#ParsedReport #CompletenessHigh
06-11-2024

SpyNote: Unmasking a Sophisticated Android Malware

https://www.cyfirma.com/research/spynote-unmasking-a-sophisticated-android-malware

Report completeness: High

Actors/Campaigns:
Evlf_dev

Threats:
Spynote_rat
Anydesk_tool
Credential_harvesting_technique

TTPs:
Tactics: 8
Technics: 22

IOCs:
Url: 1
Domain: 15
File: 15
IP: 2
Hash: 1

Soft:
Android, Telegram, Instagram, WhatsApp, Chrome, Firefox, Opera, VirtualBox

Crypto:
binance, bitcoin, ethereum, tether

Algorithms:
md5, sha256

Functions:
clickthis, clickAtPosition, RDF, getPwdType, MakeNotifier, mouseDraw, checkPassword, toString

Languages:
javascript

Platforms:
x86, apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте представлен подробный анализ SpyNote, сложного варианта вредоносного ПО для Android, функционирующего как троян удаленного доступа (RAT), который представляет значительную опасность для организаций и частных лиц. SpyNote использует различные методы обмана, такие как маскировка под поддельное антивирусное приложение и использование специальных прав доступа для получения контроля над зараженными устройствами. Вредоносная программа нацелена на криптовалюты, крадет данные из приложений, осуществляет мониторинг сети с целью утечки и использует кейлоггинг для сбора конфиденциальной информации. Кроме того, SpyNote использует методы обфускации, механизмы сохранения и меры самозащиты, чтобы избежать обнаружения. Анализ подчеркивает необходимость принятия надежных мер кибербезопасности для борьбы с новыми угрозами, такими как SpyNote RAT, и подчеркивает важность осторожности пользователей, строгих методов обеспечения кибербезопасности и обновленного программного обеспечения для усиления защиты от современных вредоносных программ.
-----

В тексте представлен подробный анализ SpyNote, сложного варианта вредоносного ПО для Android, представляющего серьезную угрозу для организаций и частных лиц. SpyNote работает как троян удаленного доступа (RAT), способный осуществлять широкий контроль над зараженными устройствами. Вредоносная программа маскируется под поддельное антивирусное приложение, в частности, имитируя Avast Mobile Security для Android, чтобы обмануть пользователей. Она использует специальные права доступа, чтобы обеспечить себе контроль над различными функциями устройства, такими как обход оптимизации заряда батареи и отображение поддельных уведомлений об обновлениях системы. SpyNote использует тактику предотвращения деинсталляции, уклонения от статического анализа с помощью обфускации и обеспечения постоянства работы с широким спектром брендов устройств.

Кроме того, SpyNote нацелен на криптовалюты и кошельки, а также активно пытается украсть данные из установленных приложений, включая учетные данные, хранящиеся на внешнем носителе. Вредоносная программа отслеживает сетевой трафик для подключения к серверу управления и утилизации данных. Помимо отображения вводящих в заблуждение уведомлений об обновлениях, SpyNote использует кейлоггинг для сбора конфиденциальной информации, такой как пароли и данные кредитных карт, и использует механизмы самозащиты, чтобы избежать обнаружения.

В тексте подробно описываются рабочие механизмы SpyNote, подчеркиваются его возможности по использованию обфускации для обхода инструментов анализа, его способность обнаруживать эмулируемые среды, использовать права доступа для управления, беззвучно имитировать жесты пользователя для получения дополнительных разрешений, поддерживать непрерывную работу и защищать от удаления. SpyNote также занимается сбором данных, ориентируясь на различные бренды устройств для обеспечения сохранности, активно похищая данные и удаляя собранные данные.

Проведенный анализ подчеркивает необходимость принятия организациями надежных мер кибербезопасности для противодействия развивающимся угрозам, таким как SpyNote RAT. В нем подчеркивается важность осторожности пользователей при работе с ненадежными источниками и ссылками, а также принятия строгих мер кибербезопасности, включая использование проверенного антивирусного программного обеспечения, обновление всего программного обеспечения и сохранение бдительности в отношении методов социальной инженерии для усиления защиты от продвинутых вредоносных программ, таких как SpyNote RAT.

#ParsedReport #CompletenessLow
06-11-2024

In-depth study of the advanced injection technology StepBear of APT organization Storm0978

https://mp-weixin-qq-com.translate.goog/s?__biz=MzkyOTc0NDY2Nw==&mid=2247484443&idx=1&sn=d75d5cb737745dd9d5106967bfd94f55&poc_token=HNR-K2ejEDVP7FMrt2zTEKpgSlRXR2h2fHzNfS_A&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Step_bear_technique

Geo:
Korean, Russian

ChatGPT TTPs:
do not use without manual check
T1055.004, T1564.003, T1203

IOCs:
File: 32
Coin: 2

Soft:
Windows kernel, Chromium, wordpress

Functions:
Ndr64pFreeParams, SetClassLong, GetClassLong

Win API:
NdrServerCallAll, SetClassWord, GetClassWord, NtUserSetClassLong, GetLastError, ZwQueryVirtualMemory, GetProcAddress, PostMessageA, virtualprotect, NdrStubCall2, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании недавно раскрытого сложного метода атаки под названием "Кошмар EDR: Storm-0978", который использует передовую технологию внедрения в ядро под названием "Step Bear". Метод атаки включает в себя сложные приемы, такие как перехват потока выполнения функций, манипулирование адресами для выполнения вредоносной полезной нагрузки и преодоление ограничений на атрибуты памяти для успешного выполнения шеллкода в рамках атаки. В тексте также рассматриваются технические детали атаки, включая использование различных функций и структур, и обсуждаются последствия для систем EDR с точки зрения проблем обнаружения и видимости.
-----

В тексте описывается новый метод атаки, известный как "Кошмар EDR: Storm-0978", который был раскрыт командой анализа угроз qax 2024-04-23. В этой атаке используется сложная технология внедрения в ядро под названием "Step Bear". В нем рассказывается о том, как основные APT-организации обычно приобретают некачественные загрузчики для загрузки троянских бэкдоров и проведения атак. "Step Bear" выделяется своей сложной технологией внедрения в ядро, которая редко используется при массовых атаках, с использованием уникальных технологий, таких как перехват потока выполнения функции Ndr64pFreeParams и запуск пользовательского сообщения в неизвестном скрытом окне.

Метод атаки заключается в использовании обратного вызова EM_SETWORDBREAKPROC для выполнения вредоносной полезной нагрузки путем манипулирования адресами. Автор демонстрирует установку адреса обратного вызова в I_RpcFreePipeBuffer, чтобы Windows могла вызывать любой адрес с контролируемыми параметрами. Этот процесс включает в себя создание соответствующих параметров и устранение сложностей, таких как манипулирование памятью. В тексте также упоминаются тонкости заполнения определенных параметров и управления атрибутами памяти для успешного выполнения шелл-кода в рамках атаки.

Кроме того, в тексте обсуждается необходимость размещения второго шеллкода в поле редактирования блокнота из-за ограничений атрибутов памяти для исходного расположения шеллкода, что делает его недоступным для выполнения. В нем объясняется важность использования virtualprotect и выполнения шеллкода в доступной для записи и исполняемой памяти для преодоления этих ограничений. Процесс включает тщательную настройку параметров и манипулирование памятью для успешного выполнения второго шеллкода.

Кроме того, в тексте упоминается использование Ndr64pFreeParams для успешной реализации операции вызова шеллкода virtualprotect +. В нем приводятся технические подробности, включая использование различных функций и структур для поддержки выполнения вредоносного кода в рамках описанного сценария атаки. Также обсуждаются последствия для систем EDR, в частности, для механизмов обнаружения и регистрации, с выделением потенциальных проблем и проблем с видимостью, связанных с обнаружением таких атак в среде EDR.

#ParsedReport #CompletenessHigh
06-11-2024

GodFather Malware Expands Its Reach, Targeting 500 Banking And Crypto Applications Worldwide

https://cyble.com/blog/godfather-malware-targets-500-banking-and-crypto-apps-worldwide

Report completeness: High

Threats:
Godfather
Dead_drop_technique

Industry:
Financial, Government, Media

Geo:
Turkey, Spain, Italy, Australian, Singapore, Japan, Azerbaijan, Greece

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 1
File: 5
Url: 6
Hash: 12

Soft:
Android, Telegram

Algorithms:
md5, sha256, base64, sha1

Languages:
php, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Банковский троян GodFather для Android превратился в новый вариант, нацеленный на более чем 500 криптовалютных и банковских приложений, расширяющий свой охват на дополнительные регионы и использующий реализацию собственного кода и специальные сервисы для сбора учетных данных. Злоумышленник, стоящий за вредоносным ПО, использует фишинговые сайты для распространения вредоносного приложения, отслеживает количество посетителей для планирования будущих действий и использует автоматизацию для имитации действий пользователей. Эта эволюция подчеркивает растущую сложность мобильных вредоносных программ и важность надежных мер безопасности для снижения рисков.
-----

Новая версия банковского трояна Android GodFather нацелена на более чем 500 криптовалютных и банковских приложений.

Изначально вредоносное ПО было ориентировано на Великобританию, США, Турцию, Испанию и Италию, а теперь распространилось на Японию, Сингапур, Грецию и Азербайджан.

Вредоносное ПО перешло от Java-кода к реализации в машинном коде, используя ограниченные разрешения и службы специальных возможностей для перехвата учетных данных.

Новые команды позволяют автоматизировать жесты на зараженных устройствах, имитируя действия пользователя.

Злоумышленник (TA), стоящий за вредоносным ПО, использует фишинговый сайт для распространения вредоносного приложения и отслеживает количество посетителей.

Фишинговый сайт "mygov-au . app" выдает себя за веб-сайт правительства Австралии myGov и распространяет вредоносное ПО GodFather.

В каталоге "hxxps://az-inatv . com/" хранятся данные зараженных устройств, IP-адреса и вредоносный файл "lnat Tv Pro 2024.apk.".

Последняя версия вредоносной программы работает с минимальными разрешениями, используя специальные службы для вредоносных действий.

Вредоносное ПО перехватывает взаимодействие с целевыми приложениями, заменяя законные интерфейсы фишинговыми страницами.

Вредоносная программа GodFather взаимодействует с C&C-сервером "hxxps://akozamora . top/" для отправки информации об устройстве и получения списка целевых приложений.

В последней версии основное внимание уделяется автоматизации действий на зараженных устройствах, больше не используются USSD и SMS-сообщения.

#ParsedReport #CompletenessMedium
06-11-2024

New trend in MSI file abuse: New Ocean Lotus organization used MST files for the first time to deliver special orders

https://mp.weixin.qq.com/s/alaZxCd61gJNI9D01eQzgg

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Golden_eyed_dog
Apt-q-15 (motivation: cyber_espionage)
Darkhotel (motivation: cyber_espionage)

Threats:
Raindrop_tool
Harpoon_technique
Dll_sideloading_technique
Lolbin_technique

Victims:
Governments, Enterprises

Industry:
Government

Geo:
North koreans, Korean

ChatGPT TTPs:
do not use without manual check
T1218, T1059.001, T1140, T1027

IOCs:
File: 4
Hash: 2

Algorithms:
md5

Languages:
powershell, rust

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении и эволюции тактики организации Ocean Lotus, в частности, новой Ocean Lotus group, в их деятельности по кибершпионажу, направленной против национальных правительств и предприятий. Было замечено, что группа занимается деятельностью APT с использованием таких методов, как злоупотребление файлами MSI, дополнительная загрузка библиотек DLL, конфронтация на основе памяти и использование пользовательских загрузчиков. Существует различие между старыми и новыми группами Ocean Lotus, которые используют циклическую схему чередования операций и совместного использования ресурсов между собой. Также упоминаются другие организации APT, что подчеркивает распространенный метод сжатия вредоносных компонентов в cabs во время процессов установки MSI. Отчет свидетельствует об усовершенствовании и эволюции тактики Ocean Lotus, при этом особое внимание уделяется действиям новой Ocean Lotus group.
-----

Новая организация Ocean Lotus вновь появилась с новыми методами, связанными со злоупотреблением файлами MSI, для деятельности APT, направленной против национальных правительств и предприятий.

В настоящее время Ocean Lotus подразделяется на две отдельные группы нападения, старую и новую Ocean Lotus, которые по очереди занимаются шпионажем против страны на ежегодной основе, разделяя ресурсы между двумя группами.

В недавней рассылке harpoon по электронной почте, проводимой новой Ocean Lotus group, использовались параметры MSI TRANSFORMS для добавления в память ранее невиданной полезной нагрузки RUST special horse посредством дополнительной загрузки DLL.

Новая Ocean Lotus group в основном использует пользовательские загрузчики, разработанные с использованием кодовой базы Mingw-w64, что демонстрирует отличие в технологиях от старой Ocean Lotus group.

Различные организации APT используют вредоносные компоненты, сжатые в cabs, в процессе установки MSI, проверяя эффективность антивирусных технологий.

Bitter organization и APT-Q-15 (Darkhotel) используют таблицу пользовательских действий в установочных пакетах MSI для выполнения вредоносных действий, при этом Darkhotel использует эффект LOLBINS с помощью core.dll.

Новая организация Ocean Lotus использует core.библиотека dll для загрузки кода через msiexec свидетельствует о высоком уровне сложности их работы.

Там упоминается о возможном прерывании работы из-за истечения срока действия лицензии, что является важным элементом для участников угроз.

#ParsedReport #CompletenessMedium
06-11-2024

ToxicPanda: a new banking trojan from Asia hit Europe and LATAM

https://www.cleafy.com/cleafy-labs/toxicpanda-a-new-banking-trojan-from-asia-hit-europe-and-latam

Report completeness: Medium

Threats:
Toxicpanda
Anatsa
Tgtoxic
Touchmove
Medusalocker
Copybara
Bingomod
Trickmo

Victims:
Banking institutions

Industry:
Financial, E-commerce, Retail

Geo:
Portugal, Chinese, France, Hong kong, Latin america, Latam, Asia, Spain, Peru, Portuguese, Italy, Asian, Spanish, China, Emea, Germany

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1071, T1090, T1573, T1027, T1070, T1556, T1098

IOCs:
File: 5
IP: 1
Domain: 21
Email: 1
Hash: 5

Soft:
Android, Google Chrome, Chrome

Algorithms:
base64, aes, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении троянской программы ToxicPanda для Android, разработанной командой Cleafy по анализу угроз. Эта кампания нацелена на банковские учреждения в Европе и Латинской Америке, использующие методы мошенничества на устройствах для проведения несанкционированных транзакций. Злоумышленники, вероятно, говорящие на китайском языке, расширяют свое внимание за пределы Европы в сторону Латинской Америки, демонстрируя адаптивность вредоносного ПО. Возможности ToxicPanda включают в себя перехват учетных записей (ATO) непосредственно с зараженных устройств, перехват одноразовых паролей (OTP) и использование методов обфускации, позволяющих избежать обнаружения. В отчете подчеркивается необходимость в системах проактивного обнаружения для противодействия развивающимся киберугрозам, таким как ToxicPanda.
-----

Служба анализа угроз Cleafy выявила кампанию банковского трояна ToxicPanda, нацеленную на 16 банковских учреждений в Италии, Португалии, Испании и Латинской Америке.

ToxicPanda, управляемая, вероятно, китайскоязычными злоумышленниками, использует методы мошенничества с использованием устройств (ODF) для захвата аккаунтов и мошеннических денежных переводов.

Вредоносная программа функционирует как троян удаленного доступа (RAT) с возможностями захвата учетных записей (ATO), перехвата OTP-сообщений и удаленного управления зараженными устройствами.

Разработчики ToxicPanda демонстрируют неопытность в работе с иностранными целями, демонстрируя менее изощренный подход по сравнению с другими банковскими троянами.

В рамках кампании было заражено более 1500 устройств, в первую очередь в Италии, за которой следуют Португалия, Гонконг, Испания и Перу.

Вредоносная программа имеет сходство с семейством вредоносных программ TGToxic, но обладает меньшими возможностями и несогласованностью в реализации.

ToxicPanda использует жестко запрограммированный ключ шифрования AES, статические домены C2 и связь через WebSocket для управления зараженными устройствами.

Операторы ботнетов, базирующиеся в группе компаний, говорящих на китайском языке, расширяют свою деятельность с Европы на Латинскую Америку, что свидетельствует об их адаптивности и охвате.

В отчете подчеркивается растущая угроза, исходящая от ToxicPanda в Европе и потенциальная экспансия в Латинскую Америку, а также проблемы, с которыми сталкиваются антивирусные решения при обнаружении таких развивающихся угроз.

Ознакомление с подробностями, представленными в отчете, может помочь в совершенствовании стратегий кибербезопасности и устранении рисков, связанных с развитием киберугроз, таких как ToxicPanda.

#ParsedReport #CompletenessHigh
05-11-2024

Malware from a domestic APT organization is highly skilled, and even Apple computers are not immune

https://www.ctfiot.com/213746.html

Report completeness: High

Actors/Campaigns:
Daggerfly (motivation: cyber_espionage)

Threats:
Stormbamboo
Macma
Reloadext
Supply_chain_technique
Dns_hijacking_technique
Libpcap_tool
Mgbot
Applescript

Industry:
Telco

Geo:
Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1565.002, T1557.001, T1203

IOCs:
File: 6
Domain: 2
IP: 1
Hash: 1

Soft:
macOS, Chrome, Linux, 5KPlayer, YoutubeDL, Google Chrome, Internet Explorer, WeChat

Algorithms:
zip, aes

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о StormBamboo, продвинутом вредоносном ПО, разработанном китайской APT-группой и предназначенном для кибершпионажа организаций в основном в Азии. StormBamboo распространяется посредством перехвата DNS и использует уязвимости в механизмах обновления приложений для доставки вредоносного контента. Вредоносная программа перехватывает сетевой трафик, манипулирует DNS-запросами и HTTP-запросами, а также нарушает процессы обновления программного обеспечения для распространения других угроз, таких как MacMa и Reloadext. Злоумышленники демонстрируют глубокое понимание социальной инженерии и поведения пользователей, что создает серьезную проблему для сетевой безопасности.
-----

StormBamboo - это продвинутая вредоносная программа, управляемая китайской APT-группой, известной как "Evasive Panda" или "StormCloud"..

Он нацелен на организации в первую очередь в Азии в целях кибершпионажа.

Вредоносная программа распространяется посредством перехвата DNS-серверов, манипулируя ответами DNS для перенаправления трафика жертвы на вредоносные серверы.

StormBamboo использует недостатки безопасности в механизмах обновления приложений для доставки вредоносных обновлений.

Он участвовал в распространении других угроз, таких как MacMa для macOS и Reloadext, расширение Chrome для кражи данных электронной почты.

Перехватывая DNS- и HTTP-запросы, StormBamboo направляет жертв на серверы, контролируемые злоумышленниками, и доставляет вредоносный контент.

Вредоносная программа может скомпрометировать процессы обновления программного обеспечения, вставляя вредоносный код для загрузки дальнейших этапов вредоносного ПО.

StormBamboo использует сложные методы, такие как перехват пакетов с использованием libpcap, для манипулирования сетевым трафиком для своих атак.

Команда, стоящая за StormBamboo, демонстрирует глубокое понимание социальной инженерии, поведения пользователей и постоянной эволюции киберугроз, что создает серьезную проблему для сетевой безопасности.

#ParsedReport #CompletenessHigh
06-11-2024

G700 : The Next Generation of Craxs RAT

https://www.cyfirma.com/research/g700-the-next-generation-of-craxs-rat

Report completeness: High

Threats:
Craxsrat
G700-rat
Dnguard_tool
Credential_dumping_technique

Industry:
Entertainment, Financial, E-commerce

Geo:
Indian, India

TTPs:
Tactics: 9
Technics: 26

IOCs:
Hash: 3
Url: 1
File: 3

Soft:
Android, Telegram, Twitter, Tiktok

Crypto:
binance

Algorithms:
sha256, base64

Functions:
Binanceinj

Languages:
java

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, code: 8, schema: 1