#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении деятельности организации Confucius, также известной как "Mala Shu", с акцентом на использование ими функции альтернативных потоков данных (ADS) для сокрытия вредоносных файлов при атаках, нацеленных в основном на Пакистан. Принцип работы группы заключается в рассылке фишинговых электронных писем с вредоносными сжатыми пакетами, содержащими файлы LNK со скрытыми вредоносными компонентами, с подробным объяснением того, как злоумышленники обеспечивают сохранение данных через реестр. В тексте также подчеркивается роль Института перспективных исследований угроз 360 в мониторинге и обнаружении киберугроз, включая деятельность организации Конфуция.
-----

В тексте обсуждается деятельность организации Confucius, также известной как "Mala Shu", которая действует с 2013 года с основной целью получения конфиденциальной информации. Группа постоянно занимается ежедневным поиском угроз, уделяя основное внимание Пакистану и используя функцию альтернативных потоков данных (ADS) для сокрытия вредоносных файлов в своих атаках - метод, ранее не применявшийся в их операциях. Этот текст призван пролить свет на использование группой рекламы для загрузки вредоносных компонентов, что позволит пользователям вовремя обнаружить ее и предотвратить потенциальные атаки.

Принцип работы организации Confucius заключается в инициировании атак путем отправки фишинговых электронных писем целевым организациям, содержащих вредоносный сжатый пакет, который включает в себя файл LNK с несколькими потоками данных. Используя рекламу, группа скрывает вредоносные библиотеки DLL и документы-приманки в файле LNK, делая их невидимыми для пользователя при распаковке. Сжатый пакет, по-видимому, содержит только файл LNK, размер которого эквивалентен размеру самого файла LNK. Однако при нажатии на файл LNK запускаются данные потока документов hidden bait, DLL-файл и копирование fixmapi.exe для дополнительной загрузки, что обеспечивает сохранение данных через реестр.

Злоумышленники используют технологию ADS exchange data stream для объединения двух потоков данных, называемых Banana и Apple, в файл LNK. Эти потоки соответствуют вредоносной библиотеке DLL и документу-приманке, соответственно, хотя они остаются скрытыми от просмотра, даже если в системных настройках отображаются скрытые файлы. Выполнение команды dir /r в CMD открывает доступ к этим скрытым потокам. Примечательно, что, хотя размер файла LNK составляет 4 КБАЙТ, при более тщательном рассмотрении оказывается, что он занимает 188 КБАЙТ пространства, что указывает на наличие данных вредоносного файлового потока.

Дальнейший анализ показывает, что потоки файлов в Hajj_Advisory.pdf.lnk:Banana соответствуют файлу PDF, содержащему заявление Министерства по делам религий и межконфессиональному согласию Пакистана об увеличении бюджета на хадж. Файл ClassLibrary1.dll загружается из удаленного хранилища mapistub.библиотека dll загружается в память и служит в качестве троянской программы, крадущей файлы, написанной на C#.

Процесс загрузки, образцы полезной нагрузки и целевая информация, несомненно, соответствуют характеристикам и тактике организации Confucius. Деятельность группы тщательно контролируется Институтом перспективных исследований угроз 360, который является важнейшим подразделением Группы 360 Government and Enterprise Security Group, состоящей из опытных экспертов по безопасности, специализирующихся на обнаружении, защите от киберугроз, смягчении их последствий и исследовании передовых киберугроз. Институт успешно выявил известные атаки нулевого дня, раскрыл действия различных национальных APT-групп, включая Double Kill, Double Star и Nightmare Formula, и сыграл значительную роль в обеспечении национальной сетевой безопасности, получив признание как внутри, так и за пределами индустрии кибербезопасности за свои усилия.

#ParsedReport #CompletenessLow
29-10-2024

Lumma/Amadey: fake CAPTCHAs want to know if you re human

https://securelist.com/fake-captcha-delivers-lumma-amadey/114312

Report completeness: Low

Threats:
Lumma_stealer
Amadey
Remcos_rat

Geo:
Russia, Italy, Spain, Brazil

ChatGPT TTPs:
do not use without manual check
T1140, T1059.001, T1560.002, T1005, T1113, T1219

IOCs:
Command: 1
File: 2
Hash: 3

Soft:
Chrome, BitLocker

Algorithms:
base64

Languages:
powershell

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-08-28-IOCs-for-Lumman-Stealer-from-fake-human-captcha-copy-paste-script.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератакующие используют поддельную капчу в качестве тактики распространения вредоносного ПО, нацеленного на пользователей различных онлайн-платформ, включая игровые, сайты для взрослых, файлообменные сервисы и платформы для ставок. Вредоносная КАПЧА предписывает пользователям выполнять действия, которые в конечном итоге приводят к загрузке и запуску вредоносных программ, таких как Lumma stealer и троян Amadey. Целью злоумышленников является кража конфиденциальных данных, манипулирование трафиком интернет-магазина с целью получения прибыли и получение полного контроля над зараженными устройствами. Эта кампания подчеркивает сложную природу современных киберугроз и важность понимания тактики злоумышленников для защиты от развивающихся методов распространения вредоносных программ.
-----

Было замечено, что кибератакеры используют поддельную капчу в качестве средства распространения вредоносного ПО, в частности, изначально нацеливаясь на геймеров с помощью Lumma stealer. Однако вредоносная КАПЧА теперь распространилась на различные онлайн-платформы, не связанные с играми, такие как сайты для взрослых, файлообменные сервисы и платформы для ставок, распространяя не только Lumma, но и троянскую программу Amadey. Сеть распространения работает путем включения законных предложений наряду с вредоносной капчей, перенаправляя пользователей на страницы, рекламирующие программное обеспечение для обеспечения безопасности или средства блокировки рекламы, прежде чем они могут попасть на страницу с поддельной капчей.

КАПЧА предписывает пользователям выполнять такие действия, как сканирование QR-кодов или нажатие на кнопки, которые выполняют вредоносные команды PowerShell, что в конечном итоге приводит к загрузке и запуску вредоносного ПО. Например, Lumma stealer маскируется под легальную утилиту под названием BitLockerToGo.exe для кражи криптовалютных кошельков, учетных данных браузера и архивов менеджера паролей. После фильтрации конфиденциальных данных вредоносная программа генерирует трафик для интернет-магазинов, что потенциально может принести дополнительный доход злоумышленникам, демонстрируя сходство с моделями рекламного ПО.

Недавно началась кампания по распространению троянца Amadey, известного своими возможностями кражи учетных данных из браузеров и виртуальных сетевых вычислительных систем, а также способностью манипулировать данными из буфера обмена и делать скриншоты. В некоторых случаях троянец загружает инструмент удаленного доступа Remcos, чтобы предоставить злоумышленникам полный контроль над зараженными устройствами. В период с 22 сентября по 14 октября 2024 года более 140 000 пользователей столкнулись с вредоносными рекламными скриптами, более 20 000 из них были перенаправлены на зараженные сайты, где они, возможно, столкнулись с поддельными капчами или уведомлениями об обновлениях.

Злоумышленники используют доверие пользователей к CAPTCHA, чтобы обманом заставить их выполнять рискованные действия, в то же время используя законные утилиты, такие как BitLocker, для сокрытия своих вредоносных действий. Крадя учетные данные, крипто-кошельки и манипулируя трафиком интернет-магазинов с целью получения денежной выгоды, операторы вредоносных программ стремятся обогатиться незаконными способами. В этой кампании освещаются тонкости современных киберугроз, подчеркивается важность понимания тактики злоумышленников и защиты от новых методов распространения вредоносных программ в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
30-10-2024

Lazarus' Espionage-related Cryptocurrency Activities Remain Active, With A Significant Amount of Assets Still in Circulation

https://threatbook.io/blog/id/1093

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft, financially_motivated)

Threats:
Anydesk_tool

Geo:
Asia, Korean

ChatGPT TTPs:
do not use without manual check
T1218, T1059, T1203, T1105, T1027, T1057, T1056, T1204

IOCs:
File: 2
IP: 48
Hash: 24

Soft:
Linux, macOS, Twitter, Telegram, Node.js, Chrome, Opera, mirotalk

Algorithms:
sha1, md5, base64, sha256

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Lazarus, поддерживаемая государством группа APT из Северо-Восточной Азии, в первую очередь сосредоточена на финансовой выгоде, особенно в секторе криптовалют. Они используют различные тактики для поиска жертв, включая размещение поддельных объявлений о работе и распространение поддельных криптовалютных проектов. Lazarus использует троянские программы и вредоносное ПО, разработанные на Python и JavaScript, для атак на различные операционные системы и имеет опыт разработки стойких и эффективных вредоносных программ, несмотря на публичное раскрытие информации об их атаках. Усилия по анализу угроз направлены на выявление признаков компрометации, связанных с деятельностью Lazarus, для усиления защиты кибербезопасности от их угроз.
-----

Lazarus - это изощренная группа APT, поддерживаемая государством, ориентированная в первую очередь на финансовую выгоду, а не на политические или идеологические мотивы.

В последние годы они проявили особый интерес к криптовалютному сектору.

Lazarus использует различные тактики для поиска жертв, такие как размещение поддельных объявлений о работе и возможностях реализации проектов на популярных платформах социальных сетей.

Заметный инцидент был связан с отравлением PyPI, что привело к более широкому использованию облегченных арсеналов Python и JavaScript в их работе.

Lazarus использует троянские программы, разработанные на платформе QT6, Python и JavaScript, нацеленные на системы Windows, Linux и macOS.

Были выявлены индикаторы компрометации (IOCs), связанные с деятельностью Lazarus, которые помогают обнаруживать интеллектуальные угрозы.

Lazarus распространяет зараженные криптовалютные проекты для инициирования операций по краже данных в скомпрометированных системах.

Трояны, крадущие данные, используемые Lazarus, работают на нескольких платформах и поддерживают такие функции, как удаленное управление, ведение кейлогга и мониторинг окон.

Трояны Lazarus загружают полезную нагрузку на основе Python, включая трояны, отвечающие за различные функции, такие как удаленное управление, мониторинг окон и процессов, мониторинг буфера обмена и регистрация нажатий клавиш.

#ParsedReport #CompletenessMedium
30-10-2024

Suspected DPRK Phishing Campaign Targets Naver; Separate Apple Domain Spoofing Cluster Identified

https://hunt.io/blog/dprk-phishing-targets-naver-apple-domain-spoofing

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Lazarus
Uat-5394

Threats:
Credential_stealing_technique
Typosquatting_technique

Victims:
Naver, Apple

Geo:
Korean, Iran, Korea, North korean, Dprk, Netherlands

ChatGPT TTPs:
do not use without manual check
T1566, T1553, T1583

IOCs:
Url: 4
File: 5
IP: 8
Domain: 20
Hash: 2

Soft:
Debian

Algorithms:
sha256

Languages:
php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе предполагаемой фишинговой кампании, связанной с Северной Кореей, нацеленной на южнокорейскую технологическую платформу Naver и кластер инфраструктуры, выдающий себя за Apple. В кампании использовались фишинговые страницы, предназначенные для кражи учетных данных пользователей Naver, а также тактика, обычно ассоциируемая с северокорейскими злоумышленниками. В исследовании освещаются различные тактики, используемые этими участниками угроз, включая использование бесплатных центров сертификации и ротацию доменов, а также подчеркивается важность раннего обнаружения угроз и мониторинга для эффективной защиты от таких киберугроз.
-----

В тексте подробно описывается обнаружение предполагаемой фишинговой кампании, связанной с Северной Кореей, нацеленной на южнокорейскую технологическую платформу Naver и отдельный кластер инфраструктуры, выдающий себя за Apple. Первоначальное обнаружение касалось открытого каталога, содержащего фишинговые страницы, предназначенные для кражи учетных данных пользователей Naver. Каталог, размещенный в Сеуле, содержал подпапки с именами "Изменение", "cookie" и "логин", что обычно используется в кампаниях по краже учетных данных. В ходе расследования было выявлено несколько IP-адресов, что потенциально указывает на отслеживание посетителей злоумышленником. Файлы PHP в каталоге, по-видимому, были заполнителями, а один файл имитировал страницу смены пароля Naver.

Фишинговая операция, нацеленная на Naver, согласуется с известной тактикой северокорейских злоумышленников, таких как Lazarus и Kimsuky, которые ориентируются на южнокорейские компании и используют недорогие домены для создания вредоносной инфраструктуры. Сертификаты Let's Encrypt были привязаны к IP-адресу, что является обычной тактикой для придания легитимности вредоносным действиям при минимизации затрат. Обнаружение домена ulta.appleplus.store, размещенного в Иране и предназначенного для обмана пользователей, которые ищут контент, связанный с Apple, положило начало параллельному расследованию.

Домен ulta.appleplus.store был связан с ASN в Иране и выдал уникальный HTTP-ответ на порт 2052. Были обнаружены соединения с UAT-5394 Talos, что указывает на возможные связи с северокорейскими террористическими организациями, спонсируемыми государством. Расследование привело к обнаружению дополнительных серверов в Иране, которые, если подтвердится, что они связаны с лицами, создающими угрозы из КНДР, будут означать отход от их обычной практики хостинга. Было выявлено больше доменов, подменяющих Apple, что указывает на последовательный выбор инфраструктуры, соответствующий поведению лиц, создающих угрозы из КНДР.

Исследование выявило различные тактики, применяемые северокорейскими злоумышленниками при проведении вредоносных киберопераций, в частности, использование бесплатных центров сертификации и ротации доменов для уклонения от обнаружения. Это открытие подчеркивает важность мониторинга и обнаружения таких угроз на ранней стадии для эффективной адаптации средств защиты. Аналитики продолжат внимательно следить за этой деятельностью и настоятельно призывают сообщество использовать инструменты для определения дальнейших признаков потенциальной причастности к конкретным хакерским группам.

#ParsedReport #CompletenessLow
30-10-2024

Midnight Blizzard conducts large-scale spear-phishing campaign using RDP files

https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)
Uac-0215

Threats:
Spear-phishing_technique
Supply_chain_technique
Foggyweb
Magicweb
Sim_swapping_technique
Credential_harvesting_technique

Victims:
Governments, Diplomatic entities, Non-governmental organizations, It service providers, Individuals in government, Academia, Defense, Higher education

Industry:
Government, Education, Ngo

Geo:
Ukraine, Russian federation, Japan, Australia, Russian, United kingdom

ChatGPT TTPs:
do not use without manual check
T1566.001, T1078, T1105, T1110

IOCs:
Domain: 281
File: 7

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Office 365, Office 365, Active Directory, Windows Hello, Windows Firewall, Microsoft Edge, Twitter

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности российской хакерской группировки Midnight Blizzard, связанной с СВР, которая нацелена на правительства, дипломатические учреждения, НПО и поставщиков ИТ-услуг в США и Европе посредством изощренных фишинговых кампаний с использованием вредоносных электронных писем, содержащих подписанные файлы конфигурации RDP. Группа нацелена на сбор разведывательной информации, используя новые методы доступа и приемы социальной инженерии, связанные с Microsoft, AWS и концепциями нулевого доверия. Для защиты от этих угроз особое внимание уделяется тщательным мерам кибербезопасности, включая строгую аутентификацию, сетевую защиту и обучение пользователей.
-----

Midnight Blizzard - российская организация, представляющая угрозу, связанная с СВР, известная тем, что с начала 2018 года нацеливалась на правительства, дипломатические учреждения, НПО и поставщиков ИТ-услуг в США и Европе для сбора разведывательной информации.

Группа использует такие тактические приемы, как компрометация действительных учетных записей и использование передовых методов для взлома механизмов аутентификации.

Недавняя кампания по борьбе с фишингом, организованная компанией Midnight Blizzard, была нацелена на представителей правительства, научных кругов, оборонного комплекса и других секторов, которые использовали вредоносные электронные письма, содержащие подписанные файлы конфигурации RDP, выдавая себя за сотрудников Microsoft и ссылаясь на других облачных провайдеров для проверки достоверности.

Фишинговые электронные письма были целенаправленными, в них использовались приемы социальной инженерии, связанные с концепциями Microsoft, AWS и нулевого доверия, а файлы конфигурации RDP облегчали двунаправленное сопоставление и потенциальную установку вредоносного ПО на целевые системы.

Корпорация Майкрософт рекомендует такие меры, как использование брандмауэра Windows для ограничения исходящих RDP-подключений, внедрение MFA и использование методов аутентификации, защищенных от фишинга, таких как токены FIDO, для защиты от подобных угроз.

Клиентам следует отслеживать предупреждения, связанные с вредоносными файлами RDP, и использовать отчеты в продуктах Microsoft для получения актуальной информации об угрозах и защите от действий Midnight Blizzard.

#ParsedReport #CompletenessMedium
30-10-2024

LightSpy: Implant for iOS

https://www.threatfabric.com/blogs/lightspy-implant-for-ios

Report completeness: Medium

Threats:
Lightspy
Frameworkloader
Watering_hole_technique

Geo:
Chinese, Hong kong, China

CVEs:
CVE-2020-9802 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple icloud (<7.19, <11.2)
- apple itunes (<12.10.7)
- apple safari (<13.1.1)
- apple ipados (<13.5)
- apple iphone os (<13.5)
have more...
CVE-2020-9910 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple icloud (<7.20, <11.3)
- apple itunes (<12.10.8)
- apple safari (<13.1.2)
- apple ipados (<13.6)
- apple iphone os (<13.6)
have more...
CVE-2020-9870 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<13.6)
- apple iphone os (<13.6)
- apple mac os x (<10.15.6)
- apple tvos (<13.4.8)

CVE-2020-3837 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<13.3.1)
- apple iphone os (<13.3.1)
- apple mac os x (<10.15.3)
- apple tvos (<13.3.1)
- apple watchos (<6.1.2)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1203, T1190, T1574, T1553, T1071, T1140, T1027, T1053, T1070, have more...

IOCs:
File: 26
Url: 6
Hash: 109
IP: 5

Soft:
Telegram, WeChat, WhatsApp, macOS, Android, Outlook

Algorithms:
aes, md5, zip, sha256

Functions:
DeleteKernelFile, DeleteSpring

Languages:
objective_c

Platforms:
apple

Links:
https://github.com/jakeajames/time\_waste
https://github.com/jakeajames/jelbrekLib
have more...
https://github.com/Odyssey-Team/Odyssey/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - отчет ThreatFabric, в котором подробно описывается кампания LightSpy iOS, нацеленная на устройства iOS и использующая деструктивные плагины, общедоступные эксплойты и интеграцию кода джейлбрейка для получения доступа и повышения привилегий. В отчете подчеркивается использование злоумышленниками как известных, так и неизвестных плагинов, многоэтапная цепочка заражения, уязвимость данных из-за нарушения безопасности и акцент на удалении доказательств с зараженных устройств. Кроме того, в отчете подчеркивается важность обновления системы для устранения таких угроз, как LightSpy, и предполагается потенциальное китайское происхождение злоумышленника, основанное на функциях шпионского ПО, связанных с определением местоположения.
-----

Кампании LightSpy для macOS и iOS использовали один и тот же сервер, версия iOS была обновлена с "6.0.0" до "7.9.0" и содержала 28 плагинов, в том числе семь с разрушительными возможностями, предназначенными для устройств до версии iOS 13.3.

Злоумышленник использовал общедоступные эксплойты и наборы для джейлбрейка для первоначального доступа и повышения привилегий, что указывает на глубокую интеграцию кода джейлбрейка в структуру шпионского ПО.

Для кампании LightSpy iOS были определены пять активных серверов управления (C2), последнее развертывание которых было отмечено 26 октября 2022 года.

Цепочка заражения включала в себя многоэтапный процесс, начинающийся с первоначального URL-адреса эксплойта на веб-страницах с известными и неизвестными плагинами, некоторые из которых способны удалять данные или отключать устройства.

В отчете подчеркивалось сходство кода между версиями LightSpy для macOS и iOS, что говорит об общей команде разработчиков.

Специальные плагины были нацелены на такие приложения, как Mail Master от NetEase, которые получали доступ к данным с помощью SQL-запросов и поддерживали ограниченный список версий iOS, возможно, используя различные векторы атак.

Сбой в системе безопасности на сервере управления привел к утечке данных от 15 жертв, причем 8 из них были заражены LightSpy Core версии 7.9.0, демонстрирующим такие закономерности, как подключение к определенным сетям Wi-Fi и использование VPN для подмены IP-адресов.

Злоумышленники делали упор на удалении улик с зараженных устройств, демонстрируя разрушительные возможности и изощренность, что потенциально может указывать на китайское происхождение, основываясь на функциях шпионского ПО, связанных с определением местоположения.

#ParsedReport #CompletenessLow
29-10-2024

Uncovering the Lounge Pass Scam Campaign: Targeted Android SMS Stealer Preying on Air Travellers

https://www.cloudsek.com/blog/uncovering-the-lounge-pass-scam-campaign-targeted-android-sms-stealer-preying-on-air-travellers

Report completeness: Low

Threats:
Sms_stealer

Victims:
Air travelers

Industry:
Financial, Aerospace

ChatGPT TTPs:
do not use without manual check
T1409, T1512

IOCs:
File: 1
Hash: 3
Domain: 3

Soft:
Android, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что модуль поддельных URL-адресов и фишинга XVigil от CloudSEK обнаружил сложную аферу, направленную против авиапутешественников с помощью мошеннического приложения для Android под названием "Lounge Pass", что привело к раскрытию вредоносной схемы, при которой перехватывались SMS-сообщения и похищались деньги жертв.
-----

Недавно команда исследователей угроз CloudSEK раскрыла сложную аферу, направленную против авиапутешественников с помощью мошеннического приложения для Android под названием "Lounge Pass". Это расследование было начато после того, как в социальных сетях появилось сообщение, в котором рассказывалось о том, как женщина стала жертвой мошенничества в аэропорту Бангалора. В отличие от обычных СМС-рассылок, которые выдают себя за банковские или кредитные заявки, эта кампания была специально разработана для путешественников из аэропорта.

Вредоносное приложение "Lounge Pass" после установки тайно перехватывало и пересылало мошенникам все входящие SMS-сообщения с устройства жертвы. В ходе тщательного расследования OSINT исследовательская группа выявила несколько доменов, связанных с мошенничеством, в разных доменах верхнего уровня. После реверс-инжиниринга APK-файла было обнаружено, что мошенники непреднамеренно раскрыли свою конечную точку Firebase, которая использовалась для хранения всех перехваченных SMS-сообщений от жертв.

Анализ полученных данных выявил тревожные масштабы этой аферы. С июля по август 2024 года около 450 ничего не подозревающих путешественников стали жертвами вредоносного приложения. Перехваченные SMS-сообщения раскрыли ошеломляющие масштабы аферы, показав, что мошенникам удалось украсть у своих жертв более 9 тысяч индийских рупий (около 11 000 долларов) за этот короткий период. Важно отметить, что эта сумма, скорее всего, составляет лишь часть от общего нанесенного ущерба, учитывая, что она включает только задокументированные случаи, связанные с уязвимой конечной точкой, обнаруженной в коде SMS-похитителя, в течение анализируемого периода времени.

Вредоносные APK-файлы распространялись через различные домены, что подтверждается краудсорсинговыми платформами для сканирования. Дальнейший анализ APK-файла Android SMS stealer, получившего название LOUNGEPASS.apk, выявил обширные права доступа, перечисленные в файле манифеста, что пролило свет на истинные намерения приложения. Проверка также выявила жестко закодированные секреты и конечную точку URL-адреса службы обмена сообщениями Firebase, продемонстрировав, как мошенники получали несанкционированный доступ к устройствам жертв и способствовали краже денежных средств, извлекая SMS-сообщения с их номеров.

#ParsedReport #CompletenessMedium
30-10-2024

Attacker Abuses Victim Resources to Reap Rewards from Titan Network

https://www.trendmicro.com/en_us/research/24/j/titan-network.html

Report completeness: Medium

Threats:
Cassini
Dynamic_linker_hijacking_technique

Industry:
Financial

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 5
Technics: 9

IOCs:
IP: 3
File: 2
Domain: 1
Url: 10

Soft:
Confluence, Linux, curl, Unix

Links:
https://github.com/Titannet-dao/titan-node/releases/download/v0.1.19/titan-l2edge\_v0.1.19\_patch\_linux\_amd64.tar.gz