CTT Report Hub
#ParsedReport #CompletenessHigh 24-04-2024 Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в росте числа кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, в частности SideCopy и APT36, с подробным описанием их тактики, методов и сходства инфраструктуры. В анализе подчеркивается растущий уровень угроз, с которыми сталкивается Индия, включая новые кампании фишинга и громкие атаки программ-вымогателей, что подчеркивает необходимость усиления мер кибербезопасности для противодействия изощренным APT-группам, нацеленным на критически важную инфраструктуру и конфиденциальные данные.
-----
Всплеск кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, таких как SideCopy и APT36.
С 2019 года SideCopy использует AllaKore RAT в многочисленных кампаниях, нацеленных на оборонные и правительственные структуры Индии.
Transparent Tribe (APT36) использовали Crimson RAT в закодированных версиях во время тех же событий.
В последнее время отмечается рост продаж доступа к индийским юридическим лицам, громкие атаки программ-вымогателей и деструктивные атаки со стороны групп хакеров Telegram.
Сходства в тактике атак в разных кампаниях, включая использование скомпрометированных доменов, скрытый фишинг и использование RAT, таких как AllaKore.
На потенциальное сотрудничество или совместное использование ресурсов между SideCopy и APT36 указывают совпадения в использовании кода между AllaKore RAT и Crimson RAT.
Тесная связь между APT36 и SideCopy с точки зрения цепочек атак и сходства инфраструктуры.
Для индийских организаций важно усилить меры кибербезопасности, чтобы снизить риски, создаваемые сложными группами APT, в преддверии предстоящих событий, таких как выборы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в росте числа кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, в частности SideCopy и APT36, с подробным описанием их тактики, методов и сходства инфраструктуры. В анализе подчеркивается растущий уровень угроз, с которыми сталкивается Индия, включая новые кампании фишинга и громкие атаки программ-вымогателей, что подчеркивает необходимость усиления мер кибербезопасности для противодействия изощренным APT-группам, нацеленным на критически важную инфраструктуру и конфиденциальные данные.
-----
Всплеск кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, таких как SideCopy и APT36.
С 2019 года SideCopy использует AllaKore RAT в многочисленных кампаниях, нацеленных на оборонные и правительственные структуры Индии.
Transparent Tribe (APT36) использовали Crimson RAT в закодированных версиях во время тех же событий.
В последнее время отмечается рост продаж доступа к индийским юридическим лицам, громкие атаки программ-вымогателей и деструктивные атаки со стороны групп хакеров Telegram.
Сходства в тактике атак в разных кампаниях, включая использование скомпрометированных доменов, скрытый фишинг и использование RAT, таких как AllaKore.
На потенциальное сотрудничество или совместное использование ресурсов между SideCopy и APT36 указывают совпадения в использовании кода между AllaKore RAT и Crimson RAT.
Тесная связь между APT36 и SideCopy с точки зрения цепочек атак и сходства инфраструктуры.
Для индийских организаций важно усилить меры кибербезопасности, чтобы снизить риски, создаваемые сложными группами APT, в преддверии предстоящих событий, таких как выборы.
#ParsedReport #CompletenessMedium
24-04-2024
APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve-2022-38028
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Vice_society
Threats:
Gooseegg_tool
Printnightmare_vuln
Magniber
Victims:
Microsoft, Governmental organizations, Non-governmental organizations, Educational institutions, Transportation organizations
Industry:
Ngo, Energy, Transport, Government
Geo:
Ukraine, Russian, America
CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
ChatGPT TTPs:
T1068, T1078, T1059, T1564, T1547, T1574, T1021
IOCs:
File: 9
Hash: 4
Soft:
Windows Print Spooler, Microsoft Outlook
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
24-04-2024
APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve-2022-38028
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Vice_society
Threats:
Gooseegg_tool
Printnightmare_vuln
Magniber
Victims:
Microsoft, Governmental organizations, Non-governmental organizations, Educational institutions, Transportation organizations
Industry:
Ngo, Energy, Transport, Government
Geo:
Ukraine, Russian, America
CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
ChatGPT TTPs:
do not use without manual checkT1068, T1078, T1059, T1564, T1547, T1574, T1021
IOCs:
File: 9
Hash: 4
Soft:
Windows Print Spooler, Microsoft Outlook
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
SOCRadar® Cyber Intelligence Inc.
APT28 Deploys ‘GooseEgg’ in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
Microsoft recently shed light on a campaign orchestrated by the Russian-based threat actor Forest Blizzard, employing a tool named 'GooseEgg'...
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028 https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Microsoft обнаружила киберкампанию, возглавляемую базирующимся в России агентом по борьбе с угрозами Forest Blizzard, использующим пользовательский инструмент GooseEgg для использования уязвимости в службе диспетчера очереди печати Windows. Целью Forest Blizzard является получение расширенного доступа к целевым системам, кража учетных данных и осуществление вредоносных действий, таких как повышение привилегий и перемещение по скомпрометированным сетям. Злоумышленник, связанный с российской разведкой, нацелен на различные сектора по всему миру и, как было замечено, использует другие эксплойты наряду с выявленной уязвимостью. Организации, использующие продукты Microsoft, подвергаются риску использования злоумышленниками, такими как Forest Blizzard, что подчеркивает важность получения информации и принятия строгих мер кибербезопасности для предотвращения потенциальных нарушений.
-----
Microsoft раскрыла кибератаку российского злоумышленника Forest Blizzard, который использовал инструмент GooseEgg для использования CVE-2022-38028 в службе диспетчера очереди печати Windows.
"Лесная метель" нацелена на правительственные, неправительственные, образовательные и транспортные организации в Украине, Западной Европе и Северной Америке.
GooseEgg позволяет повышать привилегии, красть учетные данные, устанавливать бэкдор, удаленно выполнять код и перемещаться по скомпрометированным сетям.
Цель Forest Blizzard - получить доступ, украсть учетные данные и информацию, развернув GooseEgg с помощью пакетных сценариев, таких как execute.bat и doit.bat.
Forest Blizzard, также известная как APT28, фокусируется на стратегических разведывательных задачах, поддерживающих цели российской внешней политики, по крайней мере, с 2010 года.
Forest Blizzard использовала другие эксплойты, такие как CVE-2023-23397, наряду со службой диспетчера очереди печати Windows.
Кампания имеет большое значение, поскольку поставщики систем безопасности ранее не сообщали об использовании GooseEgg компанией Forest Blizzard, а другие группы программ-вымогателей использовали аналогичные уязвимости.
Microsoft Threat Intelligence предоставляет информацию о тактике Forest Blizzard, уделяя особое внимание получению несанкционированного доступа и краже конфиденциальной информации.
Организации должны быть постоянно информированы о таких субъектах угрозы и инструментах для повышения уровня кибербезопасности и предотвращения нарушений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Microsoft обнаружила киберкампанию, возглавляемую базирующимся в России агентом по борьбе с угрозами Forest Blizzard, использующим пользовательский инструмент GooseEgg для использования уязвимости в службе диспетчера очереди печати Windows. Целью Forest Blizzard является получение расширенного доступа к целевым системам, кража учетных данных и осуществление вредоносных действий, таких как повышение привилегий и перемещение по скомпрометированным сетям. Злоумышленник, связанный с российской разведкой, нацелен на различные сектора по всему миру и, как было замечено, использует другие эксплойты наряду с выявленной уязвимостью. Организации, использующие продукты Microsoft, подвергаются риску использования злоумышленниками, такими как Forest Blizzard, что подчеркивает важность получения информации и принятия строгих мер кибербезопасности для предотвращения потенциальных нарушений.
-----
Microsoft раскрыла кибератаку российского злоумышленника Forest Blizzard, который использовал инструмент GooseEgg для использования CVE-2022-38028 в службе диспетчера очереди печати Windows.
"Лесная метель" нацелена на правительственные, неправительственные, образовательные и транспортные организации в Украине, Западной Европе и Северной Америке.
GooseEgg позволяет повышать привилегии, красть учетные данные, устанавливать бэкдор, удаленно выполнять код и перемещаться по скомпрометированным сетям.
Цель Forest Blizzard - получить доступ, украсть учетные данные и информацию, развернув GooseEgg с помощью пакетных сценариев, таких как execute.bat и doit.bat.
Forest Blizzard, также известная как APT28, фокусируется на стратегических разведывательных задачах, поддерживающих цели российской внешней политики, по крайней мере, с 2010 года.
Forest Blizzard использовала другие эксплойты, такие как CVE-2023-23397, наряду со службой диспетчера очереди печати Windows.
Кампания имеет большое значение, поскольку поставщики систем безопасности ранее не сообщали об использовании GooseEgg компанией Forest Blizzard, а другие группы программ-вымогателей использовали аналогичные уязвимости.
Microsoft Threat Intelligence предоставляет информацию о тактике Forest Blizzard, уделяя особое внимание получению несанкционированного доступа и краже конфиденциальной информации.
Организации должны быть постоянно информированы о таких субъектах угрозы и инструментах для повышения уровня кибербезопасности и предотвращения нарушений.
#ParsedReport #CompletenessMedium
24-04-2024
The new Scaly Wolf bootloader turned out to be unusable for attacks
https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak
Report completeness: Medium
Actors/Campaigns:
Scaly_wolf
Threats:
Donut
Whitesnake_stealer
Snake_keylogger
Spear-phishing_technique
Process_injection_technique
Geo:
Russian, Belarusian, Russia
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 6
Path: 1
Command: 1
Domain: 2
Url: 27
Hash: 3
Soft:
Windows kernel, OpenSSH
Platforms:
intel
24-04-2024
The new Scaly Wolf bootloader turned out to be unusable for attacks
https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak
Report completeness: Medium
Actors/Campaigns:
Scaly_wolf
Threats:
Donut
Whitesnake_stealer
Snake_keylogger
Spear-phishing_technique
Process_injection_technique
Geo:
Russian, Belarusian, Russia
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 6
Path: 1
Command: 1
Domain: 2
Url: 27
Hash: 3
Soft:
Windows kernel, OpenSSH
Platforms:
intel
BI.ZONE
Новый загрузчик Scaly Wolf оказался непригодным для атак
Специалисты BI.ZONE Threat Intelligence обнаружили свежую кампанию группировки, нацеленную на российские и белорусские организации
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 The new Scaly Wolf bootloader turned out to be unusable for attacks https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak Report completeness: Medium Actors/Campaigns: Scaly_wolf…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Аналитики, занимающиеся анализом киберугроз, обнаружили новую кампанию, направленную против российских и белорусских организаций, для которой характерны новые тактические приемы, такие как использование защищенных паролем архивов для распространения вредоносных программ с помощью фишинговых электронных писем. В одном из инцидентов было установлено, что федеральное агентство распространяло вредоносный контент под видом законных документов. В атаке был задействован сложный загрузчик под названием "Недействительный принтер", который внедрил вредоносный код в explorer.exe, используя передовые методы обхода. В качестве полезной нагрузки использовался White Snake stealer, способный загружать другие вредоносные программы. Для борьбы с такими угрозами организациям рекомендуется повысить безопасность конечных точек с помощью таких решений, как BI.ЗОНИРУЙТЕ EDR и используйте аналитические данные об угрозах для улучшения возможностей реагирования на инциденты.
-----
Специалисты BI.ZONE по анализу угроз обнаружили новую кампанию, направленную против российских и белорусских организаций, проводимую неустановленной группой. Кампания продолжает развиваться, в ее арсенал добавляются новые инструменты. Злоумышленники используют защищенные паролем архивы для обхода мер безопасности и эффективного распространения вредоносного ПО. Отправляя фишинговые электронные письма от имени различных подразделений, злоумышленники значительно повышают шансы жертв на взаимодействие с вредоносными вложениями.
В ходе конкретного инцидента в рамках этой кампании злоумышленники отправляли фишинговые электронные письма, представляясь федеральным агентством, прилагая, казалось бы, законный документ, чтобы усыпить бдительность пользователя. За этим документом последовал защищенный паролем архив с именем "Пароль 120917.txt", содержащий файл с названием "Права, обязанности и порядок применения статей 164, 170, 183 Уголовно-процессуального кодекса Российской Федерации.rtf". Хотя на первый взгляд это были законные документы, они должны были отвлечь пользователя от реальной угрозы - исполняемого файла с расширением ".exe", содержащего вредоносную полезную нагрузку.
Вредоносная полезная нагрузка в исполняемом файле была идентифицирована как загрузчик с именем "Недопустимый принтер", который при запуске проверял наличие виртуальной среды, прежде чем внедрить вредоносную полезную нагрузку в адресное пространство процесса "explorer.exe ." В отличие от обычных вредоносных программ, этот загрузчик напрямую обращался к ядру Windows без использования WinAPI-вызовов. Кроме того, он пытался открыть несуществующие случайные файлы и записать в них случайные данные, что потенциально могло помочь в обнаружении вредоносной активности.
Дальнейший анализ показал, что полезная нагрузка, выполняемая загрузчиком, представляет собой шеллкод, сгенерированный с использованием утилиты Donut с открытым исходным кодом. Шеллкод запускал White Snake stealer версии 1.6.1.9, последнюю версию stealer по состоянию на март 2024 года. White Snake способен использовать легальные сервисы, такие как serveo.net, и загружать OpenSSH для выполнения вредоносных действий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Аналитики, занимающиеся анализом киберугроз, обнаружили новую кампанию, направленную против российских и белорусских организаций, для которой характерны новые тактические приемы, такие как использование защищенных паролем архивов для распространения вредоносных программ с помощью фишинговых электронных писем. В одном из инцидентов было установлено, что федеральное агентство распространяло вредоносный контент под видом законных документов. В атаке был задействован сложный загрузчик под названием "Недействительный принтер", который внедрил вредоносный код в explorer.exe, используя передовые методы обхода. В качестве полезной нагрузки использовался White Snake stealer, способный загружать другие вредоносные программы. Для борьбы с такими угрозами организациям рекомендуется повысить безопасность конечных точек с помощью таких решений, как BI.ЗОНИРУЙТЕ EDR и используйте аналитические данные об угрозах для улучшения возможностей реагирования на инциденты.
-----
Специалисты BI.ZONE по анализу угроз обнаружили новую кампанию, направленную против российских и белорусских организаций, проводимую неустановленной группой. Кампания продолжает развиваться, в ее арсенал добавляются новые инструменты. Злоумышленники используют защищенные паролем архивы для обхода мер безопасности и эффективного распространения вредоносного ПО. Отправляя фишинговые электронные письма от имени различных подразделений, злоумышленники значительно повышают шансы жертв на взаимодействие с вредоносными вложениями.
В ходе конкретного инцидента в рамках этой кампании злоумышленники отправляли фишинговые электронные письма, представляясь федеральным агентством, прилагая, казалось бы, законный документ, чтобы усыпить бдительность пользователя. За этим документом последовал защищенный паролем архив с именем "Пароль 120917.txt", содержащий файл с названием "Права, обязанности и порядок применения статей 164, 170, 183 Уголовно-процессуального кодекса Российской Федерации.rtf". Хотя на первый взгляд это были законные документы, они должны были отвлечь пользователя от реальной угрозы - исполняемого файла с расширением ".exe", содержащего вредоносную полезную нагрузку.
Вредоносная полезная нагрузка в исполняемом файле была идентифицирована как загрузчик с именем "Недопустимый принтер", который при запуске проверял наличие виртуальной среды, прежде чем внедрить вредоносную полезную нагрузку в адресное пространство процесса "explorer.exe ." В отличие от обычных вредоносных программ, этот загрузчик напрямую обращался к ядру Windows без использования WinAPI-вызовов. Кроме того, он пытался открыть несуществующие случайные файлы и записать в них случайные данные, что потенциально могло помочь в обнаружении вредоносной активности.
Дальнейший анализ показал, что полезная нагрузка, выполняемая загрузчиком, представляет собой шеллкод, сгенерированный с использованием утилиты Donut с открытым исходным кодом. Шеллкод запускал White Snake stealer версии 1.6.1.9, последнюю версию stealer по состоянию на март 2024 года. White Snake способен использовать легальные сервисы, такие как serveo.net, и загружать OpenSSH для выполнения вредоносных действий.
#ParsedReport #CompletenessLow
25-04-2024
Ransomware Roundup - KageNoHitobito and DoNex
https://www.fortinet.com/blog/threat-research/ransomware-roundup-keganohitobito-and-donex
Report completeness: Low
Threats:
Kagenohitobito
Darkrace
Shadow_copies_delete_technique
Industry:
Ics
Geo:
Belgium, America, Lithuania, Czech, Netherlands, Taiwan, Chile, Italy, Germany, Iran, Peru, Japanese, China, Sweden, Romania
ChatGPT TTPs:
T1486, T1486, T1027, T1027, T1490, T1567
IOCs:
File: 14
Hash: 10
Soft:
chrome, onenote, outlook, msexchange
Win Services:
powerpnt, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr
Platforms:
x86, intel
25-04-2024
Ransomware Roundup - KageNoHitobito and DoNex
https://www.fortinet.com/blog/threat-research/ransomware-roundup-keganohitobito-and-donex
Report completeness: Low
Threats:
Kagenohitobito
Darkrace
Shadow_copies_delete_technique
Industry:
Ics
Geo:
Belgium, America, Lithuania, Czech, Netherlands, Taiwan, Chile, Italy, Germany, Iran, Peru, Japanese, China, Sweden, Romania
ChatGPT TTPs:
do not use without manual checkT1486, T1486, T1027, T1027, T1490, T1567
IOCs:
File: 14
Hash: 10
Soft:
chrome, onenote, outlook, msexchange
Win Services:
powerpnt, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr
Platforms:
x86, intel
Fortinet Blog
Ransomware Roundup - KageNoHitobito and DoNex
The KageNoHitobito and DoNex are recent ransomware that are financially motivated, demanding payment from victims to decrypt files. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Ransomware Roundup - KageNoHitobito and DoNex https://www.fortinet.com/blog/threat-research/ransomware-roundup-keganohitobito-and-donex Report completeness: Low Threats: Kagenohitobito Darkrace Shadow_copies_delete_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В двухнедельных отчетах FortiGuard Labs о вариантах программ-вымогателей основное внимание уделяется KageNoHitobito и DoNex, двум недавним угрозам-вымогателям с уникальными функциями и потенциальными связями с другими известными группами.
-----
FortiGuard Labs раз в две недели публикует отчеты о вариантах программ-вымогателей, которые набирают популярность в наборах данных и OSINT. В последнем обзоре программ-вымогателей рассматриваются KageNoHitobito и DoNex. В конце марта 2024 года появилась программа KageNoHitobito, шифрующая файлы с расширением ".hitobito" и отображающая уведомления о выкупе, требующие платы за расшифровку. Вредоносное ПО могло распространяться с помощью поддельного программного обеспечения или игровых читов на файлообменных сервисах. Он работает только на локальных дисках, прекращает активность по истечении установленного срока и направляет жертв на сайт TOR для переговоров, хотя чат, похоже, никак не связан с обсуждением вопроса о выкупе.
В начале марта 2024 года появилась новая группа программ-вымогателей DoNex, которая шифрует файлы как на локальных, так и на сетевых дисках. Программа добавляет идентификатор жертвы к зашифрованным файлам и удаляет теневые копии для предотвращения восстановления. У DoNex есть общие черты с DarkRace, что указывает на потенциальную связь между ними. Жертвы DoNex, список которых был опубликован на сайте по утечке данных TOR, охватывают Бельгию, Чехию, Италию, Нидерланды и Соединенные Штаты.
В обоих вариантах программ-вымогателей отсутствует информация об их переносчиках заражения, хотя, вероятно, применяются типичные методы. Чат, связанный с KageNoHitobito, по-видимому, не предполагает переговоров о выкупе. Примечательно, что жертвы DoNex, как было отмечено, были на сайте утечки данных до публикации отчета, что намекает на более раннее распространение.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В двухнедельных отчетах FortiGuard Labs о вариантах программ-вымогателей основное внимание уделяется KageNoHitobito и DoNex, двум недавним угрозам-вымогателям с уникальными функциями и потенциальными связями с другими известными группами.
-----
FortiGuard Labs раз в две недели публикует отчеты о вариантах программ-вымогателей, которые набирают популярность в наборах данных и OSINT. В последнем обзоре программ-вымогателей рассматриваются KageNoHitobito и DoNex. В конце марта 2024 года появилась программа KageNoHitobito, шифрующая файлы с расширением ".hitobito" и отображающая уведомления о выкупе, требующие платы за расшифровку. Вредоносное ПО могло распространяться с помощью поддельного программного обеспечения или игровых читов на файлообменных сервисах. Он работает только на локальных дисках, прекращает активность по истечении установленного срока и направляет жертв на сайт TOR для переговоров, хотя чат, похоже, никак не связан с обсуждением вопроса о выкупе.
В начале марта 2024 года появилась новая группа программ-вымогателей DoNex, которая шифрует файлы как на локальных, так и на сетевых дисках. Программа добавляет идентификатор жертвы к зашифрованным файлам и удаляет теневые копии для предотвращения восстановления. У DoNex есть общие черты с DarkRace, что указывает на потенциальную связь между ними. Жертвы DoNex, список которых был опубликован на сайте по утечке данных TOR, охватывают Бельгию, Чехию, Италию, Нидерланды и Соединенные Штаты.
В обоих вариантах программ-вымогателей отсутствует информация об их переносчиках заражения, хотя, вероятно, применяются типичные методы. Чат, связанный с KageNoHitobito, по-видимому, не предполагает переговоров о выкупе. Примечательно, что жертвы DoNex, как было отмечено, были на сайте утечки данных до публикации отчета, что намекает на более раннее распространение.
#ParsedReport #CompletenessLow
25-04-2024
Brokewell: do not go broke from new banking malware!
https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware
Report completeness: Low
Actors/Campaigns:
Hadoken_security (motivation: cyber_criminal)
Threats:
Brokewell
Victims:
Financial institutions, Buy now, pay later financial service, Austrian digital authentication application
Industry:
Financial
Geo:
Austria, Austrian
ChatGPT TTPs:
T1404, T1444, T1406, T1573, T1412, T1430, T1429
IOCs:
Hash: 2
Soft:
Android
25-04-2024
Brokewell: do not go broke from new banking malware!
https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware
Report completeness: Low
Actors/Campaigns:
Hadoken_security (motivation: cyber_criminal)
Threats:
Brokewell
Victims:
Financial institutions, Buy now, pay later financial service, Austrian digital authentication application
Industry:
Financial
Geo:
Austria, Austrian
ChatGPT TTPs:
do not use without manual checkT1404, T1444, T1406, T1573, T1412, T1430, T1429
IOCs:
Hash: 2
Soft:
Android
ThreatFabric
Brokewell: do not go broke from new banking malware!
Explore the new malware family, Brokewell, with Device Takeover capabilities. Understand the risks it poses to financial institutions and how to stay protected.
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Brokewell: do not go broke from new banking malware! https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware Report completeness: Low Actors/Campaigns: Hadoken_security (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Появление нового сложного мобильного вредоносного ПО под названием "Brokewell" с расширенными возможностями захвата устройств представляет серьезную угрозу для банковской отрасли. Вредоносное ПО использует различные методы для кражи конфиденциальной информации, удаленного управления устройствами и сбора данных, что затрудняет работу традиционных средств обнаружения мошенничества. Разработчики Brokewell не скрывают своей личности, что свидетельствует о переходе к разработке более специализированных мобильных вредоносных программ. Расширяющиеся возможности Brokewell подчеркивают необходимость в комплексных решениях по обнаружению мошенничества для эффективной борьбы с подобными угрозами и защиты клиентов финансовых учреждений.
-----
Новое семейство вредоносных программ для мобильных устройств под названием "Brokewell" обладает расширенными возможностями захвата устройств, что представляет серьезную угрозу для банковской отрасли.
Brokewell распространяется через поддельные страницы обновления браузера на устройствах Android и крадет учетные данные пользователей с помощью оверлейных атак.
Вредоносная программа может регистрировать действия устройства, перехватывать файлы cookie сеанса, собирать такие данные, как история звонков и геолокация, а также записывать аудио.
Это позволяет злоумышленникам удаленно управлять устройствами с помощью потоковой передачи с экрана, позволяя выполнять такие действия, как касания, свайпы и щелчки.
Хранилище вредоносного ПО принадлежит компании "Brokewell Cyber Labs", созданной "Бароном Самедитом", который занялся разработкой вредоносного ПО для мобильных устройств.
Brokewell обходит ограничения Android 13+ на доступность сервиса для сторонних приложений, что потенциально снижает возможности киберпреступников по распространению вредоносного ПО для мобильных устройств.
Развитие Brokewell свидетельствует о постоянном спросе киберпреступников на возможности захвата устройств, что бросает вызов инструментам обнаружения мошенничества, основанным на идентификации устройств.
Дальнейшая эволюция вредоносного ПО может включать в себя его рекламу на подпольных платформах в качестве услуги по аренде, что привлечет больше киберпреступников для его использования в различных кампаниях.
Комплексные решения для обнаружения мошенничества, основанные на множестве показателей, таких как риски для устройств, поведения и личных данных, имеют решающее значение для борьбы с угрозами, исходящими от вредоносных программ, таких как Brokewell.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Появление нового сложного мобильного вредоносного ПО под названием "Brokewell" с расширенными возможностями захвата устройств представляет серьезную угрозу для банковской отрасли. Вредоносное ПО использует различные методы для кражи конфиденциальной информации, удаленного управления устройствами и сбора данных, что затрудняет работу традиционных средств обнаружения мошенничества. Разработчики Brokewell не скрывают своей личности, что свидетельствует о переходе к разработке более специализированных мобильных вредоносных программ. Расширяющиеся возможности Brokewell подчеркивают необходимость в комплексных решениях по обнаружению мошенничества для эффективной борьбы с подобными угрозами и защиты клиентов финансовых учреждений.
-----
Новое семейство вредоносных программ для мобильных устройств под названием "Brokewell" обладает расширенными возможностями захвата устройств, что представляет серьезную угрозу для банковской отрасли.
Brokewell распространяется через поддельные страницы обновления браузера на устройствах Android и крадет учетные данные пользователей с помощью оверлейных атак.
Вредоносная программа может регистрировать действия устройства, перехватывать файлы cookie сеанса, собирать такие данные, как история звонков и геолокация, а также записывать аудио.
Это позволяет злоумышленникам удаленно управлять устройствами с помощью потоковой передачи с экрана, позволяя выполнять такие действия, как касания, свайпы и щелчки.
Хранилище вредоносного ПО принадлежит компании "Brokewell Cyber Labs", созданной "Бароном Самедитом", который занялся разработкой вредоносного ПО для мобильных устройств.
Brokewell обходит ограничения Android 13+ на доступность сервиса для сторонних приложений, что потенциально снижает возможности киберпреступников по распространению вредоносного ПО для мобильных устройств.
Развитие Brokewell свидетельствует о постоянном спросе киберпреступников на возможности захвата устройств, что бросает вызов инструментам обнаружения мошенничества, основанным на идентификации устройств.
Дальнейшая эволюция вредоносного ПО может включать в себя его рекламу на подпольных платформах в качестве услуги по аренде, что привлечет больше киберпреступников для его использования в различных кампаниях.
Комплексные решения для обнаружения мошенничества, основанные на множестве показателей, таких как риски для устройств, поведения и личных данных, имеют решающее значение для борьбы с угрозами, исходящими от вредоносных программ, таких как Brokewell.
#ParsedReport #CompletenessMedium
25-04-2024
Brokewell: A New Android Banking Trojan Targeting Users In Germany
https://cyble.com/blog/brokewell-a-new-android-banking-trojan-targeting-users-in-germany
Report completeness: Medium
Industry:
Financial
Geo:
German, Swedish, Portuguese, Chinese, French, Germany, Indonesian
TTPs:
Tactics: 8
Technics: 10
IOCs:
Url: 2
Domain: 2
IP: 1
File: 2
Hash: 6
Soft:
Android, Chrome, Telegram, gmail, Unix
Algorithms:
aes, md5, sha256, sha1
Platforms:
intel
25-04-2024
Brokewell: A New Android Banking Trojan Targeting Users In Germany
https://cyble.com/blog/brokewell-a-new-android-banking-trojan-targeting-users-in-germany
Report completeness: Medium
Industry:
Financial
Geo:
German, Swedish, Portuguese, Chinese, French, Germany, Indonesian
TTPs:
Tactics: 8
Technics: 10
IOCs:
Url: 2
Domain: 2
IP: 1
File: 2
Hash: 6
Soft:
Android, Chrome, Telegram, gmail, Unix
Algorithms:
aes, md5, sha256, sha1
Platforms:
intel
Cyble
Brokewell: New Android Trojan Targeting Germany Users
Cybel uncovers the 'Brokewell' Android Banking Trojan targeting German users with overlay attacks, keylogging, and screen recording. Stay updated on threats.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-04-2024 Brokewell: A New Android Banking Trojan Targeting Users In Germany https://cyble.com/blog/brokewell-a-new-android-banking-trojan-targeting-users-in-germany Report completeness: Medium Industry: Financial Geo:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cyble обнаружила новый банковский троян для Android под названием "Brokewell", нацеленный на пользователей в Германии и потенциально распространяющийся на другие регионы. Эта вредоносная программа, управляемая разработчиком по имени "Baron Samedit" из "Brokewell Cyber Labs", использует различные вредоносные методы, такие как атаки с наложением, запись экрана, кейлоггинг и кражу файлов cookie. Она постоянно развивается, расширяя возможности и создавая серьезную угрозу безопасности мобильного банкинга. Пользователям и организациям рекомендуется сохранять бдительность и применять упреждающие меры кибербезопасности для снижения рисков, связанных с этим сложным вредоносным ПО.
-----
Cyble обнаружила новый банковский троянец для Android под названием "Brokewell", нацеленный на пользователей в Германии.
Вредоносная программа распространяется через поддельный фишинговый сайт с обновлениями Chrome и приписывается разработчику по имени "Baron Samedit", который руководит проектом "Brokewell Cyber Labs".
Brokewell использует Gitea для размещения своего репозитория проектов Android Loader project и поддерживает атаки наложением, запись экрана, кейлоггинг и кражу файлов cookie.
Изначально вредоносная программа ориентирована в основном на немецких пользователей, но имеет потенциал для распространения на другие языки и регионы.
Baron Samedit делится ссылками на подпольные форумы, страницу в Tor и Telegram-канал, связанный с проектом.
Разработчик вредоносного ПО использует уникальные методы для обхода ограничений на права доступа в версиях Android 13, 14 и 15.
Банковский троян Brokewell включает в себя расширенные возможности, такие как шифрование строк с использованием AES, проверки на наличие root-прав и поведение, зависящее от устройства.
Вредоносная программа использует оверлейные атаки, запись экрана и использует службы специальных возможностей для получения конфиденциальной информации.
Brokewell взаимодействует с сервером управления для получения команд и передачи украденных данных.
Мониторинг обновлений на подпольных форумах и портале разработчиков имеет решающее значение для понимания возникающей угрозы и принятия соответствующих мер по защите от нее.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cyble обнаружила новый банковский троян для Android под названием "Brokewell", нацеленный на пользователей в Германии и потенциально распространяющийся на другие регионы. Эта вредоносная программа, управляемая разработчиком по имени "Baron Samedit" из "Brokewell Cyber Labs", использует различные вредоносные методы, такие как атаки с наложением, запись экрана, кейлоггинг и кражу файлов cookie. Она постоянно развивается, расширяя возможности и создавая серьезную угрозу безопасности мобильного банкинга. Пользователям и организациям рекомендуется сохранять бдительность и применять упреждающие меры кибербезопасности для снижения рисков, связанных с этим сложным вредоносным ПО.
-----
Cyble обнаружила новый банковский троянец для Android под названием "Brokewell", нацеленный на пользователей в Германии.
Вредоносная программа распространяется через поддельный фишинговый сайт с обновлениями Chrome и приписывается разработчику по имени "Baron Samedit", который руководит проектом "Brokewell Cyber Labs".
Brokewell использует Gitea для размещения своего репозитория проектов Android Loader project и поддерживает атаки наложением, запись экрана, кейлоггинг и кражу файлов cookie.
Изначально вредоносная программа ориентирована в основном на немецких пользователей, но имеет потенциал для распространения на другие языки и регионы.
Baron Samedit делится ссылками на подпольные форумы, страницу в Tor и Telegram-канал, связанный с проектом.
Разработчик вредоносного ПО использует уникальные методы для обхода ограничений на права доступа в версиях Android 13, 14 и 15.
Банковский троян Brokewell включает в себя расширенные возможности, такие как шифрование строк с использованием AES, проверки на наличие root-прав и поведение, зависящее от устройства.
Вредоносная программа использует оверлейные атаки, запись экрана и использует службы специальных возможностей для получения конфиденциальной информации.
Brokewell взаимодействует с сервером управления для получения команд и передачи украденных данных.
Мониторинг обновлений на подпольных форумах и портале разработчиков имеет решающее значение для понимания возникающей угрозы и принятия соответствующих мер по защите от нее.
#ParsedReport #CompletenessLow
25-04-2024
Dark Web Profile: Red Ransomware
https://socradar.io/dark-web-profile-red-ransomware
Report completeness: Low
Threats:
Red_ransomware
Lockbit
Blackcat
Victims:
Information technology, Legal, Hospitality, Transportation, Manufacturing, Education, Electronics, Retail, Targus
Industry:
Healthcare, Transport, Retail, Education
Geo:
India, Canada, Italy, Singapore, Denmark, Spain, Mexico
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1486, T1071, T1566, T1560
Crypto:
bitcoin
25-04-2024
Dark Web Profile: Red Ransomware
https://socradar.io/dark-web-profile-red-ransomware
Report completeness: Low
Threats:
Red_ransomware
Lockbit
Blackcat
Victims:
Information technology, Legal, Hospitality, Transportation, Manufacturing, Education, Electronics, Retail, Targus
Industry:
Healthcare, Transport, Retail, Education
Geo:
India, Canada, Italy, Singapore, Denmark, Spain, Mexico
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1486, T1071, T1566, T1560
Crypto:
bitcoin
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Red Ransomware - SOCRadar® Cyber Intelligence Inc.
Red Ransomware or Red CryptoApp, a fresh ransomware group, surfaced in March 2024 and promptly revealed the data of 11 victims on its...
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Dark Web Profile: Red Ransomware https://socradar.io/dark-web-profile-red-ransomware Report completeness: Low Threats: Red_ransomware Lockbit Blackcat Victims: Information technology, Legal, Hospitality, Transportation…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление новой группы программ-вымогателей под названием Red CryptoApp, подробно описывается ее тактика, отчет о виктимологии, международный охват и внедрение группой инструментов искусственного интеллекта во взаимодействие с жертвами. В нем подчеркивается стратегия группы по борьбе с вымогателями, методы заражения и угроза кибербезопасности, исходящая от групп вымогателей. В заключении представлена стратегия защиты SOCRadar для эффективной борьбы с угрозами вымогателей, в частности, превентивный мониторинг угроз, интеллектуальные решения и управление поверхностями атак с помощью функции проверки на наличие вымогателей. Такой подход призван помочь организациям опережать возникающие угрозы, укреплять защиту от кибербезопасности и оперативно реагировать на потенциальные инциденты с программами-вымогателями.
-----
Новая группа программ-вымогателей под названием Red CryptoApp появилась в начале 2024 года, что совпало с упадком других групп, таких как Lockbit и ALPHV.
29 марта 2024 года Red CryptoApp обнародовала данные о жертвах на своем сайте по утечке данных "Стена позора", продемонстрировав намеренную задержку с публикацией данных для достижения максимального эффекта.
Группа выборочно атаковала такие отрасли, как информационные технологии, юриспруденция, гостиничный бизнес и другие в США, а жертвами стали иностранцы из таких стран, как Канада, Сингапур и других.
Red CryptoApp заражает системы через уязвимости и фишинговые электронные письма, шифруя файлы с помощью расширения .REDCryptoApp.
Группа использует в коммуникациях текст, сгенерированный с помощью искусственного интеллекта, что указывает на использование инструментов искусственного интеллекта для сложных операций с программами-вымогателями.
SOCRadar предлагает проактивный мониторинг угроз и стратегии защиты для эффективной борьбы с программами-вымогателями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление новой группы программ-вымогателей под названием Red CryptoApp, подробно описывается ее тактика, отчет о виктимологии, международный охват и внедрение группой инструментов искусственного интеллекта во взаимодействие с жертвами. В нем подчеркивается стратегия группы по борьбе с вымогателями, методы заражения и угроза кибербезопасности, исходящая от групп вымогателей. В заключении представлена стратегия защиты SOCRadar для эффективной борьбы с угрозами вымогателей, в частности, превентивный мониторинг угроз, интеллектуальные решения и управление поверхностями атак с помощью функции проверки на наличие вымогателей. Такой подход призван помочь организациям опережать возникающие угрозы, укреплять защиту от кибербезопасности и оперативно реагировать на потенциальные инциденты с программами-вымогателями.
-----
Новая группа программ-вымогателей под названием Red CryptoApp появилась в начале 2024 года, что совпало с упадком других групп, таких как Lockbit и ALPHV.
29 марта 2024 года Red CryptoApp обнародовала данные о жертвах на своем сайте по утечке данных "Стена позора", продемонстрировав намеренную задержку с публикацией данных для достижения максимального эффекта.
Группа выборочно атаковала такие отрасли, как информационные технологии, юриспруденция, гостиничный бизнес и другие в США, а жертвами стали иностранцы из таких стран, как Канада, Сингапур и других.
Red CryptoApp заражает системы через уязвимости и фишинговые электронные письма, шифруя файлы с помощью расширения .REDCryptoApp.
Группа использует в коммуникациях текст, сгенерированный с помощью искусственного интеллекта, что указывает на использование инструментов искусственного интеллекта для сложных операций с программами-вымогателями.
SOCRadar предлагает проактивный мониторинг угроз и стратегии защиты для эффективной борьбы с программами-вымогателями.
#ParsedReport #CompletenessMedium
25-04-2024
Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors. EARLY DRAFT - Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors
https://www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-developers-likely-associated-with-north-korean-threat-actors
Report completeness: Medium
Actors/Campaigns:
Dev_popper
Geo:
Korean
TTPs:
Tactics: 6
Technics: 10
IOCs:
File: 5
Command: 2
Url: 2
Path: 2
IP: 2
Hash: 4
Soft:
Node.js
Algorithms:
base64, xor, zip
Functions:
exec
Languages:
python, powershell, javascript
25-04-2024
Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors. EARLY DRAFT - Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors
https://www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-developers-likely-associated-with-north-korean-threat-actors
Report completeness: Medium
Actors/Campaigns:
Dev_popper
Geo:
Korean
TTPs:
Tactics: 6
Technics: 10
IOCs:
File: 5
Command: 2
Url: 2
Path: 2
IP: 2
Hash: 4
Soft:
Node.js
Algorithms:
base64, xor, zip
Functions:
exec
Languages:
python, powershell, javascript
Securonix
Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors
The Securonix Threat Research Team has been monitoring an ongoing social engineering attack campaign from North Korean threat actors who are targeting developers using fake interviews to deliver a Python-based RAT. Read more.