#ParsedReport #CompletenessHigh
06-11-2024

CRON#TRAP: Emulated Linux Environments as the Latest Tactic in Malware Staging

https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging

Report completeness: High

Actors/Campaigns:
Cron-trap

Threats:
Chisel_tool
Spear-phishing_technique

Victims:
Oneamerica

Geo:
America

TTPs:
Tactics: 6
Technics: 14

IOCs:
File: 5
Url: 2
Path: 1
IP: 3
Hash: 13

Soft:
Linux, QEMU Linux, QEMU, Linux QEMU, openssh, sudo, curl

Algorithms:
zip

Languages:
golang, powershell

Platforms:
arm, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Команда исследователей угроз Securonix обнаружила сложную кампанию атак под названием CRON#TRAP, в рамках которой злоумышленники используют пользовательскую эмулируемую среду Linux с помощью QEMU, чтобы оставаться на конечных точках, проводить необнаруженные вредоносные действия и поддерживать постоянный доступ, комбинируя методы фишинга, средства скрытой коммуникации, такие как Chisel, и законное программное обеспечение, чтобы избежать обнаружения.
-----

Команда исследователей угроз Securonix обнаружила сложную кампанию атак, известную как CRON#TRAP, в ходе которой злоумышленники используют пользовательскую эмулируемую среду Linux через QEMU для сохранения на конечных точках. Эта атака инициируется с помощью фишинговых электронных писем, содержащих вредоносный файл быстрого доступа (.lnk), который при запуске создает скрытую среду с бэкдором, подключающимся к командному серверу злоумышленника. Такое скрытное присутствие позволяет злоумышленникам совершать вредоносные действия, не обнаруживаемые традиционным антивирусным программным обеспечением.

Злоумышленники маскируются под финансовое учреждение OneAmerica в качестве фишинговой приманки, заставляя жертв загружать zip-файл размером 285 МБ под названием "OneAmerica Survey", который содержит замаскированный каталог установки QEMU. Запущенный файл быстрого доступа извлекает содержимое в скрытую папку с данными и запускает эмулируемую среду Linux с помощью PowerShell. Злоумышленники стратегически используют различные тактики, такие как отображение ложных сообщений об ошибках, чтобы отвлечь внимание, и одновременно обеспечивают постоянство путем изменения конфигурации системы.

Злоумышленники систематически устанавливают и запускают различные полезные программы, тестируя и модифицируя их до тех пор, пока они не начнут функционировать должным образом. Они загружают и запускают файлы crondx несколько раз, возможно, изменяя полезную нагрузку для достижения оптимальной производительности. Основным двоичным файлом, выполняемым в эмулируемой среде, является 64-разрядный ELF-исполняемый файл Chisel-клиента, предварительно сконфигурированный для подключения к серверу C2 злоумышленника через websockets. Этот настроенный клиент Chisel функционирует как полноценный бэкдор, предоставляя зашифрованный удаленный доступ для управления дополнительной полезной нагрузкой или фильтрации данных.

Подход злоумышленников демонстрирует высокий уровень изощренности, сочетая методы фишинга, эмулируемую среду и средства скрытой коммуникации, такие как Chisel, позволяющие избежать обнаружения и поддерживать постоянный доступ к скомпрометированным системам. Использование легального программного обеспечения, такого как QEMU и Chisel, еще больше повышает их скрытность, поскольку эти инструменты обычно используются в законных сценариях разработки и исследований, что снижает вероятность срабатывания охранной сигнализации.

#ParsedReport #CompletenessMedium
06-11-2024

Supply Chain Attack Using Ethereum Smart Contracts to Distribute Multi-Platform Malware

https://checkmarx.com/uncategorized/supply-chain-attack-using-ethereum-smart-contracts-to-distribute-multi-platform-malware

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Developers

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195.001, T1204.002, T1078.003, T1546.015, T1053.005

IOCs:
Coin: 2
Hash: 3
Url: 4

Soft:
Linux, macOS

Crypto:
ethereum

Algorithms:
sha256

Languages:
javascript

Platforms:
cross-platform

Links:
https://gist.github.com/masteryoda101/d4e90eb8004804d062bc04cf1aec4bc0

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Обнаружена сложная атака на цепочку поставок, нацеленная на экосистему NPM с использованием вредоносного пакета "jest-fet-mock", который распространяет вредоносное ПО на платформах Windows, Linux и macOS. Эта атака отличается использованием смарт-контрактов Ethereum для операций командования и контроля, что ставит перед специалистами в области безопасности новую задачу. Злоумышленники сосредотачиваются на компрометации сред разработки, выдавая себя за законные утилиты тестирования и используя блокчейн для обеспечения устойчивой связи, что подчеркивает необходимость принятия надежных мер безопасности при управлении пакетами и проверке инструментов.
-----

Недавно команда безопасности обнаружила уникальную атаку на цепочку поставок, направленную на экосистему NPM, с использованием вредоносного пакета "jest-fet-mock". Этот пакет, который выдает себя за популярную утилиту для тестирования, на самом деле распространяет вредоносное ПО на платформах Windows, Linux и macOS. Отличительной особенностью этой атаки является использование смарт-контрактов Ethereum для управления операциями, что стало первым случаем вредоносного ПО в экосистеме NPM, применившего этот метод. Используя технологию блокчейн в сочетании с традиционными векторами атаки, злоумышленники создали новую проблему для специалистов в области безопасности.

Атака начинается с вредоносного пакета "jest-fet-mock", который был разработан для того, чтобы выдавать себя за две законные утилиты тестирования JavaScript, обычно используемые для тестирования HTTP-запросов в приложениях JavaScript. Используя метод опечаток, при котором "fetch" с ошибкой пишется как "fet", злоумышленники пытались обмануть разработчиков, которые часто имеют повышенные системные привилегии, поскольку используют эти инструменты в своих средах разработки. Компрометация тестовых сред с помощью этого пакета подчеркивает целенаправленный характер атаки, направленной на инфраструктуру разработки.

Одной из ключевых особенностей этой атаки является интеграция смарт-контрактов Ethereum в инфраструктуру управления. Вредоносное ПО взаимодействует с определенным смарт-контрактом в блокчейне Ethereum, чтобы получить адрес сервера управления. Используя блокчейн таким образом, злоумышленники получают выгоду от инфраструктуры, которая обладает высокой устойчивостью к попыткам взлома благодаря своей неизменяемой и децентрализованной природе. Смарт-контракт действует как общедоступная доска объявлений, где хранится адрес сервера, что позволяет злоумышленникам легко обновлять его для перенаправления сообщений в случае необходимости.

Во время установки сценарий предварительной установки вредоносного ПО идентифицирует операционную систему хоста и генерирует URL-адрес для конкретной платформы для загрузки полезной нагрузки, гарантируя, что вредоносное ПО может запускаться независимо от процесса установки. Анализ вариантов вредоносного ПО выявил различные возможности, включая разведку системы, кражу учетных данных и механизмы сохранения, адаптированные для различных платформ. Несмотря на свою сложную природу, эти варианты вредоносного ПО не были помечены как вредоносные ни одним из поставщиков средств безопасности, что подчеркивает скрытый характер атаки.

Стратегия скоординированной кросс-платформенной атаки нацелена на среды разработки путем компрометации инструментов и утилит, обычно используемых в конвейерах CI/CD и системах сборки. Используя технологию блокчейн для управления, злоумышленники создали серьезную угрозу, которая создает трудности для обнаружения и устранения последствий. Активный характер этой угрозы подчеркивает важность надежных мер безопасности при управлении пакетами и проверке законности инструментов, используемых в процессах разработки.

#ParsedReport #CompletenessMedium
06-11-2024

New SteelFox Trojan mimics software activators, stealing sensitive data and mining cryptocurrency

https://securelist.com/steelfox-trojan-drops-stealer-and-miner/114414

Report completeness: Medium

Threats:
Steelfox
Xmrig_miner
Junk_code_technique

Victims:
Foxit pdf editor, Autocad, Jetbrains

Geo:
India, Algeria, Sri lanka, Russia, Vietnam, Russian, China, Mexico, Chinese, Egypt, Brazil

CVEs:
CVE-2021-41285 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- micron ballistix memory overview display utility (le2.0.2.5)

CVE-2020-14979 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- evga precision x1 (le1.0.6)
- winring0 project winring0 (1.2.0)


ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1105, T1573, T1005, T1071, T1027

IOCs:
File: 1
Hash: 23
Path: 2
Url: 13
IP: 1

Soft:
Foxit, AutoCAD, JetBrains, Windows service, wolfSSL, chrome, opera, opera_gx, firefox, vivaldi, have more...

Algorithms:
xor, aes-128

Win API:
GetModuleFileNameW, StartServiceCtrlDispatcherW, ImpersonateLoggedOnUser, NetUserEnum, WTSQuerySessionInformationW

Platforms:
amd64, x86

Links:
https://opentip.kaspersky.com/hxxps%3A%2F%2Fgithub.com%2FTrungGa123%2FActive-all-app-Jetbrains%2F/?icid=gl\_securelist\_acq\_ona\_smm\_\_onl\_b2c\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_f6e007ce46c9bf12&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
https://opentip.kaspersky.com/hxxps%3A%2F%2Fgithub.com%2Ftranquanghuy-09%2Factivate-intellij-idea-ultimate%2F/?icid=gl\_securelist\_acq\_ona\_smm\_\_onl\_b2c\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_f3602f401c635935&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
https://opentip.kaspersky.com/hxxps%3A%2F%2Fgithub.com%2FDavidNguyen67%2FCrackJetbrains/?icid=gl\_securelist\_acq\_ona\_smm\_\_onl\_b2c\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_63ed2c0468c0c8d1&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается новый пакет вредоносных программ под названием "SteelFox", обнаруженный группой анализа угроз в августе 2024 года. SteelFox использует сложные цепочки выполнения, включающие шеллкодинг, для злоупотребления службами и драйверами Windows. Она распространяется через форумы, торрент-трекеры и блоги, маскируясь под популярные программы, такие как Foxit PDF Editor и AutoCAD. SteelFox использует вредоносную программу-воришку для извлечения данных кредитных карт и сведений об устройстве у жертв, используя SSL-привязку и TLSv1.3 для связи со своим сервером управления. Угроза может повысить привилегии за счет использования уязвимого драйвера и включает компоненты для майнинга криптовалют. SteelFox работает в больших масштабах, заражая пользователей по всему миру, особенно тех, кто загружает скомпрометированное программное обеспечение. Защита от SteelFox заключается в установке приложений из официальных источников и использовании надежных решений для обеспечения безопасности.
-----

В августе 2024 года был обнаружен новый пакет вредоносных программ под названием "SteelFox"; он распространяется через форумы, торрент-трекеры и блоги, маскируясь под популярные программы, такие как Foxit PDF Editor и AutoCAD.

SteelFox использует сложные цепочки выполнения, включающие шелл-кодирование, для злоупотребления службами и драйверами Windows, а также использует вредоносные программы-похитители для извлечения данных кредитных карт и сведений об устройстве у жертв.

Угроза взаимодействует со своим сервером управления с помощью протокола SSL и протокола TLSv1.3, а домен имеет динамически изменяющийся IP-адрес и реализован с использованием Boost.Библиотека Asio.

Продукты Касперского обнаруживают SteelFox как "HEUR:Trojan.Win64.SteelFox.gen" и "Trojan.Win64.SteelFox.*".

SteelFox может повысить свои привилегии, используя уязвимый драйвер, и с февраля 2023 года проводит кампанию по заражению, используя пакет вредоносных программ, состоящий из майнеров и похитителей.

Злоумышленник обновляет зависимости без функциональных изменений, чтобы избежать обнаружения.

Первоначальный вектор атаки SteelFox заключался в распространении дроппера, замаскированного под трещины для таких программ, как Foxit PDF Editor, JetBrains и AutoCAD, для доставки вредоносного ПО в системы жертв.

Злоумышленник использует обманную тактику, чтобы получить доступ администратора и установить вредоносный код в систему жертвы, используя при этом схемы шифрования для удаленного вредоносного ПО.

Вредоносная программа включает в себя компоненты для взаимодействия с майнером XMRig для майнинга криптовалюты и собирает пользовательские данные в формате JSON для отправки на сервер C2.

SteelFox - это крупномасштабная угроза, которая поражает пользователей по всему миру, особенно в таких странах, как Бразилия, Китай, Россия и Мексика, и в первую очередь нацелена на лиц, загружающих скомпрометированное программное обеспечение. Защита включает установку приложений из официальных источников и использование надежных решений для обеспечения безопасности.

#ParsedReport #CompletenessHigh
06-11-2024

SpyNote: Unmasking a Sophisticated Android Malware

https://www.cyfirma.com/research/spynote-unmasking-a-sophisticated-android-malware

Report completeness: High

Actors/Campaigns:
Evlf_dev

Threats:
Spynote_rat
Anydesk_tool
Credential_harvesting_technique

TTPs:
Tactics: 8
Technics: 22

IOCs:
Url: 1
Domain: 15
File: 15
IP: 2
Hash: 1

Soft:
Android, Telegram, Instagram, WhatsApp, Chrome, Firefox, Opera, VirtualBox

Crypto:
binance, bitcoin, ethereum, tether

Algorithms:
md5, sha256

Functions:
clickthis, clickAtPosition, RDF, getPwdType, MakeNotifier, mouseDraw, checkPassword, toString

Languages:
javascript

Platforms:
x86, apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте представлен подробный анализ SpyNote, сложного варианта вредоносного ПО для Android, функционирующего как троян удаленного доступа (RAT), который представляет значительную опасность для организаций и частных лиц. SpyNote использует различные методы обмана, такие как маскировка под поддельное антивирусное приложение и использование специальных прав доступа для получения контроля над зараженными устройствами. Вредоносная программа нацелена на криптовалюты, крадет данные из приложений, осуществляет мониторинг сети с целью утечки и использует кейлоггинг для сбора конфиденциальной информации. Кроме того, SpyNote использует методы обфускации, механизмы сохранения и меры самозащиты, чтобы избежать обнаружения. Анализ подчеркивает необходимость принятия надежных мер кибербезопасности для борьбы с новыми угрозами, такими как SpyNote RAT, и подчеркивает важность осторожности пользователей, строгих методов обеспечения кибербезопасности и обновленного программного обеспечения для усиления защиты от современных вредоносных программ.
-----

В тексте представлен подробный анализ SpyNote, сложного варианта вредоносного ПО для Android, представляющего серьезную угрозу для организаций и частных лиц. SpyNote работает как троян удаленного доступа (RAT), способный осуществлять широкий контроль над зараженными устройствами. Вредоносная программа маскируется под поддельное антивирусное приложение, в частности, имитируя Avast Mobile Security для Android, чтобы обмануть пользователей. Она использует специальные права доступа, чтобы обеспечить себе контроль над различными функциями устройства, такими как обход оптимизации заряда батареи и отображение поддельных уведомлений об обновлениях системы. SpyNote использует тактику предотвращения деинсталляции, уклонения от статического анализа с помощью обфускации и обеспечения постоянства работы с широким спектром брендов устройств.

Кроме того, SpyNote нацелен на криптовалюты и кошельки, а также активно пытается украсть данные из установленных приложений, включая учетные данные, хранящиеся на внешнем носителе. Вредоносная программа отслеживает сетевой трафик для подключения к серверу управления и утилизации данных. Помимо отображения вводящих в заблуждение уведомлений об обновлениях, SpyNote использует кейлоггинг для сбора конфиденциальной информации, такой как пароли и данные кредитных карт, и использует механизмы самозащиты, чтобы избежать обнаружения.

В тексте подробно описываются рабочие механизмы SpyNote, подчеркиваются его возможности по использованию обфускации для обхода инструментов анализа, его способность обнаруживать эмулируемые среды, использовать права доступа для управления, беззвучно имитировать жесты пользователя для получения дополнительных разрешений, поддерживать непрерывную работу и защищать от удаления. SpyNote также занимается сбором данных, ориентируясь на различные бренды устройств для обеспечения сохранности, активно похищая данные и удаляя собранные данные.

Проведенный анализ подчеркивает необходимость принятия организациями надежных мер кибербезопасности для противодействия развивающимся угрозам, таким как SpyNote RAT. В нем подчеркивается важность осторожности пользователей при работе с ненадежными источниками и ссылками, а также принятия строгих мер кибербезопасности, включая использование проверенного антивирусного программного обеспечения, обновление всего программного обеспечения и сохранение бдительности в отношении методов социальной инженерии для усиления защиты от продвинутых вредоносных программ, таких как SpyNote RAT.

#ParsedReport #CompletenessLow
06-11-2024

In-depth study of the advanced injection technology StepBear of APT organization Storm0978

https://mp-weixin-qq-com.translate.goog/s?__biz=MzkyOTc0NDY2Nw==&mid=2247484443&idx=1&sn=d75d5cb737745dd9d5106967bfd94f55&poc_token=HNR-K2ejEDVP7FMrt2zTEKpgSlRXR2h2fHzNfS_A&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Step_bear_technique

Geo:
Korean, Russian

ChatGPT TTPs:
do not use without manual check
T1055.004, T1564.003, T1203

IOCs:
File: 32
Coin: 2

Soft:
Windows kernel, Chromium, wordpress

Functions:
Ndr64pFreeParams, SetClassLong, GetClassLong

Win API:
NdrServerCallAll, SetClassWord, GetClassWord, NtUserSetClassLong, GetLastError, ZwQueryVirtualMemory, GetProcAddress, PostMessageA, virtualprotect, NdrStubCall2, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании недавно раскрытого сложного метода атаки под названием "Кошмар EDR: Storm-0978", который использует передовую технологию внедрения в ядро под названием "Step Bear". Метод атаки включает в себя сложные приемы, такие как перехват потока выполнения функций, манипулирование адресами для выполнения вредоносной полезной нагрузки и преодоление ограничений на атрибуты памяти для успешного выполнения шеллкода в рамках атаки. В тексте также рассматриваются технические детали атаки, включая использование различных функций и структур, и обсуждаются последствия для систем EDR с точки зрения проблем обнаружения и видимости.
-----

В тексте описывается новый метод атаки, известный как "Кошмар EDR: Storm-0978", который был раскрыт командой анализа угроз qax 2024-04-23. В этой атаке используется сложная технология внедрения в ядро под названием "Step Bear". В нем рассказывается о том, как основные APT-организации обычно приобретают некачественные загрузчики для загрузки троянских бэкдоров и проведения атак. "Step Bear" выделяется своей сложной технологией внедрения в ядро, которая редко используется при массовых атаках, с использованием уникальных технологий, таких как перехват потока выполнения функции Ndr64pFreeParams и запуск пользовательского сообщения в неизвестном скрытом окне.

Метод атаки заключается в использовании обратного вызова EM_SETWORDBREAKPROC для выполнения вредоносной полезной нагрузки путем манипулирования адресами. Автор демонстрирует установку адреса обратного вызова в I_RpcFreePipeBuffer, чтобы Windows могла вызывать любой адрес с контролируемыми параметрами. Этот процесс включает в себя создание соответствующих параметров и устранение сложностей, таких как манипулирование памятью. В тексте также упоминаются тонкости заполнения определенных параметров и управления атрибутами памяти для успешного выполнения шелл-кода в рамках атаки.

Кроме того, в тексте обсуждается необходимость размещения второго шеллкода в поле редактирования блокнота из-за ограничений атрибутов памяти для исходного расположения шеллкода, что делает его недоступным для выполнения. В нем объясняется важность использования virtualprotect и выполнения шеллкода в доступной для записи и исполняемой памяти для преодоления этих ограничений. Процесс включает тщательную настройку параметров и манипулирование памятью для успешного выполнения второго шеллкода.

Кроме того, в тексте упоминается использование Ndr64pFreeParams для успешной реализации операции вызова шеллкода virtualprotect +. В нем приводятся технические подробности, включая использование различных функций и структур для поддержки выполнения вредоносного кода в рамках описанного сценария атаки. Также обсуждаются последствия для систем EDR, в частности, для механизмов обнаружения и регистрации, с выделением потенциальных проблем и проблем с видимостью, связанных с обнаружением таких атак в среде EDR.

#ParsedReport #CompletenessHigh
06-11-2024

GodFather Malware Expands Its Reach, Targeting 500 Banking And Crypto Applications Worldwide

https://cyble.com/blog/godfather-malware-targets-500-banking-and-crypto-apps-worldwide

Report completeness: High

Threats:
Godfather
Dead_drop_technique

Industry:
Financial, Government, Media

Geo:
Turkey, Spain, Italy, Australian, Singapore, Japan, Azerbaijan, Greece

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 1
File: 5
Url: 6
Hash: 12

Soft:
Android, Telegram

Algorithms:
md5, sha256, base64, sha1

Languages:
php, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Банковский троян GodFather для Android превратился в новый вариант, нацеленный на более чем 500 криптовалютных и банковских приложений, расширяющий свой охват на дополнительные регионы и использующий реализацию собственного кода и специальные сервисы для сбора учетных данных. Злоумышленник, стоящий за вредоносным ПО, использует фишинговые сайты для распространения вредоносного приложения, отслеживает количество посетителей для планирования будущих действий и использует автоматизацию для имитации действий пользователей. Эта эволюция подчеркивает растущую сложность мобильных вредоносных программ и важность надежных мер безопасности для снижения рисков.
-----

Новая версия банковского трояна Android GodFather нацелена на более чем 500 криптовалютных и банковских приложений.

Изначально вредоносное ПО было ориентировано на Великобританию, США, Турцию, Испанию и Италию, а теперь распространилось на Японию, Сингапур, Грецию и Азербайджан.

Вредоносное ПО перешло от Java-кода к реализации в машинном коде, используя ограниченные разрешения и службы специальных возможностей для перехвата учетных данных.

Новые команды позволяют автоматизировать жесты на зараженных устройствах, имитируя действия пользователя.

Злоумышленник (TA), стоящий за вредоносным ПО, использует фишинговый сайт для распространения вредоносного приложения и отслеживает количество посетителей.

Фишинговый сайт "mygov-au . app" выдает себя за веб-сайт правительства Австралии myGov и распространяет вредоносное ПО GodFather.

В каталоге "hxxps://az-inatv . com/" хранятся данные зараженных устройств, IP-адреса и вредоносный файл "lnat Tv Pro 2024.apk.".

Последняя версия вредоносной программы работает с минимальными разрешениями, используя специальные службы для вредоносных действий.

Вредоносное ПО перехватывает взаимодействие с целевыми приложениями, заменяя законные интерфейсы фишинговыми страницами.

Вредоносная программа GodFather взаимодействует с C&C-сервером "hxxps://akozamora . top/" для отправки информации об устройстве и получения списка целевых приложений.

В последней версии основное внимание уделяется автоматизации действий на зараженных устройствах, больше не используются USSD и SMS-сообщения.

#ParsedReport #CompletenessMedium
06-11-2024

New trend in MSI file abuse: New Ocean Lotus organization used MST files for the first time to deliver special orders

https://mp.weixin.qq.com/s/alaZxCd61gJNI9D01eQzgg

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Golden_eyed_dog
Apt-q-15 (motivation: cyber_espionage)
Darkhotel (motivation: cyber_espionage)

Threats:
Raindrop_tool
Harpoon_technique
Dll_sideloading_technique
Lolbin_technique

Victims:
Governments, Enterprises

Industry:
Government

Geo:
North koreans, Korean

ChatGPT TTPs:
do not use without manual check
T1218, T1059.001, T1140, T1027

IOCs:
File: 4
Hash: 2

Algorithms:
md5

Languages:
powershell, rust