#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового вида вредоносного ПО под названием "Voldemort", которое нацелено на отдельных лиц, выдавая себя за государственные налоговые органы и осуществляя шпионаж с целью кражи личных данных и паролей. Вредоносная программа использует Google Sheets для скрытной работы, и организациям рекомендуется совершенствовать протоколы кибербезопасности для защиты от таких киберугроз.
-----

В тексте описывается новый вид вредоносного ПО под названием "Voldemort", который был обнаружен исследователями в области безопасности и подозревается в шпионаже. Хакеры, стоящие за Voldemort, заражают устройства, выдавая себя за государственные учреждения, в частности налоговые службы, такие как IRS, для сбора личных данных, паролей и другой конфиденциальной информации. Как только вредоносная программа оказывается на компьютере, она может загрузить дополнительное вредоносное программное обеспечение и загрузить данные на сервер хакера, используя при этом Google Sheets, чтобы избежать обнаружения и сохранить украденные данные.

Кибератака начинается с адресных электронных писем, которые, как представляется, поступают от государственных налоговых органов различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию. Эти электронные письма настраиваются в соответствии со страной проживания цели на основе общедоступной информации, что иногда приводит к путанице из-за общих имен или ссылок на определенные страны в открытых источниках. Хакеры также используют адреса электронной почты, имитирующие адреса государственных учреждений, чтобы придать сообщению видимость законности.

Жертвам предлагается переходить по ссылкам в этих поддельных электронных письмах, которые ведут на целевые страницы со скрытыми вредоносными скриптами. При открытии файла вредоносная программа активируется, собирает системную информацию и профилирует цель, при этом отображается как поддельный PDF-файл, чтобы скрыть свою активность. После заражения вредоносная программа использует Google Sheets в качестве командного центра, получая инструкции и сохраняя украденные данные в определенных ячейках, используя API Google для передачи данных незамеченными.

Кроме того, организациям настоятельно рекомендуется совершенствовать протоколы кибербезопасности и внедрять меры по защите отдельных лиц от атак вредоносных программ, учитывая растущую сложность и масштабы киберугроз. В заключение читателям предлагается поделиться своими соображениями о дополнительных мерах защиты, связавшись с нами по адресу Cyberguy.com.

#ParsedReport #CompletenessHigh
08-09-2024

Threat Actors Exploit GeoServer Vulnerability CVE-2024-36401

https://www.fortinet.com/blog/threat-research/threat-actors-exploit-geoserver-vulnerability-cve-2024-36401

Report completeness: High

Actors/Campaigns:
Winnti
Cutting_kitten
Fox_kitten
Volt_typhoon

Threats:
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Upx_tool
Tcpflood_technique
Udpflood_technique
Xmrig_miner

Victims:
It service providers, Technology companies, Government entities, Telecommunications companies

Industry:
Telco, Government

Geo:
Asia, India, America, Indonesian, Belgium, Thailand, Chinese, Brazil

CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


ChatGPT TTPs:
do not use without manual check
T1210, T1071.001, T1498, T1059.004, T1203, T1071.002, T1057, T1570, T1566.003, T1036.005, have more...

IOCs:
Url: 32
IP: 9
Domain: 7
File: 4
Coin: 2
Hash: 55

Soft:
Aegis, crontab

Algorithms:
chacha20, xor, base64, md5

Languages:
java

Platforms:
m68k, mips, arm, mpsl, x86

Links:
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
https://github.com/fatedier/frp
https://github.com/geoserver/geoserver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается недавняя уязвимость высокой степени серьезности (CVE-2024-36401), обнаруженная в GeoServer, программном сервере с открытым исходным кодом, используемом для обмена геопространственными данными, что приводит к удаленному выполнению кода. Уязвимость активно используется различными участниками угроз, включая APT41, для таких вредоносных действий, как распространение вредоносных программ, атаки ботнетов, создание бэкдоров и криптоджекинг. Исследователи в области безопасности выявили конкретные вредоносные инструменты, бэкдоры, прокси-серверы и майнеры монет, использовавшиеся в этих атаках, причем некоторые из них указывают на китайскую принадлежность. Кроме того, злоумышленники используют такие тактические приемы, как команды в кодировке base64 и вводящие в заблуждение загрузки с веб-сайтов, чтобы внедрять вредоносное ПО и поддерживать операции незаконного майнинга на скомпрометированных системах.
-----

GeoServer, программный сервер с открытым исходным кодом, написанный на Java, используется для обмена и редактирования геопространственных данных и является эталонной реализацией стандартов OGC WFS и WCS. Недавно на GeoServer была обнаружена уязвимость CVE-2024-36401 с высоким показателем CVSS - 9,8. Эта уязвимость делает возможным удаленное выполнение кода пользователями, не прошедшими проверку подлинности, путем определенных манипуляций с вводимыми данными при установке GeoServer по умолчанию из-за небезопасной оценки имен свойств в виде выражений XPath.

Разработчики проекта устранили эту уязвимость в версиях 2.23.6, 2.24.4 и 2.25.2. После обнаружения CISA добавила этот недостаток в свой каталог KEV, сигнализируя об активной эксплуатации. FortiGuard Labs быстро добавила IP-сигнатуру, наблюдая за многочисленными кампаниями, направленными на выявление уязвимости для распространения вредоносного ПО. Примечательно, что семейства ботнетов и группы майнеров быстро начали атаки. Одной из особо выделенных вредоносных программ является "GOREVERSE", обратный прокси-сервер, используемый для незаконного доступа к системе.

Было обнаружено, что злоумышленники, связанные с APT41, пытались использовать эту уязвимость для различных целей по всему миру, включая поставщиков ИТ-услуг в Индии, технологические фирмы США, государственные учреждения в Бельгии и телекоммуникационные компании в Таиланде и Бразилии. Кроме того, в ходе этих атак была обнаружена сложная вредоносная программа-бэкдор для Linux под названием "SideWalk", часто используемая APT41. Это вредоносное ПО разработано для архитектур ARM, MIPS и X86, при этом связь устанавливается через сервер C2 с использованием алгоритма шифрования ChaCha20.

Исследователи ИТ-безопасности выявили различные вредоносные инструменты, такие как "Linux2.4" и "taskhost.exe", которые действуют как ботнеты и агенты черного хода, а также прокси-сервер GOREVERSE. Эти инструменты обладают возможностями DDoS-атак и бэкдоров, устанавливая соединения с удаленными серверами для вредоносных операций.

Также были обнаружены атаки Coin miner с использованием скриптов, собирающих информацию о хостинге и нацеленных на сервисы облачной платформы, причем конкретные случаи указывали на китайскую принадлежность на основе комментариев к скрипту. Было обнаружено, что различные майнеры монет, такие как "sshd", "linuxsys" и "h4", занимались криптоджекингом. Майнеры монет использовали такие инструменты, как XMRig, и устанавливали URL-адреса пулов для извлечения криптовалюты из зараженных систем.

Дополнительная тактика включала команды в кодировке base64 для загрузки вредоносных скриптов, таких как "linux.sh " или "cron.sh " с обманчивых веб-сайтов, имитирующих законные платформы. Эти скрипты были разработаны для развертывания майнеров монет и создания постоянных процессов в скомпрометированных системах для продолжения незаконной деятельности по добыче полезных ископаемых.

#ParsedReport #CompletenessMedium
08-09-2024

Everything is a ghost: new mailings of cyber spies PhantomCore to Russian companies using PhantomCore.KscDL_trim

https://habr.com/ru/companies/f_a_c_c_t/articles/841348

Report completeness: Medium

Actors/Campaigns:
Phantomcore (motivation: cyber_espionage)

Threats:
Phantomcore
Phantomrat
Upx_tool

Victims:
Russian it company, Company organizing business trips, Design bureau, Manufacturer of wireless communication systems and high-tech equipment

Industry:
Energy

Geo:
Russian

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.001, T1105, T1203, T1106

IOCs:
File: 9
IP: 2
Hash: 9
Url: 6

Algorithms:
sha256, md5, sha1

Functions:
runRequester

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: специалисты F.A.C.C.T. обнаружили кампании по электронной почте, проводимые группой кибершпионажа PhantomCore, нацеленные на различные организации в России, в основном на промышленные компании, использующие вредоносные вложения, замаскированные под важные документы, для использования известной уязвимости (CVE-2023-38831) для выполнения полезной нагрузки и командно-контрольных действий посредством вариант загрузчика на C++ с именем PhantomCore.KscDL_trim.
-----

F.A.C.C.T. обнаружила несколько рассылок по электронной почте от PhantomCore group, нацеленных на различные организации, включая российскую IT-компанию, организацию деловых поездок, конструкторское бюро и производителя систем беспроводной связи.

В рассылке по электронной почте содержалось вредоносное вложение, замаскированное под форму договора поставки, в котором использовалась обычная тактика злоумышленников.

PhantomCore воспользовался известной уязвимостью CVE-2023-38831, чтобы запустить свой вредоносный код, используя вариант PhantomCore с именем PhantomCore.KscDL_trim.

PhantomCore.KscDL_trim общался по протоколу HTTP и демонстрировал такие возможности, как загрузка и запуск файлов с сервера C2 и выполнение команд в командном интерпретаторе Windows.

Конкретные команды вредоносной программы включали профилирование жертв, манипулирование файлами и выполнение команд в скомпрометированной системе.

#ParsedReport #CompletenessHigh
08-09-2024

APT Lazarus: Eager Crypto Beavers, Video calls and Games

https://www.group-ib.com/blog/apt-lazarus-python-scripts

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Contagious_interview
Dalbit

Threats:
Civetq
Beavertail
Invisibleferret
Anydesk_tool
Talisman
Casper

Victims:
Developers, Job-seekers, Blockchain professionals

Industry:
Entertainment, Financial

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 7
Hash: 50
Url: 8
Domain: 5
Coin: 12
Path: 1
IP: 30

Soft:
Node.js, macOS, Telegram, Proxifier, Windows Installer, Unix, Chrome, Chromium, Opera, Vivaldi, have more...

Wallets:
rabby, exodus_wallet, metamask, coinbase, tronlink, coin98, safepal, solflare, braavos_wallet, ronin_wallet, have more...

Crypto:
multiversx, ethereum, tezos, binance, casper

Algorithms:
xor, zip

Functions:
Video, eval

Languages:
python, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущих угрозах кибербезопасности, исходящих от Lazarus Group из-за их финансируемой кампании, нацеленной на разработчиков с помощью вредоносных скриптов на Python и вариантов вредоносного ПО, таких как CivetQ и BeaverTail. Группа использует тактику обмана, развивает свои возможности вредоносного ПО, использует методы обфускации и продолжает разрабатывать и модифицировать свои инструменты, чтобы избежать обнаружения и нацелиться на жертв, включая специалистов по блокчейну и криптовалютные кошельки.
-----

В тексте описывается растущая угроза, исходящая от финансируемой Lazarus Group кампании против разработчиков, в которой основное внимание уделяется их последним скриптам на Python и вариантам вредоносного по CivetQ и BeaverTail. Вредоносное ПО BeaverTail распространяется с помощью тактики обмана, такой как поддельные сценарии собеседований при приеме на работу и мошеннические приложения для видеоконференций. Кроме того, группа нацелена на профессионалов в области блокчейна через различные платформы для поиска работы, такие как WWR, Moonlight и Upwork, используя Telegram для продолжения общения и распространения вредоносного ПО.

В расфокусированный вредоносных программ, которые были первоначально определены как JavaScript, стали включать нативную версию macOS и питона вариант с расширенными возможностями, как настройка AnyDesk для удаленного доступа и Node.js trojanizing веб-проекты игры. Lazarus также использует методы обфускации, более сложные методы внедрения кода и расширенный таргетинг на браузерные расширения и данные, включая криптовалютные кошельки и приложения для создания заметок.

Кампания включает в себя постоянные обновления и модификации, позволяющие избежать обнаружения, при этом BeaverTail выступает в качестве загрузчика для последующих вредоносных программ, таких как InvisibleFerret, кроссплатформенный бэкдор на Python с такими функциями, как удаленное управление, кейлоггинг и утечка данных. Lazarus постоянно совершенствует свои средства защиты от вредоносных программ, корректируя методы обфускации, такие как шифрование в стиле матрешки, чтобы избежать обнаружения.

Группа Lazarus использует модульный подход, при котором каждый скрипт выполняет отдельные задачи, такие как извлечение данных, обеспечение сохраняемости и изменение системных файлов для удаленного доступа. Группа постоянно обновляет свои скрипты и точки входа в хранилище, чтобы избежать обнаружения и изменить свои вредоносные действия. В тексте также рассматриваются различные хранилища вредоносных программ, обнаруженные в ходе исследований, демонстрирующие широту операций Lazarus и их растущую изощренность в поиске жертв.

#ParsedReport #CompletenessLow
07-09-2024

Banking Trojans: Mekotio Looks to Expand Targets, BBTok Abuses Utility Command. Evolving lures

https://www.trendmicro.com/en_us/research/24/i/banking-trojans-mekotio-looks-to-expand-targets--bbtok-abuses-ut.html

Report completeness: Low

Threats:
Mekotio
Bbtok
Alfonso_stealer
Grandoreiro

Victims:
Latin american users, Manufacturing companies, Retail, Technology enterprises, Financial services

Industry:
Retail, Financial

Geo:
Mexico, Brazilian, Latin american, Spain, Latin americas, Chile, Columbia, Peru, Brazil, Argentina

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1105, T1082, T1071, T1543

IOCs:
File: 4
Hash: 52
Url: 8

Soft:
AutoHotKey

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, chart: 1, schema: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участники киберугроз Mekotio и BBTok нацелены на латиноамериканских пользователей с помощью передовых методов фишинга и распространения вредоносных программ, что создает значительные риски для кибербезопасности в регионе. Эти злоумышленники используют сложные методы, чтобы избежать обнаружения, расширить свою виктимологию и нацелиться на такие отрасли, как производство, розничная торговля, технологии и финансовые услуги. Организациям и пользователям рекомендуется сохранять бдительность в отношении этих развивающихся угроз и применять надежные меры кибербезопасности.
-----

Небезызвестные Mekotio и BBTok - это участники киберугроз, нацеленных на латиноамериканских пользователей, которые демонстрируют признаки возрождения, используя новые тактики, позволяющие избежать обнаружения и расширить свою виктимологию. Эти участники используют фишинг-атаки для заманивания жертв, в основном фокусируясь на деловых и судебных транзакциях. Фишинговые электронные письма содержат вредоносные вложения или ссылки, ведущие на поддельные веб-сайты, с которых жертвы неосознанно загружают вредоносное ПО в свои системы.

Mekotio, первоначально ориентированный на бразильских пользователей и банки, расширил свои цели, включив в них другие испаноязычные страны Латинской Америки и Южной Европы. Отмечается, что банда, стоящая за Mekotio, расширяет географию своего присутствия. С другой стороны, BBTok, обнаруженный в 2020 году, концентрируется на финансовом секторе Латинской Америки и имеет общие целевые страны с Mekotio. Оба семейства вредоносных программ используют сложные методы, такие как обфускация сценариев PowerShell и внедрение вредоносной полезной нагрузки в файлы, чтобы избежать обнаружения и выполнения вредоносных действий.

Эти киберпреступники распространяют банковские трояны, такие как Mekotio, BBTok и Grandoreiro, с помощью различных фишинговых схем, нацеленных на такие отрасли, как производство, розничная торговля, технологии и финансовые услуги. Целью атак является кража конфиденциальных банковских данных и проведение несанкционированных транзакций. Последние кампании Mekotio и BBTok включают в себя многоэтапные атаки, в ходе которых жертв обманом заставляют загружать вредоносные файлы, которые запускают дальнейшие процессы заражения.

В последнем варианте Mekotio используются скрипты PowerShell для загрузки дополнительных вредоносных программ после предварительной проверки. В отличие от предыдущих версий, этот вариант не ограничивает свою деятельность конкретными странами, что потенциально указывает на расширенную стратегию таргетинга. Между тем, BBTok использует MSBuild.exe для выполнения вредоносного кода, скрытого в ISO-файлах, что позволяет злоумышленникам избегать обнаружения и сохранять контроль над скомпрометированными системами.

Эти участники киберугроз демонстрируют расширенные возможности по доставке и выполнению вредоносных программ, что создает значительные риски для кибербезопасности в Латиноамериканском регионе. Организациям и пользователям необходимо проявлять бдительность в отношении фишинговых атак и применять надежные меры кибербезопасности, чтобы не стать жертвами этих развивающихся угроз.

#technique

Dump cookies and credentials directly from Chrome/Edge process memory

https://github.com/Meckazin/ChromeKatz

#ParsedReport #CompletenessLow
09-09-2024

Understanding the Voldemort Malware Campaign: A New Cybersecurity Threat Using Google Sheets. Overview of the Voldemort Malware Campaign

https://medium.com/@peris.ai/understanding-the-voldemort-malware-campaign-a-new-cybersecurity-threat-using-google-sheets-c2e46d18e355

Report completeness: Low

Threats:
Voldemort

Industry:
Aerospace, Education, Transport

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1078, T1204.002, T1059.006, T1547.001

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается глобальная вредоносная кампания под названием "Voldemort", которая использует Google Sheets в качестве командного сервера для проведения кибератак, в первую очередь направленных на кибершпионаж путем рассылки фишинговых электронных писем, нацеленных на различные сектора. В нем освещаются уникальные аспекты Voldemort, такие как использование Google Sheets для операций C2, а также даются рекомендации организациям по стратегиям защиты от этой и подобных киберугроз, подчеркивается важность осведомленности и обучения в области кибербезопасности.
-----

В тексте описывается глобальная вредоносная кампания, известная как "Voldemort", которая использует Google Sheets в качестве сервера управления (C2) для проведения кибератак и кражи данных. Вредоносная кампания была запущена 5 августа 2024 года и привела к рассылке более 20 000 фишинговых электронных писем, нацеленных на такие секторы, как страхование, аэрокосмическая промышленность, транспорт и образование. Считается, что основной целью Волдеморта был кибершпионаж, хотя точные личности и мотивы нападавших неясны.

Злоумышленники используют метод олицетворения, отправляя фишинговые электронные письма, которые выдают себя за налоговые органы, чтобы заставить получателей перейти по вредоносным ссылкам. Эти ссылки ведут жертв по нескольким URL-адресам, запуская вредоносный скрипт на Python, который активирует вредоносную программу Voldemort. Как вредоносная программа на базе C, Voldemort может извлекать конфиденциальные данные, развертывать дополнительные вредоносные программы, выполнять удаленные команды и многое другое.

Одним из уникальных аспектов Voldemort является использование Google Sheets для операций C2, что позволяет ему хранить украденные данные и выполнять команды на взломанных компьютерах. Вредоносная программа взаимодействует со своим сервером C2 с помощью различных команд, таких как ping, dir, загрузка/выгрузка, exec, sleep и exit. Взаимодействуя с Google Таблицами через API Google, Voldemort может поддерживать связь и скрывать свои действия в рамках законного трафика, тем самым снижая риски обнаружения.

Для защиты от вредоносного ПО Voldemort и аналогичных киберугроз организациям рекомендуется отслеживать выполнение PowerShell на предмет аномалий, отслеживать сетевые взаимодействия с Google Таблицами, проводить обучение сотрудников защите от фишинга, чтобы распознавать подозрительные электронные письма, особенно те, которые выдают себя за электронные письма налоговых органов, и проводить регулярные тренинги по кибербезопасности, чтобы повысить способность сотрудников выявлять подозрительные электронные письма и реагировать на них. к фишинговым атакам.

В тексте подчеркивается растущая сложность киберугроз, таких как Voldemort, которые используют широко используемые бизнес-инструменты в вредоносных целях. Внедряя надежные меры кибербезопасности и информируя сотрудников о новейших тактиках фишинга, организации могут усилить свою защиту от современных киберугроз.