#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft наблюдала за спонсируемым иранским государством злоумышленником Peach Sandstorm, участвующим в кибероперациях с помощью нового пользовательского многоступенчатого бэкдора под названием Tickler. "Персиковая песчаная буря" была нацелена на различные секторы, такие как спутниковая связь, оборудование для связи, нефть и газ, а также государственные учреждения в Соединенных Штатах и Объединенных Арабских Эмиратах, что соответствовало их постоянным целям сбора разведывательной информации. Корпорация Майкрософт активно отслеживает действия Peach Sandstorm, пресекает вредоносные операции и обращает внимание на эволюционирующую тактику злоумышленников, направленную на повышение осведомленности и усиление защиты от них и подобных злоумышленников.
-----

В период с апреля по июль 2024 года было замечено, что иранский государственный агент Peach Sandstorm проводит кибероперации, используя новый пользовательский многоступенчатый бэкдор под названием Tickler.

Tickler использовался для проведения атак, нацеленных на такие сектора, как спутниковая связь, оборудование связи, нефть и газ, а также федеральные учреждения и органы управления штатов в Соединенных Штатах и Объединенных Арабских Эмиратах.

Peach Sandstorm продолжала проводить атаки с использованием паролей в различных секторах, включая образование, спутниковую, правительственную и оборонную промышленность, для сбора разведданных.

Peach Sandstorm действует от имени иранского корпуса стражей исламской революции (КСИР) с целью содействия сбору разведывательных данных в поддержку государственных интересов Ирана.

Злоумышленник использовал инфраструктуру Azure для целей управления (C2), используя поддельные подписки, контролируемые злоумышленником.

Peach Sandstorm продемонстрировала отличные возможности бокового перемещения и использовала такие методы, как боковое перемещение малого и среднего бизнеса в скомпрометированных сетях.

Аналитические материалы Microsoft threat intelligence направлены на повышение осведомленности и оказание помощи организациям в усилении их защиты от Peach Sandstorm и аналогичных угроз.

#ParsedReport #CompletenessMedium
30-08-2024

State-backed attackers and commercial surveillance vendors repeatedly use the same exploits

https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: government_sponsored)

Threats:
Intellexa
Watering_hole_technique
Validvictor
Cookiesnatch
Androsnatch

Victims:
Mongolian government websites, Cabinet.gov.mn, Mfa.gov.mn

Industry:
Government

Geo:
Mongolian, Russian

CVEs:
CVE-2024-5274 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.112)

CVE-2023-41993 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<17.0.1)
- apple iphone os (<17.0.1)
- apple macos (<14.0)

CVE-2024-4671 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<124.0.6367.201)

CVE-2021-1879 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<14.4.2)
- apple iphone os (<12.5.2, <14.4.2)
- apple watchos (<7.3.3)

CVE-2021-37973 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<94.0.4606.61)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1189, T1555.003, T1574.002

IOCs:
Domain: 2
Url: 3
File: 1
Hash: 4

Soft:
Chrome, Android, Google Chrome, Gmail, outlook, Jenkins

Algorithms:
aes, ecdh

Languages:
javascript

Platforms:
apple

Links:
https://github.com/WebKit/WebKit/blob/88278b55563e5ccdc0b3419c6c391c3becc19e40/Source/WebCore/dom/Document.h#L1728

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке на правительственные веб-сайты Монголии, приписываемой поддерживаемой Россией группе APT29, с использованием эксплойтов, нацеленных на уязвимости iOS WebKit и Chrome. Эти атаки были связаны с использованием уязвимостей, схожих с эксплойтами, используемыми Intellexa и NSO, и продемонстрировали высокий уровень координации и технического мастерства. Для защиты от подобных угроз необходимы эффективные стратегии противодействия, такие как оперативное внесение исправлений и усиленные меры безопасности.
-----

В последнем отчете об эксплойтах за последний день сообщается о кибератаке на правительственные веб-сайты Монголии, которую приписывают поддерживаемой Россией APT29, и которая имеет сходство с эксплойтами, используемыми Intellexa и NSO. Группа анализа угроз Google (TAG) в период с ноября 2023 по июль 2024 года выявила многочисленные кампании по использованию уязвимостей, которые были связаны с хакерской атакой на правительственные веб-сайты Монголии. Целью атак были уязвимости iOS WebKit и Chrome, которые использовались для использования устройств с устаревшими версиями программного обеспечения. Несмотря на наличие исправлений, незащищенные устройства оставались уязвимыми. С умеренной степенью уверенности можно предположить, что эти кампании связаны с APT29, и злоумышленники использовали эксплойты, аналогичные тем, которые используются коммерческими поставщиками систем видеонаблюдения.

Атака watering hole затронула такие веб-сайты, как cabinet.gov.mn и mfa.gov.mn, загрузив скрытые iframe-файлы с доменов, контролируемых злоумышленниками, таких как track-adv.com. Уязвимости были нацелены на пользователей iPhone с версиями iOS старше 16.6.1 и пользователей Android с определенными версиями Chrome. Злоумышленники использовали фреймворк для кражи файлов cookie для извлечения данных из браузера и использовали разведывательную полезную нагрузку для точной идентификации целевых устройств.

Эксплойты для iOS, обнаруженные APT29, напоминали предыдущие атаки, которые были зафиксированы Google TAG, что указывает на постоянную угрозу, использующую известные уязвимости для вредоносных действий. Злоумышленники использовали сложные методы для сбора информации об устройстве и утечки конфиденциальных данных. Кампании продемонстрировали высокий уровень координации и технического мастерства, продемонстрировав эволюционирующую тактику участников угроз по использованию уязвимостей нулевого дня.

Хотя точный источник этих эксплойтов остается неясным, использование известных уязвимостей, первоначально обнаруженных коммерческими поставщиками систем видеонаблюдения, подчеркивает риски, связанные с распространением продвинутых эксплойтов для злоумышленников. Атаки, подобные тем, что наблюдались в этом инциденте, подчеркивают постоянную угрозу, исходящую от изощренных киберкампаний, нацеленных на государственные учреждения и другие важные объекты. Эффективные стратегии смягчения последствий, включая оперативное исправление и усиленные меры безопасности, имеют решающее значение для защиты от таких угроз.

#ParsedReport #CompletenessHigh
30-08-2024

Stone Wolf Attacks Russian Companies with Meduza Stealer

https://bi.zone/expertise/blog/stone-wolf-atakuet-rossiyskie-kompanii-stilerom-meduza

Report completeness: High

Actors/Campaigns:
Stone_wolf (motivation: cyber_criminal)

Threats:
Meduza
In2al5d_p3in4er
Spear-phishing_technique

Geo:
Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
Registry: 1
File: 4
Url: 2
Hash: 36
IP: 2

Soft:
Outlook, Chrome, Telegram, Discord, 1Password, SMB server

Wallets:
coinomi, exodus_wallet

Crypto:
ethereum

Algorithms:
aes

Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении новой киберпреступной кампании под названием Stone Wolf, которая использует фишинговые электронные письма, выдавая себя за законные организации, для распространения вредоносного ПО Meduza stealer. Злоумышленники используют репутацию известных брендов, чтобы обманом заставить жертв взаимодействовать с вредоносным контентом, красть конфиденциальные данные из корпоративных сетей и расширять возможности своих вредоносных программ. В тексте подчеркивается важность анализа угроз, упреждающего мониторинга и обучения персонала для защиты организаций от подобных киберугроз.
-----

В тексте описывается новый вид киберпреступной деятельности, направленный на фишинговые кампании с использованием бренда законной организации для привлечения жертв к переходу по вредоносным ссылкам и загрузке вредоносного ПО. Эта конкретная кампания, известная как Stone Wolf, включает рассылку фишинговых электронных писем от имени организации, занимающейся промышленной автоматизацией, для распространения программы Meduza stealer в корпоративных сетях. Злоумышленники используют репутацию и узнаваемость брендов известных организаций, чтобы повысить вероятность взаимодействия жертв с вредоносным контентом.

Злоумышленники используют различные тактики для обмана пользователей, такие как использование узнаваемых логотипов и элементов фирменного стиля, чтобы завоевать доверие и побудить жертв открывать электронные письма и вложения. Смешивая вредоносные файлы с законными документами, злоумышленники стремятся отвлечь жертв и увеличить шансы на успешное проникновение. Кроме того, киберпреступники расширяют возможности своего вредоносного ПО, приобретая такие инструменты, как Meduza stealer, на теневых ресурсах, где они доступны по цене от ежемесячной подписки до бессрочных лицензий.

Программа Meduza stealer, представленная в июне 2023 года, собирает обширную системную информацию, включая сведения об операционной системе, технические характеристики устройств, информацию о процессоре и графическом адаптере, разрешение экрана, скриншоты и внешние IP-адреса. Вредоносная программа передает эти конфиденциальные данные на удаленный сетевой ресурс, что облегчает несанкционированный доступ и потенциальную кражу данных. Кроме того, в тексте приведены технические подробности о том, как работает вредоносная программа, включая загрузку файлов с удаленных серверов, выполнение команд и шифрование полезной нагрузки, чтобы избежать обнаружения.

Для обнаружения и устранения таких угроз специалисты BI.ZONE Threat Intelligence подчеркивают важность получения информации о развивающихся киберугрозах и тактиках, используемых злоумышленниками. Они рекомендуют использовать порталы threat intelligence для доступа к актуальной информации о кибератаках, субъектах угроз, тактике, методах и инструментах. Благодаря активному мониторингу и пониманию ситуации с киберугрозами организации могут усилить свою защиту от кибербезопасности, ускорить реагирование на инциденты и защититься от сложных угроз, таких как кампания Meduza stealer.

В тексте излагаются основные выводы, связанные с кампанией Stone Wolf, приводятся подробные сведения о показателях компрометации, содержатся ссылки на систему обнаружения угроз MITRE ATT&CK и рекомендации по защите организаций от аналогичных фишинговых атак и проникновения вредоносных программ. Это подчеркивает острую необходимость постоянного обучения персонала передовым методам обеспечения кибербезопасности, чтобы не стать жертвой фишинговых атак и тактики распространения вредоносных программ, применяемой киберпреступниками.

#ParsedReport #CompletenessMedium
29-08-2024

#StopRansomware: RansomHub Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a

Report completeness: Medium

Actors/Campaigns:
Ransomhub (motivation: financially_motivated)

Threats:
Cyclops_ransomware
Lockbit
Blackcat
Password_spray_technique
Zerologon_vuln
Angryipscanner_tool
Nmap_tool
Mimikatz_tool
Cobalt_strike
Anydesk_tool
Connectwise_rat
Metasploit_tool
Plink_tool
Shadow_copies_delete_technique
Bitsadmin_tool
Sliver_c2_tool
Smbexec_tool
Crackmapexec_tool
Kerberoasting_technique
Qakbot
Spear-phishing_technique
Credential_dumping_technique

Industry:
Transport, Critical_infrastructure, Healthcare, Software_development, Government, Foodtech

CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1709 (-)
- microsoft windows 10 1803 (-)
- microsoft windows 10 1809 (-)
have more...
CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2023-22515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.3.3, <8.4.3, <8.5.2)
- atlassian confluence server (<8.3.3, <8.4.3, <8.5.2)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


TTPs:
Tactics: 12
Technics: 23

IOCs:
File: 18
Path: 8
IP: 8
Url: 91
Email: 1

Soft:
ActiveMQ, Confluence, BIG-IP, Windows SMB, PsExec, WinSCP, macOS, Active Directory

Crypto:
bitcoin

Win Services:
ocautoupds, ocomm, ocssd, synctime, xfssvccon, agntsvc, dbeng50, BITS

Languages:
java, powershell

Platforms:
cross-platform, x86

Links:
https://github.com/cisagov/cset/releases/tag/v10.3.0.0
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от программы-вымогателя RansomHub, варианта программы-вымогателя как услуги, предназначенного для критически важных секторов инфраструктуры. В нем подробно описывается тактика, используемая аффилированными лицами RansomHub, включая модель двойного вымогательства, методы компрометации, методы утечки данных, алгоритмы шифрования и инструменты, используемые для вредоносных действий. Также обсуждаются меры по снижению рисков для организаций, а также важность внедрения средств защиты в программное обеспечение и многофакторной аутентификации. Кроме того, в тексте упоминается инициатива #StopRansomware и важность оперативного сообщения в случае инцидента с программой-вымогателем.
-----

В тексте обсуждается угроза, исходящая от программы-вымогателя RansomHub, разновидности программы-вымогателя как услуги, которая с февраля 2024 года нацелена на различные сектора критически важной инфраструктуры. Филиалы RansomHub используют модель двойного вымогательства, шифруя системы и выводя данные для вымогательства у жертв. Как правило, они предоставляют жертвам инструкции связаться с ними через уникальный URL-адрес .onion в браузере Tor и указывают крайний срок для выплаты выкупа, прежде чем данные будут опубликованы на сайте утечки данных RansomHub Tor.

Аффилированные лица RansomHub используют различные методы, такие как фишинговые письма, использование известных уязвимостей и разбазаривание паролей, для взлома систем и конечных точек. Они используют такие инструменты, как AngryIPScanner, Nmap и PowerShell, для сканирования сети и использования автономных технологий. Кроме того, они используют такие инструменты, как Mimikatz, для сбора учетных данных и горизонтального перемещения с помощью таких методов, как протокол удаленного рабочего стола и PsExec.

Методы фильтрации данных зависят от партнера и могут включать такие инструменты, как PuTTY, Amazon AWS S3 buckets, HTTP POST-запросы, WinSCP, Rclone, Cobalt Strike и Metasploit. Программа-вымогатель RansomHub обычно использует алгоритм шифрования по эллиптической кривой для периодического шифрования доступных пользователю файлов по частям, добавляя дополнительные данные в конце файлов.

Аффилированные лица используют законные инструменты, предназначенные для вредоносных действий, включая BITSAdmin, Cobalt Strike, Mimikatz, PsExec, PowerShell, RClone, AngryIPScanner и другие. Меры по снижению рисков, рекомендуемые организациям, включают внедрение более длинных паролей, своевременное исправление уязвимостей, сегментацию сети, средства обнаружения конечных точек и реагирования на них, безопасное ведение журнала и автономное резервное копирование с использованием шифрования.

В тексте подчеркивается важность того, чтобы производители программного обеспечения внедряли безопасность в архитектуру своих продуктов на протяжении всего жизненного цикла разработки программного обеспечения и требовали многофакторной аутентификации (MFA), особенно защищенной от фишинга, для привилегированных пользователей.

В нем также упоминается общегосударственный подход под названием #StopRansomware, который предоставляет ресурсы и оповещения для снижения риска атак программ-вымогателей. Хотя это и не рекомендуется, в случае инцидента с программой-вымогателем настоятельно рекомендуется незамедлительно сообщить об этом в ФБР, CISA или другие соответствующие органы, чтобы снизить дальнейшие риски, связанные с выплатой выкупа.

#ParsedReport #CompletenessLow
30-08-2024

Beware the Unpatchable: Corona Mirai Botnet Spreads via Zero-Day

https://www.akamai.com/blog/security-research/2024/aug/2024-corona-mirai-botnet-infects-zero-day-sirt

Report completeness: Low

Threats:
Mirai

Victims:
Avtech cctv cameras, Avtech ip camera devices, Huawei devices

Industry:
Transport, Critical_infrastructure

CVEs:
CVE-2024-7029 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)


ChatGPT TTPs:
do not use without manual check
T1105, T1071

IOCs:
File: 1
IP: 13
Hash: 25

Soft:
Hadoop

Algorithms:
sha256

Languages:
javascript

Platforms:
mips, x86

Links:
https://github.com/R00tS3c/DDOS-RootSec/blob/master/Botnets/Exploits/avtech.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Akamai Security Intelligence and Response Team выявила кампанию ботнета, использующую множество уязвимостей, включая уязвимость нулевого дня под названием CVE-2024-7029, предназначенную для камер закрытого телевидения (CCTV) AVTECH и другие уязвимости. Кампания способствует распространению вируса Mirai, аналогичного вирусу COVID-19, и подчеркивает необходимость принятия упреждающих мер безопасности для смягчения киберугроз.
-----

Команда Akamai Security Intelligence and Response Team (SIRT) выявила кампанию ботнета, использующую множество уязвимостей, включая уязвимость нулевого дня CVE-2024-7029, обнаруженную Алиной Элиович. Эта уязвимость влияет на функцию яркости камер видеонаблюдения AVTECH, позволяя выполнять удаленное выполнение кода (RCE) и способствуя распространению варианта Mirai, связанного с вирусом COVID-19. Кампания, которая началась 18 марта 2024 года, была нацелена на различные уязвимости, помимо CVE-2024-7029, такие как уязвимости AVTECH, RCE Hadoop YARN, CVE-2014-8361 и CVE-2017-17215, что указывает на тактику использования старых, не исправленных уязвимостей для вредоносных действий.

Уязвимость, связанная с внедрением команд в устройства с IP-камерами AVTECH, позволяет злоумышленникам удаленно выполнять команды с повышенными привилегиями, используя слабые места в системе. Несмотря на то, что уязвимая модель была снята с производства, устройства продолжают использоваться по всему миру, в том числе в критически важных инфраструктурных установках. Ботнет, связанный с этой кампанией, вероятно, использует вариант Corona Mirai, подключаясь к хостам через Telnet через определенные порты и отображая строку "Corona" на зараженных хостах. Кроме того, вредоносная программа нацелена на устройства Huawei, зараженные CVE-2017-17215, с помощью жестко запрограммированных IP-адресов управления.

В отчете подчеркивается важность устранения уязвимостей даже без официального назначения CVE, поскольку участники угроз все чаще используют новые или менее известные уязвимости для продвижения своей вредоносной деятельности. Akamai SIRT сохраняет бдительность в мониторинге и представлении отчетов о возникающих угрозах, таких как CVE-2024-7029, для защиты клиентов, сотрудников и всего сообщества специалистов по безопасности. Заинтересованные стороны могут быть в курсе последних обновлений, подписавшись на Akamai SIRT в социальных сетях или зайдя на их страницу исследований в области безопасности.

Таким образом, выводы Akamai SIRT свидетельствуют об использовании CVE-2024-7029 и других уязвимостей в ботнет-кампании, что подчеркивает важность упреждающих мер безопасности для смягчения киберугроз и защиты систем от злоумышленников.

#ParsedReport #CompletenessMedium
30-08-2024

Deep Analysis of Snake Keylogger s New Variant

https://www.fortinet.com/blog/threat-research/deep-analysis-of-snake-keylogger-new-variant

Report completeness: Medium

Threats:
Snake_keylogger
Kraken_keylogger
Process_hollowing_technique

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.007, T1059.005, T1059.001, T1105, T1055.012, T1140, T1113, T1056.001, have more...

IOCs:
File: 12
Url: 3
Hash: 4

Soft:
Pidgin, Discord, Net Framework, Task Scheduler, Google Chrome, Amigo, Kometa, Nichrome, CocCoc, Orbitum, have more...

Algorithms:
base64, sha256

Functions:
URLDownloadToFile, ReadOnly, ZwUnmapViewOfSection, Send

Win API:
CreateProcess, VirtualAllocEx, ReadProcessMemory, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread

Languages:
powershell, swift, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фишинговая кампания, обнаруженная FortiGuard Labs из Fortinet, направленная на распространение нового варианта кейлоггера Snake, нацеленного на жертв с помощью вредоносных документов Excel и использующего уязвимости для загрузки и запуска кейлоггера. Возможности кейлоггера Snake включают в себя сбор конфиденциальной информации, такой как учетные данные, и использование различных механизмов, позволяющих избежать обнаружения, включая запланированные задачи и блокировку процессов. Кроме того, кейлоггер может передавать украденные данные злоумышленнику по различным каналам, причем примечательной особенностью является предотвращение передачи данных, если IP-адрес жертвы совпадает с определенными жестко заданными IP-адресами.
-----

Анализ, проведенный FortiGuard Labs, подразделением Fortinet, выявил фишинговую кампанию, направленную на распространение нового варианта кейлоггера Snake, также известного как "404 кейлоггер" или "KrakenKeylogger". Snake Keylogger - это кейлоггер на основе подписки с различными возможностями, первоначально продававшийся на хакерском форуме. Фишинговое электронное письмо, связанное с этой кампанией, обманом заставляет получателей открыть вредоносный документ Excel под названием "swift copy.xls " ложно утверждая, что средства были переведены на их счет. Однако сервис FortiGuard распознает эту попытку фишинга как вирус, подчеркивая вредоносный характер электронного письма.

При проверке файла Excel было обнаружено, что он содержит встроенный объект link, использующий уязвимость CVE-2017-0199 для загрузки вредоносного файла с "hxxp://urlty.co/byPCO". Загруженный файл 107.hta содержит запутанный код JavaScript, который при расшифровке обнаруживает код VBScript, выполняющий команды PowerShell для загрузки и запуска исполняемого файла (sahost.exe) с определенного URL-адреса. Этот исполняемый файл оказался модулем загрузки, содержащим новый вариант кейлоггера Snake.

Чтобы избежать обнаружения, sahost.exe использует многоуровневые механизмы защиты, такие как преобразование и шифрование именованных ресурсов. Он извлекает различные модули (библиотеки dll) в память, чтобы обеспечить проникновение и развертывание основного модуля Snake Keylogger. Модуль развертывания внутри sahost.exe выполняет удаление процесса, что позволяет скрыть его присутствие, и создает запланированную задачу для запуска Snake Keylogger при запуске системы. Он расшифровывает и развертывает основной модуль Snake Keylogger, используя определенный строковый ключ.

Основной модуль Snake Keylogger предназначен для сбора конфиденциальной информации с устройства жертвы, включая основную информацию об устройстве, сохраненные учетные данные, нажатия клавиш, скриншоты и данные буфера обмена. Этот вариант кейлоггера Snake в первую очередь ориентирован на сбор учетных данных, извлечение их из более чем 50 популярных программ, классифицированных по веб-браузерам, почтовым клиентам, IM-клиентам и FTP-клиентам.

Важной особенностью этого варианта является включение нескольких жестко закодированных IP-адресов, которые при совпадении с IP-адресом жертвы предотвращают отправку собранных учетных данных злоумышленнику. Собранные учетные данные могут быть переданы злоумышленнику по различным каналам, таким как загрузка на FTP-сервер, отправка по электронной почте или отправка через бота Telegram с помощью метода HTTP Post. В этом случае для отправки украденных данных злоумышленнику используется протокол SMTP.

#ParsedReport #CompletenessMedium
29-08-2024

Latrodectus Rapid Evolution Continues With Latest New Payload Features

https://www.netskope.com/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features

Report completeness: Medium

Actors/Campaigns:
Ta577
Ta578

Threats:
Latrodectus
Icedid
Brc4_tool
Emotet
Blackbasta
Dave_crypter

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1218.011, T1140, T1071.001, T1573.001, T1059.007, T1027

IOCs:
File: 3
Hash: 5
Url: 5

Algorithms:
base64, aes-256, aes, rc4, xor

Functions:
DllMain

Win API:
VirtualAlloc, LoadLibrary, GetProcAddress

Languages:
javascript

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Latrodectus
https://github.com/leandrofroes/malware-research/blob/main/Latrodectus/latrodectus\_static\_unpacker.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ и эволюция вредоносного ПО Latrodectus downloader, включая его сходство с IcedID, методы распространения, возможности, цепочку заражения, обновления в версии 1.4, а также постоянные усилия Threat Labs по отслеживанию и защите от этой развивающейся угрозы.
-----

Вредоносная программа-загрузчик Latrodectus, впервые обнаруженная Walmart в октябре 2023 года, привлекла к себе внимание благодаря своему сходству с печально известной вредоносной программой IcedID, включая структуру кода и инфраструктуру, схожие с теми, о которых ранее сообщали Proofpoint и Team Cymru S2. Вредоносная программа в основном распространяется посредством рассылки спама по электронной почте, организованных злоумышленниками TA577 и TA578. Среди ее возможностей - загрузка и запуск дополнительных полезных программ, сбор и передача системных сведений на сервер управления и переписки (C2), завершение процессов и многое другое. Кроме того, в июле 2024 года было также отмечено, что латродектус распространялся барсуком BRC4.

В ходе недавней разработки новая версия полезной нагрузки Latrodectus, версия 1.4, была обнаружена лабораториями угроз во время охоты. Эта обновленная версия содержит различные улучшения, в том числе другой метод деобфускации строк, новую конечную точку C2 и две новые команды бэкдора.

Цепочка заражения Latrodectus обычно начинается с запутанного файла JavaScript, в котором используется технология, включающая многочисленные комментарии, затрудняющие анализ и увеличивающие размер файла. Этот файл JavaScript обрабатывает строки, начинающиеся с определенных строк, которые выполняются как функции JavaScript для загрузки файла MSI с удаленного сервера для последующего выполнения или установки.

После установки MSI-файл использует инструмент Windows rundll32.exe для загрузки библиотеки DLL с именем "nvidia.dll" и вызова в ней функции "AnselEnableCheck". Примечательно, что вредоносная библиотека DLL встроена в CAB-файл с именем "disk1", присутствующий в пакете MSI. Чтобы скрыть основную полезную нагрузку, "nvidia.dll" использует шифровальщика по имени Дэйв, метод, ранее использовавшийся другими вредоносными программами, такими как Emotet и BlackBasta.

Вредоносная программа распаковывает, загружает и выполняет конечную загрузку, используя различные функции Windows API, после выполнения многобайтовых операций XOR с данными, хранящимися в определенных разделах. Был разработан скрипт, помогающий распаковывать и деобфускировать полезные файлы Latrodectus с помощью программы Dave crypter.

В версии 1.4 Latrodectus представлены обновленные функции, такие как пересмотренный метод генерации идентификатора кампании, взаимодействие с сервером C2, включающее сбор данных, шифрование и кодировку base64, а также две новые команды в полезной нагрузке - идентификаторы команд 22 и 25. Команда ID 22 включает загрузку шеллкода с назначенного сервера и выполнение его в новом потоке, в то время как команда ID 25 предназначена для загрузки файлов из удаленных мест и записи их содержимого в определенные пути.

Эволюция Latrodectus направлена на быструю интеграцию новых функциональных возможностей в его полезную нагрузку, что создает проблемы для защитников. Netskope Threat Labs продолжает внимательно следить за достижениями Latrodectus и ее тактики, методов и процедур (TTP) для усиления защиты и расширения возможностей поиска угроз в условиях меняющегося ландшафта угроз.