#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности российской хакерской группировки Midnight Blizzard, связанной с СВР, которая нацелена на правительства, дипломатические учреждения, НПО и поставщиков ИТ-услуг в США и Европе посредством изощренных фишинговых кампаний с использованием вредоносных электронных писем, содержащих подписанные файлы конфигурации RDP. Группа нацелена на сбор разведывательной информации, используя новые методы доступа и приемы социальной инженерии, связанные с Microsoft, AWS и концепциями нулевого доверия. Для защиты от этих угроз особое внимание уделяется тщательным мерам кибербезопасности, включая строгую аутентификацию, сетевую защиту и обучение пользователей.
-----

Midnight Blizzard - российская организация, представляющая угрозу, связанная с СВР, известная тем, что с начала 2018 года нацеливалась на правительства, дипломатические учреждения, НПО и поставщиков ИТ-услуг в США и Европе для сбора разведывательной информации.

Группа использует такие тактические приемы, как компрометация действительных учетных записей и использование передовых методов для взлома механизмов аутентификации.

Недавняя кампания по борьбе с фишингом, организованная компанией Midnight Blizzard, была нацелена на представителей правительства, научных кругов, оборонного комплекса и других секторов, которые использовали вредоносные электронные письма, содержащие подписанные файлы конфигурации RDP, выдавая себя за сотрудников Microsoft и ссылаясь на других облачных провайдеров для проверки достоверности.

Фишинговые электронные письма были целенаправленными, в них использовались приемы социальной инженерии, связанные с концепциями Microsoft, AWS и нулевого доверия, а файлы конфигурации RDP облегчали двунаправленное сопоставление и потенциальную установку вредоносного ПО на целевые системы.

Корпорация Майкрософт рекомендует такие меры, как использование брандмауэра Windows для ограничения исходящих RDP-подключений, внедрение MFA и использование методов аутентификации, защищенных от фишинга, таких как токены FIDO, для защиты от подобных угроз.

Клиентам следует отслеживать предупреждения, связанные с вредоносными файлами RDP, и использовать отчеты в продуктах Microsoft для получения актуальной информации об угрозах и защите от действий Midnight Blizzard.

#ParsedReport #CompletenessMedium
30-10-2024

LightSpy: Implant for iOS

https://www.threatfabric.com/blogs/lightspy-implant-for-ios

Report completeness: Medium

Threats:
Lightspy
Frameworkloader
Watering_hole_technique

Geo:
Chinese, Hong kong, China

CVEs:
CVE-2020-9802 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple icloud (<7.19, <11.2)
- apple itunes (<12.10.7)
- apple safari (<13.1.1)
- apple ipados (<13.5)
- apple iphone os (<13.5)
have more...
CVE-2020-9910 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple icloud (<7.20, <11.3)
- apple itunes (<12.10.8)
- apple safari (<13.1.2)
- apple ipados (<13.6)
- apple iphone os (<13.6)
have more...
CVE-2020-9870 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<13.6)
- apple iphone os (<13.6)
- apple mac os x (<10.15.6)
- apple tvos (<13.4.8)

CVE-2020-3837 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<13.3.1)
- apple iphone os (<13.3.1)
- apple mac os x (<10.15.3)
- apple tvos (<13.3.1)
- apple watchos (<6.1.2)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1203, T1190, T1574, T1553, T1071, T1140, T1027, T1053, T1070, have more...

IOCs:
File: 26
Url: 6
Hash: 109
IP: 5

Soft:
Telegram, WeChat, WhatsApp, macOS, Android, Outlook

Algorithms:
aes, md5, zip, sha256

Functions:
DeleteKernelFile, DeleteSpring

Languages:
objective_c

Platforms:
apple

Links:
https://github.com/jakeajames/time\_waste
https://github.com/jakeajames/jelbrekLib
have more...
https://github.com/Odyssey-Team/Odyssey/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - отчет ThreatFabric, в котором подробно описывается кампания LightSpy iOS, нацеленная на устройства iOS и использующая деструктивные плагины, общедоступные эксплойты и интеграцию кода джейлбрейка для получения доступа и повышения привилегий. В отчете подчеркивается использование злоумышленниками как известных, так и неизвестных плагинов, многоэтапная цепочка заражения, уязвимость данных из-за нарушения безопасности и акцент на удалении доказательств с зараженных устройств. Кроме того, в отчете подчеркивается важность обновления системы для устранения таких угроз, как LightSpy, и предполагается потенциальное китайское происхождение злоумышленника, основанное на функциях шпионского ПО, связанных с определением местоположения.
-----

Кампании LightSpy для macOS и iOS использовали один и тот же сервер, версия iOS была обновлена с "6.0.0" до "7.9.0" и содержала 28 плагинов, в том числе семь с разрушительными возможностями, предназначенными для устройств до версии iOS 13.3.

Злоумышленник использовал общедоступные эксплойты и наборы для джейлбрейка для первоначального доступа и повышения привилегий, что указывает на глубокую интеграцию кода джейлбрейка в структуру шпионского ПО.

Для кампании LightSpy iOS были определены пять активных серверов управления (C2), последнее развертывание которых было отмечено 26 октября 2022 года.

Цепочка заражения включала в себя многоэтапный процесс, начинающийся с первоначального URL-адреса эксплойта на веб-страницах с известными и неизвестными плагинами, некоторые из которых способны удалять данные или отключать устройства.

В отчете подчеркивалось сходство кода между версиями LightSpy для macOS и iOS, что говорит об общей команде разработчиков.

Специальные плагины были нацелены на такие приложения, как Mail Master от NetEase, которые получали доступ к данным с помощью SQL-запросов и поддерживали ограниченный список версий iOS, возможно, используя различные векторы атак.

Сбой в системе безопасности на сервере управления привел к утечке данных от 15 жертв, причем 8 из них были заражены LightSpy Core версии 7.9.0, демонстрирующим такие закономерности, как подключение к определенным сетям Wi-Fi и использование VPN для подмены IP-адресов.

Злоумышленники делали упор на удалении улик с зараженных устройств, демонстрируя разрушительные возможности и изощренность, что потенциально может указывать на китайское происхождение, основываясь на функциях шпионского ПО, связанных с определением местоположения.

#ParsedReport #CompletenessLow
29-10-2024

Uncovering the Lounge Pass Scam Campaign: Targeted Android SMS Stealer Preying on Air Travellers

https://www.cloudsek.com/blog/uncovering-the-lounge-pass-scam-campaign-targeted-android-sms-stealer-preying-on-air-travellers

Report completeness: Low

Threats:
Sms_stealer

Victims:
Air travelers

Industry:
Financial, Aerospace

ChatGPT TTPs:
do not use without manual check
T1409, T1512

IOCs:
File: 1
Hash: 3
Domain: 3

Soft:
Android, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что модуль поддельных URL-адресов и фишинга XVigil от CloudSEK обнаружил сложную аферу, направленную против авиапутешественников с помощью мошеннического приложения для Android под названием "Lounge Pass", что привело к раскрытию вредоносной схемы, при которой перехватывались SMS-сообщения и похищались деньги жертв.
-----

Недавно команда исследователей угроз CloudSEK раскрыла сложную аферу, направленную против авиапутешественников с помощью мошеннического приложения для Android под названием "Lounge Pass". Это расследование было начато после того, как в социальных сетях появилось сообщение, в котором рассказывалось о том, как женщина стала жертвой мошенничества в аэропорту Бангалора. В отличие от обычных СМС-рассылок, которые выдают себя за банковские или кредитные заявки, эта кампания была специально разработана для путешественников из аэропорта.

Вредоносное приложение "Lounge Pass" после установки тайно перехватывало и пересылало мошенникам все входящие SMS-сообщения с устройства жертвы. В ходе тщательного расследования OSINT исследовательская группа выявила несколько доменов, связанных с мошенничеством, в разных доменах верхнего уровня. После реверс-инжиниринга APK-файла было обнаружено, что мошенники непреднамеренно раскрыли свою конечную точку Firebase, которая использовалась для хранения всех перехваченных SMS-сообщений от жертв.

Анализ полученных данных выявил тревожные масштабы этой аферы. С июля по август 2024 года около 450 ничего не подозревающих путешественников стали жертвами вредоносного приложения. Перехваченные SMS-сообщения раскрыли ошеломляющие масштабы аферы, показав, что мошенникам удалось украсть у своих жертв более 9 тысяч индийских рупий (около 11 000 долларов) за этот короткий период. Важно отметить, что эта сумма, скорее всего, составляет лишь часть от общего нанесенного ущерба, учитывая, что она включает только задокументированные случаи, связанные с уязвимой конечной точкой, обнаруженной в коде SMS-похитителя, в течение анализируемого периода времени.

Вредоносные APK-файлы распространялись через различные домены, что подтверждается краудсорсинговыми платформами для сканирования. Дальнейший анализ APK-файла Android SMS stealer, получившего название LOUNGEPASS.apk, выявил обширные права доступа, перечисленные в файле манифеста, что пролило свет на истинные намерения приложения. Проверка также выявила жестко закодированные секреты и конечную точку URL-адреса службы обмена сообщениями Firebase, продемонстрировав, как мошенники получали несанкционированный доступ к устройствам жертв и способствовали краже денежных средств, извлекая SMS-сообщения с их номеров.

#ParsedReport #CompletenessMedium
30-10-2024

Attacker Abuses Victim Resources to Reap Rewards from Titan Network

https://www.trendmicro.com/en_us/research/24/j/titan-network.html

Report completeness: Medium

Threats:
Cassini
Dynamic_linker_hijacking_technique

Industry:
Financial

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 5
Technics: 9

IOCs:
IP: 3
File: 2
Domain: 1
Url: 10

Soft:
Confluence, Linux, curl, Unix

Links:
https://github.com/Titannet-dao/titan-node/releases/download/v0.1.19/titan-l2edge\_v0.1.19\_patch\_linux\_amd64.tar.gz

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленник использует уязвимость в Atlassian Confluence (CVE-2023-22527) для подключения серверов к сети Titan в целях криптомайнинга. Используя уязвимость, злоумышленник добился удаленного выполнения кода, загрузил и запустил сценарии оболочки для установки двоичных файлов Titan и подключил скомпрометированные компьютеры к тестовой сети Cassini, чтобы получать вознаграждение за делегированные действия proof of stake. Сеть Titan описывается как децентрализованная платформа, которая позволяет пользователям преобразовывать аппаратные ресурсы в ценные цифровые активы, такие как вычислительная мощность, хранилище и пропускная способность, вознаграждая участников за их ресурсы. В тексте также подчеркивается важность использования передовых технологий безопасности, таких как Trend Vision One, для устранения подобных угроз.
-----

В записи блога рассказывается о том, как злоумышленник воспользовался уязвимостью в Atlassian Confluence (CVE-2023-22527) для подключения серверов к сети Titan в целях криптомайнинга. Исследователи Trend Micro наблюдали за этой атакой, в ходе которой злоумышленник с помощью уязвимости добился удаленного выполнения кода, что позволило ему использовать сеть Titan для криптомайнинга. Злоумышленник использовал общедоступные службы поиска IP-адресов и системные команды для сбора информации о взломанном компьютере, прежде чем продолжить атаку.

Процесс включал загрузку и выполнение нескольких командных скриптов для установки двоичных файлов Titan и установления соединения с сетью Titan, используя идентификационные данные злоумышленника. Взломанные компьютеры были подключены к тестовой сети Cassini, через которую участники могли выполнять делегированные действия proof of stake, чтобы заработать призовые токены. Сеть Titan - это децентрализованная платформа, которая позволяет пользователям совместно использовать аппаратные ресурсы и развертывать их, превращая их в ценные цифровые активы, такие как вычислительная мощность, хранилище и пропускная способность. Конструкция сети гарантирует, что участники получают вознаграждение за свои ресурсы, обеспечивая при этом высокое качество результатов, сопоставимое с современными облачными сервисами.

В ходе атаки злоумышленник воспользовался уязвимостью CVE-2023-22527, которая представляет собой уязвимость, связанную с неавторизованным внедрением шаблона в Atlassian Confluence. Полезная нагрузка атаки заключалась в установке заголовка ответа с надписью "Cmd" для отображения результатов выполненных команд. Злоумышленник инициировал команды, такие как "ls", для отображения списка файлов в каталоге и загрузил файлы сценариев командной оболочки на взломанный компьютер.

Злоумышленник также установил узлы Titan edge на скомпрометированных компьютерах, чтобы воспользоваться преимуществами сети. Злоумышленник подключился к тестовой сети Cassini, которая состоит из блокчейн-сети, основанной на делегированном доказательстве участия (DPO) для получения вознаграждений за счет размещения токенов, и ресурсной сети, где пользователи могут запускать узлы Titan для получения вознаграждений.

Более того, злоумышленник развернул клиент "aleo-pool" для подключения к серверу "zkRush Pool" и "Aleo TestNet Beta" для проведения криптомайнинга. Кроме того, был обнаружен вариант файла с именем "7", выполняющий обратное подключение оболочки bash к C&C-серверу через TCP-порт 80.

Чтобы смягчить такие угрозы, организации могут использовать передовые технологии безопасности, такие как Trend Vision One, которые обеспечивают многоуровневую защиту и обнаружение поведения, предотвращая нанесение вреда компьютерам и системам пользователей вредоносными инструментами и службами.

#ParsedReport #CompletenessMedium
31-10-2024

Unmasking the SYS01 Infostealer Threat: Bitdefender Labs Tracks Global Malvertising Campaign Targeting Meta Business Pages

https://www.bitdefender.com/en-us/blog/labs/unmasking-the-sys01-infostealer-threat-bitdefender-labs-tracks-global-malvertising-campaign-targeting-meta-business-pages

Report completeness: Medium

Threats:
Sys01_stealer
Ioncube_tool

Industry:
Petroleum, E-commerce

Geo:
Australia, France, America, Spain, Italy, Asia, Romania, Germany

ChatGPT TTPs:
do not use without manual check
T1105, T1203, T1003, T1090.003, T1574.011, T1027

IOCs:
File: 8
Hash: 1
Url: 17

Soft:
CapCut, Office 365, Photoshop, Telegram, Task Scheduler, WhatsApp, Discord

Wallets:
electronjs

Algorithms:
7zip

Functions:
HTTP, Graph

Languages:
php, javascript, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют онлайн-рекламу для распространения вредоносного ПО, уделяя особое внимание вредоносной кампании SYS01 InfoStealer, нацеленной на пользователей по всему миру, с особым акцентом на выдачу себя за популярные бренды для кражи персональных данных. Кампания постоянно развивается и использует вредоносные домены для распространения, при этом вредоносное ПО доставляется через приложение ElectronJS. Киберпреступники, стоящие за кампанией, используют передовые тактики уклонения, включая обнаружение в изолированной среде, чтобы оставаться незамеченными и быстро обновлять свой код, чтобы избежать мер безопасности. Кроме того, успех кампании объясняется структурированной бизнес-моделью, направленной на сбор учетных данных Facebook, особенно бизнес-аккаунтов, для запуска большего количества вредоносной рекламы и монетизации украденных учетных данных на подпольных рынках. Кроме того, пользователи могут получить доступ к инструментам защиты от кибербезопасности, таким как Scamio, предлагаемым Bitdefender для защиты от различных киберугроз.
-----

Киберпреступники используют онлайн-рекламу для распространения вредоносных программ, в частности, с помощью вредоносных рекламных кампаний на платформе Meta, ориентированных в основном на мужчин в возрасте 45 лет и старше.

Вредоносная атака развивается, и вредоносное ПО SYS01 теперь распространяется через приложение ElectronJS, имитирующее популярные программные инструменты для расширения своего охвата.

Кампания использует около сотни вредоносных доменов для распространения вредоносных программ и управления ими в режиме реального времени.

Хакеры используют массовое олицетворение бренда, чтобы привлечь широкую аудиторию, и распространяют вредоносное ПО через ссылки MediaFire в zip-архивах, содержащих электронное приложение, которое работает в фоновом режиме.

Киберпреступники используют продвинутые тактики уклонения, такие как обнаружение в изолированной среде, чтобы оставаться скрытыми от инструментов кибербезопасности, и могут быстро обновлять свой код, чтобы избежать обнаружения.

Успех кампании обусловлен сбором учетных данных Facebook, особенно из бизнес-аккаунтов, для запуска большего количества вредоносной рекламы и расширения масштабов операций за счет монетизации украденных учетных данных на подпольных торговых площадках.

Bitdefender предлагает комплексную защиту от кибербезопасности, включая службу обнаружения мошенничества Scamio на базе искусственного интеллекта, доступную на различных платформах, чтобы помочь пользователям обезопасить себя от онлайн-мошенничества.

#ParsedReport #CompletenessMedium
31-10-2024

Inside Intelligence Center: LUNAR SPIDER Enabling Ransomware Attacks on Financial Sector with Brute Ratel C4 and Latrodectus

https://blog.eclecticiq.com/inside-intelligence-center-lunar-spider-enabling-ransomware-attacks-on-financial-sector-with-brute-ratel-c4-and-latrodectus

Report completeness: Medium

Actors/Campaigns:
Lunar_spider (motivation: financially_motivated)
Alpha_spider
Wizard_spider
Nemty
Twisted_spider

Threats:
Brc4_tool
Latrodectus
Icedid
Blackcat
Smokeloader
Pikabot
Bumblebee
Conti
Trickbot
Nemty
Impacket_tool
Wmiexec_tool
Screenconnect_tool
Cobalt_strike
Streamerrat
Csharp_streamer
Rclone_tool
Seo_poisoning_technique

Geo:
Switzerland, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1105, T1047, T1021, T1547, T1219, T1573

IOCs:
Domain: 12
IP: 1
File: 6
Registry: 1
Path: 1
Url: 8
Hash: 9

Soft:
Windows Installer

Algorithms:
sha256, zip

Languages:
javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносной кампании, организованной хакерской группой LUNAR SPIDER, в ходе которой использовался запутанный загрузчик JavaScript под названием Latrodectus для доставки вредоносной полезной нагрузки, связанной с вредоносным по Brute Ratel C4. Несмотря на действия правоохранительных органов, нарушающие работу инфраструктуры, LUNAR SPIDER продолжала свою деятельность, сотрудничая с другими группами программ-вымогателей, такими как WIZARD SPIDER. Аналитики отметили адаптивность группы, эволюцию киберопераций, общую инфраструктуру с аффилированными с ALPHV компаниями-вымогателями и изощренную тактику в отношении финансовых услуг. Составление карты тактики и процедур LUNAR SPIDER помогает защитникам выявлять модели поведения, улучшать стратегии обнаружения угроз и смягчения их последствий для группы.
-----

В октябре 2024 года была обнаружена вредоносная рекламная кампания, использующая Latrodectus для доставки Brute Ratel C4, которая, вероятно, связана с русскоязычной хакерской группой LUNAR SPIDER.

LUNAR SPIDER имеет опыт разработки семейств вредоносных программ, таких как IcedID и Latrodectus, и продолжает свою деятельность, несмотря на действия правоохранительных органов в 2024 году, сотрудничая с группами вымогателей, такими как WIZARD SPIDER.

Группа сменила тактику с IcedID на Latrodectus и Brute Ratel C4, при этом было выявлено более 200 связанных вредоносных инфраструктур, что свидетельствует об эффективной координации.

Аналитики EclecticIQ наблюдали за серверами Latrodectus, управляемыми членами LUNAR SPIDER, и связали их с рекламными кампаниями злоумышленников и совместными действиями по вымогательству с ALPHV.

LUNAR SPIDER нацелился на финансовые сервисы, используя SEO-отравление, используя запутанные файлы JavaScript, загрузки MSI и выполнение вредоносных библиотек DLL для скоординированной атаки.

Составление карты тактики LUNAR SPIDER с использованием платформы MITRE ATT&CK framework помогает защитникам в разработке стратегий упреждающего поиска угроз и смягчения их последствий, ускоряя сбор разведывательной информации и время реагирования на киберугрозы.

#ParsedReport #CompletenessHigh
31-10-2024

Strela Stealer targets Central and Southwestern Europe through Stealthy Execution via WebDAV

https://cyble.com/blog/strela-stealer-targets-europe-stealthily-via-webdav

Report completeness: High

Threats:
Strela_stealer
Polyglot_technique
Spear-phishing_technique
Credential_dumping_technique

Geo:
German, Germany, Spain, Spanish

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 7
IP: 1
Hash: 95
Domain: 5

Soft:
Outlook, Microsoft Outlook, Mozilla Thunderbird

Algorithms:
sha256, xor, zip, base64

Win API:
ShowWindow, GetKeyboardLayout, CryptUnprotectData

Languages:
javascript, powershell