#ParsedReport #CompletenessHigh
22-04-2024
ToddyCat is making holes in your infrastructure
https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443
Report completeness: High
Actors/Campaigns:
Toddycat (motivation: cyber_espionage, information_theft)
Threats:
Lofise_tool
Pcexter_tool
Impacket_tool
Retefe
Iobit_tool
Netscan_tool
Krong_tool
Cuthead_tool
Tomberbil
Mimikatz_tool
Shadow_copies_delete_technique
Victims:
Governmental organizations
Industry:
Education
Geo:
Thailand, Asia-pacific
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
T1021, T1570, T1572, T1090, T1041, T1119, T1003, T1040
IOCs:
File: 14
Path: 2
IP: 2
Email: 1
Coin: 1
Command: 5
Url: 5
Domain: 1
Hash: 12
Soft:
PsExec, OpenSSH for Windows, OPENSSH, softether, curl, whatsapp, Chrome, Mozilla Thunderbird
Algorithms:
xor, 7zip, zip
Functions:
GetOwner
Win API:
CryptProtectData, CryptUnprotectData
Platforms:
intel, x86
Links:
22-04-2024
ToddyCat is making holes in your infrastructure
https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443
Report completeness: High
Actors/Campaigns:
Toddycat (motivation: cyber_espionage, information_theft)
Threats:
Lofise_tool
Pcexter_tool
Impacket_tool
Retefe
Iobit_tool
Netscan_tool
Krong_tool
Cuthead_tool
Tomberbil
Mimikatz_tool
Shadow_copies_delete_technique
Victims:
Governmental organizations
Industry:
Education
Geo:
Thailand, Asia-pacific
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1021, T1570, T1572, T1090, T1041, T1119, T1003, T1040
IOCs:
File: 14
Path: 2
IP: 2
Email: 1
Coin: 1
Command: 5
Url: 5
Domain: 1
Hash: 12
Soft:
PsExec, OpenSSH for Windows, OPENSSH, softether, curl, whatsapp, Chrome, Mozilla Thunderbird
Algorithms:
xor, 7zip, zip
Functions:
GetOwner
Win API:
CryptProtectData, CryptUnprotectData
Platforms:
intel, x86
Links:
https://github.com/gentilkiwi/mimikatz/wiki/module-\~-dpapihttps://github.com/icsharpcode/SharpZipLibhttps://github.com/fortra/impackethttps://github.com/fatedier/frpSecurelist
ToddyCat’s traffic tunneling and data extraction tools
We continue to report on the APT group ToddyCat. This time, we’ll talk about traffic tunneling, constant access to a target infrastructure and data extraction from hosts.
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 ToddyCat is making holes in your infrastructure https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443 Report completeness: High Actors/Campaigns: Toddycat (motivation: cyber_espionage…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT group ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, используя различные инструменты и методы для автоматизации сбора данных, поддержания постоянного доступа к системам и уклонения от обнаружения с целью кражи конфиденциальной информации в промышленных масштабах.
-----
Группа APT ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, занимаясь кражей конфиденциальной информации со взломанных хостов в промышленных масштабах. Для достижения этой цели они используют различные инструменты и методы для автоматизации сбора данных, обеспечения постоянного доступа к системам и предотвращения обнаружения.
Одним из методов, используемых ToddyCat, является установление SSH-соединений с удаленными серверами с помощью таких инструментов, как PsExec или Impacket. Перенаправляя сетевой трафик с определенных портов сервера на порты зараженных хостов, злоумышленники обеспечивают постоянный доступ к службам, запущенным на целевых хостах. Эта тактика, особенно на контроллерах домена, позволяет им извлекать IP-адреса узлов внутренней сети с помощью DNS-запросов, расширяя их разведывательные возможности.
Злоумышленники также используют пакет SoftEther VPN для настройки VPN-серверов на скомпрометированных системах. Это решение с открытым исходным кодом поддерживает различные протоколы VPN, позволяя ToddyCat создавать безопасные соединения для туннелирования и удаленного доступа. Настраивая VPN-сервер с помощью определенных файлов и компонентов, злоумышленники создают скрытые каналы связи и передачи данных, повышая свою операционную безопасность.
Ngrok, облегченный агент, используется ToddyCat для перенаправления трафика команд и контроля (C2) между конечными точками и облачной инфраструктурой. В сочетании с другим инструментом под названием Krong, который дополняется легальным приложением, позволяющим избежать обнаружения, Ngrok обеспечивает передачу зашифрованных данных через прокси-серверы, маскируя вредоносные действия и сохраняя скрытность в скомпрометированной среде.
Еще больше расширяя свой доступ и контроль над целевыми хостами, ToddyCat устанавливает FRP-клиент для быстрого обратного прокси-сервера. FRP, инструмент, написанный на платформе Go, облегчает внешний доступ к локальным серверам за NAT или брандмауэрами, обеспечивая гибкость в маршрутизации трафика для связи C2 и оперативного управления.
Представляя новый инструмент cuthead, ToddyCat расширяет свои возможности поиска файлов в взломанных системах. Этот исполняемый файл .NET предназначен для поиска определенных типов файлов или ключевых слов в именах файлов, что облегчает автоматизированный сбор целевых документов. Задавая параметры поиска, включая расширения файлов и даты последнего изменения, cuthead упрощает процесс идентификации и архивирования соответствующих файлов для последующей фильтрации.
В случаях, когда для расшифровки данных требуются ключи шифрования, ToddyCat использует варианты mimikatz и TomBerBil для извлечения этих ключей из системных процессов, в частности из экземпляров explorer.exe и JSON-файлов браузера. Несмотря на риск обнаружения системами безопасности из-за широкого распространения этих инструментов, ToddyCat продолжает использовать их наряду с такими методами, как теневое копирование дисков и архивирование пользовательских данных для целей эксфильтрации.
Сочетая широкий спектр инструментов и тактик, ToddyCat обеспечивает постоянный доступ к скомпрометированной инфраструктуре, автоматизирует процессы сбора данных и использует методы шифрования и туннелирования, чтобы избежать обнаружения и достичь своих целей по краже данных у важных объектов в Азиатско-Тихоокеанском регионе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT group ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, используя различные инструменты и методы для автоматизации сбора данных, поддержания постоянного доступа к системам и уклонения от обнаружения с целью кражи конфиденциальной информации в промышленных масштабах.
-----
Группа APT ToddyCat нацелена на правительственные организации, особенно связанные с обороной, в Азиатско-Тихоокеанском регионе, занимаясь кражей конфиденциальной информации со взломанных хостов в промышленных масштабах. Для достижения этой цели они используют различные инструменты и методы для автоматизации сбора данных, обеспечения постоянного доступа к системам и предотвращения обнаружения.
Одним из методов, используемых ToddyCat, является установление SSH-соединений с удаленными серверами с помощью таких инструментов, как PsExec или Impacket. Перенаправляя сетевой трафик с определенных портов сервера на порты зараженных хостов, злоумышленники обеспечивают постоянный доступ к службам, запущенным на целевых хостах. Эта тактика, особенно на контроллерах домена, позволяет им извлекать IP-адреса узлов внутренней сети с помощью DNS-запросов, расширяя их разведывательные возможности.
Злоумышленники также используют пакет SoftEther VPN для настройки VPN-серверов на скомпрометированных системах. Это решение с открытым исходным кодом поддерживает различные протоколы VPN, позволяя ToddyCat создавать безопасные соединения для туннелирования и удаленного доступа. Настраивая VPN-сервер с помощью определенных файлов и компонентов, злоумышленники создают скрытые каналы связи и передачи данных, повышая свою операционную безопасность.
Ngrok, облегченный агент, используется ToddyCat для перенаправления трафика команд и контроля (C2) между конечными точками и облачной инфраструктурой. В сочетании с другим инструментом под названием Krong, который дополняется легальным приложением, позволяющим избежать обнаружения, Ngrok обеспечивает передачу зашифрованных данных через прокси-серверы, маскируя вредоносные действия и сохраняя скрытность в скомпрометированной среде.
Еще больше расширяя свой доступ и контроль над целевыми хостами, ToddyCat устанавливает FRP-клиент для быстрого обратного прокси-сервера. FRP, инструмент, написанный на платформе Go, облегчает внешний доступ к локальным серверам за NAT или брандмауэрами, обеспечивая гибкость в маршрутизации трафика для связи C2 и оперативного управления.
Представляя новый инструмент cuthead, ToddyCat расширяет свои возможности поиска файлов в взломанных системах. Этот исполняемый файл .NET предназначен для поиска определенных типов файлов или ключевых слов в именах файлов, что облегчает автоматизированный сбор целевых документов. Задавая параметры поиска, включая расширения файлов и даты последнего изменения, cuthead упрощает процесс идентификации и архивирования соответствующих файлов для последующей фильтрации.
В случаях, когда для расшифровки данных требуются ключи шифрования, ToddyCat использует варианты mimikatz и TomBerBil для извлечения этих ключей из системных процессов, в частности из экземпляров explorer.exe и JSON-файлов браузера. Несмотря на риск обнаружения системами безопасности из-за широкого распространения этих инструментов, ToddyCat продолжает использовать их наряду с такими методами, как теневое копирование дисков и архивирование пользовательских данных для целей эксфильтрации.
Сочетая широкий спектр инструментов и тактик, ToddyCat обеспечивает постоянный доступ к скомпрометированной инфраструктуре, автоматизирует процессы сбора данных и использует методы шифрования и туннелирования, чтобы избежать обнаружения и достичь своих целей по краже данных у важных объектов в Азиатско-Тихоокеанском регионе.
👍1
#ParsedReport #CompletenessHigh
22-04-2024
MuddyWater campaign abusing Atera Agents
https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign
Report completeness: High
Actors/Campaigns:
Muddywater
Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique
Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...
Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco
Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London
ChatGPT TTPs:
T1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595
IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3
Soft:
Outlook, Gmail
Algorithms:
sha256, zip
Languages:
powershell
YARA: Found
Links:
22-04-2024
MuddyWater campaign abusing Atera Agents
https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign
Report completeness: High
Actors/Campaigns:
Muddywater
Threats:
Atera_tool
Spear-phishing_technique
Screenconnect_tool
Syncro_tool
Simplehelp_tool
Password_spray_technique
Darkbeatc2
Supply_chain_technique
Victims:
Airlines, It companies, Telecommunication, Pharmaceutical, Automotive manufacturing, Logistics, Travel and tourism, Employment/immigration agency, Small businesses, Ministry of foreign affairs of paraguay, have more...
Industry:
Education, Logistic, Transport, Healthcare, Aerospace, Telco
Geo:
Paraguay, Algeria, Egypt, Israel, Turkey, Israeli, Iranian, India, Italy, London
ChatGPT TTPs:
do not use without manual checkT1078, T1566, T1190, T1114, T1552, T1071, T1021, T1547, T1595
IOCs:
Hash: 13
File: 8
Url: 1
Domain: 3
Soft:
Outlook, Gmail
Algorithms:
sha256, zip
Languages:
powershell
YARA: Found
Links:
https://github.com/HarfangLab/iocs/tree/main/TRR240402
CTT Report Hub
#ParsedReport #CompletenessHigh 22-04-2024 MuddyWater campaign abusing Atera Agents https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign Report completeness: High Actors/Campaigns: Muddywater Threats: Atera_tool Spear-phishing_technique Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----
Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.
С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.
Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.
Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.
Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.
Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.
Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается деятельность иранской организации MuddyWater, спонсируемой государством, с акцентом на их недавнюю кампанию с использованием законного инструмента удаленного мониторинга Atera Agent для проведения фишинговых атак в различных секторах и странах. MuddyWater использует бесплатные пробные версии Atera Agent, использует скомпрометированные учетные записи электронной почты для регистрации и со временем повышает качество своих электронных писем, предназначенных для фишинга. Также подчеркивается широкий охват действий злоумышленника, сотрудничество с другими участниками угроз и потенциальный прогресс в развертывании имплантов PowerShell, что подчеркивает необходимость бдительности и сотрудничества в усилиях по обеспечению кибербезопасности.
-----
Иранский государственный агент по борьбе с угрозами MuddyWater активно использует законный инструмент удаленного мониторинга и управления Atera Agent как минимум с 2021 года для своих киберкампаний.
С октября 2023 года MuddyWater расширила свою деятельность с участием агента Atera, ориентируясь на такие отрасли, как авиакомпании, IT-компании, телекоммуникации, фармацевтика, автомобилестроение, логистика и многое другое во многих странах.
Злоумышленник использует такие тактики, как использование бесплатных пробных предложений, регистрация агентов Atera с помощью скомпрометированных учетных записей электронной почты, полученных различными способами, и использование возможностей инструмента для удаленного управления непосредственно из веб-интерфейса.
Тактика подводной охоты MuddyWater претерпела изменения, и в последних электронных письмах появились более изощренные и убедительные приманки по сравнению с предыдущими кампаниями.
Скомпрометированные учетные записи деловой электронной почты, полученные MuddyWater, позволяют им активизировать усилия по борьбе с фишингом, обеспечить устойчивость внутри организаций и потенциально сотрудничать с другими иранскими злоумышленниками для проведения атак на цепочки поставок.
Существуют опасения, что после успешного развертывания Atera Agent MuddyWater может перейти к развертыванию импланта PowerShell в своих атаках.
Поощряется сотрудничество между затронутыми организациями и исследователями для улучшения обнаружения, реагирования и отслеживания новых вредоносных действий, связанных с кампаниями MuddyWater.
#ParsedReport #CompletenessMedium
21-04-2024
UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine
https://cert.gov.ua/article/6278706
Report completeness: Medium
Actors/Campaigns:
Sandworm
Threats:
Kapeka
Loadgrip
Supply_chain_technique
Weevely
Regeorg
Gossipflow_tool
Chisel_tool
Libprocesshider_rootkit
Juicypotato_tool
Rottenpotatong_tool
Dumplsass_tool
Chrysaor
Victims:
Energy companies, Water supply facilities, Heat supply enterprises
Industry:
Energy, Government, Ics
Geo:
Ukraine
ChatGPT TTPs:
T1566, T1190, T1583, T1027, T1555, T1587, T1547, T1584, T1059, T1071, have more...
IOCs:
File: 34
Hash: 138
Path: 8
Command: 2
Registry: 2
IP: 17
Soft:
Windows registry
Algorithms:
aes, aes-128-cbc
Languages:
php
21-04-2024
UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine
https://cert.gov.ua/article/6278706
Report completeness: Medium
Actors/Campaigns:
Sandworm
Threats:
Kapeka
Loadgrip
Supply_chain_technique
Weevely
Regeorg
Gossipflow_tool
Chisel_tool
Libprocesshider_rootkit
Juicypotato_tool
Rottenpotatong_tool
Dumplsass_tool
Chrysaor
Victims:
Energy companies, Water supply facilities, Heat supply enterprises
Industry:
Energy, Government, Ics
Geo:
Ukraine
ChatGPT TTPs:
do not use without manual checkT1566, T1190, T1583, T1027, T1555, T1587, T1547, T1584, T1059, T1071, have more...
IOCs:
File: 34
Hash: 138
Path: 8
Command: 2
Registry: 2
IP: 17
Soft:
Windows registry
Algorithms:
aes, aes-128-cbc
Languages:
php
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 UAC-0133 (Sandworm) plans for cyber sabotage on almost 20 objects of critical infrastructure of Ukraine https://cert.gov.ua/article/6278706 Report completeness: Medium Actors/Campaigns: Sandworm Threats: Kapeka…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный обзор вредоносного киберплана, раскрытого Правительственной группой реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA), организованного группой Sandworm в марте 2024 года. Злоумышленники стремились нарушить работу предприятий энергетики, водо- и теплоснабжения в Украине с помощью различных вредоносных инструментов и тактик, подчеркивая необходимость усиления мер кибербезопасности и упреждающего анализа угроз для защиты от таких сложных угроз, нацеленных на критически важную инфраструктуру.
-----
В марте 2024 года Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) раскрыла вредоносный план группы Sandworm. Целью было нарушить работу примерно двадцати предприятий энерго-, водо- и теплоснабжения в десяти регионах Украины. Злоумышленники использовали различные вредоносные программы, в том числе бэкдор QUEUESEED и новые дополнения, такие как LOADGRIP и BIASBOAT, Linux-вариант QUEUESEED.
В ходе расследования инцидента CERT-UA обнаружил, что целью атак был компьютер под управлением операционной системы Linux, который управлял технологическими процессами с помощью специализированного программного обеспечения. BIASBOAT был замаскирован под файл, зашифрованный для определенного сервера, что указывает на сложный подход. Был подтвержден факт компрометации по меньшей мере трех цепочек поставок, причем основной несанкционированный доступ был связан с уязвимостями программного обеспечения или доступом сотрудников поставщиков к организациям ICS.
Злоумышленники использовали КОМПЬЮТЕРЫ с программно-определяемыми радиоприемниками (SDRS) в корпоративных сетях для горизонтального перемещения и кибератак на корпоративные сети, внедряя такие инструменты, как веб-оболочки PHP и туннели. CERT-UA незамедлительно приняла меры по информированию пострадавших предприятий, удалению вредоносного ПО, анализу хронологии инцидентов и усилению мер кибербезопасности.
Вредоносные программы QUEUESEED и GOSSIPFLOW ранее использовались в разрушительных кибератаках на объекты водоснабжения в Украине. UAC-0133, входящий в группу Sandworm, был идентифицирован как подкластер UAC-0002, что подчеркивает опыт группы в атаках на критически важную инфраструктуру.
Успеху плана киберсаботажа способствовали слабые методы обеспечения безопасности, такие как неадекватная сегментация и небрежное отношение поставщиков к безопасности программного обеспечения. Злоумышленники намеревались использовать несанкционированный доступ к ICS для усиления воздействия потенциальных ракетных ударов по украинской инфраструктуре.
QUEUESEED, написанный на C++, представляет собой универсальный бэкдор, способный выполнять команды, обновлять конфигурации и самоудаляться. Он взаимодействует с сервером управления по протоколу HTTPS, используя зашифрованные данные в формате JSON. BIASBOAT, Linux-версия QUEUESEED, запускается с помощью инжектора LOADGRIP и взаимодействует с центральным сервером. Другой используемый инструмент, GOSSIPFLOW, устанавливает туннели и действует как прокси-сервер SOCKS5.
Злоумышленники использовали различные файлы и скрипты для сохранения данных, такие как запланированные задачи, записи реестра и общие библиотеки. Они атаковали широкий спектр систем и каталогов в средах Windows и Linux, демонстрируя сложные и стойкие возможности для борьбы с киберугрозами.
В ответ на эту угрозу CERT-UA рекомендовала усилить меры безопасности, включая сегментацию сети, контроль доступа, оценку безопасности программного обеспечения и готовность к реагированию на инциденты, чтобы смягчить будущие киберугрозы, нацеленные на критически важную инфраструктуру. Проведенный анализ подчеркивает важность упреждающей разведки угроз и надежных протоколов кибербезопасности для защиты от сложных угроз, таких как Sandworm.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный обзор вредоносного киберплана, раскрытого Правительственной группой реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA), организованного группой Sandworm в марте 2024 года. Злоумышленники стремились нарушить работу предприятий энергетики, водо- и теплоснабжения в Украине с помощью различных вредоносных инструментов и тактик, подчеркивая необходимость усиления мер кибербезопасности и упреждающего анализа угроз для защиты от таких сложных угроз, нацеленных на критически важную инфраструктуру.
-----
В марте 2024 года Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) раскрыла вредоносный план группы Sandworm. Целью было нарушить работу примерно двадцати предприятий энерго-, водо- и теплоснабжения в десяти регионах Украины. Злоумышленники использовали различные вредоносные программы, в том числе бэкдор QUEUESEED и новые дополнения, такие как LOADGRIP и BIASBOAT, Linux-вариант QUEUESEED.
В ходе расследования инцидента CERT-UA обнаружил, что целью атак был компьютер под управлением операционной системы Linux, который управлял технологическими процессами с помощью специализированного программного обеспечения. BIASBOAT был замаскирован под файл, зашифрованный для определенного сервера, что указывает на сложный подход. Был подтвержден факт компрометации по меньшей мере трех цепочек поставок, причем основной несанкционированный доступ был связан с уязвимостями программного обеспечения или доступом сотрудников поставщиков к организациям ICS.
Злоумышленники использовали КОМПЬЮТЕРЫ с программно-определяемыми радиоприемниками (SDRS) в корпоративных сетях для горизонтального перемещения и кибератак на корпоративные сети, внедряя такие инструменты, как веб-оболочки PHP и туннели. CERT-UA незамедлительно приняла меры по информированию пострадавших предприятий, удалению вредоносного ПО, анализу хронологии инцидентов и усилению мер кибербезопасности.
Вредоносные программы QUEUESEED и GOSSIPFLOW ранее использовались в разрушительных кибератаках на объекты водоснабжения в Украине. UAC-0133, входящий в группу Sandworm, был идентифицирован как подкластер UAC-0002, что подчеркивает опыт группы в атаках на критически важную инфраструктуру.
Успеху плана киберсаботажа способствовали слабые методы обеспечения безопасности, такие как неадекватная сегментация и небрежное отношение поставщиков к безопасности программного обеспечения. Злоумышленники намеревались использовать несанкционированный доступ к ICS для усиления воздействия потенциальных ракетных ударов по украинской инфраструктуре.
QUEUESEED, написанный на C++, представляет собой универсальный бэкдор, способный выполнять команды, обновлять конфигурации и самоудаляться. Он взаимодействует с сервером управления по протоколу HTTPS, используя зашифрованные данные в формате JSON. BIASBOAT, Linux-версия QUEUESEED, запускается с помощью инжектора LOADGRIP и взаимодействует с центральным сервером. Другой используемый инструмент, GOSSIPFLOW, устанавливает туннели и действует как прокси-сервер SOCKS5.
Злоумышленники использовали различные файлы и скрипты для сохранения данных, такие как запланированные задачи, записи реестра и общие библиотеки. Они атаковали широкий спектр систем и каталогов в средах Windows и Linux, демонстрируя сложные и стойкие возможности для борьбы с киберугрозами.
В ответ на эту угрозу CERT-UA рекомендовала усилить меры безопасности, включая сегментацию сети, контроль доступа, оценку безопасности программного обеспечения и готовность к реагированию на инциденты, чтобы смягчить будущие киберугрозы, нацеленные на критически важную инфраструктуру. Проведенный анализ подчеркивает важность упреждающей разведки угроз и надежных протоколов кибербезопасности для защиты от сложных угроз, таких как Sandworm.
#ParsedReport #CompletenessMedium
21-04-2024
Search. Finding the unknown unknowns, part 1
https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Atera_tool
Polymorphism_technique
Geo:
Israel, Australia, Israeli, Italy, Ukrainian, Ukraine, Turkish
ChatGPT TTPs:
T1566, T1204, T1566.001, T1563.002, T1140, T1059, T1071, T1027, T1036
IOCs:
Email: 1
Url: 11
Hash: 22
Algorithms:
zip
Platforms:
x86
Links:
21-04-2024
Search. Finding the unknown unknowns, part 1
https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Atera_tool
Polymorphism_technique
Geo:
Israel, Australia, Israeli, Italy, Ukrainian, Ukraine, Turkish
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1566.001, T1563.002, T1140, T1059, T1071, T1027, T1036
IOCs:
Email: 1
Url: 11
Hash: 22
Algorithms:
zip
Platforms:
x86
Links:
https://github.com/StrikeReady-Inc/research/tree/main/2024-04-16%20Unknown%20unknownsStrikeReady blog
Finding the unknown unknowns, part 1
This is the first article in a series about technical hunting wins that are attainable by all SOC teams.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2024 Search. Finding the unknown unknowns, part 1 https://blog.strikeready.com/blog/finding-the-unknown-unknowns-part-1 Report completeness: Medium Actors/Campaigns: Fancy_bear Threats: Atera_tool Polymorphism_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании pivots для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий, подчеркивая важность программного обнаружения угроз, ежедневного анализа каждого предупреждения, содержащего защищенные паролем объекты, и ценность человеческого анализа для выявления аномалий. В нем также обсуждается использование скрытого отслеживания изображений в электронных письмах, необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз, а также поощряется сотрудничество и исследования в сообществе кибербезопасности.
-----
В тексте выделяются три основных метода, которые используются для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий. Автор подчеркивает важность возможности программного обнаружения угроз и советует предприятиям ежедневно анализировать каждое предупреждение, содержащее защищенный паролем объект. Они отмечают, что законные средства мониторинга доставки электронной почты ограничены, и предполагают, что к предупреждениям о контенте, защищенном паролем, таком как документы office или zip-файлы, следует относиться серьезно. В качестве примера приводится защищенный паролем zip-файл, адресованный Израилю, с паролем "123456", что указывает на преднамеренное использование злоумышленником. В тексте подчеркивается ценность человеческого анализа, особенно при выявлении аномалий, таких как использование ИТ-пользователем незнакомых инструментов. Также упоминается важность быстрой оценки легитимности приманок, и предлагается программно извлекать URL-адреса и выполнять поиск по соответствующим показателям.
Кроме того, в тексте обсуждается использование скрытого отслеживания изображений в электронных письмах для отслеживания взаимодействия с пользователем и упоминается случай, когда участники шпионажа использовали изображения канареек в документах Word для отслеживания. В нем подчеркивается необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз. Автор рекомендует посетить их страницу на GitHub, чтобы ознакомиться со списком показателей, и предлагает поставщикам предоставлять заявления о предполагаемой авторской принадлежности для сотрудничества и исследовательских целей.
Авторы выражают благодарность рецензентам, другим поставщикам и отдельным лицам, которые помогли связаться с заинтересованными сторонами в Израиле. Они приглашают внести исправления и направить запросы о сотрудничестве по электронной почте.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании pivots для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий, подчеркивая важность программного обнаружения угроз, ежедневного анализа каждого предупреждения, содержащего защищенные паролем объекты, и ценность человеческого анализа для выявления аномалий. В нем также обсуждается использование скрытого отслеживания изображений в электронных письмах, необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз, а также поощряется сотрудничество и исследования в сообществе кибербезопасности.
-----
В тексте выделяются три основных метода, которые используются для выявления целенаправленных угроз в корпоративных сетях без использования дорогостоящих технологий. Автор подчеркивает важность возможности программного обнаружения угроз и советует предприятиям ежедневно анализировать каждое предупреждение, содержащее защищенный паролем объект. Они отмечают, что законные средства мониторинга доставки электронной почты ограничены, и предполагают, что к предупреждениям о контенте, защищенном паролем, таком как документы office или zip-файлы, следует относиться серьезно. В качестве примера приводится защищенный паролем zip-файл, адресованный Израилю, с паролем "123456", что указывает на преднамеренное использование злоумышленником. В тексте подчеркивается ценность человеческого анализа, особенно при выявлении аномалий, таких как использование ИТ-пользователем незнакомых инструментов. Также упоминается важность быстрой оценки легитимности приманок, и предлагается программно извлекать URL-адреса и выполнять поиск по соответствующим показателям.
Кроме того, в тексте обсуждается использование скрытого отслеживания изображений в электронных письмах для отслеживания взаимодействия с пользователем и упоминается случай, когда участники шпионажа использовали изображения канареек в документах Word для отслеживания. В нем подчеркивается необходимость ручной настройки и обогащения индикаторов для эффективного анализа угроз. Автор рекомендует посетить их страницу на GitHub, чтобы ознакомиться со списком показателей, и предлагает поставщикам предоставлять заявления о предполагаемой авторской принадлежности для сотрудничества и исследовательских целей.
Авторы выражают благодарность рецензентам, другим поставщикам и отдельным лицам, которые помогли связаться с заинтересованными сторонами в Израиле. Они приглашают внести исправления и направить запросы о сотрудничестве по электронной почте.
#ParsedReport #CompletenessHigh
21-04-2024
ScrubCrypt VenomRAT RemcosRAT. Too long to watch
https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A
Report completeness: High
Actors/Campaigns:
8220_gang
Threats:
Scrubcrypt
Venomrat
Remcos_rat
Batcloak_tool
Xworm_rat
Nanocore_rat
Amsi_bypass_technique
Quasar_rat
Cloudeye
Steganography_technique
Process_hollowing_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.001, T1027, T1140, T1059, T1562.001, T1547.001, T1053.005, T1574.012
IOCs:
File: 10
Url: 4
Registry: 1
Domain: 1
Soft:
OneNote, Foxmail, telegram
Wallets:
exodus_wallet
Algorithms:
aes-cbc, zip, rc4, gzip, base64
Win API:
decompress, EtwEventWrite
Languages:
powershell
21-04-2024
ScrubCrypt VenomRAT RemcosRAT. Too long to watch
https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A
Report completeness: High
Actors/Campaigns:
8220_gang
Threats:
Scrubcrypt
Venomrat
Remcos_rat
Batcloak_tool
Xworm_rat
Nanocore_rat
Amsi_bypass_technique
Quasar_rat
Cloudeye
Steganography_technique
Process_hollowing_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.001, T1027, T1140, T1059, T1562.001, T1547.001, T1053.005, T1574.012
IOCs:
File: 10
Url: 4
Registry: 1
Domain: 1
Soft:
OneNote, Foxmail, telegram
Wallets:
exodus_wallet
Algorithms:
aes-cbc, zip, rc4, gzip, base64
Win API:
decompress, EtwEventWrite
Languages:
powershell
Weixin Official Accounts Platform
钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶
CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 ScrubCrypt VenomRAT RemcosRAT. Too long to watch https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A Report completeness: High Actors/Campaigns: 8220_gang Threats: Scrubcrypt Venomrat Remcos_rat Batcloak_tool Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе сложной кибератаки, связанной с распространением и выполнением VenomRAT, троянской программы удаленного доступа, с использованием передовых методов обфускации. Цепочка атак включает фишинговые электронные письма, запутанные пакетные файлы и плагины, поставляемые через сервер управления, демонстрируя возможности, которые злоумышленники используют для компрометации систем и кражи конфиденциальных данных.
-----
Распространение атаки VenomRAT включает в себя фишинговые электронные письма с вредоносными SVG-файлами, которые приводят к загрузке зашифрованных ZIP-файлов, содержащих VenomRAT, с помощью ScrubCrypt.
VenomRAT устанавливает соединение с сервером C2, устанавливает плагины, такие как Remcos, XWorm, NanoCore и стелс-программы для крипто-кошельков, и собирает данные о жертвах различных вредоносных действий.
В ходе атаки используются запутанные скрипты, технологии PowerShell и сложные плагины для кражи данных, контроля системы и уклонения от обнаружения.
NanoCore изменяет ключи реестра и загружает закодированные данные, XWorm распространяется через съемные диски, а Remcos обеспечивает полный контроль над зараженными системами с помощью кейлоггинга и скриншотов.
Плагины с сервера VenomRAT C2 нацелены на конкретные данные, такие как крипто-кошельки, имена пользователей и данные о ПК, постоянно отправляя собранные данные в вредоносных целях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе сложной кибератаки, связанной с распространением и выполнением VenomRAT, троянской программы удаленного доступа, с использованием передовых методов обфускации. Цепочка атак включает фишинговые электронные письма, запутанные пакетные файлы и плагины, поставляемые через сервер управления, демонстрируя возможности, которые злоумышленники используют для компрометации систем и кражи конфиденциальных данных.
-----
Распространение атаки VenomRAT включает в себя фишинговые электронные письма с вредоносными SVG-файлами, которые приводят к загрузке зашифрованных ZIP-файлов, содержащих VenomRAT, с помощью ScrubCrypt.
VenomRAT устанавливает соединение с сервером C2, устанавливает плагины, такие как Remcos, XWorm, NanoCore и стелс-программы для крипто-кошельков, и собирает данные о жертвах различных вредоносных действий.
В ходе атаки используются запутанные скрипты, технологии PowerShell и сложные плагины для кражи данных, контроля системы и уклонения от обнаружения.
NanoCore изменяет ключи реестра и загружает закодированные данные, XWorm распространяется через съемные диски, а Remcos обеспечивает полный контроль над зараженными системами с помощью кейлоггинга и скриншотов.
Плагины с сервера VenomRAT C2 нацелены на конкретные данные, такие как крипто-кошельки, имена пользователей и данные о ПК, постоянно отправляя собранные данные в вредоносных целях.
#ParsedReport #CompletenessMedium
22-04-2024
TargetCompany MS-SQL (Mallox, BlueSky )
https://asec.ahnlab.com/ko/64345
Report completeness: Medium
Actors/Campaigns:
Tor2mine
Threats:
Targetcompany
Bluesky_ransomware
Remcos_rat
Cobalt_strike
Anydesk_tool
Trigona
Shadow_copies_delete_technique
Trojan/win.generic.c5352187
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m1751
Ransom/mdp.event.m1946
Teamviewer_tool
ChatGPT TTPs:
T1110, T1133, T1021, T1565, T1071, T1105, T1486, T1070, T1059
IOCs:
File: 34
Url: 4
Command: 2
Registry: 5
Hash: 5
IP: 1
Soft:
MS-SQL, Internet Explorer, Windows Defender, ASP.NET, mysql, SQL Server Reporting Services, SQLBrowser, MSSQL, SQLAgent, RabbitMQ, have more...
Algorithms:
aes-128-ctr, sha256, md5, aes-256
Win Services:
(MSSQLSERVER)
Languages:
powershell
Platforms:
intel
Links:
22-04-2024
TargetCompany MS-SQL (Mallox, BlueSky )
https://asec.ahnlab.com/ko/64345
Report completeness: Medium
Actors/Campaigns:
Tor2mine
Threats:
Targetcompany
Bluesky_ransomware
Remcos_rat
Cobalt_strike
Anydesk_tool
Trigona
Shadow_copies_delete_technique
Trojan/win.generic.c5352187
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m1751
Ransom/mdp.event.m1946
Teamviewer_tool
ChatGPT TTPs:
do not use without manual checkT1110, T1133, T1021, T1565, T1071, T1105, T1486, T1070, T1059
IOCs:
File: 34
Url: 4
Command: 2
Registry: 5
Hash: 5
IP: 1
Soft:
MS-SQL, Internet Explorer, Windows Defender, ASP.NET, mysql, SQL Server Reporting Services, SQLBrowser, MSSQL, SQLAgent, RabbitMQ, have more...
Algorithms:
aes-128-ctr, sha256, md5, aes-256
Win Services:
(MSSQLSERVER)
Languages:
powershell
Platforms:
intel
Links:
https://github.com/kevoreilly/CAPEv2ASEC BLOG
TargetCompany 공격자의 MS-SQL 서버 공격 사례 분석 (Mallox, BlueSky 랜섬웨어) - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 최근 MS-SQL 서버를 대상으로 한 공격들을 모니터링하던 중 TargetComapny 랜섬웨어 그룹이 Mallox 랜섬웨어를 설치하고 있는 사례를 확인하였다. TargetComapny 랜섬웨어 그룹은 주로 부적절하게 관리되는 MS-SQL 서버를 공격하여 Mallox 랜섬웨어를 설치하고 있다. 이러한 공격은 수 년째 지속되고 있지만 여기에서는 새롭게 확인된 악성코드를 통해 과거…
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2024 TargetCompany MS-SQL (Mallox, BlueSky ) https://asec.ahnlab.com/ko/64345 Report completeness: Medium Actors/Campaigns: Tor2mine Threats: Targetcompany Bluesky_ransomware Remcos_rat Cobalt_strike Anydesk_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
Группа компаний-вымогателей TargetCompany использует недостаточно защищенные серверы MS-SQL для развертывания программ-вымогателей Mallox и других вредоносных программ, таких как Remcos RAT и Cobalt Strike, с целью компрометации систем, утечки данных и проведения атак с целью получения финансовой выгоды. Они используют уязвимости с помощью грубой силы и атак по словарю, при этом на протяжении нескольких лет они постоянно используют уязвимости MS-SQL server. Администраторам баз данных рекомендуется усилить меры безопасности, регулярно обновлять пароли и улучшать программное обеспечение для защиты от кибератак.
-----
Группа вымогателей TargetCompany нацелилась на недостаточно защищенные серверы MS-SQL для развертывания программы-вымогателя Mallox.
Злоумышленники используют уязвимости в плохо управляемых серверах MS-SQL, используя грубую силу и словарные атаки для получения доступа.
Remcos RAT используется для удаленного управления, позволяя злоумышленникам собирать конфиденциальную информацию.
Установка программы-вымогателя Mallox выполняется в последовательности, включающей установку вредоносного ПО для удаленного доступа, вредоносного ПО для управления экраном и шифрование системы.
Злоумышленники также используют Cobalt Strike для расширенного контроля и внедряют майнеры монет Tor2Mine и программу-вымогателя BlueSky.
Группа вымогателей TargetCompany использует уязвимости MS-SQL server для постоянных атак с использованием нескольких вариантов вредоносного ПО.
Рекомендуемые меры для администраторов включают надежные пароли, обновления программного обеспечения безопасности и контроль внешнего доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
Группа компаний-вымогателей TargetCompany использует недостаточно защищенные серверы MS-SQL для развертывания программ-вымогателей Mallox и других вредоносных программ, таких как Remcos RAT и Cobalt Strike, с целью компрометации систем, утечки данных и проведения атак с целью получения финансовой выгоды. Они используют уязвимости с помощью грубой силы и атак по словарю, при этом на протяжении нескольких лет они постоянно используют уязвимости MS-SQL server. Администраторам баз данных рекомендуется усилить меры безопасности, регулярно обновлять пароли и улучшать программное обеспечение для защиты от кибератак.
-----
Группа вымогателей TargetCompany нацелилась на недостаточно защищенные серверы MS-SQL для развертывания программы-вымогателя Mallox.
Злоумышленники используют уязвимости в плохо управляемых серверах MS-SQL, используя грубую силу и словарные атаки для получения доступа.
Remcos RAT используется для удаленного управления, позволяя злоумышленникам собирать конфиденциальную информацию.
Установка программы-вымогателя Mallox выполняется в последовательности, включающей установку вредоносного ПО для удаленного доступа, вредоносного ПО для управления экраном и шифрование системы.
Злоумышленники также используют Cobalt Strike для расширенного контроля и внедряют майнеры монет Tor2Mine и программу-вымогателя BlueSky.
Группа вымогателей TargetCompany использует уязвимости MS-SQL server для постоянных атак с использованием нескольких вариантов вредоносного ПО.
Рекомендуемые меры для администраторов включают надежные пароли, обновления программного обеспечения безопасности и контроль внешнего доступа.
#ParsedReport #CompletenessLow
22-04-2024
Sharp-Project: New Stealer Family on the Market
https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer
Report completeness: Low
Threats:
Sharp_stealer
Sharpil
Umbral
Echelon_stealer
Victims:
Gamers, Vime world minecraft server
Industry:
Financial, Entertainment
Geo:
Russian
ChatGPT TTPs:
T1595, T1552, T1547, T1071, T1041
IOCs:
File: 2
Hash: 4
Soft:
Telegram, Google Chrome, Slimjet, Chrome, Opera, Outlook, Discord, Roblox, Viber, Jabber, have more...
Algorithms:
bcrypt, zip
22-04-2024
Sharp-Project: New Stealer Family on the Market
https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer
Report completeness: Low
Threats:
Sharp_stealer
Sharpil
Umbral
Echelon_stealer
Victims:
Gamers, Vime world minecraft server
Industry:
Financial, Entertainment
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1595, T1552, T1547, T1071, T1041
IOCs:
File: 2
Hash: 4
Soft:
Telegram, Google Chrome, Slimjet, Chrome, Opera, Outlook, Discord, Roblox, Viber, Jabber, have more...
Algorithms:
bcrypt, zip
Gdatasoftware
Sharp-Project: New Stealer Family on the Market
Infostealers are one of the most lucrative types of malware employed by criminals. And because this is a tried and tested approach, there are still new players entering this illegal game. The new kid on the block is called "Sharp Stealer", and one of its…
CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 Sharp-Project: New Stealer Family on the Market https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer Report completeness: Low Threats: Sharp_stealer Sharpil Umbral Echelon_stealer Victims: Gamers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что инфокрады Sharpil RAT, в частности вредоносная программа, известная как "Sharp Stealer", нацелена на геймеров с целью кражи конфиденциальной информации, действуя через Telegram-бота, несмотря на то, что она классифицируется как троян удаленного доступа. Вредоносная программа фокусируется на краже данных, а не на контроле системы, использует методы обфускации и нацелена на широкий спектр приложений, которые обычно используются игроками для получения финансовой выгоды на подпольных рынках. Однако он не приобрел значительной популярности в киберпреступном сообществе, и ему не хватает продвинутых методов уклонения, что указывает на то, что он, возможно, все еще находится на ранней стадии разработки.
-----
Инфокрады Sharpil RAT представляют собой нового игрока на рынке киберпреступлений, который нацелен на игроков с целью кражи конфиденциальной информации. Вредоносная программа, известная как "Sharp Stealer", написана на C# и работает путем установления соединения с ботом Telegram для получения команд от участников угрозы. Она может собирать системную информацию, данные браузера, геолокацию и данные пользователя с игровых серверов, таких как Vime World. Несмотря на то, что он помечен как троян для удаленного доступа, его функциональные возможности больше соответствуют функциям похитителя данных, специально разработанного для кражи данных с дистанционным управлением, а не для управления системой.
Злоумышленник, стоящий за Sharp Stealer, работает через Telegram-канал под названием "SHARP PROJECT", предлагая вредоносное ПО в аренду за 10 долларов или для постоянной покупки за 30 долларов. Вредоносное ПО отправляет украденные данные непосредственно боту Telegram, минуя хостинг. Хотя изначально были сомнения в достоверности проекта, дальнейшее расследование подтвердило, что Sharpil RAT и Sharp Stealer используют схожие стили кодирования и нацелены на схожие наборы данных, используя Telegram-бота для сбора данных.
Вредоносная программа использует различные методы обфускации, включая использование Ionic Framework, криптографические функции с помощью библиотеки BCrypt и компоненты других вредоносных программ, таких как Umbral stealer и Echelon infostealer. Несмотря на попытки обфускации, аналитикам удалось расшифровать функциональные возможности вредоносного ПО и определить конкретные данные, на которые оно нацелено, включая широкий спектр приложений, обычно используемых геймерами.
Одним из примечательных аспектов Sharp Stealer является его ориентация на игровые платформы и мессенджеры, которые являются прибыльными источниками внутриигровых предметов, платежной информации и скомпрометированных аккаунтов на подпольных рынках. Однако вредоносная программа еще не приобрела значительной популярности в киберпреступном сообществе из-за ограниченного присутствия на форумах даркнета и небольшой базы подписчиков на соответствующий Telegram-канал. Кроме того, вредоносная программа лишена функций, обычно встречающихся у известных инфокрадов, таких как методы обхода антивирусного обнаружения и обнаружения в изолированной среде, что указывает на то, что она все еще может находиться на ранних стадиях разработки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что инфокрады Sharpil RAT, в частности вредоносная программа, известная как "Sharp Stealer", нацелена на геймеров с целью кражи конфиденциальной информации, действуя через Telegram-бота, несмотря на то, что она классифицируется как троян удаленного доступа. Вредоносная программа фокусируется на краже данных, а не на контроле системы, использует методы обфускации и нацелена на широкий спектр приложений, которые обычно используются игроками для получения финансовой выгоды на подпольных рынках. Однако он не приобрел значительной популярности в киберпреступном сообществе, и ему не хватает продвинутых методов уклонения, что указывает на то, что он, возможно, все еще находится на ранней стадии разработки.
-----
Инфокрады Sharpil RAT представляют собой нового игрока на рынке киберпреступлений, который нацелен на игроков с целью кражи конфиденциальной информации. Вредоносная программа, известная как "Sharp Stealer", написана на C# и работает путем установления соединения с ботом Telegram для получения команд от участников угрозы. Она может собирать системную информацию, данные браузера, геолокацию и данные пользователя с игровых серверов, таких как Vime World. Несмотря на то, что он помечен как троян для удаленного доступа, его функциональные возможности больше соответствуют функциям похитителя данных, специально разработанного для кражи данных с дистанционным управлением, а не для управления системой.
Злоумышленник, стоящий за Sharp Stealer, работает через Telegram-канал под названием "SHARP PROJECT", предлагая вредоносное ПО в аренду за 10 долларов или для постоянной покупки за 30 долларов. Вредоносное ПО отправляет украденные данные непосредственно боту Telegram, минуя хостинг. Хотя изначально были сомнения в достоверности проекта, дальнейшее расследование подтвердило, что Sharpil RAT и Sharp Stealer используют схожие стили кодирования и нацелены на схожие наборы данных, используя Telegram-бота для сбора данных.
Вредоносная программа использует различные методы обфускации, включая использование Ionic Framework, криптографические функции с помощью библиотеки BCrypt и компоненты других вредоносных программ, таких как Umbral stealer и Echelon infostealer. Несмотря на попытки обфускации, аналитикам удалось расшифровать функциональные возможности вредоносного ПО и определить конкретные данные, на которые оно нацелено, включая широкий спектр приложений, обычно используемых геймерами.
Одним из примечательных аспектов Sharp Stealer является его ориентация на игровые платформы и мессенджеры, которые являются прибыльными источниками внутриигровых предметов, платежной информации и скомпрометированных аккаунтов на подпольных рынках. Однако вредоносная программа еще не приобрела значительной популярности в киберпреступном сообществе из-за ограниченного присутствия на форумах даркнета и небольшой базы подписчиков на соответствующий Telegram-канал. Кроме того, вредоносная программа лишена функций, обычно встречающихся у известных инфокрадов, таких как методы обхода антивирусного обнаружения и обнаружения в изолированной среде, что указывает на то, что она все еще может находиться на ранних стадиях разработки.