#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается об обнаружении уязвимости macOS под названием "HM Surf", обнаруженной Microsoft Threat Intelligence, и о том, как злоумышленники могли обойти технологию прозрачности, согласия и контроля (TCC), чтобы получить доступ к данным пользователя без его согласия. В нем упоминается сотрудничество Microsoft и Apple в рамках скоординированного раскрытия уязвимостей (CVD) для выпуска исправления, возможности Microsoft Defender для Endpoint по обнаружению угроз Adload, важность постоянного исследования уязвимостей и важность прав для приложений macOS для улучшения решений в области кибербезопасности.
-----

В тексте обсуждается обнаружение Microsoft Threat Intelligence уязвимости macOS под названием "HM Surf", которая может позволить злоумышленникам обойти технологию прозрачности, согласия и контроля (TCC) операционной системы. Эта уязвимость привела к удалению защиты от несанкционированного доступа для каталога браузера Safari и изменению файла конфигурации в нем для доступа к данным пользователя без его согласия, включая историю посещенных страниц, камеру, микрофон и местоположение. Корпорация Майкрософт сообщила Apple об этой уязвимости посредством скоординированного раскрытия уязвимостей (CVD), что привело к выпуску исправления (CVE-2024-44133) в обновлении для macOS. Корпорация Майкрософт работает с другими поставщиками браузеров над улучшением настроек безопасности. Пользователям macOS рекомендуется незамедлительно установить эти обновления.

В тексте упоминаются возможности мониторинга поведения в Microsoft Defender для Endpoint для обнаружения Adload, распространенной угрозы для macOS, потенциально использующей уязвимость HM Surf. Этот инструмент может обнаруживать и блокировать использование CVE-2024-44133, включая необычные изменения в файле настроек, с помощью HM Surf. В дальнейших обсуждениях объясняется, как технология TCC обычно предотвращает доступ приложений к пользовательским данным без согласия пользователя, и рассказывается о методе обхода, используемом при обнаружении уязвимостей в powerdir. Организациям предлагаются рекомендации по защите устройств от несанкционированного использования.

Обсуждаются права для приложений macOS, в которых указаны привилегии с цифровой подписью Apple, а также специальные права для Safari, позволяющие получать доступ к таким сервисам, как камера и микрофон, без проверки TCC. В Safari реализованы такие функции, как проверка библиотеки и технология Hardened Runtime, что повышает устойчивость к таким атакам, как внедрение кода. Выявлена потенциальная угроза, при которой вредоносный JavaScript-код может запускаться по протоколу HTTPS, получая доступ к камерам и службам определения местоположения без разрешения TCC. В тексте также упоминается использование PerSitePreferences.db для безопасных подключений и упоминается поддельный сервис macOS, связанный с семейством угроз Adload.

В тексте подчеркивается важность постоянных исследований для выявления уязвимостей в таких технологиях безопасности, как TCC, для защиты пользовательских данных от несанкционированного доступа. Поставщикам рекомендуется активно устранять уязвимости, чтобы опередить злоумышленников. Результаты исследований позволяют разрабатывать технологии защиты, такие как Microsoft Defender для конечных точек, позволяющие быстро выявлять и устранять сетевые уязвимости в различных средах.

Таким образом, в тексте рассказывается об уязвимости macOS, HM Surf, значении технологии TCC, возможностях приложений для macOS, механизмах обнаружения угроз Adload и постоянной потребности в исследованиях уязвимостей для улучшения решений в области кибербезопасности.

#ParsedReport #CompletenessMedium
19-10-2024

IcePeony with the '996' work culture.

http://nao-sec.org/2024/10/IcePeony-with-the-996-work-culture.html

Report completeness: Medium

Actors/Campaigns:
Icepeony

Threats:
Icecache
Cobalt_strike
Sqlmap_tool
Mimikatz_tool
Stax_tool
Diamorphine_rootkit
Urlfinder_tool
Craxcel_tool
Wmiexec_tool
Stowaway_tool
Proxychains_tool
Iceevent
Regeorg_tool
Opendir
Regeorggo_tool

Victims:
Government agencies, Academic institutions, Political organizations, Government websites

Industry:
Maritime, Government, Education

Geo:
India, Mauritius, Brazil, Chinese, Asia, Asian, Indian, Vietnam, China

ChatGPT TTPs:
do not use without manual check
T1190, T1505.003, T1105, T1071.001, T1003.001, T1048.003, T1090, T1562.001, T1140, T1082, have more...

IOCs:
Path: 3
Hash: 18
IP: 17
Domain: 5

Soft:
Microsoft Office

Algorithms:
base64, xor, aes

Languages:
javascript

Links:
https://github.com/zz1gg/secdemo/tree/main/proxy/reGeorgGo

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 3, dump: 1, chart: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе недавно обнаруженной связанной с Китаем группы APT под названием IcePeony, в том числе их действий против правительственных учреждений, академических институтов и политических организаций в таких азиатских странах, как Индия, Маврикий и Вьетнам. Тактика группы включает в себя SQL-инъекции, веб-оболочки и бэкдоры, с акцентом на пользовательскую вредоносную программу IIS под названием IceCache. Выявленные операционные ошибки IcePeony позволили исследователям раскрыть их методы атаки, инструменты и рабочую среду, отражающие "культуру работы 996" в ИТ-индустрии Китая. О китайском происхождении группы свидетельствуют структуры кода, упрощенные комментарии на китайском языке и использование разработанных в Китае инструментов. В тексте подчеркивается важность мониторинга деятельности IcePeony для понимания их меняющейся тактики и потенциального расширения круга целей.
-----

IcePeony - это недавно созданная группа APT, связанная с Китаем и действующая как минимум с 2023 года, нацеленная на правительственные учреждения, академические институты и политические организации в таких странах, как Индия, Маврикий и Вьетнам.

Их атаки включают SQL-инъекции, развертывание веб-оболочек и бэкдоров с использованием пользовательской вредоносной программы IIS под названием "IceCache"..

Атаки IcePeony длятся несколько дней и включают в себя такие инструменты, как ProxyChains, StaX, а также вредоносные программы, такие как IceCache и IceEvent.

IceCache - это двоичный файл ELF64, разработанный в Golang, настроенный в reGeorge и работающий в основном на серверах IIS.

Инструменты IcePeony содержат упрощенные комментарии на китайском языке, указывающие на связь с китайскоязычным регионом, с акцентом на страны, соответствующие стратегическим интересам Китая.

Анализ показывает, что IcePeony работает в суровых условиях, возможно, связанных с "трудовой культурой 996", стремясь поддержать национальные интересы Китая посредством целенаправленного кибершпионажа.

Тщательный мониторинг деятельности IcePeony имеет решающее значение для понимания их меняющейся тактики и потенциальной экспансии за пределы азиатских стран.

#ParsedReport #CompletenessLow
19-10-2024

Part 2: Investigating Docker Hijacking Malware - A Deep Dive into ELF Binary Analysis. Malware Analysis

https://www.cadosecurity.com/blog/investigating-docker-hijacking-malware-a-deep-dive-into-elf-binary-analysis-part2

Report completeness: Low

Threats:
Upx_tool
Masscan_tool

Victims:
Docker environments

ChatGPT TTPs:
do not use without manual check
T1027, T1050, T1490

IOCs:
File: 3
Hash: 2
Email: 1

Soft:
Docker, nginx, ubuntu, bindiff

Languages:
rust

Platforms:
intel

YARA: Found

Links:
http://github.com/whalesburg/dero-stratum-miner

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем интересе киберпреступников к контейнерным средам, таким как Docker, из-за их широкого распространения и простоты использования неправильных конфигураций. В нем обсуждается, как злоумышленники используют упакованные двоичные файлы ELF для распространения вредоносной полезной нагрузки в контейнерных системах, уделяя особое внимание процессу выявления и анализа вредоносных программ на хостах Docker. В нем также освещаются проблемы, связанные с развитием угроз в среде Docker, и важность внедрения новых методов и инструментов для эффективной борьбы с продвинутыми угрозами, основанными на контейнерах.
-----

В тексте обсуждается растущий интерес киберпреступников к контейнерным средам, таким как Docker, в первую очередь из-за их широкого распространения и простоты использования неправильных конфигураций. В серии из двух частей, посвященной анализу вредоносных программ Docker, рассказывается о том, как злоумышленники используют упакованные двоичные файлы ELF для распространения вредоносной полезной нагрузки в контейнерных системах. В первой части серии рассказывается об использовании дисковых артефактов и автоматизированных средств для выявления подозрительной активности на хостах Docker. В отличие от этого, во второй части основное внимание уделяется проведению полного анализа вредоносного по двух упакованных двоичных файлов ELF, обнаруженных в ходе расследования.

В тексте упоминается, что двоичные файлы упакованы с использованием UPX, широко используемого упаковщика вредоносных программ. В нем отмечается, что злоумышленник удалил заголовок UPX из файла, что препятствует традиционным методам распаковки с использованием инструмента UPX. Следовательно, требуется ручная распаковка, включающая понимание того, как работает UPX, и навигацию по процессу распаковки исходного кода и создания нового распакованного файла ELF. В тексте дается техническая информация о процессе ручной распаковки, например, о выполнении определенных команд и инструментов, таких как GDB и strace, для подтверждения успешной распаковки.

Кроме того, в тексте подчеркивается важность опережения развития угроз в среде Docker, подчеркиваются проблемы, возникающие из-за того, что злоумышленники модифицируют методы упаковки, такие как UPX, чтобы избежать обнаружения. В нем также рассматривается растущее использование современных языков, таких как Go и Rust, при разработке вредоносных программ, что создает проблемы для статического анализа. Поскольку Docker остается важной мишенью для кибератак из-за уязвимостей и неправильных настроек, организациям рекомендуется внедрять новые методы и инструменты для эффективной борьбы с передовыми угрозами на основе контейнеров.

Кроме того, в тексте содержатся ссылки на конкретные детали проанализированного вредоносного ПО, указывающие на наличие функций криптомайнера, основанных на таких функциях, как mineblock, getwork и threadaffinity. Он связывает определенные символы в вредоносном ПО с криптовалютой под названием Dero и реализацией майнера с открытым исходным кодом под названием "dero-stratum-miner", найденной на GitHub. В ходе дальнейшего расследования было высказано предположение, что проанализированный двоичный файл, названный cloud, мог быть получен из реализации с открытым исходным кодом с минимальными изменениями. В тексте также упоминается использование таких инструментов, как bindiff, для сравнения полезной нагрузки злоумышленника с официальным двоичным файлом на предмет любых расхождений.

#ParsedReport #CompletenessLow
20-10-2024

Inside the Latrodectus Malware Campaign

https://www.forcepoint.com/blog/x-labs/inside-latrodectus-malware-phishing-campaign

Report completeness: Low

Threats:
Latrodectus
Icedid

Industry:
Transport, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1027, T1204.002, T1059.001, T1105, T1071.001

IOCs:
Url: 6
Domain: 10
File: 5
Path: 1
Command: 1
Hash: 7

Soft:
Microsoft Visual C++

Algorithms:
base64

Languages:
javascript, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 4, table: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе недавних кампаний Latrodectus, в которых подробно описывается использование фишинговых электронных писем, вредоносных вложений, методов скрытой доставки вредоносных программ и нацеливания на такие секторы, как финансы, автомобилестроение и здравоохранение. В отчете также освещаются методы и инфраструктура, используемые злоумышленниками, такие как внедрение вредоносных программ с помощью взлома электронной почты, скрытого кода JavaScript, файлов MSI и серверов C2, а также сочетание старых и новых тактик для повышения эффективности кампании и избежания обнаружения. Кроме того, в нем подчеркиваются защитные меры, принимаемые Forcepoint для защиты клиентов от атак Latrodectus на различных этапах жизненного цикла угроз.
-----

Latrodectus осуществляет вредоносную деятельность, нацеленную на такие секторы, как финансы, автомобилестроение и здравоохранение, используя фишинговые электронные письма в качестве основного способа распространения.

Вредоносное ПО, используемое в кампании, рассчитано на скрытность и стойкость, что затрудняет его обнаружение и уничтожение.

Злоумышленники все чаще используют Latrodectus и распространенные форматы вложений, такие как HTML и PDF, для доставки вредоносной полезной информации.

Вредоносный JavaScript-код затемняется, чтобы затруднить анализ и обнаружение, инициируя загрузку и выполнение MSI-файла, который удаляет вредоносную 64-разрядную версию .dll-файл в каталоге %appdata%.

Злоумышленники используют методы фишинга, включая фишинговую HTML-страницу, замаскированную под документ Word, чтобы обманом заставить пользователей выполнить встроенный вредоносный код JavaScript.

Кампания Latrodectus сочетает в себе старые и новые тактики, используя устаревшую инфраструктуру наряду с инновационными методами распространения вредоносных программ в обход современных мер безопасности.

Клиенты Forcepoint защищены от этой угрозы, выявляя и блокируя вредоносные вложения, сокращенные URL-адреса, файлы-переносчики и сообщения C2 на различных этапах атаки.

#ParsedReport #CompletenessMedium
20-10-2024

Larva-24009 Spear Phishing Attack Case Report

https://asec.ahnlab.com/ko/83927

Report completeness: Medium

Actors/Campaigns:
Larva-24009 (motivation: information_theft)

Threats:
Spear-phishing_technique
Njrat
Quasar_rat
Ultra_vnc_tool

Industry:
Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.001, T1105, T1219

IOCs:
Hash: 5
Url: 5
IP: 1

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания ASEC, занимающаяся кибербезопасностью, выявила злоумышленника по имени Larva-24009, который проводит фишинговые атаки, нацеленные как на отечественных, так и на зарубежных пользователей. Злоумышленник действует с 2023 года, первоначально он был нацелен на зарубежные цели, но теперь заражает и отечественных пользователей. Злоумышленник использует вредоносное ПО LNK в фишинговых электронных письмах, чтобы получить удаленный контроль над скомпрометированными системами, используя вредоносное ПО PowerShell для сохранения и контроля. Цели включают блокчейн, музыку и здравоохранение, при этом злоумышленники используют в своих атаках различные скрипты PowerShell и коммерческие инструменты, такие как njRAT и QuasarRAT.
-----

ASEC выявила злоумышленника Larva-24009, который совершал фишинговые атаки, нацеленные как на внутренних, так и на зарубежных пользователей. Этот злоумышленник действует с 2023 года и изначально был нацелен в основном на зарубежные цели. Однако были подтверждены случаи заражения среди внутренних пользователей. Конкретные подробности о злоумышленнике остаются неизвестными, а цели не были подробно задокументированы, хотя в качестве целей были определены блокчейн, музыка и здравоохранение. Злоумышленники начинают свою кампанию с точечных фишинговых атак с использованием вредоносного ПО LNK, в конечном итоге устанавливая вредоносное ПО для кражи информации и получения удаленного контроля над скомпрометированными системами. Они используют самостоятельно созданное вредоносное ПО PowerShell для обеспечения устойчивости и контроля над зараженными системами.

Метод действий злоумышленника Larva-24009 начинается с фишинговых атак с использованием вредоносного ПО LNK, встроенного во вложения электронной почты вместе с файлами изображений или документов. При открытии файла документа в файле LNK выполняется вредоносная команда PowerShell. Злоумышленник выделяется тем, что использует различные сценарии PowerShell, которые выполняются в несколько этапов и часто служат для загрузки дополнительной полезной нагрузки или выполнения команд. Злоумышленники использовали коммерческие инструменты для захвата зараженных систем, ранее они использовали njRAT, а в последнее время - QuasarRAT. В ходе внутренних атак были зарегистрированы случаи установки серверов UltraVNC.

#ParsedReport #CompletenessLow
20-10-2024

Weekly Phishing Email Distribution Cases (2024/10/06\~2024/10/12)

https://asec.ahnlab.com/ko/83929

Report completeness: Low

Industry:
Transport, Financial, Healthcare, Nuclear_power, Logistic

Geo:
Korea, Czech

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1105

IOCs:
File: 28
Hash: 5
Url: 4

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту, нацеленных на электронные письма с вложениями. Эти атаки использовали различные названия электронных писем, вложения и URL-адреса для обмана получателей и были направлены на то, чтобы направить жертв на поддельные страницы входа в систему для распространения вредоносного ПО и создания черного хода для доступа к системам. Атаки включали уникальные идентификаторы для персонализации фишинговых электронных писем и индикаторы компрометации (IoC), связанные с кампанией, такие как значения MD5 и URL-адреса для целей управления (C2).
-----

В период с 6 по 12 октября 2024 года были подтверждены случаи фишинговых атак на электронную почту со специфическими схемами рассылки. Целью этих атак были электронные письма с вложениями, в которых использовались различные названия электронных писем, вложения и URL-адреса для обмана получателей. Фишинговые электронные письма были направлены на то, чтобы перенаправить жертв на поддельные страницы входа в систему и распространить различные типы вредоносных программ, в том числе связанных с утечкой информации, загрузкой вредоносного контента, использованием уязвимостей и созданием черного хода для доступа к системам.

Случаи рассылки, описанные в статье, касались фишинговых электронных писем, содержащих вложения. Заголовки электронных писем и названия вложений часто включали уникальные идентификаторы, которые могли отличаться в зависимости от получателя электронного письма. Эти уникальные идентификаторы помогали персонализировать атаки и потенциально увеличивали шансы на успех в обмане жертв.

В сообщении были указаны показатели компрометации (IoC), связанные с фишинговой кампанией. Значения MD5, указанные в IoC, представляли собой хэши фишинговых страниц и вредоносных программ, прикрепленных к электронным письмам. Кроме того, URL-адреса, указанные в IoC, служили информацией для управления (C2), которая могла быть использована злоумышленниками для получения сведений об учетной записи пользователя через фишинговые страницы.

#ParsedReport #CompletenessLow
20-10-2024

Fake "Fix It" Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan

https://blog.sucuri.net/2024/10/fake-fix-it-pop-ups-target-wordpress-sites-via-malicious-plugin-to-download-trojan.html

Report completeness: Low

Victims:
Wordpress sites

ChatGPT TTPs:
do not use without manual check
T1204, T1059.001, T1105, T1203

IOCs:
File: 4
Url: 1

Soft:
WordPress, Windows PowerShell, Windows Defender

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание недавней вредоносной кампании, нацеленной на сайты WordPress, где пользователей обманом заставляют запускать поддельное обновление браузера, которое на самом деле устанавливает троянца на их компьютеры. Вредоносная кампания включает в себя поддельные всплывающие окна на взломанных веб-сайтах, которые заставляют пользователей загружать и выполнять вредоносный код в PowerShell, что приводит к установке троянской программы. В тексте также подчеркивается важность обращения за помощью к опытным аналитикам безопасности для очистки зараженных веб-сайтов и предотвращения серьезных последствий, таких как кража данных или удаленное управление компьютерами. Кроме того, в нем рассказывается о Пудже Шриваставе, аналитике по безопасности, специализирующемся на исследованиях вредоносных программ, который может помочь в обнаружении и удалении вредоносных программ с веб-сайтов.
-----

В тексте описывается недавняя вредоносная кампания, нацеленная на сайты WordPress, которая представляет себя как поддельное обновление браузера. Вредоносная программа, идентифицированная SiteCheck как malware.fake_update.7, представляет собой троянскую программу, которая заражает пользователей после того, как они обманным путем запускают ее через поддельные всплывающие окна на взломанных веб-сайтах. В настоящее время известно, что 31 сайт заражен этой вредоносной программой.

Вредоносный код, ответственный за создание поддельных всплывающих окон, содержится в index.php файле плагина, который загружает JavaScript-файл с именем assets/popup.js. Этот JavaScript запускает появление всплывающего окна на веб-сайте, в котором пользователям предлагается нажать на кнопку с надписью "Как исправить", чтобы установить поддельный корневой сертификат. После нажатия кнопки пользователям предоставляются подробные инструкции по запуску вредоносных команд в PowerShell. Затем во втором всплывающем окне появляются инструкции по выполнению набора команд в Windows PowerShell Admin, которые копируются в буфер обмена пользователя, когда он нажимает кнопку копировать. При выполнении этих инструкций вредоносный код запускается в PowerShell, что приводит к загрузке и выполнению исполняемого файла, который загружает троянскую программу на компьютер пользователя.

Тот самый Setup.exe файл, загруженный с помощью этой вредоносной кампании, был помечен как вредоносный 21 поставщиком средств безопасности на сайте VirusTotal как Trojan.MSIL. Пользователи, которые непреднамеренно запускают сценарий PowerShell, рискуют столкнуться с серьезными последствиями, такими как кража данных, удаленное управление их компьютером или дальнейшая эксплуатация.

Кроме того, если есть подозрение, что веб-сайт заражен вредоносным ПО, пользователям рекомендуется обратиться за помощью к опытным аналитикам безопасности, которые могут помочь в устранении вредоносного ПО и восстановлении работы веб-сайта. Пуджа Шривастава, аналитик по безопасности, упомянутый в тексте, имеет более чем 7-летний опыт работы в области исследований вредоносных программ и обеспечения безопасности, специализируясь на обнаружении, мониторинге и удалении вредоносных программ с веб-сайтов. Этот специалист также выполняет такие обязанности, как устранение вредоносных программ, обучение, наставничество новых сотрудников и решение проблем в области кибербезопасности. В свободное от работы время Пуджа любит исследовать новые места и кухни, пробовать новые рецепты и играть в шахматы.