CTT Report Hub
#ParsedReport #CompletenessLow 09-05-2024 macOS Cuckoo Stealer \| Ensuring Detection and Defense as New Samples Rapidly Emerge https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем распространении инфокрадов, нацеленных на устройства macOS, с акцентом на семейство вредоносных программ Cuckoo Stealer, их возможности, методы распространения, эволюцию и изощренные методы уклонения. Это подчеркивает необходимость в упреждающих стратегиях смягчения последствий и передовых решениях безопасности для защиты от развивающихся киберугроз, нацеленных на macOS.
-----
Распространение инфокрадов, нацеленных на устройства macOS, растет уже более года, при этом такие варианты, как Atomic Stealer, RealStealer, MetaStealer и недавно идентифицированный Cuckoo Stealer, распространяются через вредоносные веб-сайты, взломанные приложения и троянские программы для установки. Cuckoo Stealer выделяется своей двойной функциональностью - как программа для кражи информации и как программа-шпион, что представляет серьезную угрозу для пользователей macOS. Это семейство вредоносных программ быстро развивалось с момента их первоначального обнаружения, и число уникальных троянских приложений выросло с четырех до 18, что свидетельствует о проактивном подходе злоумышленников к расширению зоны их атаки.
Cuckoo Stealer распространяется через приложения, содержащие вредоносный двоичный файл с именем upd в папке macOS, причем последние версии поддерживают архитектуры Intel x86 и arm64. Несмотря на то, что Gatekeeper от Apple предупреждает о незарегистрированных приложениях, авторы вредоносного ПО содержат инструкции для пользователей по обходу этого механизма защиты, демонстрируя уровень изощренности своей тактики атаки. Вредоносная программа закодирована на C++ с использованием более старой версии Xcode и использует XOR-шифрование для маскировки своего поведения, что делает сканеры статических сигнатур менее эффективными при обнаружении ее вредоносных действий.
Анализ Cuckoo Stealer показывает, что он использует знакомые методы, которые можно увидеть у других инфокрадов, нацеленных на macOS, такие как использование AppleScript для дублирования файлов, папок и кражи паролей администратора в виде обычного текста. Вредоносная программа использует диалоговое окно для запроса пароля администратора, настойчиво запрашивая его до тех пор, пока не будет введен правильный пароль, даже если пользователь попытается отменить диалоговое окно. Кроме того, Cuckoo Stealer пытается установить постоянный агент запуска, чтобы обеспечить его присутствие в зараженных системах, используя автономные утилиты для выполнения различных задач.
Решения для обеспечения безопасности, такие как SentinelOne Singularity, оказались эффективными в обнаружении и предотвращении запуска Cuckoo Stealer, обеспечивая защиту от этой развивающейся угрозы. Уделяя особое внимание поведенческим индикаторам и ссылкам на TTP-адреса MITRE, характерные для инфокрадов macOS, SentinelOne обеспечивает надежный механизм защиты от таких разновидностей вредоносных программ. Быстрое развитие и инвестиции в ресурсы, наблюдаемые в рамках кампании Cuckoo Stealer, указывают на постоянную угрозу, что побуждает предприятия рассматривать сторонние решения для обеспечения безопасности устройств macOS от этой и подобных возникающих угроз.
Подводя итог, можно сказать, что появление Cuckoo Stealer подчеркивает постоянную угрозу, исходящую от инфокрадов, нацеленных на устройства macOS, с ее сложными функциями и методами обхода, требующими упреждающих стратегий противодействия и использования передовых решений безопасности для защиты от развивающихся киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем распространении инфокрадов, нацеленных на устройства macOS, с акцентом на семейство вредоносных программ Cuckoo Stealer, их возможности, методы распространения, эволюцию и изощренные методы уклонения. Это подчеркивает необходимость в упреждающих стратегиях смягчения последствий и передовых решениях безопасности для защиты от развивающихся киберугроз, нацеленных на macOS.
-----
Распространение инфокрадов, нацеленных на устройства macOS, растет уже более года, при этом такие варианты, как Atomic Stealer, RealStealer, MetaStealer и недавно идентифицированный Cuckoo Stealer, распространяются через вредоносные веб-сайты, взломанные приложения и троянские программы для установки. Cuckoo Stealer выделяется своей двойной функциональностью - как программа для кражи информации и как программа-шпион, что представляет серьезную угрозу для пользователей macOS. Это семейство вредоносных программ быстро развивалось с момента их первоначального обнаружения, и число уникальных троянских приложений выросло с четырех до 18, что свидетельствует о проактивном подходе злоумышленников к расширению зоны их атаки.
Cuckoo Stealer распространяется через приложения, содержащие вредоносный двоичный файл с именем upd в папке macOS, причем последние версии поддерживают архитектуры Intel x86 и arm64. Несмотря на то, что Gatekeeper от Apple предупреждает о незарегистрированных приложениях, авторы вредоносного ПО содержат инструкции для пользователей по обходу этого механизма защиты, демонстрируя уровень изощренности своей тактики атаки. Вредоносная программа закодирована на C++ с использованием более старой версии Xcode и использует XOR-шифрование для маскировки своего поведения, что делает сканеры статических сигнатур менее эффективными при обнаружении ее вредоносных действий.
Анализ Cuckoo Stealer показывает, что он использует знакомые методы, которые можно увидеть у других инфокрадов, нацеленных на macOS, такие как использование AppleScript для дублирования файлов, папок и кражи паролей администратора в виде обычного текста. Вредоносная программа использует диалоговое окно для запроса пароля администратора, настойчиво запрашивая его до тех пор, пока не будет введен правильный пароль, даже если пользователь попытается отменить диалоговое окно. Кроме того, Cuckoo Stealer пытается установить постоянный агент запуска, чтобы обеспечить его присутствие в зараженных системах, используя автономные утилиты для выполнения различных задач.
Решения для обеспечения безопасности, такие как SentinelOne Singularity, оказались эффективными в обнаружении и предотвращении запуска Cuckoo Stealer, обеспечивая защиту от этой развивающейся угрозы. Уделяя особое внимание поведенческим индикаторам и ссылкам на TTP-адреса MITRE, характерные для инфокрадов macOS, SentinelOne обеспечивает надежный механизм защиты от таких разновидностей вредоносных программ. Быстрое развитие и инвестиции в ресурсы, наблюдаемые в рамках кампании Cuckoo Stealer, указывают на постоянную угрозу, что побуждает предприятия рассматривать сторонние решения для обеспечения безопасности устройств macOS от этой и подобных возникающих угроз.
Подводя итог, можно сказать, что появление Cuckoo Stealer подчеркивает постоянную угрозу, исходящую от инфокрадов, нацеленных на устройства macOS, с ее сложными функциями и методами обхода, требующими упреждающих стратегий противодействия и использования передовых решений безопасности для защиты от развивающихся киберугроз.
#ParsedReport #CompletenessLow
09-05-2024
Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up
https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024
Report completeness: Low
Actors/Campaigns:
Nemesis_kitten
Threats:
Lockbit
Ars_loader
Kmsauto_tool
Victims:
Royal mail, Canadian town, Chicago children's hospital, British armed forces, Users of affected vpn applications, Users of affected tinyproxy, Users of milesight ur32l wireless router
Industry:
Military, Iot, Telco, Government, Financial
Geo:
Canadian, Ontario, Russian, Chinese, Netherlands, China
CVEs:
CVE-2023-49606 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1190
IOCs:
Hash: 10
File: 4
Soft:
Android, Tinyproxy, Kmsauto
Algorithms:
md5
Platforms:
x86
09-05-2024
Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up
https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024
Report completeness: Low
Actors/Campaigns:
Nemesis_kitten
Threats:
Lockbit
Ars_loader
Kmsauto_tool
Victims:
Royal mail, Canadian town, Chicago children's hospital, British armed forces, Users of affected vpn applications, Users of affected tinyproxy, Users of milesight ur32l wireless router
Industry:
Military, Iot, Telco, Government, Financial
Geo:
Canadian, Ontario, Russian, Chinese, Netherlands, China
CVEs:
CVE-2023-49606 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1190
IOCs:
Hash: 10
File: 4
Soft:
Android, Tinyproxy, Kmsauto
Algorithms:
md5
Platforms:
x86
Cisco Talos
A new alert system from CISA seems to be effective — now we just need companies to sign up
Under a pilot program, CISA has sent out more than 2,000 alerts to registered organizations regarding the existence of any unpatched vulnerabilities in CISA’s KEV catalog.
CTT Report Hub
#ParsedReport #CompletenessLow 09-05-2024 Cisco Talos Blog. A new alert system from CISA seems to be effective - now we just need companies to sign up https://blog.talosintelligence.com/threat-source-newsletter-may-9-2024 Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена различным темам разведки киберугроз, в том числе программе, предоставляющей бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети, обвинительному заключению Дмитрия Юрьевича Хорошева, лидера группы программ-вымогателей LockBit, недавнему раскрытию уязвимостей исследовательской группой Cisco Talos, а также важности оперативное реагирование на киберугрозы и уязвимости для улучшения состояния кибербезопасности и защиты критически важной инфраструктуры и национальной безопасности.
-----
В тексте обсуждаются различные темы, касающиеся анализа киберугроз, в том числе программа, которая предоставляет бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети. В настоящее время оповещения доступны федеральным органам власти, правительствам штатов, местным органам власти, племенам и территориям, а также некоторым организациям, занимающимся критически важной инфраструктурой. Цель состоит в том, чтобы расширить охват программы в будущем, но есть вопросы о критериях приемлемости для объектов критически важной инфраструктуры, таких как региональные интернет-провайдеры. Несмотря на то, что подписаться на получение оповещений по электронной почте несложно, цель программы - помочь организациям, испытывающим нехватку персонала и финансирования, улучшить свою систему кибербезопасности.
Кроме того, в нем упоминается идентификация и предъявление обвинения Дмитрию Юрьевичу Хорошеву, предполагаемому лидеру группы вымогателей LockBit, которому в США предъявлено 26 обвинений с максимальным наказанием в виде 185 лет тюремного заключения. Группа LockBit вымогала у жертв около 500 миллионов долларов и связана с крупными нападениями, в том числе на Royal Mail, канадский город и детскую больницу в Чикаго. США предлагают вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к аресту Хорошева. Кроме того, Великобритания обвинила спонсируемых китайским государством лиц в утечке данных военного подрядчика, которая затронула около 270 000 военнослужащих британских вооруженных сил.
Кроме того, в тексте освещаются недавние раскрытия уязвимостей исследовательской группой Cisco Talos, в которых основное внимание уделяется трем уязвимостям нулевого дня. Примечательно, что две уязвимости в демоне HTTP-прокси Tinyproxy и библиотеке файлов stb_vorbis.c могут привести к выполнению произвольного кода с оценкой CVSS 9,8 из 10. Хотя с тех пор Tinyproxy был исправлен, в беспроводном маршрутизаторе Milesight UR32L существует еще одна уязвимость нулевого дня. Эти данные были опубликованы в соответствии с графиком, после того как соответствующие поставщики не смогли устранить уязвимости в течение указанного периода.
В обсуждении подчеркивается уязвимость после использования (CVE-2023-49606) в заголовке "Connection" Tinyproxy, которая может привести к удаленному выполнению кода из-за повреждения памяти. Несмотря на наличие некоторых исправлений, некоторые выявленные проблемы остаются нерешенными, что побуждает затронутых пользователей искать альтернативные способы их устранения. В целом, в тексте подчеркивается важность получения информации о киберугрозах, оперативного реагирования на уязвимости и учета последствий различных киберинцидентов для критически важной инфраструктуры и национальной безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена различным темам разведки киберугроз, в том числе программе, предоставляющей бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети, обвинительному заключению Дмитрия Юрьевича Хорошева, лидера группы программ-вымогателей LockBit, недавнему раскрытию уязвимостей исследовательской группой Cisco Talos, а также важности оперативное реагирование на киберугрозы и уязвимости для улучшения состояния кибербезопасности и защиты критически важной инфраструктуры и национальной безопасности.
-----
В тексте обсуждаются различные темы, касающиеся анализа киберугроз, в том числе программа, которая предоставляет бесплатные оповещения от федерального правительства США потенциальным целям об уязвимостях в сети. В настоящее время оповещения доступны федеральным органам власти, правительствам штатов, местным органам власти, племенам и территориям, а также некоторым организациям, занимающимся критически важной инфраструктурой. Цель состоит в том, чтобы расширить охват программы в будущем, но есть вопросы о критериях приемлемости для объектов критически важной инфраструктуры, таких как региональные интернет-провайдеры. Несмотря на то, что подписаться на получение оповещений по электронной почте несложно, цель программы - помочь организациям, испытывающим нехватку персонала и финансирования, улучшить свою систему кибербезопасности.
Кроме того, в нем упоминается идентификация и предъявление обвинения Дмитрию Юрьевичу Хорошеву, предполагаемому лидеру группы вымогателей LockBit, которому в США предъявлено 26 обвинений с максимальным наказанием в виде 185 лет тюремного заключения. Группа LockBit вымогала у жертв около 500 миллионов долларов и связана с крупными нападениями, в том числе на Royal Mail, канадский город и детскую больницу в Чикаго. США предлагают вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к аресту Хорошева. Кроме того, Великобритания обвинила спонсируемых китайским государством лиц в утечке данных военного подрядчика, которая затронула около 270 000 военнослужащих британских вооруженных сил.
Кроме того, в тексте освещаются недавние раскрытия уязвимостей исследовательской группой Cisco Talos, в которых основное внимание уделяется трем уязвимостям нулевого дня. Примечательно, что две уязвимости в демоне HTTP-прокси Tinyproxy и библиотеке файлов stb_vorbis.c могут привести к выполнению произвольного кода с оценкой CVSS 9,8 из 10. Хотя с тех пор Tinyproxy был исправлен, в беспроводном маршрутизаторе Milesight UR32L существует еще одна уязвимость нулевого дня. Эти данные были опубликованы в соответствии с графиком, после того как соответствующие поставщики не смогли устранить уязвимости в течение указанного периода.
В обсуждении подчеркивается уязвимость после использования (CVE-2023-49606) в заголовке "Connection" Tinyproxy, которая может привести к удаленному выполнению кода из-за повреждения памяти. Несмотря на наличие некоторых исправлений, некоторые выявленные проблемы остаются нерешенными, что побуждает затронутых пользователей искать альтернативные способы их устранения. В целом, в тексте подчеркивается важность получения информации о киберугрозах, оперативного реагирования на уязвимости и учета последствий различных киберинцидентов для критически важной инфраструктуры и национальной безопасности.
#ParsedReport #CompletenessHigh
09-05-2024
SocGholish Sets Sights on Victim Peers
https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers
Report completeness: High
Threats:
Socgholish_loader
Lolbin_technique
Industry:
Education
Geo:
Emea, America, Apac
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1566, T1193, T1020, T1059, T1204, T1140, T1556, T1070, T1565, T1105, have more...
IOCs:
File: 2
Hash: 1
Url: 5
Path: 2
Command: 2
IP: 1
Soft:
Selenium, WordPress, Microsoft Edge, Google Chrome, Chrome, Microsoft Outlook
Algorithms:
md5, base64
Languages:
powershell, python, javascript
Links:
09-05-2024
SocGholish Sets Sights on Victim Peers
https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers
Report completeness: High
Threats:
Socgholish_loader
Lolbin_technique
Industry:
Education
Geo:
Emea, America, Apac
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1020, T1059, T1204, T1140, T1556, T1070, T1565, T1105, have more...
IOCs:
File: 2
Hash: 1
Url: 5
Path: 2
Command: 2
IP: 1
Soft:
Selenium, WordPress, Microsoft Edge, Google Chrome, Chrome, Microsoft Outlook
Algorithms:
md5, base64
Languages:
powershell, python, javascript
Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SocGholish/SocGholish\_iocs\_4-27-2024.txteSentire
SocGholish Sets Sights on Victim Peers
Learn more about SocGholish malware infection initiated by a fake browser update and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessHigh 09-05-2024 SocGholish Sets Sights on Victim Peers https://www.esentire.com/blog/socgholish-sets-sights-on-victim-peers Report completeness: High Threats: Socgholish_loader Lolbin_technique Industry: Education Geo: Emea…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена подразделению eSentire Threat Response Unit (TRU) и его усилиям по повышению устойчивости организации с помощью передовых исследований угроз, возможностей обнаружения и сотрудничества с центрами обеспечения безопасности (SoCs). В тексте также освещается конкретный инцидент, когда TRU обнаружил заражение SocGholish, вызванное поддельным обновлением браузера, и обсуждается тактика, используемая злоумышленниками для компрометации деловых отношений, сбора конфиденциальных данных и мониторинга действий пользователей. Подчеркивается важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных источников, тщательного мониторинга поведения в сети и понимания поведения после эксплуатации для защиты от кибератак.
-----
В апреле 2024 года eSentire TRU выявила вирусную инфекцию SocGholish, которая возникла из-за поддельного обновления браузера, использующего запутанный JavaScript для закрепления в целевой среде. Злоумышленники стремились скомпрометировать деловые отношения, внедряя веб-маяки в подписи электронной почты и общие сетевые ресурсы, что позволяло им отображать соединения и потенциально использовать уязвимости. Вредоносный код JavaScript был внедрен на взломанный веб-сайт под видом поддельного обновления браузера с именем "Update.js" в качестве тактики, позволяющей обойти механизмы обнаружения. Впоследствии, после заражения, злоумышленники осуществляли различные вредоносные действия, включая извлечение пароля, выполнение команд PowerShell для расшифровки ключей шифрования и развертывание полезных программ на языке Python в системе жертвы. Они также использовали команды PowerShell для изменения файлов подписи HTML в Microsoft Outlook для удаленного доступа и наблюдения. Кроме того, в сетевом ресурсе были созданы ярлыки, позволяющие отслеживать взаимодействие пользователей, подключаясь к серверу управления (C2). Эта кампания по внедрению SocGholish продемонстрировала тактику социальной инженерии, используя поддельные обновления для проникновения в системы и выполнения действий по сценарию для сбора конфиденциальных данных и мониторинга действий пользователей.
Первичный источник заражения, который включал загрузку с компьютера, замаскированную под законное обновление браузера, подчеркивает критическую важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных или подозрительных источников. Извлечение и манипулирование критически важными данными, такими как учетные данные для входа в браузеры и изменения в подписях электронной почты для потенциального отслеживания взаимодействий, подчеркивают необходимость тщательного мониторинга поведения сети и анализа любых нерегулярных действий, которые могут указывать на скомпрометированный хост. Более того, использование закодированных сценариев PowerShell для расшифровки паролей и создание переносимой среды Python для дальнейших вредоносных операций подчеркивают важность понимания поведения после эксплуатации и потенциальных признаков компрометации для эффективной защиты от вторжений и реагирования на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена подразделению eSentire Threat Response Unit (TRU) и его усилиям по повышению устойчивости организации с помощью передовых исследований угроз, возможностей обнаружения и сотрудничества с центрами обеспечения безопасности (SoCs). В тексте также освещается конкретный инцидент, когда TRU обнаружил заражение SocGholish, вызванное поддельным обновлением браузера, и обсуждается тактика, используемая злоумышленниками для компрометации деловых отношений, сбора конфиденциальных данных и мониторинга действий пользователей. Подчеркивается важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных источников, тщательного мониторинга поведения в сети и понимания поведения после эксплуатации для защиты от кибератак.
-----
В апреле 2024 года eSentire TRU выявила вирусную инфекцию SocGholish, которая возникла из-за поддельного обновления браузера, использующего запутанный JavaScript для закрепления в целевой среде. Злоумышленники стремились скомпрометировать деловые отношения, внедряя веб-маяки в подписи электронной почты и общие сетевые ресурсы, что позволяло им отображать соединения и потенциально использовать уязвимости. Вредоносный код JavaScript был внедрен на взломанный веб-сайт под видом поддельного обновления браузера с именем "Update.js" в качестве тактики, позволяющей обойти механизмы обнаружения. Впоследствии, после заражения, злоумышленники осуществляли различные вредоносные действия, включая извлечение пароля, выполнение команд PowerShell для расшифровки ключей шифрования и развертывание полезных программ на языке Python в системе жертвы. Они также использовали команды PowerShell для изменения файлов подписи HTML в Microsoft Outlook для удаленного доступа и наблюдения. Кроме того, в сетевом ресурсе были созданы ярлыки, позволяющие отслеживать взаимодействие пользователей, подключаясь к серверу управления (C2). Эта кампания по внедрению SocGholish продемонстрировала тактику социальной инженерии, используя поддельные обновления для проникновения в системы и выполнения действий по сценарию для сбора конфиденциальных данных и мониторинга действий пользователей.
Первичный источник заражения, который включал загрузку с компьютера, замаскированную под законное обновление браузера, подчеркивает критическую важность информирования пользователей о рисках, связанных с загрузкой файлов из непроверенных или подозрительных источников. Извлечение и манипулирование критически важными данными, такими как учетные данные для входа в браузеры и изменения в подписях электронной почты для потенциального отслеживания взаимодействий, подчеркивают необходимость тщательного мониторинга поведения сети и анализа любых нерегулярных действий, которые могут указывать на скомпрометированный хост. Более того, использование закодированных сценариев PowerShell для расшифровки паролей и создание переносимой среды Python для дальнейших вредоносных операций подчеркивают важность понимания поведения после эксплуатации и потенциальных признаков компрометации для эффективной защиты от вторжений и реагирования на них.
#ParsedReport #CompletenessHigh
10-05-2024
Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation
https://www.ctfiot.com/180250.html
Report completeness: High
Actors/Campaigns:
Lazarus
Contagious_interview
Threats:
Anydesk_tool
Beavertail
Invisibleferret
Victims:
Developers in the blockchain industry, Financial institutions
Industry:
Financial, Government
Geo:
Asian
ChatGPT TTPs:
T1566, T1204, T1059, T1064, T1027, T1573, T1555
IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4
Url: 12
Soft:
macOS, Chrome, Opera, , Android, WeChat
Algorithms:
base64, zip, md5
Languages:
javascript, python
10-05-2024
Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation
https://www.ctfiot.com/180250.html
Report completeness: High
Actors/Campaigns:
Lazarus
Contagious_interview
Threats:
Anydesk_tool
Beavertail
Invisibleferret
Victims:
Developers in the blockchain industry, Financial institutions
Industry:
Financial, Government
Geo:
Asian
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1064, T1027, T1573, T1555
IOCs:
Domain: 1
Hash: 63
File: 1
IP: 4
Url: 12
Soft:
macOS, Chrome, Opera, , Android, WeChat
Algorithms:
base64, zip, md5
Languages:
javascript, python
CTF导航
针对区块链从业者的招聘陷阱:疑似Lazarus(APT-Q-1)窃密行动分析 | CTF导航
团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的...
CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 Recruitment Trap for Blockchain Practitioners: Analysis of Suspected Lazarus (APT-Q-1) Secret Stealing Operation https://www.ctfiot.com/180250.html Report completeness: High Actors/Campaigns: Lazarus Contagious_interview…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Lazarus, организация APT из Северо-Восточной Азии, ранее работала с государственными учреждениями, но с 2014 года переключила свое внимание на глобальные финансовые институты и платформы виртуальной валюты. В последнее время они нацелились на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о приеме на работу, используя такие платформы, как LinkedIn и Upwork, для кражи конфиденциальной информации, связанной с виртуальной валютой, и внедрения вредоносных программ. Злоумышленники хранят вредоносный код в программных пакетах на таких платформах, как GitHub, GitLab и Bitbucket, что затрудняет его обнаружение. Lazarus последовательно атакует криптовалютную и блокчейн-индустрию, используя методы фишинга и социальной инженерии для кражи криптовалюты.
-----
Краткое содержание:.
Компания QiAnXin идентифицировала Lazarus, организацию APT, предположительно имеющую происхождение из Северо-Восточной Азии, по внутреннему номеру для отслеживания APT-Q-1. Группа впервые привлекла к себе внимание нападками на Sony Pictures в 2014 году и ведет свою историю с 2007 года. Изначально Lazarus был нацелен на правительственные агентства, занимающиеся кражей разведывательных данных, но с 2014 года переключился на глобальные финансовые институты и платформы виртуальной валюты, занимающиеся кражей денег и активов. В последнее время Lazarus нацелился на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о вакансиях на таких платформах, как LinkedIn и Upwork. Злоумышленники используют эти объявления о приеме на работу, чтобы обманом заставить кандидатов запустить вредоносный код на их устройствах, что приводит к краже конфиденциальной информации, связанной с виртуальной валютой, и внедрению вредоносного ПО.
Злоумышленники используют такие платформы, как GitHub, GitLab и Bitbucket, для хранения пакетов программного обеспечения, содержащих вредоносный код, который может быть загружен кандидатами в блокчейн-индустрии. В примерах атак часто упоминается домен app.freebling.io, связанный с кражей криптовалютных кошельков. Вредоносный JavaScript-код вставляется в пакеты программного обеспечения, что затрудняет его обнаружение. Пример MD5-хэша показывает, как конфиденциальная информация собирается и отправляется на сервер C2 с последующей загрузкой скриптов для дальнейшей кражи данных.
Lazarus последовательно нацеливается на криптовалютную и блокчейн-индустрию, часто используя методы фишинга для привлечения технического персонала. Создавая фальшивые удостоверения личности и используя поиск работы в качестве прикрытия, злоумышленники стремятся украсть криптовалюту с помощью социальной инженерии. Считается, что продолжающиеся крупномасштабные фишинговые атаки связаны с Lazarus из-за сходства тактики и таргетинга на блокчейн-сектор.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Lazarus, организация APT из Северо-Восточной Азии, ранее работала с государственными учреждениями, но с 2014 года переключила свое внимание на глобальные финансовые институты и платформы виртуальной валюты. В последнее время они нацелились на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о приеме на работу, используя такие платформы, как LinkedIn и Upwork, для кражи конфиденциальной информации, связанной с виртуальной валютой, и внедрения вредоносных программ. Злоумышленники хранят вредоносный код в программных пакетах на таких платформах, как GitHub, GitLab и Bitbucket, что затрудняет его обнаружение. Lazarus последовательно атакует криптовалютную и блокчейн-индустрию, используя методы фишинга и социальной инженерии для кражи криптовалюты.
-----
Краткое содержание:.
Компания QiAnXin идентифицировала Lazarus, организацию APT, предположительно имеющую происхождение из Северо-Восточной Азии, по внутреннему номеру для отслеживания APT-Q-1. Группа впервые привлекла к себе внимание нападками на Sony Pictures в 2014 году и ведет свою историю с 2007 года. Изначально Lazarus был нацелен на правительственные агентства, занимающиеся кражей разведывательных данных, но с 2014 года переключился на глобальные финансовые институты и платформы виртуальной валюты, занимающиеся кражей денег и активов. В последнее время Lazarus нацелился на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о вакансиях на таких платформах, как LinkedIn и Upwork. Злоумышленники используют эти объявления о приеме на работу, чтобы обманом заставить кандидатов запустить вредоносный код на их устройствах, что приводит к краже конфиденциальной информации, связанной с виртуальной валютой, и внедрению вредоносного ПО.
Злоумышленники используют такие платформы, как GitHub, GitLab и Bitbucket, для хранения пакетов программного обеспечения, содержащих вредоносный код, который может быть загружен кандидатами в блокчейн-индустрии. В примерах атак часто упоминается домен app.freebling.io, связанный с кражей криптовалютных кошельков. Вредоносный JavaScript-код вставляется в пакеты программного обеспечения, что затрудняет его обнаружение. Пример MD5-хэша показывает, как конфиденциальная информация собирается и отправляется на сервер C2 с последующей загрузкой скриптов для дальнейшей кражи данных.
Lazarus последовательно нацеливается на криптовалютную и блокчейн-индустрию, часто используя методы фишинга для привлечения технического персонала. Создавая фальшивые удостоверения личности и используя поиск работы в качестве прикрытия, злоумышленники стремятся украсть криптовалюту с помощью социальной инженерии. Считается, что продолжающиеся крупномасштабные фишинговые атаки связаны с Lazarus из-за сходства тактики и таргетинга на блокчейн-сектор.
#ParsedReport #CompletenessMedium
10-05-2024
In the Shadow of Venus: Trinity Ransomware s Covert Ties
https://cyble.com/blog/in-the-shadow-of-venus-trinity-ransomwares-covert-ties
Report completeness: Medium
Threats:
Grateful_pos
Venus_locker
2023lock
Shadow_copies_delete_technique
TTPs:
Tactics: 5
Technics: 7
IOCs:
Registry: 2
File: 3
Hash: 1
Soft:
Windows shell
Algorithms:
sha256, sha1, chacha20, md5
Functions:
GetModuleHandle, OpenMutexA
Win API:
FindResourceW, SizeofResource, LoadResource, ExitProcess, GetProcAddress, RtlInitUnicodeString, NtCreateFile, NtWriteFile, NtReadFile, NtQueryDirectoryFile, have more...
Platforms:
intel
YARA: Found
10-05-2024
In the Shadow of Venus: Trinity Ransomware s Covert Ties
https://cyble.com/blog/in-the-shadow-of-venus-trinity-ransomwares-covert-ties
Report completeness: Medium
Threats:
Grateful_pos
Venus_locker
2023lock
Shadow_copies_delete_technique
TTPs:
Tactics: 5
Technics: 7
IOCs:
Registry: 2
File: 3
Hash: 1
Soft:
Windows shell
Algorithms:
sha256, sha1, chacha20, md5
Functions:
GetModuleHandle, OpenMutexA
Win API:
FindResourceW, SizeofResource, LoadResource, ExitProcess, GetProcAddress, RtlInitUnicodeString, NtCreateFile, NtWriteFile, NtReadFile, NtQueryDirectoryFile, have more...
Platforms:
intel
YARA: Found
Cyble
Trinity Ransomware: Covert Ties In Venus' Shadow
Explore the newly discovered Trinity ransomware, its ties to Venus, and insights from Cyble's analysis of its double extortion tactics.
CTT Report Hub
#ParsedReport #CompletenessMedium 10-05-2024 In the Shadow of Venus: Trinity Ransomware s Covert Ties https://cyble.com/blog/in-the-shadow-of-venus-trinity-ransomwares-covert-ties Report completeness: Medium Threats: Grateful_pos Venus_locker 2023lock…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Компания Cyble CRIL выявила новый вариант программы-вымогателя Trinity, который использует технику двойного вымогательства и имеет сходство с другими вариантами программ-вымогателей, такими как 2023Lock и Venus. Это наводит на мысль о потенциальном сотрудничестве между группами участников угроз, что указывает на тревожную тенденцию в тактике программ-вымогателей, направленную на оказание давления на жертв с помощью утечки данных и передовых методов шифрования.
-----
**Краткое описание:**.
Компания Cyble CRIL (Cyble Research and Intelligence Labs) недавно обнаружила новый вариант программы-вымогателя Trinity, который использует метод двойного вымогательства для поиска жертв. Программа-вымогатель Trinity использует в своих операциях как поддержку жертв, так и сайты утечки данных, что указывает на изощренный подход злоумышленников. Примечательно, что CRIL обнаружил сходство между программой-вымогателем Trinity и другой программой-вымогателем под названием "2023Lock", предполагая, что Trinity может быть новым вариантом 2023Lock из-за общих форматов уведомлений о требовании выкупа и элементов кодовой базы.
Более того, CRIL обнаружил общие черты между программами-вымогателями Trinity и Venus, включая использование значений реестра и соглашения об именовании мьютексов. Этот общий код между Trinity и Venus указывает на потенциальную связь или сотрудничество между злоумышленниками, стоящими за этими вариантами программ-вымогателей. Программа-вымогатель Venus, работающая с 2022 года, в прошлом проводила крупномасштабные атаки по всему миру, что указывает на тревожный характер угроз, связанных с деятельностью этих программ-вымогателей.
Технически программа-вымогатель Trinity использует алгоритм шифрования ChaCha20, распространяет сообщения о требовании выкупа как в текстовом, так и в hta-формате, изменяет обои рабочего стола с помощью изменений в реестре и добавляет расширение ".trinitylock" к зашифрованным файлам. Программа-вымогатель извлекает информацию о требовании выкупа из своего двоичного ресурса, разрешает функции во время выполнения, устанавливает параметры безопасности, удаляет теневые копии, используя данные WMI, и использует методы для олицетворения процессов. Кроме того, Trinity использует согласованный формат именования для мьютексов в своих операциях.
Появление Trinity с ее стратегией двойного вымогательства отражает тенденцию в тактике программ-вымогателей, когда злоумышленники используют утечку конфиденциальных данных, чтобы заставить жертв заплатить выкуп. Сходство между версиями программ-вымогателей Trinity, 2023Lock и Venus предполагает потенциальное сотрудничество между группами участников угроз, ведущее к обмену методами и инструментами, которые могут повысить масштаб и изощренность будущих кампаний по борьбе с программами-вымогателями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Компания Cyble CRIL выявила новый вариант программы-вымогателя Trinity, который использует технику двойного вымогательства и имеет сходство с другими вариантами программ-вымогателей, такими как 2023Lock и Venus. Это наводит на мысль о потенциальном сотрудничестве между группами участников угроз, что указывает на тревожную тенденцию в тактике программ-вымогателей, направленную на оказание давления на жертв с помощью утечки данных и передовых методов шифрования.
-----
**Краткое описание:**.
Компания Cyble CRIL (Cyble Research and Intelligence Labs) недавно обнаружила новый вариант программы-вымогателя Trinity, который использует метод двойного вымогательства для поиска жертв. Программа-вымогатель Trinity использует в своих операциях как поддержку жертв, так и сайты утечки данных, что указывает на изощренный подход злоумышленников. Примечательно, что CRIL обнаружил сходство между программой-вымогателем Trinity и другой программой-вымогателем под названием "2023Lock", предполагая, что Trinity может быть новым вариантом 2023Lock из-за общих форматов уведомлений о требовании выкупа и элементов кодовой базы.
Более того, CRIL обнаружил общие черты между программами-вымогателями Trinity и Venus, включая использование значений реестра и соглашения об именовании мьютексов. Этот общий код между Trinity и Venus указывает на потенциальную связь или сотрудничество между злоумышленниками, стоящими за этими вариантами программ-вымогателей. Программа-вымогатель Venus, работающая с 2022 года, в прошлом проводила крупномасштабные атаки по всему миру, что указывает на тревожный характер угроз, связанных с деятельностью этих программ-вымогателей.
Технически программа-вымогатель Trinity использует алгоритм шифрования ChaCha20, распространяет сообщения о требовании выкупа как в текстовом, так и в hta-формате, изменяет обои рабочего стола с помощью изменений в реестре и добавляет расширение ".trinitylock" к зашифрованным файлам. Программа-вымогатель извлекает информацию о требовании выкупа из своего двоичного ресурса, разрешает функции во время выполнения, устанавливает параметры безопасности, удаляет теневые копии, используя данные WMI, и использует методы для олицетворения процессов. Кроме того, Trinity использует согласованный формат именования для мьютексов в своих операциях.
Появление Trinity с ее стратегией двойного вымогательства отражает тенденцию в тактике программ-вымогателей, когда злоумышленники используют утечку конфиденциальных данных, чтобы заставить жертв заплатить выкуп. Сходство между версиями программ-вымогателей Trinity, 2023Lock и Venus предполагает потенциальное сотрудничество между группами участников угроз, ведущее к обмену методами и инструментами, которые могут повысить масштаб и изощренность будущих кампаний по борьбе с программами-вымогателями.
#cyberthreattech
Вот такие вот профили сейчас удается построить с помощью накопленных отчетов и LLM OpenChat. Залилось уже все, до 06.2023. Как все прольется, буду думать как опубликовать.
Есть идея прикрутить к существующему боту в ТГ, либо вытащить в виде API.
Ближе к теме запилю голосовалку :)
Вот такие вот профили сейчас удается построить с помощью накопленных отчетов и LLM OpenChat. Залилось уже все, до 06.2023. Как все прольется, буду думать как опубликовать.
Есть идея прикрутить к существующему боту в ТГ, либо вытащить в виде API.
Ближе к теме запилю голосовалку :)
Ducktail, also known as Ducktail Malware, is a type of malware that specifically targets Facebook Business Accounts through LinkedIn Phishing Attacks. This malware poses a significant cybersecurity threat as it exploits vulnerabilities in the targeted systems and attempts to gain unauthorized access to sensitive information. The malware uses social engineering tactics to deceive users into clicking on malicious links or downloading infected files, which then enable the attackers to infiltrate the targeted accounts and steal valuable data.
The behavior of Ducktail can be described as follows:
1. Social Engineering Tactics: Ducktail uses social engineering tactics to deceive users into clicking on malicious links or downloading infected files. These links and files are disguised as genuine documents or ads, which makes it difficult for users to identify them as malicious.
2. Exploitation of Vulnerabilities: Once the user clicks on the malicious link or downloads the infected file, the malware exploits vulnerabilities in the targeted system to gain unauthorized access to sensitive information. This information can include session cookies, access tokens, user agents, and IP addresses.
3. Two-Factor Authentication Bypass: Ducktail also verifies if two-factor authentication (2FA) is mandatory for the targeted account. In such cases, it tries to acquire the recovery codes, further increasing its chances of gaining unauthorized access to the account.
4. Information Extraction: Once the malware gains access to the targeted account, it gathers various details, including victims' names, birthdays, email addresses, and user IDs. It also steals security credentials, such as session cookies.
5. Command and Control (C&C) Channel: Ducktail utilizes Telegram as its Command and Control (C&C) channel, using the Telegram Bot functionality to exfiltrate the stolen data. The malware component employs the Telegram.Bot client library for this purpose.
6. Distribution Methods: Ducktail commonly employs ZIP files to deliver the initial payload. It is possible that the group also utilizes LinkedIn messages as a distribution method. The payload files are disguised with Word/PDF icons, using deceptive tactics to deceive victims into thinking they are genuine document files.
7. Financial Motivation: Ducktail is a financially motivated malware variant, specifically aiming at individuals and businesses utilizing a Social Media Business/Ads platform. The malware is created by Threat Actors (TAs) originating from Vietnam.
In conclusion, Ducktail is a constantly evolving information stealer that poses a significant threat to user privacy and the overall security of Social Media Business accounts. Its ability to bypass most Social Media platforms' security measures, specifically targeting advertising and business accounts, makes it a dangerous tool for cybercriminals. It is crucial for businesses and individuals to be vigilant about potential phishing attacks and take necessary precautions to protect their online accounts and information.
#ParsedReport #CompletenessHigh
10-05-2024
#StopRansomware: Black Basta
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a
Report completeness: High
Threats:
Blackbasta
Akira_ransomware
Phobos
Spear-phishing_technique
Qakbot
Connectwise_rat
Bitsadmin
Cobalt_strike
Splashtop_tool
Mimikatz_tool
Zerologon_vuln
Nopac_vuln
Printnightmare_vuln
Backstab_tool
Shadow_copies_delete_technique
Screenconnect_tool
Victims:
Healthcare organizations
Industry:
Financial, Healthcare
Geo:
America, Australia
CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4, -, 22.7)
CVE-2021-42278 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...
CVE-2021-42287 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (*)
have more...
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
TTPs:
Tactics: 1
Technics: 9
IOCs:
File: 6
Hash: 59
IP: 40
Domain: 107
Path: 21
Soft:
SoftPerfect network scanner, PsExec, macOS, WinSCP
Crypto:
bitcoin
Algorithms:
rsa-4096, chacha20
Win Services:
(BITS)
Languages:
powershell
Platforms:
intel, cross-platform
Links:
10-05-2024
#StopRansomware: Black Basta
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a
Report completeness: High
Threats:
Blackbasta
Akira_ransomware
Phobos
Spear-phishing_technique
Qakbot
Connectwise_rat
Bitsadmin
Cobalt_strike
Splashtop_tool
Mimikatz_tool
Zerologon_vuln
Nopac_vuln
Printnightmare_vuln
Backstab_tool
Shadow_copies_delete_technique
Screenconnect_tool
Victims:
Healthcare organizations
Industry:
Financial, Healthcare
Geo:
America, Australia
CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4, -, 22.7)
CVE-2021-42278 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...
CVE-2021-42287 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (*)
have more...
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
TTPs:
Tactics: 1
Technics: 9
IOCs:
File: 6
Hash: 59
IP: 40
Domain: 107
Path: 21
Soft:
SoftPerfect network scanner, PsExec, macOS, WinSCP
Crypto:
bitcoin
Algorithms:
rsa-4096, chacha20
Win Services:
(BITS)
Languages:
powershell
Platforms:
intel, cross-platform
Links:
https://github.com/cisagov/Decider/Vulners Database
CVE-2024-1709 - vulnerability database | Vulners.com
ConnectWise ScreenConnect 23.9.7 and prior are affected by an Authentication Bypass Using an Alternate Path or Channel vulnerability, which may allow an attacker direct access to confidential information or critical systems.
CTT Report Hub
#ParsedReport #CompletenessHigh 10-05-2024 #StopRansomware: Black Basta https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a Report completeness: High Threats: Blackbasta Akira_ransomware Phobos Spear-phishing_technique Qakbot Connectwise_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Black Basta - это программа-вымогатель, предназначенная для критически важных инфраструктурных секторов, с особым акцентом на медицинские организации. Она использует модель двойного вымогательства, используя распространенные методы первоначального доступа, такие как фишинг и известные уязвимости. Стратегии смягчения последствий включают оперативную установку обновлений, внедрение MFA, защищающего от фишинга, и обучение пользователей распознавать попытки фишинга. В тексте также рассказывается о методах, инструментах и уязвимостях, используемых аффилированными лицами Black Basta, а также о рекомендациях правоохранительных органов не выплачивать выкуп в случае атаки.
-----
Black Basta - это программа-вымогатель, предназначенная для критически важных инфраструктурных секторов, с акцентом на организации здравоохранения и глобальным воздействием на более чем 500 организаций.
Он использует модель двойного вымогательства, используя системы шифрования и эксфильтрации данных, при этом требования о выкупе передаются с помощью уникального кода и URL-адреса .onion.
Организации здравоохранения особенно уязвимы для Black Basta из-за их размера, зависимости от технологий и доступа к личной медицинской информации.
Меры по смягчению последствий включают оперативную установку обновлений для операционных систем, программного обеспечения и встроенного ПО, а также внедрение защищенной от фишинга многофакторной аутентификации (MFA) и обучение пользователей распознаванию попыток фишинга и сообщению о них.
Аффилированные лица Black Basta используют такие методы, как подводная охота, Qakbot, и используют уязвимость ConnectWise CVE-2024-1709.
Они используют различные инструменты для бокового перемещения и удаленного доступа, включая BITSAdmin, PsExec, RDP, Splashtop, Screen Connect и маяки Cobalt Strike.
Для устранения угроз, связанных с программами-вымогателями, необходимо отказаться от выплаты выкупа, своевременно сообщать об инцидентах в правоохранительные органы, такие как ФБР и CISA, и взаимодействовать с властями для эффективной борьбы с угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Black Basta - это программа-вымогатель, предназначенная для критически важных инфраструктурных секторов, с особым акцентом на медицинские организации. Она использует модель двойного вымогательства, используя распространенные методы первоначального доступа, такие как фишинг и известные уязвимости. Стратегии смягчения последствий включают оперативную установку обновлений, внедрение MFA, защищающего от фишинга, и обучение пользователей распознавать попытки фишинга. В тексте также рассказывается о методах, инструментах и уязвимостях, используемых аффилированными лицами Black Basta, а также о рекомендациях правоохранительных органов не выплачивать выкуп в случае атаки.
-----
Black Basta - это программа-вымогатель, предназначенная для критически важных инфраструктурных секторов, с акцентом на организации здравоохранения и глобальным воздействием на более чем 500 организаций.
Он использует модель двойного вымогательства, используя системы шифрования и эксфильтрации данных, при этом требования о выкупе передаются с помощью уникального кода и URL-адреса .onion.
Организации здравоохранения особенно уязвимы для Black Basta из-за их размера, зависимости от технологий и доступа к личной медицинской информации.
Меры по смягчению последствий включают оперативную установку обновлений для операционных систем, программного обеспечения и встроенного ПО, а также внедрение защищенной от фишинга многофакторной аутентификации (MFA) и обучение пользователей распознаванию попыток фишинга и сообщению о них.
Аффилированные лица Black Basta используют такие методы, как подводная охота, Qakbot, и используют уязвимость ConnectWise CVE-2024-1709.
Они используют различные инструменты для бокового перемещения и удаленного доступа, включая BITSAdmin, PsExec, RDP, Splashtop, Screen Connect и маяки Cobalt Strike.
Для устранения угроз, связанных с программами-вымогателями, необходимо отказаться от выплаты выкупа, своевременно сообщать об инцидентах в правоохранительные органы, такие как ФБР и CISA, и взаимодействовать с властями для эффективной борьбы с угрозами.
#ParsedReport #CompletenessHigh
12-05-2024
Guntior - the story of an advanced bootkit that doesn't rely on Windows disk drivers
https://artemonsecurity.blogspot.com/2024/04/guntior-story-of-advanced-bootkit-that.html?m=1
Report completeness: High
Actors/Campaigns:
Duke
Equation (motivation: cyber_espionage)
Fancy_bear
Threats:
Guntior
Rovnix
Torpig
Windbg_tool
Gmer_tool
Necurs
Upx_tool
Trap_flag_technique
Process_hacker_tool
Edrsandblast_tool
Byovd_technique
Uac_bypass_technique
Fodhelper_technique
Remcos_rat
Grayfish
Equationdrug
Stuxnet
Finfisher
Remsec_strider
Industry:
Financial, Telco, Education
Geo:
Ukrainians, Russian, Usa, Ukrainian
ChatGPT TTPs:
T1542.003, T1014, T1055, T1554.002, T1562.001, T1564.001, T1564, T1070.004, T1484.001, T1569.002, have more...
IOCs:
File: 96
Path: 5
Registry: 3
IP: 1
Hash: 5
Command: 3
Coin: 2
Soft:
Windows Explorer, Windows kernel, Windows security, Process Explorer, Google Chrome, Chrome
Algorithms:
base64
Functions:
FindWindow, OS, SfcFileException, CreateFile, IofCompleteRequest, Before, ReadBlock, MiModifiedPageWriterTimerDispatch, Google, ReadOnly, have more...
Win API:
NtQueryValueKey, ZwQueryValueKey, MmGetSystemRoutineAddress, KeInsertQueueApc, decompress, PsGetProcessPeb, PsGetProcessSectionBaseAddress, KeServiceDescriptorTable, KdDebuggerNotPresent, MmIsAddressValid, have more...
Win Services:
BITS, Ntmssvc, ekrn
Languages:
powershell, prolog
Platforms:
x64, x86, intel
Links:
12-05-2024
Guntior - the story of an advanced bootkit that doesn't rely on Windows disk drivers
https://artemonsecurity.blogspot.com/2024/04/guntior-story-of-advanced-bootkit-that.html?m=1
Report completeness: High
Actors/Campaigns:
Duke
Equation (motivation: cyber_espionage)
Fancy_bear
Threats:
Guntior
Rovnix
Torpig
Windbg_tool
Gmer_tool
Necurs
Upx_tool
Trap_flag_technique
Process_hacker_tool
Edrsandblast_tool
Byovd_technique
Uac_bypass_technique
Fodhelper_technique
Remcos_rat
Grayfish
Equationdrug
Stuxnet
Finfisher
Remsec_strider
Industry:
Financial, Telco, Education
Geo:
Ukrainians, Russian, Usa, Ukrainian
ChatGPT TTPs:
do not use without manual checkT1542.003, T1014, T1055, T1554.002, T1562.001, T1564.001, T1564, T1070.004, T1484.001, T1569.002, have more...
IOCs:
File: 96
Path: 5
Registry: 3
IP: 1
Hash: 5
Command: 3
Coin: 2
Soft:
Windows Explorer, Windows kernel, Windows security, Process Explorer, Google Chrome, Chrome
Algorithms:
base64
Functions:
FindWindow, OS, SfcFileException, CreateFile, IofCompleteRequest, Before, ReadBlock, MiModifiedPageWriterTimerDispatch, Google, ReadOnly, have more...
Win API:
NtQueryValueKey, ZwQueryValueKey, MmGetSystemRoutineAddress, KeInsertQueueApc, decompress, PsGetProcessPeb, PsGetProcessSectionBaseAddress, KeServiceDescriptorTable, KdDebuggerNotPresent, MmIsAddressValid, have more...
Win Services:
BITS, Ntmssvc, ekrn
Languages:
powershell, prolog
Platforms:
x64, x86, intel
Links:
https://github.com/winscripting/UAC-bypass/blob/master/FodhelperBypass.ps1https://github.com/wavestone-cdt/EDRSandblast/tree/master/Offsets?trk=article-ssr-frontend-pulse\_little-text-blockhttps://github.com/winscripting/UAC-bypass/blob/master/FodhelperBypass.ps1?trk=article-ssr-frontend-pulse\_little-text-blockhttps://github.com/Mattiwatti/PPLKiller?trk=article-ssr-frontend-pulse\_little-text-blockhttps://github.com/microsoft/Windows-driver-samples/blob/main/storage/tools/spti/src/spti.chttps://github.com/hfiref0x/KDU?trk=article-ssr-frontend-pulse\_little-text-blockBlogspot
Guntior - the story of an advanced bootkit that doesn't rely on Windows disk drivers
I first stumbled upon this interesting malware sample about a decade ago, being a contributor to the kernelmodeinfo forum . Amid the rise of...
CTT Report Hub
#ParsedReport #CompletenessHigh 12-05-2024 Guntior - the story of an advanced bootkit that doesn't rely on Windows disk drivers https://artemonsecurity.blogspot.com/2024/04/guntior-story-of-advanced-bootkit-that.html?m=1 Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ вредоносной программы "Guntior", обнаруженной в эпоху загрузочных программ, с освещением ее сложных функций, методов заражения, способов обхода и взаимодействия с операционной системой Windows. Кроме того, в нем рассматриваются вопросы анализа киберугроз, включая различные методы анализа вредоносных программ, архитектуру дискового ввода-вывода Windows и сценарий кибератаки на украинскую телекоммуникационную компанию. В тексте также рассматривается файл руткита в платформе кибершпионажа GrayFish, связанной с Equation Group, с акцентом на ее сложные функциональные возможности и взаимодействие с ядром Windows.
-----
Вредоносная программа "Guntior" была обнаружена десять лет назад, в эпоху загрузчиков, когда в системах отсутствовали такие механизмы защиты, как защита от исправлений ядра и принудительное подписывание драйверов.
Вредоносная программа использовала методы обхода, приемы антианализа и низкоуровневый доступ к диску через режим ATA PIO для прямой связи с жестким диском.
Установка включала в себя взлом службы надежных аудиодрайверов Microsoft, загрузку вредоносных драйверов и регистрацию полезных библиотек DLL.
Заражение систем происходит путем изменения главной загрузочной записи (MBR) и удаления вредоносных компонентов с диска.
Уникальная возможность прямого доступа к диску, сосредоточенность на отключении средств защиты и простой способ заражения без сложных механизмов сокрытия.
Вредоносное по отличалось высокой сложностью и требовало специальных знаний во внутренней части Windows, реверс-инжиниринге, анализе вредоносных программ и криминалистической экспертизе.
Вредоносная библиотека DLL реализовала API проверки системных файлов Windows, взаимодействовала с драйвером, использовала команды IOCTL и нацеливалась на определенные процессы, в том числе на процессы охранных компаний.
В тексте содержится подробная техническая информация об анализе вредоносных программ, архитектуре дискового ввода-вывода Windows, возможностях средства защиты от руткитов GMER, анализе киберугроз с акцентом на анализ вредоносных программ GMER и операции ввода-вывода файлов, а также анализ руткит-файла в рамках платформы кибершпионажа GrayFish, связанной с Equation Group.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ вредоносной программы "Guntior", обнаруженной в эпоху загрузочных программ, с освещением ее сложных функций, методов заражения, способов обхода и взаимодействия с операционной системой Windows. Кроме того, в нем рассматриваются вопросы анализа киберугроз, включая различные методы анализа вредоносных программ, архитектуру дискового ввода-вывода Windows и сценарий кибератаки на украинскую телекоммуникационную компанию. В тексте также рассматривается файл руткита в платформе кибершпионажа GrayFish, связанной с Equation Group, с акцентом на ее сложные функциональные возможности и взаимодействие с ядром Windows.
-----
Вредоносная программа "Guntior" была обнаружена десять лет назад, в эпоху загрузчиков, когда в системах отсутствовали такие механизмы защиты, как защита от исправлений ядра и принудительное подписывание драйверов.
Вредоносная программа использовала методы обхода, приемы антианализа и низкоуровневый доступ к диску через режим ATA PIO для прямой связи с жестким диском.
Установка включала в себя взлом службы надежных аудиодрайверов Microsoft, загрузку вредоносных драйверов и регистрацию полезных библиотек DLL.
Заражение систем происходит путем изменения главной загрузочной записи (MBR) и удаления вредоносных компонентов с диска.
Уникальная возможность прямого доступа к диску, сосредоточенность на отключении средств защиты и простой способ заражения без сложных механизмов сокрытия.
Вредоносное по отличалось высокой сложностью и требовало специальных знаний во внутренней части Windows, реверс-инжиниринге, анализе вредоносных программ и криминалистической экспертизе.
Вредоносная библиотека DLL реализовала API проверки системных файлов Windows, взаимодействовала с драйвером, использовала команды IOCTL и нацеливалась на определенные процессы, в том числе на процессы охранных компаний.
В тексте содержится подробная техническая информация об анализе вредоносных программ, архитектуре дискового ввода-вывода Windows, возможностях средства защиты от руткитов GMER, анализе киберугроз с акцентом на анализ вредоносных программ GMER и операции ввода-вывода файлов, а также анализ руткит-файла в рамках платформы кибершпионажа GrayFish, связанной с Equation Group.
#ParsedReport #CompletenessHigh
12-05-2024
Into the Viper s Nest: Observations from Hunt s Scanning
https://hunt.io/blog/into-the-vipers-nest-observations-from-hunts-scanning
Report completeness: High
Threats:
Viper
Cobalt_strike
Sliver_c2_tool
Yakit_tool
Mitm_technique
Victims:
Tsmc
Industry:
Semiconductor_industry
Geo:
China, Taiwanese
ChatGPT TTPs:
T1190, T1071, T1040, T1060, T1547, T1583, T1584
IOCs:
Hash: 1
IP: 8
Domain: 2
Soft:
MacOS, Ubuntu, BurpSuite
Algorithms:
sha1
Languages:
powershell, python
Links:
12-05-2024
Into the Viper s Nest: Observations from Hunt s Scanning
https://hunt.io/blog/into-the-vipers-nest-observations-from-hunts-scanning
Report completeness: High
Threats:
Viper
Cobalt_strike
Sliver_c2_tool
Yakit_tool
Mitm_technique
Victims:
Tsmc
Industry:
Semiconductor_industry
Geo:
China, Taiwanese
ChatGPT TTPs:
do not use without manual checkT1190, T1071, T1040, T1060, T1547, T1583, T1584
IOCs:
Hash: 1
IP: 8
Domain: 2
Soft:
MacOS, Ubuntu, BurpSuite
Algorithms:
sha1
Languages:
powershell, python
Links:
https://github.com/FunnyWolf/Viper/issues/185https://github.com/FunnyWolf/Viperhunt.io
Into the Viper’s Nest: Observations from Hunt’s Scanning
From initial access and privilege escalation to lateral movement and data collection, the open-source platform Viper...