К gossithedog — на VirusTotal присутствует новый руткит Netfilter Rootkit, подписанный Microsoft.
Скачать новые образцы руткитов Netfilter вы можете здесь:
vxug.fakedoma.in/tmp/

* NetfilterRootkit.07.05.2021
* 49.8kb
* Нет пароля

У нас есть последний образец вымогателя Conti (Ryuk).

Вы можете скачать его здесь: vxug.fakedoma.in/tmp/

* 120 000 новых образцов будут запущены 7.06.2021
* Дополнительная информация по образцу Conti:
https://www.virustotal.com/gui/file/4bfd58d4e4a6fe5e91b408bc190a24d352124902085f9c2da948ad7d79b72618/detection

1 / Иногда участники vx-underground должны обсудить этичность материалов, которыми мы решаем поделиться. Мы обнаружили новый метод удаления теневых томов, который, насколько нам известно, еще не используется группами ransomware. Мы скоро его выпустим.

2 / Однако из-за потенциальной летальности этого конкретного метода и текущей эпидемии программ-вымогателей мы просим отдельных лиц, специалистов по реагированию на инциденты и поставщиков антивирусных программ связаться с нами, чтобы правила YARA или другие методы обнаружения могли быть разработаны до выпуска.

е-мейл: vxug@null.net

APT29 (Cozy Bear) предположительно нарушил RNC (Национальный республиканский комитет) США примерно в то же время, когда REvil запустил атаку на цепочку поставок через Kayesa.

* RNC отрицает факт нарушения
* Bloomberg утверждает, что "два источника, знакомых с этим вопросом", заявляют, что это правда.

Следим.

Качественный мем-контент)

Большое количество людей связались с нами по поводу нашего альтернативного метода удаления теневых томов.

Из-за большого объема создания IOCs, а также из-за того, что требуется время для работы над поведенческим анализом, к сожалению POC не будет выпущен до 1 августа.

*При необходимости мы расширим его.

6 июля McAfee выпустила статью о новом варианте программы-вымогателя Conti's (Ryuk's), нацеленной на веб-серверы.

Загрузите образцы + статью здесь: vxug.fakedoma.in/tmp/

* Всего 12 образцов
* 3,5 МБ
* Нет пароля

Мы добавили совсем немного.

- 80 000 новых образцов вредоносного ПО
- Примеры BlackKeep Exploit Kit
- Примеры Conti (недавний вариант + вариант с веб-сервером)
- Образцы APT WildPressure
- Образцы руткитов NetFilter (подписанные Microsoft)

Общее количество образцов, доступных для загрузки:
прибл. 4 970 000

Подъехала статистика. Что ж, мы рады, что можем предоставить ресурс, с помощью которого отдельные лица (или организации) могут обучать вредоносному ПО как в атаке, так и в защите.

Отдельное спасибо tcpdirect за то, что помогли нам пережить хорошее, плохое, уродливое.
Любим вас всех🖤

Мы добавили новую статью в сборник статей vx-Underground:
«Эмпирическая оценка систем EDR против векторов APT-атак»
George Karantzas & Constantinos Patsakis

Прочитать здесь:
https://cutt.ly/SmR9Zmn

Only Eng version

Новые дополнения:

* Symantec Endpoint Protection встречает COM - использование Symantec.SSHelper в качестве LOLBIN от nas_bench
Ссылка на сайт:cutt.ly/0mUhjoF

* Поиск подозрительного использования фоновой интеллектуальной службы передачи (BITS) от menasec1
Ссылка на сайт:cutt.ly/7mUhkyV

Также позже в этом месяце
vx-underground представит
новый раздел в коллекции статей:
Вредоносные программы
для ICS / SCADA.

Примечание:
RAMP аббревиатура известного «Russian Anonymous MarketPlace», форума, предназначенного в первую очередь для продажи и / или производства запрещённых средств.
В июле 2017 форум подвергся DDoS атакам, и был ликвидирован (возможно).

TrendMicro выпустили статью
об APT41 и их новом RAT
"BIOPASS". RAT использует
OBS для прямой трансляции
целевой машины на облачный
сервер.

Вы можете скачать статью
+ 17 образцов BIOPASS здесь:
vxug.fakedoma.in/tmp/

REvil запрещено использовать XSS.

Один из наших подписчиков

REvil таинственным образом исчез. Не слушайте бездумные домыслы Threat Intel. Только Стивен Сигал знает ответ.