#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT42, спонсируемая государством группа кибершпионажа, связанная с Ираном, использует передовые методы социальной инженерии и пользовательское вредоносное ПО для проникновения в сети жертв, уделяя особое внимание облачным средам. Группа нацелена на различные организации по всему миру, включая НПО, средства массовой информации, научные круги, юридические службы и активистов, для сбора данных, имеющих стратегическую ценность для Ирана. APT42 хорошо разбирается в сборе учетных данных, использует приманки и домены с опечатками, чтобы обмануть жертв, и было замечено, что он нацелен на лиц, связанных с обороной, иностранными делами и научными кругами. Тактика группы, использующей социальную инженерию, электронные письма с фишинговыми рассылками и пользовательские бэкдоры, затрудняет обнаружение и смягчение последствий, подчеркивая необходимость принятия упреждающих мер безопасности против таких сложных угроз.
-----

APT42 - это спонсируемая государством группа кибершпионажа, связанная с Ираном и действующая от имени КСИР.

Группа использует передовые методы социальной инженерии, такие как выдача себя за журналистов и организаторов мероприятий, чтобы завоевать доверие жертв.

APT42 фокусируется на проникновении в облачные среды и нацелен на различные организации, включая НПО, средства массовой информации, научные круги, юридические службы и активистов.

Злоумышленник использует специальные бэкдоры, такие как NICECURL и TAMECAT, для действий, основанных на вредоносном ПО, которые часто передаются по электронной почте с помощью фишинга.

APT42 хорошо разбирается в сборе учетных данных и использует домены с опечатками, чтобы обманом заставить жертв перейти по вредоносным ссылкам.

Группа нацелилась на организации в США, Израиле и Европе, особенно на лиц, связанных с обороной, иностранными делами и научными кругами.

Было замечено, что APT42 нацелен на юридические службы и неправительственные организации в США и Великобритании, извлекая конфиденциальную информацию из общедоступной облачной инфраструктуры жертв.

Чтобы расширить свои возможности в области шпионажа, APT42 внедряет пользовательские вредоносные программы, такие как TAMECAT и NICECURL, предлагая злоумышленникам гибкие интерфейсы для выполнения кода.

Несмотря на меняющийся ландшафт угроз, APT42 по-прежнему сосредоточен на сборе разведывательной информации, используя комбинацию пользовательских имплантатов, облачных операций и тактик социальной инженерии.

Тактика группы направлена на то, чтобы избежать обнаружения и подчеркнуть необходимость бдительности и упреждающих мер безопасности против изощренных участников угроз.

#ParsedReport #CompletenessLow
05-05-2024

Credentials And Control Go Bye, Bye, Bye with AsyncRAT: What You Need to Know

https://cyberint.com/blog/research/asyncrat

Report completeness: Low

Actors/Campaigns:
Spalax

Threats:
Asyncrat
Quasar_rat
Revenge_rat
Borat_rat
Spear-phishing_technique
Supply_chain_technique

Industry:
Healthcare, Financial, Aerospace, Transport, Government

Geo:
America

TTPs:
Tactics: 7
Technics: 15

IOCs:
Registry: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что AsyncRAT - это вредоносный троян удаленного доступа (RAT), который был представлен в 2019 году и с тех пор стал серьезной угрозой в сфере кибербезопасности. В основном он используется злоумышленниками в киберпространстве, имеет связи с другими видами вредоносных программ и нацелен на различные отрасли и организации по всему миру. AsyncRAT использует различные методы распространения и со временем эволюционировал, создавая серьезную угрозу для предприятий, похищая личные учетные данные и банковскую информацию с целью вымогательства выкупа.
-----

AsyncRAT, аббревиатура от Asynchronous Remote Access Trojan, представляет собой вредоносный инструмент, классифицируемый как троян удаленного доступа (RAT), который был представлен в 2019 году. Несмотря на то, что AsyncRAT рекламируется как законный инструмент удаленного администрирования с открытым исходным кодом на официальной странице GitHub с юридической оговоркой, он в основном используется злоумышленниками в киберугрозах в злонамеренных целях. RAT оснащен возможностями ботнета и имеет интерфейс управления (C2), позволяющий операторам удаленно управлять зараженными хостами. С момента своего создания AsyncRAT завоевал популярность среди киберпреступников и стал серьезной угрозой в сфере кибербезопасности.

AsyncRAT имеет связи с другими видами вредоносных программ, происходящими из линейки вредоносных программ QuasaRAT и служащими основой для разработки таких разновидностей вредоносных программ, как RevengeRAT и BoratRAT. Он был широко распространен различными участниками угроз, включая государственные структуры, известные группы программ-вымогателей и новые киберпреступные группировки в развивающихся странах. Эти участники провели кампании, ориентированные на широкий спектр отраслей и организаций по всему миру, включая аэрокосмическую промышленность, гостиничный бизнес, информационные технологии, бизнес-услуги, транспорт и государственные учреждения.

RAT использует несколько методов распространения, включая рассылку спама по электронной почте с вредоносными вложениями, зараженную рекламу на взломанных веб-сайтах, а также удаление с помощью других вредоносных программ, которые изначально заражают системы с помощью скриптов VBS. Подразделение анализа угроз также предупредило о возможности появления AsyncRAT с помощью наборов эксплойтов. Кроме того, исследователи наблюдали многочисленные случаи распространения AsyncRAT с помощью фишинговых инициатив, таких как операция Spalax и использование загрузчиков HCrypt. Вредоносная программа также претерпевала непрерывную эволюцию, и в 2022 году появились новые варианты, в том числе тот, который может распространяться в бесфайловой форме с помощью вложений электронной почты.

AsyncRAT в первую очередь нацелен на жертв в таких отраслях, как информационные технологии, гостиничный бизнес и транспорт в Северной, Южной и Центральной Америке, хотя его охват распространяется и за пределы этих регионов. Киберпреступники, использующие AsyncRAT, стремятся украсть личные данные и банковскую информацию для вымогательства выкупа у жертв. Первоначальная цель, стоящая за выпуском AsyncRAT как, казалось бы, безобидного инструмента удаленного администрирования, вызывает споры, поскольку заявления о образовательных целях вступают в противоречие с потенциальным использованием законной платформы для продвижения вредоносных программ. Независимо от первоначальных мотивов создателя, код AsyncRAT со временем эволюционировал, включив в себя различные методы распространения, и превратился в чрезвычайно опасную угрозу, способную нанести значительный финансовый ущерб предприятиям.

#ParsedReport #CompletenessLow
06-05-2024

Blogs. Pouring Acid Rain

https://www.trellix.com/blogs/research/pouring-acid-rain

Report completeness: Low

Threats:
Acidrain
Acidpour
Acidwiper
Wannacry
Eternal_petya
Disttrack
Eternalblue_vuln
Whispergate
Hermeticwiper
Isaacwiper
Killdisk
Doublezero
Industoyer2
Ransomboggs
Swiftslicer
Zerowipe
Bidswipe
Bibi-wiper
Bfg_agonizer
Partialwasher
Samecoin
Vpnfilter
Smokeloader

Victims:
Viasat ka-sat, Ukrainian-based entities

Industry:
Military, Entertainment, Telco

Geo:
Saudi, Ukrainian, Israel, Ukraine

ChatGPT TTPs:
do not use without manual check
T1485, T1565, T1070, T1490, T1107

IOCs:
Hash: 2

Soft:
OpenWRT

Algorithms:
md5, sha256, sha1

Functions:
IOCTL

Links:
https://github.com/mirror/dd-wrt/blob/master/src/router/rc/mtd.c#L159
https://github.com/threatrack/ghidra-fidb-repo
https://github.com/knight0x07/BiBi-Windows-Wiper-Analysis
https://github.com/kraj/uClibc/blob/ca1c74d67dd115d059a875150e10b8560a9c35a8/libc/string/generic/strncpy.c#L21

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении деструктивной природы wipers, особенно с акцентом на двух конкретных wipers, названных AcidRain и AcidPour, их возможностях, предыстории и потенциальной причастности к недавним крупным геополитическим конфликтам в Украине и Израиле. В тексте подчеркивается рост использования wiper в конфликтах, сходство между AcidRain и AcidPour в поведении и исполнении, потенциальное дублирование кода, проблемы с атрибуцией и неоднозначность, связанная с анализом вредоносных программ.
-----

В тексте обсуждается использование wipers в недавних крупных геополитических конфликтах в Украине и Израиле, подчеркивается их деструктивный характер в отношении цифровой инфраструктуры. В частности, основное внимание уделяется двум wipers, названным AcidRain и AcidPour, что проливает свет на их происхождение, возможности и потенциальную причастность.

AcidRain был впервые обнаружен в связи с российско-украинским конфликтом и был нацелен на модемы Viasat KA-SAT. Этот стеклоочиститель является частью тенденции, когда стеклоочистители все чаще используются в международных конфликтах и активизме, в частности, в таких известных проектах, как WannaCry, NotPetya и Shamoon. Влияние AcidRain на устройства Viasat KA-SAT и последующее появление нескольких стеклоочистителей после атаки сигнализируют о растущем использовании стеклоочистителей, особенно во время конфликтов.

С технической точки зрения AcidRain и AcidPour демонстрируют сходство в поведении и процессе выполнения, причем AcidPour является более новым вариантом. Оба очистителя используют 256-килобайтный буфер для перезаписи файлов, используя возрастающие значения в AcidPour и убывающие значения в AcidRain. Они оба используют функции библиотеки uClibc, печать сообщений, возможности очистки каталогов и вызовы перезагрузки устройства, что позволяет избежать дублирования кода или репликации.

Хотя нет однозначных доказательств того, что оба wiper используют один и тот же исходный код, текст предполагает среднюю степень уверенности в том, что AcidPour основывается на базе кода AcidRain из-за сходства зависимостей и структуры кода. Примечательно, что AcidPour претерпевает изменения, которые повышают его универсальность и потенциальное влияние на более широкий спектр систем.

Установить причину этих атак непросто, но, основываясь на географическом таргетинге и группах жертв, можно предположить, что атаки были совершены пророссийски настроенными лицами. Однако важно отметить, что сравнение совпадений кода может не дать окончательной информации, поскольку вредоносное ПО может быть воссоздано с помощью обратного проектирования. Эта двусмысленность может быть использована злоумышленниками для введения в заблуждение аналитиков или создания путаницы.

Пожалуйста, дайте мне знать, если вам понадобятся более подробные сведения или конкретная информация из текста.

#ParsedReport #CompletenessLow
06-05-2024

FIN7 Abusing Malicious MSIX Packages To Deliver NetSupport RAT. Who is FIN7?

https://rewscel.medium.com/fin7-abusing-malicious-msix-packages-to-deliver-netsupport-rat-09962fdf33ef

Report completeness: Low

Actors/Campaigns:
Carbanak

Threats:
Netsupportmanager_rat
Seo_poisoning_technique
Spear-phishing_technique

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1568, T1219

IOCs:
Domain: 7
IP: 2
Url: 1
File: 1

Soft:
discord

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании аналитиком по кибербезопасности деятельности российской группы передовых стойких угроз FIN7, в котором основное внимание уделяется недавно обнаруженному вредоносному домену и связанной с ним тактике действий злоумышленников, такой как использование запутанного сценария PowerShell для загрузки NetSupport RAT. Сотрудничество с сообществом специалистов по кибербезопасности и использование инструментов для отслеживания новых доменов, созданных участниками угроз, играют ключевую роль в повышении эффективности сбора оперативной информации об угрозах и их устранении.
-----

FIN7 - российская группа, занимающаяся распространением продвинутых устойчивых угроз (APT), известная своими финансовыми мотивами. В ходе недавнего расследования аналитик начал с проверки потенциально вредоносного домена, webex-install.com, на VirusTotal. Дата создания домена была указана за 23 дня до этого, что указывает на недавнюю активность. Однако при попытке получить доступ к сайту была обнаружена только страница "Ошибка 404", что является обычной тактикой, используемой злоумышленниками.

Дальнейшее изучение связей между доменами привело к обнаружению других доменов, связанных с активностью FIN7. Аналитик идентифицировал запутанный сценарий PowerShell как ключевой файл, представляющий интерес. Используя такой инструмент, как AnyRun, аналитик проследил цепочку заражения, инициированную сценарием PowerShell. Этот анализ показал, что скрипт в конечном итоге загрузил NetSupport RAT, троянскую программу удаленного доступа, которая была запущена как client32.exe.

Сотрудничество с сообществом кибербезопасности в Twitter, включая таких пользователей, как NDA0E, RussianPanda9xx, g0njxa, 500mk500 и ValidinLLC, позволило получить ценную информацию. Благодаря этому взаимодействию были обнаружены дополнительные домены, связанные с тем же IP-адресом (94.131.101.65), что расширило рамки расследования.

Чтобы отслеживать новые домены, созданные злоумышленниками, такими как FIN7, можно использовать инструменты для запроса IP-адресов и отслеживания истории DNS. Было замечено, что FIN7 использует похожие домены для проведения SEO-атак или фишинговых кампаний, направленных на распространение NetSupport RAT. Используя информацию, которой обмениваются в сообществе, аналитики могут эффективно профилировать и объединять усилия для повышения эффективности сбора разведывательной информации об угрозах и смягчения их последствий.

20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз (RST Cloud Russia).

CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI

Доступны презентации и записи выступлений первого CTI meetup, посмотреть и скачать можно по ссылке

Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥

Чтобы попасть на следующую встречу добавляйтесь в лист ожидания.

Когда будет следующая встреча? - по мере формирования программы митапа. Сбор докладов уже открыт, присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

20 апреля в Москве состоялся первый CTI meetup, который совместно организовали Инсека и Технологии киберугроз (RST Cloud Russia).

CTI meetup в цифрах:
-собрали 50+ специалистов ИБ из более чем 30 организаций
-с докладами выступили 7 топовых экспертов отрасли
-5 часов концентрированной пользы по теме CTI

Доступны презентации и записи выступлений первого CTI meetup, посмотреть и скачать можно по ссылке

Спасибо всем, кто был с нами на митапе, обещаем повторить!🔥

Чтобы попасть на следующую встречу добавляйтесь в лист ожидания.

Когда будет следующая встреча? - по мере формирования программы митапа. Сбор докладов уже открыт, присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

#technique

Sharp post-exploitation toolkit providing modular access to the Microsoft Graph API (graph.microsoft.com) for cloud and red team operations.

https://github.com/mlcsec/SharpGraphView

#ParsedReport #CompletenessMedium
06-05-2024

HijackLoader Updates

https://www.zscaler.com/blogs/security-research/hijackloader-updates

Report completeness: Medium

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Uac_bypass_technique
Meta_stealer
Redline_stealer
Rhadamanthys
Process_injection_technique

TTPs:
Tactics: 2
Technics: 8

IOCs:
File: 3
Hash: 10
Url: 1

Soft:
Windows Defender, KeePass

Algorithms:
lznt1, xor, sha256, crc-32

Win API:
decompress, VirtualProtect, RtlGetNativeSystemInfo, NtDelayExecution, GlobalAlloc, ReadFile, WriteFile, pie

Languages:
powershell, python

Platforms:
x64

Links:
https://github.com/threatlabz/tools/tree/main/hijackloader

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о HijackLoader, сложном загрузчике вредоносных программ, который включает в себя передовые методы обхода и модульную архитектуру для распространения различных семейств вредоносных программ, расширяет свои возможности скрытности и использует такие методы, как разрушение процессов и Небесные врата, для вредоносных операций. ThreatLabZ проанализировал новый образец HijackLoader в 2024 году, отметив его постоянное развитие, методы распространения и использование изображений в формате PNG для инициирования атак. Сложность и эволюционирующий характер загрузчика вредоносных программ создают серьезную киберугрозу, требующую детального анализа и использования таких инструментов, как скрипт ThreatLabZ на Python для расшифровки и проверки.
-----

HijackLoader, также известный как IDAT Loader, представляет собой сложный загрузчик вредоносных программ с модульной архитектурой, которая позволяет использовать различные модули для внедрения и выполнения кода.

Новый образец HijackLoader, проанализированный ThreatLabZ, выявил обновленные методы уклонения, направленные на улучшение скрытности.

Последняя версия включает в себя модули для добавления исключений для антивируса Windows Defender, обхода контроля учетных записей пользователей (UAC), обхода встроенного подключения к API и использования блокировки процессов.

Было замечено, что HijackLoader распространяет различные семейства вредоносных программ, включая Amadey, Lumma Stealer, Racoon Stealer v2 и Remcos RAT.

Примечательные особенности HijackLoader включают динамическое разрешение API, проверку процесса блокировки и уклонение от перехвата в пользовательском режиме с использованием таких методов, как Heaven's Gate.

Загрузчик вредоносных программ использует скрипт на Python, разработанный ThreatLabZ для извлечения конфигурации и модулей из образцов.

Процесс выполнения HijackLoader включает в себя расшифровку и распаковку модулей на первом этапе перед установлением подключения к Интернету, а на втором этапе основное внимание уделяется внедрению в основной инструментальный модуль методов антианализа.

Загрузчик использует различные методы для загрузки второго этапа, включая процессы, включающие операции XOR и методы загрузки памяти.

Исследование, проведенное в марте 2024 года, выявило распространение семейств вредоносных программ с помощью HijackLoader, причем Amadey является наиболее распространенным. Среди других распространяемых вредоносных программ - Lumma Stealer, Racoon Stealer v2, Remcos RAT, Meta Stealer и Rhadamanthys.

Использование множества модулей, продвинутые методы уклонения, сложные способы доставки и постоянное развитие делают HijackLoader серьезной киберугрозой.

Через нас каждый день проходит много отчетов.
В них содержится описание и поведение разных угроз (малварь, рансомварь, группировки и т.д.). Мы извлекаем из отчетов названия этих угроз в привязке к предложениям из тела отчета.

На праздниках окончательно сформировалась идея: "А почему бы не сделать хранение <Угроза> - <Абзацы текста, где она фигурирует>?". На базе этих кусков и LLM можно сделать динамически перестраиваемое краткое описание каждой угрозы.
Да, описание не будет детальное, но про основную идею о том, что же эта за угроза и что она делает - будет понятно.

Т.о. можно сделать API, куда на вход подавать название угрозы, а на выходе получать саммари по ней, автоматически построенное по всем TI-отчетам, где она была упомянута.

Надеюсь, что к PhD допилю этот сервис, благо 70% уже запилено )))
Будет ли он общедоступный? Скорее всего - да, основную часть как-то сделаю открытой.

Осталось перезачитать системные json-чики по всем отчеты с 2022 года и надеяться, что LLM-ка не убьет 3090.

#ParsedReport #CompletenessMedium
08-05-2024

From OSINT to Disk: Wave Stealer Analysis. Introduction

https://montysecurity.medium.com/from-osint-to-disk-wave-stealer-analysis-2010d2e340f0?source=rss-9369a68f4b09------2

Report completeness: Medium

Threats:
Wave_stealer
Privateloader
Procmon_tool
Dll_injection_technique
Dll_hijacking_technique

Victims:
Unity llc

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1055, T1574.001, T1547.001

IOCs:
Hash: 3
Path: 1
File: 5
Domain: 1

Soft:
Discord

Algorithms:
sha256

Functions:
CreateFile

Links:
https://github.com/montysecurity/InfraHunter
https://github.com/mandiant/flare-vm

#ParsedReport #GeneratedSchema
Generated with GPT-4