#ParsedReport #CompletenessMedium
14-10-2024

Water Makara Uses Obfuscated JavaScript in Spear Phishing Campaign, Targets Brazil With Astaroth Malware. Water Makara s attack chain. Water Makara Uses Obfuscated JavaScript in Spear Phishing Campaign, Targets Brazil With Astaroth Malware

https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html

Report completeness: Medium

Actors/Campaigns:
Water_makara

Threats:
Spear-phishing_technique
Astaroth

Industry:
Financial, Government, Retail

Geo:
Brazil, Latam, Latin america

TTPs:
Tactics: 5
Technics: 6

IOCs:
File: 2
Domain: 1
Url: 79

Soft:
Office 365

Algorithms:
base64, zip

Win API:
GetObject

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, chart: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа, идентифицированная как Water Makara, осуществляет вредоносную деятельность, нацеленную на предприятия в Бразилии, с упором на внедрение банковского вредоносного ПО. Группа использует тактику скрытого фишинга, чтобы обманом заставить пользователей загружать ZIP-файлы, содержащие вредоносное ПО, замаскированные под официальные налоговые документы, что в первую очередь влияет на производственные компании, розничные фирмы и правительственные учреждения. Злоумышленники используют сложные методы, такие как запутанный JavaScript, алгоритмы генерации доменов и различные методы обфускации, чтобы обойти меры безопасности. Организациям рекомендуется сохранять бдительность, внедрять передовые методы и инвестировать в средства защиты от кибербезопасности, чтобы смягчить эти новые угрозы, исходящие от Water Makara group.
-----

Исследователи Trend Micro выявили всплеск вредоносной активности, осуществляемой хакерской группой, известной как Water Makara, которая нацелена на предприятия в Бразилии с целью внедрения банковских вредоносных программ. Эта группа использует запутанный JavaScript для обхода мер безопасности, в частности, использует банковскую вредоносную программу Astaroth с новым методом обхода. Было замечено, что их острая фишинговая кампания нацелена в первую очередь на компании в Латинской Америке, особенно в Бразилии, и затрагивает различные отрасли, включая производственные компании, розничные фирмы и правительственные учреждения. Злоумышленники рассылают вредоносные электронные письма, выдавая себя за официальные налоговые документы, используя срочность подачи налоговых деклараций, чтобы обманом заставить пользователей загружать ZIP-файлы, содержащие вредоносное ПО.

Вредоносные ZIP-файлы содержат вредоносный LNK-файл, который при запуске запускает встроенные вредоносные команды JavaScript для установления соединений с сервером управления (C&C). Было замечено, что злоумышленники использовали утилиту mshta.exe для выполнения запутанных команд JavaScript, что указывает на сложный подход к распространению вредоносного ПО. ZIP-файлы маскируются под документы о подоходном налоге с физических лиц, используя имена, подобные "IRPF20248328025.zip", чтобы обмануть жертв и заставить их извлечь файлы. Кроме того, злоумышленники используют различные методы обфускации, чтобы скрыть свои вредоносные скрипты, которые обнаруживаются при расшифровке содержимого, закодированного в Base64.

Злоумышленники используют алгоритм генерации доменов (DGA) для алгоритмической генерации большого количества доменных имен, потенциально указывающих на общие C&C серверы, используемые вредоносной программой Astaroth. Данные телеметрии Trend Micro показывают, что от этих кибератак в наибольшей степени страдают производственные компании, предприятия розничной торговли и государственные учреждения Бразилии. Несмотря на то, что Trend Micro нейтрализует известные действия, связанные с вредоносным ПО, пользователям рекомендуется сохранять бдительность и осторожность в отношении рисков, связанных с этой фишинговой атакой.

Тактика фишинга Water Makara group направлена на то, чтобы заставить ничего не подозревающих пользователей переходить по вредоносным файлам, демонстрируя важность осведомленности человека в защите от кибербезопасности. Чтобы смягчить такие угрозы, организациям следует внедрять передовые методы, такие как регулярное обучение по вопросам безопасности, применение политики надежных паролей, использование многофакторной аутентификации (MFA), поддержание в актуальном состоянии решений и программного обеспечения для обеспечения безопасности и соблюдение принципа наименьших привилегий. Компаниям крайне важно инвестировать в средства кибербезопасности для защиты от таких развивающихся угроз, как вредоносное ПО Astaroth и тактика, применяемая хакерской группой Water Makara.

#ParsedReport #CompletenessMedium
14-10-2024

FASTCash for Linux

https://doubleagent.net/fastcash-for-linux

Report completeness: Medium

Actors/Campaigns:
Lazarus
Bluenoroff

Threats:
Fastcash
Process_injection_technique
Upx_tool

Industry:
Financial, Retail, Telco

Geo:
Turkish, Indian, North korean, Dprk, Australia

ChatGPT TTPs:
do not use without manual check
T1055

IOCs:
File: 2
Hash: 12

Soft:
UNIX, Ubuntu

Algorithms:
aes-128, sha256, aes, cbc

Functions:
GetSymbolFailed, recv, PlatformSocketSend

Links:
have more...
https://github.com/fboldewin/FastCashMalwareDissected/blob/master/Operation%20Fast%20Cash%20-%20Hidden%20Cobra%E2%80%98s%20AIX%20PowerPC%20malware%20dissected.pdf?ref=doubleagent.net
https://github.com/jrodriguesd/atm-driver/tree/main/modules/atm-driver-ndc?ref=doubleagent.net
https://github.com/horsicq/Detect-It-Easy?ref=doubleagent.net

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, table: 1, dump: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ базирующегося на Linux варианта вредоносной программы FastCash, приписываемой КНДР, нацеленной на платежные системы для облегчения несанкционированного снятия наличных в банкоматах. Версия для Linux, "FastCash для Linux", перехватывает неудачные транзакции по карте, добавляет средства и утверждает их до поступления к покупателю. В нем подчеркивается эволюционирующий характер вредоносной кампании, общие свойства реагирования на мошеннические транзакции в версиях Linux и Windows, нацеленных на схожую платежную инфраструктуру в пределах страны, а также техническая изощренность манипуляций вредоносного ПО с элементами данных финансовых транзакций. Даны рекомендации по созданию надежных возможностей обнаружения для противодействия возникающим киберугрозам в серверных средах Linux.
-----

В статье анализируется недавно обнаруженный вариант вредоносной программы FastCash, распространяемой в КНДР, на базе Linux, который нацелен на платежные коммутаторы в скомпрометированных сетях, чтобы обеспечить несанкционированное снятие наличных в банкоматах. Версия для Linux, называемая "FastCash для Linux", перехватывает неудачные транзакции по карте, добавляет средства и утверждает их до того, как они дойдут до покупателя. Этот вариант Linux расширяет совместимость вредоносного ПО не только с IBM AIX и Microsoft Windows, но и с Windows-версией, предназначенной для банков, использующих приложения switch на серверах Windows и процессорах межбанковских платежей. Примечательно, что вместе с представленным вариантом Linux были обнаружены совпадающие образцы Windows, что свидетельствует о продолжающемся развитии кампании по борьбе с вредоносным ПО.

Анализ показывает, что как Linux-, так и Windows-версии FastCash ориентированы на схожую платежную инфраструктуру в пределах одной страны, о чем свидетельствуют общие свойства реагирования на мошеннические транзакции. Несмотря на то, что версия для Linux предлагает несколько меньшую функциональность по сравнению со своим аналогом для Windows, она по-прежнему перехватывает отклоненные транзакции и авторизует их с помощью случайных сумм в турецких лирах. Пример Windows FastCash, switch.dll приписываемый HIDDEN COBRA, указывает на финансово мотивированное вторжение в группу Lazarus.

В статье рассказывается о роли организаций в финансовых сетях, таких как эквайеры, эмитенты и карточные системы, а также о том, как они взаимодействуют для облегчения транзакций. В статье подчеркивается важность платежных коммутаторов, которые служат посредниками при передаче сообщений о транзакциях по картам между конечными точками, такими как банкоматы и банковские хосты. В сообщении подробно описывается формат сообщений ISO8583, необходимый для финансовых транзакций, а также такие элементы данных, как PAN, код обработки и сумма транзакции, которыми манипулирует вредоносная программа FastCash для проведения незамеченных мошеннических транзакций.

Технические подробности, касающиеся варианта Linux FastCash, скомпилированного для Ubuntu Linux 22.04 с GCC 11.3.0, проливают свет на потенциальные целевые экосистемы, такие как программное обеспечение ATM switch, разработанное такими компаниями, как ATOS, ACI и BCP. Манипулирование сообщениями ISO8583 в версии Linux, шифрование PIN-кодов и механизмы внедрения свидетельствуют о сложной тактике вредоносного ПО, позволяющей избежать обнаружения и осуществлять мошеннические действия. Кроме того, настройки элементов данных вредоносного ПО и интеграция с общими библиотеками с помощью ptrace демонстрируют высокий уровень технической подготовки злоумышленника.

Анализ подчеркивает важность надежных возможностей обнаружения для выявления методов внедрения процессов, таких как ptrace, используемых вредоносной программой FastCash. В рекомендациях CISA подчеркивается важность превентивных мер и эффективных механизмов обнаружения для снижения рисков, связанных с развитием киберугроз, нацеленных на серверные среды Linux.

#ParsedReport #CompletenessMedium
14-10-2024

Hidden in Plain Sight: ErrorFather s Deadly Deployment of Cerberus

https://cyble.com/blog/hidden-in-plain-sight-errorfathers-deadly-deployment-of-cerberus

Report completeness: Medium

Actors/Campaigns:
Errorfather (motivation: cyber_criminal)

Threats:
Cerberus
Ermac
Phoenix_keylogger
Chicken_tool
Statusvnc_tool
Statushvnc_tool
Hvnc_tool

Victims:
Android users

Industry:
Financial

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 3
Url: 7
Hash: 15

Soft:
Android, Chrome, Telegram

Algorithms:
base64, rc4, sha1, aes, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе киберкампании под названием "ErrorFather", использующей троянскую программу Cerberus для Android, предназначенную для пользователей Android. В кампании используются сложные методы, включая многоэтапное заражение, кейлоггинг, оверлейные атаки, VNC и алгоритм генерации домена (DGA). Анализ показывает, что злоумышленники переоснащали и перепрофилировали утечку кода на базе Cerberus для совершения финансовых махинаций против пользователей Android, подчеркивая сохраняющийся риск, связанный с такими атаками, даже спустя годы после обнаружения первоначального вредоносного ПО.
-----

Лаборатории Cyble Research and Intelligence Labs раскрыли киберкампанию "ErrorFather", в которой использовался необнаруженный банковский троян Cerberus для Android, нацеленный на пользователей Android.

Кампания включает в себя сложную цепочку заражения, состоящую из нескольких этапов, что затрудняет усилия по обнаружению и удалению инфекции.

Активность кампании ErrorFather возросла в сентябре и октябре 2024 года, что свидетельствует об активном нацеливании и масштабировании действий участников угрозы.

Конечная полезная нагрузка кампании включает в себя ведение кейлогга, оверлейные атаки, VNC и алгоритм генерации домена (DGA) для вредоносных действий.

Банковский троянец Cerberus для Android приобрел дурную славу за то, что нацелился на финансовые приложения и приложения для социальных сетей с помощью таких методов, как кейлоггинг, оверлейные атаки, VNC и использование сервиса специальных возможностей.

Новые варианты, такие как "Alien" и "ERMAC", появились после утечки исходного кода Cerberus, а также банковского трояна Phoenix для Android.

Кампания ErrorFather содержит около 15 примеров, связанных с дропперами на основе сеансов и их полезной нагрузкой, а текущие кампании поддерживаются активным сервером управления (C&C).

Конечная полезная нагрузка вредоносного ПО включает в себя такие функции, как кейлоггинг, оверлейные атаки, VNC и сбор персональных данных.

Несмотря на низкое количество обнаружений на начальном этапе, более глубокий анализ выявил значительное сходство кода с Cerberus в финальной полезной нагрузке, используемой в кампании ErrorFather.

Вредоносная программа использует методы для получения доступа к серверам C&C, реализации функций VNC и наложения атак для осуществления своей вредоносной деятельности.

Кампания отражает тенденцию киберпреступников к повторному использованию просочившегося вредоносного ПО, подчеркивая сохраняющиеся риски, связанные с атаками на базе Cerberus.

Несмотря на изменения, суть кампании ErrorFather по-прежнему основана на оригинальном коде Cerberus, что подчеркивает постоянную угрозу, исходящую от обновленного вредоносного ПО, появившегося в результате прошлых утечек.

#ParsedReport #CompletenessLow
15-10-2024

Malicious JavaScript Code Sent Through Emails via PEC (Posta Elettronica Certificata)

https://www.forcepoint.com/blog/x-labs/malicious-javascript-code-sent-via-pec-email-italy

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1047, T1564.003, T1140

IOCs:
File: 2
Domain: 2
Hash: 2
Url: 10

Soft:
curl, Console Window Host

Algorithms:
sha1, base64, xor

Functions:
honour_march_0thehas

Languages:
php, powershell, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении вредоносного скрипта PowerShell, который использует операции XOR над массивами и запутанные ASCII-коды для взаимодействия с определенными URL-адресами, потенциально в вредоносных целях, через инструментарий управления Windows (WMI). Кроме того, в тексте подчеркивается угроза использования Posta Elettronica Certificata (PEC) для доставки вредоносных электронных писем с запутанным кодом JavaScript и упоминается, как Forcepoint обеспечивает защиту от таких угроз, выявляя и блокируя вредоносные URL-адреса и домены.
-----

В тексте описывается вредоносный скрипт, который использует операции XOR между элементами двух массивов. Результат преобразуется в символы с помощью String.fromCharCode(). Скрипт написан в PowerShell и, по-видимому, запутан. Ключевые элементы включают динамическое создание нового псевдонима с именем "press" на основе переменной, использование чисел, представляющих запутанные ASCII-коды, и выполнение команд для взаимодействия с определенным URL-адресом с помощью curl.

Скрипт также ссылается на переменные и функции, такие как "honour_march_0wasbut", которые инициализируют функции и переменные на основе определенных условий. Он использует инструментарий управления Windows (WMI) для доступа к системной информации и взаимодействия с процессами, что потенциально может быть использовано в вредоносных целях, таких как завершение процессов, связанных с безопасностью, или запуск нежелательных процессов в скрытом режиме.

Скрипт содержит строки с комментариями и скрытый активный код между ними, который может привести к хранению нежелательных данных в памяти и скрыть вредоносный код. Он также содержит запутанный код PowerShell для подключения к промежуточному URL-адресу, который может быть сервером управления.

В тексте подчеркивается растущая угроза использования Posta Elettronica Certificata (PEC) для доставки нежелательных электронных писем с вредоносным и запутанным кодом JavaScript, используя доверие, связанное с PEC, для обхода фильтров безопасности. Клиенты Forcepoint защищены от этой угрозы на различных этапах атаки, включая идентификацию и блокировку вредоносных URL-адресов, добавление файлов-дропперов в базу данных вредоносных программ и блокировку доменов управления.

#ParsedReport #CompletenessLow
16-10-2024

Using ZoomEye Platform for C2 Asset Expansion. 1 Abstract

https://medium.com/@knownsec404team/using-zoomeye-platform-for-c2-asset-expansion-50ee8d779c39?source=rss-f1efd6b74751------2

Report completeness: Low

Threats:
Avoslocker
Cobalt_strike
Metasploit_tool

Industry:
Critical_infrastructure

Geo:
London

ChatGPT TTPs:
do not use without manual check
T1105, T1003, T1572, T1055, T1071, T1102, T1190, T1018

IOCs:
IP: 6
File: 17
Hash: 17

Soft:
Debian, ApacheBench

Functions:
C2

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, dump: 3, table: 2, code: 3, schema: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье рассматривается анализ ресурсов сервера C2 хакерской организации с акцентом на использование ими программ-вымогателей, троянских файлов и популярных инструментов атаки, таких как CobaltStrike и Metasploit. Исследователи определили оперативную тактику, каналы связи, характеристики файлов и схемы работы организации, что пролило свет на их методы работы и предоставило ценную информацию специалистам по кибербезопасности и правоохранительным органам.
-----

Идентифицирована хакерская организация, использующая AvosLocker.exe файл, связанный с программой-вымогателем AvosLocker.

Использовал CobaltStrike и Metasploit для создания образцов троянской программы C2.

Серверы C2 в основном работали на коммуникационных портах в диапазоне 7000-8000.

Концентрированные серверные ресурсы C2 в Великобритании с четким разделением труда.

Наблюдается сдвиг в сторону более доступного и низкопорогового подхода к борьбе с киберпреступностью.

Сосредоточьтесь на расширении сети с помощью программ-вымогателей и сбора паролей на скомпрометированных хостингах.

Последовательное использование троянских программ CobaltStrike и Metasploit на разных серверах.

Порты связи для активов C2 в основном находились в диапазоне 7000-8000.

Наблюдался централизованный контроль и последовательный подход к разработке вредоносных программ внутри организации.

Предоставлена информация об оперативной тактике, наборах инструментов и инфраструктуре хакерской организации, связанной с деятельностью программ-вымогателей.

#ParsedReport #CompletenessHigh
15-10-2024

Beyond the Surface: the evolution and expansion of the SideWinder APT group

https://securelist.com/sidewinder-apt/114089

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Tealerbot
Spear-phishing_technique
Sandbox_evasion_technique
Uac_bypass_technique
Putty_tool
Confuserex_tool

Industry:
Military, Logistic, Petroleum, Education, Telco, Government

Geo:
Asia, Indonesia, Jordan, Sri lanka, Morocco, France, Djibouti, Nepal, Malaysia, United arab emirates, Middle east, Africa, Saudi arabia, Arab emirates, Bangladesh, Turkey, Afghanistan, Pakistan, India, Maldives, China, Myanmar

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1218.005, T1036.005, T1562.001, T1574.002, T1115, T1033, T1497.001, T1082, have more...

IOCs:
Hash: 60
File: 34
Url: 1
Path: 4
Domain: 99

Soft:
Microsoft Office, Windows Registry, Telnet client, Windows Defender, Google Chrome, Gmail

Algorithms:
xor, zip, base64, des, aes, gzip

Win API:
GlobalMemoryStatusEx, GetProcAddress, GetCommandLineW, AmsiScanBuffer, SspiPrepareForCredRead, CryptProtectMemory, CredIsMarshaledCredentialW, CredUIPromptForWindowsCredentialsW, LogonUserW

Languages:
javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, chart: 1, code: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4