#ParsedReport #CompletenessLow
18-10-2024

Tricks and Treats: GHOSTPULSE s new pixel- level deception

https://www.elastic.co/security-labs/tricks-and-treats

Report completeness: Low

Threats:
Ghostpulse
Hijackloader
Lumma_stealer

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1203, T1059, T1027.010

IOCs:
File: 1
Domain: 10
Hash: 2

Algorithms:
sha256, xor, crc-32

Languages:
javascript, powershell

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/indicators/ghostpulse
have more...
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_GhostPulse.yar
https://github.com/elastic/labs-releases/tree/main/tools/ghostpulse

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа GHOSTPULSE эволюционировала, внедряя вредоносные данные непосредственно в пиксельные структуры изображений, что усложняет обнаружение. Эта эволюция потребовала новых методов анализа и обнаружения, и Elastic Security Labs адаптировала свои инструменты и методы для борьбы с этой продвинутой вредоносной программой. Кроме того, в качестве примечательных событий последних кампаний выделяются сотрудничество между различными семействами вредоносных программ, инновационная тактика социальной инженерии и объединение GHOSTPULSE в один файл.
-----

Вредоносная программа GHOSTPULSE эволюционировала таким образом, чтобы встраивать вредоносные данные непосредственно в пиксельные структуры изображений, что усложняет их обнаружение.

На втором этапе GHOSTPULSE перешел от использования фрагмента PNG-файлов IDAT к сокрытию зашифрованной конфигурации и полезной нагрузки в самой пиксельной структуре.

Недавние кампании показали использование тактик социальной инженерии, таких как проверка с помощью CAPTCHA, запуск вредоносных команд с помощью сочетаний клавиш Windows.

Кампании LUMMA STEALER использовали GHOSTPULSE в качестве загрузчика, демонстрируя сотрудничество между различными семействами вредоносных программ.

Последняя версия GHOSTPULSE объединяет все данные в единый взломанный исполняемый файл, содержащий зашифрованную конфигурацию в разделе ресурсов.

Вредоносная программа извлекает зашифрованную конфигурацию, перебирая байтовый массив значений RGB в виде 16-байтовых блоков в пикселях изображений.

В ответ Elastic Security обновила свои инструменты для поддержки обеих версий GHOSTPULSE и усовершенствовала правила YARA для обнаружения и анализа.

Сотрудничество и инновации играют ключевую роль в защите от изощренных кибератак, подчеркивая важность адаптивности в сфере кибербезопасности.

#ParsedReport #CompletenessHigh
18-10-2024

Analysis of the Crypt Ghouls group: continuing the investigation into a series of attacks on Russia

https://securelist.com/crypt-ghouls-hacktivists-tools-overlap-analysis/114217

Report completeness: High

Actors/Campaigns:
Crypt_ghouls (motivation: cyber_criminal, hacktivism, financially_motivated)
Morlock
Blackjack (motivation: cyber_criminal)
C0met
Shedding_zmiy (motivation: cyber_criminal)

Threats:
Mimikatz_tool
Pingcastle_tool
Localtonet_tool
Resocks_tool
Anydesk_tool
Lockbit
Babuk
Nssm_tool
Xenallpasswordpro_tool
Impacket_tool
Wmiexec_tool
Cobint
Minidump_tool
Ntdsutil_tool
Paexec_tool
Dll_sideloading_technique
Ghostlocker
Sexi_ransomware

Victims:
Russian businesses, Government agencies

Industry:
Government, Energy, Retail, Financial

Geo:
Russian, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1133, T1003, T1555, T1047, T1105, T1059.005, T1036.005, T1016, T1562.001, have more...

IOCs:
Command: 1
Path: 16
File: 5
Hash: 10
IP: 7
Domain: 1

Soft:
XenAllPasswordPro, PsExec, Local Security Authority, SoftPerfect Network Scanner, Windows installer, Windows Defender, ESXi

Algorithms:
sha256, md5

Languages:
powershell

Platforms:
intel

Links:
https://github.com/RedTeamPentesting/resocks
https://github.com/facct-ransomware/Ransomware/tree/main/MorLock

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении новой хакерской группы под названием "Crypt Ghouls", которая нацелена на российские предприятия и государственные учреждения с помощью программ-вымогателей, используя различные инструменты и методы для проникновения в скомпрометированные системы и сохранения их работоспособности. В тексте также подчеркиваются связи и совпадения между Crypt Ghouls и другими хакерскими группировками, нацеленными на Россию, что предполагает потенциальное сотрудничество или совместное использование ресурсов между этими участниками. Кроме того, в нем подчеркиваются проблемы, связанные с выявлением конкретных участников угроз из-за использования общих инструментов и тактик, что подчеркивает необходимость постоянного мониторинга и анализа угроз для защиты от развивающихся киберугроз.
-----

В тексте содержится подробная информация о новой хакерской группе под названием "Crypt Ghouls", нацеленной на российские предприятия и государственные учреждения с помощью программ-вымогателей, в частности, с использованием таких инструментов, как Mimikatz, PingCastle, Localtonet и других. Группа была связана с аналогичными группами, нацеленными на Россию, на основе совпадающих показателей компрометации, инструментов, тактики и процедур. Было замечено, что они использовали такие утилиты, как NSSM и Localtonet, для обеспечения доступа к скомпрометированным системам.

Злоумышленники получили первоначальный доступ к системам с помощью регистрационных данных подрядчика, которые, возможно, были скомпрометированы с помощью VPN-сервисов или незащищенных уязвимостей. Они использовали различные методы, такие как модуль Impacket WmiExec.py, загрузчик бэкдоров CobInt и утилиту Mimikatz, для извлечения учетных данных и поддержания постоянства в сетях. Кроме того, они использовали такие инструменты, как MiniDump Tool, для извлечения учетных данных для входа в систему из памяти.

Crypt Ghouls также использовали различные утилиты сетевого сканирования, такие как PingCastle и SoftPerfect Network Scanner, для сбора информации и навигации по целевым сетям. Использовались инструменты удаленного доступа, такие как AnyDesk и PAExec, с IP-адресами, привязанными к подсети Surfshark VPN. Злоумышленники зашифровывали данные с помощью LockBit 3.0 и программы-вымогателя Babuk, используя специальные настройки для шифрования файлов, отключения функций безопасности и удаления журналов событий, чтобы замести следы.

Существуют заметные совпадения в инструментах и методах, используемых различными киберпреступными группами, нацеленными на российские компании. Было обнаружено сходство между Crypt Ghouls и такими группами, как MorLock, BlackJack, Twelve и Shedding Zmiy, что указывает на возможное сотрудничество или общие ресурсы между этими участниками угроз. В докладе предполагается, что эти группы могут быть взаимосвязаны, обмениваться разведывательными данными или сотрудничать в своей вредоносной деятельности, направленной против российских организаций.

В тексте подчеркиваются трудности при выявлении конкретных участников угроз из-за совместного использования инструментов и тактики несколькими киберпреступными группами. Распространенность утечек вредоносных программ и инструментов с открытым исходным кодом затрудняет установление их авторства. Продолжающиеся атаки Crypt Ghouls и других группировок подчеркивают необходимость постоянного мониторинга и сбора информации об угрозах для защиты российских организаций от развивающихся киберугроз.

#ParsedReport #CompletenessHigh
18-10-2024

Vietnamese Threat Actor s Multi-Layered Strategy on Digital Marketing Professionals

https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals

Report completeness: High

Actors/Campaigns:
Ducktail

Threats:
Quasar_rat
Disabling_eventtracing_technique
Stormkitty_stealer
Antidebugging_technique
Windbg_tool
Ollydbg_tool
Cheatengine_tool
Uac_bypass_technique
Smuggling_technique
Process_injection_technique

Victims:
Job seekers, Digital marketing professionals

Industry:
E-commerce

Geo:
Vietnamese

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 23
IP: 1
Url: 2
Command: 2
Path: 1
Registry: 1
Hash: 7

Soft:
Qemu, Hyper-V, Dropbox, Instagram, VirtualBox

Algorithms:
gzip, base64, sha256, aes

Functions:
NtSetInformationThread

Win API:
NtSetInformationThread, NtQueryInformationProcess, VirtualAlloc, DbgUiRemoteBreakin, DbgBreakPoint, NtQuerySystemInformation, EtwEventWrite

Languages:
powershell

Links:
https://github.com/swagkarna/StormKitty

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 25

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении сложной многоэтапной вредоносной атаки, приписываемой вьетнамскому злоумышленнику, которая нацелена на лиц, ищущих работу, и специалистов по цифровому маркетингу. Кампания по атакам включает в себя использование различных методов уклонения, методов шифрования и Quasar RAT для достижения полного контроля над системой при таких действиях, как кража и использование данных. Хакерская группа, стоящая за кампанией, была связана с предыдущими атаками и демонстрирует непрерывную эволюцию тактики и методов.
-----

Исследовательские и разведывательные лаборатории (CRIL) компании Cyble, занимающейся кибербезопасностью, раскрыли сложную многоэтапную вредоносную атаку, которую приписывают вьетнамскому злоумышленнику, нацеленному на лиц, ищущих работу, и специалистов по цифровому маркетингу. Кампания атаки начинается с архивного файла, содержащего вредоносный LNK-файл, замаскированный под PDF-файл, который при выполнении запускает команды на основе PowerShell. Вредоносная программа использует различные методы, позволяющие избежать обнаружения в средах виртуальных машин, включая меры по предотвращению отладки и обходу средств безопасности путем отключения отслеживания событий и изменения функций в памяти.

Вредоносная программа использует шифрование AES для сокрытия полезной нагрузки и расшифровывает ее в памяти после прохождения проверок на защиту от виртуализации и отладки, что затрудняет статический анализ. Заключительный этап атаки включает в себя внедрение Quasar RAT, широко используемого троянца с открытым исходным кодом для удаленного доступа, для достижения полного контроля над системой. Это позволяет злоумышленникам осуществлять такие действия, как кража данных, слежка и дальнейшая эксплуатация скомпрометированной системы.

Кампания атаки была связана с вьетнамским злоумышленником, поскольку она была нацелена на специалистов по цифровому маркетингу, занимающихся мета-рекламой, а также на используемые инструменты и тактику. Результаты исследования Cyble указывают на сходство с предыдущей кампанией, выявленной в июле 2022 года, что подтверждает связь с той же хакерской группой. Было замечено, что злоумышленник, стоящий за этой кампанией, распространяет и другие семейства вредоносных программ, такие как Stromkitty.

Вредоносный метод атаки включает в себя различные методы обхода для обнаружения изолированной среды или виртуальных сред, в том числе проверку наличия определенных библиотечных модулей, связанных с инструментами изолированной среды, такими как Sandboxie и Comodo. Вредоносное ПО также сравнивает системное имя пользователя со списком общих имен, связанных с изолированной средой. Кроме того, он выполняет поиск файлов и каталогов, связанных с виртуальной машиной, и проверяет наличие процессов, типичных для сред виртуальных машин.

Кроме того, вредоносная программа проводит проверку безопасности, чтобы определить, является ли система потенциально небезопасной или используется для тестирования вредоносных программ, включая проверку наличия неподписанных драйверов, отключенной безопасной загрузки, активной отладки ядра и состояния других функций безопасности. Атака демонстрирует сложный и многоуровневый подход к развертыванию Quasar RAT, в котором основное внимание уделяется методам уклонения и повышения привилегий для установления постоянного контроля над скомпрометированными системами.

Кампания является частью текущих операций вьетнамской хакерской группировки, которая изначально распространяла вредоносное ПО Ducktail, предназначенное для специалистов по цифровому маркетингу. Со временем хакерская группа расширила свою деятельность, используя вредоносное ПО как услугу (MaaS) для доставки полезной информации, демонстрируя непрерывную эволюцию тактики, методов и процедур, которые соответствуют предыдущим кампаниям, выявленным Cyble.

#ParsedReport #CompletenessHigh
18-10-2024

Expanding the Investigation: Deep Dive into Latest TrickMo Samples

https://zimpstage.wpengine.com/blog/expanding-the-investigation-deep-dive-into-latest-trickmo-samples

Report completeness: High

Threats:
Trickmo
Jsonpacker_tool

Victims:
Bank accounts, Corporate resources

Industry:
Financial

Geo:
Turkey, Arab emirates, Germany, United arab emirates, Canada

TTPs:
Tactics: 9
Technics: 17

IOCs:
Hash: 74
Url: 17
Domain: 6

Soft:
Android

Algorithms:
zip

Languages:
php

Links:
https://github.com/Zimperium/IOC/tree/master/2024-10-TrickMo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового варианта банковского трояна под названием TrickMo, который использует инновационные методы уклонения и обладает расширенными возможностями для кражи банковской информации, шаблонов разблокировки устройств и корпоративных учетных данных для доступа. Установлено, что вредоносная программа нацелена на значительное число жертв по всему миру и представляет серьезную угрозу безопасности мобильных устройств. Меры проактивной защиты наряду со специализированными решениями, подобными тем, которые предлагает Zimperium, имеют решающее значение для защиты от таких развивающихся киберугроз.
-----

Недавно Cleafy представила новый вариант банковского трояна под названием TrickMo, демонстрирующий инновационные методы защиты, такие как манипулирование zip-файлами и обфускация. Хотя Cleafy не предоставляла IOCs, дальнейшие исследования, проведенные другой командой, выявили 40 новых вариантов, включая 16 дропперов и 22 активных сервера управления, с дополнительными функциональными возможностями. Эти функциональные возможности позволяют вредоносному ПО получать доступ к различным данным на зараженных устройствах, что потенциально может привести к несанкционированному доступу к банковским счетам и финансовым транзакциям, что может привести к значительным финансовым потерям.

Интересным открытием стала новая способность вредоносного ПО красть шаблоны разблокировки устройств или PIN-коды, что позволяет злоумышленникам работать с заблокированными устройствами. Вредоносное ПО использует обманчивый пользовательский интерфейс, размещенный на внешнем веб-сайте, имитирующий реальный экран разблокировки, чтобы обманом заставить пользователей ввести свои учетные данные. Пользовательский интерфейс фиксирует PIN-код или шаблон, введенный вместе с уникальным идентификатором устройства (Android ID), и отправляет эту информацию в PHP-скрипт, привязывающий украденные учетные данные к устройству жертвы.

В ходе анализа был получен доступ к нескольким серверам C2, что позволило выявить около 13 000 уникальных IP-адресов жертв. Геолокация этих IP-адресов выявила основные цели вредоносного ПО, подчеркнув важность защиты мобильных устройств для предотвращения кибератак. Украденные учетные данные включают в себя не только банковскую информацию, но и корпоративные учетные данные для доступа, такие как VPN и внутренние веб-сайты, что подчеркивает более широкий спектр угроз, создаваемых вредоносным ПО.

Несмотря на расширенные возможности вредоносного ПО и его значительный контроль над зараженными устройствами, превентивные меры защиты имеют решающее значение для предотвращения потери данных и финансовых потерь. Zimperium предлагает предприятиям и разработчикам приложений решения для защиты от развивающихся мобильных угроз с использованием передовых механизмов обнаружения, основанных на машинном обучении и поведенческом анализе. Эти решения доказали свою эффективность в выявлении и нейтрализации образцов вредоносного ПО и вредоносных URL-адресов, связанных с TrickMo, обеспечивая всестороннее обнаружение угроз без ущерба для удобства пользователей.

Чтобы помочь заказчикам и отрасли лучше понять влияние вредоносного ПО, Zimperium составил таблицу, в которой для справки сопоставил вредоносное ПО с тактикой и методами MITRE, что дает представление об угрозах и подчеркивает важность надежных мер защиты перед лицом растущих киберугроз.

#ParsedReport #CompletenessLow
18-10-2024

The Mobile Malware Chronicles: Necro.N - Volume 101

https://www.zimperium.com/blog/the-necro-n-chronicles-volume-101

Report completeness: Low

Threats:
Necro_trojan
Joker
Steganography_technique

TTPs:
Tactics: 8
Technics: 7

IOCs:
Hash: 50
Url: 7

Languages:
javascript

Links:
https://github.com/Zimperium/IOC/tree/master/2024-10-Necro.N

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена кампании по борьбе с мобильным вредоносным ПО под названием Necro.N, ее характеристикам и возможностям, методам, которые она использует, чтобы избежать обнаружения, важности превентивных мер защиты от таких угроз, а также решениям, предлагаемым Zimperium для предприятий и разработчиков приложений для эффективного снижения этих рисков.
-----

Исследователи zLabs с июля отслеживают кампанию вредоносного ПО для мобильных устройств, известную как Necro.N. Они собрали более 30 образцов вредоносного ПО, отметив, что некоторые из них были слабо обнаружены другими поставщиками средств безопасности. Necro.N характеризуется как крайне навязчивый и представляющий серьезную угрозу, возможно, заменивший печально известную вредоносную программу Joker. Вредоносная программа использует методы обфускации, чтобы избежать обнаружения, и стеганографию, чтобы скрыть вредоносную нагрузку внутри изображений. Он загружает полезную информацию с сервера управления (C2) для удаленного выполнения кода на зараженных устройствах, позволяя выполнять такие действия, как установка приложений, выполнение кода JavaScript и подписка жертв на нежелательные платные сервисы. Злоумышленники разработали вводящий в заблуждение рекламный SDK, содержащий вредоносный код, который распространялся через мобильные приложения среди ничего не подозревающих пользователей.

Основным элементом вредоносного ПО является собственная библиотека под названием "libcoral.so", которая связывается с сервером C2 для получения местоположения полезной нагрузки и расшифровывает скрытую полезную нагрузку в изображениях с помощью стеганографических алгоритмов. Другая библиотека под названием "libsvm.so" функционирует аналогичным образом и присутствует в нескольких образцах вредоносного ПО. Несмотря на обновление версии SDK, домен, используемый для распространения исходной полезной нагрузки, остается активным. В результате мониторинга было обнаружено 37 образцов вредоносного ПО, из которых 78% использовали libcoral.so, а 22% - libsvm.so. Скрытный характер библиотеки libsvm.so создает проблемы из-за низкого уровня обнаружения у других поставщиков.

Для защиты корпоративных пользователей и устройств от Necro.N и аналогичных угроз решающее значение имеют упреждающие и надежные меры защиты. Zimperium предлагает поддержку предприятиям с помощью Mobile Threat Defense (MTD), а разработчикам приложений - с помощью Mobile Application Protection Suite (MAPS). Эти решения используют передовые методы машинного обучения, поведенческого анализа и детерминированного обнаружения, чтобы обеспечить комплексное обнаружение угроз и смягчение их последствий, обеспечивая при этом оптимальный пользовательский опыт. Встроенный в устройство механизм динамического обнаружения Zimperium успешно идентифицирует и нейтрализует все рассмотренные образцы вредоносных программ и вредоносные URL-адреса, демонстрируя свою эффективность в защите от возникающих киберугроз.

#ParsedReport #CompletenessHigh
19-10-2024

THREAT ANALYSIS: Beast Ransomware

https://www.cybereason.com/blog/threat-analysis-beast-ransomware

Report completeness: High

Actors/Campaigns:
Beast_ransomware

Threats:
Beast_ransomware
Shadow_copies_delete_technique

Industry:
E-commerce

Geo:
Chinese, Russian, Belarus, Russia, Moldova

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 3
Hash: 5
Url: 1

Soft:
ESXi, gatekeeper, Msexchange, DefWatch, Wuauserv, MSSQL, Windows Service

Algorithms:
zip, ecdh, sha256, chacha20

Win Services:
AcronisAgent, BackupExecDiveciMediaService, CAARCUpdateSvc, GxBlr, QuickBooks, AcrSch2Svc, BackupExecJobEngine, CASAD2DWebSvc, BackupExecManagementService, ccEvtMgr, have more...

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cybereason опубликовал отчет об анализе угроз, посвященный группе Beast Ransomware-as-a-Service (RaaS), в котором подробно описывается ее эволюционирующий характер, возможности и стратегии защиты с использованием платформы Cybereason Defense. В отчете рассматриваются настраиваемые двоичные файлы программ-вымогателей, предлагаемые Beast для систем Windows, Linux и ESXi, а также методы их взлома, включая фишинговые электронные письма и скомпрометированные конечные точки RDP. В отчете также описаны функции, методы и стратегии Beast Ransomware, такие как сегментированное шифрование файлов, архивирование файлов, отказ от шифрования в определенных странах и использование многопоточности для быстрого шифрования на подключенных устройствах.
-----

Компания Cybereason опубликовала отчет об анализе угроз, посвященный программе-вымогателю как услуге (RaaS), известной как Beast, и стратегиям защиты от нее с использованием платформы Cybereason Defense Platform. В отчете подчеркивается эволюционный характер группы программ-вымогателей Beast, которая постоянно обновляет свои инструменты для привлечения более широкого круга киберпреступников в подпольную экосистему. Платформа Beast RaaS предоставляет филиалам гибкость в настройке двоичных файлов программ-вымогателей для систем Windows, Linux и ESXi, позволяя создавать индивидуальные конфигурации для удовлетворения конкретных операционных потребностей.

В отчете подробно описываются различные функции и возможности программы-вымогателя Beast, включая сегментированное шифрование файлов, режим ZIP-оболочки, многопоточную очередь для шифрования, завершение процессов/служб, удаление теневых копий, установку скрытых разделов и сканирование подсети. В нем также упоминается недавнее продвижение автономного конструктора в августе 2024 года, предлагающего возможность настраивать сборки для систем Windows, NAS и ESXi.

В анализе рассматриваются первоначальные методы компрометации, используемые Beast, такие как фишинговые электронные письма и скомпрометированные конечные точки протокола удаленного рабочего стола (RDP). Чтобы предотвратить многократное использование программы-вымогателя в одной системе, Beast создает уникальный мьютекс с идентификатором "BEAST HERE?". Кроме того, в последней версии программы-вымогателя есть функция, позволяющая избежать шифрования данных на устройствах в странах Содружества Независимых Государств (СНГ) путем проверки языковых настроек по умолчанию, кода страны и IP-адресов.

Программа-вымогатель Beast использует DLL-файл Restart Manager, RstrtMgr.dll чтобы злонамеренно использовать системный компонент, отвечающий за защиту открытых и несохраненных файлов во время перезагрузки. Это позволяет программе-вымогателю останавливать службы и процессы для разблокировки и закрытия открытых файлов перед шифрованием. Анализ также затрагивает целевые сервисы и процесс, инициированный программой-вымогателем для удаления теневых копий.

В отчете подчеркивается, что Beast использует многопоточность для ускоренного шифрования файлов на подключенных устройствах в сети. Программа шифрует файлы различных форматов, включая документы, изображения, видео и базы данных, и оставляет уведомление о требовании выкупа в виде "README.txt" файлов в каталогах, которые не защищены от шифрования. Кроме того, в отчете упоминается комбинация клавиш ALT+CTRL+666, которая позволяет пользователям просматривать графический интерфейс Beast Ransomware во время процесса шифрования.

#ParsedReport #CompletenessLow
19-10-2024

The Mongolian Skimmer: different clothes, equally dangerous

https://jscrambler.com/blog/the-mongolian-skimmer

Report completeness: Low

Threats:
Mongolian_skimmer_tool

Geo:
Mongolian, Usa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1056, T1071, T1083, T1497, T1622

IOCs:
Domain: 8
IP: 7
File: 2

Algorithms:
exhibit, base64

Languages:
javascript

Platforms:
intel