#cyberthreattech
Итого, по автоматическому построению описания угроз удалось запустить движочек и обработать все отчеты с 2022 года.
Получился механизм, в который можно подать строку (пока не более 50 символов и
По каждой угрозе из текста он попробует найти описание.
Встал вопрос, как вытаскивать в паблик: допилить бота в ТГ, или добавить REST API. Опрос будет ниже.
Итого, по автоматическому построению описания угроз удалось запустить движочек и обработать все отчеты с 2022 года.
Получился механизм, в который можно подать строку (пока не более 50 символов и
^[a-zA-Z0-9 _-]+$, т.к. наш продакшен токенайзер я не смог пока вытащить отдельным микросервисом, а он уже умеет разбирать любой текст) и движочек найдет в ней названия угроз.По каждой угрозе из текста он попробует найти описание.
Встал вопрос, как вытаскивать в паблик: допилить бота в ТГ, или добавить REST API. Опрос будет ниже.
{
"data": {
"summary": [
{
"id": "inc_ransomware",
"found": true,
"generation": {
"date": "20240513 02:37:12",
"sources": {
"begin": "20231121",
"end": "20240417",
"urls": [
"https://mp.weixin.qq.com/s/_KuFPPs6XFOICNpRjzn5AA",
"https://www.secureworks.com/blog/gold-ionic-deploys-inc-ransomware",
"https://www.cybereason.com/blog/threat-alert-inc-ransomware",
"https://socradar.io/dark-web-profile-donutleaks",
"https://socradar.io/dark-web-profile-inc-ransom"
]
}
},
"text": "INC Ransomware, also known as INC Ransom, is a newly emerged ransomware group first observed by security researchers in early August 2023. This group primarily targets the United States and European countries, with a few victims from other Western countries such as Singapore. The majority of the victims are private sector businesses, but the group has also targeted a government organization and a charity association.\nThe INC Ransomware operates by employing partial encryption combined with a multi-threading approach to accelerate the encryption process. The group does not charge for the leaked data, unlike some other ransomware groups like LockBit 3.0. Instead, they follow a double and triple extortion strategy.\nAfter gaining access to the network, the attacker drops an executable (p443x64.exe) that installs a Meterpreter shell. They then use the AdFind command-line Active Directory query tool to enumerate the environment, WinRAR to archive files and folders, and the Megasync cloud hosting solution to exfiltrate more than 70 GB of data. After exfiltrating the data, the threat actor copies the INC ransomware executable to over 500 other systems and then runs it remotely via PsExec. The executed binary encrypts files, adds a .inc file extension to the encrypted files, and drops the INC ransom note (INC-README.txt).\nThe INC ransom note includes a Tor .onion address along with a personal ID, and it instructs the victim to contact the threat actor within 72 hours or sensitive data will be published to the leak site. The structure and design of the INC Ransom leak site are similar to the LockBit leak site, but there are no other indications that the groups are related.\nThe INC Ransomware group, tracked by Secureworks Counter Threat Unit (CTU) researchers as GOLD IONIC, uses the common double extortion method: they exfiltrate data before encrypting systems and then threaten public exposure as leverage in ransom negotiations with victims."
}
]
}
}Как лучше вытащить наружу движок поиска описания угроз
Final Results
24%
Бот в ТГ
65%
REST API
11%
Я мимо крокодил
🔥4
#technique
Unorthodox and stealthy way to inject a DLL into the explorer using icons
https://github.com/0xda568/IconJector
Unorthodox and stealthy way to inject a DLL into the explorer using icons
https://github.com/0xda568/IconJector
GitHub
GitHub - d419h/IconJector: Inject DLLs into the explorer process using icons
Inject DLLs into the explorer process using icons. Contribute to d419h/IconJector development by creating an account on GitHub.
Russia-Linked CopyCop Uses LLMs to Weaponize Influence Content at Scale
https://go.recordedfuture.com/hubfs/reports/cta-2024-0509.pdf
https://go.recordedfuture.com/hubfs/reports/cta-2024-0509.pdf
Kinsing Demystified - A Comprehensive Technical Guide
https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf
https://1665891.fs1.hubspotusercontent-na1.net/hubfs/1665891/Threat%20reports/AquaSecurity_Kinsing_Demystified_Technical_Guide.pdf
Analysing a NSO iOS Spyware Sample
https://i.blackhat.com/Asia-24/Asia-24-Frielingsdorf-YouShallNotPassAnalysing.pdf
https://i.blackhat.com/Asia-24/Asia-24-Frielingsdorf-YouShallNotPassAnalysing.pdf
#technique
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
https://blog.zsec.uk/hellojackhunter-exploring-winsxs/
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
https://blog.zsec.uk/hellojackhunter-exploring-winsxs/
ZephrSec - Adventures In Information Security
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
This post explores Windows Side-by-Side (WinSxS) and DLL hijacking, deep-diving some tooling I've written and some of the fun along the way.
CTT Report Hub
Как лучше вытащить наружу движок поиска описания угроз
API, так API :) Запилю.
Спасибо, всем, кто поучаствовал в опросе.
Спасибо, всем, кто поучаствовал в опросе.
#ParsedReport #CompletenessMedium
13-05-2024
[Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST
https://www.ctfiot.com/181035.html
Report completeness: Medium
Actors/Campaigns:
Timitator (motivation: cyber_criminal)
Duke
Oceanlotus
Threats:
Harpoon
Cobalt_strike
Vmprotect_tool
Victims:
Energy, Universities, Scientific research institutions, Military industry
Industry:
Energy, Military, Education
ChatGPT TTPs:
T1566, T1204, T1105, T1059, T1553, T1574, T1529, T1070, T1027, T1012, have more...
IOCs:
Hash: 13
IP: 7
File: 8
Soft:
trycloudflare, WeChat
Algorithms:
sha256, xor, md5
Win API:
loadlibrary
Languages:
golang, rust
13-05-2024
[Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST
https://www.ctfiot.com/181035.html
Report completeness: Medium
Actors/Campaigns:
Timitator (motivation: cyber_criminal)
Duke
Oceanlotus
Threats:
Harpoon
Cobalt_strike
Vmprotect_tool
Victims:
Energy, Universities, Scientific research institutions, Military industry
Industry:
Energy, Military, Education
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1105, T1059, T1553, T1574, T1529, T1070, T1027, T1012, have more...
IOCs:
Hash: 13
IP: 7
File: 8
Soft:
trycloudflare, WeChat
Algorithms:
sha256, xor, md5
Win API:
loadlibrary
Languages:
golang, rust
CTF导航
【高级威胁追踪(APT)】警惕来自Timitator组织RUST特马的攻击 | CTF导航
概述Timitator(战术模仿者) 组织自2022年到2023年针对我国的能源、高校、科研机构及军工等行业进行攻击,主要采取鱼叉、nday等方式进行打点。其鱼叉攻击分别投递过exe、chm、iso(img)及lnk等格式的载荷,在...
CTT Report Hub
#ParsedReport #CompletenessMedium 13-05-2024 [Advanced Threat Tracking (APT)\] Beware of attacks from Timitator organization RUST https://www.ctfiot.com/181035.html Report completeness: Medium Actors/Campaigns: Timitator (motivation: cyber_criminal) Duke…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Организация Timitator планирует кибератаки на несколько секторов, используя такие тактики, как атаки с использованием гарпуна, эксплойты nday и другие методы. Они имитируют тактику атак других организаций, переключившись с CobaltStrike на инструмент дистанционного управления под названием RUST Tema. Их фишинговые образцы оснащены защитой от виртуальной оболочки VMP и используют методы обмана, которые выдаются за законное программное обеспечение. Все более широкое использование Timitator средств дистанционного управления и усовершенствованных тактик фишинга представляет собой серьезную угрозу в киберпространстве, что требует постоянной бдительности в отношении потенциальных целенаправленных атак.
-----
Организация Timitator планирует кибератаки на множество секторов, включая энергетику, университеты, научно-исследовательские институты и военную промышленность, в 2022-2023 годах. Они используют такие тактические приемы, как атаки гарпунами, эксплойты в режиме реального времени и другие методы проникновения в свои цели. Атаки harpoon от Timitator включают доставку вредоносной полезной нагрузки в таких форматах, как exe, chm, iso (img) и lnk. После успешного выполнения вредоносных вложений на первом этапе выполняется загрузка CobaltStrike для установления соединения, а на втором этапе загружается пользовательская специальная лошадь через CobaltStrike. Этот специальный инструмент позволяет им определять ценность скомпрометированных объектов в сети, разрабатывать индивидуальные последующие атаки и красть ценные данные и файлы.
Группа Timitator известна тем, что имитирует тактику атак других организаций, за что получила название Tactical Imitator (Тимитатор- имитатор ttps). Другие исследователи также называют их apt-q-77 и mutant rat, а некоторые связывают их деятельность с OceanLotus. Однако их истинная принадлежность остается сложной и неопределенной. Недавние выводы аналитической лаборатории Sangfor Deep View показали, что организация Timitator перешла от использования CobaltStrike к использованию для своих атак инструмента дистанционного управления, написанного на RUST, под названием RUST Tema. Кроме того, в их фишинговых образцах использовалась защита виртуальной оболочки VMP.
Дальнейший анализ показал, что после 28 марта 2024 года фишинговые образцы организации адаптировали новый подход, используя инструмент удаленного управления в RUST вместо CobaltStrike. Эти файлы были замаскированы поддельной подписью Microsoft и описательной информацией от местной компании, чтобы выглядеть как законные программы. После запуска эти образцы запускают несколько исполняемых файлов в каталоге %temp%, что приводит к загрузке вредоносных программ, таких как Log.dll и SogouInput.библиотека dll для выполнения шелл-кода и получения контроля над системой. Эти программы способны выполнять удаленные команды, операции с файлами и удаленное выполнение кода, при этом данные конфигурации расшифровываются с помощью ключа "p@sswor!kS@mk$y".
Использование Timitator различных средств дистанционного управления, таких как CobaltStrike, golang special horse и RUST special horse, свидетельствует о постоянном совершенствовании методов атаки, позволяющих избежать обнаружения и перехвата программным обеспечением безопасности. Используя специальные механизмы и совершенствуя тактику фишинга с помощью сложных сигнатур файлов, организация стремится повысить уровень успеха и сохранить оперативную секретность. Рекомендуется сохранять бдительность в отношении потенциальных целенаправленных атак со стороны группы Timitator, поскольку они по-прежнему представляют серьезную угрозу в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Организация Timitator планирует кибератаки на несколько секторов, используя такие тактики, как атаки с использованием гарпуна, эксплойты nday и другие методы. Они имитируют тактику атак других организаций, переключившись с CobaltStrike на инструмент дистанционного управления под названием RUST Tema. Их фишинговые образцы оснащены защитой от виртуальной оболочки VMP и используют методы обмана, которые выдаются за законное программное обеспечение. Все более широкое использование Timitator средств дистанционного управления и усовершенствованных тактик фишинга представляет собой серьезную угрозу в киберпространстве, что требует постоянной бдительности в отношении потенциальных целенаправленных атак.
-----
Организация Timitator планирует кибератаки на множество секторов, включая энергетику, университеты, научно-исследовательские институты и военную промышленность, в 2022-2023 годах. Они используют такие тактические приемы, как атаки гарпунами, эксплойты в режиме реального времени и другие методы проникновения в свои цели. Атаки harpoon от Timitator включают доставку вредоносной полезной нагрузки в таких форматах, как exe, chm, iso (img) и lnk. После успешного выполнения вредоносных вложений на первом этапе выполняется загрузка CobaltStrike для установления соединения, а на втором этапе загружается пользовательская специальная лошадь через CobaltStrike. Этот специальный инструмент позволяет им определять ценность скомпрометированных объектов в сети, разрабатывать индивидуальные последующие атаки и красть ценные данные и файлы.
Группа Timitator известна тем, что имитирует тактику атак других организаций, за что получила название Tactical Imitator (Тимитатор- имитатор ttps). Другие исследователи также называют их apt-q-77 и mutant rat, а некоторые связывают их деятельность с OceanLotus. Однако их истинная принадлежность остается сложной и неопределенной. Недавние выводы аналитической лаборатории Sangfor Deep View показали, что организация Timitator перешла от использования CobaltStrike к использованию для своих атак инструмента дистанционного управления, написанного на RUST, под названием RUST Tema. Кроме того, в их фишинговых образцах использовалась защита виртуальной оболочки VMP.
Дальнейший анализ показал, что после 28 марта 2024 года фишинговые образцы организации адаптировали новый подход, используя инструмент удаленного управления в RUST вместо CobaltStrike. Эти файлы были замаскированы поддельной подписью Microsoft и описательной информацией от местной компании, чтобы выглядеть как законные программы. После запуска эти образцы запускают несколько исполняемых файлов в каталоге %temp%, что приводит к загрузке вредоносных программ, таких как Log.dll и SogouInput.библиотека dll для выполнения шелл-кода и получения контроля над системой. Эти программы способны выполнять удаленные команды, операции с файлами и удаленное выполнение кода, при этом данные конфигурации расшифровываются с помощью ключа "p@sswor!kS@mk$y".
Использование Timitator различных средств дистанционного управления, таких как CobaltStrike, golang special horse и RUST special horse, свидетельствует о постоянном совершенствовании методов атаки, позволяющих избежать обнаружения и перехвата программным обеспечением безопасности. Используя специальные механизмы и совершенствуя тактику фишинга с помощью сложных сигнатур файлов, организация стремится повысить уровень успеха и сохранить оперативную секретность. Рекомендуется сохранять бдительность в отношении потенциальных целенаправленных атак со стороны группы Timitator, поскольку они по-прежнему представляют серьезную угрозу в киберпространстве.
#ParsedReport #CompletenessLow
13-05-2024
Emerging Identity Threats: The Muddy Waters of Residential Proxies
https://www.obsidiansecurity.com/blog/emerging-identity-threats-the-muddy-waters-of-residential-proxies
Report completeness: Low
Actors/Campaigns:
Muddywater
Threats:
Residential_proxy_technique
Industry:
Telco
ChatGPT TTPs:
T1566, T1090, T1078, T1110
IOCs:
File: 1
Soft:
Chrome
Platforms:
x64
13-05-2024
Emerging Identity Threats: The Muddy Waters of Residential Proxies
https://www.obsidiansecurity.com/blog/emerging-identity-threats-the-muddy-waters-of-residential-proxies
Report completeness: Low
Actors/Campaigns:
Muddywater
Threats:
Residential_proxy_technique
Industry:
Telco
ChatGPT TTPs:
do not use without manual checkT1566, T1090, T1078, T1110
IOCs:
File: 1
Soft:
Chrome
Platforms:
x64
Obsidiansecurity
Emerging Identity Threats: The Muddy Waters of Residential Proxies
Navigate emerging identity threats from residential proxies. Understand how attackers use legitimate infrastructure to evade detection.
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Emerging Identity Threats: The Muddy Waters of Residential Proxies https://www.obsidiansecurity.com/blog/emerging-identity-threats-the-muddy-waters-of-residential-proxies Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем использовании локальных прокси-серверов для фишинговых атак с использованием личных данных, когда злоумышленники используют локальные прокси-сети, чтобы избежать обнаружения, использовать уязвимости в системе безопасности и нацеливаться на конкретные приложения. В статье подчеркиваются трудности обнаружения этих атак, дается представление о тактике, используемой злоумышленниками, и рекомендуется применять более комплексный подход к обнаружению для борьбы с фишинговыми атаками, проводимыми с помощью локальных прокси-серверов.
-----
В сообщении в блоге рассказывается о растущем использовании локальных прокси-серверов при фишинговых атаках с использованием личных данных, освещаются конкретные тактики, применяемые злоумышленниками, и дается информация о стратегиях обнаружения. Злоумышленники все чаще используют локальные прокси-сети, используя IP-адреса крупных интернет-провайдеров, таких как Comcast, Cox, T-Mobile и Verizon, чтобы обойти меры безопасности и избежать обнаружения. Инцидент с участием Zscaler Inc. Интернет-провайдер предполагает потенциальную уязвимость в системе безопасности, связанную со скомпрометированными последовательностями входа через IP-адреса локального прокси-сервера.
Одной из серьезных проблем, с которыми сталкиваются злоумышленники, является использование устаревших пользовательских агентов Chrome 2019 года выпуска в сочетании с локальными прокси-серверами, что затрудняет обнаружение. Однако использование таких пользовательских агентов может служить ценным индикатором компрометации (IOCs). Кроме того, в ходе нескольких атак была выявлена закономерность в последовательности фишинговых входов в систему, при этом злоумышленники обычно использовали Chrome agent версий 78 и 105 в определенной последовательности.
Злоумышленники также используют интеграцию OAuth, уделяя особое внимание таким приложениям, как "eM Client" и "PERFECTDATA SOFTWARE", которые часто ассоциируются с вредоносными действиями. В сообщении подчеркивается, что полагаться исключительно на обнаружение географических аномалий для определения активности злоумышленников может быть уже недостаточно, поскольку локальные прокси-серверы могут маскировать истинное местоположение злоумышленников.
Читателям рекомендуется проверить свои среды на наличие определенных IOCs, указанных в статье, таких как упомянутый пользовательский агент и целевые приложения. В блоге предлагается использовать стратегию сортировки на основе идентификации, группируя телеметрию оповещений от продуктов безопасности по отдельным пользователям для расширения возможностей обнаружения. Такие инструменты, как Obsidian, могут помочь восполнить пробелы в обнаружении на случай, если фишинговая атака останется незамеченной.
Чтобы справиться с растущим использованием вредоносных локальных прокси-серверов, в статье рекомендуется адаптировать методы обнаружения и реагирования на инциденты. В статье содержится предостережение от игнорирования подозрительных действий, исходящих из мест, которые традиционно ассоциируются с безобидным поведением, поскольку злоумышленники теперь используют такие места. Вместо этого рекомендуется использовать более комплексный подход к обнаружению, выходящий за рамки географических аномалий, для эффективной борьбы с фишинговыми атаками, проводимыми с помощью локальных прокси-серверов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущем использовании локальных прокси-серверов для фишинговых атак с использованием личных данных, когда злоумышленники используют локальные прокси-сети, чтобы избежать обнаружения, использовать уязвимости в системе безопасности и нацеливаться на конкретные приложения. В статье подчеркиваются трудности обнаружения этих атак, дается представление о тактике, используемой злоумышленниками, и рекомендуется применять более комплексный подход к обнаружению для борьбы с фишинговыми атаками, проводимыми с помощью локальных прокси-серверов.
-----
В сообщении в блоге рассказывается о растущем использовании локальных прокси-серверов при фишинговых атаках с использованием личных данных, освещаются конкретные тактики, применяемые злоумышленниками, и дается информация о стратегиях обнаружения. Злоумышленники все чаще используют локальные прокси-сети, используя IP-адреса крупных интернет-провайдеров, таких как Comcast, Cox, T-Mobile и Verizon, чтобы обойти меры безопасности и избежать обнаружения. Инцидент с участием Zscaler Inc. Интернет-провайдер предполагает потенциальную уязвимость в системе безопасности, связанную со скомпрометированными последовательностями входа через IP-адреса локального прокси-сервера.
Одной из серьезных проблем, с которыми сталкиваются злоумышленники, является использование устаревших пользовательских агентов Chrome 2019 года выпуска в сочетании с локальными прокси-серверами, что затрудняет обнаружение. Однако использование таких пользовательских агентов может служить ценным индикатором компрометации (IOCs). Кроме того, в ходе нескольких атак была выявлена закономерность в последовательности фишинговых входов в систему, при этом злоумышленники обычно использовали Chrome agent версий 78 и 105 в определенной последовательности.
Злоумышленники также используют интеграцию OAuth, уделяя особое внимание таким приложениям, как "eM Client" и "PERFECTDATA SOFTWARE", которые часто ассоциируются с вредоносными действиями. В сообщении подчеркивается, что полагаться исключительно на обнаружение географических аномалий для определения активности злоумышленников может быть уже недостаточно, поскольку локальные прокси-серверы могут маскировать истинное местоположение злоумышленников.
Читателям рекомендуется проверить свои среды на наличие определенных IOCs, указанных в статье, таких как упомянутый пользовательский агент и целевые приложения. В блоге предлагается использовать стратегию сортировки на основе идентификации, группируя телеметрию оповещений от продуктов безопасности по отдельным пользователям для расширения возможностей обнаружения. Такие инструменты, как Obsidian, могут помочь восполнить пробелы в обнаружении на случай, если фишинговая атака останется незамеченной.
Чтобы справиться с растущим использованием вредоносных локальных прокси-серверов, в статье рекомендуется адаптировать методы обнаружения и реагирования на инциденты. В статье содержится предостережение от игнорирования подозрительных действий, исходящих из мест, которые традиционно ассоциируются с безобидным поведением, поскольку злоумышленники теперь используют такие места. Вместо этого рекомендуется использовать более комплексный подход к обнаружению, выходящий за рамки географических аномалий, для эффективной борьбы с фишинговыми атаками, проводимыми с помощью локальных прокси-серверов.
#ParsedReport #CompletenessLow
13-05-2024
Darkness is coming: a new group of MorLock ransomware has increased the intensity of attacks on Russian businesses
https://www.facct.ru/blog/morlock-ransomware
Report completeness: Low
Actors/Campaigns:
Morlock (motivation: financially_motivated)
Threats:
Lockbit
Babuk
Sliver_c2_tool
Pingcastle_tool
Facefish
Godzilla_webshell
Anydesk_tool
Putty_tool
Nssm_tool
Victims:
Russian companies
Geo:
Ukraine, Russia, Russian
ChatGPT TTPs:
T1486, T1133, T1566, T1069, T1078, T1059, T1489, T1021, T1105
Soft:
Zimbra, SoftPerfect Network Scanner, PsExec, ESXi
Languages:
powershell
Links:
13-05-2024
Darkness is coming: a new group of MorLock ransomware has increased the intensity of attacks on Russian businesses
https://www.facct.ru/blog/morlock-ransomware
Report completeness: Low
Actors/Campaigns:
Morlock (motivation: financially_motivated)
Threats:
Lockbit
Babuk
Sliver_c2_tool
Pingcastle_tool
Facefish
Godzilla_webshell
Anydesk_tool
Putty_tool
Nssm_tool
Victims:
Russian companies
Geo:
Ukraine, Russia, Russian
ChatGPT TTPs:
do not use without manual checkT1486, T1133, T1566, T1069, T1078, T1059, T1489, T1021, T1105
Soft:
Zimbra, SoftPerfect Network Scanner, PsExec, ESXi
Languages:
powershell
Links:
https://github.com/facct-ransomware/Ransomware/blob/main/MorLockF6
Тьма наступает: новая группа вымогателей MorLock увеличила интенсивность атак на российский бизнес - F6
F6 сообщает об активизации новой преступной группы вымогателей MorLock.
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Darkness is coming: a new group of MorLock ransomware has increased the intensity of attacks on Russian businesses https://www.facct.ru/blog/morlock-ransomware Report completeness: Low Actors/Campaigns: Morlock…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении и деятельности новой преступной группировки под названием MorLock ransomware, которая нацелилась на российские компании, используя сотрудничество с другими кибербандами, уникальные методы установления авторства, шифрование данных без эксфильтрации, использование специальных инструментов для атак и наличие индикаторов компрометации для обеспечения кибербезопасности профессионалы.
-----
В отчете F.A.C.C.T. сообщается о появлении новой преступной группы под названием MorLock ransomware, которая с начала 2024 года атаковала по меньшей мере 9 российских компаний. Эти атаки в основном затрагивают средний и крупный бизнес в России. Известно, что MorLock использует в своих операциях программы-вымогатели LockBit 3 (Black) и Babuk, что является частью более широкой тенденции, когда кибербандиты сотрудничают и делятся тактиками, методами и процедурами (TTP), а также инструментами. Несмотря на это сотрудничество, каждая группа придерживается уникального метода работы, который может быть использован для установления авторства.
MorLock действует скрытно, не позиционируя себя открыто, выдавая требования о выкупе через идентификатор сеансового мессенджера в качестве единственного способа связи с жертвами. На русскоязычном форуме произошел примечательный инцидент с участием MorLock XSS.is, когда администраторы форума заблокировали аккаунты, связанные с атаками на российские организации, выявив прямые ссылки на группу MorLock. Интересно, что значительное число заблокированных участников были из Украины.
Основной подход MorLock заключается в шифровании данных в ИТ-инфраструктуре жертвы без предварительной их фильтрации. Требуемые суммы выкупа могут достигать десятков или сотен миллионов рублей, что свидетельствует о существенном финансовом ущербе для жертв. Злоумышленники обычно используют уязвимости в общедоступных приложениях и доступе, полученном с закрытых торговых платформ, или скомпрометированные учетные данные партнеров, чтобы получить первоначальный доступ для своих атак.
Получив доступ, MorLock быстро переходит к шифрованию данных. Они используют такие инструменты, как Sliver для последующей эксплуатации, сетевой сканер SoftPerfect и PingCastle для сетевой разведки, часто используя команды PowerShell для сбора информации. Они используют популярное российское корпоративное антивирусное программное обеспечение, отключая его защиту с помощью административного доступа, тем самым облегчая распространение программ-вымогателей в сети жертвы. Кроме того, они используют такие инструменты, как PsExec, для содействия распространению программ-вымогателей и другого вредоносного программного обеспечения.
Примечательно, что злоумышленники загружают инструменты непосредственно на взломанные хосты с официальных веб-сайтов, используя веб-браузер жертвы. Полный список инструментов MorLock, включая программы-вымогатели, доступен для ознакомления. В заключении отчета упоминается о существовании списка MorLock-индикаторов компрометации в репозитории Github организации F.A.C.C.T., который предоставляет ценную информацию специалистам по кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении и деятельности новой преступной группировки под названием MorLock ransomware, которая нацелилась на российские компании, используя сотрудничество с другими кибербандами, уникальные методы установления авторства, шифрование данных без эксфильтрации, использование специальных инструментов для атак и наличие индикаторов компрометации для обеспечения кибербезопасности профессионалы.
-----
В отчете F.A.C.C.T. сообщается о появлении новой преступной группы под названием MorLock ransomware, которая с начала 2024 года атаковала по меньшей мере 9 российских компаний. Эти атаки в основном затрагивают средний и крупный бизнес в России. Известно, что MorLock использует в своих операциях программы-вымогатели LockBit 3 (Black) и Babuk, что является частью более широкой тенденции, когда кибербандиты сотрудничают и делятся тактиками, методами и процедурами (TTP), а также инструментами. Несмотря на это сотрудничество, каждая группа придерживается уникального метода работы, который может быть использован для установления авторства.
MorLock действует скрытно, не позиционируя себя открыто, выдавая требования о выкупе через идентификатор сеансового мессенджера в качестве единственного способа связи с жертвами. На русскоязычном форуме произошел примечательный инцидент с участием MorLock XSS.is, когда администраторы форума заблокировали аккаунты, связанные с атаками на российские организации, выявив прямые ссылки на группу MorLock. Интересно, что значительное число заблокированных участников были из Украины.
Основной подход MorLock заключается в шифровании данных в ИТ-инфраструктуре жертвы без предварительной их фильтрации. Требуемые суммы выкупа могут достигать десятков или сотен миллионов рублей, что свидетельствует о существенном финансовом ущербе для жертв. Злоумышленники обычно используют уязвимости в общедоступных приложениях и доступе, полученном с закрытых торговых платформ, или скомпрометированные учетные данные партнеров, чтобы получить первоначальный доступ для своих атак.
Получив доступ, MorLock быстро переходит к шифрованию данных. Они используют такие инструменты, как Sliver для последующей эксплуатации, сетевой сканер SoftPerfect и PingCastle для сетевой разведки, часто используя команды PowerShell для сбора информации. Они используют популярное российское корпоративное антивирусное программное обеспечение, отключая его защиту с помощью административного доступа, тем самым облегчая распространение программ-вымогателей в сети жертвы. Кроме того, они используют такие инструменты, как PsExec, для содействия распространению программ-вымогателей и другого вредоносного программного обеспечения.
Примечательно, что злоумышленники загружают инструменты непосредственно на взломанные хосты с официальных веб-сайтов, используя веб-браузер жертвы. Полный список инструментов MorLock, включая программы-вымогатели, доступен для ознакомления. В заключении отчета упоминается о существовании списка MorLock-индикаторов компрометации в репозитории Github организации F.A.C.C.T., который предоставляет ценную информацию специалистам по кибербезопасности.
#ParsedReport #CompletenessMedium
13-05-2024
Leveraging DNS Tunneling for Tracking and Scanning
https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns
Report completeness: Medium
Actors/Campaigns:
Darkhydrus
Oilrig
Cobalt_katana
Threats:
Dns_tunneling_technique
Cobalt_strike
Decoy_dog
Sunburst
Dns_amplification_technique
Phoenix_keylogger
Victims:
Educational institutions, Network infrastructure, Cloud environments
Industry:
Government, Education
Geo:
Apac, America, Emea, Japan
CVEs:
CVE-2012-1033 [Vulners]
CVSS V3.1: 5.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- isc bind (9.8.1, 9.1.1, 9.1.3, 9.7.0, 9.7.2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1071.004, T1568.002, T1001.001, T1048
IOCs:
Domain: 104
IP: 6
Email: 1
Hash: 1
File: 2
Soft:
spamtracker
Algorithms:
md5
13-05-2024
Leveraging DNS Tunneling for Tracking and Scanning
https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns
Report completeness: Medium
Actors/Campaigns:
Darkhydrus
Oilrig
Cobalt_katana
Threats:
Dns_tunneling_technique
Cobalt_strike
Decoy_dog
Sunburst
Dns_amplification_technique
Phoenix_keylogger
Victims:
Educational institutions, Network infrastructure, Cloud environments
Industry:
Government, Education
Geo:
Apac, America, Emea, Japan
CVEs:
CVE-2012-1033 [Vulners]
CVSS V3.1: 5.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- isc bind (9.8.1, 9.1.1, 9.1.3, 9.7.0, 9.7.2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1071.004, T1568.002, T1001.001, T1048
IOCs:
Domain: 104
IP: 6
Email: 1
Hash: 1
File: 2
Soft:
spamtracker
Algorithms:
md5
Unit 42
Leveraging DNS Tunneling for Tracking and Scanning
We provide a walkthrough of how attackers leverage DNS tunneling for tracking and scanning, an expansion of the way this technique is usually exploited.