicyRepository.prepare, запускаемые конкретными запросами к /api/v1/policies, что приводит к вычислению выражения.
После взлома системы злоумышленники подтверждают свой доступ и оценивают контроль, подключаясь к общедоступному сервису. Отправляя запросы ping в домены, заканчивающиеся на oast.me и oast.pro , связанный с Interactsh – инструментом, предназначенным для выявления внешних взаимодействий, злоумышленники незаметно устанавливают сетевые подключения через общедоступные, отдельные домены OAST, чтобы проверить успешность использования и подключения, прежде чем вводить командно-вычислительную систему.контролируйте канал и развертывайте вредоносную полезную нагрузку. Как только доступ и подключение подтверждены, злоумышленники загружают с удаленного сервера вредоносное ПО для криптомайнинга для XMR-майнинга, которое запускается с расширенными разрешениями. Microsoft идентифицировала злоумышленника, используя сервер, расположенный в Китае, который нахально оставлял личные сообщения для жертв, мотивируя атаки намерением "купить автомобиль". Кроме того, Microsoft обнаружила дополнительные вредоносные программы, предназначенные как для операционных систем Linux, так и для Windows, размещенных на сервере злоумышленника. После развертывания вредоносного ПО злоумышленники устанавливают обратное командное соединение со своим удаленным сервером с помощью инструмента Netcat для удаленного доступа и обеспечивают постоянство, планируя задачи с помощью cronjobs для выполнения вредоносного кода через определенные промежутки времени.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Исследователи Microsoft обнаружили критические уязвимости в платформе OpenMetadata, которые злоумышленники используют для нацеливания на рабочие нагрузки Kubernetes для операций криптомайнинга. Злоумышленники используют уязвимости, такие как ошибки проверки токенов JWT и недостаточная проверка авторизации, для взлома систем, подтверждения доступа, незаметного установления сетевых подключений, развертывания вредоносной полезной нагрузки для криптомайнинга и поддержания постоянства с помощью инструментов удаленного доступа и запланированных задач. Злоумышленники, отследившие путь до сервера в Китае, оставили сообщение, в котором указывали на мотивацию "купить автомобиль", стоящую за атаками.
-----
Исследователи кибербезопасности из Microsoft недавно обнаружили ряд критических уязвимостей в платформе OpenMetadata, которые злоумышленники используют для нацеливания на рабочие нагрузки Kubernetes для операций криптомайнинга. Эти уязвимости, идентифицированные как CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 и CVE-2024-28254, были обнаружены 15 марта 2024 года и затрагивали версии OpenMetadata, предшествующие версии 1.3.1. Особую обеспокоенность вызывают CVE-2024-28255. и CVE-2024-28253, с соответствующими оценками CVSS 9,8 и 9,4. CVE-2024-28255 возникает из-за слабых мест в проверке токенов JWT в JwtFilter, что позволяет злоумышленникам манипулировать параметрами пути, обходить аутентификацию и потенциально вводить произвольные выражения. С другой стороны, CVE-2024-28253 облегчает удаленное выполнение кода, используя недостаточные проверки авторизации в PolicyRepository.prepare, запускаемые конкретными запросами к /api/v1/policies, что приводит к вычислению выражения.
После взлома системы злоумышленники подтверждают свой доступ и оценивают контроль, подключаясь к общедоступному сервису. Отправляя запросы ping в домены, заканчивающиеся на oast.me и oast.pro , связанный с Interactsh – инструментом, предназначенным для выявления внешних взаимодействий, злоумышленники незаметно устанавливают сетевые подключения через общедоступные, отдельные домены OAST, чтобы проверить успешность использования и подключения, прежде чем вводить командно-вычислительную систему.контролируйте канал и развертывайте вредоносную полезную нагрузку. Как только доступ и подключение подтверждены, злоумышленники загружают с удаленного сервера вредоносное ПО для криптомайнинга для XMR-майнинга, которое запускается с расширенными разрешениями. Microsoft идентифицировала злоумышленника, используя сервер, расположенный в Китае, который нахально оставлял личные сообщения для жертв, мотивируя атаки намерением "купить автомобиль". Кроме того, Microsoft обнаружила дополнительные вредоносные программы, предназначенные как для операционных систем Linux, так и для Windows, размещенных на сервере злоумышленника. После развертывания вредоносного ПО злоумышленники устанавливают обратное командное соединение со своим удаленным сервером с помощью инструмента Netcat для удаленного доступа и обеспечивают постоянство, планируя задачи с помощью cronjobs для выполнения вредоносного кода через определенные промежутки времени.
#ParsedReport #CompletenessMedium
18-04-2024
From BYOVD to a 0-day: Unveiling Advanced Exploits in Cyber Recruiting Scams
https://decoded.avast.io/luiginocamastra/from-byovd-to-a-0-day-unveiling-advanced-exploits-in-cyber-recruiting-scams
Report completeness: Medium
Actors/Campaigns:
Lazarus
Threats:
Byovd_technique
Fudmodule_rootkit
Kaolin_rat
Motw_bypass_technique
Vmprotect_tool
Rollfling
Rollsling
Rollmid
Steganography_technique
Geo:
Asian
CVEs:
CVE-2024-21338 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458, 10.0.17763.348, have more...)
- microsoft windows 10 21h2 (<10.0.19044.4046, 10.0.19044.2546, have more...)
- microsoft windows 10 22h2 (<10.0.19045.4046, 10.0.19045.3516, have more...)
- microsoft windows 11 21h2 (<10.0.22000.2777, 10.0.22000.1165, have more...)
- microsoft windows 11 22h2 (<10.0.22621.3155, 10.0.22621.755, have more...)
have more...
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1204, T1059, T1574, T1106, T1055, T1027, T1071, T1547, T1027, have more...
IOCs:
File: 7
Url: 2
Hash: 9
Registry: 1
Soft:
WhatsApp, curl
Algorithms:
exhibit, aes, xor, base64
Functions:
DllMain, GetImageFromUrl, GetHtmlFromUrl
Win API:
GetSystemFirmwareTable
18-04-2024
From BYOVD to a 0-day: Unveiling Advanced Exploits in Cyber Recruiting Scams
https://decoded.avast.io/luiginocamastra/from-byovd-to-a-0-day-unveiling-advanced-exploits-in-cyber-recruiting-scams
Report completeness: Medium
Actors/Campaigns:
Lazarus
Threats:
Byovd_technique
Fudmodule_rootkit
Kaolin_rat
Motw_bypass_technique
Vmprotect_tool
Rollfling
Rollsling
Rollmid
Steganography_technique
Geo:
Asian
CVEs:
CVE-2024-21338 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458, 10.0.17763.348, have more...)
- microsoft windows 10 21h2 (<10.0.19044.4046, 10.0.19044.2546, have more...)
- microsoft windows 10 22h2 (<10.0.19045.4046, 10.0.19045.3516, have more...)
- microsoft windows 11 21h2 (<10.0.22000.2777, 10.0.22000.1165, have more...)
- microsoft windows 11 22h2 (<10.0.22621.3155, 10.0.22621.755, have more...)
have more...
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1574, T1106, T1055, T1027, T1071, T1547, T1027, have more...
IOCs:
File: 7
Url: 2
Hash: 9
Registry: 1
Soft:
WhatsApp, curl
Algorithms:
exhibit, aes, xor, base64
Functions:
DllMain, GetImageFromUrl, GetHtmlFromUrl
Win API:
GetSystemFirmwareTable
CTT Report Hub
#ParsedReport #CompletenessMedium 18-04-2024 From BYOVD to a 0-day: Unveiling Advanced Exploits in Cyber Recruiting Scams https://decoded.avast.io/luiginocamastra/from-byovd-to-a-0-day-unveiling-advanced-exploits-in-cyber-recruiting-scams Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что летом 2023 года Avast обнаружила сложную кампанию кибератак, приписываемую группе Lazarus, направленную на людей в Азии с помощью поддельных предложений о работе. Злоумышленники использовали передовые методы, в том числе эксплойт нулевого дня в ядре администратора и новый троян удаленного доступа (Kaolin RAT), для осуществления цепочки атак. Анализ показывает сложность атаки, трудности при обнаружении из-за различных загрузчиков и методов связи, а также важность надежных мер кибербезопасности для защиты от подобных угроз.
-----
Недавно компания Avast обнаружила новую кампанию кибератак, целью которой летом 2023 года были конкретные лица в Азиатском регионе под видом поддельных предложений о работе. За этой кампанией, предположительно, стояла группа Lazarus, которая, судя по их изощренным методам, была нацелена на людей с техническим образованием. Расследование Avast выявило полную цепочку атак от первоначального заражения до развертывания руткита "FudModule 2.0" с использованием эксплойта нулевого дня в ядре администратора. В рамках этой цепочки атак Avast выявила ранее недокументированного троянца удаленного доступа (RAT) под названием Kaolin RAT, который обладал уникальными возможностями, такими как изменение временных меток файлов и загрузка двоичных библиотек DLL с сервера управления (C&C).
Атака началась с того, что злоумышленник отправил вредоносный ISO-файл, замаскированный под инструмент VNC, в рамках процесса получения поддельного предложения о работе. ISO-файл был разработан для автоматического подключения к системам Windows 10, что потенциально позволяло обходить меры безопасности с помощью обходной системы Mark-of-the-Web (MotW). После запуска ISO-файл загрузил законное приложение Windows под названием choice.exe, которое загрузило вредоносную версию.dll, чтобы избежать обнаружения. Версия.Затем dll использовала собственные функции Windows API через прямые системные вызовы для выполнения вредоносного кода.
Дальнейшее расследование показало, что вредоносная программа была заблокирована VMProtect и позволяла загружать шеллкод со взломанного законного веб-сайта, выполняющего функции C&C сервера. Avast столкнулась с трудностями при извлечении шеллкода из-за не отвечающих URL-адресов. В ходе анализа также был обнаружен новый загрузчик под названием RollFling, что впоследствии привело к обнаружению загрузчиков RollSling и RollMid, каждый из которых отвечает за разные этапы цепочки атак. Эти загрузчики работали в памяти, что усложняло обнаружение программным обеспечением безопасности.
Загрузчик RollMid, последний загрузчик в цепочке, сыграл решающую роль, установив связь с несколькими C&C серверами с использованием стеганографии для скрытия данных в изображениях. Передача данных была зашифрована с помощью AES, и загрузчик расшифровал двоичные файлы данных, полученные с серверов C&C для выполнения. Кульминацией атаки стало развертывание Kaolin RAT, который обеспечивал безопасную связь с сервером C&C, позволяя выполнять различные удаленные команды и манипулировать файлами.
Уровень технической оснащенности Lazarus group и стратегический подход к выявлению лиц с сфабрикованными предложениями о работе демонстрируют значительную угрозу в сфере кибербезопасности. Инвестиции группы в разработку сложных цепочек атак и адаптацию для обхода мер безопасности создают проблемы для правозащитников. Подробный анализ этой кампании, проведенный компанией Avast, проливает свет на методы, используемые злоумышленниками для компрометации уязвимых систем, и подчеркивает необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что летом 2023 года Avast обнаружила сложную кампанию кибератак, приписываемую группе Lazarus, направленную на людей в Азии с помощью поддельных предложений о работе. Злоумышленники использовали передовые методы, в том числе эксплойт нулевого дня в ядре администратора и новый троян удаленного доступа (Kaolin RAT), для осуществления цепочки атак. Анализ показывает сложность атаки, трудности при обнаружении из-за различных загрузчиков и методов связи, а также важность надежных мер кибербезопасности для защиты от подобных угроз.
-----
Недавно компания Avast обнаружила новую кампанию кибератак, целью которой летом 2023 года были конкретные лица в Азиатском регионе под видом поддельных предложений о работе. За этой кампанией, предположительно, стояла группа Lazarus, которая, судя по их изощренным методам, была нацелена на людей с техническим образованием. Расследование Avast выявило полную цепочку атак от первоначального заражения до развертывания руткита "FudModule 2.0" с использованием эксплойта нулевого дня в ядре администратора. В рамках этой цепочки атак Avast выявила ранее недокументированного троянца удаленного доступа (RAT) под названием Kaolin RAT, который обладал уникальными возможностями, такими как изменение временных меток файлов и загрузка двоичных библиотек DLL с сервера управления (C&C).
Атака началась с того, что злоумышленник отправил вредоносный ISO-файл, замаскированный под инструмент VNC, в рамках процесса получения поддельного предложения о работе. ISO-файл был разработан для автоматического подключения к системам Windows 10, что потенциально позволяло обходить меры безопасности с помощью обходной системы Mark-of-the-Web (MotW). После запуска ISO-файл загрузил законное приложение Windows под названием choice.exe, которое загрузило вредоносную версию.dll, чтобы избежать обнаружения. Версия.Затем dll использовала собственные функции Windows API через прямые системные вызовы для выполнения вредоносного кода.
Дальнейшее расследование показало, что вредоносная программа была заблокирована VMProtect и позволяла загружать шеллкод со взломанного законного веб-сайта, выполняющего функции C&C сервера. Avast столкнулась с трудностями при извлечении шеллкода из-за не отвечающих URL-адресов. В ходе анализа также был обнаружен новый загрузчик под названием RollFling, что впоследствии привело к обнаружению загрузчиков RollSling и RollMid, каждый из которых отвечает за разные этапы цепочки атак. Эти загрузчики работали в памяти, что усложняло обнаружение программным обеспечением безопасности.
Загрузчик RollMid, последний загрузчик в цепочке, сыграл решающую роль, установив связь с несколькими C&C серверами с использованием стеганографии для скрытия данных в изображениях. Передача данных была зашифрована с помощью AES, и загрузчик расшифровал двоичные файлы данных, полученные с серверов C&C для выполнения. Кульминацией атаки стало развертывание Kaolin RAT, который обеспечивал безопасную связь с сервером C&C, позволяя выполнять различные удаленные команды и манипулировать файлами.
Уровень технической оснащенности Lazarus group и стратегический подход к выявлению лиц с сфабрикованными предложениями о работе демонстрируют значительную угрозу в сфере кибербезопасности. Инвестиции группы в разработку сложных цепочек атак и адаптацию для обхода мер безопасности создают проблемы для правозащитников. Подробный анализ этой кампании, проведенный компанией Avast, проливает свет на методы, используемые злоумышленниками для компрометации уязвимых систем, и подчеркивает необходимость принятия надежных мер кибербезопасности для эффективного противодействия таким угрозам.
Forwarded from vx-underground
13-year-old Marco Liberale has created a proof-of-concept PasteBin C2 botnet in Go. Is it fully cross platform working on Windows, Linux, and Mac.
We are very happy to see such a young person contributing to this research space.
Check it out here: https://github.com/marco-liberale/PasteBomb
We are very happy to see such a young person contributing to this research space.
Check it out here: https://github.com/marco-liberale/PasteBomb
GitHub
GitHub - marco-liberale/PasteBomb: PasteBomb C2-less RAT
PasteBomb C2-less RAT. Contribute to marco-liberale/PasteBomb development by creating an account on GitHub.
👍1
#technique
А вот еще интересная статья. Спасибо автору за работу!
Погружаемся в PEB. Подмена аргументов командной строки в запущенных и suspended процессах
https://habr.com/ru/articles/808787/
А вот еще интересная статья. Спасибо автору за работу!
Погружаемся в PEB. Подмена аргументов командной строки в запущенных и suspended процессах
https://habr.com/ru/articles/808787/
Хабр
Погружаемся в PEB. Подмена аргументов командной строки в запущенных и suspended процессах
Каждый процесс в ОС Windows имеет описательный блок PEB (Process Environment Block) размером в 2000 байт, содержащий информацию об этом процессе. Начало этого блока выглядит так: BYTE...
👍3🔥2😱2
#ParsedReport #CompletenessMedium
19-04-2024
Dark Web Profile: Akira Ransomware
https://socradar.io/dark-web-profile-akira-ransomware
Report completeness: Medium
Threats:
Akira_ransomware
Megazord
Spear-phishing_technique
Kerberoasting_technique
Anydesk_tool
Shadow_copies_delete_technique
Adfind_tool
Mimikatz_tool
Credential_dumping_technique
Lazagne_tool
Pchunter64_tool
Nltest_tool
Byovd_technique
Industry:
Healthcare, Education, Financial
Geo:
Australia, America
CVEs:
CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.5.0.5, <6.4.0.9, <6.3.0.6, <6.2.3.16)
- cisco adaptive security appliance software (<9.9.2.67, <9.8.4.20, <9.13.1.10, <9.10.1.40, <9.12.3.9)
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.10.1, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)
TTPs:
Tactics: 9
Technics: 25
Soft:
ESXi, WinSCP
Crypto:
bitcoin
Algorithms:
chacha20
Languages:
rust, powershell
19-04-2024
Dark Web Profile: Akira Ransomware
https://socradar.io/dark-web-profile-akira-ransomware
Report completeness: Medium
Threats:
Akira_ransomware
Megazord
Spear-phishing_technique
Kerberoasting_technique
Anydesk_tool
Shadow_copies_delete_technique
Adfind_tool
Mimikatz_tool
Credential_dumping_technique
Lazagne_tool
Pchunter64_tool
Nltest_tool
Byovd_technique
Industry:
Healthcare, Education, Financial
Geo:
Australia, America
CVEs:
CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.5.0.5, <6.4.0.9, <6.3.0.6, <6.2.3.16)
- cisco adaptive security appliance software (<9.9.2.67, <9.8.4.20, <9.13.1.10, <9.10.1.40, <9.12.3.9)
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4, 6.2.3.5, 6.2.3.6, 6.2.3.7, 6.2.3.8, 6.2.3.9, 6.2.3.10, 6.2.3.11, 6.2.3.12, 6.2.3.13, 6.2.3.14, 6.2.3.15, 6.2.3.16, 6.2.3.17, 6.2.3.18, 6.4.0, 6.4.0.1, 6.4.0.2, 6.4.0.3, 6.4.0.4, 6.4.0.5, 6.4.0.6, 6.4.0.7, 6.4.0.8, 6.4.0.9, 6.4.0.10, 6.4.0.11, 6.4.0.12, 6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.6.0, 6.6.0.1, 6.6.1, 6.6.3, 6.6.4, 6.6.5, 6.6.5.1, 6.6.5.2, 6.6.7, 6.6.7.1, 6.7.0, 6.7.0.1, 6.7.0.2, 6.7.0.3, 7.0.0, 7.0.0.1, 7.0.1, 7.0.1.1, 7.0.2, 7.0.2.1, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.1.0, 7.1.0.1, 7.1.0.2, 7.1.0.3, 7.2.0, 7.2.0.1, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.4.1, 7.2.5, 7.3.0, 7.3.1, 7.3.1.1, 9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8, 9.8.2.14, 9.8.2.15, 9.8.2.17, 9.8.2.20, 9.8.2.24, 9.8.2.26, 9.8.2.28, 9.8.2.33, 9.8.2.35, 9.8.2.38, 9.8.3, 9.8.3.8, 9.8.3.11, 9.8.3.14, 9.8.3.16, 9.8.3.18, 9.8.3.21, 9.8.3.26, 9.8.3.29, 9.8.4, 9.8.4.3, 9.8.4.7, 9.8.4.8, 9.8.4.10, 9.8.4.12, 9.8.4.15, 9.8.4.17, 9.8.4.20, 9.8.4.22, 9.8.4.25, 9.8.4.26, 9.8.4.29, 9.8.4.32, 9.8.4.33, 9.8.4.34, 9.8.4.35, 9.8.4.39, 9.8.4.40, 9.8.4.41, 9.8.4.43, 9.8.4.44, 9.8.4.45, 9.8.4.46, 9.8.4.48, 9.10.1, 9.12.1, 9.12.1.2, 9.12.1.3, 9.12.2, 9.12.2.1, 9.12.2.4, 9.12.2.5, 9.12.2.9, 9.12.3, 9.12.3.2, 9.12.3.7, 9.12.3.9, 9.12.3.12, 9.12.4, 9.12.4.2, 9.12.4.4, 9.12.4.7, 9.12.4.8, 9.12.4.10, 9.12.4.13, 9.12.4.18, 9.12.4.24, 9.12.4.26, 9.12.4.29, 9.12.4.30, 9.12.4.35, 9.12.4.37, 9.12.4.38, 9.12.4.39, 9.12.4.40, 9.12.4.41, 9.12.4.47, 9.12.4.48, 9.12.4.50, 9.12.4.52, 9.12.4.54, 9.12.4.55, 9.12.4.56, 9.12.4.58, 9.14.1, 9.14.1.6, 9.14.1.10, 9.14.1.15, 9.14.1.19, 9.14.1.30, 9.14.2, 9.14.2.4, 9.14.2.8, 9.14.2.13, 9.14.2.15, 9.14.3, 9.14.3.1, 9.14.3.9, 9.14.3.11, 9.14.3.13, 9.14.3.15, 9.14.3.18, 9.14.4, 9.14.4.6, 9.14.4.7, 9.14.4.12, 9.14.4.13, 9.14.4.14, 9.14.4.15, 9.14.4.17, 9.14.4.22, 9.14.4.23, 9.15.1, 9.15.1.1, 9.15.1.7, 9.15.1.10, 9.15.1.15, 9.15.1.16, 9.15.1.17, 9.15.1.21, 9.16.1, 9.16.1.28, 9.16.2, 9.16.2.3, 9.16.2.7, 9.16.2.11, 9.16.2.13, 9.16.2.14, 9.16.3, 9.16.3.3, 9.16.3.14, 9.16.3.15, 9.16.3.19, 9.16.3.23, 9.16.4, 9.16.4.9, 9.16.4.14, 9.16.4.18, 9.16.4.19, 9.16.4.27, 9.16.4.38, 9.17.1, 9.17.1.7, 9.17.1.9, 9.17.1.10, 9.17.1.11, 9.17.1.13, 9.17.1.15, 9.17.1.20, 9.17.1.30, 9.18.1, 9.18.1.3, 9.18.2, 9.18.2.5, 9.18.2.7, 9.18.2.8, 9.18.3, 9.18.3.39, 9.18.3.46, 9.18.3.53, 9.18.3.55, 9.19.1, 9.19.1.5, 9.19.1.9, 9.19.1.12, 9.19.1.18)
TTPs:
Tactics: 9
Technics: 25
Soft:
ESXi, WinSCP
Crypto:
bitcoin
Algorithms:
chacha20
Languages:
rust, powershell
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Akira Ransomware - SOCRadar® Cyber Intelligence Inc.
Since its discovery in early 2023, Akira ransomware has evolved from a seemingly ordinary addition to the ransomware landscape to a significant...
CTT Report Hub
#ParsedReport #CompletenessMedium 19-04-2024 Dark Web Profile: Akira Ransomware https://socradar.io/dark-web-profile-akira-ransomware Report completeness: Medium Threats: Akira_ransomware Megazord Spear-phishing_technique Kerberoasting_technique Anydesk_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель Akira представляет собой серьезную и развивающуюся глобальную угрозу, воздействующую на предприятия и критически важную инфраструктуру посредством стратегии двойного вымогательства. Она вдохновлена аниме-фильмом в стиле киберпанк и использует сложные методы, нацеленные на различные отрасли, используя инструменты шифрования и получая доступ несколькими способами.
-----
Программа-вымогатель Akira, обнаруженная в начале 2023 года, быстро превратилась в серьезную угрозу, затрагивающую многочисленные предприятия и объекты критически важной инфраструктуры по всему миру. Известная своей уникальной эстетикой в области утечек информации и коммуникаций, компания Akira использует стратегию двойного вымогательства, при которой данные фильтруются перед шифрованием устройств, требуя плату за расшифровку и за предотвращение раскрытия данных. По состоянию на 1 января 2024 года группа ransom group заявила о получении более 42 миллионов долларов от программ-вымогателей, при этом пострадали более 250 организаций.
Считается, что название Akira было навеяно киберпанковским аниме-фильмом 1988 года, в котором главный герой разрушает Нео-Токио в качестве превентивной меры против злонамеренных сил, параллельно с верой операторов программ-вымогателей в борьбу с системной несправедливостью в экономической системе. Программа-вымогатель была нацелена на организации по всей Северной Америке, Европе и Австралии, первоначально ориентируясь на системы Windows, а затем распространилась на виртуальные машины VMware ESXi с версией Linux.
Первоначально используя расширение .akira для зашифрованных файлов, Akira позже представила Megazord, инструмент шифрования на основе Rust с расширением .powerranges, для некоторых атак, начиная с августа 2023 года. Группа использует в своих атаках поочередно Megazord и Akira_v2. Akira в первую очередь нацелена на крупные предприятия в различных отраслях, таких как образование, финансы, производство и здравоохранение, с помощью фишинговых электронных писем, использования уязвимостей программного обеспечения и VPN-сервисов, в которых отсутствует многофакторная аутентификация (MFA).
Злоумышленники, стоящие за Akira, получают первоначальный доступ с помощью таких методов, как эксплойты VPN, протокол удаленного рабочего стола (RDP), скрытый фишинг и злоупотребление учетными данными. Они обеспечивают постоянство за счет создания новых учетных записей домена и использования методов последующей эксплуатации, таких как Kerberoasting и очистка учетных данных для повышения привилегий. Инструменты сетевого сканирования помогают в проведении разведки, а различные инструменты, такие как FileZilla, WinSCP и AnyDesk, используются для фильтрации данных и создания каналов управления.
Используя модель двойного вымогательства, Akira использует гибридную схему шифрования, сочетающую алгоритмы ChaCha20 и RSA, которая нацелена на определенные типы файлов и размеры, удаляя копии VSS и оставляя записки с требованием выкупа для связи. Они используют такие инструменты, как Mimikatz, PowerShell и WinRAR, для разведки, удаленного доступа, кражи учетных данных и манипулирования системами.
Этот подробный план действий Akira демонстрирует их изощренные методы, тактику уклонения, методы шифрования и использование разнообразных инструментов в ходе их вредоносной деятельности. Операторы программ-вымогателей опираются на культурные отсылки, такие как фильм "Акира", чтобы донести свою миссию по борьбе с тем, что они считают экономической несправедливостью. Более подробную информацию о программе-вымогателе Akira и ее влиянии на организации можно найти в рекомендациях CISA.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель Akira представляет собой серьезную и развивающуюся глобальную угрозу, воздействующую на предприятия и критически важную инфраструктуру посредством стратегии двойного вымогательства. Она вдохновлена аниме-фильмом в стиле киберпанк и использует сложные методы, нацеленные на различные отрасли, используя инструменты шифрования и получая доступ несколькими способами.
-----
Программа-вымогатель Akira, обнаруженная в начале 2023 года, быстро превратилась в серьезную угрозу, затрагивающую многочисленные предприятия и объекты критически важной инфраструктуры по всему миру. Известная своей уникальной эстетикой в области утечек информации и коммуникаций, компания Akira использует стратегию двойного вымогательства, при которой данные фильтруются перед шифрованием устройств, требуя плату за расшифровку и за предотвращение раскрытия данных. По состоянию на 1 января 2024 года группа ransom group заявила о получении более 42 миллионов долларов от программ-вымогателей, при этом пострадали более 250 организаций.
Считается, что название Akira было навеяно киберпанковским аниме-фильмом 1988 года, в котором главный герой разрушает Нео-Токио в качестве превентивной меры против злонамеренных сил, параллельно с верой операторов программ-вымогателей в борьбу с системной несправедливостью в экономической системе. Программа-вымогатель была нацелена на организации по всей Северной Америке, Европе и Австралии, первоначально ориентируясь на системы Windows, а затем распространилась на виртуальные машины VMware ESXi с версией Linux.
Первоначально используя расширение .akira для зашифрованных файлов, Akira позже представила Megazord, инструмент шифрования на основе Rust с расширением .powerranges, для некоторых атак, начиная с августа 2023 года. Группа использует в своих атаках поочередно Megazord и Akira_v2. Akira в первую очередь нацелена на крупные предприятия в различных отраслях, таких как образование, финансы, производство и здравоохранение, с помощью фишинговых электронных писем, использования уязвимостей программного обеспечения и VPN-сервисов, в которых отсутствует многофакторная аутентификация (MFA).
Злоумышленники, стоящие за Akira, получают первоначальный доступ с помощью таких методов, как эксплойты VPN, протокол удаленного рабочего стола (RDP), скрытый фишинг и злоупотребление учетными данными. Они обеспечивают постоянство за счет создания новых учетных записей домена и использования методов последующей эксплуатации, таких как Kerberoasting и очистка учетных данных для повышения привилегий. Инструменты сетевого сканирования помогают в проведении разведки, а различные инструменты, такие как FileZilla, WinSCP и AnyDesk, используются для фильтрации данных и создания каналов управления.
Используя модель двойного вымогательства, Akira использует гибридную схему шифрования, сочетающую алгоритмы ChaCha20 и RSA, которая нацелена на определенные типы файлов и размеры, удаляя копии VSS и оставляя записки с требованием выкупа для связи. Они используют такие инструменты, как Mimikatz, PowerShell и WinRAR, для разведки, удаленного доступа, кражи учетных данных и манипулирования системами.
Этот подробный план действий Akira демонстрирует их изощренные методы, тактику уклонения, методы шифрования и использование разнообразных инструментов в ходе их вредоносной деятельности. Операторы программ-вымогателей опираются на культурные отсылки, такие как фильм "Акира", чтобы донести свою миссию по борьбе с тем, что они считают экономической несправедливостью. Более подробную информацию о программе-вымогателе Akira и ее влиянии на организации можно найти в рекомендациях CISA.
#ParsedReport #CompletenessLow
19-04-2024
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
https://blog.sucuri.net/2024/04/javascript-malware-switches-to-server-side-redirects-dns-txt-records-tds.html
Report completeness: Low
Threats:
Vextrio
Victims:
Wordpress sites
Geo:
Brazil, Thailand, Mexico, Pakistan, Egypt, Serbia, Morocco
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1071, T1027, T1553, T1485, T1574
IOCs:
Domain: 7
Url: 2
IP: 2
Soft:
WordPress, Android, Ubuntu, Fedora
Algorithms:
base64
Functions:
_red
Languages:
php, javascript
Platforms:
x64, apple
19-04-2024
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
https://blog.sucuri.net/2024/04/javascript-malware-switches-to-server-side-redirects-dns-txt-records-tds.html
Report completeness: Low
Threats:
Vextrio
Victims:
Wordpress sites
Geo:
Brazil, Thailand, Mexico, Pakistan, Egypt, Serbia, Morocco
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1071, T1027, T1553, T1485, T1574
IOCs:
Domain: 7
Url: 2
IP: 2
Soft:
WordPress, Android, Ubuntu, Fedora
Algorithms:
base64
Functions:
_red
Languages:
php, javascript
Platforms:
x64, apple
Sucuri Blog
JavaScript Malware Switches to Server-Side Redirects & DNS TXT Records as TDS
A malware campaign that was injecting malicious JavaScript code into compromised WordPress sites to redirect site visitors to VexTrio domains has since switched to server-side Redirects and using DNS TXT Records as TDS. We include indicators of compromise…