#ParsedReport #CompletenessLow
18-10-2024

The Mobile Malware Chronicles: Necro.N - Volume 101

https://www.zimperium.com/blog/the-necro-n-chronicles-volume-101

Report completeness: Low

Threats:
Necro_trojan
Joker
Steganography_technique

TTPs:
Tactics: 8
Technics: 7

IOCs:
Hash: 50
Url: 7

Languages:
javascript

Links:
https://github.com/Zimperium/IOC/tree/master/2024-10-Necro.N

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена кампании по борьбе с мобильным вредоносным ПО под названием Necro.N, ее характеристикам и возможностям, методам, которые она использует, чтобы избежать обнаружения, важности превентивных мер защиты от таких угроз, а также решениям, предлагаемым Zimperium для предприятий и разработчиков приложений для эффективного снижения этих рисков.
-----

Исследователи zLabs с июля отслеживают кампанию вредоносного ПО для мобильных устройств, известную как Necro.N. Они собрали более 30 образцов вредоносного ПО, отметив, что некоторые из них были слабо обнаружены другими поставщиками средств безопасности. Necro.N характеризуется как крайне навязчивый и представляющий серьезную угрозу, возможно, заменивший печально известную вредоносную программу Joker. Вредоносная программа использует методы обфускации, чтобы избежать обнаружения, и стеганографию, чтобы скрыть вредоносную нагрузку внутри изображений. Он загружает полезную информацию с сервера управления (C2) для удаленного выполнения кода на зараженных устройствах, позволяя выполнять такие действия, как установка приложений, выполнение кода JavaScript и подписка жертв на нежелательные платные сервисы. Злоумышленники разработали вводящий в заблуждение рекламный SDK, содержащий вредоносный код, который распространялся через мобильные приложения среди ничего не подозревающих пользователей.

Основным элементом вредоносного ПО является собственная библиотека под названием "libcoral.so", которая связывается с сервером C2 для получения местоположения полезной нагрузки и расшифровывает скрытую полезную нагрузку в изображениях с помощью стеганографических алгоритмов. Другая библиотека под названием "libsvm.so" функционирует аналогичным образом и присутствует в нескольких образцах вредоносного ПО. Несмотря на обновление версии SDK, домен, используемый для распространения исходной полезной нагрузки, остается активным. В результате мониторинга было обнаружено 37 образцов вредоносного ПО, из которых 78% использовали libcoral.so, а 22% - libsvm.so. Скрытный характер библиотеки libsvm.so создает проблемы из-за низкого уровня обнаружения у других поставщиков.

Для защиты корпоративных пользователей и устройств от Necro.N и аналогичных угроз решающее значение имеют упреждающие и надежные меры защиты. Zimperium предлагает поддержку предприятиям с помощью Mobile Threat Defense (MTD), а разработчикам приложений - с помощью Mobile Application Protection Suite (MAPS). Эти решения используют передовые методы машинного обучения, поведенческого анализа и детерминированного обнаружения, чтобы обеспечить комплексное обнаружение угроз и смягчение их последствий, обеспечивая при этом оптимальный пользовательский опыт. Встроенный в устройство механизм динамического обнаружения Zimperium успешно идентифицирует и нейтрализует все рассмотренные образцы вредоносных программ и вредоносные URL-адреса, демонстрируя свою эффективность в защите от возникающих киберугроз.

#ParsedReport #CompletenessHigh
19-10-2024

THREAT ANALYSIS: Beast Ransomware

https://www.cybereason.com/blog/threat-analysis-beast-ransomware

Report completeness: High

Actors/Campaigns:
Beast_ransomware

Threats:
Beast_ransomware
Shadow_copies_delete_technique

Industry:
E-commerce

Geo:
Chinese, Russian, Belarus, Russia, Moldova

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 3
Hash: 5
Url: 1

Soft:
ESXi, gatekeeper, Msexchange, DefWatch, Wuauserv, MSSQL, Windows Service

Algorithms:
zip, ecdh, sha256, chacha20

Win Services:
AcronisAgent, BackupExecDiveciMediaService, CAARCUpdateSvc, GxBlr, QuickBooks, AcrSch2Svc, BackupExecJobEngine, CASAD2DWebSvc, BackupExecManagementService, ccEvtMgr, have more...

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cybereason опубликовал отчет об анализе угроз, посвященный группе Beast Ransomware-as-a-Service (RaaS), в котором подробно описывается ее эволюционирующий характер, возможности и стратегии защиты с использованием платформы Cybereason Defense. В отчете рассматриваются настраиваемые двоичные файлы программ-вымогателей, предлагаемые Beast для систем Windows, Linux и ESXi, а также методы их взлома, включая фишинговые электронные письма и скомпрометированные конечные точки RDP. В отчете также описаны функции, методы и стратегии Beast Ransomware, такие как сегментированное шифрование файлов, архивирование файлов, отказ от шифрования в определенных странах и использование многопоточности для быстрого шифрования на подключенных устройствах.
-----

Компания Cybereason опубликовала отчет об анализе угроз, посвященный программе-вымогателю как услуге (RaaS), известной как Beast, и стратегиям защиты от нее с использованием платформы Cybereason Defense Platform. В отчете подчеркивается эволюционный характер группы программ-вымогателей Beast, которая постоянно обновляет свои инструменты для привлечения более широкого круга киберпреступников в подпольную экосистему. Платформа Beast RaaS предоставляет филиалам гибкость в настройке двоичных файлов программ-вымогателей для систем Windows, Linux и ESXi, позволяя создавать индивидуальные конфигурации для удовлетворения конкретных операционных потребностей.

В отчете подробно описываются различные функции и возможности программы-вымогателя Beast, включая сегментированное шифрование файлов, режим ZIP-оболочки, многопоточную очередь для шифрования, завершение процессов/служб, удаление теневых копий, установку скрытых разделов и сканирование подсети. В нем также упоминается недавнее продвижение автономного конструктора в августе 2024 года, предлагающего возможность настраивать сборки для систем Windows, NAS и ESXi.

В анализе рассматриваются первоначальные методы компрометации, используемые Beast, такие как фишинговые электронные письма и скомпрометированные конечные точки протокола удаленного рабочего стола (RDP). Чтобы предотвратить многократное использование программы-вымогателя в одной системе, Beast создает уникальный мьютекс с идентификатором "BEAST HERE?". Кроме того, в последней версии программы-вымогателя есть функция, позволяющая избежать шифрования данных на устройствах в странах Содружества Независимых Государств (СНГ) путем проверки языковых настроек по умолчанию, кода страны и IP-адресов.

Программа-вымогатель Beast использует DLL-файл Restart Manager, RstrtMgr.dll чтобы злонамеренно использовать системный компонент, отвечающий за защиту открытых и несохраненных файлов во время перезагрузки. Это позволяет программе-вымогателю останавливать службы и процессы для разблокировки и закрытия открытых файлов перед шифрованием. Анализ также затрагивает целевые сервисы и процесс, инициированный программой-вымогателем для удаления теневых копий.

В отчете подчеркивается, что Beast использует многопоточность для ускоренного шифрования файлов на подключенных устройствах в сети. Программа шифрует файлы различных форматов, включая документы, изображения, видео и базы данных, и оставляет уведомление о требовании выкупа в виде "README.txt" файлов в каталогах, которые не защищены от шифрования. Кроме того, в отчете упоминается комбинация клавиш ALT+CTRL+666, которая позволяет пользователям просматривать графический интерфейс Beast Ransomware во время процесса шифрования.

#ParsedReport #CompletenessLow
19-10-2024

The Mongolian Skimmer: different clothes, equally dangerous

https://jscrambler.com/blog/the-mongolian-skimmer

Report completeness: Low

Threats:
Mongolian_skimmer_tool

Geo:
Mongolian, Usa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1056, T1071, T1083, T1497, T1622

IOCs:
Domain: 8
IP: 7
File: 2

Algorithms:
exhibit, base64

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в новой кампании по скиммингу под названием the Mongolian Skimmer, которая использует обфускацию JavaScript, в частности, за счет использования необычных символов Unicode. Несмотря на первоначальное предположение, что в нем использовался новый метод обфускации, исследователи обнаружили, что он использует хорошо известные возможности JavaScript. Структура скиммера включает в себя типичные тактики скимминга, такие как мониторинг DOM, эксфильтрация данных и уклонение от методов обнаружения. Исследователи также обнаружили загрузчик плагинов Magento в специальном плагине, который динамически загружал скрипт skimmer на основе взаимодействия с пользователем. Кроме того, было обнаружено два экземпляра skimmer и взаимодействие между двумя участниками угроз в скомпрометированном коде, которые согласились разделить прибыль от скимминга. Несмотря на появление новых методов, исследователи пришли к выводу, что в кампании использовались традиционные методы, которые можно было легко отменить, а скиммер в первую очередь был нацелен на неправильно сконфигурированные или уязвимые установки Magento. Это подчеркивает постоянную угрозу подобных атак в сфере кибербезопасности.
-----

Исследователи Jscrambler недавно обнаружили новую кампанию скимминга, которая характеризуется запутыванием JavaScript, в частности использованием необычных символов Unicode в коде. Несмотря на первоначальные предположения о том, что это новый метод обфускации, исследователи быстро определили его как знакомую тактику, использующую хорошо известные возможности языка JavaScript. Хотя обфускация добавила путаницы в код, она не повысила его устойчивость к обратному проектированию.

При анализе скиммера, получившего название Mongolian Skimmer из-за уникального использования символов Unicode, исследователи обнаружили типичную структуру скимминга, включающую мониторинг полей пользовательского ввода DOM, фильтрацию данных с помощью кодирования base64 и передачу на удаленный сервер, обнаружение инструментов разработчика браузера, позволяющих избежать обнаружения, сбор данных перед выгрузкой страницы и обеспечение безопасности. кроссбраузерная совместимость.

Было обнаружено, что большинство экземпляров Mongolian skimmer содержат встроенный скрипт на домашней странице, который извлекает скрипт skimmer из внешнего источника. Однако заметным открытием стал загрузчик плагинов Magento в составе плагина "Magento 2 Google Tag Manager", который динамически загружал менеджер тегов Google и скрипт skimmer на основе взаимодействия с пользователем.

На одном скомпрометированном сайте Magento исследователи обнаружили два экземпляра скиммера - монгольский скиммер и загрузчик "Google + Analytics + Object". Интересно, что исследователи также заметили беспрецедентное взаимодействие между двумя участниками угроз в рамках скомпрометированного кода, когда они договорились разделить прибыль от скимминга.

Несмотря на первоначальное появление новых методов обфускации, исследователи пришли к выводу, что в кампании по скиммингу использовались традиционные методы, которые были легко обратимы с помощью преобразователей кода. Скиммер в первую очередь был нацелен на неправильно сконфигурированные или уязвимые установки Magento в дикой природе, подчеркивая постоянную угрозу, создаваемую такими атаками в сфере кибербезопасности.

#ParsedReport #CompletenessLow
19-10-2024

New Bumblebee Loader Infection Chain Signals Possible Resurgence

https://www.netskope.com/blog/new-bumblebee-loader-infection-chain-signals-possible-resurgence

Report completeness: Low

Threats:
Bumblebee
Cobalt_strike
Icedid
Pikabot
Darkgate
Latrodectus
Lolbin_technique

ChatGPT TTPs:
do not use without manual check
T1204.002, T1059.001, T1218.007, T1140, T1055.009

IOCs:
File: 7
Path: 1
Hash: 7
Url: 1

Soft:
Midjourney

Algorithms:
rc4, zip

Win API:
DllRegisterServer

Languages:
powershell

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Bumblebee

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Bumblebee - это сложная вредоносная программа-загрузчик, используемая киберпреступниками для проникновения в корпоративные сети. О недавнем всплеске киберугроз свидетельствует новая цепочка заражения, обнаруженная лабораторией Netskope Threat Labs.
-----

Bumblebee - это сложная вредоносная программа-загрузчик, обнаруженная группой анализа угроз Google в марте 2022 года. Названный в честь используемой в нем строки User-Agent, Bumblebee используется киберпреступниками для проникновения в корпоративные сети, развертывания полезных программ, таких как маяки Cobalt Strike и программы-вымогатели. Недавно лаборатория Netskope Threat Labs обнаружила новую цепочку заражения, связанную с Bumblebee, что свидетельствует о возрождении этой угрозы в киберпространстве.

Этот всплеск произошел после операции "Эндшпиль" в мае 2024 года, когда Европол предпринял действия по уничтожению крупных вредоносных ботнетов, включая Bumblebee, IcedID и Pikabot. Последняя кампания Bumblebee, вероятно, была основана на фишинговых электронных письмах, в которых жертвы просили загрузить ZIP-файл, содержащий LNK-файл с именем "Report-41952.lnk". Этот файл запускает последовательность действий, ведущую к размещению полезной нагрузки Bumblebee непосредственно в памяти, что позволяет избежать необходимости записи каких-либо DLL-файлов на диск, как это было в предыдущих кампаниях.

Файлы LNK часто используются в операциях Bumblebee либо для загрузки последующих полезных данных, либо для непосредственного выполнения файлов. В этом случае файл LNK служит в качестве загрузчика, извлекающего файл MSI с удаленного сервера для установки окончательной полезной нагрузки под видом установщика Nvidia или Midjourney. Использование MSI-файлов для выполнения полезной нагрузки является излюбленной тактикой злоумышленников из-за ее эффективности при уклонении от обнаружения.

Используя таблицу SelfReg в файле MSI, Bumblebee позволяет избежать создания дополнительных процессов и записи окончательной полезной нагрузки на диск. Вместо этого во время процесса установки таблица SelfReg запускает выполнение функции экспорта DllRegisterServer из CAB-файла с именем "disk1", который содержит DLL-файл полезной нагрузки Bumblebee. Этот метод позволяет распаковать полезную нагрузку и выполнить ее в пространстве памяти процесса msiexec.

При анализе распакованной полезной нагрузки выявляются признаки, характерные для Bumblebee, такие как внутренние имена библиотек DLL и экспортируемые функции. Вредоносная программа использует открытый текстовый ключ в качестве ключа RC4 для расшифровки своей зашифрованной конфигурации, что соответствует методике предыдущих версий. Подробности полного анализа полезной нагрузки в этом посте не рассматриваются.

Netskope Advanced Threat Protection обеспечивает проактивную защиту от таких угроз, как Bumblebee, путем мониторинга действий и постоянного анализа. Поскольку Bumblebee обновляется с использованием передовых тактик заражения, постоянный мониторинг и анализ остаются критически важными для защиты корпоративных сетей от таких сложных угроз.

#ParsedReport #CompletenessLow
20-10-2024

New macOS vulnerability, "HM Surf", could lead to unauthorized data access

https://www.microsoft.com/en-us/security/blog/2024/10/17/new-macos-vulnerability-hm-surf-could-lead-to-unauthorized-data-access

Report completeness: Low

Threats:
Hm_surf_vuln
Adload_loader
Powerdir_vuln
Migraine_vuln
Shrootless_vuln

CVEs:
CVE-2024-44133 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple macos (<15.0)


ChatGPT TTPs:
do not use without manual check
T1553.001, T1105

IOCs:
File: 5
Hash: 1
Url: 1

Soft:
macOS, Microsoft Defender for Endpoint, Google Chrome, Mozilla Firefox, Microsoft Edge, Chrome, curl, Chromium, Firefox

Algorithms:
sha256, base64

Win Services:
CVD

Languages:
javascript

Platforms:
apple, cross-platform

Links:
https://github.com/yo-yo-yo-jbo/hm-surf/blob/main/hm-surf.html

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается об обнаружении уязвимости macOS под названием "HM Surf", обнаруженной Microsoft Threat Intelligence, и о том, как злоумышленники могли обойти технологию прозрачности, согласия и контроля (TCC), чтобы получить доступ к данным пользователя без его согласия. В нем упоминается сотрудничество Microsoft и Apple в рамках скоординированного раскрытия уязвимостей (CVD) для выпуска исправления, возможности Microsoft Defender для Endpoint по обнаружению угроз Adload, важность постоянного исследования уязвимостей и важность прав для приложений macOS для улучшения решений в области кибербезопасности.
-----

В тексте обсуждается обнаружение Microsoft Threat Intelligence уязвимости macOS под названием "HM Surf", которая может позволить злоумышленникам обойти технологию прозрачности, согласия и контроля (TCC) операционной системы. Эта уязвимость привела к удалению защиты от несанкционированного доступа для каталога браузера Safari и изменению файла конфигурации в нем для доступа к данным пользователя без его согласия, включая историю посещенных страниц, камеру, микрофон и местоположение. Корпорация Майкрософт сообщила Apple об этой уязвимости посредством скоординированного раскрытия уязвимостей (CVD), что привело к выпуску исправления (CVE-2024-44133) в обновлении для macOS. Корпорация Майкрософт работает с другими поставщиками браузеров над улучшением настроек безопасности. Пользователям macOS рекомендуется незамедлительно установить эти обновления.

В тексте упоминаются возможности мониторинга поведения в Microsoft Defender для Endpoint для обнаружения Adload, распространенной угрозы для macOS, потенциально использующей уязвимость HM Surf. Этот инструмент может обнаруживать и блокировать использование CVE-2024-44133, включая необычные изменения в файле настроек, с помощью HM Surf. В дальнейших обсуждениях объясняется, как технология TCC обычно предотвращает доступ приложений к пользовательским данным без согласия пользователя, и рассказывается о методе обхода, используемом при обнаружении уязвимостей в powerdir. Организациям предлагаются рекомендации по защите устройств от несанкционированного использования.

Обсуждаются права для приложений macOS, в которых указаны привилегии с цифровой подписью Apple, а также специальные права для Safari, позволяющие получать доступ к таким сервисам, как камера и микрофон, без проверки TCC. В Safari реализованы такие функции, как проверка библиотеки и технология Hardened Runtime, что повышает устойчивость к таким атакам, как внедрение кода. Выявлена потенциальная угроза, при которой вредоносный JavaScript-код может запускаться по протоколу HTTPS, получая доступ к камерам и службам определения местоположения без разрешения TCC. В тексте также упоминается использование PerSitePreferences.db для безопасных подключений и упоминается поддельный сервис macOS, связанный с семейством угроз Adload.

В тексте подчеркивается важность постоянных исследований для выявления уязвимостей в таких технологиях безопасности, как TCC, для защиты пользовательских данных от несанкционированного доступа. Поставщикам рекомендуется активно устранять уязвимости, чтобы опередить злоумышленников. Результаты исследований позволяют разрабатывать технологии защиты, такие как Microsoft Defender для конечных точек, позволяющие быстро выявлять и устранять сетевые уязвимости в различных средах.

Таким образом, в тексте рассказывается об уязвимости macOS, HM Surf, значении технологии TCC, возможностях приложений для macOS, механизмах обнаружения угроз Adload и постоянной потребности в исследованиях уязвимостей для улучшения решений в области кибербезопасности.

#ParsedReport #CompletenessMedium
19-10-2024

IcePeony with the '996' work culture.

http://nao-sec.org/2024/10/IcePeony-with-the-996-work-culture.html

Report completeness: Medium

Actors/Campaigns:
Icepeony

Threats:
Icecache
Cobalt_strike
Sqlmap_tool
Mimikatz_tool
Stax_tool
Diamorphine_rootkit
Urlfinder_tool
Craxcel_tool
Wmiexec_tool
Stowaway_tool
Proxychains_tool
Iceevent
Regeorg_tool
Opendir
Regeorggo_tool

Victims:
Government agencies, Academic institutions, Political organizations, Government websites

Industry:
Maritime, Government, Education

Geo:
India, Mauritius, Brazil, Chinese, Asia, Asian, Indian, Vietnam, China

ChatGPT TTPs:
do not use without manual check
T1190, T1505.003, T1105, T1071.001, T1003.001, T1048.003, T1090, T1562.001, T1140, T1082, have more...

IOCs:
Path: 3
Hash: 18
IP: 17
Domain: 5

Soft:
Microsoft Office

Algorithms:
base64, xor, aes

Languages:
javascript

Links:
https://github.com/zz1gg/secdemo/tree/main/proxy/reGeorgGo

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 3, dump: 1, chart: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе недавно обнаруженной связанной с Китаем группы APT под названием IcePeony, в том числе их действий против правительственных учреждений, академических институтов и политических организаций в таких азиатских странах, как Индия, Маврикий и Вьетнам. Тактика группы включает в себя SQL-инъекции, веб-оболочки и бэкдоры, с акцентом на пользовательскую вредоносную программу IIS под названием IceCache. Выявленные операционные ошибки IcePeony позволили исследователям раскрыть их методы атаки, инструменты и рабочую среду, отражающие "культуру работы 996" в ИТ-индустрии Китая. О китайском происхождении группы свидетельствуют структуры кода, упрощенные комментарии на китайском языке и использование разработанных в Китае инструментов. В тексте подчеркивается важность мониторинга деятельности IcePeony для понимания их меняющейся тактики и потенциального расширения круга целей.
-----

IcePeony - это недавно созданная группа APT, связанная с Китаем и действующая как минимум с 2023 года, нацеленная на правительственные учреждения, академические институты и политические организации в таких странах, как Индия, Маврикий и Вьетнам.

Их атаки включают SQL-инъекции, развертывание веб-оболочек и бэкдоров с использованием пользовательской вредоносной программы IIS под названием "IceCache"..

Атаки IcePeony длятся несколько дней и включают в себя такие инструменты, как ProxyChains, StaX, а также вредоносные программы, такие как IceCache и IceEvent.

IceCache - это двоичный файл ELF64, разработанный в Golang, настроенный в reGeorge и работающий в основном на серверах IIS.

Инструменты IcePeony содержат упрощенные комментарии на китайском языке, указывающие на связь с китайскоязычным регионом, с акцентом на страны, соответствующие стратегическим интересам Китая.

Анализ показывает, что IcePeony работает в суровых условиях, возможно, связанных с "трудовой культурой 996", стремясь поддержать национальные интересы Китая посредством целенаправленного кибершпионажа.

Тщательный мониторинг деятельности IcePeony имеет решающее значение для понимания их меняющейся тактики и потенциальной экспансии за пределы азиатских стран.

#ParsedReport #CompletenessLow
19-10-2024

Part 2: Investigating Docker Hijacking Malware - A Deep Dive into ELF Binary Analysis. Malware Analysis

https://www.cadosecurity.com/blog/investigating-docker-hijacking-malware-a-deep-dive-into-elf-binary-analysis-part2

Report completeness: Low

Threats:
Upx_tool
Masscan_tool

Victims:
Docker environments

ChatGPT TTPs:
do not use without manual check
T1027, T1050, T1490

IOCs:
File: 3
Hash: 2
Email: 1

Soft:
Docker, nginx, ubuntu, bindiff

Languages:
rust

Platforms:
intel

YARA: Found

Links:
http://github.com/whalesburg/dero-stratum-miner

#ParsedReport #GeneratedSchema
Generated with GPT-4