#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В записи блога освещаются угрозы, исходящие от киберпреступников и представителей национальных государств, которые эксплуатируют маршрутизаторы, подключенные к Интернету, с акцентом на использование Pawn Storm скомпрометированных Ubiquiti EdgeRouters в преступной деятельности. В статье описываются технические аспекты ботнета, проблемы при обнаружении таких угроз, а также юридические и технические ограничения, с которыми сталкиваются правоохранительные органы при полном уничтожении ботнета. В нем подчеркивается важность обеспечения безопасности маршрутизаторов, подключенных к Интернету, для защиты от групп APT и киберпреступников, а также приводятся индикаторы компрометации и рекомендации для сетевых защитников.
-----

Компания Pawn Storm эксплуатирует Ubiquiti EdgeRouters, используя их в качестве уровней анонимизации для вредоносных действий.

Ботнет, управляемый Pawn Storm, был взломан ФБР в январе 2024 года, но некоторые скомпрометированные устройства продолжали работать.

Технические аспекты ботнета включают использование компонентов вредоносного кода, таких как скрипты bash и Python, двоичных файлов Linux, таких как SSHDoor, для несанкционированного доступа и утечки данных.

Проблемы при обнаружении этих угроз выделяются из-за их сходства с законными реализациями SSH.

Обнаружение дополнительных ботнетов Linux, работающих на EdgeRouters, указывает на потенциальную связь с коммерчески доступными локальными ботнетами.

Несмотря на попытки демонтажа, Pawn Storm сохраняет доступ к скомпрометированным активам, таким как EdgeServers.

Вредоносные действия, осуществляемые через скомпрометированные маршрутизаторы, включают фишинговые кампании, нацеленные на государственных чиновников и пользователей веб-почты.

Киберпреступники и APT-группы используют инструменты анонимизации, такие как VPN-сервисы и локальные прокси-сети, чтобы сочетать вредоносные действия с законным трафиком.

Важность защиты маршрутизаторов, подключенных к Интернету, особенно маршрутизаторов SOHO, обусловлена уязвимостью к злоупотреблениям, учетными данными по умолчанию и отсутствием контроля безопасности.

К признакам компрометации относятся серверы управления, IP-адреса, связанные с вредоносными действиями, и исходящие IP-адреса, используемые Pawn Storm.

Сетевым защитникам рекомендуется принимать упреждающие меры безопасности и осуществлять постоянный мониторинг для защиты от групп APT и киберпреступников, нацеленных на маршрутизаторы, подключенные к Интернету.

#ParsedReport #CompletenessLow
03-05-2024

New "Goldoon" Botnet Targeting D-Link Devices

https://www.fortinet.com/blog/threat-research/new-goldoon-botnet-targeting-d-link-devices

Report completeness: Low

Threats:
Goldoon

Victims:
D-link devices

CVEs:
CVE-2015-2051 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-645 firmware (le1.04b12)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1105, T1070.004, T1027, T1136, T1041, T1498

IOCs:
IP: 3
File: 1
Hash: 23

Soft:
WolfSSL, crontab

Algorithms:
xor

Functions:
GetDeviceSettings

Platforms:
mips, m68k, riscv64, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе ботнета Goldoon, который использует уязвимость почти десятилетней давности в устройствах D-Link (CVE-2015-2051) для выполнения произвольных команд, получения контроля над устройствами и запуска различных вредоносных действий, включая распределенный отказ в обслуживании (DDoS) нападения. Вредоносная программа демонстрирует сложное поведение, использует шифрование и несколько методов автозапуска для обеспечения стойкости, демонстрируя широкий спектр возможностей для вредоносных действий. В тексте также подчеркивается важность своевременного применения исправлений для снижения рисков безопасности и защиты от возникающих угроз, таких как Goldoon.
-----

Недавно FortiGuard Labs обнаружила новый ботнет под названием "Goldoon", нацеленный на уязвимость почти десятилетней давности в устройствах D-Link, в частности CVE-2015-2051. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольные команды с помощью действия GetDeviceSettings в интерфейсе HNAP, что позволяет им создавать обработанные HTTP-запросы с вредоносными командами. Ботнет использует эту уязвимость для распространения, и в апреле наблюдался всплеск активности. После взлома злоумышленники могут получить полный контроль над устройствами, извлекая системную информацию и используя ее для запуска дополнительных атак, таких как распределенный отказ в обслуживании (DDoS).

Ботнет Goldoon инициирует свою атаку, используя CVE-2015-2051 для загрузки файла под названием "dropper" с определенного URL-адреса. Этот скрипт предназначен для загрузки, выполнения и удаления потенциально вредоносных файлов в различных архитектурах Linux, используя различные методы, позволяющие избежать обнаружения. Загруженный файл с именем "goldoon" запускается сразу после загрузки с изменениями разрешений, а затем удаляются все следы его активности для повышения скрытности.

При анализе вредоносного ПО было обнаружено, что оно обладает различными функциями, включая инициализацию аргументов, установление постоянных соединений с серверами управления (C2) и ожидание команд для выполнения соответствующих действий. Вредоносная программа устанавливает шифрование с помощью "wolfSSL" и настраивает DNS-серверы Google для разрешения DNS-запросов, чтобы облегчить свои атаки.

Goldoon включает в себя десять различных методов автозапуска, разделенных на загрузочное выполнение, выполнение с помощью демона и выполнение при входе в систему, что гарантирует его выполнение при запуске компьютера жертвы или при входе пользователя в систему. Вредоносная программа настойчиво пытается подключиться к своему серверу C2, собирая системную информацию и получая команды для последующих действий, включая запуск различных типов атак по различным каналам.

В одном случае вредоносная программа Goldoon демонстрирует 27 различных методов, связанных с проведением атак, таких как синхронизация TCP и запуск DoS-атак, нацеленных на распространенные протоколы, такие как Minecraft. Вредоносная программа использует различные тактики и пакеты для выполнения атак, демонстрируя широкий спектр возможностей для вредоносной деятельности.

Хотя CVE-2015-2051 является более старой уязвимостью с низкой сложностью атаки, ее использование может привести к серьезным последствиям для безопасности, позволяя удаленно выполнять код и подключать скомпрометированные устройства к ботнетам, таким как Goldoon. Для снижения таких рисков крайне важно своевременно устанавливать исправления и обновления, учитывая постоянное развитие и внедрение новых ботнетов, использующих аналогичные уязвимости. FortiGuard Labs подчеркивает важность упреждающих мер кибербезопасности для защиты от возникающих угроз и постоянной разработки сложных вредоносных программ, таких как Goldoon.

#ParsedReport #CompletenessMedium
06-05-2024

Sample templates abused in recent Gootloader campaign

https://fieldeffect.com/blog/sample-templates-targeted-in-recent-gootloader-campaign

Report completeness: Medium

Threats:
Gootkit
Seo_poisoning_technique

Victims:
Nils japanese language school

Industry:
Financial

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1190, T1059.007, T1059.001, T1105, T1027, T1071.001

IOCs:
Url: 3
Path: 1
IP: 28
File: 4

Algorithms:
zip

Languages:
javascript, powershell, cscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики Field Effect security intelligence выявили растущую угрозу со стороны вредоносного ПО Gootloader, которое использует обманную тактику, такую как поисковая оптимизация (SEO), для проникновения в организации из различных отраслей. Gootloader возник как банковский троян GootKit и теперь служит важным инструментом для взлома сетей злоумышленниками, уделяя особое внимание манипулированию поисковым поведением пользователей с целью распространения контента, зараженного вредоносным ПО. Адаптивность вредоносного ПО и его успешное использование человеческих склонностей с помощью SEO-манипуляций сделали его постоянной угрозой в киберпространстве.
-----

Аналитики Field Effect security intelligence обнаружили множество инцидентов, связанных с использованием вредоносного ПО Gootloader, нацеленного на организации из различных отраслей.

Gootloader произошел от банковского трояна GootKit и в настоящее время представляет собой серьезную угрозу, часто используемую злоумышленниками для проникновения в целевые сети.

Gootloader использует методы поисковой оптимизации (SEO) для проникновения в системы жертв, манипулируя результатами поиска и направляя пользователей на скомпрометированные веб-сайты, на которых размещено вредоносное ПО.

Gootloader может извлекать дополнительные полезные данные для облегчения вредоносных операций, таких как утечка данных или шифрование файлов с целью получения выкупа, после их развертывания на конечной точке.

Gootloader перехватывает поисковые запросы пользователей, размещает вредоносные документы на законных веб-сайтах, на которых размещен соответствующий контент, и использует склонность пользователей к поиску примеров с помощью поисковых систем, таких как Google.

В одном инциденте, подробно описанном аналитиками Field Effect, взаимодействие с вредоносным файлом JavaScript, размещенным на внешнем URL-адресе, привело к активации Gootloader, что позволило загрузить дополнительные вредоносные файлы.

Gootloader расширил сферу своей деятельности, выйдя за рамки стандартных шаблонов юридических документов, и включил в нее такие отрасли, как недвижимость и юридические услуги, что свидетельствует о гибкости и настойчивости в использовании человеческого поведения посредством манипулирования поисковыми системами.

Успех Gootloader заключается в том, что он использует человеческие склонности и поисковые привычки, обеспечивая непрерывное использование до тех пор, пока сохраняется такая возможность.

#ParsedReport #CompletenessMedium
03-05-2024

An Update on Akira Ransomware

https://explore.avertium.com/resource/an-update-on-akira-ransomware

Report completeness: Medium

Threats:
Akira_ransomware
Megazord
Kerberoasting_technique
Mimikatz_tool
Lazagne_tool
Powertool_tool
Anydesk_tool
Mobaxterm_tool
Rustdesk_tool
Shadow_copies_delete_technique

Victims:
4leaf, Park-rite, Family day care services, Bridgevalley community and technical college, Uk-based architecture firm, Us-based it services company, European pharmaceutical company

Industry:
Financial, Healthcare

Geo:
Australia, Canadian, American, America, Netherlands

ChatGPT TTPs:
do not use without manual check
T1566, T1210, T1110, T1486, T1485

IOCs:
File: 1
Hash: 34

Soft:
ESXi, Local Security Authority, WinSCP

Algorithms:
sha1, md5, chacha20, sha256

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и эволюции группы программ-вымогателей Akira, ее тактике, нацеленной на малый и средний бизнес, значительном влиянии, которое она оказала, заработав миллионы на выплате выкупа и взломе многочисленных объектов, ее переходе на виртуальные машины VMware ESXi с версией Linux, инструментах, которые она использовала. например, инструмент шифрования Megazord и совместное руководство, выпущенное агентствами кибербезопасности и исследователями для устранения угроз, исходящих от Akira. В тексте также подчеркивается важность внедрения рекомендуемых мер безопасности, проведения аудитов безопасности, использования средств контроля доступа, обновления программного обеспечения, сегментации сети и создания резервных копий для защиты от атак программ-вымогателей, подобных тем, которые были проведены Akira.
-----

В отчете Threat Intelligence, подготовленном командой Avertium по анализу киберугроз весной 2023 года, говорилось о появлении группы программ-вымогателей Akira, нацеленной на малый и средний бизнес и требующей выкуп в размере от 50 000 до 500 000 долларов. Акира использовал такие тактики, как фишинговые электронные письма, использование уязвимостей в программном обеспечении и RDP-атаки методом перебора, чтобы получить доступ к системам жертв. К весне 2024 года Акира привлек к себе внимание, заработав около 42 миллионов долларов на выплате выкупа и взломав более 250 организаций на разных континентах.

Эволюция Akira включала в себя смещение акцента на виртуальные машины VMware ESXi с использованием версии Linux, которая изначально предназначалась для систем Windows. Группа программ-вымогателей внедрила Megazord, инструмент шифрования на основе Rust, изменив расширения файлов с .akira на .powerranges. Рекомендации по защите от атак Akira включали проведение аудита безопасности, внедрение контроля доступа, обновление программного обеспечения, использование многофакторной аутентификации, сегментацию сетей и ведение автономного резервного копирования.

В 2023 году Akira взяла на себя ответственность за атаки на такие компании, как 4LEAF, Park-Rite и Family Day Care Services, с требованием выкупа и продажей данных в даркнете. В 2024 году ФБР, CISA, EC3 и NCSC-NL выпустили совместное консультативное заключение, в котором подчеркивается влияние Akira на бизнес и критически важную инфраструктуру, включая переход на системы Linux и использование передовых схем шифрования. Тактика Акиры включала в себя средства разведки, проверку учетных данных, каналы командования и контроля, а также гибридные методы шифрования.

Совместные усилия агентств по кибербезопасности и исследователей повысили осведомленность о стратегиях Akira, подчеркнув необходимость упреждающих защитных мер и устойчивых протоколов кибербезопасности. Организациям рекомендуется опережать такие угрозы, как Akira, применяя рекомендуемые меры безопасности, включая всесторонний аудит, контроль доступа, внесение исправлений, сегментацию сети, мониторинг и резервное копирование. Для компаний крайне важно уделять приоритетное внимание кибербезопасности и применять проактивные стратегии защиты, чтобы снизить риски, связанные с такими группами программ-вымогателей, как Akira.

#ParsedReport #CompletenessLow
06-05-2024

JFrog Security research discovers coordinated attacks on Docker Hub that planted millions of malicious repositories

https://jfrog.com/blog/attacks-on-docker-with-millions-of-malicious-repositories-spread-malware-and-phishing-scams

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Docker hub

ChatGPT TTPs:
do not use without manual check
T1190, T1566, T1587, T1608, T1193

IOCs:
Url: 4
Domain: 35
File: 2

Soft:
Docker, NuGet, zoom, Embarcadero RAD, NET framework, Windows registry, Ubuntu

Languages:
python, delphi, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: JFrog и Docker объединили усилия для борьбы с вредоносными программами и фишинговыми угрозами в репозиториях Docker Hub путем обнаружения и удаления миллионов вредоносных репозиториев, подчеркивая важность постоянного мониторинга и совместной работы для повышения безопасности цепочки поставок программного обеспечения.
-----

JFrog и Docker, как ключевые элементы экосистемы программного обеспечения, объединили усилия для борьбы с распространением вредоносных программ и фишинговой активности в репозиториях Docker Hub. Исследовательская группа JFrog по безопасности тщательно отслеживает реестры программного обеспечения с открытым исходным кодом для упреждающего обнаружения и устранения потенциальных угроз, выявив три крупномасштабные кампании вредоносного ПО, нацеленные на Docker Hub. Эти кампании включали в себя создание миллионов репозиториев без изображений с вредоносными метаданными, составляющих почти 20% всех общедоступных репозиториев на Docker Hub.

Одна из выявленных кампаний, известная как кампания "Загрузчик", распространяла вредоносный исполняемый файл, обнаруженный антивирусными системами как обычный троян. Вредоносная программа взаимодействовала с сервером управления (C2C), получая системную информацию, загружая дополнительные вредоносные двоичные файлы и потенциально участвуя в рекламных программах или схемах монетизации. В рамках кампании использовались поддельные средства сокращения URL-адресов для перенаправления пользователей на вредоносный контент, а второй раунд в 2023 году был направлен на то, чтобы избежать обнаружения, указав на законные ресурсы в качестве перенаправлений на вредоносные источники.

Другая кампания превратила Docker Hub в "пиратскую библиотеку электронных книг", предлагающую бесплатную загрузку электронных книг с целью получения фишинговых данных о кредитных картах. Кроме того, в кампании под названием "Оптимизатор веб-сайта" использовались хранилища, в которых размещался, казалось бы, случайный контент, который, возможно, служил предвестником более вредоносных действий.

Сотрудничество JFrog с Docker привело к быстрому удалению из Docker Hub 3,2 миллиона репозиториев, подозреваемых в размещении вредоносного или нежелательного контента, что подчеркивает важность постоянного мониторинга и модерации на таких платформах. В Docker Hub есть специальные теги для надежного контента, позволяющие пользователям идентифицировать проверенные и спонсируемые репозитории, чтобы снизить риск обнаружения вредоносных ссылок.

Сообщая о своих выводах команде безопасности Docker и активно внося свой вклад в обеспечение безопасности экосистемы Docker, исследовательская группа JFrog по безопасности играет решающую роль в расширении возможностей безопасности платформы цепочки поставок программного обеспечения JFrog. Распространенность вредоносных хранилищ в Docker Hub подчеркивает сохраняющуюся проблему борьбы с киберугрозами в цепочке поставок программного обеспечения и необходимость совместных усилий для защиты пользовательской среды.

#ParsedReport #CompletenessHigh
06-05-2024

Uncharmed: Untangling Iran's APT42 Operations

https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Report completeness: High

Actors/Campaigns:
Apt42 (motivation: cyber_espionage)
Charming_kitten

Threats:
Nicecurl_backdoor
Tamecat
Spear-phishing_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Ngos, Media organizations, Academia, Legal services, Activists, Researchers, Journalists, Government sectors, Policy sectors, Nuclear physics professor, have more...

Industry:
Education, Ngo, Healthcare, Government

Geo:
Iran, Israel, Ukraine, Azerbaijan, Israeli, American, Iranian, Australia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1020, T1059, T1036

IOCs:
Domain: 154
File: 8
Url: 9
Registry: 1
Hash: 11
Command: 1
Path: 1

Soft:
Gmail, Google Chrome, Outlook, Windows Remote Desktop Protocol, Windows Registry, Windows Defender, Curl

Algorithms:
aes, md5, base64

Functions:
PowerShell

Win Services:
bits, bits)

Languages:
powershell, javascript

Platforms:
x64

YARA: Found

Links:
https://github.com/NetSPI/PowerHuntShares

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT42, спонсируемая государством группа кибершпионажа, связанная с Ираном, использует передовые методы социальной инженерии и пользовательское вредоносное ПО для проникновения в сети жертв, уделяя особое внимание облачным средам. Группа нацелена на различные организации по всему миру, включая НПО, средства массовой информации, научные круги, юридические службы и активистов, для сбора данных, имеющих стратегическую ценность для Ирана. APT42 хорошо разбирается в сборе учетных данных, использует приманки и домены с опечатками, чтобы обмануть жертв, и было замечено, что он нацелен на лиц, связанных с обороной, иностранными делами и научными кругами. Тактика группы, использующей социальную инженерию, электронные письма с фишинговыми рассылками и пользовательские бэкдоры, затрудняет обнаружение и смягчение последствий, подчеркивая необходимость принятия упреждающих мер безопасности против таких сложных угроз.
-----

APT42 - это спонсируемая государством группа кибершпионажа, связанная с Ираном и действующая от имени КСИР.

Группа использует передовые методы социальной инженерии, такие как выдача себя за журналистов и организаторов мероприятий, чтобы завоевать доверие жертв.

APT42 фокусируется на проникновении в облачные среды и нацелен на различные организации, включая НПО, средства массовой информации, научные круги, юридические службы и активистов.

Злоумышленник использует специальные бэкдоры, такие как NICECURL и TAMECAT, для действий, основанных на вредоносном ПО, которые часто передаются по электронной почте с помощью фишинга.

APT42 хорошо разбирается в сборе учетных данных и использует домены с опечатками, чтобы обманом заставить жертв перейти по вредоносным ссылкам.

Группа нацелилась на организации в США, Израиле и Европе, особенно на лиц, связанных с обороной, иностранными делами и научными кругами.

Было замечено, что APT42 нацелен на юридические службы и неправительственные организации в США и Великобритании, извлекая конфиденциальную информацию из общедоступной облачной инфраструктуры жертв.

Чтобы расширить свои возможности в области шпионажа, APT42 внедряет пользовательские вредоносные программы, такие как TAMECAT и NICECURL, предлагая злоумышленникам гибкие интерфейсы для выполнения кода.

Несмотря на меняющийся ландшафт угроз, APT42 по-прежнему сосредоточен на сборе разведывательной информации, используя комбинацию пользовательских имплантатов, облачных операций и тактик социальной инженерии.

Тактика группы направлена на то, чтобы избежать обнаружения и подчеркнуть необходимость бдительности и упреждающих мер безопасности против изощренных участников угроз.

#ParsedReport #CompletenessLow
05-05-2024

Credentials And Control Go Bye, Bye, Bye with AsyncRAT: What You Need to Know

https://cyberint.com/blog/research/asyncrat

Report completeness: Low

Actors/Campaigns:
Spalax

Threats:
Asyncrat
Quasar_rat
Revenge_rat
Borat_rat
Spear-phishing_technique
Supply_chain_technique

Industry:
Healthcare, Financial, Aerospace, Transport, Government

Geo:
America

TTPs:
Tactics: 7
Technics: 15

IOCs:
Registry: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что AsyncRAT - это вредоносный троян удаленного доступа (RAT), который был представлен в 2019 году и с тех пор стал серьезной угрозой в сфере кибербезопасности. В основном он используется злоумышленниками в киберпространстве, имеет связи с другими видами вредоносных программ и нацелен на различные отрасли и организации по всему миру. AsyncRAT использует различные методы распространения и со временем эволюционировал, создавая серьезную угрозу для предприятий, похищая личные учетные данные и банковскую информацию с целью вымогательства выкупа.
-----

AsyncRAT, аббревиатура от Asynchronous Remote Access Trojan, представляет собой вредоносный инструмент, классифицируемый как троян удаленного доступа (RAT), который был представлен в 2019 году. Несмотря на то, что AsyncRAT рекламируется как законный инструмент удаленного администрирования с открытым исходным кодом на официальной странице GitHub с юридической оговоркой, он в основном используется злоумышленниками в киберугрозах в злонамеренных целях. RAT оснащен возможностями ботнета и имеет интерфейс управления (C2), позволяющий операторам удаленно управлять зараженными хостами. С момента своего создания AsyncRAT завоевал популярность среди киберпреступников и стал серьезной угрозой в сфере кибербезопасности.

AsyncRAT имеет связи с другими видами вредоносных программ, происходящими из линейки вредоносных программ QuasaRAT и служащими основой для разработки таких разновидностей вредоносных программ, как RevengeRAT и BoratRAT. Он был широко распространен различными участниками угроз, включая государственные структуры, известные группы программ-вымогателей и новые киберпреступные группировки в развивающихся странах. Эти участники провели кампании, ориентированные на широкий спектр отраслей и организаций по всему миру, включая аэрокосмическую промышленность, гостиничный бизнес, информационные технологии, бизнес-услуги, транспорт и государственные учреждения.

RAT использует несколько методов распространения, включая рассылку спама по электронной почте с вредоносными вложениями, зараженную рекламу на взломанных веб-сайтах, а также удаление с помощью других вредоносных программ, которые изначально заражают системы с помощью скриптов VBS. Подразделение анализа угроз также предупредило о возможности появления AsyncRAT с помощью наборов эксплойтов. Кроме того, исследователи наблюдали многочисленные случаи распространения AsyncRAT с помощью фишинговых инициатив, таких как операция Spalax и использование загрузчиков HCrypt. Вредоносная программа также претерпевала непрерывную эволюцию, и в 2022 году появились новые варианты, в том числе тот, который может распространяться в бесфайловой форме с помощью вложений электронной почты.

AsyncRAT в первую очередь нацелен на жертв в таких отраслях, как информационные технологии, гостиничный бизнес и транспорт в Северной, Южной и Центральной Америке, хотя его охват распространяется и за пределы этих регионов. Киберпреступники, использующие AsyncRAT, стремятся украсть личные данные и банковскую информацию для вымогательства выкупа у жертв. Первоначальная цель, стоящая за выпуском AsyncRAT как, казалось бы, безобидного инструмента удаленного администрирования, вызывает споры, поскольку заявления о образовательных целях вступают в противоречие с потенциальным использованием законной платформы для продвижения вредоносных программ. Независимо от первоначальных мотивов создателя, код AsyncRAT со временем эволюционировал, включив в себя различные методы распространения, и превратился в чрезвычайно опасную угрозу, способную нанести значительный финансовый ущерб предприятиям.

#ParsedReport #CompletenessLow
06-05-2024

Blogs. Pouring Acid Rain

https://www.trellix.com/blogs/research/pouring-acid-rain

Report completeness: Low

Threats:
Acidrain
Acidpour
Acidwiper
Wannacry
Eternal_petya
Disttrack
Eternalblue_vuln
Whispergate
Hermeticwiper
Isaacwiper
Killdisk
Doublezero
Industoyer2
Ransomboggs
Swiftslicer
Zerowipe
Bidswipe
Bibi-wiper
Bfg_agonizer
Partialwasher
Samecoin
Vpnfilter
Smokeloader

Victims:
Viasat ka-sat, Ukrainian-based entities

Industry:
Military, Entertainment, Telco

Geo:
Saudi, Ukrainian, Israel, Ukraine

ChatGPT TTPs:
do not use without manual check
T1485, T1565, T1070, T1490, T1107

IOCs:
Hash: 2

Soft:
OpenWRT

Algorithms:
md5, sha256, sha1

Functions:
IOCTL

Links:
https://github.com/mirror/dd-wrt/blob/master/src/router/rc/mtd.c#L159
https://github.com/threatrack/ghidra-fidb-repo
https://github.com/knight0x07/BiBi-Windows-Wiper-Analysis
https://github.com/kraj/uClibc/blob/ca1c74d67dd115d059a875150e10b8560a9c35a8/libc/string/generic/strncpy.c#L21

#ParsedReport #GeneratedSchema
Generated with GPT-4