#ParsedReport #CompletenessHigh
18-10-2024
Vietnamese Threat Actor s Multi-Layered Strategy on Digital Marketing Professionals
https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals
Report completeness: High
Actors/Campaigns:
Ducktail
Threats:
Quasar_rat
Disabling_eventtracing_technique
Stormkitty_stealer
Antidebugging_technique
Windbg_tool
Ollydbg_tool
Cheatengine_tool
Uac_bypass_technique
Smuggling_technique
Process_injection_technique
Victims:
Job seekers, Digital marketing professionals
Industry:
E-commerce
Geo:
Vietnamese
TTPs:
Tactics: 7
Technics: 14
IOCs:
File: 23
IP: 1
Url: 2
Command: 2
Path: 1
Registry: 1
Hash: 7
Soft:
Qemu, Hyper-V, Dropbox, Instagram, VirtualBox
Algorithms:
gzip, base64, sha256, aes
Functions:
NtSetInformationThread
Win API:
NtSetInformationThread, NtQueryInformationProcess, VirtualAlloc, DbgUiRemoteBreakin, DbgBreakPoint, NtQuerySystemInformation, EtwEventWrite
Languages:
powershell
Links:
18-10-2024
Vietnamese Threat Actor s Multi-Layered Strategy on Digital Marketing Professionals
https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals
Report completeness: High
Actors/Campaigns:
Ducktail
Threats:
Quasar_rat
Disabling_eventtracing_technique
Stormkitty_stealer
Antidebugging_technique
Windbg_tool
Ollydbg_tool
Cheatengine_tool
Uac_bypass_technique
Smuggling_technique
Process_injection_technique
Victims:
Job seekers, Digital marketing professionals
Industry:
E-commerce
Geo:
Vietnamese
TTPs:
Tactics: 7
Technics: 14
IOCs:
File: 23
IP: 1
Url: 2
Command: 2
Path: 1
Registry: 1
Hash: 7
Soft:
Qemu, Hyper-V, Dropbox, Instagram, VirtualBox
Algorithms:
gzip, base64, sha256, aes
Functions:
NtSetInformationThread
Win API:
NtSetInformationThread, NtQueryInformationProcess, VirtualAlloc, DbgUiRemoteBreakin, DbgBreakPoint, NtQuerySystemInformation, EtwEventWrite
Languages:
powershell
Links:
https://github.com/swagkarna/StormKittyCyble
Vietnamese Threat Actor's Strategy On Digital Marketers
Cyble has uncovered a sophisticated multi-stage malware attack attributed to a Vietnamese threat actor, targeting job seekers and digital marketing professionals, as well as deploying Quasar RAT to gain full system control.
CTT Report Hub
#ParsedReport #CompletenessHigh 18-10-2024 Vietnamese Threat Actor s Multi-Layered Strategy on Digital Marketing Professionals https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении сложной многоэтапной вредоносной атаки, приписываемой вьетнамскому злоумышленнику, которая нацелена на лиц, ищущих работу, и специалистов по цифровому маркетингу. Кампания по атакам включает в себя использование различных методов уклонения, методов шифрования и Quasar RAT для достижения полного контроля над системой при таких действиях, как кража и использование данных. Хакерская группа, стоящая за кампанией, была связана с предыдущими атаками и демонстрирует непрерывную эволюцию тактики и методов.
-----
Исследовательские и разведывательные лаборатории (CRIL) компании Cyble, занимающейся кибербезопасностью, раскрыли сложную многоэтапную вредоносную атаку, которую приписывают вьетнамскому злоумышленнику, нацеленному на лиц, ищущих работу, и специалистов по цифровому маркетингу. Кампания атаки начинается с архивного файла, содержащего вредоносный LNK-файл, замаскированный под PDF-файл, который при выполнении запускает команды на основе PowerShell. Вредоносная программа использует различные методы, позволяющие избежать обнаружения в средах виртуальных машин, включая меры по предотвращению отладки и обходу средств безопасности путем отключения отслеживания событий и изменения функций в памяти.
Вредоносная программа использует шифрование AES для сокрытия полезной нагрузки и расшифровывает ее в памяти после прохождения проверок на защиту от виртуализации и отладки, что затрудняет статический анализ. Заключительный этап атаки включает в себя внедрение Quasar RAT, широко используемого троянца с открытым исходным кодом для удаленного доступа, для достижения полного контроля над системой. Это позволяет злоумышленникам осуществлять такие действия, как кража данных, слежка и дальнейшая эксплуатация скомпрометированной системы.
Кампания атаки была связана с вьетнамским злоумышленником, поскольку она была нацелена на специалистов по цифровому маркетингу, занимающихся мета-рекламой, а также на используемые инструменты и тактику. Результаты исследования Cyble указывают на сходство с предыдущей кампанией, выявленной в июле 2022 года, что подтверждает связь с той же хакерской группой. Было замечено, что злоумышленник, стоящий за этой кампанией, распространяет и другие семейства вредоносных программ, такие как Stromkitty.
Вредоносный метод атаки включает в себя различные методы обхода для обнаружения изолированной среды или виртуальных сред, в том числе проверку наличия определенных библиотечных модулей, связанных с инструментами изолированной среды, такими как Sandboxie и Comodo. Вредоносное ПО также сравнивает системное имя пользователя со списком общих имен, связанных с изолированной средой. Кроме того, он выполняет поиск файлов и каталогов, связанных с виртуальной машиной, и проверяет наличие процессов, типичных для сред виртуальных машин.
Кроме того, вредоносная программа проводит проверку безопасности, чтобы определить, является ли система потенциально небезопасной или используется для тестирования вредоносных программ, включая проверку наличия неподписанных драйверов, отключенной безопасной загрузки, активной отладки ядра и состояния других функций безопасности. Атака демонстрирует сложный и многоуровневый подход к развертыванию Quasar RAT, в котором основное внимание уделяется методам уклонения и повышения привилегий для установления постоянного контроля над скомпрометированными системами.
Кампания является частью текущих операций вьетнамской хакерской группировки, которая изначально распространяла вредоносное ПО Ducktail, предназначенное для специалистов по цифровому маркетингу. Со временем хакерская группа расширила свою деятельность, используя вредоносное ПО как услугу (MaaS) для доставки полезной информации, демонстрируя непрерывную эволюцию тактики, методов и процедур, которые соответствуют предыдущим кампаниям, выявленным Cyble.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении сложной многоэтапной вредоносной атаки, приписываемой вьетнамскому злоумышленнику, которая нацелена на лиц, ищущих работу, и специалистов по цифровому маркетингу. Кампания по атакам включает в себя использование различных методов уклонения, методов шифрования и Quasar RAT для достижения полного контроля над системой при таких действиях, как кража и использование данных. Хакерская группа, стоящая за кампанией, была связана с предыдущими атаками и демонстрирует непрерывную эволюцию тактики и методов.
-----
Исследовательские и разведывательные лаборатории (CRIL) компании Cyble, занимающейся кибербезопасностью, раскрыли сложную многоэтапную вредоносную атаку, которую приписывают вьетнамскому злоумышленнику, нацеленному на лиц, ищущих работу, и специалистов по цифровому маркетингу. Кампания атаки начинается с архивного файла, содержащего вредоносный LNK-файл, замаскированный под PDF-файл, который при выполнении запускает команды на основе PowerShell. Вредоносная программа использует различные методы, позволяющие избежать обнаружения в средах виртуальных машин, включая меры по предотвращению отладки и обходу средств безопасности путем отключения отслеживания событий и изменения функций в памяти.
Вредоносная программа использует шифрование AES для сокрытия полезной нагрузки и расшифровывает ее в памяти после прохождения проверок на защиту от виртуализации и отладки, что затрудняет статический анализ. Заключительный этап атаки включает в себя внедрение Quasar RAT, широко используемого троянца с открытым исходным кодом для удаленного доступа, для достижения полного контроля над системой. Это позволяет злоумышленникам осуществлять такие действия, как кража данных, слежка и дальнейшая эксплуатация скомпрометированной системы.
Кампания атаки была связана с вьетнамским злоумышленником, поскольку она была нацелена на специалистов по цифровому маркетингу, занимающихся мета-рекламой, а также на используемые инструменты и тактику. Результаты исследования Cyble указывают на сходство с предыдущей кампанией, выявленной в июле 2022 года, что подтверждает связь с той же хакерской группой. Было замечено, что злоумышленник, стоящий за этой кампанией, распространяет и другие семейства вредоносных программ, такие как Stromkitty.
Вредоносный метод атаки включает в себя различные методы обхода для обнаружения изолированной среды или виртуальных сред, в том числе проверку наличия определенных библиотечных модулей, связанных с инструментами изолированной среды, такими как Sandboxie и Comodo. Вредоносное ПО также сравнивает системное имя пользователя со списком общих имен, связанных с изолированной средой. Кроме того, он выполняет поиск файлов и каталогов, связанных с виртуальной машиной, и проверяет наличие процессов, типичных для сред виртуальных машин.
Кроме того, вредоносная программа проводит проверку безопасности, чтобы определить, является ли система потенциально небезопасной или используется для тестирования вредоносных программ, включая проверку наличия неподписанных драйверов, отключенной безопасной загрузки, активной отладки ядра и состояния других функций безопасности. Атака демонстрирует сложный и многоуровневый подход к развертыванию Quasar RAT, в котором основное внимание уделяется методам уклонения и повышения привилегий для установления постоянного контроля над скомпрометированными системами.
Кампания является частью текущих операций вьетнамской хакерской группировки, которая изначально распространяла вредоносное ПО Ducktail, предназначенное для специалистов по цифровому маркетингу. Со временем хакерская группа расширила свою деятельность, используя вредоносное ПО как услугу (MaaS) для доставки полезной информации, демонстрируя непрерывную эволюцию тактики, методов и процедур, которые соответствуют предыдущим кампаниям, выявленным Cyble.
#ParsedReport #CompletenessHigh
18-10-2024
Expanding the Investigation: Deep Dive into Latest TrickMo Samples
https://zimpstage.wpengine.com/blog/expanding-the-investigation-deep-dive-into-latest-trickmo-samples
Report completeness: High
Threats:
Trickmo
Jsonpacker_tool
Victims:
Bank accounts, Corporate resources
Industry:
Financial
Geo:
Turkey, Arab emirates, Germany, United arab emirates, Canada
TTPs:
Tactics: 9
Technics: 17
IOCs:
Hash: 74
Url: 17
Domain: 6
Soft:
Android
Algorithms:
zip
Languages:
php
Links:
18-10-2024
Expanding the Investigation: Deep Dive into Latest TrickMo Samples
https://zimpstage.wpengine.com/blog/expanding-the-investigation-deep-dive-into-latest-trickmo-samples
Report completeness: High
Threats:
Trickmo
Jsonpacker_tool
Victims:
Bank accounts, Corporate resources
Industry:
Financial
Geo:
Turkey, Arab emirates, Germany, United arab emirates, Canada
TTPs:
Tactics: 9
Technics: 17
IOCs:
Hash: 74
Url: 17
Domain: 6
Soft:
Android
Algorithms:
zip
Languages:
php
Links:
https://github.com/Zimperium/IOC/tree/master/2024-10-TrickMoZimperium
Expanding the Investigation: Deep Dive into Latest TrickMo Samples - Zimperium
Our analysis of TrickMo suggests that many of these samples remain undetected by the broader security community.
CTT Report Hub
#ParsedReport #CompletenessHigh 18-10-2024 Expanding the Investigation: Deep Dive into Latest TrickMo Samples https://zimpstage.wpengine.com/blog/expanding-the-investigation-deep-dive-into-latest-trickmo-samples Report completeness: High Threats: Trickmo…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе нового варианта банковского трояна под названием TrickMo, который использует инновационные методы уклонения и обладает расширенными возможностями для кражи банковской информации, шаблонов разблокировки устройств и корпоративных учетных данных для доступа. Установлено, что вредоносная программа нацелена на значительное число жертв по всему миру и представляет серьезную угрозу безопасности мобильных устройств. Меры проактивной защиты наряду со специализированными решениями, подобными тем, которые предлагает Zimperium, имеют решающее значение для защиты от таких развивающихся киберугроз.
-----
Недавно Cleafy представила новый вариант банковского трояна под названием TrickMo, демонстрирующий инновационные методы защиты, такие как манипулирование zip-файлами и обфускация. Хотя Cleafy не предоставляла IOCs, дальнейшие исследования, проведенные другой командой, выявили 40 новых вариантов, включая 16 дропперов и 22 активных сервера управления, с дополнительными функциональными возможностями. Эти функциональные возможности позволяют вредоносному ПО получать доступ к различным данным на зараженных устройствах, что потенциально может привести к несанкционированному доступу к банковским счетам и финансовым транзакциям, что может привести к значительным финансовым потерям.
Интересным открытием стала новая способность вредоносного ПО красть шаблоны разблокировки устройств или PIN-коды, что позволяет злоумышленникам работать с заблокированными устройствами. Вредоносное ПО использует обманчивый пользовательский интерфейс, размещенный на внешнем веб-сайте, имитирующий реальный экран разблокировки, чтобы обманом заставить пользователей ввести свои учетные данные. Пользовательский интерфейс фиксирует PIN-код или шаблон, введенный вместе с уникальным идентификатором устройства (Android ID), и отправляет эту информацию в PHP-скрипт, привязывающий украденные учетные данные к устройству жертвы.
В ходе анализа был получен доступ к нескольким серверам C2, что позволило выявить около 13 000 уникальных IP-адресов жертв. Геолокация этих IP-адресов выявила основные цели вредоносного ПО, подчеркнув важность защиты мобильных устройств для предотвращения кибератак. Украденные учетные данные включают в себя не только банковскую информацию, но и корпоративные учетные данные для доступа, такие как VPN и внутренние веб-сайты, что подчеркивает более широкий спектр угроз, создаваемых вредоносным ПО.
Несмотря на расширенные возможности вредоносного ПО и его значительный контроль над зараженными устройствами, превентивные меры защиты имеют решающее значение для предотвращения потери данных и финансовых потерь. Zimperium предлагает предприятиям и разработчикам приложений решения для защиты от развивающихся мобильных угроз с использованием передовых механизмов обнаружения, основанных на машинном обучении и поведенческом анализе. Эти решения доказали свою эффективность в выявлении и нейтрализации образцов вредоносного ПО и вредоносных URL-адресов, связанных с TrickMo, обеспечивая всестороннее обнаружение угроз без ущерба для удобства пользователей.
Чтобы помочь заказчикам и отрасли лучше понять влияние вредоносного ПО, Zimperium составил таблицу, в которой для справки сопоставил вредоносное ПО с тактикой и методами MITRE, что дает представление об угрозах и подчеркивает важность надежных мер защиты перед лицом растущих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе нового варианта банковского трояна под названием TrickMo, который использует инновационные методы уклонения и обладает расширенными возможностями для кражи банковской информации, шаблонов разблокировки устройств и корпоративных учетных данных для доступа. Установлено, что вредоносная программа нацелена на значительное число жертв по всему миру и представляет серьезную угрозу безопасности мобильных устройств. Меры проактивной защиты наряду со специализированными решениями, подобными тем, которые предлагает Zimperium, имеют решающее значение для защиты от таких развивающихся киберугроз.
-----
Недавно Cleafy представила новый вариант банковского трояна под названием TrickMo, демонстрирующий инновационные методы защиты, такие как манипулирование zip-файлами и обфускация. Хотя Cleafy не предоставляла IOCs, дальнейшие исследования, проведенные другой командой, выявили 40 новых вариантов, включая 16 дропперов и 22 активных сервера управления, с дополнительными функциональными возможностями. Эти функциональные возможности позволяют вредоносному ПО получать доступ к различным данным на зараженных устройствах, что потенциально может привести к несанкционированному доступу к банковским счетам и финансовым транзакциям, что может привести к значительным финансовым потерям.
Интересным открытием стала новая способность вредоносного ПО красть шаблоны разблокировки устройств или PIN-коды, что позволяет злоумышленникам работать с заблокированными устройствами. Вредоносное ПО использует обманчивый пользовательский интерфейс, размещенный на внешнем веб-сайте, имитирующий реальный экран разблокировки, чтобы обманом заставить пользователей ввести свои учетные данные. Пользовательский интерфейс фиксирует PIN-код или шаблон, введенный вместе с уникальным идентификатором устройства (Android ID), и отправляет эту информацию в PHP-скрипт, привязывающий украденные учетные данные к устройству жертвы.
В ходе анализа был получен доступ к нескольким серверам C2, что позволило выявить около 13 000 уникальных IP-адресов жертв. Геолокация этих IP-адресов выявила основные цели вредоносного ПО, подчеркнув важность защиты мобильных устройств для предотвращения кибератак. Украденные учетные данные включают в себя не только банковскую информацию, но и корпоративные учетные данные для доступа, такие как VPN и внутренние веб-сайты, что подчеркивает более широкий спектр угроз, создаваемых вредоносным ПО.
Несмотря на расширенные возможности вредоносного ПО и его значительный контроль над зараженными устройствами, превентивные меры защиты имеют решающее значение для предотвращения потери данных и финансовых потерь. Zimperium предлагает предприятиям и разработчикам приложений решения для защиты от развивающихся мобильных угроз с использованием передовых механизмов обнаружения, основанных на машинном обучении и поведенческом анализе. Эти решения доказали свою эффективность в выявлении и нейтрализации образцов вредоносного ПО и вредоносных URL-адресов, связанных с TrickMo, обеспечивая всестороннее обнаружение угроз без ущерба для удобства пользователей.
Чтобы помочь заказчикам и отрасли лучше понять влияние вредоносного ПО, Zimperium составил таблицу, в которой для справки сопоставил вредоносное ПО с тактикой и методами MITRE, что дает представление об угрозах и подчеркивает важность надежных мер защиты перед лицом растущих киберугроз.
#ParsedReport #CompletenessLow
18-10-2024
The Mobile Malware Chronicles: Necro.N - Volume 101
https://www.zimperium.com/blog/the-necro-n-chronicles-volume-101
Report completeness: Low
Threats:
Necro_trojan
Joker
Steganography_technique
TTPs:
Tactics: 8
Technics: 7
IOCs:
Hash: 50
Url: 7
Languages:
javascript
Links:
18-10-2024
The Mobile Malware Chronicles: Necro.N - Volume 101
https://www.zimperium.com/blog/the-necro-n-chronicles-volume-101
Report completeness: Low
Threats:
Necro_trojan
Joker
Steganography_technique
TTPs:
Tactics: 8
Technics: 7
IOCs:
Hash: 50
Url: 7
Languages:
javascript
Links:
https://github.com/Zimperium/IOC/tree/master/2024-10-Necro.NZimperium
The Mobile Malware Chronicles: Necro.N - Volume 101 - Zimperium
Zimperium researchers analyze Necro.N and focuses on the differences and elements.
CTT Report Hub
#ParsedReport #CompletenessLow 18-10-2024 The Mobile Malware Chronicles: Necro.N - Volume 101 https://www.zimperium.com/blog/the-necro-n-chronicles-volume-101 Report completeness: Low Threats: Necro_trojan Joker Steganography_technique TTPs: Tactics:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена кампании по борьбе с мобильным вредоносным ПО под названием Necro.N, ее характеристикам и возможностям, методам, которые она использует, чтобы избежать обнаружения, важности превентивных мер защиты от таких угроз, а также решениям, предлагаемым Zimperium для предприятий и разработчиков приложений для эффективного снижения этих рисков.
-----
Исследователи zLabs с июля отслеживают кампанию вредоносного ПО для мобильных устройств, известную как Necro.N. Они собрали более 30 образцов вредоносного ПО, отметив, что некоторые из них были слабо обнаружены другими поставщиками средств безопасности. Necro.N характеризуется как крайне навязчивый и представляющий серьезную угрозу, возможно, заменивший печально известную вредоносную программу Joker. Вредоносная программа использует методы обфускации, чтобы избежать обнаружения, и стеганографию, чтобы скрыть вредоносную нагрузку внутри изображений. Он загружает полезную информацию с сервера управления (C2) для удаленного выполнения кода на зараженных устройствах, позволяя выполнять такие действия, как установка приложений, выполнение кода JavaScript и подписка жертв на нежелательные платные сервисы. Злоумышленники разработали вводящий в заблуждение рекламный SDK, содержащий вредоносный код, который распространялся через мобильные приложения среди ничего не подозревающих пользователей.
Основным элементом вредоносного ПО является собственная библиотека под названием "libcoral.so", которая связывается с сервером C2 для получения местоположения полезной нагрузки и расшифровывает скрытую полезную нагрузку в изображениях с помощью стеганографических алгоритмов. Другая библиотека под названием "libsvm.so" функционирует аналогичным образом и присутствует в нескольких образцах вредоносного ПО. Несмотря на обновление версии SDK, домен, используемый для распространения исходной полезной нагрузки, остается активным. В результате мониторинга было обнаружено 37 образцов вредоносного ПО, из которых 78% использовали libcoral.so, а 22% - libsvm.so. Скрытный характер библиотеки libsvm.so создает проблемы из-за низкого уровня обнаружения у других поставщиков.
Для защиты корпоративных пользователей и устройств от Necro.N и аналогичных угроз решающее значение имеют упреждающие и надежные меры защиты. Zimperium предлагает поддержку предприятиям с помощью Mobile Threat Defense (MTD), а разработчикам приложений - с помощью Mobile Application Protection Suite (MAPS). Эти решения используют передовые методы машинного обучения, поведенческого анализа и детерминированного обнаружения, чтобы обеспечить комплексное обнаружение угроз и смягчение их последствий, обеспечивая при этом оптимальный пользовательский опыт. Встроенный в устройство механизм динамического обнаружения Zimperium успешно идентифицирует и нейтрализует все рассмотренные образцы вредоносных программ и вредоносные URL-адреса, демонстрируя свою эффективность в защите от возникающих киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста посвящена кампании по борьбе с мобильным вредоносным ПО под названием Necro.N, ее характеристикам и возможностям, методам, которые она использует, чтобы избежать обнаружения, важности превентивных мер защиты от таких угроз, а также решениям, предлагаемым Zimperium для предприятий и разработчиков приложений для эффективного снижения этих рисков.
-----
Исследователи zLabs с июля отслеживают кампанию вредоносного ПО для мобильных устройств, известную как Necro.N. Они собрали более 30 образцов вредоносного ПО, отметив, что некоторые из них были слабо обнаружены другими поставщиками средств безопасности. Necro.N характеризуется как крайне навязчивый и представляющий серьезную угрозу, возможно, заменивший печально известную вредоносную программу Joker. Вредоносная программа использует методы обфускации, чтобы избежать обнаружения, и стеганографию, чтобы скрыть вредоносную нагрузку внутри изображений. Он загружает полезную информацию с сервера управления (C2) для удаленного выполнения кода на зараженных устройствах, позволяя выполнять такие действия, как установка приложений, выполнение кода JavaScript и подписка жертв на нежелательные платные сервисы. Злоумышленники разработали вводящий в заблуждение рекламный SDK, содержащий вредоносный код, который распространялся через мобильные приложения среди ничего не подозревающих пользователей.
Основным элементом вредоносного ПО является собственная библиотека под названием "libcoral.so", которая связывается с сервером C2 для получения местоположения полезной нагрузки и расшифровывает скрытую полезную нагрузку в изображениях с помощью стеганографических алгоритмов. Другая библиотека под названием "libsvm.so" функционирует аналогичным образом и присутствует в нескольких образцах вредоносного ПО. Несмотря на обновление версии SDK, домен, используемый для распространения исходной полезной нагрузки, остается активным. В результате мониторинга было обнаружено 37 образцов вредоносного ПО, из которых 78% использовали libcoral.so, а 22% - libsvm.so. Скрытный характер библиотеки libsvm.so создает проблемы из-за низкого уровня обнаружения у других поставщиков.
Для защиты корпоративных пользователей и устройств от Necro.N и аналогичных угроз решающее значение имеют упреждающие и надежные меры защиты. Zimperium предлагает поддержку предприятиям с помощью Mobile Threat Defense (MTD), а разработчикам приложений - с помощью Mobile Application Protection Suite (MAPS). Эти решения используют передовые методы машинного обучения, поведенческого анализа и детерминированного обнаружения, чтобы обеспечить комплексное обнаружение угроз и смягчение их последствий, обеспечивая при этом оптимальный пользовательский опыт. Встроенный в устройство механизм динамического обнаружения Zimperium успешно идентифицирует и нейтрализует все рассмотренные образцы вредоносных программ и вредоносные URL-адреса, демонстрируя свою эффективность в защите от возникающих киберугроз.
#ParsedReport #CompletenessHigh
19-10-2024
THREAT ANALYSIS: Beast Ransomware
https://www.cybereason.com/blog/threat-analysis-beast-ransomware
Report completeness: High
Actors/Campaigns:
Beast_ransomware
Threats:
Beast_ransomware
Shadow_copies_delete_technique
Industry:
E-commerce
Geo:
Chinese, Russian, Belarus, Russia, Moldova
TTPs:
Tactics: 8
Technics: 15
IOCs:
File: 3
Hash: 5
Url: 1
Soft:
ESXi, gatekeeper, Msexchange, DefWatch, Wuauserv, MSSQL, Windows Service
Algorithms:
zip, ecdh, sha256, chacha20
Win Services:
AcronisAgent, BackupExecDiveciMediaService, CAARCUpdateSvc, GxBlr, QuickBooks, AcrSch2Svc, BackupExecJobEngine, CASAD2DWebSvc, BackupExecManagementService, ccEvtMgr, have more...
Languages:
delphi
19-10-2024
THREAT ANALYSIS: Beast Ransomware
https://www.cybereason.com/blog/threat-analysis-beast-ransomware
Report completeness: High
Actors/Campaigns:
Beast_ransomware
Threats:
Beast_ransomware
Shadow_copies_delete_technique
Industry:
E-commerce
Geo:
Chinese, Russian, Belarus, Russia, Moldova
TTPs:
Tactics: 8
Technics: 15
IOCs:
File: 3
Hash: 5
Url: 1
Soft:
ESXi, gatekeeper, Msexchange, DefWatch, Wuauserv, MSSQL, Windows Service
Algorithms:
zip, ecdh, sha256, chacha20
Win Services:
AcronisAgent, BackupExecDiveciMediaService, CAARCUpdateSvc, GxBlr, QuickBooks, AcrSch2Svc, BackupExecJobEngine, CASAD2DWebSvc, BackupExecManagementService, ccEvtMgr, have more...
Languages:
delphi
Cybereason
THREAT ANALYSIS: Beast Ransomware
In this Threat Analysis report, Cybereason investigates the Ransomware-as-a-Service (RaaS) known as Beast and how to defend against it through the Cybereason Defense Platform.
CTT Report Hub
#ParsedReport #CompletenessHigh 19-10-2024 THREAT ANALYSIS: Beast Ransomware https://www.cybereason.com/blog/threat-analysis-beast-ransomware Report completeness: High Actors/Campaigns: Beast_ransomware Threats: Beast_ransomware Shadow_copies_delete_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Cybereason опубликовал отчет об анализе угроз, посвященный группе Beast Ransomware-as-a-Service (RaaS), в котором подробно описывается ее эволюционирующий характер, возможности и стратегии защиты с использованием платформы Cybereason Defense. В отчете рассматриваются настраиваемые двоичные файлы программ-вымогателей, предлагаемые Beast для систем Windows, Linux и ESXi, а также методы их взлома, включая фишинговые электронные письма и скомпрометированные конечные точки RDP. В отчете также описаны функции, методы и стратегии Beast Ransomware, такие как сегментированное шифрование файлов, архивирование файлов, отказ от шифрования в определенных странах и использование многопоточности для быстрого шифрования на подключенных устройствах.
-----
Компания Cybereason опубликовала отчет об анализе угроз, посвященный программе-вымогателю как услуге (RaaS), известной как Beast, и стратегиям защиты от нее с использованием платформы Cybereason Defense Platform. В отчете подчеркивается эволюционный характер группы программ-вымогателей Beast, которая постоянно обновляет свои инструменты для привлечения более широкого круга киберпреступников в подпольную экосистему. Платформа Beast RaaS предоставляет филиалам гибкость в настройке двоичных файлов программ-вымогателей для систем Windows, Linux и ESXi, позволяя создавать индивидуальные конфигурации для удовлетворения конкретных операционных потребностей.
В отчете подробно описываются различные функции и возможности программы-вымогателя Beast, включая сегментированное шифрование файлов, режим ZIP-оболочки, многопоточную очередь для шифрования, завершение процессов/служб, удаление теневых копий, установку скрытых разделов и сканирование подсети. В нем также упоминается недавнее продвижение автономного конструктора в августе 2024 года, предлагающего возможность настраивать сборки для систем Windows, NAS и ESXi.
В анализе рассматриваются первоначальные методы компрометации, используемые Beast, такие как фишинговые электронные письма и скомпрометированные конечные точки протокола удаленного рабочего стола (RDP). Чтобы предотвратить многократное использование программы-вымогателя в одной системе, Beast создает уникальный мьютекс с идентификатором "BEAST HERE?". Кроме того, в последней версии программы-вымогателя есть функция, позволяющая избежать шифрования данных на устройствах в странах Содружества Независимых Государств (СНГ) путем проверки языковых настроек по умолчанию, кода страны и IP-адресов.
Программа-вымогатель Beast использует DLL-файл Restart Manager, RstrtMgr.dll чтобы злонамеренно использовать системный компонент, отвечающий за защиту открытых и несохраненных файлов во время перезагрузки. Это позволяет программе-вымогателю останавливать службы и процессы для разблокировки и закрытия открытых файлов перед шифрованием. Анализ также затрагивает целевые сервисы и процесс, инициированный программой-вымогателем для удаления теневых копий.
В отчете подчеркивается, что Beast использует многопоточность для ускоренного шифрования файлов на подключенных устройствах в сети. Программа шифрует файлы различных форматов, включая документы, изображения, видео и базы данных, и оставляет уведомление о требовании выкупа в виде "README.txt" файлов в каталогах, которые не защищены от шифрования. Кроме того, в отчете упоминается комбинация клавиш ALT+CTRL+666, которая позволяет пользователям просматривать графический интерфейс Beast Ransomware во время процесса шифрования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Cybereason опубликовал отчет об анализе угроз, посвященный группе Beast Ransomware-as-a-Service (RaaS), в котором подробно описывается ее эволюционирующий характер, возможности и стратегии защиты с использованием платформы Cybereason Defense. В отчете рассматриваются настраиваемые двоичные файлы программ-вымогателей, предлагаемые Beast для систем Windows, Linux и ESXi, а также методы их взлома, включая фишинговые электронные письма и скомпрометированные конечные точки RDP. В отчете также описаны функции, методы и стратегии Beast Ransomware, такие как сегментированное шифрование файлов, архивирование файлов, отказ от шифрования в определенных странах и использование многопоточности для быстрого шифрования на подключенных устройствах.
-----
Компания Cybereason опубликовала отчет об анализе угроз, посвященный программе-вымогателю как услуге (RaaS), известной как Beast, и стратегиям защиты от нее с использованием платформы Cybereason Defense Platform. В отчете подчеркивается эволюционный характер группы программ-вымогателей Beast, которая постоянно обновляет свои инструменты для привлечения более широкого круга киберпреступников в подпольную экосистему. Платформа Beast RaaS предоставляет филиалам гибкость в настройке двоичных файлов программ-вымогателей для систем Windows, Linux и ESXi, позволяя создавать индивидуальные конфигурации для удовлетворения конкретных операционных потребностей.
В отчете подробно описываются различные функции и возможности программы-вымогателя Beast, включая сегментированное шифрование файлов, режим ZIP-оболочки, многопоточную очередь для шифрования, завершение процессов/служб, удаление теневых копий, установку скрытых разделов и сканирование подсети. В нем также упоминается недавнее продвижение автономного конструктора в августе 2024 года, предлагающего возможность настраивать сборки для систем Windows, NAS и ESXi.
В анализе рассматриваются первоначальные методы компрометации, используемые Beast, такие как фишинговые электронные письма и скомпрометированные конечные точки протокола удаленного рабочего стола (RDP). Чтобы предотвратить многократное использование программы-вымогателя в одной системе, Beast создает уникальный мьютекс с идентификатором "BEAST HERE?". Кроме того, в последней версии программы-вымогателя есть функция, позволяющая избежать шифрования данных на устройствах в странах Содружества Независимых Государств (СНГ) путем проверки языковых настроек по умолчанию, кода страны и IP-адресов.
Программа-вымогатель Beast использует DLL-файл Restart Manager, RstrtMgr.dll чтобы злонамеренно использовать системный компонент, отвечающий за защиту открытых и несохраненных файлов во время перезагрузки. Это позволяет программе-вымогателю останавливать службы и процессы для разблокировки и закрытия открытых файлов перед шифрованием. Анализ также затрагивает целевые сервисы и процесс, инициированный программой-вымогателем для удаления теневых копий.
В отчете подчеркивается, что Beast использует многопоточность для ускоренного шифрования файлов на подключенных устройствах в сети. Программа шифрует файлы различных форматов, включая документы, изображения, видео и базы данных, и оставляет уведомление о требовании выкупа в виде "README.txt" файлов в каталогах, которые не защищены от шифрования. Кроме того, в отчете упоминается комбинация клавиш ALT+CTRL+666, которая позволяет пользователям просматривать графический интерфейс Beast Ransomware во время процесса шифрования.
#ParsedReport #CompletenessLow
19-10-2024
The Mongolian Skimmer: different clothes, equally dangerous
https://jscrambler.com/blog/the-mongolian-skimmer
Report completeness: Low
Threats:
Mongolian_skimmer_tool
Geo:
Mongolian, Usa
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1140, T1056, T1071, T1083, T1497, T1622
IOCs:
Domain: 8
IP: 7
File: 2
Algorithms:
exhibit, base64
Languages:
javascript
Platforms:
intel
19-10-2024
The Mongolian Skimmer: different clothes, equally dangerous
https://jscrambler.com/blog/the-mongolian-skimmer
Report completeness: Low
Threats:
Mongolian_skimmer_tool
Geo:
Mongolian, Usa
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1140, T1056, T1071, T1083, T1497, T1622
IOCs:
Domain: 8
IP: 7
File: 2
Algorithms:
exhibit, base64
Languages:
javascript
Platforms:
intel
Jscrambler
The Mongolian Skimmer: a Skimming Campaign | Jscrambler blog
A recent skimming campaign was discovered, notable for unusual accented Unicode characters for variables and function names. Explore Jscrambler's findings.
CTT Report Hub
#ParsedReport #CompletenessLow 19-10-2024 The Mongolian Skimmer: different clothes, equally dangerous https://jscrambler.com/blog/the-mongolian-skimmer Report completeness: Low Threats: Mongolian_skimmer_tool Geo: Mongolian, Usa TTPs: Tactics: 1 Technics:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в новой кампании по скиммингу под названием the Mongolian Skimmer, которая использует обфускацию JavaScript, в частности, за счет использования необычных символов Unicode. Несмотря на первоначальное предположение, что в нем использовался новый метод обфускации, исследователи обнаружили, что он использует хорошо известные возможности JavaScript. Структура скиммера включает в себя типичные тактики скимминга, такие как мониторинг DOM, эксфильтрация данных и уклонение от методов обнаружения. Исследователи также обнаружили загрузчик плагинов Magento в специальном плагине, который динамически загружал скрипт skimmer на основе взаимодействия с пользователем. Кроме того, было обнаружено два экземпляра skimmer и взаимодействие между двумя участниками угроз в скомпрометированном коде, которые согласились разделить прибыль от скимминга. Несмотря на появление новых методов, исследователи пришли к выводу, что в кампании использовались традиционные методы, которые можно было легко отменить, а скиммер в первую очередь был нацелен на неправильно сконфигурированные или уязвимые установки Magento. Это подчеркивает постоянную угрозу подобных атак в сфере кибербезопасности.
-----
Исследователи Jscrambler недавно обнаружили новую кампанию скимминга, которая характеризуется запутыванием JavaScript, в частности использованием необычных символов Unicode в коде. Несмотря на первоначальные предположения о том, что это новый метод обфускации, исследователи быстро определили его как знакомую тактику, использующую хорошо известные возможности языка JavaScript. Хотя обфускация добавила путаницы в код, она не повысила его устойчивость к обратному проектированию.
При анализе скиммера, получившего название Mongolian Skimmer из-за уникального использования символов Unicode, исследователи обнаружили типичную структуру скимминга, включающую мониторинг полей пользовательского ввода DOM, фильтрацию данных с помощью кодирования base64 и передачу на удаленный сервер, обнаружение инструментов разработчика браузера, позволяющих избежать обнаружения, сбор данных перед выгрузкой страницы и обеспечение безопасности. кроссбраузерная совместимость.
Было обнаружено, что большинство экземпляров Mongolian skimmer содержат встроенный скрипт на домашней странице, который извлекает скрипт skimmer из внешнего источника. Однако заметным открытием стал загрузчик плагинов Magento в составе плагина "Magento 2 Google Tag Manager", который динамически загружал менеджер тегов Google и скрипт skimmer на основе взаимодействия с пользователем.
На одном скомпрометированном сайте Magento исследователи обнаружили два экземпляра скиммера - монгольский скиммер и загрузчик "Google + Analytics + Object". Интересно, что исследователи также заметили беспрецедентное взаимодействие между двумя участниками угроз в рамках скомпрометированного кода, когда они договорились разделить прибыль от скимминга.
Несмотря на первоначальное появление новых методов обфускации, исследователи пришли к выводу, что в кампании по скиммингу использовались традиционные методы, которые были легко обратимы с помощью преобразователей кода. Скиммер в первую очередь был нацелен на неправильно сконфигурированные или уязвимые установки Magento в дикой природе, подчеркивая постоянную угрозу, создаваемую такими атаками в сфере кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в новой кампании по скиммингу под названием the Mongolian Skimmer, которая использует обфускацию JavaScript, в частности, за счет использования необычных символов Unicode. Несмотря на первоначальное предположение, что в нем использовался новый метод обфускации, исследователи обнаружили, что он использует хорошо известные возможности JavaScript. Структура скиммера включает в себя типичные тактики скимминга, такие как мониторинг DOM, эксфильтрация данных и уклонение от методов обнаружения. Исследователи также обнаружили загрузчик плагинов Magento в специальном плагине, который динамически загружал скрипт skimmer на основе взаимодействия с пользователем. Кроме того, было обнаружено два экземпляра skimmer и взаимодействие между двумя участниками угроз в скомпрометированном коде, которые согласились разделить прибыль от скимминга. Несмотря на появление новых методов, исследователи пришли к выводу, что в кампании использовались традиционные методы, которые можно было легко отменить, а скиммер в первую очередь был нацелен на неправильно сконфигурированные или уязвимые установки Magento. Это подчеркивает постоянную угрозу подобных атак в сфере кибербезопасности.
-----
Исследователи Jscrambler недавно обнаружили новую кампанию скимминга, которая характеризуется запутыванием JavaScript, в частности использованием необычных символов Unicode в коде. Несмотря на первоначальные предположения о том, что это новый метод обфускации, исследователи быстро определили его как знакомую тактику, использующую хорошо известные возможности языка JavaScript. Хотя обфускация добавила путаницы в код, она не повысила его устойчивость к обратному проектированию.
При анализе скиммера, получившего название Mongolian Skimmer из-за уникального использования символов Unicode, исследователи обнаружили типичную структуру скимминга, включающую мониторинг полей пользовательского ввода DOM, фильтрацию данных с помощью кодирования base64 и передачу на удаленный сервер, обнаружение инструментов разработчика браузера, позволяющих избежать обнаружения, сбор данных перед выгрузкой страницы и обеспечение безопасности. кроссбраузерная совместимость.
Было обнаружено, что большинство экземпляров Mongolian skimmer содержат встроенный скрипт на домашней странице, который извлекает скрипт skimmer из внешнего источника. Однако заметным открытием стал загрузчик плагинов Magento в составе плагина "Magento 2 Google Tag Manager", который динамически загружал менеджер тегов Google и скрипт skimmer на основе взаимодействия с пользователем.
На одном скомпрометированном сайте Magento исследователи обнаружили два экземпляра скиммера - монгольский скиммер и загрузчик "Google + Analytics + Object". Интересно, что исследователи также заметили беспрецедентное взаимодействие между двумя участниками угроз в рамках скомпрометированного кода, когда они договорились разделить прибыль от скимминга.
Несмотря на первоначальное появление новых методов обфускации, исследователи пришли к выводу, что в кампании по скиммингу использовались традиционные методы, которые были легко обратимы с помощью преобразователей кода. Скиммер в первую очередь был нацелен на неправильно сконфигурированные или уязвимые установки Magento в дикой природе, подчеркивая постоянную угрозу, создаваемую такими атаками в сфере кибербезопасности.
#ParsedReport #CompletenessLow
19-10-2024
New Bumblebee Loader Infection Chain Signals Possible Resurgence
https://www.netskope.com/blog/new-bumblebee-loader-infection-chain-signals-possible-resurgence
Report completeness: Low
Threats:
Bumblebee
Cobalt_strike
Icedid
Pikabot
Darkgate
Latrodectus
Lolbin_technique
ChatGPT TTPs:
T1204.002, T1059.001, T1218.007, T1140, T1055.009
IOCs:
File: 7
Path: 1
Hash: 7
Url: 1
Soft:
Midjourney
Algorithms:
rc4, zip
Win API:
DllRegisterServer
Languages:
powershell
Links:
19-10-2024
New Bumblebee Loader Infection Chain Signals Possible Resurgence
https://www.netskope.com/blog/new-bumblebee-loader-infection-chain-signals-possible-resurgence
Report completeness: Low
Threats:
Bumblebee
Cobalt_strike
Icedid
Pikabot
Darkgate
Latrodectus
Lolbin_technique
ChatGPT TTPs:
do not use without manual checkT1204.002, T1059.001, T1218.007, T1140, T1055.009
IOCs:
File: 7
Path: 1
Hash: 7
Url: 1
Soft:
Midjourney
Algorithms:
rc4, zip
Win API:
DllRegisterServer
Languages:
powershell
Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/BumblebeeNetskope
New Bumblebee Loader Infection Chain Signals Possible Resurgence
Summary Bumblebee is a highly sophisticated downloader malware cybercriminals use to gain access to corporate networks and deliver other payloads such as
CTT Report Hub
#ParsedReport #CompletenessLow 19-10-2024 New Bumblebee Loader Infection Chain Signals Possible Resurgence https://www.netskope.com/blog/new-bumblebee-loader-infection-chain-signals-possible-resurgence Report completeness: Low Threats: Bumblebee Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Bumblebee - это сложная вредоносная программа-загрузчик, используемая киберпреступниками для проникновения в корпоративные сети. О недавнем всплеске киберугроз свидетельствует новая цепочка заражения, обнаруженная лабораторией Netskope Threat Labs.
-----
Bumblebee - это сложная вредоносная программа-загрузчик, обнаруженная группой анализа угроз Google в марте 2022 года. Названный в честь используемой в нем строки User-Agent, Bumblebee используется киберпреступниками для проникновения в корпоративные сети, развертывания полезных программ, таких как маяки Cobalt Strike и программы-вымогатели. Недавно лаборатория Netskope Threat Labs обнаружила новую цепочку заражения, связанную с Bumblebee, что свидетельствует о возрождении этой угрозы в киберпространстве.
Этот всплеск произошел после операции "Эндшпиль" в мае 2024 года, когда Европол предпринял действия по уничтожению крупных вредоносных ботнетов, включая Bumblebee, IcedID и Pikabot. Последняя кампания Bumblebee, вероятно, была основана на фишинговых электронных письмах, в которых жертвы просили загрузить ZIP-файл, содержащий LNK-файл с именем "Report-41952.lnk". Этот файл запускает последовательность действий, ведущую к размещению полезной нагрузки Bumblebee непосредственно в памяти, что позволяет избежать необходимости записи каких-либо DLL-файлов на диск, как это было в предыдущих кампаниях.
Файлы LNK часто используются в операциях Bumblebee либо для загрузки последующих полезных данных, либо для непосредственного выполнения файлов. В этом случае файл LNK служит в качестве загрузчика, извлекающего файл MSI с удаленного сервера для установки окончательной полезной нагрузки под видом установщика Nvidia или Midjourney. Использование MSI-файлов для выполнения полезной нагрузки является излюбленной тактикой злоумышленников из-за ее эффективности при уклонении от обнаружения.
Используя таблицу SelfReg в файле MSI, Bumblebee позволяет избежать создания дополнительных процессов и записи окончательной полезной нагрузки на диск. Вместо этого во время процесса установки таблица SelfReg запускает выполнение функции экспорта DllRegisterServer из CAB-файла с именем "disk1", который содержит DLL-файл полезной нагрузки Bumblebee. Этот метод позволяет распаковать полезную нагрузку и выполнить ее в пространстве памяти процесса msiexec.
При анализе распакованной полезной нагрузки выявляются признаки, характерные для Bumblebee, такие как внутренние имена библиотек DLL и экспортируемые функции. Вредоносная программа использует открытый текстовый ключ в качестве ключа RC4 для расшифровки своей зашифрованной конфигурации, что соответствует методике предыдущих версий. Подробности полного анализа полезной нагрузки в этом посте не рассматриваются.
Netskope Advanced Threat Protection обеспечивает проактивную защиту от таких угроз, как Bumblebee, путем мониторинга действий и постоянного анализа. Поскольку Bumblebee обновляется с использованием передовых тактик заражения, постоянный мониторинг и анализ остаются критически важными для защиты корпоративных сетей от таких сложных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Bumblebee - это сложная вредоносная программа-загрузчик, используемая киберпреступниками для проникновения в корпоративные сети. О недавнем всплеске киберугроз свидетельствует новая цепочка заражения, обнаруженная лабораторией Netskope Threat Labs.
-----
Bumblebee - это сложная вредоносная программа-загрузчик, обнаруженная группой анализа угроз Google в марте 2022 года. Названный в честь используемой в нем строки User-Agent, Bumblebee используется киберпреступниками для проникновения в корпоративные сети, развертывания полезных программ, таких как маяки Cobalt Strike и программы-вымогатели. Недавно лаборатория Netskope Threat Labs обнаружила новую цепочку заражения, связанную с Bumblebee, что свидетельствует о возрождении этой угрозы в киберпространстве.
Этот всплеск произошел после операции "Эндшпиль" в мае 2024 года, когда Европол предпринял действия по уничтожению крупных вредоносных ботнетов, включая Bumblebee, IcedID и Pikabot. Последняя кампания Bumblebee, вероятно, была основана на фишинговых электронных письмах, в которых жертвы просили загрузить ZIP-файл, содержащий LNK-файл с именем "Report-41952.lnk". Этот файл запускает последовательность действий, ведущую к размещению полезной нагрузки Bumblebee непосредственно в памяти, что позволяет избежать необходимости записи каких-либо DLL-файлов на диск, как это было в предыдущих кампаниях.
Файлы LNK часто используются в операциях Bumblebee либо для загрузки последующих полезных данных, либо для непосредственного выполнения файлов. В этом случае файл LNK служит в качестве загрузчика, извлекающего файл MSI с удаленного сервера для установки окончательной полезной нагрузки под видом установщика Nvidia или Midjourney. Использование MSI-файлов для выполнения полезной нагрузки является излюбленной тактикой злоумышленников из-за ее эффективности при уклонении от обнаружения.
Используя таблицу SelfReg в файле MSI, Bumblebee позволяет избежать создания дополнительных процессов и записи окончательной полезной нагрузки на диск. Вместо этого во время процесса установки таблица SelfReg запускает выполнение функции экспорта DllRegisterServer из CAB-файла с именем "disk1", который содержит DLL-файл полезной нагрузки Bumblebee. Этот метод позволяет распаковать полезную нагрузку и выполнить ее в пространстве памяти процесса msiexec.
При анализе распакованной полезной нагрузки выявляются признаки, характерные для Bumblebee, такие как внутренние имена библиотек DLL и экспортируемые функции. Вредоносная программа использует открытый текстовый ключ в качестве ключа RC4 для расшифровки своей зашифрованной конфигурации, что соответствует методике предыдущих версий. Подробности полного анализа полезной нагрузки в этом посте не рассматриваются.
Netskope Advanced Threat Protection обеспечивает проактивную защиту от таких угроз, как Bumblebee, путем мониторинга действий и постоянного анализа. Поскольку Bumblebee обновляется с использованием передовых тактик заражения, постоянный мониторинг и анализ остаются критически важными для защиты корпоративных сетей от таких сложных угроз.
#ParsedReport #CompletenessLow
20-10-2024
New macOS vulnerability, "HM Surf", could lead to unauthorized data access
https://www.microsoft.com/en-us/security/blog/2024/10/17/new-macos-vulnerability-hm-surf-could-lead-to-unauthorized-data-access
Report completeness: Low
Threats:
Hm_surf_vuln
Adload_loader
Powerdir_vuln
Migraine_vuln
Shrootless_vuln
CVEs:
CVE-2024-44133 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple macos (<15.0)
ChatGPT TTPs:
T1553.001, T1105
IOCs:
File: 5
Hash: 1
Url: 1
Soft:
macOS, Microsoft Defender for Endpoint, Google Chrome, Mozilla Firefox, Microsoft Edge, Chrome, curl, Chromium, Firefox
Algorithms:
sha256, base64
Win Services:
CVD
Languages:
javascript
Platforms:
apple, cross-platform
Links:
20-10-2024
New macOS vulnerability, "HM Surf", could lead to unauthorized data access
https://www.microsoft.com/en-us/security/blog/2024/10/17/new-macos-vulnerability-hm-surf-could-lead-to-unauthorized-data-access
Report completeness: Low
Threats:
Hm_surf_vuln
Adload_loader
Powerdir_vuln
Migraine_vuln
Shrootless_vuln
CVEs:
CVE-2024-44133 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple macos (<15.0)
ChatGPT TTPs:
do not use without manual checkT1553.001, T1105
IOCs:
File: 5
Hash: 1
Url: 1
Soft:
macOS, Microsoft Defender for Endpoint, Google Chrome, Mozilla Firefox, Microsoft Edge, Chrome, curl, Chromium, Firefox
Algorithms:
sha256, base64
Win Services:
CVD
Languages:
javascript
Platforms:
apple, cross-platform
Links:
https://github.com/yo-yo-yo-jbo/hm-surf/blob/main/hm-surf.htmlMicrosoft News
New macOS vulnerability, “HM Surf”, could lead to unauthorized data access
Microsoft Threat Intelligence uncovered a macOS vulnerability that could potentially allow an attacker to bypass the operating system’s Transparency, Consent, and Control (TCC) technology and gain unauthorized access to a user’s protected data. The vulnerability…