🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Categoria:
Inteligência de malwareIndústria:
SubterrâneoMotivação:
FinanceiroRegião:
GlobalFonte*:
B2
Anúncio do ator ameaçador no fórum de crimes cibernéticos [/caption]
Um agente de ameaças atestando os serviços [/caption]
[caption id="attachment_21258" align="alignnone” width="292"]
Depoimento do agente de ameaças sobre os clientes satisfeitos [/caption]
[caption id="attachment_21259" align="aligncenter” width="1920"]
Fluxo de trabalho demonstrado no vídeo compartilhado com uma fonte confidencial [/caption]
[caption id="attachment_21260" align="aligncenter” width="580"]
O arquivo exe recebendo 0 sinalizadores por antivírus [/caption]
[caption id="attachment_21261" align="aligncenter” width="1330"]
Monitoramento ao vivo do sistema da vítima via desktop remoto, conforme mostrado no vídeo compartilhado com uma fonte confidencial [/caption]
Sumário executivo
AMEAÇAIMPACTOMITIGAÇÃO- Serviços de criptografia privados que oferecem forte proteção e ofuscação.
- Qualquer ferramenta maliciosa pode ser criptografada para evitar a detecção por software antivírus ou engenharia reversa.
- Ferramentas maliciosas criptografadas podem ser usadas para orquestrar campanhas fraudulentas.
- Exfiltração de informações confidenciais.
- Monitorando um dispositivo via desktop remoto no modo ao vivo.
- Baixe aplicativos ou software somente de fontes legítimas.
- Monitore atividades/processos suspeitos no sistema.
Análise e atribuição
Informações do Post
- CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças anunciando o AV's NIGHTMARE, um serviço privado de criptografia que oferece forte proteção e ofuscação.
- O serviço oferecido pode criptografar qualquer ferramenta (ladrão, rato, botnet etc.), tornando-a indetectável por antivírus ou engenharia reversa.
- As seguintes informações foram compartilhadas sobre o serviço:
- A ferramenta é quase indetectável, pois pode ignorar quase todos os antivírus.
- Ele permanece escondido da engenharia reversa.
- O serviço pode funcionar com qualquer RAT, ladrões, arquivos maliciosos, botnets etc.
- Seu principal objetivo é contornar o Windows Defender.
- O produto usado para criptografar a ferramenta é codificado em C++.
- Os serviços variam de USD 30 a USD 160, com base no tipo de pacote e nos recursos.
Anúncio do ator ameaçador no fórum de crimes cibernéticos [/caption]
Características da ferramenta
De acordo com o anúncio, os pacotes de serviços de criptografia tinham as seguintes características:- Métodos poderosos de criptografia privados e dedicados para cada cliente.
- Tecnologia avançada de injeção com cargas útil.NET/nativas.
- Compatível com arquivos.NET e nativos.
- Inicialização oculta e instalação persistente.
- Esboço privado dedicado.
- Suporte totalmente dedicado.
- FUD longo.
Informações de fóruns de crimes cibernéticos
- Anteriormente, o ator da ameaça era muito ativo em outro famoso fórum de crimes cibernéticos.
- A credibilidade da postagem é garantida em um tópico publicado por outro agente de ameaças que foi comprador desses serviços.
- O ator também mencionou ter mais de 50 clientes satisfeitos sem reclamações.
Informações de uma fonte confidencial
Uma fonte confidencial em contato com o agente da ameaça constatou que:- O agente da ameaça compartilhou uma amostra de vídeo demonstrando o fluxo de trabalho de um executável criptografado.
- O vídeo demonstrou o ator monitorando o dispositivo de uma vítima via desktop remoto no modo ao vivo.
- O arquivo executável crypter obteve 0 detecções em mais de 20 verificações de antivírus.
Atividade e classificação do ator de ameaças
Perfil do ator de ameaçasAtivo desde agosto de 2022ReputationHigh (sem reclamações ou preocupações contra o ator) Status atualActiveHistoryVisto anteriormente lidando com criptas para desvio do UAC de mineradores e exclusões do Windows Defender. Ponto de contato- Discórdia: BigStuart #1880
- Telegrama: @bigstuart
Impacto e mitigação
ImpactoMitigação- Os serviços de criptografia podem ser usados para ocultar ladrões, ratos e botnets como software legítimo que pode ser usado para lançar campanhas fraudulentas.
- Infiltração na infraestrutura da organização.
- Exfiltrando dados confidenciais e confidenciais.
- Monitorando o dispositivo da vítima via desktop remoto no modo ao vivo.
- Exigir um resgate ou vender os acessos/bancos de dados para obter benefícios monetários.
- As ferramentas criptografadas usando esse serviço são indetectáveis e, portanto, podem manter a persistência no sistema por um longo tempo.
- Baixe aplicativos ou software de portais/sites legítimos.
- Procure atividades ou processos suspeitos no sistema.
- Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.
Indicadores de compromisso (IOCs)
Os seguintes IOCs foram coletados com base nos resultados do AntiScan [.] me e em informações de uma fonte confidencial. Hash82c0632b2b5e5c4ae40edba657ad5250Referências
- *Fonte de inteligência e confiabilidade da informação - Wikipedia
- #Protocolo de semáforo - Wikipedia
Apêndice
[caption id="attachment_21257" align="alignnone” width="1757"] Um agente de ameaças atestando os serviços [/caption]
[caption id="attachment_21258" align="alignnone” width="292"] Depoimento do agente de ameaças sobre os clientes satisfeitos [/caption]
[caption id="attachment_21259" align="aligncenter” width="1920"] Fluxo de trabalho demonstrado no vídeo compartilhado com uma fonte confidencial [/caption]
[caption id="attachment_21260" align="aligncenter” width="580"] O arquivo exe recebendo 0 sinalizadores por antivírus [/caption]
[caption id="attachment_21261" align="aligncenter” width="1330"] Monitoramento ao vivo do sistema da vítima via desktop remoto, conforme mostrado no vídeo compartilhado com uma fonte confidencial [/caption]
