#ParsedReport #CompletenessHigh
05-11-2024
Venture Wolf attempts to disrupt Russian businesses with MetaStealer
https://bi.zone/eng/expertise/blog/venture-wolf-ispolzuet-metastealer-v-atakakh-na-rossiyskie-kompanii
Report completeness: High
Actors/Campaigns:
Venture_wolf
Threats:
Meta_stealer
Themida_tool
Vmprotect_tool
Redline_stealer
Process_injection_technique
Industry:
Telco, Financial
Geo:
Chinese, Russian
TTPs:
Tactics: 8
Technics: 0
IOCs:
Hash: 15
IP: 5
File: 5
Url: 1
Soft:
Chromium, Google Chrome, Opera, CentBrowser, Chedot, Vivaldi, Kometa, Yandex Browser, Mozilla Firefox, Mozilla Thunderbird, Steam, have more...
Wallets:
electrum, exodus_wallet
Crypto:
bitcoin
Algorithms:
rc4, zip
Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, ResumeThread
05-11-2024
Venture Wolf attempts to disrupt Russian businesses with MetaStealer
https://bi.zone/eng/expertise/blog/venture-wolf-ispolzuet-metastealer-v-atakakh-na-rossiyskie-kompanii
Report completeness: High
Actors/Campaigns:
Venture_wolf
Threats:
Meta_stealer
Themida_tool
Vmprotect_tool
Redline_stealer
Process_injection_technique
Industry:
Telco, Financial
Geo:
Chinese, Russian
TTPs:
Tactics: 8
Technics: 0
IOCs:
Hash: 15
IP: 5
File: 5
Url: 1
Soft:
Chromium, Google Chrome, Opera, CentBrowser, Chedot, Vivaldi, Kometa, Yandex Browser, Mozilla Firefox, Mozilla Thunderbird, Steam, have more...
Wallets:
electrum, exodus_wallet
Crypto:
bitcoin
Algorithms:
rc4, zip
Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, ResumeThread
BI.ZONE
Venture Wolf attempts to disrupt Russian businesses with MetaStealer
Facts about a newly detected threat actor and how to spot its attacks
CTT Report Hub
#ParsedReport #CompletenessHigh 05-11-2024 Venture Wolf attempts to disrupt Russian businesses with MetaStealer https://bi.zone/eng/expertise/blog/venture-wolf-ispolzuet-metastealer-v-atakakh-na-rossiyskie-kompanii Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что BI выявила новый кластер угроз под названием Venture Wolf, которая распространяет вредоносное ПО MetaStealer на целевые системы в различных отраслях промышленности. Эта вредоносная программа известна своей эффективностью при краже данных, а тактика Venture Wolf заключается в использовании нескольких загрузчиков с изощренными методами внедрения. Кроме того, в тексте подчеркивается отсутствие ограничений на использование российских компаний, что делает эти вредоносные действия более привлекательными для участников угроз.
-----
BI.ZONE Threat Intelligence выявила новый кластер угроз под названием Venture Wolf, который, как выяснилось, действует с ноября 2023 года. Этот кластер использует несколько загрузчиков для распространения вредоносного ПО MetaStealer на целевые системы в различных отраслях, таких как производство, строительство, информационные технологии и телекоммуникации. MetaStealer относится к категории вредоносных программ-похитителей, которые пользуются популярностью у злоумышленников из-за своей эффективности в краже данных. Примечательно, что некоторые вредоносные программы, в том числе MetaStealer, не имеют ограничений на их использование против российских компаний, что повышает их привлекательность для злоумышленников.
Принцип работы Venture Wolf заключается в распространении архивов, содержащих загрузчики с расширениями .com или .exe, а также фишинговые документы. При запуске загрузчик либо создает фиктивный .NET-файл для внедрения вредоносной полезной нагрузки, либо внедряет его в процесс RegAsm.exe. Эти загрузчики упакованы в виде переносимых исполняемых файлов (PE) с запутанным кодом и зашифрованными именами функций WinAPI для вредоносных программ. В зависимости от типа загрузчика полезная нагрузка и фиктивный файл шифруются с использованием RC4 и хранятся в теле загрузчика.
Некоторые загрузчики вводят вредоносную полезную нагрузку в приостановленный процесс фиктивного файла .NET, в то время как другие вводят ее напрямую в RegAsm.exe. Расшифрованная полезная нагрузка вводится с использованием различных этапов, включая создание процесса в приостановленном режиме, выделение памяти, запись данных полезной нагрузки и манипулирование контекстом потока для выполнения полезной нагрузки. Кроме того, было замечено, что компания Venture Wolf использует такие средства защиты, как Enigma, VMProtect и Themida, для загрузочных секций.
MetaStealer, написанный на C#, идентифицируется как ответвление RedLine stealer, отличающееся отсутствием ограничений на таргетинг на организации из России и других стран СНГ. Кроме того, Venture Wolf использует .NET Reactor protector для маскировки кода MetaStealer, что затрудняет его обнаружение и анализ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что BI выявила новый кластер угроз под названием Venture Wolf, которая распространяет вредоносное ПО MetaStealer на целевые системы в различных отраслях промышленности. Эта вредоносная программа известна своей эффективностью при краже данных, а тактика Venture Wolf заключается в использовании нескольких загрузчиков с изощренными методами внедрения. Кроме того, в тексте подчеркивается отсутствие ограничений на использование российских компаний, что делает эти вредоносные действия более привлекательными для участников угроз.
-----
BI.ZONE Threat Intelligence выявила новый кластер угроз под названием Venture Wolf, который, как выяснилось, действует с ноября 2023 года. Этот кластер использует несколько загрузчиков для распространения вредоносного ПО MetaStealer на целевые системы в различных отраслях, таких как производство, строительство, информационные технологии и телекоммуникации. MetaStealer относится к категории вредоносных программ-похитителей, которые пользуются популярностью у злоумышленников из-за своей эффективности в краже данных. Примечательно, что некоторые вредоносные программы, в том числе MetaStealer, не имеют ограничений на их использование против российских компаний, что повышает их привлекательность для злоумышленников.
Принцип работы Venture Wolf заключается в распространении архивов, содержащих загрузчики с расширениями .com или .exe, а также фишинговые документы. При запуске загрузчик либо создает фиктивный .NET-файл для внедрения вредоносной полезной нагрузки, либо внедряет его в процесс RegAsm.exe. Эти загрузчики упакованы в виде переносимых исполняемых файлов (PE) с запутанным кодом и зашифрованными именами функций WinAPI для вредоносных программ. В зависимости от типа загрузчика полезная нагрузка и фиктивный файл шифруются с использованием RC4 и хранятся в теле загрузчика.
Некоторые загрузчики вводят вредоносную полезную нагрузку в приостановленный процесс фиктивного файла .NET, в то время как другие вводят ее напрямую в RegAsm.exe. Расшифрованная полезная нагрузка вводится с использованием различных этапов, включая создание процесса в приостановленном режиме, выделение памяти, запись данных полезной нагрузки и манипулирование контекстом потока для выполнения полезной нагрузки. Кроме того, было замечено, что компания Venture Wolf использует такие средства защиты, как Enigma, VMProtect и Themida, для загрузочных секций.
MetaStealer, написанный на C#, идентифицируется как ответвление RedLine stealer, отличающееся отсутствием ограничений на таргетинг на организации из России и других стран СНГ. Кроме того, Venture Wolf использует .NET Reactor protector для маскировки кода MetaStealer, что затрудняет его обнаружение и анализ.
#ParsedReport #CompletenessHigh
06-11-2024
Bengal cat lovers in Australia get psspsspss d in Google-driven Gootloader campaign
https://news.sophos.com/en-us/2024/11/06/bengal-cat-lovers-in-australia-get-psspsspssd-in-google-driven-gootloader-campaign
Report completeness: High
Threats:
Gootkit
Seo_poisoning_technique
Revil
Cobalt_strike
Process_hacker_tool
Raccoon_stealer
Industry:
Financial, Aerospace
Geo:
Australia
TTPs:
Tactics: 14
Technics: 8
IOCs:
Url: 13
Path: 7
File: 12
Hash: 4
Soft:
Sysinternals
Algorithms:
sha256, zip, base64
Functions:
CreateFile
Languages:
python, powershell, cscript, php, javascript
Links:
06-11-2024
Bengal cat lovers in Australia get psspsspss d in Google-driven Gootloader campaign
https://news.sophos.com/en-us/2024/11/06/bengal-cat-lovers-in-australia-get-psspsspssd-in-google-driven-gootloader-campaign
Report completeness: High
Threats:
Gootkit
Seo_poisoning_technique
Revil
Cobalt_strike
Process_hacker_tool
Raccoon_stealer
Industry:
Financial, Aerospace
Geo:
Australia
TTPs:
Tactics: 14
Technics: 8
IOCs:
Url: 13
Path: 7
File: 12
Hash: 4
Soft:
Sysinternals
Algorithms:
sha256, zip, base64
Functions:
CreateFile
Languages:
python, powershell, cscript, php, javascript
Links:
https://github.com/mandiant/gootloader/blob/main/GootLoaderAutoJsDecode.pyhttps://github.com/sophoslabs/IoCs/blob/master/gootloader\_cats\_iocs.csvSophos News
Bengal cat lovers in Australia get psspsspss’d in Google-driven Gootloader campaign
The Internet is full of cats—and in this case, malware-delivering fake cat websites used for very targeted search engine optimization.
CTT Report Hub
#ParsedReport #CompletenessHigh 06-11-2024 Bengal cat lovers in Australia get psspsspss d in Google-driven Gootloader campaign https://news.sophos.com/en-us/2024/11/06/bengal-cat-lovers-in-australia-get-psspsspssd-in-google-driven-gootloader-campaign Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что GootLoader, ранее ассоциировавшийся с известными киберпреступными группировками, превратился в платформу для предоставления услуг начального доступа, использующую поисковую оптимизацию (SEO) для доставки вредоносных полезных данных. Вредоносная программа может использовать возможности для кражи информации, инструменты для последующей эксплуатации и программы-вымогатели, что в конечном итоге способствует сохранению в сетях жертв. Недавно был обнаружен вариант GootLoader, что привело к проведению подробной кампании по поиску угроз для выявления технических деталей процесса атаки и используемых сложных методов обфускации. Анализ показывает сложное поведение вредоносного ПО, включая установление связи с вредоносными доменами и потенциальную утечку конфиденциальной информации. Меняющаяся тактика злоумышленников подчеркивает важность проактивного поиска угроз для обнаружения и устранения таких сложных угроз.
-----
GootLoader превратился в сервисную платформу начального доступа, связанную с программами-вымогателями REvil и банковским трояном Gootkit, что облегчает развертывание программ-вымогателей и инструментов для последующей эксплуатации.
GootLoader использует методы поисковой оптимизации (SEO), чтобы заставить жертв переходить по вредоносному контенту, обеспечивая доступ к скомпрометированным веб-сайтам, на которых размещена вредоносная полезная нагрузка.
Недавно был обнаружен вариант GootLoader, использующий SEO-оптимизацию, связанную с конкретными темами, такими как бенгальские кошки в Австралии.
Sophos X-Ops MDR провела кампанию по поиску угроз, в ходе которой были раскрыты технические подробности кампании GootLoader.
Анализ вредоносных файлов выявил сложные методы обфускации в образцах GootLoader, включая сильно запутанный код и вводящие в заблуждение комментарии к лицензии.
Вредоносная программа демонстрировала многоэтапные процессы, используя для выполнения специальные инструменты командной строки, такие как WScript.exe и CScript.exe, а также потенциальные механизмы сохранения в системе.
Динамический анализ показал, что вредоносный JavaScript создает файлы и процессы, устанавливает связь с вредоносными доменами и потенциально выводит конфиденциальную информацию.
Инструменты сетевого мониторинга, такие как Wireshark и FakeNet, использовались для выявления передачи информации в кодировке base64 во внешние домены, что создавало значительную угрозу безопасности.
GootLoader является частью тенденции в области доставки вредоносных программ как услуги с использованием манипуляций с поисковыми системами, подчеркивающей важность упреждающего поиска угроз и бдительности в отношении подозрительных результатов поиска и рекламы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что GootLoader, ранее ассоциировавшийся с известными киберпреступными группировками, превратился в платформу для предоставления услуг начального доступа, использующую поисковую оптимизацию (SEO) для доставки вредоносных полезных данных. Вредоносная программа может использовать возможности для кражи информации, инструменты для последующей эксплуатации и программы-вымогатели, что в конечном итоге способствует сохранению в сетях жертв. Недавно был обнаружен вариант GootLoader, что привело к проведению подробной кампании по поиску угроз для выявления технических деталей процесса атаки и используемых сложных методов обфускации. Анализ показывает сложное поведение вредоносного ПО, включая установление связи с вредоносными доменами и потенциальную утечку конфиденциальной информации. Меняющаяся тактика злоумышленников подчеркивает важность проактивного поиска угроз для обнаружения и устранения таких сложных угроз.
-----
GootLoader превратился в сервисную платформу начального доступа, связанную с программами-вымогателями REvil и банковским трояном Gootkit, что облегчает развертывание программ-вымогателей и инструментов для последующей эксплуатации.
GootLoader использует методы поисковой оптимизации (SEO), чтобы заставить жертв переходить по вредоносному контенту, обеспечивая доступ к скомпрометированным веб-сайтам, на которых размещена вредоносная полезная нагрузка.
Недавно был обнаружен вариант GootLoader, использующий SEO-оптимизацию, связанную с конкретными темами, такими как бенгальские кошки в Австралии.
Sophos X-Ops MDR провела кампанию по поиску угроз, в ходе которой были раскрыты технические подробности кампании GootLoader.
Анализ вредоносных файлов выявил сложные методы обфускации в образцах GootLoader, включая сильно запутанный код и вводящие в заблуждение комментарии к лицензии.
Вредоносная программа демонстрировала многоэтапные процессы, используя для выполнения специальные инструменты командной строки, такие как WScript.exe и CScript.exe, а также потенциальные механизмы сохранения в системе.
Динамический анализ показал, что вредоносный JavaScript создает файлы и процессы, устанавливает связь с вредоносными доменами и потенциально выводит конфиденциальную информацию.
Инструменты сетевого мониторинга, такие как Wireshark и FakeNet, использовались для выявления передачи информации в кодировке base64 во внешние домены, что создавало значительную угрозу безопасности.
GootLoader является частью тенденции в области доставки вредоносных программ как услуги с использованием манипуляций с поисковыми системами, подчеркивающей важность упреждающего поиска угроз и бдительности в отношении подозрительных результатов поиска и рекламы.
#ParsedReport #CompletenessLow
06-11-2024
Recent Keylogger Attributed to North Korean Group Andariel Analyzed Through A Hybrid Analysis Perspective
https://hybrid-analysis.blogspot.com/2024/11/recent-keylogger-attributed-to-north.html
Report completeness: Low
Actors/Campaigns:
Andariel
Threats:
Junk_code_technique
Geo:
North korean, North korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1056, T1027
IOCs:
File: 2
Hash: 1
Soft:
Twitter
Algorithms:
zip
Win API:
ReadFile, SetErrorMode, RegCreateKeyExW, RegSetValueExW, SetWindowsHookExW, GetMessageW, GetLocalTime, SystemTimeToFileTime, GetKeyboardLayout, ToUnicode, have more...
Links:
06-11-2024
Recent Keylogger Attributed to North Korean Group Andariel Analyzed Through A Hybrid Analysis Perspective
https://hybrid-analysis.blogspot.com/2024/11/recent-keylogger-attributed-to-north.html
Report completeness: Low
Actors/Campaigns:
Andariel
Threats:
Junk_code_technique
Geo:
North korean, North korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1056, T1027
IOCs:
File: 2
Hash: 1
Soft:
Algorithms:
zip
Win API:
ReadFile, SetErrorMode, RegCreateKeyExW, RegSetValueExW, SetWindowsHookExW, GetMessageW, GetLocalTime, SystemTimeToFileTime, GetKeyboardLayout, ToUnicode, have more...
Links:
https://github.com/killswitch-GUI/SetWindowsHookEx-Keylogger/blob/master/SetWindowsHookEx-Keylogger/SetWindowsHookEx-Keylogger/SetWindowsHookEx-Keylogger.cpphttps://github.com/hasherezade/pe-sieveBlogspot
Recent Keylogger Attributed to North Korean Group Andariel Analyzed Through A Hybrid Analysis Perspective
Author: Vlad Pasca A technical deep dive into the new North Korean keylogger from a Hybrid Analysis perspective The keylogger incorporates j...
CTT Report Hub
#ParsedReport #CompletenessLow 06-11-2024 Recent Keylogger Attributed to North Korean Group Andariel Analyzed Through A Hybrid Analysis Perspective https://hybrid-analysis.blogspot.com/2024/11/recent-keylogger-attributed-to-north.html Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что новый продвинутый северокорейский кейлоггер, приписываемый группе Andariel, представляет серьезную киберугрозу благодаря своим сложным возможностям и методам антианализа, таким как обфускация кода и установка глобальных перехватчиков Windows. Кейлоггер связан с целенаправленными атаками на организации в США и был обнаружен в результате детального анализа, в частности, гибридного анализа, который предоставляет ценную информацию для охотников за угрозами, аналитиков и исследователей для усиления защиты кибербезопасности от возникающих угроз.
-----
Подробное техническое описание нового северокорейского кейлоггера, принадлежащего группе Andariel (также известного как APT45, Silent Chollima или Onyx Sleet), раскрывает его расширенные возможности и сложные методы антианализа. Этот кейлоггер был связан с целенаправленными атаками на организации в США, что свидетельствует о серьезной киберугрозе.
Кейлоггер регистрирует нажатия клавиш и действия мыши, сохраняя захваченные данные в защищенном паролем зашифрованном архиве. Использование нежелательного кода в качестве средства защиты от анализа направлено на то, чтобы запутать процесс выполнения программы и усложнить анализ вредоносных программ. Используя методы обфускации кода, кейлоггер препятствует усилиям исследователей в области безопасности по обнаружению и анализу.
Одной из примечательных особенностей вредоносной программы является ее способность устанавливать глобальный перехват Windows для перехвата нажатий клавиш и событий, происходящих с мышью. Этот метод позволяет кейлоггеру захватывать конфиденциальную информацию, отслеживая события ввода с клавиатуры низкого уровня и извлекая текст из окна переднего плана при обнаружении новых нажатий клавиш или событий мыши. Механизм сохранения и создания файлов для хранения журналов также раскрывается с помощью анализа, что дает ценную информацию для охотников за угрозами, аналитиков и исследователей.
Гибридный анализ сыграл решающую роль в раскрытии функциональных возможностей и поведения кейлоггера. Выявляя вызовы API, используемые для установки перехватывающих процедур, и строки, указывающие на активность кейлоггера, гибридный анализ предлагает подробный и структурированный отчет, который помогает лучше понять угрозу. Эта платформа служит бесценным инструментом для анализа как сложных, так и более распространенных вредоносных программ, предлагая богатый контекст и информацию, которые могут быть дополнительно исследованы в ходе динамического анализа вредоносных программ.
Для тех, кто заинтересован в проведении более глубокого анализа образцов вредоносных программ, Hybrid Analysis предоставляет возможность загрузить образцы, зарегистрировав учетную запись. Этот доступ позволяет пользователям глубже разобраться в работе кейлоггера и другого вредоносного программного обеспечения, что позволяет им усилить свою защиту от кибербезопасности и эффективно реагировать на возникающие киберугрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что новый продвинутый северокорейский кейлоггер, приписываемый группе Andariel, представляет серьезную киберугрозу благодаря своим сложным возможностям и методам антианализа, таким как обфускация кода и установка глобальных перехватчиков Windows. Кейлоггер связан с целенаправленными атаками на организации в США и был обнаружен в результате детального анализа, в частности, гибридного анализа, который предоставляет ценную информацию для охотников за угрозами, аналитиков и исследователей для усиления защиты кибербезопасности от возникающих угроз.
-----
Подробное техническое описание нового северокорейского кейлоггера, принадлежащего группе Andariel (также известного как APT45, Silent Chollima или Onyx Sleet), раскрывает его расширенные возможности и сложные методы антианализа. Этот кейлоггер был связан с целенаправленными атаками на организации в США, что свидетельствует о серьезной киберугрозе.
Кейлоггер регистрирует нажатия клавиш и действия мыши, сохраняя захваченные данные в защищенном паролем зашифрованном архиве. Использование нежелательного кода в качестве средства защиты от анализа направлено на то, чтобы запутать процесс выполнения программы и усложнить анализ вредоносных программ. Используя методы обфускации кода, кейлоггер препятствует усилиям исследователей в области безопасности по обнаружению и анализу.
Одной из примечательных особенностей вредоносной программы является ее способность устанавливать глобальный перехват Windows для перехвата нажатий клавиш и событий, происходящих с мышью. Этот метод позволяет кейлоггеру захватывать конфиденциальную информацию, отслеживая события ввода с клавиатуры низкого уровня и извлекая текст из окна переднего плана при обнаружении новых нажатий клавиш или событий мыши. Механизм сохранения и создания файлов для хранения журналов также раскрывается с помощью анализа, что дает ценную информацию для охотников за угрозами, аналитиков и исследователей.
Гибридный анализ сыграл решающую роль в раскрытии функциональных возможностей и поведения кейлоггера. Выявляя вызовы API, используемые для установки перехватывающих процедур, и строки, указывающие на активность кейлоггера, гибридный анализ предлагает подробный и структурированный отчет, который помогает лучше понять угрозу. Эта платформа служит бесценным инструментом для анализа как сложных, так и более распространенных вредоносных программ, предлагая богатый контекст и информацию, которые могут быть дополнительно исследованы в ходе динамического анализа вредоносных программ.
Для тех, кто заинтересован в проведении более глубокого анализа образцов вредоносных программ, Hybrid Analysis предоставляет возможность загрузить образцы, зарегистрировав учетную запись. Этот доступ позволяет пользователям глубже разобраться в работе кейлоггера и другого вредоносного программного обеспечения, что позволяет им усилить свою защиту от кибербезопасности и эффективно реагировать на возникающие киберугрозы.
#ParsedReport #CompletenessHigh
05-11-2024
Ngioweb Remains Active 7 Years Later
https://levelblue.com/blogs/labs-research/ngioweb-remains-active-7-years-later
Report completeness: High
Actors/Campaigns:
Fancy_bear
Threats:
Ngioweb
Residential_proxy_technique
Ramnit
Victims:
Residential isp users, Linear emerge, Zyxel routers, Neato vacuums, Reolink, Comtrend routers, Nuuo network video recorder, Hikvision
Industry:
Telco, Healthcare, Government, Iot, Financial
Geo:
Oceania, Asia, Australia, Canadian, Japan, India, Canada
CVEs:
CVE-2019-7256 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nortekcontrol linear emerge essential firmware (le1.00-06)
CVE-2023-28769 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)
CVE-2023-28770 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)
CVE-2022-45440 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel ax7501-b0 firmware (<5.17\(abpc.3\)c0)
TTPs:
Tactics: 7
Technics: 15
IOCs:
Hash: 2
File: 5
IP: 4
Domain: 5
Soft:
Zyxel, EdgeOS, curl, Linux
Crypto:
bitcoin, litecoin
Algorithms:
md5, zip, sha256, base64
Languages:
php
Platforms:
x64
05-11-2024
Ngioweb Remains Active 7 Years Later
https://levelblue.com/blogs/labs-research/ngioweb-remains-active-7-years-later
Report completeness: High
Actors/Campaigns:
Fancy_bear
Threats:
Ngioweb
Residential_proxy_technique
Ramnit
Victims:
Residential isp users, Linear emerge, Zyxel routers, Neato vacuums, Reolink, Comtrend routers, Nuuo network video recorder, Hikvision
Industry:
Telco, Healthcare, Government, Iot, Financial
Geo:
Oceania, Asia, Australia, Canadian, Japan, India, Canada
CVEs:
CVE-2019-7256 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nortekcontrol linear emerge essential firmware (le1.00-06)
CVE-2023-28769 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)
CVE-2023-28770 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)
CVE-2022-45440 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel ax7501-b0 firmware (<5.17\(abpc.3\)c0)
TTPs:
Tactics: 7
Technics: 15
IOCs:
Hash: 2
File: 5
IP: 4
Domain: 5
Soft:
Zyxel, EdgeOS, curl, Linux
Crypto:
bitcoin, litecoin
Algorithms:
md5, zip, sha256, base64
Languages:
php
Platforms:
x64
LevelBlue
Ngioweb Remains Active 7 Years Later
Executive Summary Seven years after its first appearance, the proxy server botnet Ngioweb continues its impactful presence on the internet with barely any relevant changes in its original code. Threat actors have continued to actively use Nbioweb extensively…
CTT Report Hub
#ParsedReport #CompletenessHigh 05-11-2024 Ngioweb Remains Active 7 Years Later https://levelblue.com/blogs/labs-research/ngioweb-remains-active-7-years-later Report completeness: High Actors/Campaigns: Fancy_bear Threats: Ngioweb Residential_proxy_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в постоянной и развивающейся угрозе, исходящей от ботнета прокси-серверов Ngioweb, который существует уже семь лет и продолжает использоваться злоумышленниками для атаки на пользователей интернет-провайдеров, использования уязвимостей в маршрутизаторах и устройствах Интернета вещей, а также предоставления прокси-сервисов для вредоносных действий. В тексте подчеркивается рост размера ботнета Ngioweb, технические показатели, связанные с его деятельностью, и все более широкое использование местных прокси-провайдеров киберпреступниками и представителями национальных государств.
-----
Ботнет с прокси-серверами Ngioweb работает уже семь лет, его исходный код практически не изменился, и он продолжает использоваться злоумышленниками для поиска уязвимых устройств и создания новых прокси-серверов для продажи на черном рынке через Nsocks. Ngioweb в основном нацелен на пользователей интернет-провайдеров, в основном на такие устройства, как маршрутизаторы, камеры и системы контроля доступа. В августе 2018 года Check Point опубликовала отчет о Ngioweb, связав его с банковским вредоносным ПО Ramnit. Последующие исследования, проведенные Netlab и TrendMicro, позволили получить представление о функциях, возможностях и эволюции Ngioweb. Одним из примечательных изменений является растущее использование киберпреступниками и государственными структурами местных прокси-провайдеров для осуществления вредоносных действий.
В 2024 году LevelBlue Labs выявила зараженные Ngioweb системы, которые продавались как локальные прокси-серверы на веб-сайте Nsock, который принимает платежи только в биткоинах или лайткоинах для обеспечения анонимности. Размер ботнета Ngioweb значительно вырос, и в продаже доступно более 30 000 IP-адресов. Большинство зараженных систем относятся к категориям интернет-провайдеров и DCH, причем основное внимание уделяется частным пользователям. Ключевые усовершенствования вредоносной программы включают использование уязвимостей в маршрутизаторах и бытовых устройствах Интернета вещей, таких как системы Linear eMerge, маршрутизаторы Zyxel и пылесосы Neato. Вредоносная программа использует алгоритмы генерации доменов для обмена данными с уникальным зашифрованным текстовым ответом для проверки подлинности подключений к C&C серверам.
Технические показатели, связанные с деятельностью Ngioweb, включают различные тактические приемы, такие как первоначальный доступ, настойчивость, уклонение от защиты, командование и контроль, обнаружение и воздействие. Использование вредоносной программой уязвимостей, эксплойтов нулевого дня и выделенной инфраструктуры сканирования отражает сложность и постоянство угрозы, исходящей от Ngioweb и ее операторов. Широкая доступность недорогого прокси-доступа к зараженным системам подчеркивает распространенность и доступность вредоносных действий, которым способствуют такие ботнеты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в постоянной и развивающейся угрозе, исходящей от ботнета прокси-серверов Ngioweb, который существует уже семь лет и продолжает использоваться злоумышленниками для атаки на пользователей интернет-провайдеров, использования уязвимостей в маршрутизаторах и устройствах Интернета вещей, а также предоставления прокси-сервисов для вредоносных действий. В тексте подчеркивается рост размера ботнета Ngioweb, технические показатели, связанные с его деятельностью, и все более широкое использование местных прокси-провайдеров киберпреступниками и представителями национальных государств.
-----
Ботнет с прокси-серверами Ngioweb работает уже семь лет, его исходный код практически не изменился, и он продолжает использоваться злоумышленниками для поиска уязвимых устройств и создания новых прокси-серверов для продажи на черном рынке через Nsocks. Ngioweb в основном нацелен на пользователей интернет-провайдеров, в основном на такие устройства, как маршрутизаторы, камеры и системы контроля доступа. В августе 2018 года Check Point опубликовала отчет о Ngioweb, связав его с банковским вредоносным ПО Ramnit. Последующие исследования, проведенные Netlab и TrendMicro, позволили получить представление о функциях, возможностях и эволюции Ngioweb. Одним из примечательных изменений является растущее использование киберпреступниками и государственными структурами местных прокси-провайдеров для осуществления вредоносных действий.
В 2024 году LevelBlue Labs выявила зараженные Ngioweb системы, которые продавались как локальные прокси-серверы на веб-сайте Nsock, который принимает платежи только в биткоинах или лайткоинах для обеспечения анонимности. Размер ботнета Ngioweb значительно вырос, и в продаже доступно более 30 000 IP-адресов. Большинство зараженных систем относятся к категориям интернет-провайдеров и DCH, причем основное внимание уделяется частным пользователям. Ключевые усовершенствования вредоносной программы включают использование уязвимостей в маршрутизаторах и бытовых устройствах Интернета вещей, таких как системы Linear eMerge, маршрутизаторы Zyxel и пылесосы Neato. Вредоносная программа использует алгоритмы генерации доменов для обмена данными с уникальным зашифрованным текстовым ответом для проверки подлинности подключений к C&C серверам.
Технические показатели, связанные с деятельностью Ngioweb, включают различные тактические приемы, такие как первоначальный доступ, настойчивость, уклонение от защиты, командование и контроль, обнаружение и воздействие. Использование вредоносной программой уязвимостей, эксплойтов нулевого дня и выделенной инфраструктуры сканирования отражает сложность и постоянство угрозы, исходящей от Ngioweb и ее операторов. Широкая доступность недорогого прокси-доступа к зараженным системам подчеркивает распространенность и доступность вредоносных действий, которым способствуют такие ботнеты.
#ParsedReport #CompletenessLow
31-10-2024
Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware
https://zimpstage.wpengine.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware
Report completeness: Low
Threats:
Fakecall
Qshing_technique
Industry:
Financial
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 5
Soft:
Android
Functions:
onAccessibilityEvent, onCreate, getResultData, setResultData
Languages:
java
Links:
31-10-2024
Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware
https://zimpstage.wpengine.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware
Report completeness: Low
Threats:
Fakecall
Qshing_technique
Industry:
Financial
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 5
Soft:
Android
Functions:
onAccessibilityEvent, onCreate, getResultData, setResultData
Languages:
java
Links:
https://github.com/Zimperium/IOC/tree/master/2024-10-FakeCallhttps://github.com/ant-media/LibRtmp-Client-for-AndroidZimperium
Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware - Zimperium
In this blog post we share Zimperium’s Zero-Day Protection against the Water Makara Spear-Phishing campaign.
CTT Report Hub
#ParsedReport #CompletenessLow 31-10-2024 Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware https://zimpstage.wpengine.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание сложной атаки FakeCall Vishing, разновидности голосового фишинга, которая использует вредоносное ПО для обмана жертв и получения конфиденциальной информации, такой как учетные данные для входа в систему и финансовые данные. Атака подпадает под более широкую категорию "мишинговых атак", нацеленных на мобильные устройства с помощью различных методов, таких как голосовые вызовы. Вредоносная программа FakeCall может перехватывать звонки, манипулировать действиями абонента и даже перенаправлять звонки на поддельные номера, создавая угрозу безопасности пользователей. В тексте также подчеркиваются развивающиеся возможности вредоносного ПО и важность решений в области кибербезопасности, таких как защита от мобильных угроз Zimperium, для борьбы с подобными атаками.
-----
Фишинговая атака FakeCall - это сложная форма голосового фишинга, которая использует вредоносное ПО для обмана жертв и получения конфиденциальной информации, такой как учетные данные для входа в систему, номера кредитных карт или банковские реквизиты. Этот тип атак подпадает под понятие "фишинг", которое включает в себя различные методы фишинга, нацеленные на мобильные устройства, использующие такие функции, как голосовые вызовы, SMS и камеры на мобильных устройствах. FakeCall работает путем обмана пользователей, заставляя их звонить на мошеннические телефонные номера, контролируемые злоумышленником, что приводит к потенциальному мошенничеству с идентификационными данными и перехвату звонков.
Атака обычно начинается с того, что жертвы загружают вредоносный APK-файл на свои Android-устройства с помощью фишинговых атак, которые затем устанавливают вредоносное ПО FakeCall в качестве полезной нагрузки второго этапа. Вредоносное ПО взаимодействует с сервером управления (C2) для выполнения действий, направленных на обман пользователя. Вредоносное ПО предназначено для перехвата входящих и исходящих звонков, что дает злоумышленникам практически полный контроль над устройством жертвы.
В последних версиях вредоносной программы FakeCall добавлены новые функции, некоторые из которых все еще находятся в стадии разработки, для расширения ее возможностей. К ним относятся компоненты, отслеживающие Bluetooth и состояние экрана, а также сервис, использующий специальные возможности Android для управления пользовательским интерфейсом и сбора отображаемой информации. Вредоносная программа может отслеживать активность номеронабирателя, автоматически предоставлять разрешения и включать удаленное управление пользовательским интерфейсом устройства жертвы, позволяя злоумышленникам имитировать взаимодействие с пользователем.
Еще одной важной особенностью вредоносной программы FakeCall является ее способность предлагать пользователям установить ее в качестве обработчика вызовов по умолчанию, предоставляя ей контроль над всеми входящими и исходящими вызовами. Перехватывая вызовы и манипулируя набранными номерами, вредоносная программа может подделывать идентификационные данные и перехватывать звонки без ведома пользователя. Когда жертвы пытаются связаться со своими финансовыми учреждениями, вредоносная программа перенаправляет звонки на мошеннические номера, демонстрируя убедительные поддельные интерфейсы для извлечения конфиденциальной информации или получения несанкционированного доступа к финансовым счетам.
Исследовательская группа Zimperium выявила множество приложений и dex-файлов, связанных с кампанией FakeCall, подчеркнув важность таких решений в области кибербезопасности, как Zimperium Mobile Threat Defense и Runtime Protection SDK, для защиты пользователей от таких сложных атак. Эти решения используют динамический механизм обнаружения на устройстве для защиты от поддельных вызовов и новых вариантов, обеспечивая всестороннюю защиту мобильных пользователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - описание сложной атаки FakeCall Vishing, разновидности голосового фишинга, которая использует вредоносное ПО для обмана жертв и получения конфиденциальной информации, такой как учетные данные для входа в систему и финансовые данные. Атака подпадает под более широкую категорию "мишинговых атак", нацеленных на мобильные устройства с помощью различных методов, таких как голосовые вызовы. Вредоносная программа FakeCall может перехватывать звонки, манипулировать действиями абонента и даже перенаправлять звонки на поддельные номера, создавая угрозу безопасности пользователей. В тексте также подчеркиваются развивающиеся возможности вредоносного ПО и важность решений в области кибербезопасности, таких как защита от мобильных угроз Zimperium, для борьбы с подобными атаками.
-----
Фишинговая атака FakeCall - это сложная форма голосового фишинга, которая использует вредоносное ПО для обмана жертв и получения конфиденциальной информации, такой как учетные данные для входа в систему, номера кредитных карт или банковские реквизиты. Этот тип атак подпадает под понятие "фишинг", которое включает в себя различные методы фишинга, нацеленные на мобильные устройства, использующие такие функции, как голосовые вызовы, SMS и камеры на мобильных устройствах. FakeCall работает путем обмана пользователей, заставляя их звонить на мошеннические телефонные номера, контролируемые злоумышленником, что приводит к потенциальному мошенничеству с идентификационными данными и перехвату звонков.
Атака обычно начинается с того, что жертвы загружают вредоносный APK-файл на свои Android-устройства с помощью фишинговых атак, которые затем устанавливают вредоносное ПО FakeCall в качестве полезной нагрузки второго этапа. Вредоносное ПО взаимодействует с сервером управления (C2) для выполнения действий, направленных на обман пользователя. Вредоносное ПО предназначено для перехвата входящих и исходящих звонков, что дает злоумышленникам практически полный контроль над устройством жертвы.
В последних версиях вредоносной программы FakeCall добавлены новые функции, некоторые из которых все еще находятся в стадии разработки, для расширения ее возможностей. К ним относятся компоненты, отслеживающие Bluetooth и состояние экрана, а также сервис, использующий специальные возможности Android для управления пользовательским интерфейсом и сбора отображаемой информации. Вредоносная программа может отслеживать активность номеронабирателя, автоматически предоставлять разрешения и включать удаленное управление пользовательским интерфейсом устройства жертвы, позволяя злоумышленникам имитировать взаимодействие с пользователем.
Еще одной важной особенностью вредоносной программы FakeCall является ее способность предлагать пользователям установить ее в качестве обработчика вызовов по умолчанию, предоставляя ей контроль над всеми входящими и исходящими вызовами. Перехватывая вызовы и манипулируя набранными номерами, вредоносная программа может подделывать идентификационные данные и перехватывать звонки без ведома пользователя. Когда жертвы пытаются связаться со своими финансовыми учреждениями, вредоносная программа перенаправляет звонки на мошеннические номера, демонстрируя убедительные поддельные интерфейсы для извлечения конфиденциальной информации или получения несанкционированного доступа к финансовым счетам.
Исследовательская группа Zimperium выявила множество приложений и dex-файлов, связанных с кампанией FakeCall, подчеркнув важность таких решений в области кибербезопасности, как Zimperium Mobile Threat Defense и Runtime Protection SDK, для защиты пользователей от таких сложных атак. Эти решения используют динамический механизм обнаружения на устройстве для защиты от поддельных вызовов и новых вариантов, обеспечивая всестороннюю защиту мобильных пользователей.
#ParsedReport #CompletenessLow
06-11-2024
ToxicPanda: New Android Banking Trojan Targeting Multiple Regions
https://www.secureblink.com/threat-research/toxic-panda-new-android-banking-trojan-targeting-multiple-regions
Report completeness: Low
Threats:
Tgtoxic
Medusalocker
Copybara
Victims:
Banking institutions
Industry:
Financial, Education
Geo:
Asia, Chinese, Latam, Spain, Peru, Latin american, Italy, Latin america, Asian, France, Portugal
ChatGPT TTPs:
T1218, T1071
IOCs:
Domain: 3
Hash: 3
Soft:
Android, Chrome
Algorithms:
aes, base64
06-11-2024
ToxicPanda: New Android Banking Trojan Targeting Multiple Regions
https://www.secureblink.com/threat-research/toxic-panda-new-android-banking-trojan-targeting-multiple-regions
Report completeness: Low
Threats:
Tgtoxic
Medusalocker
Copybara
Victims:
Banking institutions
Industry:
Financial, Education
Geo:
Asia, Chinese, Latam, Spain, Peru, Latin american, Italy, Latin america, Asian, France, Portugal
ChatGPT TTPs:
do not use without manual checkT1218, T1071
IOCs:
Domain: 3
Hash: 3
Soft:
Android, Chrome
Algorithms:
aes, base64
Secureblink
ToxicPanda: New Android Banking Trojan Targeting Multiple Regions | Secure Blink
Explore ToxicPanda, a new banking trojan spreading from Asia to Europe and LATAM. Learn how it exploits Android devices for on-device fraud and RAT capabilities
CTT Report Hub
#ParsedReport #CompletenessLow 06-11-2024 ToxicPanda: New Android Banking Trojan Targeting Multiple Regions https://www.secureblink.com/threat-research/toxic-panda-new-android-banking-trojan-targeting-multiple-regions Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении и угрозе, исходящей от нового банковского трояна под названием ToxicPanda, нацеленного на устройства Android для мошенничества на устройстве, возможностях трояна удаленного доступа (RAT), его географическом распространении на рынки Европы и Латинской Америки за счет китайскоязычных участников угроз, технических подробностях о том, как он работает, его методы распространения, а также необходимость принятия упреждающих мер безопасности для борьбы с этой развивающейся угрозой.
-----
ToxicPanda - это новый банковский троян, предназначенный для устройств Android с целью мошенничества на устройстве и троянских программ удаленного доступа.
Троянец заразил более 1500 устройств в Европе и Латинской Америке, в основном нацелившись на банковские учреждения в таких странах, как Италия, Испания, Португалия и Перу.
В отличие от предыдущих угроз со стороны субъектов из Юго-Восточной Азии, ToxicPanda представляет собой сдвиг в сторону китайскоязычных субъектов, распространяющих угрозы в новых регионах.
Он имеет сходство с другими банковскими троянами, такими как Medusa и Copybara, поскольку фокусируется на методах мошенничества на устройствах и использует службу специальных возможностей Android для вредоносных действий.
ToxicPanda в основном распространяется с помощью механизмов боковой загрузки, замаскированных под вредоносные приложения, и использует тактику социальной инженерии, такую как фишинговые кампании.
Он перехватывает OTP-запросы, минуя банковскую двухфакторную аутентификацию, и создает ботнет, управляемый через централизованную инфраструктуру управления.
Операторы могут удаленно управлять устройствами, инициировать мошеннические действия и собирать данные, помимо финансовых данных, с помощью панели управления ToxicPanda C2.
Финансовым учреждениям рекомендуется усилить свою политику безопасности мобильных устройств, инвестировать в образовательные программы и внедрять передовые средства обнаружения для снижения рисков, связанных с ToxicPanda.
Будущие разработки ToxicPanda могут включать в себя более сложные возможности RAT, усовершенствованные реализации ATS и сложную инфраструктуру C2 с использованием алгоритмов генерации доменов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении и угрозе, исходящей от нового банковского трояна под названием ToxicPanda, нацеленного на устройства Android для мошенничества на устройстве, возможностях трояна удаленного доступа (RAT), его географическом распространении на рынки Европы и Латинской Америки за счет китайскоязычных участников угроз, технических подробностях о том, как он работает, его методы распространения, а также необходимость принятия упреждающих мер безопасности для борьбы с этой развивающейся угрозой.
-----
ToxicPanda - это новый банковский троян, предназначенный для устройств Android с целью мошенничества на устройстве и троянских программ удаленного доступа.
Троянец заразил более 1500 устройств в Европе и Латинской Америке, в основном нацелившись на банковские учреждения в таких странах, как Италия, Испания, Португалия и Перу.
В отличие от предыдущих угроз со стороны субъектов из Юго-Восточной Азии, ToxicPanda представляет собой сдвиг в сторону китайскоязычных субъектов, распространяющих угрозы в новых регионах.
Он имеет сходство с другими банковскими троянами, такими как Medusa и Copybara, поскольку фокусируется на методах мошенничества на устройствах и использует службу специальных возможностей Android для вредоносных действий.
ToxicPanda в основном распространяется с помощью механизмов боковой загрузки, замаскированных под вредоносные приложения, и использует тактику социальной инженерии, такую как фишинговые кампании.
Он перехватывает OTP-запросы, минуя банковскую двухфакторную аутентификацию, и создает ботнет, управляемый через централизованную инфраструктуру управления.
Операторы могут удаленно управлять устройствами, инициировать мошеннические действия и собирать данные, помимо финансовых данных, с помощью панели управления ToxicPanda C2.
Финансовым учреждениям рекомендуется усилить свою политику безопасности мобильных устройств, инвестировать в образовательные программы и внедрять передовые средства обнаружения для снижения рисков, связанных с ToxicPanda.
Будущие разработки ToxicPanda могут включать в себя более сложные возможности RAT, усовершенствованные реализации ATS и сложную инфраструктуру C2 с использованием алгоритмов генерации доменов.
#ParsedReport #CompletenessLow
06-11-2024
Stealc Malware Checks Everything - Even the Screen Resolution
https://blog.sonicwall.com/en-us/2024/11/stealc-malware-checks-everything-even-the-screen-resolution
Report completeness: Low
Threats:
Stealc
Geo:
Turkish
ChatGPT TTPs:
T1003, T1056, T1562.001, T1112, T1059.001
IOCs:
File: 1
Hash: 1
Soft:
Internet Explorer, Firefox, Chrome, Opera, Outlook, Steam, Telegram, Pidgin, Discord
Crypto:
monero
Algorithms:
zip
Win API:
VirtualProtect, arc
Languages:
powershell
06-11-2024
Stealc Malware Checks Everything - Even the Screen Resolution
https://blog.sonicwall.com/en-us/2024/11/stealc-malware-checks-everything-even-the-screen-resolution
Report completeness: Low
Threats:
Stealc
Geo:
Turkish
ChatGPT TTPs:
do not use without manual checkT1003, T1056, T1562.001, T1112, T1059.001
IOCs:
File: 1
Hash: 1
Soft:
Internet Explorer, Firefox, Chrome, Opera, Outlook, Steam, Telegram, Pidgin, Discord
Crypto:
monero
Algorithms:
zip
Win API:
VirtualProtect, arc
Languages:
powershell