#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - отчет ThreatFabric, в котором подробно описывается кампания LightSpy iOS, нацеленная на устройства iOS и использующая деструктивные плагины, общедоступные эксплойты и интеграцию кода джейлбрейка для получения доступа и повышения привилегий. В отчете подчеркивается использование злоумышленниками как известных, так и неизвестных плагинов, многоэтапная цепочка заражения, уязвимость данных из-за нарушения безопасности и акцент на удалении доказательств с зараженных устройств. Кроме того, в отчете подчеркивается важность обновления системы для устранения таких угроз, как LightSpy, и предполагается потенциальное китайское происхождение злоумышленника, основанное на функциях шпионского ПО, связанных с определением местоположения.
-----

Кампании LightSpy для macOS и iOS использовали один и тот же сервер, версия iOS была обновлена с "6.0.0" до "7.9.0" и содержала 28 плагинов, в том числе семь с разрушительными возможностями, предназначенными для устройств до версии iOS 13.3.

Злоумышленник использовал общедоступные эксплойты и наборы для джейлбрейка для первоначального доступа и повышения привилегий, что указывает на глубокую интеграцию кода джейлбрейка в структуру шпионского ПО.

Для кампании LightSpy iOS были определены пять активных серверов управления (C2), последнее развертывание которых было отмечено 26 октября 2022 года.

Цепочка заражения включала в себя многоэтапный процесс, начинающийся с первоначального URL-адреса эксплойта на веб-страницах с известными и неизвестными плагинами, некоторые из которых способны удалять данные или отключать устройства.

В отчете подчеркивалось сходство кода между версиями LightSpy для macOS и iOS, что говорит об общей команде разработчиков.

Специальные плагины были нацелены на такие приложения, как Mail Master от NetEase, которые получали доступ к данным с помощью SQL-запросов и поддерживали ограниченный список версий iOS, возможно, используя различные векторы атак.

Сбой в системе безопасности на сервере управления привел к утечке данных от 15 жертв, причем 8 из них были заражены LightSpy Core версии 7.9.0, демонстрирующим такие закономерности, как подключение к определенным сетям Wi-Fi и использование VPN для подмены IP-адресов.

Злоумышленники делали упор на удалении улик с зараженных устройств, демонстрируя разрушительные возможности и изощренность, что потенциально может указывать на китайское происхождение, основываясь на функциях шпионского ПО, связанных с определением местоположения.

#ParsedReport #CompletenessLow
29-10-2024

Uncovering the Lounge Pass Scam Campaign: Targeted Android SMS Stealer Preying on Air Travellers

https://www.cloudsek.com/blog/uncovering-the-lounge-pass-scam-campaign-targeted-android-sms-stealer-preying-on-air-travellers

Report completeness: Low

Threats:
Sms_stealer

Victims:
Air travelers

Industry:
Financial, Aerospace

ChatGPT TTPs:
do not use without manual check
T1409, T1512

IOCs:
File: 1
Hash: 3
Domain: 3

Soft:
Android, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что модуль поддельных URL-адресов и фишинга XVigil от CloudSEK обнаружил сложную аферу, направленную против авиапутешественников с помощью мошеннического приложения для Android под названием "Lounge Pass", что привело к раскрытию вредоносной схемы, при которой перехватывались SMS-сообщения и похищались деньги жертв.
-----

Недавно команда исследователей угроз CloudSEK раскрыла сложную аферу, направленную против авиапутешественников с помощью мошеннического приложения для Android под названием "Lounge Pass". Это расследование было начато после того, как в социальных сетях появилось сообщение, в котором рассказывалось о том, как женщина стала жертвой мошенничества в аэропорту Бангалора. В отличие от обычных СМС-рассылок, которые выдают себя за банковские или кредитные заявки, эта кампания была специально разработана для путешественников из аэропорта.

Вредоносное приложение "Lounge Pass" после установки тайно перехватывало и пересылало мошенникам все входящие SMS-сообщения с устройства жертвы. В ходе тщательного расследования OSINT исследовательская группа выявила несколько доменов, связанных с мошенничеством, в разных доменах верхнего уровня. После реверс-инжиниринга APK-файла было обнаружено, что мошенники непреднамеренно раскрыли свою конечную точку Firebase, которая использовалась для хранения всех перехваченных SMS-сообщений от жертв.

Анализ полученных данных выявил тревожные масштабы этой аферы. С июля по август 2024 года около 450 ничего не подозревающих путешественников стали жертвами вредоносного приложения. Перехваченные SMS-сообщения раскрыли ошеломляющие масштабы аферы, показав, что мошенникам удалось украсть у своих жертв более 9 тысяч индийских рупий (около 11 000 долларов) за этот короткий период. Важно отметить, что эта сумма, скорее всего, составляет лишь часть от общего нанесенного ущерба, учитывая, что она включает только задокументированные случаи, связанные с уязвимой конечной точкой, обнаруженной в коде SMS-похитителя, в течение анализируемого периода времени.

Вредоносные APK-файлы распространялись через различные домены, что подтверждается краудсорсинговыми платформами для сканирования. Дальнейший анализ APK-файла Android SMS stealer, получившего название LOUNGEPASS.apk, выявил обширные права доступа, перечисленные в файле манифеста, что пролило свет на истинные намерения приложения. Проверка также выявила жестко закодированные секреты и конечную точку URL-адреса службы обмена сообщениями Firebase, продемонстрировав, как мошенники получали несанкционированный доступ к устройствам жертв и способствовали краже денежных средств, извлекая SMS-сообщения с их номеров.

#ParsedReport #CompletenessMedium
30-10-2024

Attacker Abuses Victim Resources to Reap Rewards from Titan Network

https://www.trendmicro.com/en_us/research/24/j/titan-network.html

Report completeness: Medium

Threats:
Cassini
Dynamic_linker_hijacking_technique

Industry:
Financial

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 5
Technics: 9

IOCs:
IP: 3
File: 2
Domain: 1
Url: 10

Soft:
Confluence, Linux, curl, Unix

Links:
https://github.com/Titannet-dao/titan-node/releases/download/v0.1.19/titan-l2edge\_v0.1.19\_patch\_linux\_amd64.tar.gz

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленник использует уязвимость в Atlassian Confluence (CVE-2023-22527) для подключения серверов к сети Titan в целях криптомайнинга. Используя уязвимость, злоумышленник добился удаленного выполнения кода, загрузил и запустил сценарии оболочки для установки двоичных файлов Titan и подключил скомпрометированные компьютеры к тестовой сети Cassini, чтобы получать вознаграждение за делегированные действия proof of stake. Сеть Titan описывается как децентрализованная платформа, которая позволяет пользователям преобразовывать аппаратные ресурсы в ценные цифровые активы, такие как вычислительная мощность, хранилище и пропускная способность, вознаграждая участников за их ресурсы. В тексте также подчеркивается важность использования передовых технологий безопасности, таких как Trend Vision One, для устранения подобных угроз.
-----

В записи блога рассказывается о том, как злоумышленник воспользовался уязвимостью в Atlassian Confluence (CVE-2023-22527) для подключения серверов к сети Titan в целях криптомайнинга. Исследователи Trend Micro наблюдали за этой атакой, в ходе которой злоумышленник с помощью уязвимости добился удаленного выполнения кода, что позволило ему использовать сеть Titan для криптомайнинга. Злоумышленник использовал общедоступные службы поиска IP-адресов и системные команды для сбора информации о взломанном компьютере, прежде чем продолжить атаку.

Процесс включал загрузку и выполнение нескольких командных скриптов для установки двоичных файлов Titan и установления соединения с сетью Titan, используя идентификационные данные злоумышленника. Взломанные компьютеры были подключены к тестовой сети Cassini, через которую участники могли выполнять делегированные действия proof of stake, чтобы заработать призовые токены. Сеть Titan - это децентрализованная платформа, которая позволяет пользователям совместно использовать аппаратные ресурсы и развертывать их, превращая их в ценные цифровые активы, такие как вычислительная мощность, хранилище и пропускная способность. Конструкция сети гарантирует, что участники получают вознаграждение за свои ресурсы, обеспечивая при этом высокое качество результатов, сопоставимое с современными облачными сервисами.

В ходе атаки злоумышленник воспользовался уязвимостью CVE-2023-22527, которая представляет собой уязвимость, связанную с неавторизованным внедрением шаблона в Atlassian Confluence. Полезная нагрузка атаки заключалась в установке заголовка ответа с надписью "Cmd" для отображения результатов выполненных команд. Злоумышленник инициировал команды, такие как "ls", для отображения списка файлов в каталоге и загрузил файлы сценариев командной оболочки на взломанный компьютер.

Злоумышленник также установил узлы Titan edge на скомпрометированных компьютерах, чтобы воспользоваться преимуществами сети. Злоумышленник подключился к тестовой сети Cassini, которая состоит из блокчейн-сети, основанной на делегированном доказательстве участия (DPO) для получения вознаграждений за счет размещения токенов, и ресурсной сети, где пользователи могут запускать узлы Titan для получения вознаграждений.

Более того, злоумышленник развернул клиент "aleo-pool" для подключения к серверу "zkRush Pool" и "Aleo TestNet Beta" для проведения криптомайнинга. Кроме того, был обнаружен вариант файла с именем "7", выполняющий обратное подключение оболочки bash к C&C-серверу через TCP-порт 80.

Чтобы смягчить такие угрозы, организации могут использовать передовые технологии безопасности, такие как Trend Vision One, которые обеспечивают многоуровневую защиту и обнаружение поведения, предотвращая нанесение вреда компьютерам и системам пользователей вредоносными инструментами и службами.

#ParsedReport #CompletenessMedium
31-10-2024

Unmasking the SYS01 Infostealer Threat: Bitdefender Labs Tracks Global Malvertising Campaign Targeting Meta Business Pages

https://www.bitdefender.com/en-us/blog/labs/unmasking-the-sys01-infostealer-threat-bitdefender-labs-tracks-global-malvertising-campaign-targeting-meta-business-pages

Report completeness: Medium

Threats:
Sys01_stealer
Ioncube_tool

Industry:
Petroleum, E-commerce

Geo:
Australia, France, America, Spain, Italy, Asia, Romania, Germany

ChatGPT TTPs:
do not use without manual check
T1105, T1203, T1003, T1090.003, T1574.011, T1027

IOCs:
File: 8
Hash: 1
Url: 17

Soft:
CapCut, Office 365, Photoshop, Telegram, Task Scheduler, WhatsApp, Discord

Wallets:
electronjs

Algorithms:
7zip

Functions:
HTTP, Graph

Languages:
php, javascript, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют онлайн-рекламу для распространения вредоносного ПО, уделяя особое внимание вредоносной кампании SYS01 InfoStealer, нацеленной на пользователей по всему миру, с особым акцентом на выдачу себя за популярные бренды для кражи персональных данных. Кампания постоянно развивается и использует вредоносные домены для распространения, при этом вредоносное ПО доставляется через приложение ElectronJS. Киберпреступники, стоящие за кампанией, используют передовые тактики уклонения, включая обнаружение в изолированной среде, чтобы оставаться незамеченными и быстро обновлять свой код, чтобы избежать мер безопасности. Кроме того, успех кампании объясняется структурированной бизнес-моделью, направленной на сбор учетных данных Facebook, особенно бизнес-аккаунтов, для запуска большего количества вредоносной рекламы и монетизации украденных учетных данных на подпольных рынках. Кроме того, пользователи могут получить доступ к инструментам защиты от кибербезопасности, таким как Scamio, предлагаемым Bitdefender для защиты от различных киберугроз.
-----

Киберпреступники используют онлайн-рекламу для распространения вредоносных программ, в частности, с помощью вредоносных рекламных кампаний на платформе Meta, ориентированных в основном на мужчин в возрасте 45 лет и старше.

Вредоносная атака развивается, и вредоносное ПО SYS01 теперь распространяется через приложение ElectronJS, имитирующее популярные программные инструменты для расширения своего охвата.

Кампания использует около сотни вредоносных доменов для распространения вредоносных программ и управления ими в режиме реального времени.

Хакеры используют массовое олицетворение бренда, чтобы привлечь широкую аудиторию, и распространяют вредоносное ПО через ссылки MediaFire в zip-архивах, содержащих электронное приложение, которое работает в фоновом режиме.

Киберпреступники используют продвинутые тактики уклонения, такие как обнаружение в изолированной среде, чтобы оставаться скрытыми от инструментов кибербезопасности, и могут быстро обновлять свой код, чтобы избежать обнаружения.

Успех кампании обусловлен сбором учетных данных Facebook, особенно из бизнес-аккаунтов, для запуска большего количества вредоносной рекламы и расширения масштабов операций за счет монетизации украденных учетных данных на подпольных торговых площадках.

Bitdefender предлагает комплексную защиту от кибербезопасности, включая службу обнаружения мошенничества Scamio на базе искусственного интеллекта, доступную на различных платформах, чтобы помочь пользователям обезопасить себя от онлайн-мошенничества.

#ParsedReport #CompletenessMedium
31-10-2024

Inside Intelligence Center: LUNAR SPIDER Enabling Ransomware Attacks on Financial Sector with Brute Ratel C4 and Latrodectus

https://blog.eclecticiq.com/inside-intelligence-center-lunar-spider-enabling-ransomware-attacks-on-financial-sector-with-brute-ratel-c4-and-latrodectus

Report completeness: Medium

Actors/Campaigns:
Lunar_spider (motivation: financially_motivated)
Alpha_spider
Wizard_spider
Nemty
Twisted_spider

Threats:
Brc4_tool
Latrodectus
Icedid
Blackcat
Smokeloader
Pikabot
Bumblebee
Conti
Trickbot
Nemty
Impacket_tool
Wmiexec_tool
Screenconnect_tool
Cobalt_strike
Streamerrat
Csharp_streamer
Rclone_tool
Seo_poisoning_technique

Geo:
Switzerland, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1105, T1047, T1021, T1547, T1219, T1573

IOCs:
Domain: 12
IP: 1
File: 6
Registry: 1
Path: 1
Url: 8
Hash: 9

Soft:
Windows Installer

Algorithms:
sha256, zip

Languages:
javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносной кампании, организованной хакерской группой LUNAR SPIDER, в ходе которой использовался запутанный загрузчик JavaScript под названием Latrodectus для доставки вредоносной полезной нагрузки, связанной с вредоносным по Brute Ratel C4. Несмотря на действия правоохранительных органов, нарушающие работу инфраструктуры, LUNAR SPIDER продолжала свою деятельность, сотрудничая с другими группами программ-вымогателей, такими как WIZARD SPIDER. Аналитики отметили адаптивность группы, эволюцию киберопераций, общую инфраструктуру с аффилированными с ALPHV компаниями-вымогателями и изощренную тактику в отношении финансовых услуг. Составление карты тактики и процедур LUNAR SPIDER помогает защитникам выявлять модели поведения, улучшать стратегии обнаружения угроз и смягчения их последствий для группы.
-----

В октябре 2024 года была обнаружена вредоносная рекламная кампания, использующая Latrodectus для доставки Brute Ratel C4, которая, вероятно, связана с русскоязычной хакерской группой LUNAR SPIDER.

LUNAR SPIDER имеет опыт разработки семейств вредоносных программ, таких как IcedID и Latrodectus, и продолжает свою деятельность, несмотря на действия правоохранительных органов в 2024 году, сотрудничая с группами вымогателей, такими как WIZARD SPIDER.

Группа сменила тактику с IcedID на Latrodectus и Brute Ratel C4, при этом было выявлено более 200 связанных вредоносных инфраструктур, что свидетельствует об эффективной координации.

Аналитики EclecticIQ наблюдали за серверами Latrodectus, управляемыми членами LUNAR SPIDER, и связали их с рекламными кампаниями злоумышленников и совместными действиями по вымогательству с ALPHV.

LUNAR SPIDER нацелился на финансовые сервисы, используя SEO-отравление, используя запутанные файлы JavaScript, загрузки MSI и выполнение вредоносных библиотек DLL для скоординированной атаки.

Составление карты тактики LUNAR SPIDER с использованием платформы MITRE ATT&CK framework помогает защитникам в разработке стратегий упреждающего поиска угроз и смягчения их последствий, ускоряя сбор разведывательной информации и время реагирования на киберугрозы.

#ParsedReport #CompletenessHigh
31-10-2024

Strela Stealer targets Central and Southwestern Europe through Stealthy Execution via WebDAV

https://cyble.com/blog/strela-stealer-targets-europe-stealthily-via-webdav

Report completeness: High

Threats:
Strela_stealer
Polyglot_technique
Spear-phishing_technique
Credential_dumping_technique

Geo:
German, Germany, Spain, Spanish

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 7
IP: 1
Hash: 95
Domain: 5

Soft:
Outlook, Microsoft Outlook, Mozilla Thunderbird

Algorithms:
sha256, xor, zip, base64

Win API:
ShowWindow, GetKeyboardLayout, CryptUnprotectData

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной фишинговой кампании, проводимой вредоносной программой Strela Stealer, нацеленной на пользователей в Центральной и Юго-Западной Европе. Кампания использует различные тактики, такие как отправка фишинговых электронных писем с запутанными файлами JavaScript, для развертывания своей полезной нагрузки и кражи конфиденциальных учетных данных, уделяя особое внимание краже сведений о конфигурации электронной почты и проведению разведки скомпрометированных систем. Вредоносная программа способна собирать и шифровать конфиденциальную информацию из профилей Thunderbird и Outlook, отправляя ее на сервер управления, контролируемый злоумышленниками. Кампания демонстрирует передовые методы доставки вредоносных программ и представляет серьезную угрозу для конфиденциальной информации пользователей, что требует принятия превентивных мер защиты.
-----

Лаборатории Cyble Research and Intelligence Labs раскрыли сложную фишинговую кампанию вредоносного ПО Strela Stealer, нацеленную на пользователей в Центральной и Юго-Западной Европе.

Кампания использует скрытую тактику, выдавая себя за уведомления о выставлении счетов в фишинговых электронных письмах с вложениями ZIP-файлов, содержащих запутанные файлы JavaScript, для развертывания вредоносного ПО.

Программа Strela Stealer нацелена на системы в Германии и Испании, фокусируясь на краже сведений о конфигурации электронной почты и сборе подробной системной информации для разведывательных целей.

Первоначально кампания была нацелена на испаноязычных пользователей с помощью рассылки спама по электронной почте, а затем перешла к использованию фишинговых писем с вложениями в ZIP-файлы, содержащих запутанный код JavaScript.

Strela Stealer собирает данные из профилей Thunderbird и Outlook, шифрует информацию и отправляет ее на сервер управления, контролируемый злоумышленниками.

Недавние итерации кампании Strela Stealer демонстрируют возросшую сложность методов доставки вредоносных программ, позволяющих избежать обнаружения средствами защиты.

Cyble предлагает пакеты поиска угроз с пользовательскими правилами YARA для обнаружения подозрительных действий, связанных с Strela Stealer, повышения уровня безопасности и обеспечения проактивной защиты от передовых тактик вредоносных программ.

#ParsedReport #CompletenessMedium
01-11-2024

New Tradecraft of Iranian Cyber Group Aria Sepehr Ayandehsazan aka Emennet Pasargad

https://www.ic3.gov/CSA/2024/241030.pdf

Report completeness: Medium

Actors/Campaigns:
Marnanbridge (motivation: hacktivism, disinformation)

Threats:
Masscan_tool
Acunetix_tool
Sqlmap_tool

Victims:
French commercial dynamic display provider, Israeli hostages' families, Israeli athletes, Israeli fighter pilots, Uav operators

Industry:
Military, Government

Geo:
Tokyo, France, French, Israel, Israeli, Iran, Usa, Swedish, Japan, Palestinians, Iranian, Sweden, Israelis, United kingdom, Lithuania, Moldova, Lebanon

TTPs:
Tactics: 5
Technics: 16

IOCs:
Email: 1
Domain: 13
IP: 27
File: 1
Hash: 2

Soft:
Telegram, Instagram, Burp Suite, Google Chrome

Win API:
Pie

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в рекомендациях по кибербезопасности, подготовленных ФБР, Министерством финансов США и Национальным управлением по кибербезопасности Израиля, в которых основное внимание уделяется деятельности иранской кибергруппы Emennet Pasargad (ASA), освещаются их киберпреступность, тактика, методы и процедуры (TTP), а также участие в кибер-обеспечивал проведение информационных операций, нацеленных на различные организации, включая летние Олимпийские игры 2024 года, а также израильских частных лиц и организации. В рекомендациях содержится информация об управлении инфраструктурой ASA, использовании скрытых хостинг-провайдеров, участии в операциях по оказанию влияния, разведывательной деятельности и использовании таких инструментов, как VPN-сервисы и трояны для удаленного доступа. Организациям рекомендуется следовать рекомендациям по устранению последствий и обращаться в ФБР, если они подозревают, что ASA является их мишенью.
-----

Иранская кибергруппировка Emennet Pasargad действует под именем Aria Sepehr Ayandehsazan (ASA) и пользуется такими псевдонимами, как Cotton Sandstorm, Marnanbridge и Haywire Kitten.

ASA продемонстрировала новые кибер-технологии при проведении информационных операций с использованием киберпространства, нацеленных на такие мероприятия, как летние Олимпийские игры 2024 года, где они скомпрометировали французского коммерческого поставщика динамических дисплеев.

Компания Emennet Pasargad проявила интерес к сбору контента с IP-камер, использованию онлайн-ресурсов, связанных с искусственным интеллектом, а также к веб-сайтам и средствам массовой информации, связанным с выборами, для оказания потенциального влияния.

ASA использует подставных лиц и фиктивных реселлеров хостинга для обеспечения оперативной серверной инфраструктуры, сотрудничая с такими поставщиками, как Server-Speed, VPS-Agent, BAcloud и Stark Industries Solutions/PQ Hosting, для обфускации.

Группа участвовала в различных информационных операциях с использованием киберпространства, включая деятельность, связанную с конфликтом между Израилем и ХАМАСОМ, используя таких персонажей, как "Кибер-флуд" и "Контакт-HSTG", для оказания воздействия с помощью психологической тактики.

ASA проводила кибератаки на коммерческие организации и занималась разведывательной деятельностью, нацеленной на израильских пилотов истребителей и операторов беспилотных летательных аппаратов, используя коммерческие VPN-сервисы и программы RAT, такие как "bd", для первоначального доступа и эксплуатации.

Организациям рекомендуется следовать рекомендациям по устранению последствий, приведенным в рекомендациях, исследовать и проверять IP-адреса на предмет наличия признаков компрометации и сообщать в ФБР о любых подозрениях в том, что они могут стать мишенью или быть скомпрометированы.