#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 6, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе разработчика информации на python под названием Emansrepo аналитиками cyber threat intelligence из FortiGuard Labs, которые освещают его распространение через вредоносные электронные письма, поведение, эволюцию с течением времени, сходство с другими вариантами вредоносного ПО, такими как Prysmax Premium, и связанную с этим кампанию атак с использованием вредоносного ПО Remcos. В тексте подчеркивается постоянное развитие Emansrepo как киберугрозы и содержится призыв к организациям сохранять бдительность и поддерживать высокий уровень осведомленности о кибербезопасности для противодействия таким меняющимся векторам атак.
-----

В августе 2024 года аналитики FortiGuard Labs, занимающиеся анализом киберугроз, обнаружили разработчика python по имени Emansrepo, который распространял вредоносные электронные письма, содержащие поддельные заказы на покупку и счета-фактуры. Эта вредоносная программа сжимает данные из браузеров жертвы и пути к определенным файлам в zip-файл, который затем отправляется на электронную почту злоумышленника. Кампания с участием Emansrepo ведется с ноября 2023 года, что указывает на постоянное присутствие угрозы. Злоумышленники используют фишинговые электронные письма с HTML-вложениями, которые ссылаются на загрузку Emansrepo. Этот конкретный вариант Emansrepo упакован с использованием PyInstaller, что повышает его способность работать на системах без установленного Python. Вложение в фишинговом письме функционирует как дроппер, который имитирует страницу загрузки, перенаправляя пользователей на другой веб-сайт через несколько секунд.

Дальнейший анализ показал, что вложение загружает файл с именем Purchase-Order.7z, в который встроен Purchase-Order.exe, автоматически скомпилированный исполняемый файл, содержащий вредоносный скрипт для кражи информации. Этот скрипт загружает дополнительные компоненты из zip-файла, хранящегося во временной папке, извлекая необходимые модули Python и основной вредоносный скрипт, tester.py. При более тщательной проверке в Zip-архиве был обнаружен HTA-файл, основанный на JavaScript-файле, который облегчает загрузку и выполнение сценария PowerShell script.ps1 с помощью VBScript.

Поведение инфокрада было разделено на три части, каждая из которых включала создание папок временного хранения для систематизации украденных данных перед передачей их злоумышленнику по электронной почте. Первая часть включала сбор конфиденциальной информации, такой как данные для входа в систему, данные кредитной карты, веб-история и т.д., из определенных системных папок. Сравнение с предыдущим вариантом, использующим Prysmax Premium, показало сходство функций, хотя изначально в Emansrepo было меньше возможностей. Однако последующие усовершенствования в частях 2 и 3 сделали Emansrepo отличным от его первоначального варианта и более близким к Prysmax stealer.

Кроме того, была выявлена отдельная кампания атаки, в которой участвовала вредоносная программа Remcos, потенциально связанная с атакующим Emansrepo на основе сходства тактики фишинговой рассылки по электронной почте. В рамках этой кампании Remcos распространялась через фишинговые электронные письма, содержащие вредоносное вложение под названием DBatLoader. Этот загрузчик расшифровывает и выполняет полезную нагрузку, вариант Remcos, защищенный упаковщиком, иллюстрирующий другой метод атаки по сравнению с Emansrepo.

Постоянное развитие Emansrepo с ноября подчеркивает постоянно меняющийся ландшафт киберугроз. Организациям рекомендуется поддерживать высокий уровень осведомленности о кибербезопасности и бдительности, чтобы противостоять таким разнообразным и меняющимся направлениям атак. FortiGuard Labs обязуется тщательно отслеживать эти угрозы и обеспечивать необходимую защиту для снижения рисков для организаций.

#ParsedReport #CompletenessLow
04-09-2024

Luxy: A Stealer and a Ransomware in one

https://labs.k7computing.com/index.php/luxy-a-stealer-and-a-ransomware-in-one

Report completeness: Low

Threats:
Luxy
Umbral

ChatGPT TTPs:
do not use without manual check
T1057, T1539, T1552.001, T1119, T1490

IOCs:
File: 2
Hash: 1

Soft:
Telegram, Chrome, Microsoft Store, Roblox

Wallets:
zcash, jaxx, exodus_wallet, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
ethereum

Algorithms:
aes-256, aes

Languages:
powershell

Links:
https://github.com/Blank-c/Umbral-Stealer
https://github.com/ayuly0/Luxy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается недавно обнаруженная вредоносная программа Luxy, которая сочетает в себе функции похитителя и вымогателя. Luxy использует различные методы защиты от обнаружения и нацелена на криптовалютные кошельки и другую конфиденциальную информацию. Для борьбы с такими вредоносными программами, как Luxy, пользователям рекомендуется использовать надежные решения для обеспечения безопасности и проявлять активность при внедрении методов кибербезопасности.
-----

В тексте обсуждается недавно обнаруженная вредоносная программа Luxy, которая сочетает в себе функции stealer и программы-вымогателя. Компонент stealer, созданный по мотивам Umbral stealer, предназначен для сбора паролей пользователей и данных браузера с помощью Telegram. С другой стороны, программа-вымогатель шифрует все файлы и оставляет записку с требованием выкупа, содержащую ключ для расшифровки. Вредоносная программа состоит из трех основных модулей: BlockAvSites, Stealer и Ransomware.

Luxy использует различные методы для определения того, запущен ли он на виртуальной машине, такие как проверка системного UUID, имени компьютера, имени пользователя, запущенных процессов и отладчиков. Процесс SystemID сравнивает текущий системный UUID с черным списком и завершает процесс в случае совпадения. Он также идентифицирует и завершает работу известных инструментов мониторинга, запущенных в системе, путем сверки с заранее определенным списком.

Вредоносная программа содержит список занесенных в черный список идентификаторов UUID, имен компьютеров, пользователей и задач, позволяющих избежать обнаружения и мониторинга с помощью инструментов безопасности и изолированных программ. Она нацелена на несколько приложений для криптовалютных кошельков, включая Zcash, Armory, Bytecoin и другие. Вредоносная программа ищет информацию о кошельке и сохраняет ее в текстовых файлах, как только находит. Кроме того, она крадет информацию о сеансах Minecraft из различных клиентов и браузеров.

Кроме того, Luxy включает компонент под названием RobloxCookieStealer, который извлекает файлы cookie Roblox из реестров и браузеров. Он использует команды PowerShell для сбора файлов cookie и обрабатывает их с помощью задач извлечения файлов cookie из браузера. Модуль программы-вымогателя отвечает за шифрование всех файлов на пути выполнения вредоносной программы и отправку письма с требованием выкупа с контактными данными для получения ключа расшифровки.

Чтобы противостоять растущей угрозе атак вредоносных программ, таких как Luxy, пользователям рекомендуется принять меры по защите своих данных. Использование надежных решений для обеспечения безопасности, таких как K7 Total Security, и обеспечение своевременного обновления являются важнейшими мерами защиты от таких угроз. Проявляйте бдительность и инициативу при внедрении методов обеспечения кибербезопасности, чтобы снизить риски, связанные с развитием тактики вредоносных программ.

#ParsedReport #CompletenessLow
04-09-2024

New Android SpyAgent Campaign Steals Crypto Credentials via Image Recognition

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-android-spyagent-campaign-steals-crypto-credentials-via-image-recognition

Report completeness: Low

Threats:
Fakecop
Typosquatting_technique

Industry:
Financial, Government, Media

Geo:
Korea, The uk

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1071.001, T1113, T1185, T1083, T1070, T1503, T1534, T1583.001, have more...

IOCs:
Hash: 20

Soft:
Android

Algorithms:
sha256

Languages:
javascript, python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, windows: 3, dump: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея заключается в том, что исследовательская группа McAfee Mobile Research обнаружила новую мобильную вредоносную программу под названием SpyAgent, которая нацелена на мнемонические ключи, связанные с криптовалютными кошельками на устройствах Android. Вредоносная программа маскируется под поддельные приложения, тайно собирает конфиденциальную информацию, такую как текстовые сообщения и изображения, распространяется с помощью фишинговых кампаний и использует обманную тактику, чтобы избежать обнаружения. Продукты McAfee для обеспечения безопасности мобильных устройств активно отслеживают и защищают от этой угрозы, подчеркивая важность бдительности пользователей и принятия упреждающих мер безопасности для защиты от вредоносных программ для мобильных устройств.
-----

Новая мобильная вредоносная программа под названием SpyAgent нацелена на мнемонические ключи, связанные с криптовалютными кошельками на устройствах Android.

Вредоносное ПО, замаскированное под поддельные приложения, которые собирают и передают текстовые сообщения, контакты и изображения на удаленные серверы.

С января 2024 года в рамках этой схемы было выявлено более 280 поддельных приложений, нацеленных на пользователей в Корее.

Вредоносное ПО в основном распространяется посредством фишинговых кампаний с помощью текстовых сообщений или сообщений в социальных сетях, содержащих вредоносные ссылки.

Вредоносная программа крадет конфиденциальную информацию у пользователей и может получать команды с удаленных серверов.

Вредоносное ПО переключилось на WebSocket-соединения для связи C2 и использует методы обфускации, чтобы избежать обнаружения.

Распространение вредоносного ПО на Великобританию и потенциальное манипулирование личными эмоциями с помощью некрологов.

Использование контактов жертв для усиления фишинговых атак.

Крайне важна бдительность пользователей при установке приложений, управлении разрешениями и обеспечении безопасности данных.

Продукты McAfee для обеспечения безопасности мобильных устройств активно отслеживают эту угрозу и обеспечивают ее защиту.

#ParsedReport #CompletenessLow
04-09-2024

FudModule Rootkit Targets Crypto, Linked to North Korean Citrine Sleet Group

https://cyble.com/blog/fudmodule-rootkit-targets-crypto-linked-to-north-korean-citrine-sleet-group

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Fudmodule_rootkit
Kaolin_rat

Geo:
North korea, North korean

CVEs:
CVE-2024-7971 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)


ChatGPT TTPs:
do not use without manual check
T1105, T1189, T1203, T1068, T1140, T1036.005, T1568.001

IOCs:
Domain: 1

Soft:
Chromium

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские злоумышленники, в частности группа, известная как Citrine Sleet, активно используют уязвимости, в том числе уязвимость нулевого дня в Chromium (CVE-2024-7971), для развертывания сложного руткита FudModule. Их целями в первую очередь являются финансовые учреждения, особенно те, которые занимаются криптовалютой, с целью получения финансовой выгоды. Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от этих злоумышленников, и важность того, чтобы организации, особенно в финансовом секторе, сохраняли бдительность, обновляли свои системы и применяли строгие меры кибербезопасности для защиты от подобных атак.
-----

Северокорейские злоумышленники, в частности группа, известная как Citrine Sleet, а также под другими псевдонимами, такими как AppleJeus, Labyrinth Chollima, UNC4736 и Hidden Cobra, активно использовали уязвимости для развертывания руткита FudModule. Citrine Sleet, связанная с бюро 121 Главного разведывательного управления Северной Кореи, нацелена на финансовые учреждения, особенно те, которые занимаются криптовалютой, с целью получения финансовой выгоды. Эта группа злоумышленников недавно воспользовалась уязвимостью нулевого дня в Chromium, идентифицированной как CVE-2024-7971, для удаленного выполнения кода (RCE). Воспользовавшись этой уязвимостью, им удалось выполнить вредоносный код в изолированном процессе рендеринга Chromium.

Цепочка атак, наблюдавшаяся в этом инциденте, началась с того, что пользователи были перенаправлены на домен, контролируемый Citrine Sleet, с помощью тактики социальной инженерии. При подключении был активирован эксплойт RCE нулевого дня для CVE-2024-7971, позволяющий злоумышленникам внедрить шелл-код в память. Этот шеллкод включал в себя эксплойт для выхода из изолированной среды Windows и руткит FudModule, сложную вредоносную программу, предназначенную для доступа к ядру, избегая обнаружения. Руткит FudModule, предназначенный только для обработки данных, использовался злоумышленниками для получения доступа администратора к ядру в системах Windows, что позволяет им выполнять примитивные операции чтения/записи и прямое манипулирование объектами ядра (DKOM).

Кроме того, исследование показало, что FudModule эволюционировал в вариант, известный как "FudModule 2.0", что было замечено в аналогичной цепочке атак Avast. Этот обновленный вариант включает в себя вредоносные загрузчики и троянскую программу удаленного доступа поздней стадии разработки (RAT) под названием Kaolin RAT, ответственную за развертывание руткита FudModule на целевых устройствах. С тех пор Google выпустила исправление для уязвимости CVE-2024-7971, используемой Citrine Sleet, и пользователям настоятельно рекомендуется обновить свой браузер Chromium до последней версии, чтобы снизить риск подобных атак.

Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от северокорейских злоумышленников, особенно в сфере финансовых киберпреступлений и криптовалют. Использование ими уязвимостей нулевого дня в сочетании с продвинутыми вредоносными программами, такими как руткит FudModule, демонстрирует изощренность и настойчивость этих групп участников угроз. Для организаций, особенно в финансовом секторе, крайне важно сохранять бдительность в отношении подобных угроз, постоянно обновлять свои системы с помощью последних исправлений и внедрять надежные меры кибербезопасности для защиты от потенциальных эксплойтов и атак со стороны таких групп, как Citrine Sleet и связанных с ними субъектов.

#ParsedReport #CompletenessLow
04-09-2024

BMOF (Binary Managed Object File) distributing XMRig coin miner (MDS product detection)

https://asec.ahnlab.com/ko/82900

Report completeness: Low

Threats:
Xmrig_miner
Stuxnet
Bondnet
Coinminer
Trojan/bat.runner.sc203192
Trojan/win.proxy.r661576

Industry:
Nuclear_power

Geo:
Iran

ChatGPT TTPs:
do not use without manual check
T1546.014, T1078.002, T1070.004, T1071.001, T1136

IOCs:
File: 2
Hash: 5
Domain: 4

Algorithms:
md5

Languages:
jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В блоге обсуждается концепция BMOF (двоичный управляемый объектный файл) и ссылка на дистрибутив XMRig coin miner. BMOF, скомпилированная версия MOF, используемая в WMI, используется злоумышленниками в вредоносных целях благодаря своей способности выполнять скрипты. В тексте подробно описывается история атак на основе BMOF, их связь со Stuxnet и их текущее использование вредоносными программами, такими как BondNet, для распространения XMRig. Процесс выполнения BMOF приводит к различным вредоносным действиям, таким как модификация системы и майнинг криптовалют, со значительными привилегиями, что создает серьезные риски для безопасности.
-----

В блоге представлена концепция BMOF (двоичный управляемый объектный файл) и ее связь с дистрибутивом XMRig coin miner. BMOF - это, по сути, скомпилированная версия MOF (Управляемый объектный файл), используемая для определения и управления информацией, относящейся к WMI (инструментарию управления Windows). Хотя файлы BMOF сами по себе не являются вредоносными и находятся в каталоге "C:\Windows\System32\wbem" по умолчанию, они способны выполнять JScript и VBScript, что делает их привлекательными для злоумышленников в качестве вредоносных программ. Злоумышленники часто используют файлы BMOF в сочетании с "Постоянной подпиской на события", чтобы обеспечить сохранение вредоносного ПО в скомпрометированных системах.

Истоки атак на основе BMOF восходят к атаке Stuxnet на иранскую атомную электростанцию в 2010 году и продолжают развиваться с момента их первого появления в 2017 году. Было обнаружено, что вредоносная программа BondNet использует BMOF для распространения майнера монет XMRig. Первоначальный метод проникновения заключается в использовании уязвимостей или проведении атак методом перебора против учетных записей SQL server SA. После успешного проникновения злоумышленник создает и запускает вредоносный BMOF-файл. Из-за особенностей выполнения файлы BMOF обычно запускаются с помощью встроенной утилиты Windows "mofcomp.exe".

После запуска BMOF он инициирует ряд вредоносных действий, включая удаление файла "hosts", создание гостевой учетной записи, загрузку дополнительных файлов VBE, настройку подключения RDP (протокол удаленного рабочего стола) для высокопроизводительных систем и, наконец, развертывание и запуск майнера XMRig coin в системе. "C:\Windows\Temp " каталог. Важно отметить повышение привилегий, связанное с выполнением BMOF, поскольку оно выполняется с системными привилегиями, что может привести к потенциально разрушительным последствиям при использовании для запуска вредоносного ПО.

Дерево процессов, связанное с выполнением BMOF, включает в себя последовательность действий, ведущих к развертыванию и работе майнера монет XMRig. Это включает в себя такие задачи, как удаление файлов, создание учетной записи пользователя, загрузка дополнительных файлов, настройка RDP и, в конечном счете, майнинг криптовалюты XMRig по определенному подпути в системном каталоге. Иллюстрация в блоге демонстрирует взаимосвязь между запущенными приложениями, такими как калькулятор, и встроенными программами Windows, такими как "scrcons.exe", подчеркивая потенциальные риски запуска вредоносных программ в таких привилегированных средах.

#ParsedReport #CompletenessHigh
04-09-2024

The Intricate Babylon RAT Campaign Targets Malaysian Politicians, Government

https://cyble.com/blog/the-intricate-babylon-rat-campaign-targets-malaysian-politicians-government

Report completeness: High

Threats:
Babylon_rat
Quasar_rat
Upx_tool
Smuggling_technique

Victims:
Political figures, Government officials

Industry:
Government

Geo:
Malaysia, Malaysian

TTPs:
Tactics: 8
Technics: 10

IOCs:
Registry: 1
IP: 2
Hash: 11

Algorithms:
aes-256, sha256

Functions:
SetWindowsHookEx

Win API:
GetProcAddress, CryptDeriveKey, CryptDecrypt, CreateThread

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Лаборатория Кибл-исследований и разведки обнаружила сложную и целенаправленную кампанию кибератак, направленную на политических деятелей и правительственных чиновников в Малайзии, в ходе которой использовались передовые тактические приемы и вредоносные ISO-файлы для распространения the Babylon RAT для несанкционированного доступа, утечки данных и слежки. Злоумышленник, стоящий за кампанией, ранее уже атаковал малазийские организации, используя Quasar RAT, а использование Babylon RAT подчеркивает необходимость усиления мер безопасности для борьбы с киберугрозами.
-----

Лаборатория кибернетических исследований и разведки (CRIL) раскрыла целенаправленную кампанию кибератак, направленную на политических деятелей и правительственных чиновников Малайзии.

Кампания проводится с июля и демонстрирует передовую тактику, используемую злоумышленниками, нацеленными на известных людей и учреждения.

Вредоносные ISO-файлы, выявленные в ходе кампании, содержат такие компоненты, как файл быстрого доступа (LNK), скрытый сценарий PowerShell, вредоносный исполняемый файл и ложный PDF-файл.

Кампания предоставляет Babylon RAT в качестве финальной полезной нагрузки, позволяющей осуществлять несанкционированный доступ к компьютерам жертв, удаленное выполнение команд, управление системой и вывоз данных.

Компания TA, стоящая за этой кампанией, ранее использовала Quasar RAT против малазийских организаций, используя вводящие в заблуждение элементы в файлах ISO, чтобы обмануть пользователей.

Babylon RAT поддерживает работоспособность благодаря изменениям в реестре, имеет панель управления для управления скомпрометированными системами и оснащен пакетом UPX для шпионажа и кражи данных.

Babylon RAT взаимодействует с командно-контрольными серверами через порт 443 для получения инструкций, сбора данных и долгосрочного наблюдения при целенаправленных кибератаках.

Сложный характер кампании по кибератакам подчеркивает способность TAs получать несанкционированный доступ к управлению и утечке конфиденциальных данных, что требует усиления мер безопасности и бдительности.

#ParsedReport #CompletenessMedium
05-09-2024

The Rise of Head Mare: A Geopolitical and Cybersecurity Analysis

https://cyble.com/blog/the-rise-of-head-mare-a-geopolitical-and-cybersecurity-analysis

Report completeness: Medium

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Threats:
Lockbit
Babuk
Sliver_c2_tool
Mimikatz_tool
Xenarmor_tool

Victims:
Russian organizations, Belarusian organizations

Industry:
Military

Geo:
Russian, Russia, Ukrainian, Belarusian, Ukraine, Moscow, Belarus

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1566, T1486, T1210, T1078, T1573, T1053, T1547, T1036

IOCs:
Hash: 25
IP: 7
Url: 15

Soft:
ESXi

Algorithms:
sha256

Languages:
php