#ParsedReport #CompletenessLow
21-05-2024
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised
https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised
Report completeness: Low
Actors/Campaigns:
Cyberniggers
Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company
Industry:
Military, Aerospace, Telco
Geo:
Asian, Usa
ChatGPT TTPs:
T1003, T1041, T1204, T1583, T1586, T1189, T1595
21-05-2024
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised
https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised
Report completeness: Low
Actors/Campaigns:
Cyberniggers
Victims:
Patriot mobile, Fbi, Us army aviation and missile command, Asian telecom company
Industry:
Military, Aerospace, Telco
Geo:
Asian, Usa
ChatGPT TTPs:
do not use without manual checkT1003, T1041, T1204, T1583, T1586, T1189, T1595
SOCRadar® Cyber Intelligence Inc.
U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised - SOCRadar® Cyber Intelligence Inc.
Recent findings from the SOCRadar Dark Web Team are of threat actors targeting telecoms, federal agencies, and military operations.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 U.S. Sectors Hit by Cyber Attacks: Telecoms, FBI, and Military Data Allegedly Compromised https://socradar.io/u-s-sectors-hit-by-cyber-attacks-telecoms-fbi-and-military-data-allegedly-compromised Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----
Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.
Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.
Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.
Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.
Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.
Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.
Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что команда SOCRadar Dark Web обнаружила киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции, которые включают в себя утечку данных, утечку документов и нарушения безопасности. В нем подчеркивается важность упреждающего анализа угроз и мер защиты от цифровых рисков в ответ на эти угрозы.
-----
Недавние результаты, полученные командой SOCRadar Dark Web, выявили участников угроз, нацеленных на телекоммуникационные компании, федеральные агентства и военные операции. К числу этих инцидентов относятся продажа базы данных клиентов Patriot Mobile, утечка личных сообщений агентов ФБР, утечка документов Командования авиации и ракетного вооружения армии США и серьезное нарушение безопасности в азиатской телекоммуникационной компании.
Утечка данных Patriot Mobile: В сообщении на хакерском форуме злоумышленника по имени IntelBroker утверждается, что он взломал базу данных техасского провайдера Patriot Mobile, затронув около 65 000 пользователей. Взломанные данные в настоящее время выставлены на продажу, и в сообщении также раскрывается деятельность секретного онлайн-сотрудника ФБР, который якобы использовал псевдоним для проникновения на форумы и нацеливания на пользователей. Злоумышленник предоставил доступ к личным сообщениям, адресам электронной почты и IP-адресам, связанным с деятельностью агента ФБР.
Утечка данных из Командования авиации и ракетного вооружения армии США: Еще одно сообщение, обнаруженное командой SOCRadar Dark Web, указывает на утечку данных в командовании авиации и ракетного вооружения армии США (AMCOM). Утечка данных включает задачи по техническому обслуживанию, PDF-файлы, PNG-файлы и текстовые документы.
Угроза безопасности в сфере телекоммуникаций в Азии: Злоумышленник заявил о получении доступа к известной азиатской телекоммуникационной компании с годовым доходом более 5 миллиардов долларов. Предположительно, взлом был связан с доступом к более чем 150 компьютерам локальной сети, библиотеке расшифровки, журналам вызовов, базам данных и возможностью клонирования SIM-карт с использованием расшифрованных ключей. Скомпрометированные данные включают национальные идентификаторы, исходный код, важные данные о телекоммуникационных операциях и закрытые ключи. Хакер может похвастаться тем, что собрал более 250 ГБ данных, а цена продажи варьируется от 150 000 до 10 миллионов долларов в зависимости от уровня доступа и условий переговоров.
Следует отметить, что получение информации о скрытых веб-угрозах может иметь решающее значение для оперативного анализа угроз и защиты от цифровых рисков. Однако мониторинг всех источников может быть сложным и отнимать много времени, поскольку существует риск заражения вредоносными ботами в результате случайных нажатий. Для решения этих задач экран DarkMirror от SOCRadar может помочь командам SOC отслеживать последние сообщения участников угроз и групп, отфильтрованные по целевой стране или отрасли.
Кроме того, в тексте упоминается важность улучшения функциональности и производительности веб-сайта для улучшения качества предоставляемых услуг, внедрения новых функций, настройки в соответствии с предпочтениями пользователей, обеспечения юридической и коммерческой безопасности, предотвращения мошеннических транзакций и выполнения юридических и договорных обязательств в соответствии с правилами Интернета.
Таким образом, команда SOCRadar Dark Web обнаружила значительные киберугрозы, нацеленные на телекоммуникационные компании, федеральные агентства и военные операции. Нарушения связаны с продажей конфиденциальных данных, утечкой документов и серьезными нарушениями безопасности, что подчеркивает важность упреждающего анализа угроз и мер защиты от цифровых рисков.
#ParsedReport #CompletenessMedium
21-05-2024
Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign
https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign
Report completeness: Medium
Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057
Threats:
Typosquatting_technique
Victims:
News websites, Social media platforms
Industry:
Government, Healthcare, Military
Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania
ChatGPT TTPs:
T1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...
IOCs:
Domain: 27
Url: 5
File: 1
IP: 2
Soft:
Instagram, TikTok, Telegram, WordPress
Algorithms:
exhibit, base64
Languages:
javascript
Platforms:
intel
Links:
21-05-2024
Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign
https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign
Report completeness: Medium
Actors/Campaigns:
Doppelgnger (motivation: propaganda, disinformation)
Secondary_infektion
Portal_kombat
Fancy_bear
Noname057
Threats:
Typosquatting_technique
Victims:
News websites, Social media platforms
Industry:
Government, Healthcare, Military
Geo:
Slovakia, Russia, Moscow, Ukrainian, French, France, Switzerland, Luhansk, Russian, Spanish, German, Donetsk, Ukraine, Italian, Italy, Israel, Germany, Lithuania
ChatGPT TTPs:
do not use without manual checkT1204, T1583, T1584, T1566, T1140, T1045, T1600, T1496, T1102, T1107, have more...
IOCs:
Domain: 27
Url: 5
File: 1
IP: 2
Soft:
Instagram, TikTok, Telegram, WordPress
Algorithms:
exhibit, base64
Languages:
javascript
Platforms:
intel
Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/Doppelg%C3%A4nger/DoppelG%C3%A4nger-observables.csvhttps://github.com/traefik/traefikSekoia.io Blog
Master of Puppets: Uncovering the DoppelGänger pro-Russian influence campaign
Uncover the details of the DoppelGänger campaign, a Russian influence operation aimed at undermining support for Ukraine.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Master of Puppets: Uncovering the DoppelGnger pro-Russian influence campaign https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании кампании "Двойник" - продолжающейся операции по кибервоздействию, приписываемой российским структурам, направленной на уменьшение поддержки Украины и посев разногласий между странами, поддерживающими Украину. Кампания использует сеть новостных веб-сайтов и недостоверных аккаунтов в социальных сетях на различных платформах для публикации и распространения дезинформационных статей, ориентированных на конкретную аудиторию в зависимости от национальности, ориентации в обществе и политических тем. В тексте подчеркивается сложный мультиплатформенный подход кампании, дизайн инфраструктуры и потенциальное долгосрочное воздействие на общественное мнение, подчеркивается необходимость постоянной бдительности и активных мер по борьбе с киберугрозами демократии.
-----
Кампания "Двойник" - это продолжающаяся операция по кибервоздействию, проводимая российскими структурами Structura National Technologies и Агентством социального проектирования.
Кампания нацелена на аудиторию по всему миру, чтобы уменьшить поддержку Украины и посеять разногласия между странами, поддерживающими Украину.
Использует сеть новостных веб-сайтов, включая законные средства массовой информации с опечатками и независимые сайты, для публикации дезинформационных статей.
Управляет трехэтапным процессом перенаправления трафика на дезинформационные статьи, отслеживаемые через Keitaro.
Адаптируется к текущим событиям в целевых странах и использует индивидуальные сюжеты, адаптированные к местным проблемам, для усиления влияния.
Создает веб-сайты и рекламные материалы, соответствующие целям российских агентств, ориентированные на конкретную аудиторию в зависимости от национальности, ориентации на сообщество, политических тем и отраслевой направленности.
Распространяет дезинформационный контент и политическую рекламу через социальные сети, включая X, Facebook, Instagram, TikTok, Youtube и Cameo, используя неаутентичные аккаунты.
Использует глубокие фейки и платформы для обмена видео для поддержки дезинформационных сообщений.
Эта кампания представляет серьезную угрозу для западных демократий, особенно в связи с приближением выборов 2024 года.
Инфраструктура, предназначенная для перенаправления пользователей через несколько уровней на пропагандистские веб-сайты, при этом домены сохраняются, несмотря на попытки удаления.
Маскирует активность сервера с помощью сетей распространения контента, таких как Cloudflare и интерфейс Traefik.
Закон о цифровых услугах и руководящие принципы Комиссии направлены на борьбу с дезинформацией и защиту демократии от кампаний, подобных "Двойнику".
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании кампании "Двойник" - продолжающейся операции по кибервоздействию, приписываемой российским структурам, направленной на уменьшение поддержки Украины и посев разногласий между странами, поддерживающими Украину. Кампания использует сеть новостных веб-сайтов и недостоверных аккаунтов в социальных сетях на различных платформах для публикации и распространения дезинформационных статей, ориентированных на конкретную аудиторию в зависимости от национальности, ориентации в обществе и политических тем. В тексте подчеркивается сложный мультиплатформенный подход кампании, дизайн инфраструктуры и потенциальное долгосрочное воздействие на общественное мнение, подчеркивается необходимость постоянной бдительности и активных мер по борьбе с киберугрозами демократии.
-----
Кампания "Двойник" - это продолжающаяся операция по кибервоздействию, проводимая российскими структурами Structura National Technologies и Агентством социального проектирования.
Кампания нацелена на аудиторию по всему миру, чтобы уменьшить поддержку Украины и посеять разногласия между странами, поддерживающими Украину.
Использует сеть новостных веб-сайтов, включая законные средства массовой информации с опечатками и независимые сайты, для публикации дезинформационных статей.
Управляет трехэтапным процессом перенаправления трафика на дезинформационные статьи, отслеживаемые через Keitaro.
Адаптируется к текущим событиям в целевых странах и использует индивидуальные сюжеты, адаптированные к местным проблемам, для усиления влияния.
Создает веб-сайты и рекламные материалы, соответствующие целям российских агентств, ориентированные на конкретную аудиторию в зависимости от национальности, ориентации на сообщество, политических тем и отраслевой направленности.
Распространяет дезинформационный контент и политическую рекламу через социальные сети, включая X, Facebook, Instagram, TikTok, Youtube и Cameo, используя неаутентичные аккаунты.
Использует глубокие фейки и платформы для обмена видео для поддержки дезинформационных сообщений.
Эта кампания представляет серьезную угрозу для западных демократий, особенно в связи с приближением выборов 2024 года.
Инфраструктура, предназначенная для перенаправления пользователей через несколько уровней на пропагандистские веб-сайты, при этом домены сохраняются, несмотря на попытки удаления.
Маскирует активность сервера с помощью сетей распространения контента, таких как Cloudflare и интерфейс Traefik.
Закон о цифровых услугах и руководящие принципы Комиссии направлены на борьбу с дезинформацией и защиту демократии от кампаний, подобных "Двойнику".
#ParsedReport #CompletenessLow
21-05-2024
Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit
https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit
Report completeness: Low
Actors/Campaigns:
Ikaruz_red_team (motivation: hacktivism)
Vice_society
Bianlian
Threats:
Lockbit
Medusalocker
Blackcat
8base
Clop
Underground_team_ransomware
Victims:
Department of science and technology, Yakult philippines incorporated, Various philippine entities
Industry:
Government, Education
Geo:
Palestinian, Philippines, China, Indo-pacific, Philippine, Dutch, Turkish, Netherlands
ChatGPT TTPs:
T1486, T1491, T1565, T1583
IOCs:
File: 3
Hash: 10
Soft:
Jabber, Telegram
Wallets:
exodus_wallet
Languages:
php
21-05-2024
Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit
https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit
Report completeness: Low
Actors/Campaigns:
Ikaruz_red_team (motivation: hacktivism)
Vice_society
Bianlian
Threats:
Lockbit
Medusalocker
Blackcat
8base
Clop
Underground_team_ransomware
Victims:
Department of science and technology, Yakult philippines incorporated, Various philippine entities
Industry:
Government, Education
Geo:
Palestinian, Philippines, China, Indo-pacific, Philippine, Dutch, Turkish, Netherlands
ChatGPT TTPs:
do not use without manual checkT1486, T1491, T1565, T1583
IOCs:
File: 3
Hash: 10
Soft:
Jabber, Telegram
Wallets:
exodus_wallet
Languages:
php
SentinelOne
Ikarus Red Team | Hacktivist Group Leverage Ransomware for Attention Not Profit
Politically-motivated attacks involving ransomware are on the rise as hacktivists aim to increase their impact through easily available tools.
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----
В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.
В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.
Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.
Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.
Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----
В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.
В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.
Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.
Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.
Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
#ParsedReport #CompletenessMedium
20-05-2024
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain
https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain
Report completeness: Medium
Threats:
Blackcat
Cobalt_strike
Evilginx_tool
Industry:
Financial, Government
Geo:
Russian
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 2
Soft:
Active Directory, Windows Task Scheduler
Languages:
powershell
Platforms:
intel
20-05-2024
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain
https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain
Report completeness: Medium
Threats:
Blackcat
Cobalt_strike
Evilginx_tool
Industry:
Financial, Government
Geo:
Russian
TTPs:
Tactics: 3
Technics: 5
IOCs:
Domain: 2
Soft:
Active Directory, Windows Task Scheduler
Languages:
powershell
Platforms:
intel
Infoblox Blog
DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain | Infoblox
Discover the increasing danger of malicious internet domain names and how you can detect and block them sooner using Infoblox suspicious domain feeds. Learn how to protect your organization from these DNS-based threats.
CTT Report Hub
#ParsedReport #CompletenessMedium 20-05-2024 DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена атаке программы-вымогателя Blackcat и важности инструментов анализа угроз, таких как программа раннего обнаружения DNS от Infoblox, для обнаружения и устранения киберугроз, таких как программа-вымогатель Blackcat. В тексте рассказывается о тактике и действиях злоумышленников Blackcat, важнейшей роли анализа угроз в выявлении вредоносных доменов и важности упреждающих мер кибербезопасности для борьбы с возникающими угрозами.
-----
22 февраля 2025 года Агентство по критической инфраструктуре и безопасности (CISA) выпустило предупреждение об атаке программы-вымогателя Blackcat. В это предупреждение была включена информация, полученная из различных источников, включая агентства и OSINT, начиная с 2022 года. В предупреждении были представлены новые индикаторы компрометации (IoC), которые указывают на домены серверов управления (C&C), необходимые для операций цепочки уничтожения Blackcat. Программа-вымогатель Blackcat - это чрезвычайно опасная угроза, связанная с российскими субъектами и известная своей бизнес-моделью "программа-вымогатель как услуга" (RaaS).
Злоумышленники используют тактику тройного вымогательства, требуя выкуп, угрожая утечкой данных и дополнительными атаками типа "Отказ в обслуживании" (DoS). ФБР задокументировало случаи, когда жертвы платили выкуп, но не могли расшифровать свои данные с помощью предоставленного ключа. Цепочка убийств Blackcat включает использование скомпрометированных учетных данных для доступа к системам жертв, компрометацию учетных записей Active Directory и развертывание программ-вымогателей с использованием планировщика задач Windows, вредоносных объектов групповой политики (GPO), сценариев PowerShell и Cobalt Strike.
Программа раннего обнаружения DNS от Infoblox играет жизненно важную роль в выявлении вредоносных доменов и сопоставлении их с источниками OSINT. Программа помогает блокировать подозрительные домены до того, как они будут широко представлены в OSINT. Технология Infoblox Threat Intel позволяет обнаруживать подозрительные домены быстрее, чем традиционные методы, что помогает организациям снижать риски и предотвращать утечку данных. Информация о подозрительных доменах дает значительные преимущества в использовании анализа угроз DNS для эффективного противодействия новым угрозам.
Записи WHOIS предоставляют точные данные о датах регистрации вредоносных доменов, что помогает оценить эффективность систем анализа угроз. Злоумышленники, в том числе те, кто стоит за кампаниями Blackcat, постоянно создают и меняют домены, чтобы избежать обнаружения. Подразделение Infoblox по борьбе с угрозами Intel Group предоставляет своевременные и точные оповещения и отчеты об угрозах, предоставляя расширенную информацию для ранней блокировки вредоносных доменов.
Система отслеживания подозрительных доменов Infoblox, появившаяся в 2022 году, помогла тысячам клиентов своевременно блокировать потенциальные угрозы. Использование данных об угрозах Infoblox сводит к минимуму ложные срабатывания и обеспечивает единую политику безопасности в организациях. Используя систему раннего обнаружения DNS и защитные меры, организации могут повысить уровень своей кибербезопасности в отношении новых угроз, таких как программы-вымогатели Blackcat.
Для получения дополнительной информации о подозрительных доменах, раннем обнаружении DNS, расширенной защите DNS и рекомендациях таких агентств, как NSA и CISA, организации могут обратиться к соответствующим ресурсам, предоставляемым Infoblox. Командам по кибербезопасности важно сохранять бдительность, использовать инструменты анализа угроз и принимать упреждающие меры для эффективной борьбы с возникающими киберугрозами, такими как программы-вымогатели Blackcat.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена атаке программы-вымогателя Blackcat и важности инструментов анализа угроз, таких как программа раннего обнаружения DNS от Infoblox, для обнаружения и устранения киберугроз, таких как программа-вымогатель Blackcat. В тексте рассказывается о тактике и действиях злоумышленников Blackcat, важнейшей роли анализа угроз в выявлении вредоносных доменов и важности упреждающих мер кибербезопасности для борьбы с возникающими угрозами.
-----
22 февраля 2025 года Агентство по критической инфраструктуре и безопасности (CISA) выпустило предупреждение об атаке программы-вымогателя Blackcat. В это предупреждение была включена информация, полученная из различных источников, включая агентства и OSINT, начиная с 2022 года. В предупреждении были представлены новые индикаторы компрометации (IoC), которые указывают на домены серверов управления (C&C), необходимые для операций цепочки уничтожения Blackcat. Программа-вымогатель Blackcat - это чрезвычайно опасная угроза, связанная с российскими субъектами и известная своей бизнес-моделью "программа-вымогатель как услуга" (RaaS).
Злоумышленники используют тактику тройного вымогательства, требуя выкуп, угрожая утечкой данных и дополнительными атаками типа "Отказ в обслуживании" (DoS). ФБР задокументировало случаи, когда жертвы платили выкуп, но не могли расшифровать свои данные с помощью предоставленного ключа. Цепочка убийств Blackcat включает использование скомпрометированных учетных данных для доступа к системам жертв, компрометацию учетных записей Active Directory и развертывание программ-вымогателей с использованием планировщика задач Windows, вредоносных объектов групповой политики (GPO), сценариев PowerShell и Cobalt Strike.
Программа раннего обнаружения DNS от Infoblox играет жизненно важную роль в выявлении вредоносных доменов и сопоставлении их с источниками OSINT. Программа помогает блокировать подозрительные домены до того, как они будут широко представлены в OSINT. Технология Infoblox Threat Intel позволяет обнаруживать подозрительные домены быстрее, чем традиционные методы, что помогает организациям снижать риски и предотвращать утечку данных. Информация о подозрительных доменах дает значительные преимущества в использовании анализа угроз DNS для эффективного противодействия новым угрозам.
Записи WHOIS предоставляют точные данные о датах регистрации вредоносных доменов, что помогает оценить эффективность систем анализа угроз. Злоумышленники, в том числе те, кто стоит за кампаниями Blackcat, постоянно создают и меняют домены, чтобы избежать обнаружения. Подразделение Infoblox по борьбе с угрозами Intel Group предоставляет своевременные и точные оповещения и отчеты об угрозах, предоставляя расширенную информацию для ранней блокировки вредоносных доменов.
Система отслеживания подозрительных доменов Infoblox, появившаяся в 2022 году, помогла тысячам клиентов своевременно блокировать потенциальные угрозы. Использование данных об угрозах Infoblox сводит к минимуму ложные срабатывания и обеспечивает единую политику безопасности в организациях. Используя систему раннего обнаружения DNS и защитные меры, организации могут повысить уровень своей кибербезопасности в отношении новых угроз, таких как программы-вымогатели Blackcat.
Для получения дополнительной информации о подозрительных доменах, раннем обнаружении DNS, расширенной защите DNS и рекомендациях таких агентств, как NSA и CISA, организации могут обратиться к соответствующим ресурсам, предоставляемым Infoblox. Командам по кибербезопасности важно сохранять бдительность, использовать инструменты анализа угроз и принимать упреждающие меры для эффективной борьбы с возникающими киберугрозами, такими как программы-вымогатели Blackcat.
#ParsedReport #CompletenessLow
21-05-2024
Hunting Black Bastas Cobalt Strike
https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781
Report completeness: Low
Threats:
Blackbasta
Cobalt_strike
Lockbit
Pikabot
Geo:
Chinese
ChatGPT TTPs:
T1583, T1584, T1071, T1048
IOCs:
Domain: 5
IP: 10
21-05-2024
Hunting Black Bastas Cobalt Strike
https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781
Report completeness: Low
Threats:
Blackbasta
Cobalt_strike
Lockbit
Pikabot
Geo:
Chinese
ChatGPT TTPs:
do not use without manual checkT1583, T1584, T1071, T1048
IOCs:
Domain: 5
IP: 10
Medium
Hunting Black Basta’s Cobalt Strike
Last week, the FBI and CISA released a #StopRansomware alert for the Black Basta ransomware group…
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Hunting Black Bastas Cobalt Strike https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781 Report completeness: Low Threats: Blackbasta Cobalt_strike Lockbit Pikabot Geo: Chinese ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что ФБР и CISA выпустили предупреждение в отношении группы программ-вымогателей Black Basta, подчеркнув, что они используют Cobalt Strike и конкретные детали инфраструктуры, такие как кластеризация серверов и DNS-маяки. Intel-Ops активно следит за деятельностью группы и предоставляет рекомендации о том, как отслеживать ее и защищаться от нее.
-----
ФБР и CISA недавно выпустили предупреждение #StopRansomware для группы вымогателей Black Basta, которая в 2024 году заняла третье место по общему числу жертв программ-вымогателей после LockBit и Play. В рекомендациях подчеркивается, что группа использует Cobalt Strike, а Intel-Ops активно отслеживает работу этих серверов в дикой природе. Некоторые ключевые выводы, сделанные в ходе анализа, включают выявление различных серверов Cobalt Strike, большинство из которых размещены у таких провайдеров, как Vultr, Digital Ocean и других.
Инфраструктура Black Basta разделена на отдельные кластеры, на серверах которых наблюдаются доминирующие водяные знаки. Большинство серверов Cobalt Strike используют DNS-маяки, указывающие на то, что эти серверы преимущественно размещены у определенных провайдеров. Выявлены дополнительные маяки Cobalt Strike для DNS, включая недавно обнаруженные домены, которые соответствуют соглашению об именовании известных маяков, перечисленных в рекомендациях.
Были обнаружены скопления маяков Cobalt Strike в инфраструктуре Black Basta, причем некоторые домены ранее были связаны с инцидентами Black Basta, связанными с Pikabot. Кроме того, эти серверы Cobalt Strike связаны с определенными кластерами и схемами распространения, включая китайских хостинг-провайдеров и записи DNS.
Служба Intel-Ops обнаружила несколько маяков Cobalt Strike со специфическими водяными знаками, что позволило идентифицировать IP-адреса, связанные с недавними инцидентами с Black Basta. Анализ выявил различия в схемах размещения, основанных на водяных знаках, что позволяет предположить наличие различных кластеров в инфраструктуре Black Basta.
Анализ показателей Black Basta advisory охватывает только известные факторы, что указывает на дополнительные кластеры и корреляции. Аналитики по безопасности могут усилить свою защиту от таких групп, как Black Basta, используя методы, которым обучают на соответствующих курсах. Intel-Ops активно отслеживает эти показатели и предлагает информацию об угрозах уровня C2, а также дополнительные рекомендации, доступные на их курсах для систем отслеживания, таких как Cobalt Strike, и групп угроз, таких как Black Basta.
В конце статьи пользователям предлагается обратиться в Intel-Ops за дополнительной информацией о каналах C2, возможностях зачисления на курсы, узнать, как отслеживать инфраструктуру злоумышленников, и использовать их платформу для повышения безопасности. В тексте также перечислены конкретные IP-адреса, связанные с серверами Black Basta Cobalt Strike, на которых ведется охота.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что ФБР и CISA выпустили предупреждение в отношении группы программ-вымогателей Black Basta, подчеркнув, что они используют Cobalt Strike и конкретные детали инфраструктуры, такие как кластеризация серверов и DNS-маяки. Intel-Ops активно следит за деятельностью группы и предоставляет рекомендации о том, как отслеживать ее и защищаться от нее.
-----
ФБР и CISA недавно выпустили предупреждение #StopRansomware для группы вымогателей Black Basta, которая в 2024 году заняла третье место по общему числу жертв программ-вымогателей после LockBit и Play. В рекомендациях подчеркивается, что группа использует Cobalt Strike, а Intel-Ops активно отслеживает работу этих серверов в дикой природе. Некоторые ключевые выводы, сделанные в ходе анализа, включают выявление различных серверов Cobalt Strike, большинство из которых размещены у таких провайдеров, как Vultr, Digital Ocean и других.
Инфраструктура Black Basta разделена на отдельные кластеры, на серверах которых наблюдаются доминирующие водяные знаки. Большинство серверов Cobalt Strike используют DNS-маяки, указывающие на то, что эти серверы преимущественно размещены у определенных провайдеров. Выявлены дополнительные маяки Cobalt Strike для DNS, включая недавно обнаруженные домены, которые соответствуют соглашению об именовании известных маяков, перечисленных в рекомендациях.
Были обнаружены скопления маяков Cobalt Strike в инфраструктуре Black Basta, причем некоторые домены ранее были связаны с инцидентами Black Basta, связанными с Pikabot. Кроме того, эти серверы Cobalt Strike связаны с определенными кластерами и схемами распространения, включая китайских хостинг-провайдеров и записи DNS.
Служба Intel-Ops обнаружила несколько маяков Cobalt Strike со специфическими водяными знаками, что позволило идентифицировать IP-адреса, связанные с недавними инцидентами с Black Basta. Анализ выявил различия в схемах размещения, основанных на водяных знаках, что позволяет предположить наличие различных кластеров в инфраструктуре Black Basta.
Анализ показателей Black Basta advisory охватывает только известные факторы, что указывает на дополнительные кластеры и корреляции. Аналитики по безопасности могут усилить свою защиту от таких групп, как Black Basta, используя методы, которым обучают на соответствующих курсах. Intel-Ops активно отслеживает эти показатели и предлагает информацию об угрозах уровня C2, а также дополнительные рекомендации, доступные на их курсах для систем отслеживания, таких как Cobalt Strike, и групп угроз, таких как Black Basta.
В конце статьи пользователям предлагается обратиться в Intel-Ops за дополнительной информацией о каналах C2, возможностях зачисления на курсы, узнать, как отслеживать инфраструктуру злоумышленников, и использовать их платформу для повышения безопасности. В тексте также перечислены конкретные IP-адреса, связанные с серверами Black Basta Cobalt Strike, на которых ведется охота.
#ParsedReport #CompletenessMedium
21-05-2024
Analysis of "Hidden Shovel" Mining Trojan Activity
https://www.antiy.com/response/HideShoveling.html
Report completeness: Medium
Threats:
Hiddenshovel
Dll_hijacking_technique
Xmrig_miner
Process_injection_technique
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1055, T1574, T1562, T1053, T1218, T1485, T1574.002
IOCs:
File: 28
Path: 8
IP: 6
Command: 2
Registry: 1
Url: 16
Hash: 10
Domain: 4
Soft:
curl, Windows Defender
Algorithms:
crc-64
Win Services:
bits
Languages:
powershell, golang
21-05-2024
Analysis of "Hidden Shovel" Mining Trojan Activity
https://www.antiy.com/response/HideShoveling.html
Report completeness: Medium
Threats:
Hiddenshovel
Dll_hijacking_technique
Xmrig_miner
Process_injection_technique
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1055, T1574, T1562, T1053, T1218, T1485, T1574.002
IOCs:
File: 28
Path: 8
IP: 6
Command: 2
Registry: 1
Url: 16
Hash: 10
Domain: 4
Soft:
curl, Windows Defender
Algorithms:
crc-64
Win Services:
bits
Languages:
powershell, golang
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Analysis of "Hidden Shovel" Mining Trojan Activity https://www.antiy.com/response/HideShoveling.html Report completeness: Medium Threats: Hiddenshovel Dll_hijacking_technique Xmrig_miner Process_injection_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе новой троянской атаки на майнинг под названием "Скрытая лопата", разработанной Antiy CERT, с подробным описанием ее усовершенствованной тактики уклонения, механизмов сохранения и важности надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----
Недавно в ходе мониторинга сетевой безопасности Antiy CERT обнаружила новую атаку троянской программы для майнинга под названием "Скрытая лопата". Впервые обнаруженная в ноябре 2023 года, эта вредоносная программа прошла многочисленные обновления, и ее текущая версия - 3.0. Атака продолжается, и число заражений растет, что объясняется его надежной маскировкой и функциями защиты от анализа. Заслуживающие внимания характеристики трояна включают в себя бэкдор для перехвата библиотек DLL и методы внедрения шеллкода.
В борьбе с антивирусным программным обеспечением злоумышленники использовали инновационную тактику. Один из методов заключался в использовании старых версий драйвера ядра антивирусного программного обеспечения для отключения антивирусного программного обеспечения и защиты от EDR. Это было достигнуто с помощью сценария PowerShell, который загружает и устанавливает устаревший драйвер, автономного сценария PowerShell и исполняемого файла контроллера для управления. В другом методе использовалась служба MSDTC для загрузки DLL-библиотеки бэкдоров для самозапускающихся бэкдоров и обеспечения сохраняемости. Используя компонент MTxOCI в MSDTC, злоумышленники смогли загрузить переименованную DLL-библиотеку бэкдора для обеспечения постоянных операций. Эти методы были успешными в обходе и нарушении работы многих антивирусных решений.
Было подтверждено, что система защиты терминала Antiy Zhijia остается незатронутой более старым драйвером антивирусного ядра и может эффективно обнаруживать и устранять DLL-бэкдор. Процесс запуска троянской программы для майнинга "Hidden Shovel" включает загрузку скрипта PowerShell с именем "get.png" со взломанного сервера. После расшифровки скрипт выполняет проверку хэша, планирует задачи, отключает системное антивирусное программное обеспечение и создает службы. После этого загружаются дополнительные скрипты и файлы, что приводит к развертыванию старых драйверов ядра для завершения работы программ безопасности с использованием контроллера в процессе powershell.exe.
Злоумышленники также используют службу MSDTC для перехвата DLL-файлов, загружая DLL-файлы с черного хода. Скрипт также содержит ссылки на будущие загрузки скриптов, такие как "backup.png", для получения дополнительных функциональных возможностей. В конечном итоге троянец-майнинг загружает программу для майнинга вместе с ее компонентами для целей майнинга.
Чтобы обеспечить успешную работу и избежать обнаружения, злоумышленники предпринимают действия, направленные на устранение постоянных операций конкурирующих троянских программ для майнинга. Они используют такие механизмы, как службы DoH, традиционные DNS-запросы и резервные IP-адреса для разрешения IP-адресов. Детали конфигурации в рамках атаки включают конкретные строки и манипуляции с сервисом MSDTC для определения исполняемого файла и загрузки компонентов интеллектуального анализа данных с сервера злоумышленника.
Более того, Antiy спланировал весь процесс атаки, подробно описав каждый шаг злоумышленника, запускающего троянскую программу для майнинга, и сопоставив ее с платформой MITRE ATT&CK для ознакомления и анализа.
Подводя итог, можно сказать, что троян для майнинга "Hidden Shovel" представляет собой сложную и эволюционирующую угрозу с передовыми методами обхода, механизмами сохранения и возможностями взлома программного обеспечения безопасности, что подчеркивает важность надежных мер кибербезопасности для эффективного снижения таких рисков. Специалисты по кибербезопасности должны сохранять бдительность и проактивность при защите от возникающих угроз, подобных этому троянскому майнингу.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе новой троянской атаки на майнинг под названием "Скрытая лопата", разработанной Antiy CERT, с подробным описанием ее усовершенствованной тактики уклонения, механизмов сохранения и важности надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----
Недавно в ходе мониторинга сетевой безопасности Antiy CERT обнаружила новую атаку троянской программы для майнинга под названием "Скрытая лопата". Впервые обнаруженная в ноябре 2023 года, эта вредоносная программа прошла многочисленные обновления, и ее текущая версия - 3.0. Атака продолжается, и число заражений растет, что объясняется его надежной маскировкой и функциями защиты от анализа. Заслуживающие внимания характеристики трояна включают в себя бэкдор для перехвата библиотек DLL и методы внедрения шеллкода.
В борьбе с антивирусным программным обеспечением злоумышленники использовали инновационную тактику. Один из методов заключался в использовании старых версий драйвера ядра антивирусного программного обеспечения для отключения антивирусного программного обеспечения и защиты от EDR. Это было достигнуто с помощью сценария PowerShell, который загружает и устанавливает устаревший драйвер, автономного сценария PowerShell и исполняемого файла контроллера для управления. В другом методе использовалась служба MSDTC для загрузки DLL-библиотеки бэкдоров для самозапускающихся бэкдоров и обеспечения сохраняемости. Используя компонент MTxOCI в MSDTC, злоумышленники смогли загрузить переименованную DLL-библиотеку бэкдора для обеспечения постоянных операций. Эти методы были успешными в обходе и нарушении работы многих антивирусных решений.
Было подтверждено, что система защиты терминала Antiy Zhijia остается незатронутой более старым драйвером антивирусного ядра и может эффективно обнаруживать и устранять DLL-бэкдор. Процесс запуска троянской программы для майнинга "Hidden Shovel" включает загрузку скрипта PowerShell с именем "get.png" со взломанного сервера. После расшифровки скрипт выполняет проверку хэша, планирует задачи, отключает системное антивирусное программное обеспечение и создает службы. После этого загружаются дополнительные скрипты и файлы, что приводит к развертыванию старых драйверов ядра для завершения работы программ безопасности с использованием контроллера в процессе powershell.exe.
Злоумышленники также используют службу MSDTC для перехвата DLL-файлов, загружая DLL-файлы с черного хода. Скрипт также содержит ссылки на будущие загрузки скриптов, такие как "backup.png", для получения дополнительных функциональных возможностей. В конечном итоге троянец-майнинг загружает программу для майнинга вместе с ее компонентами для целей майнинга.
Чтобы обеспечить успешную работу и избежать обнаружения, злоумышленники предпринимают действия, направленные на устранение постоянных операций конкурирующих троянских программ для майнинга. Они используют такие механизмы, как службы DoH, традиционные DNS-запросы и резервные IP-адреса для разрешения IP-адресов. Детали конфигурации в рамках атаки включают конкретные строки и манипуляции с сервисом MSDTC для определения исполняемого файла и загрузки компонентов интеллектуального анализа данных с сервера злоумышленника.
Более того, Antiy спланировал весь процесс атаки, подробно описав каждый шаг злоумышленника, запускающего троянскую программу для майнинга, и сопоставив ее с платформой MITRE ATT&CK для ознакомления и анализа.
Подводя итог, можно сказать, что троян для майнинга "Hidden Shovel" представляет собой сложную и эволюционирующую угрозу с передовыми методами обхода, механизмами сохранения и возможностями взлома программного обеспечения безопасности, что подчеркивает важность надежных мер кибербезопасности для эффективного снижения таких рисков. Специалисты по кибербезопасности должны сохранять бдительность и проактивность при защите от возникающих угроз, подобных этому троянскому майнингу.