#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте подчеркивается значительное увеличение числа случаев развертывания вредоносного ПО "Lumma Stealer" с помощью вредоносного загрузчика "HijackLoader", использующего подписанные образцы вредоносного ПО для уклонения от обнаружения. В анализе подчеркивается сложность угрозы, тактика, используемая для ее развертывания, методы обнаружения, используемые для выявления сертификатов подписи кода, используемых с нарушениями, и необходимость в различных механизмах обнаружения для борьбы с меняющимся ландшафтом киберугроз.
-----

С середины сентября 2024 года наблюдается заметный рост распространения вредоносного ПО "Lumma Stealer" с помощью вредоносного загрузчика "HijackLoader".

2 октября 2024 года попытка развертывания HijackLoader была заблокирована HarfangLab EDR после обнаружения подписанного образца вредоносного ПО.

Было начато расследование с целью выявления нескольких сертификатов подписи кода, используемых для подписи образцов вредоносного ПО, и представления отчетов о них.

Цепочка заражения начиналась с того, что жертвы посещали вредоносный веб-сайт, на котором была представлена поддельная страница с капчей, что приводило к выполнению полезной нагрузки PowerShell с помощью сочетаний клавиш.

Скрипт PowerShell загружал и выполнял вредоносные программы с использованием таких инструментов, как mshta.exe, Invoke-Expression и msiexec.exe, что в конечном итоге привело к развертыванию вредоносного ПО HijackLoader.

Подписанный образец HijackLoader был обнаружен HarfangLab EDR 2 октября 2024 года, что свидетельствует об изменении тактики развертывания.

Использование подписанных образцов вредоносного ПО помогло обойти традиционные методы обнаружения.

Анализ выявил дополнительные злоупотребления сертификатами подписи кода, связанные с исполняемыми файлами, получающими доступ к URL-адресам, связанным с образцами HijackLoader, что свидетельствует о выдаче себя за доверенные приложения.

Инфокрад Lumma Stealer был идентифицирован как серьезная угроза, нацеленная на ценные данные, такие как криптовалютные кошельки и учетные данные пользователей.

HijackLoader использовал множество методов уклонения, включая дублирование процессов и перехват порядка поиска в DLL-библиотеке.

Нововведения злоумышленников включали поддельные страницы с капчей, сценарии PowerShell и использование законных системных инструментов, таких как mshta.exe и msiexec.exe во время развертывания вредоносного ПО.

Комплексные меры безопасности и разнообразные механизмы обнаружения, такие как мониторинг поведения системы и сканирование памяти, необходимы для борьбы с рисками, связанными с вредоносными программами с подписью.

#ParsedReport #CompletenessMedium
13-10-2024

The Manlinghua Group Deploys New MiyaRat Malware, Domestic Users Become Primary Target.

https://www.ctfiot.com/209497.html

Report completeness: Medium

Actors/Campaigns:
Bitter
Angi
Magichm
Tejas
Manling_flower

Threats:
Miyarat
Wmrat
Havoc

Victims:
Government, Enterprise

Industry:
Government

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1203, T1059.001, T1071.001, T1083, T1059, T1105

IOCs:
Hash: 6
File: 3
Url: 1
IP: 3

Soft:
WeChat

Algorithms:
md5

Win API:
WSAConnectByNameW

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Центр анализа угроз Qi'anxin активно отслеживает деятельность группы Bitter (APT-Q-37) и ее кластеров APT-атак в Южной Азии, уделяя особое внимание таким тактикам, как фишинговые кампании и распространение вредоносных программ. Они выявили различные методы атак, используемые группой, включая недавнюю вредоносную программу MiyaRat.-----

Центр анализа угроз Qi'anxin активно отслеживает многочисленные кластеры APT-атак в Южной Азии и подготовил множество подробных технических отчетов, таких как Operation Magichm, Operation Angi и Operation Tejas. Несмотря на промежуток времени с 2019 года по настоящее время, тактика, используемая этими группами, остается относительно неизменной. Злоумышленники, известные как группа Bitter (APT-Q-37), в первую очередь стремятся избежать обнаружения. Хотя их технологии атак, возможно, и не являются передовыми, их широкомасштабные фишинговые кампании в сети все еще могут воздействовать на государственные и корпоративные цели.

Группа Bitter использует устаревшие методы, такие как средства начальной атаки, такие как chm и lnk, а также более сложные вредоносные программы, такие как wmrat и .net-версии, которые создают проблемы для обнаружения на основе сигнатур. В течение года злоумышленники экспериментировали с различными методами, включая загрузку платформы havoc framework через PowerShell в июне и повторное использование плагина для кражи данных с 2018 года в июле, но эти попытки не увенчались успехом. Наконец, в сентябре они распространили новую и успешную вредоносную программу под названием MiyaRat, которая была идентифицирована и перехвачена центром анализа угроз.

Анализ вредоносной программы MiyaRat показал, что злоумышленник назвал ее "Miya" и использовал текущую версию 1.1, распространяемую в формате файла MSI. При запуске троянец расшифровывает домен C2 "samsnewlooker.com" и устанавливает соединение с сервером C2 через порт 56172 через функцию WSAConnectByNameW.

После подключения MiyaRat собирает различную системную информацию, такую как данные о диске, имена компьютеров и пользователей, пути к файлам, переменные среды и версии системы, и отправляет эти данные на сервер C2. Затем он переходит в цикл ожидания дальнейших инструкций. Вредоносная программа поддерживает различные функции, включая перечисление файлов, выполнение команд, передачу файлов и создание скриншотов. Инструкции для троянца включают рекурсивное перечисление сведений о файлах в указанных каталогах, выполнение команд в процессе командной строки и упрощение загрузки файлов с использованием определенных портовых подключений, установленных через WSAConnectByNameW.

Во время загрузки файлов троянец может преждевременно остановить передачу по указанию сервера C2. Понимание этих функциональных возможностей и схем атак жизненно важно для защитников, чтобы повысить их возможности по обнаружению и реагированию на угрозы, подобные MiyaRat.

#ParsedReport #CompletenessLow
13-10-2024

Tax Extension Malware Campaign: Threat Actors Target GitHub Comment Section to Bypass Secure Email Gateways

https://cofense.com/blog/tax-extension-malware-campaign

Report completeness: Low

Threats:
Remcos_rat
Redline_stealer

Industry:
Financial

Geo:
New zealand

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1027, T1105

IOCs:
Url: 2

Languages:
cpython, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной фишинговой кампании, обнаруженной Cofense Intelligence в 2024 году, которая использовала ссылки на GitHub для распространения вредоносного ПО. В ходе кампании использовались легальные хранилища, связанные с известными налоговыми организациями, для обмана пользователей и систем безопасности. Используя защищенные паролем архивы на GitHub и троянскую программу RemCos Remote Access (RAT), злоумышленники стремились воспользоваться приближающимися сроками уплаты налогов, чтобы подтолкнуть жертв к загрузке вредоносных файлов. Злоумышленники специально нацелились на страховую и финансовую отрасли, адаптировав свой подход к секторам, обрабатывающим конфиденциальную финансовую информацию.
-----

Фишинговая кампания, обнаруженная в 2024 году, использовала ссылки на GitHub для обхода мер безопасности электронной почты.

Кампания использовала законные хранилища от известных налоговых организаций для распространения вредоносного ПО.

Получателям, направленным с предложениями о помощи в продлении срока уплаты налогов, предлагается принять незамедлительные меры.

Вредоносная программа, скрытая в защищенных паролем архивах на GitHub, содержит троян RemCos для удаленного доступа.

Вредоносное ПО, размещенное в комментариях на GitHub, чтобы избежать обнаружения в файлах кода.

Ссылки на GitHub использовали доверие, связанное с доменом, чтобы обойти протоколы безопасности электронной почты.

Злоумышленники целенаправленно атаковали страховую и финансовую отрасли.

Кампания была направлена на сектора, работающие с конфиденциальной финансовой информацией и подверженные мошенничеству в срочном порядке.

#technique

Obfuscating a Mimikatz Downloader to Evade Defender (2024)

https://medium.com/@luisgerardomoret_69654/obfuscating-a-mimikatz-downloader-to-evade-defender-2024-b3a9098f0ae7

#ParsedReport #CompletenessMedium
14-10-2024

Water Makara Uses Obfuscated JavaScript in Spear Phishing Campaign, Targets Brazil With Astaroth Malware. Water Makara s attack chain. Water Makara Uses Obfuscated JavaScript in Spear Phishing Campaign, Targets Brazil With Astaroth Malware

https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html

Report completeness: Medium

Actors/Campaigns:
Water_makara

Threats:
Spear-phishing_technique
Astaroth

Industry:
Financial, Government, Retail

Geo:
Brazil, Latam, Latin america

TTPs:
Tactics: 5
Technics: 6

IOCs:
File: 2
Domain: 1
Url: 79

Soft:
Office 365

Algorithms:
base64, zip

Win API:
GetObject

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, chart: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа, идентифицированная как Water Makara, осуществляет вредоносную деятельность, нацеленную на предприятия в Бразилии, с упором на внедрение банковского вредоносного ПО. Группа использует тактику скрытого фишинга, чтобы обманом заставить пользователей загружать ZIP-файлы, содержащие вредоносное ПО, замаскированные под официальные налоговые документы, что в первую очередь влияет на производственные компании, розничные фирмы и правительственные учреждения. Злоумышленники используют сложные методы, такие как запутанный JavaScript, алгоритмы генерации доменов и различные методы обфускации, чтобы обойти меры безопасности. Организациям рекомендуется сохранять бдительность, внедрять передовые методы и инвестировать в средства защиты от кибербезопасности, чтобы смягчить эти новые угрозы, исходящие от Water Makara group.
-----

Исследователи Trend Micro выявили всплеск вредоносной активности, осуществляемой хакерской группой, известной как Water Makara, которая нацелена на предприятия в Бразилии с целью внедрения банковских вредоносных программ. Эта группа использует запутанный JavaScript для обхода мер безопасности, в частности, использует банковскую вредоносную программу Astaroth с новым методом обхода. Было замечено, что их острая фишинговая кампания нацелена в первую очередь на компании в Латинской Америке, особенно в Бразилии, и затрагивает различные отрасли, включая производственные компании, розничные фирмы и правительственные учреждения. Злоумышленники рассылают вредоносные электронные письма, выдавая себя за официальные налоговые документы, используя срочность подачи налоговых деклараций, чтобы обманом заставить пользователей загружать ZIP-файлы, содержащие вредоносное ПО.

Вредоносные ZIP-файлы содержат вредоносный LNK-файл, который при запуске запускает встроенные вредоносные команды JavaScript для установления соединений с сервером управления (C&C). Было замечено, что злоумышленники использовали утилиту mshta.exe для выполнения запутанных команд JavaScript, что указывает на сложный подход к распространению вредоносного ПО. ZIP-файлы маскируются под документы о подоходном налоге с физических лиц, используя имена, подобные "IRPF20248328025.zip", чтобы обмануть жертв и заставить их извлечь файлы. Кроме того, злоумышленники используют различные методы обфускации, чтобы скрыть свои вредоносные скрипты, которые обнаруживаются при расшифровке содержимого, закодированного в Base64.

Злоумышленники используют алгоритм генерации доменов (DGA) для алгоритмической генерации большого количества доменных имен, потенциально указывающих на общие C&C серверы, используемые вредоносной программой Astaroth. Данные телеметрии Trend Micro показывают, что от этих кибератак в наибольшей степени страдают производственные компании, предприятия розничной торговли и государственные учреждения Бразилии. Несмотря на то, что Trend Micro нейтрализует известные действия, связанные с вредоносным ПО, пользователям рекомендуется сохранять бдительность и осторожность в отношении рисков, связанных с этой фишинговой атакой.

Тактика фишинга Water Makara group направлена на то, чтобы заставить ничего не подозревающих пользователей переходить по вредоносным файлам, демонстрируя важность осведомленности человека в защите от кибербезопасности. Чтобы смягчить такие угрозы, организациям следует внедрять передовые методы, такие как регулярное обучение по вопросам безопасности, применение политики надежных паролей, использование многофакторной аутентификации (MFA), поддержание в актуальном состоянии решений и программного обеспечения для обеспечения безопасности и соблюдение принципа наименьших привилегий. Компаниям крайне важно инвестировать в средства кибербезопасности для защиты от таких развивающихся угроз, как вредоносное ПО Astaroth и тактика, применяемая хакерской группой Water Makara.

#ParsedReport #CompletenessMedium
14-10-2024

FASTCash for Linux

https://doubleagent.net/fastcash-for-linux

Report completeness: Medium

Actors/Campaigns:
Lazarus
Bluenoroff

Threats:
Fastcash
Process_injection_technique
Upx_tool

Industry:
Financial, Retail, Telco

Geo:
Turkish, Indian, North korean, Dprk, Australia

ChatGPT TTPs:
do not use without manual check
T1055

IOCs:
File: 2
Hash: 12

Soft:
UNIX, Ubuntu

Algorithms:
aes-128, sha256, aes, cbc

Functions:
GetSymbolFailed, recv, PlatformSocketSend

Links:
have more...
https://github.com/fboldewin/FastCashMalwareDissected/blob/master/Operation%20Fast%20Cash%20-%20Hidden%20Cobra%E2%80%98s%20AIX%20PowerPC%20malware%20dissected.pdf?ref=doubleagent.net
https://github.com/jrodriguesd/atm-driver/tree/main/modules/atm-driver-ndc?ref=doubleagent.net
https://github.com/horsicq/Detect-It-Easy?ref=doubleagent.net

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, table: 1, dump: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ базирующегося на Linux варианта вредоносной программы FastCash, приписываемой КНДР, нацеленной на платежные системы для облегчения несанкционированного снятия наличных в банкоматах. Версия для Linux, "FastCash для Linux", перехватывает неудачные транзакции по карте, добавляет средства и утверждает их до поступления к покупателю. В нем подчеркивается эволюционирующий характер вредоносной кампании, общие свойства реагирования на мошеннические транзакции в версиях Linux и Windows, нацеленных на схожую платежную инфраструктуру в пределах страны, а также техническая изощренность манипуляций вредоносного ПО с элементами данных финансовых транзакций. Даны рекомендации по созданию надежных возможностей обнаружения для противодействия возникающим киберугрозам в серверных средах Linux.
-----

В статье анализируется недавно обнаруженный вариант вредоносной программы FastCash, распространяемой в КНДР, на базе Linux, который нацелен на платежные коммутаторы в скомпрометированных сетях, чтобы обеспечить несанкционированное снятие наличных в банкоматах. Версия для Linux, называемая "FastCash для Linux", перехватывает неудачные транзакции по карте, добавляет средства и утверждает их до того, как они дойдут до покупателя. Этот вариант Linux расширяет совместимость вредоносного ПО не только с IBM AIX и Microsoft Windows, но и с Windows-версией, предназначенной для банков, использующих приложения switch на серверах Windows и процессорах межбанковских платежей. Примечательно, что вместе с представленным вариантом Linux были обнаружены совпадающие образцы Windows, что свидетельствует о продолжающемся развитии кампании по борьбе с вредоносным ПО.

Анализ показывает, что как Linux-, так и Windows-версии FastCash ориентированы на схожую платежную инфраструктуру в пределах одной страны, о чем свидетельствуют общие свойства реагирования на мошеннические транзакции. Несмотря на то, что версия для Linux предлагает несколько меньшую функциональность по сравнению со своим аналогом для Windows, она по-прежнему перехватывает отклоненные транзакции и авторизует их с помощью случайных сумм в турецких лирах. Пример Windows FastCash, switch.dll приписываемый HIDDEN COBRA, указывает на финансово мотивированное вторжение в группу Lazarus.

В статье рассказывается о роли организаций в финансовых сетях, таких как эквайеры, эмитенты и карточные системы, а также о том, как они взаимодействуют для облегчения транзакций. В статье подчеркивается важность платежных коммутаторов, которые служат посредниками при передаче сообщений о транзакциях по картам между конечными точками, такими как банкоматы и банковские хосты. В сообщении подробно описывается формат сообщений ISO8583, необходимый для финансовых транзакций, а также такие элементы данных, как PAN, код обработки и сумма транзакции, которыми манипулирует вредоносная программа FastCash для проведения незамеченных мошеннических транзакций.

Технические подробности, касающиеся варианта Linux FastCash, скомпилированного для Ubuntu Linux 22.04 с GCC 11.3.0, проливают свет на потенциальные целевые экосистемы, такие как программное обеспечение ATM switch, разработанное такими компаниями, как ATOS, ACI и BCP. Манипулирование сообщениями ISO8583 в версии Linux, шифрование PIN-кодов и механизмы внедрения свидетельствуют о сложной тактике вредоносного ПО, позволяющей избежать обнаружения и осуществлять мошеннические действия. Кроме того, настройки элементов данных вредоносного ПО и интеграция с общими библиотеками с помощью ptrace демонстрируют высокий уровень технической подготовки злоумышленника.

Анализ подчеркивает важность надежных возможностей обнаружения для выявления методов внедрения процессов, таких как ptrace, используемых вредоносной программой FastCash. В рекомендациях CISA подчеркивается важность превентивных мер и эффективных механизмов обнаружения для снижения рисков, связанных с развитием киберугроз, нацеленных на серверные среды Linux.

#ParsedReport #CompletenessMedium
14-10-2024

Hidden in Plain Sight: ErrorFather s Deadly Deployment of Cerberus

https://cyble.com/blog/hidden-in-plain-sight-errorfathers-deadly-deployment-of-cerberus

Report completeness: Medium

Actors/Campaigns:
Errorfather (motivation: cyber_criminal)

Threats:
Cerberus
Ermac
Phoenix_keylogger
Chicken_tool
Statusvnc_tool
Statushvnc_tool
Hvnc_tool

Victims:
Android users

Industry:
Financial

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 3
Url: 7
Hash: 15

Soft:
Android, Chrome, Telegram

Algorithms:
base64, rc4, sha1, aes, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе киберкампании под названием "ErrorFather", использующей троянскую программу Cerberus для Android, предназначенную для пользователей Android. В кампании используются сложные методы, включая многоэтапное заражение, кейлоггинг, оверлейные атаки, VNC и алгоритм генерации домена (DGA). Анализ показывает, что злоумышленники переоснащали и перепрофилировали утечку кода на базе Cerberus для совершения финансовых махинаций против пользователей Android, подчеркивая сохраняющийся риск, связанный с такими атаками, даже спустя годы после обнаружения первоначального вредоносного ПО.
-----

Лаборатории Cyble Research and Intelligence Labs раскрыли киберкампанию "ErrorFather", в которой использовался необнаруженный банковский троян Cerberus для Android, нацеленный на пользователей Android.

Кампания включает в себя сложную цепочку заражения, состоящую из нескольких этапов, что затрудняет усилия по обнаружению и удалению инфекции.

Активность кампании ErrorFather возросла в сентябре и октябре 2024 года, что свидетельствует об активном нацеливании и масштабировании действий участников угрозы.

Конечная полезная нагрузка кампании включает в себя ведение кейлогга, оверлейные атаки, VNC и алгоритм генерации домена (DGA) для вредоносных действий.

Банковский троянец Cerberus для Android приобрел дурную славу за то, что нацелился на финансовые приложения и приложения для социальных сетей с помощью таких методов, как кейлоггинг, оверлейные атаки, VNC и использование сервиса специальных возможностей.

Новые варианты, такие как "Alien" и "ERMAC", появились после утечки исходного кода Cerberus, а также банковского трояна Phoenix для Android.

Кампания ErrorFather содержит около 15 примеров, связанных с дропперами на основе сеансов и их полезной нагрузкой, а текущие кампании поддерживаются активным сервером управления (C&C).

Конечная полезная нагрузка вредоносного ПО включает в себя такие функции, как кейлоггинг, оверлейные атаки, VNC и сбор персональных данных.

Несмотря на низкое количество обнаружений на начальном этапе, более глубокий анализ выявил значительное сходство кода с Cerberus в финальной полезной нагрузке, используемой в кампании ErrorFather.

Вредоносная программа использует методы для получения доступа к серверам C&C, реализации функций VNC и наложения атак для осуществления своей вредоносной деятельности.

Кампания отражает тенденцию киберпреступников к повторному использованию просочившегося вредоносного ПО, подчеркивая сохраняющиеся риски, связанные с атаками на базе Cerberus.

Несмотря на изменения, суть кампании ErrorFather по-прежнему основана на оригинальном коде Cerberus, что подчеркивает постоянную угрозу, исходящую от обновленного вредоносного ПО, появившегося в результате прошлых утечек.

#ParsedReport #CompletenessLow
15-10-2024

Malicious JavaScript Code Sent Through Emails via PEC (Posta Elettronica Certificata)

https://www.forcepoint.com/blog/x-labs/malicious-javascript-code-sent-via-pec-email-italy

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1047, T1564.003, T1140

IOCs:
File: 2
Domain: 2
Hash: 2
Url: 10

Soft:
curl, Console Window Host

Algorithms:
sha1, base64, xor

Functions:
honour_march_0thehas

Languages:
php, powershell, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4