#ParsedReport #CompletenessLow
08-09-2024

New Harry Potter-named malware strikes, revealing global espionage campaign

https://www.proofpoint.com/us/newsroom/news/new-harry-potter-named-malware-strikes-revealing-global-espionage-campaign

Report completeness: Low

Threats:
Voldemort

Victims:
Individuals

Industry:
E-commerce, Government, Financial

Geo:
Italy, France, India, Germany, Japan

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1059.006, T1566.001, T1566.003, T1036.005

Soft:
Instagram

Algorithms:
des, zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового вида вредоносного ПО под названием "Voldemort", которое нацелено на отдельных лиц, выдавая себя за государственные налоговые органы и осуществляя шпионаж с целью кражи личных данных и паролей. Вредоносная программа использует Google Sheets для скрытной работы, и организациям рекомендуется совершенствовать протоколы кибербезопасности для защиты от таких киберугроз.
-----

В тексте описывается новый вид вредоносного ПО под названием "Voldemort", который был обнаружен исследователями в области безопасности и подозревается в шпионаже. Хакеры, стоящие за Voldemort, заражают устройства, выдавая себя за государственные учреждения, в частности налоговые службы, такие как IRS, для сбора личных данных, паролей и другой конфиденциальной информации. Как только вредоносная программа оказывается на компьютере, она может загрузить дополнительное вредоносное программное обеспечение и загрузить данные на сервер хакера, используя при этом Google Sheets, чтобы избежать обнаружения и сохранить украденные данные.

Кибератака начинается с адресных электронных писем, которые, как представляется, поступают от государственных налоговых органов различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию. Эти электронные письма настраиваются в соответствии со страной проживания цели на основе общедоступной информации, что иногда приводит к путанице из-за общих имен или ссылок на определенные страны в открытых источниках. Хакеры также используют адреса электронной почты, имитирующие адреса государственных учреждений, чтобы придать сообщению видимость законности.

Жертвам предлагается переходить по ссылкам в этих поддельных электронных письмах, которые ведут на целевые страницы со скрытыми вредоносными скриптами. При открытии файла вредоносная программа активируется, собирает системную информацию и профилирует цель, при этом отображается как поддельный PDF-файл, чтобы скрыть свою активность. После заражения вредоносная программа использует Google Sheets в качестве командного центра, получая инструкции и сохраняя украденные данные в определенных ячейках, используя API Google для передачи данных незамеченными.

Кроме того, организациям настоятельно рекомендуется совершенствовать протоколы кибербезопасности и внедрять меры по защите отдельных лиц от атак вредоносных программ, учитывая растущую сложность и масштабы киберугроз. В заключение читателям предлагается поделиться своими соображениями о дополнительных мерах защиты, связавшись с нами по адресу Cyberguy.com.

#ParsedReport #CompletenessHigh
08-09-2024

Threat Actors Exploit GeoServer Vulnerability CVE-2024-36401

https://www.fortinet.com/blog/threat-research/threat-actors-exploit-geoserver-vulnerability-cve-2024-36401

Report completeness: High

Actors/Campaigns:
Winnti
Cutting_kitten
Fox_kitten
Volt_typhoon

Threats:
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Upx_tool
Tcpflood_technique
Udpflood_technique
Xmrig_miner

Victims:
It service providers, Technology companies, Government entities, Telecommunications companies

Industry:
Telco, Government

Geo:
Asia, India, America, Indonesian, Belgium, Thailand, Chinese, Brazil

CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


ChatGPT TTPs:
do not use without manual check
T1210, T1071.001, T1498, T1059.004, T1203, T1071.002, T1057, T1570, T1566.003, T1036.005, have more...

IOCs:
Url: 32
IP: 9
Domain: 7
File: 4
Coin: 2
Hash: 55

Soft:
Aegis, crontab

Algorithms:
chacha20, xor, base64, md5

Languages:
java

Platforms:
m68k, mips, arm, mpsl, x86

Links:
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
https://github.com/fatedier/frp
https://github.com/geoserver/geoserver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается недавняя уязвимость высокой степени серьезности (CVE-2024-36401), обнаруженная в GeoServer, программном сервере с открытым исходным кодом, используемом для обмена геопространственными данными, что приводит к удаленному выполнению кода. Уязвимость активно используется различными участниками угроз, включая APT41, для таких вредоносных действий, как распространение вредоносных программ, атаки ботнетов, создание бэкдоров и криптоджекинг. Исследователи в области безопасности выявили конкретные вредоносные инструменты, бэкдоры, прокси-серверы и майнеры монет, использовавшиеся в этих атаках, причем некоторые из них указывают на китайскую принадлежность. Кроме того, злоумышленники используют такие тактические приемы, как команды в кодировке base64 и вводящие в заблуждение загрузки с веб-сайтов, чтобы внедрять вредоносное ПО и поддерживать операции незаконного майнинга на скомпрометированных системах.
-----

GeoServer, программный сервер с открытым исходным кодом, написанный на Java, используется для обмена и редактирования геопространственных данных и является эталонной реализацией стандартов OGC WFS и WCS. Недавно на GeoServer была обнаружена уязвимость CVE-2024-36401 с высоким показателем CVSS - 9,8. Эта уязвимость делает возможным удаленное выполнение кода пользователями, не прошедшими проверку подлинности, путем определенных манипуляций с вводимыми данными при установке GeoServer по умолчанию из-за небезопасной оценки имен свойств в виде выражений XPath.

Разработчики проекта устранили эту уязвимость в версиях 2.23.6, 2.24.4 и 2.25.2. После обнаружения CISA добавила этот недостаток в свой каталог KEV, сигнализируя об активной эксплуатации. FortiGuard Labs быстро добавила IP-сигнатуру, наблюдая за многочисленными кампаниями, направленными на выявление уязвимости для распространения вредоносного ПО. Примечательно, что семейства ботнетов и группы майнеров быстро начали атаки. Одной из особо выделенных вредоносных программ является "GOREVERSE", обратный прокси-сервер, используемый для незаконного доступа к системе.

Было обнаружено, что злоумышленники, связанные с APT41, пытались использовать эту уязвимость для различных целей по всему миру, включая поставщиков ИТ-услуг в Индии, технологические фирмы США, государственные учреждения в Бельгии и телекоммуникационные компании в Таиланде и Бразилии. Кроме того, в ходе этих атак была обнаружена сложная вредоносная программа-бэкдор для Linux под названием "SideWalk", часто используемая APT41. Это вредоносное ПО разработано для архитектур ARM, MIPS и X86, при этом связь устанавливается через сервер C2 с использованием алгоритма шифрования ChaCha20.

Исследователи ИТ-безопасности выявили различные вредоносные инструменты, такие как "Linux2.4" и "taskhost.exe", которые действуют как ботнеты и агенты черного хода, а также прокси-сервер GOREVERSE. Эти инструменты обладают возможностями DDoS-атак и бэкдоров, устанавливая соединения с удаленными серверами для вредоносных операций.

Также были обнаружены атаки Coin miner с использованием скриптов, собирающих информацию о хостинге и нацеленных на сервисы облачной платформы, причем конкретные случаи указывали на китайскую принадлежность на основе комментариев к скрипту. Было обнаружено, что различные майнеры монет, такие как "sshd", "linuxsys" и "h4", занимались криптоджекингом. Майнеры монет использовали такие инструменты, как XMRig, и устанавливали URL-адреса пулов для извлечения криптовалюты из зараженных систем.

Дополнительная тактика включала команды в кодировке base64 для загрузки вредоносных скриптов, таких как "linux.sh " или "cron.sh " с обманчивых веб-сайтов, имитирующих законные платформы. Эти скрипты были разработаны для развертывания майнеров монет и создания постоянных процессов в скомпрометированных системах для продолжения незаконной деятельности по добыче полезных ископаемых.

#ParsedReport #CompletenessMedium
08-09-2024

Everything is a ghost: new mailings of cyber spies PhantomCore to Russian companies using PhantomCore.KscDL_trim

https://habr.com/ru/companies/f_a_c_c_t/articles/841348

Report completeness: Medium

Actors/Campaigns:
Phantomcore (motivation: cyber_espionage)

Threats:
Phantomcore
Phantomrat
Upx_tool

Victims:
Russian it company, Company organizing business trips, Design bureau, Manufacturer of wireless communication systems and high-tech equipment

Industry:
Energy

Geo:
Russian

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.001, T1105, T1203, T1106

IOCs:
File: 9
IP: 2
Hash: 9
Url: 6

Algorithms:
sha256, md5, sha1

Functions:
runRequester

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: специалисты F.A.C.C.T. обнаружили кампании по электронной почте, проводимые группой кибершпионажа PhantomCore, нацеленные на различные организации в России, в основном на промышленные компании, использующие вредоносные вложения, замаскированные под важные документы, для использования известной уязвимости (CVE-2023-38831) для выполнения полезной нагрузки и командно-контрольных действий посредством вариант загрузчика на C++ с именем PhantomCore.KscDL_trim.
-----

F.A.C.C.T. обнаружила несколько рассылок по электронной почте от PhantomCore group, нацеленных на различные организации, включая российскую IT-компанию, организацию деловых поездок, конструкторское бюро и производителя систем беспроводной связи.

В рассылке по электронной почте содержалось вредоносное вложение, замаскированное под форму договора поставки, в котором использовалась обычная тактика злоумышленников.

PhantomCore воспользовался известной уязвимостью CVE-2023-38831, чтобы запустить свой вредоносный код, используя вариант PhantomCore с именем PhantomCore.KscDL_trim.

PhantomCore.KscDL_trim общался по протоколу HTTP и демонстрировал такие возможности, как загрузка и запуск файлов с сервера C2 и выполнение команд в командном интерпретаторе Windows.

Конкретные команды вредоносной программы включали профилирование жертв, манипулирование файлами и выполнение команд в скомпрометированной системе.

#ParsedReport #CompletenessHigh
08-09-2024

APT Lazarus: Eager Crypto Beavers, Video calls and Games

https://www.group-ib.com/blog/apt-lazarus-python-scripts

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Contagious_interview
Dalbit

Threats:
Civetq
Beavertail
Invisibleferret
Anydesk_tool
Talisman
Casper

Victims:
Developers, Job-seekers, Blockchain professionals

Industry:
Entertainment, Financial

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 7
Hash: 50
Url: 8
Domain: 5
Coin: 12
Path: 1
IP: 30

Soft:
Node.js, macOS, Telegram, Proxifier, Windows Installer, Unix, Chrome, Chromium, Opera, Vivaldi, have more...

Wallets:
rabby, exodus_wallet, metamask, coinbase, tronlink, coin98, safepal, solflare, braavos_wallet, ronin_wallet, have more...

Crypto:
multiversx, ethereum, tezos, binance, casper

Algorithms:
xor, zip

Functions:
Video, eval

Languages:
python, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущих угрозах кибербезопасности, исходящих от Lazarus Group из-за их финансируемой кампании, нацеленной на разработчиков с помощью вредоносных скриптов на Python и вариантов вредоносного ПО, таких как CivetQ и BeaverTail. Группа использует тактику обмана, развивает свои возможности вредоносного ПО, использует методы обфускации и продолжает разрабатывать и модифицировать свои инструменты, чтобы избежать обнаружения и нацелиться на жертв, включая специалистов по блокчейну и криптовалютные кошельки.
-----

В тексте описывается растущая угроза, исходящая от финансируемой Lazarus Group кампании против разработчиков, в которой основное внимание уделяется их последним скриптам на Python и вариантам вредоносного по CivetQ и BeaverTail. Вредоносное ПО BeaverTail распространяется с помощью тактики обмана, такой как поддельные сценарии собеседований при приеме на работу и мошеннические приложения для видеоконференций. Кроме того, группа нацелена на профессионалов в области блокчейна через различные платформы для поиска работы, такие как WWR, Moonlight и Upwork, используя Telegram для продолжения общения и распространения вредоносного ПО.

В расфокусированный вредоносных программ, которые были первоначально определены как JavaScript, стали включать нативную версию macOS и питона вариант с расширенными возможностями, как настройка AnyDesk для удаленного доступа и Node.js trojanizing веб-проекты игры. Lazarus также использует методы обфускации, более сложные методы внедрения кода и расширенный таргетинг на браузерные расширения и данные, включая криптовалютные кошельки и приложения для создания заметок.

Кампания включает в себя постоянные обновления и модификации, позволяющие избежать обнаружения, при этом BeaverTail выступает в качестве загрузчика для последующих вредоносных программ, таких как InvisibleFerret, кроссплатформенный бэкдор на Python с такими функциями, как удаленное управление, кейлоггинг и утечка данных. Lazarus постоянно совершенствует свои средства защиты от вредоносных программ, корректируя методы обфускации, такие как шифрование в стиле матрешки, чтобы избежать обнаружения.

Группа Lazarus использует модульный подход, при котором каждый скрипт выполняет отдельные задачи, такие как извлечение данных, обеспечение сохраняемости и изменение системных файлов для удаленного доступа. Группа постоянно обновляет свои скрипты и точки входа в хранилище, чтобы избежать обнаружения и изменить свои вредоносные действия. В тексте также рассматриваются различные хранилища вредоносных программ, обнаруженные в ходе исследований, демонстрирующие широту операций Lazarus и их растущую изощренность в поиске жертв.

#ParsedReport #CompletenessLow
07-09-2024

Banking Trojans: Mekotio Looks to Expand Targets, BBTok Abuses Utility Command. Evolving lures

https://www.trendmicro.com/en_us/research/24/i/banking-trojans-mekotio-looks-to-expand-targets--bbtok-abuses-ut.html

Report completeness: Low

Threats:
Mekotio
Bbtok
Alfonso_stealer
Grandoreiro

Victims:
Latin american users, Manufacturing companies, Retail, Technology enterprises, Financial services

Industry:
Retail, Financial

Geo:
Mexico, Brazilian, Latin american, Spain, Latin americas, Chile, Columbia, Peru, Brazil, Argentina

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1105, T1082, T1071, T1543

IOCs:
File: 4
Hash: 52
Url: 8

Soft:
AutoHotKey

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, chart: 1, schema: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участники киберугроз Mekotio и BBTok нацелены на латиноамериканских пользователей с помощью передовых методов фишинга и распространения вредоносных программ, что создает значительные риски для кибербезопасности в регионе. Эти злоумышленники используют сложные методы, чтобы избежать обнаружения, расширить свою виктимологию и нацелиться на такие отрасли, как производство, розничная торговля, технологии и финансовые услуги. Организациям и пользователям рекомендуется сохранять бдительность в отношении этих развивающихся угроз и применять надежные меры кибербезопасности.
-----

Небезызвестные Mekotio и BBTok - это участники киберугроз, нацеленных на латиноамериканских пользователей, которые демонстрируют признаки возрождения, используя новые тактики, позволяющие избежать обнаружения и расширить свою виктимологию. Эти участники используют фишинг-атаки для заманивания жертв, в основном фокусируясь на деловых и судебных транзакциях. Фишинговые электронные письма содержат вредоносные вложения или ссылки, ведущие на поддельные веб-сайты, с которых жертвы неосознанно загружают вредоносное ПО в свои системы.

Mekotio, первоначально ориентированный на бразильских пользователей и банки, расширил свои цели, включив в них другие испаноязычные страны Латинской Америки и Южной Европы. Отмечается, что банда, стоящая за Mekotio, расширяет географию своего присутствия. С другой стороны, BBTok, обнаруженный в 2020 году, концентрируется на финансовом секторе Латинской Америки и имеет общие целевые страны с Mekotio. Оба семейства вредоносных программ используют сложные методы, такие как обфускация сценариев PowerShell и внедрение вредоносной полезной нагрузки в файлы, чтобы избежать обнаружения и выполнения вредоносных действий.

Эти киберпреступники распространяют банковские трояны, такие как Mekotio, BBTok и Grandoreiro, с помощью различных фишинговых схем, нацеленных на такие отрасли, как производство, розничная торговля, технологии и финансовые услуги. Целью атак является кража конфиденциальных банковских данных и проведение несанкционированных транзакций. Последние кампании Mekotio и BBTok включают в себя многоэтапные атаки, в ходе которых жертв обманом заставляют загружать вредоносные файлы, которые запускают дальнейшие процессы заражения.

В последнем варианте Mekotio используются скрипты PowerShell для загрузки дополнительных вредоносных программ после предварительной проверки. В отличие от предыдущих версий, этот вариант не ограничивает свою деятельность конкретными странами, что потенциально указывает на расширенную стратегию таргетинга. Между тем, BBTok использует MSBuild.exe для выполнения вредоносного кода, скрытого в ISO-файлах, что позволяет злоумышленникам избегать обнаружения и сохранять контроль над скомпрометированными системами.

Эти участники киберугроз демонстрируют расширенные возможности по доставке и выполнению вредоносных программ, что создает значительные риски для кибербезопасности в Латиноамериканском регионе. Организациям и пользователям необходимо проявлять бдительность в отношении фишинговых атак и применять надежные меры кибербезопасности, чтобы не стать жертвами этих развивающихся угроз.

#technique

Dump cookies and credentials directly from Chrome/Edge process memory

https://github.com/Meckazin/ChromeKatz

#ParsedReport #CompletenessLow
09-09-2024

Understanding the Voldemort Malware Campaign: A New Cybersecurity Threat Using Google Sheets. Overview of the Voldemort Malware Campaign

https://medium.com/@peris.ai/understanding-the-voldemort-malware-campaign-a-new-cybersecurity-threat-using-google-sheets-c2e46d18e355

Report completeness: Low

Threats:
Voldemort

Industry:
Aerospace, Education, Transport

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1078, T1204.002, T1059.006, T1547.001

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4