#ParsedReport #CompletenessHigh
08-09-2024

APT Lazarus: Eager Crypto Beavers, Video calls and Games

https://www.group-ib.com/blog/apt-lazarus-python-scripts

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Contagious_interview
Dalbit

Threats:
Civetq
Beavertail
Invisibleferret
Anydesk_tool
Talisman
Casper

Victims:
Developers, Job-seekers, Blockchain professionals

Industry:
Entertainment, Financial

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 7
Hash: 50
Url: 8
Domain: 5
Coin: 12
Path: 1
IP: 30

Soft:
Node.js, macOS, Telegram, Proxifier, Windows Installer, Unix, Chrome, Chromium, Opera, Vivaldi, have more...

Wallets:
rabby, exodus_wallet, metamask, coinbase, tronlink, coin98, safepal, solflare, braavos_wallet, ronin_wallet, have more...

Crypto:
multiversx, ethereum, tezos, binance, casper

Algorithms:
xor, zip

Functions:
Video, eval

Languages:
python, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущих угрозах кибербезопасности, исходящих от Lazarus Group из-за их финансируемой кампании, нацеленной на разработчиков с помощью вредоносных скриптов на Python и вариантов вредоносного ПО, таких как CivetQ и BeaverTail. Группа использует тактику обмана, развивает свои возможности вредоносного ПО, использует методы обфускации и продолжает разрабатывать и модифицировать свои инструменты, чтобы избежать обнаружения и нацелиться на жертв, включая специалистов по блокчейну и криптовалютные кошельки.
-----

В тексте описывается растущая угроза, исходящая от финансируемой Lazarus Group кампании против разработчиков, в которой основное внимание уделяется их последним скриптам на Python и вариантам вредоносного по CivetQ и BeaverTail. Вредоносное ПО BeaverTail распространяется с помощью тактики обмана, такой как поддельные сценарии собеседований при приеме на работу и мошеннические приложения для видеоконференций. Кроме того, группа нацелена на профессионалов в области блокчейна через различные платформы для поиска работы, такие как WWR, Moonlight и Upwork, используя Telegram для продолжения общения и распространения вредоносного ПО.

В расфокусированный вредоносных программ, которые были первоначально определены как JavaScript, стали включать нативную версию macOS и питона вариант с расширенными возможностями, как настройка AnyDesk для удаленного доступа и Node.js trojanizing веб-проекты игры. Lazarus также использует методы обфускации, более сложные методы внедрения кода и расширенный таргетинг на браузерные расширения и данные, включая криптовалютные кошельки и приложения для создания заметок.

Кампания включает в себя постоянные обновления и модификации, позволяющие избежать обнаружения, при этом BeaverTail выступает в качестве загрузчика для последующих вредоносных программ, таких как InvisibleFerret, кроссплатформенный бэкдор на Python с такими функциями, как удаленное управление, кейлоггинг и утечка данных. Lazarus постоянно совершенствует свои средства защиты от вредоносных программ, корректируя методы обфускации, такие как шифрование в стиле матрешки, чтобы избежать обнаружения.

Группа Lazarus использует модульный подход, при котором каждый скрипт выполняет отдельные задачи, такие как извлечение данных, обеспечение сохраняемости и изменение системных файлов для удаленного доступа. Группа постоянно обновляет свои скрипты и точки входа в хранилище, чтобы избежать обнаружения и изменить свои вредоносные действия. В тексте также рассматриваются различные хранилища вредоносных программ, обнаруженные в ходе исследований, демонстрирующие широту операций Lazarus и их растущую изощренность в поиске жертв.

#ParsedReport #CompletenessLow
07-09-2024

Banking Trojans: Mekotio Looks to Expand Targets, BBTok Abuses Utility Command. Evolving lures

https://www.trendmicro.com/en_us/research/24/i/banking-trojans-mekotio-looks-to-expand-targets--bbtok-abuses-ut.html

Report completeness: Low

Threats:
Mekotio
Bbtok
Alfonso_stealer
Grandoreiro

Victims:
Latin american users, Manufacturing companies, Retail, Technology enterprises, Financial services

Industry:
Retail, Financial

Geo:
Mexico, Brazilian, Latin american, Spain, Latin americas, Chile, Columbia, Peru, Brazil, Argentina

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1105, T1082, T1071, T1543

IOCs:
File: 4
Hash: 52
Url: 8

Soft:
AutoHotKey

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, chart: 1, schema: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участники киберугроз Mekotio и BBTok нацелены на латиноамериканских пользователей с помощью передовых методов фишинга и распространения вредоносных программ, что создает значительные риски для кибербезопасности в регионе. Эти злоумышленники используют сложные методы, чтобы избежать обнаружения, расширить свою виктимологию и нацелиться на такие отрасли, как производство, розничная торговля, технологии и финансовые услуги. Организациям и пользователям рекомендуется сохранять бдительность в отношении этих развивающихся угроз и применять надежные меры кибербезопасности.
-----

Небезызвестные Mekotio и BBTok - это участники киберугроз, нацеленных на латиноамериканских пользователей, которые демонстрируют признаки возрождения, используя новые тактики, позволяющие избежать обнаружения и расширить свою виктимологию. Эти участники используют фишинг-атаки для заманивания жертв, в основном фокусируясь на деловых и судебных транзакциях. Фишинговые электронные письма содержат вредоносные вложения или ссылки, ведущие на поддельные веб-сайты, с которых жертвы неосознанно загружают вредоносное ПО в свои системы.

Mekotio, первоначально ориентированный на бразильских пользователей и банки, расширил свои цели, включив в них другие испаноязычные страны Латинской Америки и Южной Европы. Отмечается, что банда, стоящая за Mekotio, расширяет географию своего присутствия. С другой стороны, BBTok, обнаруженный в 2020 году, концентрируется на финансовом секторе Латинской Америки и имеет общие целевые страны с Mekotio. Оба семейства вредоносных программ используют сложные методы, такие как обфускация сценариев PowerShell и внедрение вредоносной полезной нагрузки в файлы, чтобы избежать обнаружения и выполнения вредоносных действий.

Эти киберпреступники распространяют банковские трояны, такие как Mekotio, BBTok и Grandoreiro, с помощью различных фишинговых схем, нацеленных на такие отрасли, как производство, розничная торговля, технологии и финансовые услуги. Целью атак является кража конфиденциальных банковских данных и проведение несанкционированных транзакций. Последние кампании Mekotio и BBTok включают в себя многоэтапные атаки, в ходе которых жертв обманом заставляют загружать вредоносные файлы, которые запускают дальнейшие процессы заражения.

В последнем варианте Mekotio используются скрипты PowerShell для загрузки дополнительных вредоносных программ после предварительной проверки. В отличие от предыдущих версий, этот вариант не ограничивает свою деятельность конкретными странами, что потенциально указывает на расширенную стратегию таргетинга. Между тем, BBTok использует MSBuild.exe для выполнения вредоносного кода, скрытого в ISO-файлах, что позволяет злоумышленникам избегать обнаружения и сохранять контроль над скомпрометированными системами.

Эти участники киберугроз демонстрируют расширенные возможности по доставке и выполнению вредоносных программ, что создает значительные риски для кибербезопасности в Латиноамериканском регионе. Организациям и пользователям необходимо проявлять бдительность в отношении фишинговых атак и применять надежные меры кибербезопасности, чтобы не стать жертвами этих развивающихся угроз.

#technique

Dump cookies and credentials directly from Chrome/Edge process memory

https://github.com/Meckazin/ChromeKatz

#ParsedReport #CompletenessLow
09-09-2024

Understanding the Voldemort Malware Campaign: A New Cybersecurity Threat Using Google Sheets. Overview of the Voldemort Malware Campaign

https://medium.com/@peris.ai/understanding-the-voldemort-malware-campaign-a-new-cybersecurity-threat-using-google-sheets-c2e46d18e355

Report completeness: Low

Threats:
Voldemort

Industry:
Aerospace, Education, Transport

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1078, T1204.002, T1059.006, T1547.001

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается глобальная вредоносная кампания под названием "Voldemort", которая использует Google Sheets в качестве командного сервера для проведения кибератак, в первую очередь направленных на кибершпионаж путем рассылки фишинговых электронных писем, нацеленных на различные сектора. В нем освещаются уникальные аспекты Voldemort, такие как использование Google Sheets для операций C2, а также даются рекомендации организациям по стратегиям защиты от этой и подобных киберугроз, подчеркивается важность осведомленности и обучения в области кибербезопасности.
-----

В тексте описывается глобальная вредоносная кампания, известная как "Voldemort", которая использует Google Sheets в качестве сервера управления (C2) для проведения кибератак и кражи данных. Вредоносная кампания была запущена 5 августа 2024 года и привела к рассылке более 20 000 фишинговых электронных писем, нацеленных на такие секторы, как страхование, аэрокосмическая промышленность, транспорт и образование. Считается, что основной целью Волдеморта был кибершпионаж, хотя точные личности и мотивы нападавших неясны.

Злоумышленники используют метод олицетворения, отправляя фишинговые электронные письма, которые выдают себя за налоговые органы, чтобы заставить получателей перейти по вредоносным ссылкам. Эти ссылки ведут жертв по нескольким URL-адресам, запуская вредоносный скрипт на Python, который активирует вредоносную программу Voldemort. Как вредоносная программа на базе C, Voldemort может извлекать конфиденциальные данные, развертывать дополнительные вредоносные программы, выполнять удаленные команды и многое другое.

Одним из уникальных аспектов Voldemort является использование Google Sheets для операций C2, что позволяет ему хранить украденные данные и выполнять команды на взломанных компьютерах. Вредоносная программа взаимодействует со своим сервером C2 с помощью различных команд, таких как ping, dir, загрузка/выгрузка, exec, sleep и exit. Взаимодействуя с Google Таблицами через API Google, Voldemort может поддерживать связь и скрывать свои действия в рамках законного трафика, тем самым снижая риски обнаружения.

Для защиты от вредоносного ПО Voldemort и аналогичных киберугроз организациям рекомендуется отслеживать выполнение PowerShell на предмет аномалий, отслеживать сетевые взаимодействия с Google Таблицами, проводить обучение сотрудников защите от фишинга, чтобы распознавать подозрительные электронные письма, особенно те, которые выдают себя за электронные письма налоговых органов, и проводить регулярные тренинги по кибербезопасности, чтобы повысить способность сотрудников выявлять подозрительные электронные письма и реагировать на них. к фишинговым атакам.

В тексте подчеркивается растущая сложность киберугроз, таких как Voldemort, которые используют широко используемые бизнес-инструменты в вредоносных целях. Внедряя надежные меры кибербезопасности и информируя сотрудников о новейших тактиках фишинга, организации могут усилить свою защиту от современных киберугроз.

#ParsedReport #CompletenessMedium
08-09-2024

Year-Long Campaign of Malicious npm Packages Targeting Roblox Users

https://checkmarx.com/blog/year-long-campaign-of-malicious-npm-packages-targeting-roblox-users

Report completeness: Medium

Threats:
Supply_chain_technique
Quasar_rat
Combosquatting_technique
Starjacking_technique
Typosquatting_technique

Victims:
Roblox developers

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1105, T1562.001, T1059.007, T1071.001, T1204.002

IOCs:
File: 4
Registry: 1
Url: 3

Soft:
Roblox, Discord, Windows registry, Windows Defender, Windows security

Algorithms:
base64

Links:
https://github.com/aspdasdksa2/callback/

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Более года продолжается постоянная вредоносная кампания, нацеленная на разработчиков Roblox с помощью вредоносных пакетов NPM, имитирующих библиотеку "noblox.js". Злоумышленники используют обманную тактику, такую как брендджекинг и комбо-сквоттинг, чтобы обманом заставить разработчиков установить вредоносное ПО, которое может красть конфиденциальные данные, компрометировать системы и обходить меры безопасности. Вредоносная программа использует постинсталляционный механизм NPM и манипулирует ключами реестра Windows для обеспечения сохраняемости, а также подрывает программное обеспечение безопасности, такое как Malwarebytes и Windows Defender. Злоумышленники используют веб-интерфейс Discord для фильтрации данных и развертывают QuasarRAT для удаленного доступа и контроля. Разработчиков предупреждают о необходимости тщательной проверки пакетов и мониторинга деятельности экосистемы с открытым исходным кодом для защиты от атак в цепочке поставок.
-----

Вредоносная кампания, нацеленная на разработчиков Roblox с помощью вредоносных пакетов NPM, имитирующих библиотеку "noblox.js", продолжается уже более года.

Злоумышленники используют такие тактики, как брендджекинг, комбо-сквоттинг и старджекинг, чтобы вредоносные пакеты выглядели законными и заслуживающими доверия.

Возможности вредоносного ПО включают кражу токенов Discord, сбор системной информации, обеспечение постоянства и развертывание дополнительных полезных функций, таких как Quasar RAT.

Вредоносные пакеты используют функцию автоматического запуска NPM после установки и манипулируют разделами реестра Windows для получения долгосрочного доступа.

Вредоносная программа подрывает работу программного обеспечения безопасности и загружает дополнительные исполняемые файлы из репозитория злоумышленника на GitHub.

Злоумышленники используют веб-узел Discord для отправки собранной конфиденциальной информации на сервер управления.

QuasarRAT развертывается на завершающей стадии, обеспечивая удаленный доступ и широкий контроль над зараженными системами.

Вредоносные пакеты исходят из активного репозитория GitHub, принадлежащего пользователю "aspdasdksa2", и размещаются в таких репозиториях, как "noblox-spoof"..

Разработчикам рекомендуется тщательно проверять пакеты, отслеживать подозрительные действия и уделять приоритетное внимание обеспечению безопасности для защиты от атак в цепочке поставок.

#ParsedReport #CompletenessHigh
09-09-2024

Russian Military Cyber Actors Target U.S. and Global Critical Infrastructure

https://media.defense.gov/2024/Sep/05/2003537870/-1/-1/0/CSA-Russian-Military-Cyber-Target-US-Global-CI.PDF

Report completeness: High

Actors/Campaigns:
Cadet_blizzard
Ruinous_ursa
Ember_bear
Unc2589
Emissary_panda

Threats:
Whispergate
Acunetix_tool
Nmap_tool
Droopescan_tool
Joomscan_tool
Masscan_tool
Netcat_tool
Wpscan_tool
Impacket_tool
Raspberry_robin
Saintbot
Passthehash_technique
Proxychains_tool
Bloodhound_tool
Crackmapexec_tool
Linpeas_tool
Password_spray_technique
Dns_tunneling_technique
Credential_dumping_technique
Meterpreter_tool
Supply_chain_technique
Eazfuscator_tool
Advancedrun_tool
Whisperkill
Upas

Industry:
Critical_infrastructure, Healthcare, Transport, Government, Iot, Education, Military, Energy, Software_development

Geo:
Australian, Latvian, Asian, America, Asia, Canada, German, United kingdom, Ukrainian, American, Russian, Latin america, Netherlands, Ukraine, Canadian, Czech

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit project polkit (<121)

CVE-2022-27666 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.17)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)

CVE-2022-26138 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian questions for confluence (2.7.34, 2.7.35, 3.0.2)

CVE-2021-33044 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2021-33045 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo project sudo (<1.8.32, <1.9.5)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 11
Technics: 30

IOCs:
File: 22
Hash: 179
Domain: 2
Url: 7
Path: 4
Command: 1
IP: 24

Soft:
Scripting Engine, Active Directory, Confluence, SSHPass, MySQL, psexec, Microsoft Outlook, Local Security Authority, Discord, Microsoft Word, have more...

Crypto:
bitcoin

Algorithms:
rc4, md5, xor, zip, sha256, gzip, base64

Win API:
ARC

Win Services:
WebClient

Languages:
visual_basic, perl, php, java, powershell

Links:
https://github.com/jbaines-r7/through\_the\_wire
https://github.com/OWASP/joomscan
https://github.com/owasp-amass/amass
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности подразделения 29155 ГРУ, российской кибергруппы, которая с 2020 года нацелена на глобальные организации, занимающиеся вредоносной кибердеятельностью, с недавним акцентом на Украину в 2022 году. В рекомендациях предлагаются меры безопасности для смягчения этих киберугроз, подробно описываются тактика, инструменты и методы участников, особое внимание уделяется вредоносному ПО WhisperGate и его операционной инфраструктуре через учетные записи Discord. В тексте подчеркивается важность исправления уязвимостей, сегментации сети, защиты учетных данных, мониторинга системы и тестирования средств защиты для противодействия этим угрозам. Кроме того, в нем рассматриваются функциональные возможности вредоносного ПО, логика расшифровки и разрушительные возможности, включая информацию о действиях злоумышленников, использующих промежуточные хосты и законные службы для несанкционированного доступа.
-----

Подразделение 29155 ГРУ, российская кибергруппа, с 2020 года осуществляет вредоносную кибератаку, направленную против глобальных организаций с целью шпионажа, саботажа и нанесения ущерба репутации.

Вредоносная программа WhisperGate была развернута против нескольких украинских организаций начиная с 13 января 2022 года.

Участники подразделения 29155 нападали на членов НАТО и продавали или разглашали полученные данные о жертвах.

Они нацелены на такие важные секторы, как государственное управление, финансы, транспорт, энергетика и здравоохранение во многих регионах.

Участники используют общепринятые методы объединения в красную команду и общедоступные инструменты, чтобы избежать рисков присвоения авторства.

Они используют уязвимости в системах, подключенных к Интернету, и используют сети конфиденциальности для обеспечения анонимности.

Организациям рекомендуется устранять известные уязвимости, проводить сканирование уязвимостей и внедрять сегментацию сети для противодействия этим угрозам.

Вредоносная программа WhisperGate распространяется через учетные записи Discord и включает в себя двухэтапный процесс.

Образцы вредоносных программ, таких как stage2.exe и Tbopbh.jpg, анализируются, выявляя логику шифрования и разрушительные возможности.

Злоумышленники используют jump-хосты для несанкционированного доступа в защищенных сетях и используют законные сервисы, такие как ngrok, для вредоносных целей.

#ParsedReport #CompletenessMedium
09-09-2024

Loki: a new private agent for the popular Mythic framework

https://securelist.com/loki-agent-for-mythic/113596

Report completeness: Medium

Threats:
Mythic_c2
Loki_backdoor
Loki_bot
Loki_locker
Backdoor.win64.mloki
Apfell_tool
Havoc
Gtunnel_tool

Victims:
Russian companies

Industry:
Healthcare

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1071, T1090, T1566, T1027

IOCs:
Url: 4
File: 7
Hash: 18

Soft:
macOS

Algorithms:
base64, sha1, sha256, md5, aes

Platforms:
cross-platform, x64