CTT Report Hub
#ParsedReport #CompletenessMedium 19-05-2024 New Threat Detected: Inside Our Discovery of the Log4j Campaign and Its XMRig Malware. Sign up here: https://www.uptycs.com/blog/log4j-campaign-xmrig-malware Report completeness: Medium Actors/Campaigns: Lazarus…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе важной текущей операции в рамках кампании Log4j, в ходе которой злоумышленники используют уязвимости для внедрения вредоносного ПО, в первую очередь XMRig cryptominer, в целевые системы. Широкое распространение уязвимостей Log4j повлияло на индустрию программного обеспечения, и команда Uptycs по исследованию угроз подготовила рекомендации по защите от таких атак.
-----
Команда Uptycs по исследованию угроз обнаружила важную текущую операцию в рамках кампании Log4j, первоначально обнаруженную в их коллекции honeypot. Команда немедленно приступила к углубленному анализу, чтобы понять сложности этой динамичной кампании. Основная цель кампании - внедрить вредоносное ПО XMRig cryptominer в целевые системы, используя уязвимость Log4j CVE-2021-44228 для удаленного выполнения кода (RCE). Злоумышленники, такие как Lazarus, APT28, APT35 и DEV-0401, используют эти уязвимости для развертывания различных вредоносных программ, таких как NineRAT, DLRAT, BottomLoader, Kinsing, NightSky, Mirai и других.
Последовательность заражения обычно начинается с того, что злоумышленник отправляет тщательно разработанный HTTP-запрос в систему с использованием Log4j, запуская Log4j для создания записи в журнале, содержащей строку эксплойта. Эта строка эксплойта инициирует сетевой запрос к серверу, контролируемому злоумышленником, используя механизмы JNDI, поддерживаемые Log4j. Используя изменчивость конфигурации системы, злоумышленники могут получить команду на поиск и выполнение своей вредоносной полезной нагрузки. Широкое распространение уязвимостей Log4j оказало значительное влияние на индустрию программного обеспечения, затронув многочисленные пакеты Java.
Команда Uptycs выявила текущую кампанию, использующую уязвимость Log4j, которая началась в январе 2024 года. Были обнаружены четыре различных набора серверов, каждый из которых способствовал распространению криптомайнеров XMRig, устанавливая связь со скомпрометированными IP-адресами. Детальный анализ одного сервера управления (C2) выявил такие действия, как получение жертвами командных скриптов для развертывания XMRig или распространения вредоносных программ Mirai или Gafgyt.
Географически уязвимыми странами являются Китай, Гонконг, Нидерланды, Япония, Соединенные Штаты, Германия, Южная Африка и Швеция. Uptycs XDR демонстрирует надежные возможности обнаружения благодаря поддержке YARA и расширенным функциям для выявления таких угроз и анализа развертывания вредоносных программ с конечной полезной нагрузкой. Рекомендации по защите от атак Log4j campaign включают внедрение надежного управления исправлениями, мониторинг сетевого трафика на предмет вредоносной активности, разработку планов реагирования на инциденты и поддержание практики непрерывного мониторинга.
Следуя этим рекомендациям, организации могут повысить свою способность эффективно обнаруживать угрозы, связанные с Log4j, реагировать на них и смягчать их последствия.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе важной текущей операции в рамках кампании Log4j, в ходе которой злоумышленники используют уязвимости для внедрения вредоносного ПО, в первую очередь XMRig cryptominer, в целевые системы. Широкое распространение уязвимостей Log4j повлияло на индустрию программного обеспечения, и команда Uptycs по исследованию угроз подготовила рекомендации по защите от таких атак.
-----
Команда Uptycs по исследованию угроз обнаружила важную текущую операцию в рамках кампании Log4j, первоначально обнаруженную в их коллекции honeypot. Команда немедленно приступила к углубленному анализу, чтобы понять сложности этой динамичной кампании. Основная цель кампании - внедрить вредоносное ПО XMRig cryptominer в целевые системы, используя уязвимость Log4j CVE-2021-44228 для удаленного выполнения кода (RCE). Злоумышленники, такие как Lazarus, APT28, APT35 и DEV-0401, используют эти уязвимости для развертывания различных вредоносных программ, таких как NineRAT, DLRAT, BottomLoader, Kinsing, NightSky, Mirai и других.
Последовательность заражения обычно начинается с того, что злоумышленник отправляет тщательно разработанный HTTP-запрос в систему с использованием Log4j, запуская Log4j для создания записи в журнале, содержащей строку эксплойта. Эта строка эксплойта инициирует сетевой запрос к серверу, контролируемому злоумышленником, используя механизмы JNDI, поддерживаемые Log4j. Используя изменчивость конфигурации системы, злоумышленники могут получить команду на поиск и выполнение своей вредоносной полезной нагрузки. Широкое распространение уязвимостей Log4j оказало значительное влияние на индустрию программного обеспечения, затронув многочисленные пакеты Java.
Команда Uptycs выявила текущую кампанию, использующую уязвимость Log4j, которая началась в январе 2024 года. Были обнаружены четыре различных набора серверов, каждый из которых способствовал распространению криптомайнеров XMRig, устанавливая связь со скомпрометированными IP-адресами. Детальный анализ одного сервера управления (C2) выявил такие действия, как получение жертвами командных скриптов для развертывания XMRig или распространения вредоносных программ Mirai или Gafgyt.
Географически уязвимыми странами являются Китай, Гонконг, Нидерланды, Япония, Соединенные Штаты, Германия, Южная Африка и Швеция. Uptycs XDR демонстрирует надежные возможности обнаружения благодаря поддержке YARA и расширенным функциям для выявления таких угроз и анализа развертывания вредоносных программ с конечной полезной нагрузкой. Рекомендации по защите от атак Log4j campaign включают внедрение надежного управления исправлениями, мониторинг сетевого трафика на предмет вредоносной активности, разработку планов реагирования на инциденты и поддержание практики непрерывного мониторинга.
Следуя этим рекомендациям, организации могут повысить свою способность эффективно обнаруживать угрозы, связанные с Log4j, реагировать на них и смягчать их последствия.
#ParsedReport #CompletenessMedium
19-05-2024
Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024. Summary
https://www.trendmicro.com/en_us/research/24/e/earth-hundun-2.html
Report completeness: Medium
Actors/Campaigns:
Earth_hundun (motivation: cyber_espionage)
Threats:
Waterbear
Deuterbear
Dll_sideloading_technique
Process_injection_technique
Geo:
Asia-pacific
TTPs:
Tactics: 9
Technics: 20
IOCs:
Registry: 2
Hash: 8
Domain: 14
Algorithms:
xor, rc4
Win API:
SetTcpEntry, GetVersionExA, gethostbyname, gethostname, GetUserNameA, GetLastInputInfo, GetWindowTextA, GetAdaptersInfo, GetCurrentProcessId, CryptUnprotectData, have more...
19-05-2024
Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024. Summary
https://www.trendmicro.com/en_us/research/24/e/earth-hundun-2.html
Report completeness: Medium
Actors/Campaigns:
Earth_hundun (motivation: cyber_espionage)
Threats:
Waterbear
Deuterbear
Dll_sideloading_technique
Process_injection_technique
Geo:
Asia-pacific
TTPs:
Tactics: 9
Technics: 20
IOCs:
Registry: 2
Hash: 8
Domain: 14
Algorithms:
xor, rc4
Win API:
SetTcpEntry, GetVersionExA, gethostbyname, gethostname, GetUserNameA, GetLastInputInfo, GetWindowTextA, GetAdaptersInfo, GetCurrentProcessId, CryptUnprotectData, have more...
Trend Micro
Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024
This report describes how Waterbear and Deuterbear — two of the tools in Earth Hundun's arsenal — operate, based on a campaign from 2024.
CTT Report Hub
#ParsedReport #CompletenessMedium 19-05-2024 Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024. Summary https://www.trendmicro.com/en_us/research/24/e/earth-hundun-2.html Report completeness: Medium Actors/Campaigns: Earth_hundun…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - исследование использования киберугрозой Earth Hundun продвинутых вредоносных программных средств, известных как Waterbear, и их эволюции, Deuterbear, в кампании 2024 года. Отчет дает представление о тактике Earth Hundun, такой как распространение инфекции, взаимодействие командования и контроля, а также поведение компонентов вредоносного ПО, демонстрируя непрерывную разработку инструментов, позволяющих избежать анализа и обнаружения. В нем сравниваются характеристики и возможности Waterbear и Deuterbear, подчеркиваются достижения Deuterbear и его изощренная тактика взаимодействия с жертвами.
-----
В отчете обсуждается использование киберугрозой Earth Hundun передовых вредоносных программных средств Waterbear и Deuterbear в кампании 2024 года. Компания Earth Hundun, известная своей ориентацией на Азиатско-Тихоокеанский регион, обновила свою тактику распространения инфекции и коммуникации. Отчет посвящен подробному описанию операционных аспектов Waterbear и Deuterbear, включая этапы заражения, взаимодействие командования и контроля (C&C) и поведение компонентов вредоносного ПО.
Deuterbear, являющийся развитием Waterbear, демонстрирует усовершенствования в таких возможностях, как поддержка плагинов шеллкода, отказ от рукопожатий при работе с RAT и использование HTTPS для обмена данными по C&C. При сравнении двух вариантов вредоносного ПО становится очевидным, что Deuterbear, в отличие от Waterbear, использует формат шеллкода, защиту от сканирования памяти и использует общий ключ трафика со своим загрузчиком. Эта эволюция от Waterbear к Deuterbear означает постоянное совершенствование компанией Earth Hundun инструментов, позволяющих избежать анализа и обнаружения.
В отчете рассматривается поведение вредоносных программ Waterbear и Deuterbear, подчеркивается изощренная тактика, используемая Earth Hundun при взаимодействии со своими жертвами. В нем обсуждается, как Waterbear работает в среде жертвы и распространяет дополнительные загрузчики по внутренней сети. В отчете также представлено сравнение загрузчиков Waterbear и Deuterbear, показывающее различия в используемых компонентах RAT.
Дальнейший анализ детализирует функции и способы установки Deuterbear, подчеркивая его сходство с Waterbear в плане двухэтапной установки через черный ход. Deuterbear RAT наследует компоненты от загрузчика, используя тот же канал HTTPS и ключ трафика для связи с сервером C&C, не требуя подтверждения связи. В отчете показано, что Deuterbear копирует функциональные возможности Waterbear, оптимизируя свои возможности с помощью 20 команд RAT по сравнению с более чем 60 в Waterbear, и использует больше плагинов для повышения гибкости и функциональности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - исследование использования киберугрозой Earth Hundun продвинутых вредоносных программных средств, известных как Waterbear, и их эволюции, Deuterbear, в кампании 2024 года. Отчет дает представление о тактике Earth Hundun, такой как распространение инфекции, взаимодействие командования и контроля, а также поведение компонентов вредоносного ПО, демонстрируя непрерывную разработку инструментов, позволяющих избежать анализа и обнаружения. В нем сравниваются характеристики и возможности Waterbear и Deuterbear, подчеркиваются достижения Deuterbear и его изощренная тактика взаимодействия с жертвами.
-----
В отчете обсуждается использование киберугрозой Earth Hundun передовых вредоносных программных средств Waterbear и Deuterbear в кампании 2024 года. Компания Earth Hundun, известная своей ориентацией на Азиатско-Тихоокеанский регион, обновила свою тактику распространения инфекции и коммуникации. Отчет посвящен подробному описанию операционных аспектов Waterbear и Deuterbear, включая этапы заражения, взаимодействие командования и контроля (C&C) и поведение компонентов вредоносного ПО.
Deuterbear, являющийся развитием Waterbear, демонстрирует усовершенствования в таких возможностях, как поддержка плагинов шеллкода, отказ от рукопожатий при работе с RAT и использование HTTPS для обмена данными по C&C. При сравнении двух вариантов вредоносного ПО становится очевидным, что Deuterbear, в отличие от Waterbear, использует формат шеллкода, защиту от сканирования памяти и использует общий ключ трафика со своим загрузчиком. Эта эволюция от Waterbear к Deuterbear означает постоянное совершенствование компанией Earth Hundun инструментов, позволяющих избежать анализа и обнаружения.
В отчете рассматривается поведение вредоносных программ Waterbear и Deuterbear, подчеркивается изощренная тактика, используемая Earth Hundun при взаимодействии со своими жертвами. В нем обсуждается, как Waterbear работает в среде жертвы и распространяет дополнительные загрузчики по внутренней сети. В отчете также представлено сравнение загрузчиков Waterbear и Deuterbear, показывающее различия в используемых компонентах RAT.
Дальнейший анализ детализирует функции и способы установки Deuterbear, подчеркивая его сходство с Waterbear в плане двухэтапной установки через черный ход. Deuterbear RAT наследует компоненты от загрузчика, используя тот же канал HTTPS и ключ трафика для связи с сервером C&C, не требуя подтверждения связи. В отчете показано, что Deuterbear копирует функциональные возможности Waterbear, оптимизируя свои возможности с помощью 20 команд RAT по сравнению с более чем 60 в Waterbear, и использует больше плагинов для повышения гибкости и функциональности.
#ParsedReport #CompletenessHigh
20-05-2024
Tiny BackDoor Goes Undetected - Suspected Turla leveraging MSBuild to Evade detection
https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection
Report completeness: High
Actors/Campaigns:
Turla (motivation: cyber_espionage)
Threats:
Tinyturla
Kazuar
Industry:
Ngo
Geo:
Russian, Philippine, Russia, Ukraine, Philippines
TTPs:
Tactics: 5
Technics: 5
IOCs:
File: 5
Domain: 1
Url: 1
Hash: 6
Soft:
Task Scheduler, Visual Studio
Algorithms:
exhibit, zip, aes, base64, sha256
Functions:
Execute
Languages:
powershell, php
YARA: Found
20-05-2024
Tiny BackDoor Goes Undetected - Suspected Turla leveraging MSBuild to Evade detection
https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection
Report completeness: High
Actors/Campaigns:
Turla (motivation: cyber_espionage)
Threats:
Tinyturla
Kazuar
Industry:
Ngo
Geo:
Russian, Philippine, Russia, Ukraine, Philippines
TTPs:
Tactics: 5
Technics: 5
IOCs:
File: 5
Domain: 1
Url: 1
Hash: 6
Soft:
Task Scheduler, Visual Studio
Algorithms:
exhibit, zip, aes, base64, sha256
Functions:
Execute
Languages:
powershell, php
YARA: Found
Cyble
Turla Backdoor Evades Detection Via MSBuild Exploit
Cyble uncovers a stealthy campaign using malicious LNK files and MSBuild, linked to the Turla APT group. Backdoor enables remote control of systems.
CTT Report Hub
#ParsedReport #CompletenessHigh 20-05-2024 Tiny BackDoor Goes Undetected - Suspected Turla leveraging MSBuild to Evade detection https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
В тексте обсуждается изощренная кибератака, обнаруженная Cyble Research и Intelligence Labs с использованием вредоносных программ.Файлы LNK распространяются с помощью фишинговых электронных писем. Злоумышленник использовал различные тактики, в том числе приглашения на семинары по правам человека в качестве приманки, чтобы внедрить в жертвы бэкдор, позволяющий удаленно управлять скомпрометированными системами. Кампания имеет сходство с бэкдором TinyTurla и приписывается группе Turla APT из России. Анализ выявляет проблемы, с которыми сталкиваются традиционные антивирусные решения при борьбе с появляющимися киберугрозами, и призывает к разработке комплексных стратегий безопасности для эффективного устранения таких угроз.
-----
Аналитическая компания Cyble Research and Intelligence Labs, занимающаяся анализом киберугроз, обнаружила сложную киберкампанию с использованием вредоносных программ.Файлы LNK, вероятно, распространяются через спам-рассылку.
Злоумышленник, стоявший за кампанией, использовал приглашения на семинары по правам человека и общественные консультации в качестве приманки для заражения жертв вредоносной программой.
Злоумышленник включил файлы lure PDF и MSBuild project в файлы .LNK для бесперебойного выполнения, используя Microsoft Build Engine (MSBuild) для доставки окончательной полезной нагрузки без использования файлов, действующей как черный ход.
Конечная полезная нагрузка имела сходство с бэкдором TinyTurla и предоставляла возможности удаленного управления, связи с сервером управления (C&C) и выполнения различных команд.
Атака была связана с распространением вредоносных файлов .Файлы LNK в ZIP-архивах, возможно, с помощью фишинговых электронных писем, запускали скрипт PowerShell для создания поддельных PDF-файлов и выполнения пользовательских проектов MSBuild.
Бэкдор использовал уникальный системный идентификатор для связи с C&C-сервером, связанным со взломанным веб-сайтом, связанным с российской Turla APT group, нацеленной на неправительственные организации, связанные с Украиной.
Кампания продемонстрировала эволюционирующий характер киберугроз и проблемы, с которыми сталкиваются традиционные антивирусные решения, подчеркнув необходимость разработки комплексных стратегий безопасности для эффективной борьбы с продвинутыми противниками.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
В тексте обсуждается изощренная кибератака, обнаруженная Cyble Research и Intelligence Labs с использованием вредоносных программ.Файлы LNK распространяются с помощью фишинговых электронных писем. Злоумышленник использовал различные тактики, в том числе приглашения на семинары по правам человека в качестве приманки, чтобы внедрить в жертвы бэкдор, позволяющий удаленно управлять скомпрометированными системами. Кампания имеет сходство с бэкдором TinyTurla и приписывается группе Turla APT из России. Анализ выявляет проблемы, с которыми сталкиваются традиционные антивирусные решения при борьбе с появляющимися киберугрозами, и призывает к разработке комплексных стратегий безопасности для эффективного устранения таких угроз.
-----
Аналитическая компания Cyble Research and Intelligence Labs, занимающаяся анализом киберугроз, обнаружила сложную киберкампанию с использованием вредоносных программ.Файлы LNK, вероятно, распространяются через спам-рассылку.
Злоумышленник, стоявший за кампанией, использовал приглашения на семинары по правам человека и общественные консультации в качестве приманки для заражения жертв вредоносной программой.
Злоумышленник включил файлы lure PDF и MSBuild project в файлы .LNK для бесперебойного выполнения, используя Microsoft Build Engine (MSBuild) для доставки окончательной полезной нагрузки без использования файлов, действующей как черный ход.
Конечная полезная нагрузка имела сходство с бэкдором TinyTurla и предоставляла возможности удаленного управления, связи с сервером управления (C&C) и выполнения различных команд.
Атака была связана с распространением вредоносных файлов .Файлы LNK в ZIP-архивах, возможно, с помощью фишинговых электронных писем, запускали скрипт PowerShell для создания поддельных PDF-файлов и выполнения пользовательских проектов MSBuild.
Бэкдор использовал уникальный системный идентификатор для связи с C&C-сервером, связанным со взломанным веб-сайтом, связанным с российской Turla APT group, нацеленной на неправительственные организации, связанные с Украиной.
Кампания продемонстрировала эволюционирующий характер киберугроз и проблемы, с которыми сталкиваются традиционные антивирусные решения, подчеркнув необходимость разработки комплексных стратегий безопасности для эффективной борьбы с продвинутыми противниками.
#ParsedReport #CompletenessHigh
20-05-2024
Bad Karma, No Justice: Void Manticore Destructive Activities in Israel
https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel
Report completeness: High
Actors/Campaigns:
Void_manticore (motivation: hacktivism)
Scarred_manticore
Wildneutron
Threats:
Karma
Bibi-wiper
Foxshell
Liontail_tool
Lionhead_tool
Ad_explorer_tool
Zerocleare_wiper
Shadow_copies_delete_technique
Victims:
Israeli organizations, Albanian entities, Instat
Industry:
Government, Military
Geo:
Albania, Israeli, Iranian, Albanian, Israel
CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1561, T1070.004, T1496, T1485, T1105, T1555.003, T1219, T1600
IOCs:
File: 10
Command: 9
Path: 8
IP: 6
Hash: 7
Soft:
Telegram, OpenSSH, bcdedit, Windows Explorer, Windows File Explorer, SysInternals
Wallets:
harmony_wallet
Algorithms:
base64, xor
Functions:
GetString
YARA: Found
Links:
20-05-2024
Bad Karma, No Justice: Void Manticore Destructive Activities in Israel
https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel
Report completeness: High
Actors/Campaigns:
Void_manticore (motivation: hacktivism)
Scarred_manticore
Wildneutron
Threats:
Karma
Bibi-wiper
Foxshell
Liontail_tool
Lionhead_tool
Ad_explorer_tool
Zerocleare_wiper
Shadow_copies_delete_technique
Victims:
Israeli organizations, Albanian entities, Instat
Industry:
Government, Military
Geo:
Albania, Israeli, Iranian, Albanian, Israel
CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1561, T1070.004, T1496, T1485, T1105, T1555.003, T1219, T1600
IOCs:
File: 10
Command: 9
Path: 8
IP: 6
Hash: 7
Soft:
Telegram, OpenSSH, bcdedit, Windows Explorer, Windows File Explorer, SysInternals
Wallets:
harmony_wallet
Algorithms:
base64, xor
Functions:
GetString
YARA: Found
Links:
https://github.com/BeichenDream/Neo-reGeorg/tree/7cf25ae556ef5802b033e42a2d093e25e0e41c02Check Point Research
Bad Karma, No Justice: Void Manticore Destructive Activities in Israel - Check Point Research
Introduction Since October 2023, Check Point Research (CPR) has actively monitored and hunted state-sponsored threats targeting Israeli organizations with destructive attacks using wipers and ransomware. Among these threats, Void Manticore (aka Storm-842)…
CTT Report Hub
#ParsedReport #CompletenessHigh 20-05-2024 Bad Karma, No Justice: Void Manticore Destructive Activities in Israel https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте содержится информация о деятельности иранского террориста Void Manticore, связанного с MOIS, который проводит разрушительные атаки по уничтожению и сотрудничает со Scarred Manticore. В нем подробно описываются их подрывные методы, использование онлайн-персонажей, таких как Homeland Justice и Karma, а также тактика стратегической психологической войны. Сотрудничество между двумя группами обеспечивает доступ к ценным объектам, а также выделяются конкретные соглашения о конфиденциальности, включающие пользовательские средства очистки и методы ручного уничтожения данных. Кроме того, упоминаются правила обнаружения угроз, которые гарантируют клиентам Check Point защиту от атак Void Manticore.
-----
В тексте описывается деятельность иранского злоумышленника, известного как Void Manticore, связанного с Министерством разведки и безопасности (MOIS). Void Manticore проводит деструктивные атаки по уничтожению информации в рамках своих операций и связан с различными онлайн-персонажами, в частности с Homeland Justice и Karma. Группа нацелилась на организации в Албании и Израиле, причем в виктимологии у нее есть заметные совпадения с другим действующим актором, представляющим угрозу, - Scarred Manticore.
Void Manticore использует пять основных методов для предотвращения сбоев в работе, включая пользовательские очистители как для Windows, так и для Linux, ручное удаление файлов и использование общих дисков. Тактика группы включает в себя простые методы с использованием общедоступных инструментов и базовых процедур, часто с использованием протокола удаленного рабочего стола (RDP) для боковых перемещений.
Выделено сотрудничество между Мантикорой Пустоты и Мантикорой со Шрамом, демонстрирующее систематическую передачу целей между двумя группами. Эта координация позволяет Мантикоре Пустоты получать доступ к ценным целям, чему способствуют расширенные возможности Мантикоры со Шрамом. В тексте также подробно рассказывается об использовании специальных дворников, таких как BiBi wiper, названный в честь премьер-министра Израиля Биньямина Нетаньяху, в своих нападениях.
В статье подчеркивается стратегическое использование различных онлайн-персонажей Void Manticore для усиления своей тактики психологической войны путем утечки информации и фактического уничтожения данных. Операции группы направлены на эскалацию политической напряженности и рассылку политически заряженных сообщений. Деятельность Void Manticore распространяется за пределы Израиля, включая нападения в Албании, демонстрируя широкую наступательную стратегию.
Кроме того, в тексте упоминаются конкретные TTP, используемые Void Manticore, включая использование пользовательских очистителей, нацеленных на определенные файлы или таблицу разделов зараженных систем. Группа известна тем, что проводит операции по уничтожению данных вручную с использованием законных утилит, таких как Windows File Explorer, SysInternal SDelete и Windows Format Utility.
Особое внимание уделяется сотрудничеству между Void Manticore и Scarred Manticore, что подчеркивает высокий уровень координации их операций. В тексте также подробно описаны правила обнаружения угроз, направленные на выявление вредоносных программ, связанных с Void Manticore. Клиенты Check Point могут быть уверены в защите от описанных атак благодаря использованию IP-адресов, Check Point Harmony Endpoint и эмуляции угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте содержится информация о деятельности иранского террориста Void Manticore, связанного с MOIS, который проводит разрушительные атаки по уничтожению и сотрудничает со Scarred Manticore. В нем подробно описываются их подрывные методы, использование онлайн-персонажей, таких как Homeland Justice и Karma, а также тактика стратегической психологической войны. Сотрудничество между двумя группами обеспечивает доступ к ценным объектам, а также выделяются конкретные соглашения о конфиденциальности, включающие пользовательские средства очистки и методы ручного уничтожения данных. Кроме того, упоминаются правила обнаружения угроз, которые гарантируют клиентам Check Point защиту от атак Void Manticore.
-----
В тексте описывается деятельность иранского злоумышленника, известного как Void Manticore, связанного с Министерством разведки и безопасности (MOIS). Void Manticore проводит деструктивные атаки по уничтожению информации в рамках своих операций и связан с различными онлайн-персонажами, в частности с Homeland Justice и Karma. Группа нацелилась на организации в Албании и Израиле, причем в виктимологии у нее есть заметные совпадения с другим действующим актором, представляющим угрозу, - Scarred Manticore.
Void Manticore использует пять основных методов для предотвращения сбоев в работе, включая пользовательские очистители как для Windows, так и для Linux, ручное удаление файлов и использование общих дисков. Тактика группы включает в себя простые методы с использованием общедоступных инструментов и базовых процедур, часто с использованием протокола удаленного рабочего стола (RDP) для боковых перемещений.
Выделено сотрудничество между Мантикорой Пустоты и Мантикорой со Шрамом, демонстрирующее систематическую передачу целей между двумя группами. Эта координация позволяет Мантикоре Пустоты получать доступ к ценным целям, чему способствуют расширенные возможности Мантикоры со Шрамом. В тексте также подробно рассказывается об использовании специальных дворников, таких как BiBi wiper, названный в честь премьер-министра Израиля Биньямина Нетаньяху, в своих нападениях.
В статье подчеркивается стратегическое использование различных онлайн-персонажей Void Manticore для усиления своей тактики психологической войны путем утечки информации и фактического уничтожения данных. Операции группы направлены на эскалацию политической напряженности и рассылку политически заряженных сообщений. Деятельность Void Manticore распространяется за пределы Израиля, включая нападения в Албании, демонстрируя широкую наступательную стратегию.
Кроме того, в тексте упоминаются конкретные TTP, используемые Void Manticore, включая использование пользовательских очистителей, нацеленных на определенные файлы или таблицу разделов зараженных систем. Группа известна тем, что проводит операции по уничтожению данных вручную с использованием законных утилит, таких как Windows File Explorer, SysInternal SDelete и Windows Format Utility.
Особое внимание уделяется сотрудничеству между Void Manticore и Scarred Manticore, что подчеркивает высокий уровень координации их операций. В тексте также подробно описаны правила обнаружения угроз, направленные на выявление вредоносных программ, связанных с Void Manticore. Клиенты Check Point могут быть уверены в защите от описанных атак благодаря использованию IP-адресов, Check Point Harmony Endpoint и эмуляции угроз.
#ParsedReport #CompletenessHigh
20-05-2024
Invisible miners: unveiling GHOSTENGINE s crypto mining operations
https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine
Report completeness: High
Actors/Campaigns:
Ref4578
Threats:
Ghostengine
Hiddenshovel
Xmrig_miner
Iobit_tool
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 13
Path: 15
IP: 3
Coin: 1
Hash: 13
Domain: 3
Soft:
Windows Defender, curl, Microsoft Windows Defender
Crypto:
monero
Algorithms:
base64, sha256
Languages:
powershell
YARA: Found
Links:
20-05-2024
Invisible miners: unveiling GHOSTENGINE s crypto mining operations
https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine
Report completeness: High
Actors/Campaigns:
Ref4578
Threats:
Ghostengine
Hiddenshovel
Xmrig_miner
Iobit_tool
Process_injection_technique
Industry:
Financial
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 13
Path: 15
IP: 3
Coin: 1
Hash: 13
Domain: 3
Soft:
Windows Defender, curl, Microsoft Windows Defender
Crypto:
monero
Algorithms:
base64, sha256
Languages:
powershell
YARA: Found
Links:
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_GhostEngine.yarhttps://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/defense\_evasion\_binary\_masquerading\_via\_untrusted\_path.toml#L58https://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_microsoft\_defender\_tampering.tomlhttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_clearing\_windows\_event\_logs.tomlhttps://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/yara/rules/Windows\_VulnDriver\_IoBitUnlocker.yarhttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/execution\_command\_shell\_started\_by\_svchost.toml#L41https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/execution\_suspicious\_powershell\_downloads.tomlhttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/persistence\_local\_scheduled\_task\_creation.tomlhttps://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/privilege\_escalation\_potential\_privilege\_escalation\_via\_missing\_dll.tomlhttps://github.com/elastic/labs-releases/tree/main/indicators/ghostenginehttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/privilege\_escalation\_service\_control\_spawned\_script\_int.tomlhttps://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/yara/rules/Windows\_VulnDriver\_ArPot.yarhttps://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_from\_unusual\_directory.tomlwww.elastic.co
Invisible miners: unveiling GHOSTENGINE’s crypto mining operations — Elastic Security Labs
Elastic Security Labs has identified REF4578, an intrusion set incorporating several malicious modules and leveraging vulnerable drivers to disable known security solutions (EDRs) for crypto mining.
CTT Report Hub
#ParsedReport #CompletenessHigh 20-05-2024 Invisible miners: unveiling GHOSTENGINE s crypto mining operations https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine Report completeness: High Actors/Campaigns: Ref4578 Threats: Ghostengine…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе набора вторжений под названием REF4578 компанией Elastic Security Labs, который включает вредоносные модули, нацеленные на уязвимости в драйверах, чтобы отключить решения endpoint security для целей криптодобычи. Основная полезная нагрузка GHOSTENGINE используется для обеспечения сохраняемости, установки бэкдоров, запуска криптомайнера и применения различных тактик для обеспечения успешной установки и работы на зараженных компьютерах. Также обсуждаются стратегии обнаружения и предотвращения, подчеркивающие важность мониторинга и устранения угроз, связанных с деятельностью по криптомайнерству.
-----
Elastic Security Labs обнаружила набор вредоносных программ под названием REF4578, который включает в себя множество вредоносных модулей, нацеленных на уязвимости в драйверах, чтобы отключить решения endpoint security solutions (EDR) для целей криптодобычи. Этот набор для взлома, называемый REF4578, включает в себя основную полезную нагрузку под названием GHOSTENGINE, которая обладает возможностями для обеспечения сохраняемости, установки недокументированного бэкдора и запуска криптомайнера. Кампания, организованная авторами вредоносного ПО, внедряющими GHOSTENGINE, показала значительный уровень сложности в обеспечении успешной установки и устойчивости майнера XMRIG.
Вторжение началось с выполнения замаскированного PE-файла с именем Tiworker.exe, который инициировал вторжение REF4578 путем развертывания известного уязвимого драйвера. Последующее выполнение сценария PowerShell с помощью Tiworker.exe организовало весь процесс выполнения вторжения, загрузив дополнительные инструменты и конфигурации с сервера командования и контроля (C2) злоумышленника.
GHOSTENGINE отвечает за извлечение и выполнение модулей на зараженном компьютере, в основном используя HTTP для загрузки файлов из настроенного домена и FTP в качестве дополнительного протокола со встроенными учетными данными. Он использует различные компоненты, такие как clearn.png, для удаления остатков предыдущих заражений и использует такие тактические приемы, как манипулирование разрешением DNS для связи C2.
Несколько модулей, развернутых GHOSTENGINE, воздействуют на средства безопасности, создают бэкдоры и облегчают обновление программного обеспечения. Вредоносная программа сканирует известные агенты EDR и отключает их, используя уязвимые драйверы, после чего развертывается XMRig для майнинга криптовалют. Он также создает служебную библиотеку DLL для сохранения системы и загружает обновления с сервера C2.
Скрипт PowerShell в вредоносной программе действует как бэкдор для удаленного выполнения команд, отправляя и получая команды в кодировке Base64 в ожидании инструкций. Авторы внедрили избыточность в работу модуля backdoor, обеспечивая непрерывное сканирование на наличие новых процессов.
Конечной целью набора для взлома REF4578 является развертывание постоянного криптомайнера Monero, XMRig. Благодаря извлечению файла конфигурации XMRig была получена ценная информация о добытой криптовалюте, идентификаторах транзакций, выводе средств и статистике пула, связанных с идентификатором платежа Monero, указанным в конфигурации.
Кроме того, Elastic Security Labs использует платформу MITRE ATT&CK для документирования тактики, методов и процедур, используемых при угрозах корпоративным сетям. Особое внимание уделяется стратегиям обнаружения и предотвращения, подчеркивающим важность мониторинга подозрительных запусков PowerShell, необычных развертываний каталогов, повышения привилегий, развертывания уязвимых драйверов и моделей сетевого трафика, связанных с деятельностью по добыче криптовалют.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе набора вторжений под названием REF4578 компанией Elastic Security Labs, который включает вредоносные модули, нацеленные на уязвимости в драйверах, чтобы отключить решения endpoint security для целей криптодобычи. Основная полезная нагрузка GHOSTENGINE используется для обеспечения сохраняемости, установки бэкдоров, запуска криптомайнера и применения различных тактик для обеспечения успешной установки и работы на зараженных компьютерах. Также обсуждаются стратегии обнаружения и предотвращения, подчеркивающие важность мониторинга и устранения угроз, связанных с деятельностью по криптомайнерству.
-----
Elastic Security Labs обнаружила набор вредоносных программ под названием REF4578, который включает в себя множество вредоносных модулей, нацеленных на уязвимости в драйверах, чтобы отключить решения endpoint security solutions (EDR) для целей криптодобычи. Этот набор для взлома, называемый REF4578, включает в себя основную полезную нагрузку под названием GHOSTENGINE, которая обладает возможностями для обеспечения сохраняемости, установки недокументированного бэкдора и запуска криптомайнера. Кампания, организованная авторами вредоносного ПО, внедряющими GHOSTENGINE, показала значительный уровень сложности в обеспечении успешной установки и устойчивости майнера XMRIG.
Вторжение началось с выполнения замаскированного PE-файла с именем Tiworker.exe, который инициировал вторжение REF4578 путем развертывания известного уязвимого драйвера. Последующее выполнение сценария PowerShell с помощью Tiworker.exe организовало весь процесс выполнения вторжения, загрузив дополнительные инструменты и конфигурации с сервера командования и контроля (C2) злоумышленника.
GHOSTENGINE отвечает за извлечение и выполнение модулей на зараженном компьютере, в основном используя HTTP для загрузки файлов из настроенного домена и FTP в качестве дополнительного протокола со встроенными учетными данными. Он использует различные компоненты, такие как clearn.png, для удаления остатков предыдущих заражений и использует такие тактические приемы, как манипулирование разрешением DNS для связи C2.
Несколько модулей, развернутых GHOSTENGINE, воздействуют на средства безопасности, создают бэкдоры и облегчают обновление программного обеспечения. Вредоносная программа сканирует известные агенты EDR и отключает их, используя уязвимые драйверы, после чего развертывается XMRig для майнинга криптовалют. Он также создает служебную библиотеку DLL для сохранения системы и загружает обновления с сервера C2.
Скрипт PowerShell в вредоносной программе действует как бэкдор для удаленного выполнения команд, отправляя и получая команды в кодировке Base64 в ожидании инструкций. Авторы внедрили избыточность в работу модуля backdoor, обеспечивая непрерывное сканирование на наличие новых процессов.
Конечной целью набора для взлома REF4578 является развертывание постоянного криптомайнера Monero, XMRig. Благодаря извлечению файла конфигурации XMRig была получена ценная информация о добытой криптовалюте, идентификаторах транзакций, выводе средств и статистике пула, связанных с идентификатором платежа Monero, указанным в конфигурации.
Кроме того, Elastic Security Labs использует платформу MITRE ATT&CK для документирования тактики, методов и процедур, используемых при угрозах корпоративным сетям. Особое внимание уделяется стратегиям обнаружения и предотвращения, подчеркивающим важность мониторинга подозрительных запусков PowerShell, необычных развертываний каталогов, повышения привилегий, развертывания уязвимых драйверов и моделей сетевого трафика, связанных с деятельностью по добыче криптовалют.
#ParsedReport #CompletenessLow
21-05-2024
New Hijack Loader Variant: Uses Process Hollowing, Has Enhanced Anti-Evasion Capabilities
https://any.run/cybersecurity-blog/new-hijackloader-version
Report completeness: Low
Threats:
Hijackloader
Process_hollowing_technique
Amadey
Lumma_stealer
Meta_stealer
Raccoon_stealer
Remcos_rat
Rhadamanthys
ChatGPT TTPs:
T1140, T1497, T1562, T1548, T1055
IOCs:
IP: 3
Hash: 3
Domain: 3
Soft:
Windows Defender
21-05-2024
New Hijack Loader Variant: Uses Process Hollowing, Has Enhanced Anti-Evasion Capabilities
https://any.run/cybersecurity-blog/new-hijackloader-version
Report completeness: Low
Threats:
Hijackloader
Process_hollowing_technique
Amadey
Lumma_stealer
Meta_stealer
Raccoon_stealer
Remcos_rat
Rhadamanthys
ChatGPT TTPs:
do not use without manual checkT1140, T1497, T1562, T1548, T1055
IOCs:
IP: 3
Hash: 3
Domain: 3
Soft:
Windows Defender
ANY.RUN's Cybersecurity Blog
New HijackLoader: Process Hollowing & Anti-Evasion Capabilities
Learn more about a new version of HijackLoader and its updated capabilities, including process hollowing, UAC bypass, and more.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 New Hijack Loader Variant: Uses Process Hollowing, Has Enhanced Anti-Evasion Capabilities https://any.run/cybersecurity-blog/new-hijackloader-version Report completeness: Low Threats: Hijackloader Process_hollowing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте рассказывается об обнаружении новой версии вредоносного по Hijack Loader исследователями безопасности на платформе ANY.RUN. В этой обновленной версии используются сложные методы обхода программного обеспечения безопасности, включая расшифровку изображения в формате PNG для загрузки его полезной информации, обход контроля учетных записей, использование "пустого процесса" и обхода защитника Windows. Вредоносная программа, также известная как IDAT Loader, становится все более распространенной и занимает 6-е место среди наиболее часто обнаруживаемых на платформе. Программная среда ANY.RUN позволяет идентифицировать вредоносное ПО с помощью правил YARA, а ее продукты threat intelligence помогают реагировать на инциденты, предоставляя IOCs и улучшая понимание угроз. Особое внимание уделяется возможностям быстрого обнаружения ANY.RUN, а также глобальному влиянию вредоносного ПО Hijack Loader на специалистов по кибербезопасности.
-----
В тексте описывается обнаружение исследователями безопасности новой версии Hijack Loader на платформе ANY.RUN. В этой обновленной версии загрузчика используются передовые технологии, позволяющие избежать обнаружения программным обеспечением безопасности. Он расшифровывает и анализирует изображение в формате PNG для загрузки полезной нагрузки второго этапа, обходит систему контроля учетных записей пользователей (UAC), использует удаление процессов и исключает антивирус Windows Defender. Вредоносная программа, также известная как IDAT Loader, впервые появилась в сентябре 2023 года и становится все более популярной, занимая в настоящее время 6-е место среди наиболее обнаруживаемых вредоносных программ в ANY.RUN Trends Tracker.
Программа ANY.RUN sandbox способна обнаруживать взломанный загрузчик с помощью правил YARA. Проанализировав содержимое статического файла, было обнаружено, что вредоносная программа нацелена как на 32-, так и на 64-разрядные версии Windows. Однако в ходе конкретного сеанса анализа полезная нагрузка второго этапа не была загружена из-за неработающего сервера управления (C2). Исследователи собрали последние показатели компрометации (IOCs), связанные с Hijack Loader, из трекера тенденций вредоносных программ, которые динамически обновляются по мере проведения новых сеансов анализа на платформе.
ANY.RUN обслуживает более 400 000 специалистов по кибербезопасности по всему миру, предоставляя интерактивную "песочницу" для анализа вредоносных программ, нацеленных на системы Windows и Linux. Кроме того, их продукты для анализа угроз, включая TI Lookup, Yara Search и Feeds, помогают находить IOCS и файлы, улучшая понимание угроз и возможности реагирования на инциденты. Платформа помогает в быстром анализе и обнаружении угроз, используя правила YARA и Suricata для идентификации распространенных семейств вредоносных программ и поведенческие сигнатуры для обнаружения вредоносных действий. ANY.RUN способен обнаруживать вредоносное ПО в течение 40 секунд после загрузки файла, записывать и анализировать различные аспекты поведения вредоносного ПО, такие как сетевой трафик, системные вызовы и изменения файловой системы.
Таким образом, в тексте освещается эволюционирующая природа вредоносного по Hijack Loader, его передовые методы обхода, возможности обнаружения на платформе ANY.RUN, глобальное влияние на специалистов по кибербезопасности и важность быстрого анализа вредоносного ПО и обнаружения угроз для эффективного реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте рассказывается об обнаружении новой версии вредоносного по Hijack Loader исследователями безопасности на платформе ANY.RUN. В этой обновленной версии используются сложные методы обхода программного обеспечения безопасности, включая расшифровку изображения в формате PNG для загрузки его полезной информации, обход контроля учетных записей, использование "пустого процесса" и обхода защитника Windows. Вредоносная программа, также известная как IDAT Loader, становится все более распространенной и занимает 6-е место среди наиболее часто обнаруживаемых на платформе. Программная среда ANY.RUN позволяет идентифицировать вредоносное ПО с помощью правил YARA, а ее продукты threat intelligence помогают реагировать на инциденты, предоставляя IOCs и улучшая понимание угроз. Особое внимание уделяется возможностям быстрого обнаружения ANY.RUN, а также глобальному влиянию вредоносного ПО Hijack Loader на специалистов по кибербезопасности.
-----
В тексте описывается обнаружение исследователями безопасности новой версии Hijack Loader на платформе ANY.RUN. В этой обновленной версии загрузчика используются передовые технологии, позволяющие избежать обнаружения программным обеспечением безопасности. Он расшифровывает и анализирует изображение в формате PNG для загрузки полезной нагрузки второго этапа, обходит систему контроля учетных записей пользователей (UAC), использует удаление процессов и исключает антивирус Windows Defender. Вредоносная программа, также известная как IDAT Loader, впервые появилась в сентябре 2023 года и становится все более популярной, занимая в настоящее время 6-е место среди наиболее обнаруживаемых вредоносных программ в ANY.RUN Trends Tracker.
Программа ANY.RUN sandbox способна обнаруживать взломанный загрузчик с помощью правил YARA. Проанализировав содержимое статического файла, было обнаружено, что вредоносная программа нацелена как на 32-, так и на 64-разрядные версии Windows. Однако в ходе конкретного сеанса анализа полезная нагрузка второго этапа не была загружена из-за неработающего сервера управления (C2). Исследователи собрали последние показатели компрометации (IOCs), связанные с Hijack Loader, из трекера тенденций вредоносных программ, которые динамически обновляются по мере проведения новых сеансов анализа на платформе.
ANY.RUN обслуживает более 400 000 специалистов по кибербезопасности по всему миру, предоставляя интерактивную "песочницу" для анализа вредоносных программ, нацеленных на системы Windows и Linux. Кроме того, их продукты для анализа угроз, включая TI Lookup, Yara Search и Feeds, помогают находить IOCS и файлы, улучшая понимание угроз и возможности реагирования на инциденты. Платформа помогает в быстром анализе и обнаружении угроз, используя правила YARA и Suricata для идентификации распространенных семейств вредоносных программ и поведенческие сигнатуры для обнаружения вредоносных действий. ANY.RUN способен обнаруживать вредоносное ПО в течение 40 секунд после загрузки файла, записывать и анализировать различные аспекты поведения вредоносного ПО, такие как сетевой трафик, системные вызовы и изменения файловой системы.
Таким образом, в тексте освещается эволюционирующая природа вредоносного по Hijack Loader, его передовые методы обхода, возможности обнаружения на платформе ANY.RUN, глобальное влияние на специалистов по кибербезопасности и важность быстрого анализа вредоносного ПО и обнаружения угроз для эффективного реагирования на инциденты.
#ParsedReport #CompletenessLow
21-05-2024
XWorm v5.6 malware being distributed through web hard
https://asec.ahnlab.com/ko/65555
Report completeness: Low
Threats:
Xworm_rat
Udprat
Njrat
Trojan/win.generic.c5621458
Trojan/win.loader.c5622810
ChatGPT TTPs:
T1566.001, T1204.002, T1547.001, T1055, T1574.002, T1027
IOCs:
File: 4
Registry: 1
Path: 1
Url: 3
Hash: 2
Algorithms:
zip
21-05-2024
XWorm v5.6 malware being distributed through web hard
https://asec.ahnlab.com/ko/65555
Report completeness: Low
Threats:
Xworm_rat
Udprat
Njrat
Trojan/win.generic.c5621458
Trojan/win.loader.c5622810
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1547.001, T1055, T1574.002, T1027
IOCs:
File: 4
Registry: 1
Path: 1
Url: 3
Hash: 2
Algorithms:
zip
ASEC
웹하드를 통해 유포 중인 XWorm v5.6 악성코드 - ASEC
웹하드를 통해 유포 중인 XWorm v5.6 악성코드 ASEC