CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Ikarus Red Team \| Hacktivist Group Leverages Ransomware for Attention Not Profit https://www.sentinelone.com/blog/ikarus-red-team-hacktivist-group-leverages-ransomware-for-attention-not-profit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, использующей полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам, наряду с другими объединенными группами, проводящими аналогичные атаки в регионе.
-----

В тексте содержится подробный обзор деятельности команды Ikaruz Red Team (IRT), политически мотивированной группы хактивистов, которая использует полезные программы-вымогатели для атаки на критически важную инфраструктуру на Филиппинах и привлечения внимания к политическим причинам. Группа использовала утечку информации о разработчиках программ-вымогателей, в частности LockBit, для проведения атак на различные организации на Филиппинах, включая Министерство науки и технологий.

В последние месяцы IRT, наряду с такими связанными с ней группами, как Turk Hack Team и Anka Underground, проводила атаки на инфраструктуру Филиппин. Эти атаки, которые включают в себя подделку данных, мелкомасштабные DDoS-атаки и кампании по вымогательству, рассматриваются как часть более широкой тенденции группировок хактивистов, сосредоточенных в регионе. Геополитический контекст, в частности напряженность в отношениях с Китаем и стратегическое значение Филиппин в Индо-Тихоокеанском регионе, делают страну привлекательной мишенью для угроз, стремящихся вызвать гражданские беспорядки.

Команда Ikaruz Red изменила свою тактику, перейдя от взлома веб-сайтов к запуску программ-вымогателей с использованием модифицированных полезных программ LockBit 3. Группа рекламирует утечки данных из организаций на Филиппинах и изменяет уведомления о требовании выкупа, добавляя их название, при этом используя стандартные исполняемые файлы LockBit. Зашифрованные файлы имеют специальное расширение со ссылками на IRT, а в записках о выкупе жертвам дается инструкция по оплате. Кроме того, IRT использует изображения и фирменный стиль официальных правительственных программ, таких как CERT-PH, для своей собственной деятельности, включая создание контрафактных изображений и профилей в социальных сетях.

Исполнитель угроз активно взаимодействует со своей аудиторией на различных платформах социальных сетей под псевдонимами, такими как "IkaruzRT" и "Ikaruz Reignor". Эти персонажи присутствуют на популярных форумах и в общедоступных профилях на таких платформах, как GitHub, Facebook, Twitter и Imgur. Актер публикует сообщения об утечках данных от жертв на Филиппинах и поддерживает репозиторий на GitHub, содержащий инструменты для веб-оболочек и искажений. IRT заявляет о своей причастности к другим группам хактивистов, включая Anka Red Team, Anka Underground Team и Turk Hack Team, которые известны своей порчей веб-сайтов и DDoS-атаками.

Вызывает беспокойство рост числа политически мотивированных атак на Филиппины, особенно со стороны таких групп, как Ikaruz Red Team, Turk Hack Team и PHEDS. Эти атаки варьируются от взлома правительственных данных до кампаний по сбору программ-вымогателей, чему способствует доступность утекших компонентов программ-вымогателей и сценариев для кибератак. Хакеры-вымогатели используют программы-вымогатели для дезинформации и политических заявлений, а не для получения денежной выгоды. Эти действия являются частью более широкой тенденции к совершению несложных, но разрушительных атак в регионе, которые потенциально связаны с ростом напряженности в отношениях с Китаем и попытками дестабилизировать важнейшую инфраструктуру Филиппин.
#ParsedReport #CompletenessMedium
20-05-2024

DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain

https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain

Report completeness: Medium

Threats:
Blackcat
Cobalt_strike
Evilginx_tool

Industry:
Financial, Government

Geo:
Russian

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 2

Soft:
Active Directory, Windows Task Scheduler

Languages:
powershell

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 20-05-2024 DNS Early Detection - Breaking the BlackCat Ransomware Kill Chain https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-blackcat-ransomware-kill-chain Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена атаке программы-вымогателя Blackcat и важности инструментов анализа угроз, таких как программа раннего обнаружения DNS от Infoblox, для обнаружения и устранения киберугроз, таких как программа-вымогатель Blackcat. В тексте рассказывается о тактике и действиях злоумышленников Blackcat, важнейшей роли анализа угроз в выявлении вредоносных доменов и важности упреждающих мер кибербезопасности для борьбы с возникающими угрозами.
-----

22 февраля 2025 года Агентство по критической инфраструктуре и безопасности (CISA) выпустило предупреждение об атаке программы-вымогателя Blackcat. В это предупреждение была включена информация, полученная из различных источников, включая агентства и OSINT, начиная с 2022 года. В предупреждении были представлены новые индикаторы компрометации (IoC), которые указывают на домены серверов управления (C&C), необходимые для операций цепочки уничтожения Blackcat. Программа-вымогатель Blackcat - это чрезвычайно опасная угроза, связанная с российскими субъектами и известная своей бизнес-моделью "программа-вымогатель как услуга" (RaaS).

Злоумышленники используют тактику тройного вымогательства, требуя выкуп, угрожая утечкой данных и дополнительными атаками типа "Отказ в обслуживании" (DoS). ФБР задокументировало случаи, когда жертвы платили выкуп, но не могли расшифровать свои данные с помощью предоставленного ключа. Цепочка убийств Blackcat включает использование скомпрометированных учетных данных для доступа к системам жертв, компрометацию учетных записей Active Directory и развертывание программ-вымогателей с использованием планировщика задач Windows, вредоносных объектов групповой политики (GPO), сценариев PowerShell и Cobalt Strike.

Программа раннего обнаружения DNS от Infoblox играет жизненно важную роль в выявлении вредоносных доменов и сопоставлении их с источниками OSINT. Программа помогает блокировать подозрительные домены до того, как они будут широко представлены в OSINT. Технология Infoblox Threat Intel позволяет обнаруживать подозрительные домены быстрее, чем традиционные методы, что помогает организациям снижать риски и предотвращать утечку данных. Информация о подозрительных доменах дает значительные преимущества в использовании анализа угроз DNS для эффективного противодействия новым угрозам.

Записи WHOIS предоставляют точные данные о датах регистрации вредоносных доменов, что помогает оценить эффективность систем анализа угроз. Злоумышленники, в том числе те, кто стоит за кампаниями Blackcat, постоянно создают и меняют домены, чтобы избежать обнаружения. Подразделение Infoblox по борьбе с угрозами Intel Group предоставляет своевременные и точные оповещения и отчеты об угрозах, предоставляя расширенную информацию для ранней блокировки вредоносных доменов.

Система отслеживания подозрительных доменов Infoblox, появившаяся в 2022 году, помогла тысячам клиентов своевременно блокировать потенциальные угрозы. Использование данных об угрозах Infoblox сводит к минимуму ложные срабатывания и обеспечивает единую политику безопасности в организациях. Используя систему раннего обнаружения DNS и защитные меры, организации могут повысить уровень своей кибербезопасности в отношении новых угроз, таких как программы-вымогатели Blackcat.

Для получения дополнительной информации о подозрительных доменах, раннем обнаружении DNS, расширенной защите DNS и рекомендациях таких агентств, как NSA и CISA, организации могут обратиться к соответствующим ресурсам, предоставляемым Infoblox. Командам по кибербезопасности важно сохранять бдительность, использовать инструменты анализа угроз и принимать упреждающие меры для эффективной борьбы с возникающими киберугрозами, такими как программы-вымогатели Blackcat.
#ParsedReport #CompletenessLow
21-05-2024

Hunting Black Bastas Cobalt Strike

https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781

Report completeness: Low

Threats:
Blackbasta
Cobalt_strike
Lockbit
Pikabot

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1071, T1048

IOCs:
Domain: 5
IP: 10
CTT Report Hub
#ParsedReport #CompletenessLow 21-05-2024 Hunting Black Bastas Cobalt Strike https://medium.com/@Intel_Ops/hunting-black-bastas-cobalt-strike-96a81a6ea781 Report completeness: Low Threats: Blackbasta Cobalt_strike Lockbit Pikabot Geo: Chinese ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ФБР и CISA выпустили предупреждение в отношении группы программ-вымогателей Black Basta, подчеркнув, что они используют Cobalt Strike и конкретные детали инфраструктуры, такие как кластеризация серверов и DNS-маяки. Intel-Ops активно следит за деятельностью группы и предоставляет рекомендации о том, как отслеживать ее и защищаться от нее.
-----

ФБР и CISA недавно выпустили предупреждение #StopRansomware для группы вымогателей Black Basta, которая в 2024 году заняла третье место по общему числу жертв программ-вымогателей после LockBit и Play. В рекомендациях подчеркивается, что группа использует Cobalt Strike, а Intel-Ops активно отслеживает работу этих серверов в дикой природе. Некоторые ключевые выводы, сделанные в ходе анализа, включают выявление различных серверов Cobalt Strike, большинство из которых размещены у таких провайдеров, как Vultr, Digital Ocean и других.

Инфраструктура Black Basta разделена на отдельные кластеры, на серверах которых наблюдаются доминирующие водяные знаки. Большинство серверов Cobalt Strike используют DNS-маяки, указывающие на то, что эти серверы преимущественно размещены у определенных провайдеров. Выявлены дополнительные маяки Cobalt Strike для DNS, включая недавно обнаруженные домены, которые соответствуют соглашению об именовании известных маяков, перечисленных в рекомендациях.

Были обнаружены скопления маяков Cobalt Strike в инфраструктуре Black Basta, причем некоторые домены ранее были связаны с инцидентами Black Basta, связанными с Pikabot. Кроме того, эти серверы Cobalt Strike связаны с определенными кластерами и схемами распространения, включая китайских хостинг-провайдеров и записи DNS.

Служба Intel-Ops обнаружила несколько маяков Cobalt Strike со специфическими водяными знаками, что позволило идентифицировать IP-адреса, связанные с недавними инцидентами с Black Basta. Анализ выявил различия в схемах размещения, основанных на водяных знаках, что позволяет предположить наличие различных кластеров в инфраструктуре Black Basta.

Анализ показателей Black Basta advisory охватывает только известные факторы, что указывает на дополнительные кластеры и корреляции. Аналитики по безопасности могут усилить свою защиту от таких групп, как Black Basta, используя методы, которым обучают на соответствующих курсах. Intel-Ops активно отслеживает эти показатели и предлагает информацию об угрозах уровня C2, а также дополнительные рекомендации, доступные на их курсах для систем отслеживания, таких как Cobalt Strike, и групп угроз, таких как Black Basta.

В конце статьи пользователям предлагается обратиться в Intel-Ops за дополнительной информацией о каналах C2, возможностях зачисления на курсы, узнать, как отслеживать инфраструктуру злоумышленников, и использовать их платформу для повышения безопасности. В тексте также перечислены конкретные IP-адреса, связанные с серверами Black Basta Cobalt Strike, на которых ведется охота.
#ParsedReport #CompletenessMedium
21-05-2024

Analysis of "Hidden Shovel" Mining Trojan Activity

https://www.antiy.com/response/HideShoveling.html

Report completeness: Medium

Threats:
Hiddenshovel
Dll_hijacking_technique
Xmrig_miner
Process_injection_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055, T1574, T1562, T1053, T1218, T1485, T1574.002

IOCs:
File: 28
Path: 8
IP: 6
Command: 2
Registry: 1
Url: 16
Hash: 10
Domain: 4

Soft:
curl, Windows Defender

Algorithms:
crc-64

Win Services:
bits

Languages:
powershell, golang
CTT Report Hub
#ParsedReport #CompletenessMedium 21-05-2024 Analysis of "Hidden Shovel" Mining Trojan Activity https://www.antiy.com/response/HideShoveling.html Report completeness: Medium Threats: Hiddenshovel Dll_hijacking_technique Xmrig_miner Process_injection_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой троянской атаки на майнинг под названием "Скрытая лопата", разработанной Antiy CERT, с подробным описанием ее усовершенствованной тактики уклонения, механизмов сохранения и важности надежных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

Недавно в ходе мониторинга сетевой безопасности Antiy CERT обнаружила новую атаку троянской программы для майнинга под названием "Скрытая лопата". Впервые обнаруженная в ноябре 2023 года, эта вредоносная программа прошла многочисленные обновления, и ее текущая версия - 3.0. Атака продолжается, и число заражений растет, что объясняется его надежной маскировкой и функциями защиты от анализа. Заслуживающие внимания характеристики трояна включают в себя бэкдор для перехвата библиотек DLL и методы внедрения шеллкода.

В борьбе с антивирусным программным обеспечением злоумышленники использовали инновационную тактику. Один из методов заключался в использовании старых версий драйвера ядра антивирусного программного обеспечения для отключения антивирусного программного обеспечения и защиты от EDR. Это было достигнуто с помощью сценария PowerShell, который загружает и устанавливает устаревший драйвер, автономного сценария PowerShell и исполняемого файла контроллера для управления. В другом методе использовалась служба MSDTC для загрузки DLL-библиотеки бэкдоров для самозапускающихся бэкдоров и обеспечения сохраняемости. Используя компонент MTxOCI в MSDTC, злоумышленники смогли загрузить переименованную DLL-библиотеку бэкдора для обеспечения постоянных операций. Эти методы были успешными в обходе и нарушении работы многих антивирусных решений.

Было подтверждено, что система защиты терминала Antiy Zhijia остается незатронутой более старым драйвером антивирусного ядра и может эффективно обнаруживать и устранять DLL-бэкдор. Процесс запуска троянской программы для майнинга "Hidden Shovel" включает загрузку скрипта PowerShell с именем "get.png" со взломанного сервера. После расшифровки скрипт выполняет проверку хэша, планирует задачи, отключает системное антивирусное программное обеспечение и создает службы. После этого загружаются дополнительные скрипты и файлы, что приводит к развертыванию старых драйверов ядра для завершения работы программ безопасности с использованием контроллера в процессе powershell.exe.

Злоумышленники также используют службу MSDTC для перехвата DLL-файлов, загружая DLL-файлы с черного хода. Скрипт также содержит ссылки на будущие загрузки скриптов, такие как "backup.png", для получения дополнительных функциональных возможностей. В конечном итоге троянец-майнинг загружает программу для майнинга вместе с ее компонентами для целей майнинга.

Чтобы обеспечить успешную работу и избежать обнаружения, злоумышленники предпринимают действия, направленные на устранение постоянных операций конкурирующих троянских программ для майнинга. Они используют такие механизмы, как службы DoH, традиционные DNS-запросы и резервные IP-адреса для разрешения IP-адресов. Детали конфигурации в рамках атаки включают конкретные строки и манипуляции с сервисом MSDTC для определения исполняемого файла и загрузки компонентов интеллектуального анализа данных с сервера злоумышленника.

Более того, Antiy спланировал весь процесс атаки, подробно описав каждый шаг злоумышленника, запускающего троянскую программу для майнинга, и сопоставив ее с платформой MITRE ATT&CK для ознакомления и анализа.

Подводя итог, можно сказать, что троян для майнинга "Hidden Shovel" представляет собой сложную и эволюционирующую угрозу с передовыми методами обхода, механизмами сохранения и возможностями взлома программного обеспечения безопасности, что подчеркивает важность надежных мер кибербезопасности для эффективного снижения таких рисков. Специалисты по кибербезопасности должны сохранять бдительность и проактивность при защите от возникающих угроз, подобных этому троянскому майнингу.
#ParsedReport #CompletenessLow
22-05-2024

Stealers, stealers and more stealers

https://securelist.com/crimeware-report-stealers/112633

Report completeness: Low

Threats:
Acrid_stealer
Scarletstealer
Sys01_stealer
Acridrain
Heavens_gate_technique
Penguish
Album_stealer
S1deload
Ioncube_tool

Geo:
Indonesia, Africa, Usa, Egypt, Algeria, Vietnam, Portugal, Turkey, India, Brazil

ChatGPT TTPs:
do not use without manual check
T1566, T1547, T1218, T1574, T1027, T1562, T1071

IOCs:
File: 10
Path: 1
Hash: 6

Soft:
Chrome

Wallets:
metamask

Algorithms:
zip

Languages:
powershell, php
CTT Report Hub
#ParsedReport #CompletenessLow 22-05-2024 Stealers, stealers and more stealers https://securelist.com/crimeware-report-stealers/112633 Report completeness: Low Threats: Acrid_stealer Scarletstealer Sys01_stealer Acridrain Heavens_gate_technique Penguish…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в постоянной угрозе, исходящей от похитителей вредоносных программ, и подчеркивает появление новых вариантов, таких как Acrid, ScarletStealer и Sys01. В нем описываются функциональные возможности, методы распространения и уровни сложности каждого взломщика, подчеркивается необходимость применения надежных методов кибербезопасности для снижения рисков и защиты от таких угроз.
-----

Стилеры по-прежнему представляют серьезную угрозу в мире вредоносных программ, и продолжающиеся исследования выявляют новые варианты, такие как Acrid, ScarletStealer и Sys01. Acrid, обнаруженный в декабре, использует технологию "Небесных врат" для обхода контроля безопасности и работает на 32-разрядных системах, несмотря на преобладание 64-разрядных систем. Он обладает типичными для stealer функциями архивирования и отправки собранных данных на свой сервер управления и контроля, демонстрируя среднюю степень сложности, например, шифрование строк, но не обладая инновационными функциями.

ScarletStealer, идентифицированный с помощью анализа загрузчика под названием Penguish, выделяется тем, что размещает свои функции по краже в других загружаемых им двоичных файлах, ориентируясь на файлы, связанные с криптовалютой, и расширения Chrome. The stealer, распространяемый в основном в таких странах, как Бразилия, Турция и США, содержит множество ошибок и избыточный код, что указывает на недостаточную разработанность, несмотря на то, что он подписан цифровыми сертификатами.

SYS01, или "Album Stealer", появился как малоизвестный стилер, который в 2022 году перешел с C# на PHP-фреймворк. Он распространяется с помощью тактики обмана, маскируя вредоносную нагрузку в поддельных видеоархивах для взрослых, распространяемых через скомпрометированные платформы, такие как Facebook. Злоумышленник, воздействующий на жертв по всему миру с фокусом в Алжире, извлекает данные Facebook, сведения о браузере и включает в себя функции бэкдора для выполнения команд, демонстрируя предпочтение доменам верхнего уровня.top.

Эволюция и разнообразие программ-перехватчиков подчеркивает постоянный спрос на такие вредоносные программы на криминальном рынке. Различные уровни сложности и функциональности программ-перехватчиков подчеркивают необходимость применения надежных методов обеспечения кибербезопасности. Для снижения рисков, связанных с перехватчиками и другими угрозами, рекомендуется регулярно обновлять программное обеспечение, соблюдать осторожность при загрузке и следить за подозрительными электронными письмами. Кроме того, использование решений безопасности, таких как SystemWatcher, для мониторинга поведения системы может повысить общую защиту от вредоносных действий.
#ParsedReport #CompletenessMedium
22-05-2024

CatDDoS. Analysis on the recent surge in activities of CatDDoS groups

https://blog.xlab.qianxin.com/catddos-derivative-cn

Report completeness: Medium

Actors/Campaigns:
Meow

Threats:
Catddos
Log4shell_vuln
Netis
Mirai
Fodcha

Victims:
United arab emirates telecommunications regulatory authority, Cloud vendors, Education, Scientific research, Information transmission, Public management, Construction

Industry:
Healthcare, Iot, Telco, Education

Geo:
Brazil, Emirates, Germany, France, China

ChatGPT TTPs:
do not use without manual check
T1583, T1046, T1095, T1090, T1132, T1027, T1486, T1071

IOCs:
File: 24
Hash: 12
Domain: 27
IP: 13

Soft:
ActiveMQ, Rocketmq, FreePBX, Android, Hadoop, Jenkins, LB-LINK, Metabase, Ruckus, Tenda, have more...

Algorithms:
chacha20, xxtea

Languages:
javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 22-05-2024 CatDDoS. Analysis on the recent surge in activities of CatDDoS groups https://blog.xlab.qianxin.com/catddos-derivative-cn Report completeness: Medium Actors/Campaigns: Meow Threats: Catddos Log4shell_vuln Netis…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что система оповещения о сетевых угрозах XLabBig активно отслеживает группу CatDDoS, разновидность ботнета Mirai, которая использует уязвимости в различных отраслях по всему миру. В тексте также рассматриваются различные варианты CatDDoS-атак, совместное использование шаблонов различными группами ботнетов и тенденция к возникновению конфликтов между различными операторами ботнетов. В нем подчеркивается важность использования передовых систем анализа угроз для проведения детального анализа угроз.
-----

Система оповещения о сетевых угрозах XLabBig в течение последних трех месяцев активно отслеживала CatDDoS, разновидность ботнета Mirai. Система отметила, что в ходе CatDDoS-атак постоянно использовались уязвимости, при этом количество использованных уязвимостей превысило 80, а максимальное количество ежедневных целей атаки превысило 300. Данные, собранные системой, указывают на то, что CatDDoS-атаки имеют глобальный охват, а цели атак охватывают различные отрасли, такие как поставщики облачных услуг, образование, научные исследования, передача информации и государственное управление. Регулирующий орган телекоммуникаций Объединенных Арабских Эмиратов также стал объектом CatDDoS-атак.

CatDDoS имеет множество вариантов, среди которых наиболее активными являются CatDDoS версии 2.0.4 и v-Rebirth (RebirthLTD). Несмотря на различия в работе, эти варианты имеют сходство в коде, дизайне связи, строках и методах расшифровки. Известные варианты в семействе CatDDoS включают v-snow_slide и v-ihateyou, каждый из которых обладает своими отличными характеристиками. v-snow_slide, обнаруженный в октябре 2023 года, демонстрирует особенности, предполагающие подключение к ботнету Fodcha, в частности, с помощью общих элементов кода и протоколов связи.

В тексте также подчеркивается концепция совместного использования шаблонов различными группами ботнетов, при которой идентичный исходный код модифицируется и передается онлайн для последующей разработки. Этот обмен информацией распространяется и на использование алгоритма chacha20, при этом по меньшей мере три семейства ботнетов идентифицированы как использующие один и тот же алгоритм с идентичными комбинациями ключей и одноразовых значений. Более того, анализ целей CatDDoS-атак выявляет тенденцию нацеливания на объекты C2 других вариантов или семейств, что указывает на продолжающиеся столкновения и конфликты между различными операторами ботнетов, что является общей чертой ботнетов Интернета вещей.

В статье подчеркивается важность использования передовых систем анализа угроз, таких как XLabBig, для проведения детального анализа угроз. Исследователи призывают заинтересованные стороны связаться с нами через Twitter для получения дополнительной информации о результатах их исследований и методологиях.