#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового шифровальщика вредоносных программ Horus FUD под названием Horus Protector, который используется для распространения различных семейств вредоносных программ. Вредоносная программа использует сложные механизмы заражения и распространения, при этом предоставляется подробная информация о процессе ее выполнения, доставке полезной нагрузки и злонамеренных намерениях. Кроме того, в тексте подчеркивается роль исследовательской группы SonicWall Capture Labs по изучению угроз в сборе, анализе и устранении киберугроз, а также поддержка более широкого сообщества аналитиков угроз путем предоставления подробных технических анализов для повышения устойчивости кибербезопасности.
-----

SonicWall Capture Labs обнаружила новый шифровальщик вредоносных программ Horus Protector, распространяющий различные семейства вредоносных программ, такие как AgentTesla, Remcos, Snake, njRAT и др.

Horus Protector использует сложную цепочку заражения и механизмы распространения для распространения вредоносной полезной нагрузки, часто доставляемой с помощью скриптов в архивных файлах.

Скрипты VBE подключаются к серверу ЧПУ по адресу hxxp://144.91.79.54, чтобы загрузить закодированные файлы и сохранить их в определенном каталоге реестра.

Второй этап работы вредоносной программы включает загрузку новой сборки, внедрение полезной нагрузки с использованием процесса удаления изображений и проверку наличия в реестре функции Боткилла.

Если в реестре установлено значение "1", указывающее на то, что БотКилл активен, вредоносная программа удаляет все следы присутствия в системе жертвы, включая удаление запланированных задач.

Horus Protector обладает способностью распространять серьезные угрозы, такие как кейлоггер SNAKE, для кражи данных.

Команда SonicWall Capture Labs ежедневно анализирует и устраняет критические уязвимости и вредоносное ПО, повышая уровень защиты клиентов по всему миру.

Команда поддерживает сообщество специалистов по анализу угроз, предоставляя подробный технический анализ значимых угроз для обеспечения эффективной защиты сети.

Постоянные усилия по предупреждению новых киберугроз и предоставлению ценной информации и аналитических материалов специалистам в области кибербезопасности для эффективного снижения рисков.

#ParsedReport #CompletenessHigh
17-10-2024

UAT-5647 targets Ukrainian and Polish entities with RomCom malware variants. UAT-5647's post-compromise activity. UAT-5647 targets Ukrainian and Polish entities with RomCom malware variants

https://blog.talosintelligence.com/uat-5647-romcom

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)

Threats:
Romcom_rat
Rustyclaw
Meltingclaw
Dustyhammock
Shadyhammock
Nltest_tool
Putty_tool
Plink_tool
Spear-phishing_technique
Password_spray_technique
Netstat_tool
Snipbot

Victims:
Ukrainian government entities

Industry:
Government

Geo:
Russian, Ukraine, Ukrainian, Russia, Polish

TTPs:
Tactics: 1
Technics: 11

IOCs:
Path: 4
File: 4
Registry: 3
Command: 8
Url: 5
IP: 11
Hash: 34
Domain: 12

Soft:
Windows registry

Algorithms:
sha256, xor

Languages:
golang, powershell, lua, rust

Platforms:
x86

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является выявление и анализ новой волны кибератак, осуществленных русскоязычной хакерской группой, известной как "UAT-5647" или "RomCom", нацеленных на украинские государственные учреждения и, возможно, польские организации. Группа внедрила обновленную версию своей вредоносной программы под названием "SingleCamper", расширила свой арсенал инструментов, занялась шпионской деятельностью с целью утечки данных и, возможно, может быть использована для распространения программ-вымогателей. Действия, предпринятые после взлома, включают в себя нацеливание на периферийные устройства, проведение сетевой разведки и использование различных тактических приемов для достижения своих целей. В тексте также освещаются вредоносные инструменты группы и методы коммуникации.
-----

Русскоязычная хакерская группа "UAT-5647" или "RomCom" идентифицирована как проводящая кибератаки на украинские государственные учреждения и потенциальные польские организации с конца 2023 года.

Группа, внедряющая обновленную вредоносную программу "SingleCamper", загруженную в реестр и связывающуюся по обратным адресам.

UAT-5647 расширил инструменты, включив RustClaw, MeltingClaw в качестве загрузчиков, DustyHammock и ShadyHammock в качестве бэкдоров.

Группа, пытающаяся взломать пограничные устройства через удаленные хосты, чтобы избежать обнаружения.

Сосредоточьтесь на долгосрочной утечке данных с помощью компонентов вредоносного ПО на GoLang, C++, RUST и LUA.

Стратегический подход предполагает первоначальный шпионаж с целью утечки данных, за которым следует потенциальное внедрение программ-вымогателей.

Действия, нацеленные на польские организации, основаны на проверке языка клавиатуры, выполняемой вредоносным ПО.

Действия после взлома, связанные со шпионскими мотивами, нацелены на периферийные устройства в скомпрометированных сетях.

Возможности SingleCamper включают передачу системной информации, выполнение команд, загрузку полезных данных и взаимодействие с загрузчиком ShadyHammock.

Цепочка заражения обычно начинается с фишинговых сообщений, доставляющих загрузчики для сохранения бэкдоров и имплантатов.

Сетевая разведка обнаружила использование таких инструментов, как Plink от PuTTY, для создания удаленных туннелей и несанкционированного доступа.

UAT-5647 использует различные тактические приемы для идентификации сетевой системы, команд и сканирования для достижения поставленных целей.

Использование значений реестра и ShadyHammock для загрузки полезной нагрузки на основе библиотек DLL, обмен данными через localhost для различных команд и взаимодействия с сервером C2.

#ParsedReport #CompletenessLow
17-10-2024

AwSpy - New Spyware Targets South Korean Android users

https://labs.k7computing.com/index.php/awspy-new-spyware-targets-south-korean-android-users

Report completeness: Low

Threats:
Awspy

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1036.005

IOCs:
File: 2
Url: 1

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что было обнаружено новое шпионское ПО, нацеленное на пользователей в Южной Корее, использующее Amazon AWS в качестве сервера управления для кражи конфиденциальной информации с зараженных устройств, маскируясь под приложение для записи и запрашивая различные разрешения при установке. Для защиты от подобных угроз пользователям рекомендуется использовать проверенные продукты безопасности, регулярно обновлять и сканировать свои устройства и воздерживаться от установки приложений из неофициальных источников.
-----

Было обнаружено новое шпионское ПО, нацеленное на пользователей в Южной Корее, использующее Amazon AWS в качестве сервера управления (C&C) для кражи конфиденциальной информации, такой как контакты, текстовые сообщения, фотографии и видео с зараженных устройств. Шпионское ПО маскируется под приложение для записи с логотипом, отображаемым в панели приложений. После установки вредоносное ПО запрашивает различные разрешения, включая доступ к SMS-сообщениям, совершение телефонных звонков и управление ими, доступ к контактам, файлам и мультимедиа на устройстве. Как только эти разрешения будут предоставлены, программа-шпион тайно собирает данные с устройства и загружает медиафайлы на сервер C&C, размещенный на hxxps://phone-books.s3.ap-northeast-2.amazonaws.com.

Программа-шпион сохраняет собранные контакты и SMS-сообщения в отдельных файлах с именами phone.json и sms.json, соответственно, перед передачей их на сервер C&C. Для снижения риска обнаружения эта операция защищена с помощью надежных облачных сервисов, таких как AWS. Для защиты от подобных угроз пользователям рекомендуется использовать проверенные продукты безопасности, такие как K7 Mobile Security, регулярно обновлять и сканировать свои устройства, а также использовать актуальные исправления для устранения уязвимостей в системе безопасности. Кроме того, пользователям следует воздерживаться от установки приложений из неофициальных источников, отличных от официального Play Store, чтобы свести к минимуму риск проникновения вредоносных программ.

#ParsedReport #CompletenessLow
17-10-2024

From Warm to Burned: Shedding Light on Updated WarmCookie Infrastructure

https://hunt.io/blog/from-warm-to-burned-shedding-light-on-updated-warmcookie-infrastructure

Report completeness: Low

Threats:
Warmcookie
Socgholish_loader
Darkgate

Geo:
Deutschland

ChatGPT TTPs:
do not use without manual check
T1105, T1071

IOCs:
IP: 30
Domain: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обновленной инфраструктуре, связанной с вредоносной кампанией WarmCookie backdoor, как подчеркивается Gen Threat Labs, включая взломанные веб-сайты, предоставляющие обновленный бэкдор с дополнительными возможностями и индикаторами компрометации, такими как IP-адрес, подключенный к серверу управления. Анализ включает в себя запрос IP-адреса для получения дополнительной информации, выявление дополнительных серверов, связанных с кампанией, на основе атрибутов сертификата и HTTP-ответов, а также выявление потенциальных совпадений между семействами вредоносных программ WarmCookie и DarkGate для будущих исследований.
-----

В тексте обсуждается обновленная инфраструктура, связанная с вредоносной кампанией WarmCookie backdoor, о которой 30 сентября сообщила Gen Threat Labs. Новая волна кампании включает в себя использование взломанных веб-сайтов для распространения бэкдора WarmCookie, причем в обновленной версии бэкдора были обнаружены дополнительные возможности. В тексте упоминаются индикаторы компрометации (IoC), включая IP-адрес, подключенный к серверу управления (C2).

Указанный IP-адрес, 38.180.91.117, размещен в сети Scalaxy B.V. ASN и имеет четыре открытых порта: 22, 443, 3389 и 8080. Запросив этот IP-адрес в Hunt, мы получили дополнительную информацию о его рабочем контексте, такую как конфигурации портов и история сертификатов. Анализ сертификатов и шаблонов ответов HTTP сыграл важную роль в определении инфраструктуры, связанной с обновленным бэкдором WarmCookie.

Дальнейшие исследования, основанные на атрибутах сертификата и ответах HTTP, привели к обнаружению шести дополнительных серверов, имеющих общие характеристики с исходным IP-адресом. Было обнаружено, что эти серверы были активны с конца сентября, что соответствует информации, указанной в ThreatFox и общедоступных отчетах.

Один из идентифицированных IP-адресов, 91.222.173.140, размещенный в SOLLUTIUM EU Sp z.o.o. ASN, был помечен как сервер DarkGate C2 с такими файлами, как Notepad++.exe и upd_1602649.msix активно общается с ним. Потенциальное совпадение между семействами вредоносных программ WarmCookie и DarkGate поднимает интересные вопросы для будущих исследований.

#ParsedReport #CompletenessMedium
17-10-2024

Bored BeaverTail Yacht Club - A Lazarus Lure

https://www.esentire.com/blog/bored-beavertail-yacht-club-a-lazarus-lure

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Invisibleferret

Victims:
Developer

Industry:
E-commerce

Geo:
North korea, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1105, T1566

IOCs:
File: 3
Hash: 1
Url: 22

Soft:
Visual Studio Code, cURL, vscode

Algorithms:
zip

Languages:
javascript, python

Links:
https://github.com/eSentire/iocs/blob/main/Lazarus/lazarus\_iocs\_10-15-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности упреждающего обнаружения угроз и принятия ответных мер, наряду с непрерывным обучением пользователей, для защиты от развивающихся киберугроз. В нем рассказывается о конкретном инциденте, когда eSentire отреагировала на загрузку пользователем вредоносного проекта NFT marketplace, что в конечном итоге продемонстрировало важность надежных решений для обеспечения безопасности конечных точек и сотрудничества между группами безопасности и специализированными подразделениями по исследованию угроз для защиты организаций от известных и возникающих угроз.
-----

В сентябре 2024 года eSentire отреагировала на инцидент с кибербезопасностью, связанный с загрузкой пользователем вредоносного проекта NFT marketplace с GitHub, что в конечном итоге предотвратило установку вредоносного по BeaverTail и перехват вредоносного ПО InvisibleFerret backdoor.

Этот инцидент был связан с северокорейскими злоумышленниками, в частности с группой, известной как Contagious Interview, которые использовали тактику TTP в отношении разработчиков программного обеспечения.

Этот инцидент подчеркивает важность надежных решений для обеспечения безопасности конечных точек, таких как обнаружение конечных точек и реагирование на них (EDR), а также обучение пользователей навыкам безопасности, позволяющим им эффективно распознавать сложные угрозы и реагировать на них.

Сотрудничество между группами безопасности и специализированными подразделениями по исследованию угроз имеет решающее значение для защиты организаций от известных и возникающих киберугроз.

#ParsedReport #CompletenessHigh
17-10-2024

Horns&Hooves Newsletter Delivers NetSupport RAT and BurnsRAT

https://securelist.ru/horns-n-hooves-campaign-delivering-netsupport-rat/110772

Report completeness: High

Actors/Campaigns:
Mustard_tempest
Ta569
Smartapesg

Threats:
Netsupportmanager_rat
Burnsrat
Bitsadmin_tool
Rms_tool
Dll_sideloading_technique
Rhadamanthys
Meduza

Industry:
Retail

Geo:
Russia, Germany

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1105, T1059.001, T1574.002, T1543.003, T1566.001

IOCs:
File: 34
Hash: 24
Url: 16
Command: 1
Registry: 1
Domain: 10
Path: 1
IP: 1

Soft:
curl, NSIS installer, Silverlight, OpenSSL, light Configuration Uti

Algorithms:
zip, rc4, md5

Languages:
jscript, powershell, javascript

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 11, table: 2, schema: 5, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о киберкампании под названием "Horns&Hooves", которая нацелена на частных пользователей, розничных торговцев и сервисные компании в России, используя вредоносные скрипты, замаскированные в электронных письмах, для установки NetSupport RAT, программного обеспечения для удаленного управления ПК, для скрытных операций. Злоумышленники со временем усовершенствовали свою тактику, изменив скрипты, методы распространения и форматы файлов, которые потенциально могут быть связаны с хакерской группой TA569, с основной целью получения удаленного доступа к зараженным компьютерам для осуществления вредоносных действий, таких как развертывание троянских программ-вымогателей.
-----

В тексте описывается киберкампания под названием Horns&Hooves ("Рога и копыта"), которая началась в марте 2023 года и нацелена в первую очередь на частных пользователей, розничных продавцов и сервисные компании в России. В рамках кампании используются вредоносные скрипты, замаскированные в ZIP-архивах в электронных письмах, которые выдаются за запросы и приложения от клиентов или партнеров. Скрипты с такими названиями, как "Запрос цен и предложений от индивидуального предпринимателя" или "Запрос предложений и цен от Общества с ограниченной ответственностью", загружают и устанавливают NetSupport RAT, программное обеспечение для удаленного управления ПК, которым злоумышленники могут злоупотреблять для скрытых операций.

Со временем злоумышленники внесли несколько изменений в вредоносные скрипты, в том числе изменили методы распространения и форматы файлов. Первоначально для сокрытия полезной нагрузки использовались документы-приманки в формате PNG, а позже были использованы файлы TXT и PDF. Скрипт загружает дополнительные файлы и в конечном итоге устанавливает NetSupport RAT, который устанавливает соединение с серверами, контролируемыми злоумышленником.

По мере продвижения кампании злоумышленники совершенствовали свои методы, такие как запутывание кода и встраивание ZIP-архивов с NetSupport RAT в скрипты вместо того, чтобы загружать их отдельно. Файлы лицензий, связанные со сборками NetSupport RAT, использованными в этой кампании, также были связаны с другими хакерскими группами, что позволяет предположить потенциальную связь с группой TA569. Анализ файлов конфигурации и сходства в тактике подтверждают эту связь, указывая на то, что за этой кампанией может стоять TA569.

Основной целью злоумышленников является получение удаленного доступа к зараженным машинам, что потенциально может привести к продаже доступа другим хакерским группам для осуществления различных вредоносных действий. В некоторых случаях NetSupport RAT использовался для установки вредоносных программ, таких как Rhadamanthys и Meduza, или для развертывания троянских программ-вымогателей. Со временем кампания развивалась, и злоумышленники адаптировали свою тактику и инструменты, чтобы повысить эффективность и избежать обнаружения.

#ParsedReport #CompletenessHigh
18-10-2024

ClickFix tactic: The Phantom Meet

https://blog.sekoia.io/clickfix-tactic-the-phantom-meet

Report completeness: High

Actors/Campaigns:
Ta571
Belialdemon
Slavic_nation_empire (motivation: cyber_criminal)
Scamquerteo
Markopolo (motivation: cyber_criminal)
Cryptolove
Sparkhash
Mp-4

Threats:
Clickfix_technique
Clearfake
Netsupportmanager_rat
Darkgate
Lumma_stealer
Stealc
Rhadamanthys
Bitsadmin_tool
Hijackloader
Traffer_technique
Amos_stealer

Industry:
Logistic, Financial

Geo:
Poland, America

ChatGPT TTPs:
do not use without manual check
T1566, T1059.001, T1105, T1204.002, T1064

IOCs:
Domain: 154
Url: 14
Hash: 4
File: 4
IP: 4

Soft:
macOS, Google Chrome, Telegram, Zoom

Algorithms:
sha256

Languages:
javascript, powershell, php, python

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/clickfix\_fake\_google\_meet/clickfix\_fake\_google\_meet\_iocs\_20241017.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и анализе тактики ClickFix, которая заключается в обмане пользователей поддельными сообщениями об ошибках в веб-браузерах для выполнения вредоносного кода PowerShell, приводящего к заражению системы. Различные хакерские группы, такие как TA571, используют ClickFix в фишинговых кампаниях по электронной почте для распространения вредоносных программ, таких как инфокрады, ботнеты и средства удаленного доступа, с помощью различных методов, включая фишинговые электронные письма и взломанные веб-сайты. Эта тактика использовалась в кампаниях, нацеленных на различные сектора, с акцентом на определенные отрасли и конкретные группы, такие как разработчики. Ниже представлены технические подробности о кластерах ClickFix, которые выдают себя за платформы, такие как Google Meet, и демонстрируют распространение вредоносного ПО и причастность к киберпреступности групп. Расследование также выявило, что команды трейдеров, связанные с ClickFix clusters, нацеливались на криптовалютные активы, приложения Web3 и пользователей NFT.
-----

В сообщении в блоге представлен подробный обзор новой тактики ClickFix, применяемой с мая 2024 года, которая включает отображение поддельных сообщений об ошибках в веб-браузерах с целью обмана пользователей и выполнения вредоносного кода PowerShell, что приводит к заражению системы. Эта тактика, названная исследователями Proofpoint ClickFix, в основном использовалась брокером начального доступа TA571 в фишинговых кампаниях по электронной почте. Различные кампании по распространению вредоносных программ использовали ClickFix для распространения инфокрадов, ботнетов и средств удаленного доступа, что соответствует растущей тенденции распространения вредоносных программ путем загрузки с машин.

Было выявлено множество кампаний ClickFix, нацеленных на различные сектора и отрасли промышленности, при этом некоторые кампании были специально нацелены на такие отрасли, как транспорт и логистика, или на разработчиков с помощью проблем с GitHub. Кампании часто включают фишинговые электронные письма, взломанные веб-сайты и различные методы распространения вредоносного ПО. Например, кластер ClickFix, выдающий себя за Google Meet, был связан с такими киберпреступными группами, как "Империя славянской нации (SNE)" и "Мошенничество"..

Приводятся технические подробности о кластере ClickFix, использующем поддельные страницы видеоконференций Google Meet для распространения инфокрадов, нацеленных как на системы Windows, так и на macOS. В кластере использовались фишинговые URL-адреса, имитирующие законные страницы собраний, и содержался запутанный VBScript, который загружал и выполнял вредоносную полезную нагрузку, уведомляя сервер управления (C2) о завершении работы. В кампании были задействованы такие полезные устройства, как Stealc и Rhadamanthys, что указывает на участие группы Slavic Nation Empire.

Кроме того, инфраструктура, связанная с кластером ClickFix, выдающим себя за Google Meet, была обнаружена с помощью пассивного поиска в DNS, Whois и сходства HTML. Эта инфраструктура включала веб-страницы, выдающие себя за различные платформы и приложения, такие как Zoom, видеоигры, офисное программное обеспечение и приложения Web3, распространяющие вредоносное ПО, такое как Stealc, Rhadamanthys и AMOS Stealer, среди игровых сообществ Web3.

Расследование деятельности команд трейдеров, стоящих за кластерами ClickFix, выявило, что они нацелены на криптовалютные активы, приложения Web3, децентрализованные финансы и пользователей NFT. Команды торговцев людьми, такие как "Империя славянской нации (SNE)" и "Скамкертео", используют схожие тактики социальной инженерии, указывающие на общие ресурсы и инфраструктуру, возможно, как часть более крупной русскоязычной экосистемы киберпреступности.