CTT Report Hub
#ParsedReport #CompletenessLow 28-08-2024 SMS scammers use toll fees as a lure https://www.malwarebytes.com/blog/news/2024/08/sms-scammers-use-toll-fees-as-a-lure Report completeness: Low Industry: Transport Geo: Japan, The us, Canada, Australia ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в предупреждении ФБР о новом типе мошеннических рассылок смс-рассылок, нацеленных на отдельных лиц с помощью текстовых сообщений. Рассылка смс-рассылок предполагает, что мошенники пытаются обманом заставить пользователей перейти по ссылке, утверждая, что получатель должен небольшую сумму в качестве платы за проезд. Мошенники охотятся за людьми, которые недавно путешествовали или планируют поездки, побуждая их предоставлять личную информацию на поддельном веб-сайте. Чтобы защититься от подобных мошенничеств, частным лицам рекомендуется тщательно изучить источник сообщения, проверить домен веб-сайта, сверить информацию с официальными источниками и сообщать о подозрительных сообщениях в ФБР.
-----
В апреле 2024 года ФБР выпустило предупреждение о новом типе мошеннических рассылок, нацеленных на отдельных лиц с помощью текстовых сообщений. Смишинг - термин, используемый для обозначения фишинговых атак, проводимых с помощью SMS, - подразумевает, что мошенники пытаются обманом заставить пользователей перейти по ссылке, ложно заявляя, что получатель задолжал незначительную сумму в виде платы за проезд. Мошеннический текст предназначен для людей, которые, возможно, недавно совершали летние поездки или планируют навестить родственников во время отпусков, что повышает вероятность того, что они попадутся на уловку. Сообщения должны выглядеть правдоподобно, побуждая пользователей посещать поддельный веб-сайт, который полностью имитирует оригинальную платформу для оплаты проезда.
При посещении поддельного веб-сайта получателям предлагается предоставить личные данные, такие как номера телефонов, адреса электронной почты, полные имена, адреса электронной почты и данные кредитной карты. Эти конфиденциальные данные могут быть использованы мошенниками в таких неблаговидных целях, как кража личных данных и финансовое мошенничество. В то время как в Соединенных Штатах число подобных мошеннических атак растет, они также нацелены на отдельных лиц в таких странах, как Австралия, Канада и Япония.
Чтобы не стать жертвой подобных мошенничеств, людям рекомендуется внимательно следить за номером телефона, с которого приходит текстовое сообщение. Некоторые мошеннические сообщения можно легко идентифицировать по их иностранному происхождению. Кроме того, получателям следует внимательно изучить доменное имя веб-сайта, на котором указаны предполагаемые сборы за проезд, поскольку мошенники могут создать убедительные копии с незначительными отличиями. В случае принятия решения о внесении платежа получателям следует ожидать последующего подтверждения, поскольку законные агентства по взиманию платы за проезд обычно выдают подтверждения после оплаты. Неполучение такого подтверждения должно повлечь за собой немедленное расследование и, возможно, замораживание средств на использованной кредитной карте.
Крайне важно никоим образом не вступать в контакт с мошенником, поскольку любая форма ответа предоставляет ему ценную информацию, включая подтверждение того, что номер телефона активен. Если плата за проезд кажется приемлемой в связи с недавними поездками в указанный район, физическим лицам рекомендуется проверить информацию на официальном веб-сайте платной службы или обратиться на горячую линию службы поддержки клиентов. ФБР настоятельно рекомендует получателям подозрительных сообщений сообщать о них в Центр жалоб на интернет-преступления ФБР по адресу ic3.gov, указав такие детали, как исходящий номер телефона и веб-сайт, упомянутый в текстовом сообщении. Сохраняя бдительность и соблюдая эти меры предосторожности, частные лица могут снизить риск стать жертвами мошеннических действий и защитить свою личную информацию от использования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в предупреждении ФБР о новом типе мошеннических рассылок смс-рассылок, нацеленных на отдельных лиц с помощью текстовых сообщений. Рассылка смс-рассылок предполагает, что мошенники пытаются обманом заставить пользователей перейти по ссылке, утверждая, что получатель должен небольшую сумму в качестве платы за проезд. Мошенники охотятся за людьми, которые недавно путешествовали или планируют поездки, побуждая их предоставлять личную информацию на поддельном веб-сайте. Чтобы защититься от подобных мошенничеств, частным лицам рекомендуется тщательно изучить источник сообщения, проверить домен веб-сайта, сверить информацию с официальными источниками и сообщать о подозрительных сообщениях в ФБР.
-----
В апреле 2024 года ФБР выпустило предупреждение о новом типе мошеннических рассылок, нацеленных на отдельных лиц с помощью текстовых сообщений. Смишинг - термин, используемый для обозначения фишинговых атак, проводимых с помощью SMS, - подразумевает, что мошенники пытаются обманом заставить пользователей перейти по ссылке, ложно заявляя, что получатель задолжал незначительную сумму в виде платы за проезд. Мошеннический текст предназначен для людей, которые, возможно, недавно совершали летние поездки или планируют навестить родственников во время отпусков, что повышает вероятность того, что они попадутся на уловку. Сообщения должны выглядеть правдоподобно, побуждая пользователей посещать поддельный веб-сайт, который полностью имитирует оригинальную платформу для оплаты проезда.
При посещении поддельного веб-сайта получателям предлагается предоставить личные данные, такие как номера телефонов, адреса электронной почты, полные имена, адреса электронной почты и данные кредитной карты. Эти конфиденциальные данные могут быть использованы мошенниками в таких неблаговидных целях, как кража личных данных и финансовое мошенничество. В то время как в Соединенных Штатах число подобных мошеннических атак растет, они также нацелены на отдельных лиц в таких странах, как Австралия, Канада и Япония.
Чтобы не стать жертвой подобных мошенничеств, людям рекомендуется внимательно следить за номером телефона, с которого приходит текстовое сообщение. Некоторые мошеннические сообщения можно легко идентифицировать по их иностранному происхождению. Кроме того, получателям следует внимательно изучить доменное имя веб-сайта, на котором указаны предполагаемые сборы за проезд, поскольку мошенники могут создать убедительные копии с незначительными отличиями. В случае принятия решения о внесении платежа получателям следует ожидать последующего подтверждения, поскольку законные агентства по взиманию платы за проезд обычно выдают подтверждения после оплаты. Неполучение такого подтверждения должно повлечь за собой немедленное расследование и, возможно, замораживание средств на использованной кредитной карте.
Крайне важно никоим образом не вступать в контакт с мошенником, поскольку любая форма ответа предоставляет ему ценную информацию, включая подтверждение того, что номер телефона активен. Если плата за проезд кажется приемлемой в связи с недавними поездками в указанный район, физическим лицам рекомендуется проверить информацию на официальном веб-сайте платной службы или обратиться на горячую линию службы поддержки клиентов. ФБР настоятельно рекомендует получателям подозрительных сообщений сообщать о них в Центр жалоб на интернет-преступления ФБР по адресу ic3.gov, указав такие детали, как исходящий номер телефона и веб-сайт, упомянутый в текстовом сообщении. Сохраняя бдительность и соблюдая эти меры предосторожности, частные лица могут снизить риск стать жертвами мошеннических действий и защитить свою личную информацию от использования.
#ParsedReport #CompletenessMedium
28-08-2024
From 12 to 21: How We Discovered Twelve and BlackJack Gang Links
https://securelist.ru/blackjack-hacktivists-connection-with-twelve/110326
Report completeness: Medium
Actors/Campaigns:
Blackjack (motivation: hacktivism, financially_motivated)
C0met (motivation: hacktivism)
Lockbit
Threats:
Putty_tool
Disttrack
Lockbit
Radmin_tool
Anydesk_tool
Twelve_ransomware
Chaos_ransomware
Wevtutil_tool
Mimikatz_tool
Chisel_tool
Bloodhound_tool
Powerview_tool
Remcom_tool
Crackmapexec_tool
Wmiexec_tool
Victims:
Companies located in russia, Russian organizations, Government agencies
Industry:
Telco, Government
Geo:
Russian, Russia
ChatGPT TTPs:
T1059.001, T1077, T1219, T1021.004, T1486, T1561.001
IOCs:
Hash: 7
File: 4
Path: 7
Command: 1
IP: 1
Soft:
Telegram, PsExec, XenAllPasswordPro, WinSCP, Windows Defender
Algorithms:
zip
Languages:
powershell
Platforms:
x86
28-08-2024
From 12 to 21: How We Discovered Twelve and BlackJack Gang Links
https://securelist.ru/blackjack-hacktivists-connection-with-twelve/110326
Report completeness: Medium
Actors/Campaigns:
Blackjack (motivation: hacktivism, financially_motivated)
C0met (motivation: hacktivism)
Lockbit
Threats:
Putty_tool
Disttrack
Lockbit
Radmin_tool
Anydesk_tool
Twelve_ransomware
Chaos_ransomware
Wevtutil_tool
Mimikatz_tool
Chisel_tool
Bloodhound_tool
Powerview_tool
Remcom_tool
Crackmapexec_tool
Wmiexec_tool
Victims:
Companies located in russia, Russian organizations, Government agencies
Industry:
Telco, Government
Geo:
Russian, Russia
ChatGPT TTPs:
do not use without manual checkT1059.001, T1077, T1219, T1021.004, T1486, T1561.001
IOCs:
Hash: 7
File: 4
Path: 7
Command: 1
IP: 1
Soft:
Telegram, PsExec, XenAllPasswordPro, WinSCP, Windows Defender
Algorithms:
zip
Languages:
powershell
Platforms:
x86
Securelist
Анализ группировки BlackJack: техники, инструменты и сходство с Twelve
Исследование ПО, TTP и мотивов группировки BlackJack позволило экспертам «Лаборатории Касперского» установить возможную связь с группировкой Twelve.
CTT Report Hub
#ParsedReport #CompletenessMedium 28-08-2024 From 12 to 21: How We Discovered Twelve and BlackJack Gang Links https://securelist.ru/blackjack-hacktivists-connection-with-twelve/110326 Report completeness: Medium Actors/Campaigns: Blackjack (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается расследование кибератак на российские организации, совершенных двумя группами хактивистов BlackJack и Twelve, выявляющее потенциальные связи между ними с помощью совпадающих тактик, инструментов и процедур. Эти группы используют аналогичные вредоносные программы, такие как программа-вымогатель LockBit и программы-очистители на базе Shamoon, и нацелены на различные сектора в России, что указывает на скоординированную деятельность хакеров, направленную на причинение ущерба, а не на получение финансовой выгоды.
-----
В тексте описывается расследование кибератак на российские организации, в котором основное внимание уделяется двум группам хактивистов под названием BlackJack и Twelve. Исследование выявляет совпадающие тактики, методы, процедуры и инструменты, используемые этими группами, что указывает на возможную связь между ними. BlackJack, созданная в конце 2023 года, нацелена на российские компании и правительственные учреждения, утверждая, что занимается поиском уязвимостей в их сетях. Группа публично взяла на себя ответственность за многочисленные атаки и была связана с другими пользователями посредством телеметрических данных. В BlackJack используется бесплатное программное обеспечение с открытым исходным кодом, такое как PuTTY и Shamoon, что демонстрирует их хактивистский характер и нехватку ресурсов по сравнению с более крупными группами участников угроз.
Для компрометации жертв BlackJack group использует программу wiper, основанную на Shamoon, написанную на Go, а также программу-вымогатель LockBit. Вредоносная программа LockBit распространяется вместе с программой wiper в заранее определенных каталогах, чтобы облегчить выполнение в системах жертвы. Удаленный доступ к скомпрометированным системам обеспечивается с помощью таких инструментов, как AnyDesk и PuTTY. Схожесть инструментов и методов с Twelve group, которая также использует общедоступное программное обеспечение, предполагает потенциальную группировку этих действий.
Сравнение образцов программ-вымогателей и wiper, используемых BlackJack и Twelve, показывает значительное сходство, что указывает на потенциальный обмен вредоносными инструментами между группами. Обе группы используют программы-вымогатели LockBit и wiper на базе Shamoon с идентичными конфигурациями и путями развертывания. Анализ также выявил наличие схожих команд, утилит и процедур атаки, используемых обеими группами для взлома систем. Кроме того, была выявлена новая активность, напоминающая тактику исследованного кластера, что подтверждает предположение о взаимосвязанных действиях хактивистов, направленных против российских организаций.
Выявленные вредоносные инструменты и действия происходят в инфраструктурах государственных, телекоммуникационных и промышленных предприятий России. Хотя окончательно не подтверждено, стоят ли за обеими группами одни и те же злоумышленники, имеющиеся данные свидетельствуют о том, что BlackJack и Twelve, скорее всего, являются частью объединенной группировки, проводящей хактивистские операции с целью нанесения значительного ущерба своим целям, а не получения финансовой выгоды.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается расследование кибератак на российские организации, совершенных двумя группами хактивистов BlackJack и Twelve, выявляющее потенциальные связи между ними с помощью совпадающих тактик, инструментов и процедур. Эти группы используют аналогичные вредоносные программы, такие как программа-вымогатель LockBit и программы-очистители на базе Shamoon, и нацелены на различные сектора в России, что указывает на скоординированную деятельность хакеров, направленную на причинение ущерба, а не на получение финансовой выгоды.
-----
В тексте описывается расследование кибератак на российские организации, в котором основное внимание уделяется двум группам хактивистов под названием BlackJack и Twelve. Исследование выявляет совпадающие тактики, методы, процедуры и инструменты, используемые этими группами, что указывает на возможную связь между ними. BlackJack, созданная в конце 2023 года, нацелена на российские компании и правительственные учреждения, утверждая, что занимается поиском уязвимостей в их сетях. Группа публично взяла на себя ответственность за многочисленные атаки и была связана с другими пользователями посредством телеметрических данных. В BlackJack используется бесплатное программное обеспечение с открытым исходным кодом, такое как PuTTY и Shamoon, что демонстрирует их хактивистский характер и нехватку ресурсов по сравнению с более крупными группами участников угроз.
Для компрометации жертв BlackJack group использует программу wiper, основанную на Shamoon, написанную на Go, а также программу-вымогатель LockBit. Вредоносная программа LockBit распространяется вместе с программой wiper в заранее определенных каталогах, чтобы облегчить выполнение в системах жертвы. Удаленный доступ к скомпрометированным системам обеспечивается с помощью таких инструментов, как AnyDesk и PuTTY. Схожесть инструментов и методов с Twelve group, которая также использует общедоступное программное обеспечение, предполагает потенциальную группировку этих действий.
Сравнение образцов программ-вымогателей и wiper, используемых BlackJack и Twelve, показывает значительное сходство, что указывает на потенциальный обмен вредоносными инструментами между группами. Обе группы используют программы-вымогатели LockBit и wiper на базе Shamoon с идентичными конфигурациями и путями развертывания. Анализ также выявил наличие схожих команд, утилит и процедур атаки, используемых обеими группами для взлома систем. Кроме того, была выявлена новая активность, напоминающая тактику исследованного кластера, что подтверждает предположение о взаимосвязанных действиях хактивистов, направленных против российских организаций.
Выявленные вредоносные инструменты и действия происходят в инфраструктурах государственных, телекоммуникационных и промышленных предприятий России. Хотя окончательно не подтверждено, стоят ли за обеими группами одни и те же злоумышленники, имеющиеся данные свидетельствуют о том, что BlackJack и Twelve, скорее всего, являются частью объединенной группировки, проводящей хактивистские операции с целью нанесения значительного ущерба своим целям, а не получения финансовой выгоды.
Forwarded from CISOCLUB - кибербезопасность и ИТ
Каждый день в мире появляются десятки новых киберугроз, требующих тщательного анализа и оперативного реагирования. Компании, занимающиеся информационной безопасностью, а также независимые эксперты, публикуют до 11 исследований ежедневно. За год число тактических и оперативных Threat Intelligence (TI) отчетов превышает 4000, освещая методы хакерских атак и работу вредоносного ПО.
Анализ столь большого объема информации требует значительных ресурсов, в том числе крупных команд TI-аналитиков. Однако собрать большую команду высококвалифицированных специалистов сложная задача даже для лидеров рынка. Кроме того, данные об инцидентах и киберугрозах разрозненны, что усложняет их использование в разработке детектирующей логики и в реагировании на атаки.
Ситуация начала меняться с появлением генеративных AI-технологий. Новые программные продукты позволили существенно снизить трудозатраты аналитиков первых и вторых линий SOC, а также повысить уровень квалификации начинающих специалистов до экспертного уровня. Теперь AI-ассистент на основе LLM (Large Language Model) и RAG (Retrieve Augmented Generation) стал полноценным интерфейсом между аналитиками и обширной базой TI-отчетов.
Такие AI-ассистенты могут мгновенно отвечать на ключевые вопросы:
- Какие мотивации и цели определённых хакерских группировок?
- Какие навыки используют эти группировки?
- Как атакуют компании в вашей отрасли?
- Как функционирует конкретное вредоносное ПО?
- Каковы потенциальные последствия кибератак для вашей компании?
- Какие процедуры используют хакеры при атаках на информационные системы?
Генеральный директор ООО «Технологии киберугроз» Николай Арефьев отмечает: «В условиях кадрового дефицита и увеличения числа кибератак важно оперативно принимать качественные решения по защите инфраструктуры. Использование передовых AI-решений позволяет существенно снизить нагрузку на ИБ-специалистов. Мы видим огромное значение в партнерстве с ООО «ИнсайтСтрим», поскольку наши знания о киберугрозах, объединенные с AI-технологиями «ИнсайтСтрим», создают мощный синергетический эффект. Уже на стадии закрытых альфа-тестов наш совместный AI-ассистент получает положительные отзывы от клиентов».
Вадим Полулях, генеральный директор ООО «ИнсайтСтрим», добавляет: «Для создания эффективных AI-ассистентов важны не только технологии (модели, пайплайны обработки данных или движки умного поиска), но и глубокая отраслевая экспертиза с проверенными данными. Партнерство с «Технологии киберугроз» — это стратегически важный шаг для предоставления нашим клиентам максимальной пользы».
Совместные усилия двух компаний обещают значительный прогресс в сфере кибербезопасности, предлагая рынку уникальные решения на основе искусственного интеллекта.
ООО «Технологии киберугроз» (ex. RST Cloud) – технологическая компания, специализирующаяся на решениях по анализу киберугроз. Глубокая экспертиза в области Threat Intelligence и актуальная база TI-отчетов легли в основу экспертной составляющей AI-ассистента.
ООО «ИнсайтСтрим» – AI-компания, разрабатывающая решения умного поиска на основе технологий генеративного AI: LLM (Large Language Model) и RAG (Retrieve Augmented Generation). Технологическое ядро и широкий опыт внедрения таких решений в отраслевых задачах обеспечили высокое качество работы AI-ассистента.
Реклама. Рекламодатель ООО "ТЕХНОЛОГИИ КИБЕРУГРОЗ", ИНН 9731092317. Erid: 2SDnjdsx8DQ
Анализ столь большого объема информации требует значительных ресурсов, в том числе крупных команд TI-аналитиков. Однако собрать большую команду высококвалифицированных специалистов сложная задача даже для лидеров рынка. Кроме того, данные об инцидентах и киберугрозах разрозненны, что усложняет их использование в разработке детектирующей логики и в реагировании на атаки.
Ситуация начала меняться с появлением генеративных AI-технологий. Новые программные продукты позволили существенно снизить трудозатраты аналитиков первых и вторых линий SOC, а также повысить уровень квалификации начинающих специалистов до экспертного уровня. Теперь AI-ассистент на основе LLM (Large Language Model) и RAG (Retrieve Augmented Generation) стал полноценным интерфейсом между аналитиками и обширной базой TI-отчетов.
Такие AI-ассистенты могут мгновенно отвечать на ключевые вопросы:
- Какие мотивации и цели определённых хакерских группировок?
- Какие навыки используют эти группировки?
- Как атакуют компании в вашей отрасли?
- Как функционирует конкретное вредоносное ПО?
- Каковы потенциальные последствия кибератак для вашей компании?
- Какие процедуры используют хакеры при атаках на информационные системы?
Генеральный директор ООО «Технологии киберугроз» Николай Арефьев отмечает: «В условиях кадрового дефицита и увеличения числа кибератак важно оперативно принимать качественные решения по защите инфраструктуры. Использование передовых AI-решений позволяет существенно снизить нагрузку на ИБ-специалистов. Мы видим огромное значение в партнерстве с ООО «ИнсайтСтрим», поскольку наши знания о киберугрозах, объединенные с AI-технологиями «ИнсайтСтрим», создают мощный синергетический эффект. Уже на стадии закрытых альфа-тестов наш совместный AI-ассистент получает положительные отзывы от клиентов».
Вадим Полулях, генеральный директор ООО «ИнсайтСтрим», добавляет: «Для создания эффективных AI-ассистентов важны не только технологии (модели, пайплайны обработки данных или движки умного поиска), но и глубокая отраслевая экспертиза с проверенными данными. Партнерство с «Технологии киберугроз» — это стратегически важный шаг для предоставления нашим клиентам максимальной пользы».
Совместные усилия двух компаний обещают значительный прогресс в сфере кибербезопасности, предлагая рынку уникальные решения на основе искусственного интеллекта.
ООО «Технологии киберугроз» (ex. RST Cloud) – технологическая компания, специализирующаяся на решениях по анализу киберугроз. Глубокая экспертиза в области Threat Intelligence и актуальная база TI-отчетов легли в основу экспертной составляющей AI-ассистента.
ООО «ИнсайтСтрим» – AI-компания, разрабатывающая решения умного поиска на основе технологий генеративного AI: LLM (Large Language Model) и RAG (Retrieve Augmented Generation). Технологическое ядро и широкий опыт внедрения таких решений в отраслевых задачах обеспечили высокое качество работы AI-ассистента.
Реклама. Рекламодатель ООО "ТЕХНОЛОГИИ КИБЕРУГРОЗ", ИНН 9731092317. Erid: 2SDnjdsx8DQ
🔥4
#ParsedReport #CompletenessHigh
28-08-2024
Advanced Persistent Threat Targeting Vietnamese Human Rights Defenders
https://www.huntress.com/blog/advanced-persistent-threat-targeting-vietnamese-human-rights-defenders
Report completeness: High
Actors/Campaigns:
Oceanlotus
Threats:
Cobalt_strike
Metasploit_tool
Dll_sideloading_technique
Bloat_technique
Steganography_technique
Junk_code_technique
Procmon_tool
Nltest_tool
Netstat_tool
Process_injection_technique
Victims:
Vietnamese human rights defender, Non-profit supporting vietnamese human rights, Journalists, Bloggers, Dissidents, Vietnamese human rights advocates
Geo:
Vietnamese
TTPs:
Tactics: 1
Technics: 38
IOCs:
File: 27
Path: 30
Command: 8
Domain: 33
IP: 7
Hash: 25
Soft:
Google Chrome, Windows Defender, Kitty, Component Object Model, Windows Service
Algorithms:
xor, sha256, lznt1, lzma
Win API:
WdiServiceHost, decompress, CryptDecrypt
Languages:
javascript, visual_basic, java, powershell
Platforms:
apple
Links:
28-08-2024
Advanced Persistent Threat Targeting Vietnamese Human Rights Defenders
https://www.huntress.com/blog/advanced-persistent-threat-targeting-vietnamese-human-rights-defenders
Report completeness: High
Actors/Campaigns:
Oceanlotus
Threats:
Cobalt_strike
Metasploit_tool
Dll_sideloading_technique
Bloat_technique
Steganography_technique
Junk_code_technique
Procmon_tool
Nltest_tool
Netstat_tool
Process_injection_technique
Victims:
Vietnamese human rights defender, Non-profit supporting vietnamese human rights, Journalists, Bloggers, Dissidents, Vietnamese human rights advocates
Geo:
Vietnamese
TTPs:
Tactics: 1
Technics: 38
IOCs:
File: 27
Path: 30
Command: 8
Domain: 33
IP: 7
Hash: 25
Soft:
Google Chrome, Windows Defender, Kitty, Component Object Model, Windows Service
Algorithms:
xor, sha256, lznt1, lzma
Win API:
WdiServiceHost, decompress, CryptDecrypt
Languages:
javascript, visual_basic, java, powershell
Platforms:
apple
Links:
https://gist.github.com/craigsweeney/657413fff7a18611c4d7966f0c9d6b1d#file-1-bathttps://gist.github.com/craigsweeney/1b783fcdc8da58eaf4fdb33574287657#file-mssharepoint-vbshttps://github.comhttps://gist.github.com/craigsweeney/4cbdf2d277a7d713fb17b405f287d8b8/raw/475a4426763af31506cbb65b0b8d9b76cace9aae/connection.bathttps://gist.github.com/craigsweeney/1b783fcdc8da58eaf4fdb33574287657/raw/ead07c0c577e66d346ef339661757a526da76fe6/MSSharePoint.vbshttps://gist.github.com/craigsweeney/657413fff7a18611c4d7966f0c9d6b1d/raw/b59469b0d27d1f19fb5806059a06a2a23de089a0/1.bathttps://gist.github.com/craigsweeney/4cbdf2d277a7d713fb17b405f287d8b8#file-connection-bathttps://gist.github.com/craigsweeney/75ed7375d4b699160367a4f7bd1ac099/raw/f925fcd605cddeb1e732a78344a7e45748d70ec1/cloud.bathttps://gist.github.com/craigsweeney/75ed7375d4b699160367a4f7bd1ac099#file-cloud-batHuntress
APT Targeting Vietnamese Human Rights Defenders | Huntress
Huntress identified an intrusion against a non-profit supporting Vietnamese human rights that’s likely spanned years. Jump in as we provide a thorough analysis of this malicious threat actor.
CTT Report Hub
#ParsedReport #CompletenessHigh 28-08-2024 Advanced Persistent Threat Targeting Vietnamese Human Rights Defenders https://www.huntress.com/blog/advanced-persistent-threat-targeting-vietnamese-human-rights-defenders Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается недавнее обнаружение охотниками за угрозами в Huntress долгосрочного взлома компьютера вьетнамского правозащитника, который, как предполагается, связан с злоумышленником APT32/OceanLotus. Вторжение продемонстрировало различные совпадения с тактикой APT32 /OceanLotus и целевой демографией, продемонстрировав изощренность и настойчивость. Злоумышленники использовали передовые методы, такие как стеганография, методы обфускации и обеспечение доступа с помощью нескольких бэкдоров. Подробный анализ подчеркивает необходимость постоянной бдительности и активного поиска угроз в отношении таких продвинутых субъектов, особенно в контексте защиты прав человека и журналистики.
-----
В тексте рассказывается о недавнем обнаружении охотниками за угрозами в Huntress долгосрочного вторжения в компьютер вьетнамского правозащитника, которое, как предполагается, связано с злоумышленником APT32/OceanLotus. Вторжение, продолжавшееся не менее четырех лет, продемонстрировало различные совпадения с тактикой APT32/OceanLotus и целевой демографией. В ходе операций по поиску угроз команда Huntress выявила постоянные точки опоры и аномалии, что позволило отследить вторжение задолго до того, как был задействован их агент.
Дальнейшее расследование выявило сложные детали атаки, включая использование вредоносного файла Java Archive (JAR), загрузку встроенных библиотек DLL и запуск запланированных задач. Злоумышленник использовал различные методы, такие как использование законных двоичных файлов, создание ключей запуска, дополнительная загрузка вредоносных библиотек DLL и попытка повышения привилегий через именованные каналы. Злоумышленники также использовали инструменты и бэкдоры, связанные с Cobalt Strike, что указывает на сложную и упорную кампанию.
Анализ образцов вредоносных программ, связанных с APT32/OceanLotus, выявил передовые методы обфускации, такие как обфускация потока управления и разрешение API для расшифровки и внедрения. Вредоносная программа использовала специальные процедуры стеганографии, чтобы скрыть вредоносный код в файлах формата PNG, и при этом использовала множество бэкдоров для обеспечения доступа. Злоумышленники использовали определенные IP-адреса, домены, маскирующиеся под законные, и задачи DropboxUpdate для обмена данными и поддержания контроля над скомпрометированными системами.
Подозрительная активность включала создание нового сервиса для запуска вредоносных двоичных файлов, попытки кражи файлов cookie Google Chrome и подключения к IP-адресам сервера Cobalt Strike Team, подписанным сертификатами Let's Encrypt. Злоумышленники манипулировали памятью процесса, использовали rundll32 для выполнения DLL-файлов и использовали законные двоичные файлы для вредоносных действий. Целевая отрасль и демографическая группа организации-жертвы соответствовали известным целям APT32/OceanLotus, что указывает на целенаправленную и хорошо спланированную кампанию.
IP-адреса серверов Cobalt Strike Team были обнаружены в системах балансировки нагрузки Cloudflare, которые отображали определенные заголовки ответов, соответствующие взаимодействию с такими серверами. Злоумышленники продемонстрировали тонкое понимание скрытности и постоянства, используя сложные методы, позволяющие избежать обнаружения и сохранять доступ в течение длительного периода времени. Это вторжение продемонстрировало высокий уровень сложности и настойчивости, подчеркнув меняющийся ландшафт киберугроз и важность упреждающего поиска и анализа угроз для обнаружения и смягчения последствий таких вторжений.
Широкое совпадение с известными методами, инфраструктурой и инструментами APT32/OceanLotus подчеркивает необходимость постоянной бдительности и сбора информации об угрозах для борьбы с такими продвинутыми субъектами угроз, нацеленными на уязвимые организации и отдельных лиц, особенно в контексте защиты прав человека и журналистики.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается недавнее обнаружение охотниками за угрозами в Huntress долгосрочного взлома компьютера вьетнамского правозащитника, который, как предполагается, связан с злоумышленником APT32/OceanLotus. Вторжение продемонстрировало различные совпадения с тактикой APT32 /OceanLotus и целевой демографией, продемонстрировав изощренность и настойчивость. Злоумышленники использовали передовые методы, такие как стеганография, методы обфускации и обеспечение доступа с помощью нескольких бэкдоров. Подробный анализ подчеркивает необходимость постоянной бдительности и активного поиска угроз в отношении таких продвинутых субъектов, особенно в контексте защиты прав человека и журналистики.
-----
В тексте рассказывается о недавнем обнаружении охотниками за угрозами в Huntress долгосрочного вторжения в компьютер вьетнамского правозащитника, которое, как предполагается, связано с злоумышленником APT32/OceanLotus. Вторжение, продолжавшееся не менее четырех лет, продемонстрировало различные совпадения с тактикой APT32/OceanLotus и целевой демографией. В ходе операций по поиску угроз команда Huntress выявила постоянные точки опоры и аномалии, что позволило отследить вторжение задолго до того, как был задействован их агент.
Дальнейшее расследование выявило сложные детали атаки, включая использование вредоносного файла Java Archive (JAR), загрузку встроенных библиотек DLL и запуск запланированных задач. Злоумышленник использовал различные методы, такие как использование законных двоичных файлов, создание ключей запуска, дополнительная загрузка вредоносных библиотек DLL и попытка повышения привилегий через именованные каналы. Злоумышленники также использовали инструменты и бэкдоры, связанные с Cobalt Strike, что указывает на сложную и упорную кампанию.
Анализ образцов вредоносных программ, связанных с APT32/OceanLotus, выявил передовые методы обфускации, такие как обфускация потока управления и разрешение API для расшифровки и внедрения. Вредоносная программа использовала специальные процедуры стеганографии, чтобы скрыть вредоносный код в файлах формата PNG, и при этом использовала множество бэкдоров для обеспечения доступа. Злоумышленники использовали определенные IP-адреса, домены, маскирующиеся под законные, и задачи DropboxUpdate для обмена данными и поддержания контроля над скомпрометированными системами.
Подозрительная активность включала создание нового сервиса для запуска вредоносных двоичных файлов, попытки кражи файлов cookie Google Chrome и подключения к IP-адресам сервера Cobalt Strike Team, подписанным сертификатами Let's Encrypt. Злоумышленники манипулировали памятью процесса, использовали rundll32 для выполнения DLL-файлов и использовали законные двоичные файлы для вредоносных действий. Целевая отрасль и демографическая группа организации-жертвы соответствовали известным целям APT32/OceanLotus, что указывает на целенаправленную и хорошо спланированную кампанию.
IP-адреса серверов Cobalt Strike Team были обнаружены в системах балансировки нагрузки Cloudflare, которые отображали определенные заголовки ответов, соответствующие взаимодействию с такими серверами. Злоумышленники продемонстрировали тонкое понимание скрытности и постоянства, используя сложные методы, позволяющие избежать обнаружения и сохранять доступ в течение длительного периода времени. Это вторжение продемонстрировало высокий уровень сложности и настойчивости, подчеркнув меняющийся ландшафт киберугроз и важность упреждающего поиска и анализа угроз для обнаружения и смягчения последствий таких вторжений.
Широкое совпадение с известными методами, инфраструктурой и инструментами APT32/OceanLotus подчеркивает необходимость постоянной бдительности и сбора информации об угрозах для борьбы с такими продвинутыми субъектами угроз, нацеленными на уязвимые организации и отдельных лиц, особенно в контексте защиты прав человека и журналистики.
#ParsedReport #CompletenessLow
28-08-2024
Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks
https://www.netskope.com/blog/phishing-in-style-microsoft-sway-abused-to-deliver-quishing-attacks
Report completeness: Low
Threats:
Qshing_technique
Transparent_phishing_technique
Victims:
Users of microsoft 365, Users of microsoft office credentials
Industry:
Financial
Geo:
America, Asia
ChatGPT TTPs:
T1071.001, T1078, T1556.004, T1027
IOCs:
Domain: 5
Url: 15
Soft:
Google Chrome, Burpsuite
Links:
28-08-2024
Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks
https://www.netskope.com/blog/phishing-in-style-microsoft-sway-abused-to-deliver-quishing-attacks
Report completeness: Low
Threats:
Qshing_technique
Transparent_phishing_technique
Victims:
Users of microsoft 365, Users of microsoft office credentials
Industry:
Financial
Geo:
America, Asia
ChatGPT TTPs:
do not use without manual checkT1071.001, T1078, T1556.004, T1027
IOCs:
Domain: 5
Url: 15
Soft:
Google Chrome, Burpsuite
Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/MicrosoftSwayNetskope
Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks
Summary In July 2024, Netskope Threat Labs tracked a 2,000-fold increase in traffic to phishing pages delivered through Microsoft Sway. The majority of
CTT Report Hub
#ParsedReport #CompletenessLow 28-08-2024 Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks https://www.netskope.com/blog/phishing-in-style-microsoft-sway-abused-to-deliver-quishing-attacks Report completeness: Low Threats: Qshing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, нацеленными на Microsoft Sway, в основном использующими "квишинг" с помощью QR-кодов для обмана пользователей с целью получения доступа к вредоносным веб-сайтам и кражи учетных данных, особенно в Азии и Северной Америке, уделяя особое внимание технологиям, производству и Финансовые секторы. Злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile, чтобы обойти меры безопасности и сохранить репутацию домена. Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам и сохранять бдительность в отношении подобных фишинговых кампаний.
-----
В июле 2024 года лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, использующими Microsoft Sway, при этом трафик на фишинговые страницы увеличился в 2000 раз. В этих кампаниях в основном использовалась форма фишинга, называемая "Квишинг", которая заключалась в том, что пользователи обманом получали доступ к вредоносным веб-сайтам с помощью QR-кодов, встроенных в документы. Жертвы в основном находились в Азии и Северной Америке, особенно в таких секторах, как технологии, производство и финансы.
Злоумышленники инструктировали жертв сканировать QR-коды с помощью мобильных устройств, исходя из предположения, что личные устройства могут иметь более слабые меры безопасности по сравнению с корпоративными, что облегчает неограниченный доступ к фишинговым сайтам. Для повышения эффективности своих кампаний злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile. Благодаря прозрачному фишингу жертвы просматривали контент, идентичный легальным страницам входа в систему, что потенциально позволяло обойти такие меры безопасности, как многофакторная аутентификация. Турникет Cloudflare был использован для сокрытия фишинговой информации от сканеров статического контента, что позволило сохранить репутацию домена.
Фишинговые кампании использовали Microsoft Sway, облачное приложение, предназначенное для обмена креативным контентом, для перенаправления пользователей на фишинговые страницы с помощью QR-кодов. Эти страницы имитировали законные страницы входа в Microsoft 365 для сбора учетных данных пользователей. Используя Google Chrome и QR Code Generator PRO, злоумышленники генерировали QR-коды для перенаправления жертв на вредоносные сайты. Кроме того, в некоторых кампаниях использовался Cloudflare Turnstile для защиты фишинговых данных от онлайн-сканеров, что не позволяло службам фильтрации помечать домен.
После прохождения проверки с помощью CAPTCHA с помощью Turnstile фишинговые страницы использовали прозрачную технологию фишинга, копируя законные страницы входа в систему Microsoft 365 для сбора учетных данных. Этот метод, известный как фишинг "атакующий посередине", не только собирает учетные данные, но и пытается ввести жертвы в систему, захватывая многофакторные коды и токены, которые могут быть использованы злоумышленниками для дальнейшей эксплуатации.
Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам, связанным с влиянием Microsoft. Поскольку злоумышленники постоянно совершенствуют свои методы, защитники должны сохранять бдительность и соответствующим образом обновлять меры безопасности. Лаборатория Netskope Threat Labs взяла на себя обязательства по мониторингу вредоносных действий, направленных против Microsoft Sway, и посоветовала организациям убедиться, что они хорошо подготовлены к обнаружению и предотвращению подобных фишинговых кампаний в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, нацеленными на Microsoft Sway, в основном использующими "квишинг" с помощью QR-кодов для обмана пользователей с целью получения доступа к вредоносным веб-сайтам и кражи учетных данных, особенно в Азии и Северной Америке, уделяя особое внимание технологиям, производству и Финансовые секторы. Злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile, чтобы обойти меры безопасности и сохранить репутацию домена. Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам и сохранять бдительность в отношении подобных фишинговых кампаний.
-----
В июле 2024 года лаборатория Netskope Threat Labs зафиксировала значительный рост вредоносных действий, связанных с фишинговыми кампаниями, использующими Microsoft Sway, при этом трафик на фишинговые страницы увеличился в 2000 раз. В этих кампаниях в основном использовалась форма фишинга, называемая "Квишинг", которая заключалась в том, что пользователи обманом получали доступ к вредоносным веб-сайтам с помощью QR-кодов, встроенных в документы. Жертвы в основном находились в Азии и Северной Америке, особенно в таких секторах, как технологии, производство и финансы.
Злоумышленники инструктировали жертв сканировать QR-коды с помощью мобильных устройств, исходя из предположения, что личные устройства могут иметь более слабые меры безопасности по сравнению с корпоративными, что облегчает неограниченный доступ к фишинговым сайтам. Для повышения эффективности своих кампаний злоумышленники использовали такие методы, как прозрачный фишинг и Cloudflare Turnstile. Благодаря прозрачному фишингу жертвы просматривали контент, идентичный легальным страницам входа в систему, что потенциально позволяло обойти такие меры безопасности, как многофакторная аутентификация. Турникет Cloudflare был использован для сокрытия фишинговой информации от сканеров статического контента, что позволило сохранить репутацию домена.
Фишинговые кампании использовали Microsoft Sway, облачное приложение, предназначенное для обмена креативным контентом, для перенаправления пользователей на фишинговые страницы с помощью QR-кодов. Эти страницы имитировали законные страницы входа в Microsoft 365 для сбора учетных данных пользователей. Используя Google Chrome и QR Code Generator PRO, злоумышленники генерировали QR-коды для перенаправления жертв на вредоносные сайты. Кроме того, в некоторых кампаниях использовался Cloudflare Turnstile для защиты фишинговых данных от онлайн-сканеров, что не позволяло службам фильтрации помечать домен.
После прохождения проверки с помощью CAPTCHA с помощью Turnstile фишинговые страницы использовали прозрачную технологию фишинга, копируя законные страницы входа в систему Microsoft 365 для сбора учетных данных. Этот метод, известный как фишинг "атакующий посередине", не только собирает учетные данные, но и пытается ввести жертвы в систему, захватывая многофакторные коды и токены, которые могут быть использованы злоумышленниками для дальнейшей эксплуатации.
Защитникам было рекомендовано адаптировать свои средства контроля безопасности для противодействия этим растущим угрозам, связанным с влиянием Microsoft. Поскольку злоумышленники постоянно совершенствуют свои методы, защитники должны сохранять бдительность и соответствующим образом обновлять меры безопасности. Лаборатория Netskope Threat Labs взяла на себя обязательства по мониторингу вредоносных действий, направленных против Microsoft Sway, и посоветовала организациям убедиться, что они хорошо подготовлены к обнаружению и предотвращению подобных фишинговых кампаний в будущем.
#ParsedReport #CompletenessMedium
28-08-2024
Technical Analysis of Copybara
https://www.zscaler.com/blogs/security-research/technical-analysis-copybara
Report completeness: Medium
Threats:
Copybara
Credential_stealing_technique
Industry:
Iot
Geo:
Italy, Spain
ChatGPT TTPs:
T1071.001, T1202, T1546.008, T1056.001, T1113, T1123
IOCs:
File: 2
Hash: 79
IP: 14
Url: 44
Soft:
Android, Google Chrome
Algorithms:
zip
28-08-2024
Technical Analysis of Copybara
https://www.zscaler.com/blogs/security-research/technical-analysis-copybara
Report completeness: Medium
Threats:
Copybara
Credential_stealing_technique
Industry:
Iot
Geo:
Italy, Spain
ChatGPT TTPs:
do not use without manual checkT1071.001, T1202, T1546.008, T1056.001, T1113, T1123
IOCs:
File: 2
Hash: 79
IP: 14
Url: 44
Soft:
Android, Google Chrome
Algorithms:
zip
Zscaler
Technical Analysis of Copybara | ThreatLabz
Copybara is an Android trojan with keylogging, audio & video recording, SMS hijacking, screen capturing, credential stealing, and remotely controlling an infected device.
CTT Report Hub
#ParsedReport #CompletenessMedium 28-08-2024 Technical Analysis of Copybara https://www.zscaler.com/blogs/security-research/technical-analysis-copybara Report completeness: Medium Threats: Copybara Credential_stealing_technique Industry: Iot Geo: Italy…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе нового варианта вредоносного ПО для Android Copybara, которое в основном распространяется с помощью голосовых фишинговых атак и использует протокол MQTT для связи со своим сервером управления. Вредоносная программа способна осуществлять кейлоггинг, аудио- и видеозапись, перехват SMS-сообщений, захват экрана и кражу учетных данных, нацеливаясь на криптовалютные биржи и финансовые учреждения в Италии и Испании.
-----
Zscaler ThreatLabZ недавно проанализировал новый вариант Copybara, семейства вредоносных программ для Android, которое впервые появилось в ноябре 2021 года. Этот новый вариант Copybara, действующий с ноября 2023 года, в основном распространяется посредством голосовых фишинговых атак (вишинга), когда жертвы получают по телефону инструкции по установке вредоносного ПО для Android. Вредоносная программа использует протокол MQTT для связи со своим сервером управления (C2) и злоупотребляет функцией специальных возможностей на устройствах Android для осуществления контроля над зараженным устройством.
Вредоносная программа загружает фишинговые страницы, имитирующие популярные криптовалютные биржи и финансовые учреждения, чтобы обманом заставить жертв ввести свои учетные данные. Последняя версия Copybara включает в себя 59 поддерживаемых команд и способна осуществлять кейлоггинг, аудио- и видеозапись, перехват SMS-сообщений, захват экрана, кражу учетных данных и удаленное управление зараженным устройством. Вредоносная программа часто выдает себя за известные финансовые учреждения в Италии и Испании и использует логотипы и названия приложений этих учреждений, чтобы обмануть жертв.
Заметным дополнением в этом варианте является использование протокола MQTT для обмена данными, предназначенного для эффективной связи между устройствами с ограниченными ресурсами, что обычно используется в контексте Интернета вещей (IoT). Copybara использует платформу B4A, надежный инструмент для создания приложений для Android. После установки вредоносная программа запрашивает у пользователей разрешение службы специальных возможностей в качестве законного запроса, но это разрешение предоставляет вредоносной программе полный контроль над устройством. Если разрешение не предоставлено, вредоносная программа отображает уведомления, чтобы заставить пользователей включить его, и ограничивает доступ к настройкам, чтобы предотвратить удаление.
Сервер C2 отправляет ZIP-файлы, содержащие поддельные страницы входа в систему, для фишинговых операций, имитирующих популярные биржи и финансовые учреждения. В ходе анализа исследователи выявили два действующих сервера C2, которые активно обслуживают эти обманчивые страницы. Copybara устанавливает связь с сервером C2 через сервер MQTT на порту 52997, подписываясь на указанную очередь для получения команд. Вредоносная программа нацелена на кражу конфиденциальной информации путем обмана пользователей, которые вводят свои учетные данные на этих фишинговых страницах.
Основными целями Copybara являются криптовалютные биржи и финансовые учреждения в Италии и Испании, которые используют различные тактики для обмана пользователей и получения несанкционированного доступа к их учетным записям. Хотя основной целью является кража учетных данных, широкие возможности вредоносного ПО делают его серьезной угрозой для злоумышленников, проводящих целенаправленные атаки. Троянец может записывать аудио/ видео, захватывать экраны, перехватывать SMS-сообщения и осуществлять контроль над зараженным устройством, создавая серьезную угрозу конфиденциальности и безопасности пользователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе нового варианта вредоносного ПО для Android Copybara, которое в основном распространяется с помощью голосовых фишинговых атак и использует протокол MQTT для связи со своим сервером управления. Вредоносная программа способна осуществлять кейлоггинг, аудио- и видеозапись, перехват SMS-сообщений, захват экрана и кражу учетных данных, нацеливаясь на криптовалютные биржи и финансовые учреждения в Италии и Испании.
-----
Zscaler ThreatLabZ недавно проанализировал новый вариант Copybara, семейства вредоносных программ для Android, которое впервые появилось в ноябре 2021 года. Этот новый вариант Copybara, действующий с ноября 2023 года, в основном распространяется посредством голосовых фишинговых атак (вишинга), когда жертвы получают по телефону инструкции по установке вредоносного ПО для Android. Вредоносная программа использует протокол MQTT для связи со своим сервером управления (C2) и злоупотребляет функцией специальных возможностей на устройствах Android для осуществления контроля над зараженным устройством.
Вредоносная программа загружает фишинговые страницы, имитирующие популярные криптовалютные биржи и финансовые учреждения, чтобы обманом заставить жертв ввести свои учетные данные. Последняя версия Copybara включает в себя 59 поддерживаемых команд и способна осуществлять кейлоггинг, аудио- и видеозапись, перехват SMS-сообщений, захват экрана, кражу учетных данных и удаленное управление зараженным устройством. Вредоносная программа часто выдает себя за известные финансовые учреждения в Италии и Испании и использует логотипы и названия приложений этих учреждений, чтобы обмануть жертв.
Заметным дополнением в этом варианте является использование протокола MQTT для обмена данными, предназначенного для эффективной связи между устройствами с ограниченными ресурсами, что обычно используется в контексте Интернета вещей (IoT). Copybara использует платформу B4A, надежный инструмент для создания приложений для Android. После установки вредоносная программа запрашивает у пользователей разрешение службы специальных возможностей в качестве законного запроса, но это разрешение предоставляет вредоносной программе полный контроль над устройством. Если разрешение не предоставлено, вредоносная программа отображает уведомления, чтобы заставить пользователей включить его, и ограничивает доступ к настройкам, чтобы предотвратить удаление.
Сервер C2 отправляет ZIP-файлы, содержащие поддельные страницы входа в систему, для фишинговых операций, имитирующих популярные биржи и финансовые учреждения. В ходе анализа исследователи выявили два действующих сервера C2, которые активно обслуживают эти обманчивые страницы. Copybara устанавливает связь с сервером C2 через сервер MQTT на порту 52997, подписываясь на указанную очередь для получения команд. Вредоносная программа нацелена на кражу конфиденциальной информации путем обмана пользователей, которые вводят свои учетные данные на этих фишинговых страницах.
Основными целями Copybara являются криптовалютные биржи и финансовые учреждения в Италии и Испании, которые используют различные тактики для обмана пользователей и получения несанкционированного доступа к их учетным записям. Хотя основной целью является кража учетных данных, широкие возможности вредоносного ПО делают его серьезной угрозой для злоумышленников, проводящих целенаправленные атаки. Троянец может записывать аудио/ видео, захватывать экраны, перехватывать SMS-сообщения и осуществлять контроль над зараженным устройством, создавая серьезную угрозу конфиденциальности и безопасности пользователей.
#ParsedReport #CompletenessHigh
29-08-2024
The Malware That Must Not Be Named: Suspected Espionage Campaign Delivers "Voldemort"
https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort
Report completeness: High
Threats:
Voldemort
Cobalt_strike
Dll_hijacking_technique
Dumpulator_tool
Dll_sideloading_technique
Industry:
Transport, Education, Government, Financial, Aerospace
Geo:
The uk, India, Italy, France, Japan, The us, Asia, Germany
ChatGPT TTPs:
T1071.001, T1027, T1071.003, T1566.001, T1204.002, T1036.005, T1043
IOCs:
Domain: 9
File: 13
Url: 18
Path: 1
Hash: 5
Soft:
InfinityFree, Windows Explorer, TryCloudflare, Windows Search, Microsoft search, OpenWRT
Algorithms:
xor, des, rc4, sha256, zip, base64
Functions:
within
Languages:
python, javascript, powershell
Platforms:
x86, x64
Links:
29-08-2024
The Malware That Must Not Be Named: Suspected Espionage Campaign Delivers "Voldemort"
https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort
Report completeness: High
Threats:
Voldemort
Cobalt_strike
Dll_hijacking_technique
Dumpulator_tool
Dll_sideloading_technique
Industry:
Transport, Education, Government, Financial, Aerospace
Geo:
The uk, India, Italy, France, Japan, The us, Asia, Germany
ChatGPT TTPs:
do not use without manual checkT1071.001, T1027, T1071.003, T1566.001, T1204.002, T1036.005, T1043
IOCs:
Domain: 9
File: 13
Url: 18
Path: 1
Hash: 5
Soft:
InfinityFree, Windows Explorer, TryCloudflare, Windows Search, Microsoft search, OpenWRT
Algorithms:
xor, des, rc4, sha256, zip, base64
Functions:
within
Languages:
python, javascript, powershell
Platforms:
x86, x64
Links:
https://github.com/mrexodiahttps://github.com/mrexodia/dumpulatorProofpoint
New Voldemort Malware Espionage Campaign | Proofpoint US
Learn how to defend yourself from the Voldemort malware campaign’s espionage with Proofpoint. Protect yourself from Chinese spyware threats.