CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
21-05-2024

'The Mask' Espionage Group Resurfaces After 10-Year Hiatus

https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus

Report completeness: Low

Actors/Campaigns:
Careto (motivation: cyber_criminal, cyber_espionage)
Gelsemium
Kimsuky
Oilrig

Threats:
Fakehmp
Careto2

Victims:
Government institutions, Diplomatic offices and embassies, Energy companies, Oil and gas companies, Research institutions, Private equity firms

Industry:
Petroleum, Energy, Government

Geo:
Germany, Palestine, Africa, China, Iran, America, Tajikistan, Korea, Brazil, France, Israel, Kyrgyzstan

ChatGPT TTPs:
do not use without manual check
T1190, T1547, T1110, T1003, T1027, T1071, T1056, T1113, T1105, T1030, have more...

Soft:
Chrome, Opera, WhatsApps, WeChat, Threema
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 'The Mask' Espionage Group Resurfaces After 10-Year Hiatus https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вновь появилась испаноязычная группа злоумышленников, известная как "Careto" или "Маска", которая занимается кибершпионажем против организаций в Латинской Америке и Центральной Африке. Careto, действовавшая с 2007 по 2013 год, ранее занималась кибершпионажем против различных учреждений по всему миру. Недавние атаки Careto были связаны с кражей конфиденциальных данных и использованием продвинутых имплантатов для вредоносных действий, демонстрируя сложные операции группы. Касперский поделился подробной информацией о тактике Careto и выделил ее наряду с другими группами угроз в первом квартале 2024 года.
-----

Испаноязычная группа исполнителей угроз, известная как "Careto" или "The Mask", вновь появилась после более чем десятилетнего бездействия в рамках кампании кибершпионажа, нацеленной на организации в Латинской Америке и Центральной Африке. Первоначально, с 2007 по 2013 год, Careto действовала против 380 жертв в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию. Исследователи из Лаборатории Касперского, которые в прошлом отслеживали Careto, выявили, что предыдущими жертвами группы были правительственные учреждения, дипломатические представительства, посольства, энергетические компании, исследовательские институты и частные инвестиционные компании.

В ходе своих недавних атак Careto нацелилась на организации в Латинской Америке и Центральной Африке, сосредоточившись на краже конфиденциальных документов, файлов cookie, истории форм и данных для входа в систему из популярных браузеров, таких как Chrome, Edge, Firefox и Opera. Кроме того, они использовали файлы cookie из приложений для обмена сообщениями, таких как WhatsApp, WeChat и Threema. Careto использовала специальные методы для проникновения в среду жертв, поддержания постоянства и сбора информации. Злоумышленники получили первоначальный доступ к почтовому серверу MDaemon и внедрили бэкдор для управления сетью. Они также использовали уязвимость в продукте безопасности для распространения многомодульных имплантатов по сети каждой жертвы.

Используемые в атаках имплантаты, названные "FakeHMP", "Careto2", "Goreto" и "MDaemon implant", позволяли злоумышленникам выполнять различные вредоносные действия, включая разведку, кейлоггинг, захват скриншотов, кражу файлов и запись с микрофона. "Касперский" отметил, что недавно обнаруженные имплантаты представляют собой сложные мультимодальные системы, демонстрирующие продвинутый характер операций Careto. Охранная компания поделилась подробной информацией о тактике, методах и процедурах Careto в частном отчете APT для клиентов.

Лаборатория Касперского выделила Careto в обзоре активности APT в первом квартале 2024 года наряду с другими группами угроз, такими как Gelsemium, Kimsuky и OilRig. Компания Gelsemium использовала серверные уязвимости для развертывания веб-оболочек и пользовательских инструментов в Палестине, Таджикистане и Кыргызстане. Компания Kimsuky, связанная с Северной Кореей, проводила целенаправленные фишинговые кампании, злоупотребляя слабыми политиками DMARC. Иранская группа OilRig известна своими нападениями на важнейший сектор инфраструктуры Израиля.
#ParsedReport #CompletenessLow
21-05-2024

U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised

https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised

Report completeness: Low

Actors/Campaigns:
Cyberniggers

Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company

Industry:
Military, Aerospace, Telco

Geo:
Asian, Usa

ChatGPT TTPs:
do not use without manual check
T1003, T1041, T1204, T1583, T1586, T1189, T1595
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----

Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.

Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.

Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.

Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.

Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.

Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.

Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
#ParsedReport #CompletenessMedium
21-05-2024

Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign

https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign

Report completeness: Medium

Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057

Threats:
Typosquatting_technique

Victims:
News websites, Social media platforms

Industry:
Government, Healthcare, Military

Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania

ChatGPT TTPs:
do not use without manual check
T1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...

IOCs:
Domain: 27
Url: 5
File: 1
IP: 2

Soft:
Instagram, TikTok, Telegram, WordPress

Algorithms:
exhibit, base64

Languages:
javascript

Platforms:
intel

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/Doppelg%C3%A4nger/DoppelG%C3%A4nger-observables.csv
https://github.com/traefik/traefik
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании кампании "Двойник" - продолжающейся операции по кибервоздействию, приписываемой российским структурам, направленной на уменьшение поддержки Украины и посев разногласий между странами, поддерживающими Украину. Кампания использует сеть новостных веб-сайтов и недостоверных аккаунтов в социальных сетях на различных платформах для публикации и распространения дезинформационных статей, ориентированных на конкретную аудиторию в зависимости от национальности, ориентации в обществе и политических тем. В тексте подчеркивается сложный мультиплатформенный подход кампании, дизайн инфраструктуры и потенциальное долгосрочное воздействие на общественное мнение, подчеркивается необходимость постоянной бдительности и активных мер по борьбе с киберугрозами демократии.
-----

Кампания "Двойник" - это продолжающаяся операция по кибервоздействию, проводимая российскими структурами Structura National Technologies и Агентством социального проектирования.

Кампания нацелена на аудиторию по всему миру, чтобы уменьшить поддержку Украины и посеять разногласия между странами, поддерживающими Украину.

Использует сеть новостных веб-сайтов, включая законные средства массовой информации с опечатками и независимые сайты, для публикации дезинформационных статей.

Управляет трехэтапным процессом перенаправления трафика на дезинформационные статьи, отслеживаемые через Keitaro.

Адаптируется к текущим событиям в целевых странах и использует индивидуальные сюжеты, адаптированные к местным проблемам, для усиления влияния.

Создает веб-сайты и рекламные материалы, соответствующие целям российских агентств, ориентированные на конкретную аудиторию в зависимости от национальности, ориентации на сообщество, политических тем и отраслевой направленности.

Распространяет дезинформационный контент и политическую рекламу через социальные сети, включая X, Facebook, Instagram, TikTok, Youtube и Cameo, используя неаутентичные аккаунты.

Использует глубокие фейки и платформы для обмена видео для поддержки дезинформационных сообщений.

Эта кампания представляет серьезную угрозу для западных демократий, особенно в связи с приближением выборов 2024 года.

Инфраструктура, предназначенная для перенаправления пользователей через несколько уровней на пропагандистские веб-сайты, при этом домены сохраняются, несмотря на попытки удаления.

Маскирует активность сервера с помощью сетей распространения контента, таких как Cloudflare и интерфейс Traefik.

Закон о цифровых услугах и руководящие принципы Комиссии направлены на борьбу с дезинформацией и защиту демократии от кампаний, подобных "Двойнику".
#ParsedReport #CompletenessLow
21-05-2024

Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit

https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit

Report completeness: Low

Actors/Campaigns:
Ikaruz_red_team (motivation: hacktivism)
Vice_society
Bianlian

Threats:
Lockbit
Medusalocker
Blackcat
8base
Clop
Underground_team_ransomware

Victims:
Department of science and technology, Yakult philippines incorporated, Various philippine entities

Industry:
Government, Education

Geo:
Palestinian, Philippines, China, Indo-pacific, Philippine, Dutch, Turkish, Netherlands

ChatGPT TTPs:
do not use without manual check
T1486, T1491, T1565, T1583

IOCs:
File: 3
Hash: 10

Soft:
Jabber, Telegram

Wallets:
exodus_wallet

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----

В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.

В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.

Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.

Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.

Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
#ParsedReport #CompletenessMedium
20-05-2024

DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain

https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain

Report completeness: Medium

Threats:
Blackcat
Cobalt_strike
Evilginx_tool

Industry:
Financial, Government

Geo:
Russian

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 2

Soft:
Active Directory, Windows Task Scheduler

Languages:
powershell

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 20-05-2024 DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена атаке программы-вымогателя Blackcat и важности инструментов анализа угроз, таких как программа раннего обнаружения DNS от Infoblox, для обнаружения и устранения киберугроз, таких как программа-вымогатель Blackcat. В тексте рассказывается о тактике и действиях злоумышленников Blackcat, важнейшей роли анализа угроз в выявлении вредоносных доменов и важности упреждающих мер кибербезопасности для борьбы с возникающими угрозами.
-----

22 февраля 2025 года Агентство по критической инфраструктуре и безопасности (CISA) выпустило предупреждение об атаке программы-вымогателя Blackcat. В это предупреждение была включена информация, полученная из различных источников, включая агентства и OSINT, начиная с 2022 года. В предупреждении были представлены новые индикаторы компрометации (IoC), которые указывают на домены серверов управления (C&C), необходимые для операций цепочки уничтожения Blackcat. Программа-вымогатель Blackcat - это чрезвычайно опасная угроза, связанная с российскими субъектами и известная своей бизнес-моделью "программа-вымогатель как услуга" (RaaS).

Злоумышленники используют тактику тройного вымогательства, требуя выкуп, угрожая утечкой данных и дополнительными атаками типа "Отказ в обслуживании" (DoS). ФБР задокументировало случаи, когда жертвы платили выкуп, но не могли расшифровать свои данные с помощью предоставленного ключа. Цепочка убийств Blackcat включает использование скомпрометированных учетных данных для доступа к системам жертв, компрометацию учетных записей Active Directory и развертывание программ-вымогателей с использованием планировщика задач Windows, вредоносных объектов групповой политики (GPO), сценариев PowerShell и Cobalt Strike.

Программа раннего обнаружения DNS от Infoblox играет жизненно важную роль в выявлении вредоносных доменов и сопоставлении их с источниками OSINT. Программа помогает блокировать подозрительные домены до того, как они будут широко представлены в OSINT. Технология Infoblox Threat Intel позволяет обнаруживать подозрительные домены быстрее, чем традиционные методы, что помогает организациям снижать риски и предотвращать утечку данных. Информация о подозрительных доменах дает значительные преимущества в использовании анализа угроз DNS для эффективного противодействия новым угрозам.

Записи WHOIS предоставляют точные данные о датах регистрации вредоносных доменов, что помогает оценить эффективность систем анализа угроз. Злоумышленники, в том числе те, кто стоит за кампаниями Blackcat, постоянно создают и меняют домены, чтобы избежать обнаружения. Подразделение Infoblox по борьбе с угрозами Intel Group предоставляет своевременные и точные оповещения и отчеты об угрозах, предоставляя расширенную информацию для ранней блокировки вредоносных доменов.

Система отслеживания подозрительных доменов Infoblox, появившаяся в 2022 году, помогла тысячам клиентов своевременно блокировать потенциальные угрозы. Использование данных об угрозах Infoblox сводит к минимуму ложные срабатывания и обеспечивает единую политику безопасности в организациях. Используя систему раннего обнаружения DNS и защитные меры, организации могут повысить уровень своей кибербезопасности в отношении новых угроз, таких как программы-вымогатели Blackcat.

Для получения дополнительной информации о подозрительных доменах, раннем обнаружении DNS, расширенной защите DNS и рекомендациях таких агентств, как NSA и CISA, организации могут обратиться к соответствующим ресурсам, предоставляемым Infoblox. Командам по кибербезопасности важно сохранять бдительность, использовать инструменты анализа угроз и принимать упреждающие меры для эффективной борьбы с возникающими киберугрозами, такими как программы-вымогатели Blackcat.
#ParsedReport #CompletenessLow
21-05-2024

Hunting Black Bastas Cobalt Strike

https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781

Report completeness: Low

Threats:
Blackbasta
Cobalt_strike
Lockbit
Pikabot

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1071, T1048

IOCs:
Domain: 5
IP: 10
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Hunting Black Bastas Cobalt Strike https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781 Report completeness: Low Threats: Blackbasta Cobalt_strike Lockbit Pikabot Geo: Chinese ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ФБР и CISA выпустили предупреждение в отношении группы программ-вымогателей Black Basta, подчеркнув, что они используют Cobalt Strike и конкретные детали инфраструктуры, такие как кластеризация серверов и DNS-маяки. Intel-Ops активно следит за деятельностью группы и предоставляет рекомендации о том, как отслеживать ее и защищаться от нее.
-----

ФБР и CISA недавно выпустили предупреждение #StopRansomware для группы вымогателей Black Basta, которая в 2024 году заняла третье место по общему числу жертв программ-вымогателей после LockBit и Play. В рекомендациях подчеркивается, что группа использует Cobalt Strike, а Intel-Ops активно отслеживает работу этих серверов в дикой природе. Некоторые ключевые выводы, сделанные в ходе анализа, включают выявление различных серверов Cobalt Strike, большинство из которых размещены у таких провайдеров, как Vultr, Digital Ocean и других.

Инфраструктура Black Basta разделена на отдельные кластеры, на серверах которых наблюдаются доминирующие водяные знаки. Большинство серверов Cobalt Strike используют DNS-маяки, указывающие на то, что эти серверы преимущественно размещены у определенных провайдеров. Выявлены дополнительные маяки Cobalt Strike для DNS, включая недавно обнаруженные домены, которые соответствуют соглашению об именовании известных маяков, перечисленных в рекомендациях.

Были обнаружены скопления маяков Cobalt Strike в инфраструктуре Black Basta, причем некоторые домены ранее были связаны с инцидентами Black Basta, связанными с Pikabot. Кроме того, эти серверы Cobalt Strike связаны с определенными кластерами и схемами распространения, включая китайских хостинг-провайдеров и записи DNS.

Служба Intel-Ops обнаружила несколько маяков Cobalt Strike со специфическими водяными знаками, что позволило идентифицировать IP-адреса, связанные с недавними инцидентами с Black Basta. Анализ выявил различия в схемах размещения, основанных на водяных знаках, что позволяет предположить наличие различных кластеров в инфраструктуре Black Basta.

Анализ показателей Black Basta advisory охватывает только известные факторы, что указывает на дополнительные кластеры и корреляции. Аналитики по безопасности могут усилить свою защиту от таких групп, как Black Basta, используя методы, которым обучают на соответствующих курсах. Intel-Ops активно отслеживает эти показатели и предлагает информацию об угрозах уровня C2, а также дополнительные рекомендации, доступные на их курсах для систем отслеживания, таких как Cobalt Strike, и групп угроз, таких как Black Basta.

В конце статьи пользователям предлагается обратиться в Intel-Ops за дополнительной информацией о каналах C2, возможностях зачисления на курсы, узнать, как отслеживать инфраструктуру злоумышленников, и использовать их платформу для повышения безопасности. В тексте также перечислены конкретные IP-адреса, связанные с серверами Black Basta Cobalt Strike, на которых ведется охота.
#ParsedReport #CompletenessMedium
21-05-2024

Analysis of "Hidden Shovel" Mining Trojan Activity

https://www.antiy.com/response/HideShoveling.html

Report completeness: Medium

Threats:
Hiddenshovel
Dll_hijacking_technique
Xmrig_miner
Process_injection_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055, T1574, T1562, T1053, T1218, T1485, T1574.002

IOCs:
File: 28
Path: 8
IP: 6
Command: 2
Registry: 1
Url: 16
Hash: 10
Domain: 4

Soft:
curl, Windows Defender

Algorithms:
crc-64

Win Services:
bits

Languages:
powershell, golang