#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Банковский троян GodFather для Android превратился в новый вариант, нацеленный на более чем 500 криптовалютных и банковских приложений, расширяющий свой охват на дополнительные регионы и использующий реализацию собственного кода и специальные сервисы для сбора учетных данных. Злоумышленник, стоящий за вредоносным ПО, использует фишинговые сайты для распространения вредоносного приложения, отслеживает количество посетителей для планирования будущих действий и использует автоматизацию для имитации действий пользователей. Эта эволюция подчеркивает растущую сложность мобильных вредоносных программ и важность надежных мер безопасности для снижения рисков.
-----

Новая версия банковского трояна Android GodFather нацелена на более чем 500 криптовалютных и банковских приложений.

Изначально вредоносное ПО было ориентировано на Великобританию, США, Турцию, Испанию и Италию, а теперь распространилось на Японию, Сингапур, Грецию и Азербайджан.

Вредоносное ПО перешло от Java-кода к реализации в машинном коде, используя ограниченные разрешения и службы специальных возможностей для перехвата учетных данных.

Новые команды позволяют автоматизировать жесты на зараженных устройствах, имитируя действия пользователя.

Злоумышленник (TA), стоящий за вредоносным ПО, использует фишинговый сайт для распространения вредоносного приложения и отслеживает количество посетителей.

Фишинговый сайт "mygov-au . app" выдает себя за веб-сайт правительства Австралии myGov и распространяет вредоносное ПО GodFather.

В каталоге "hxxps://az-inatv . com/" хранятся данные зараженных устройств, IP-адреса и вредоносный файл "lnat Tv Pro 2024.apk.".

Последняя версия вредоносной программы работает с минимальными разрешениями, используя специальные службы для вредоносных действий.

Вредоносное ПО перехватывает взаимодействие с целевыми приложениями, заменяя законные интерфейсы фишинговыми страницами.

Вредоносная программа GodFather взаимодействует с C&C-сервером "hxxps://akozamora . top/" для отправки информации об устройстве и получения списка целевых приложений.

В последней версии основное внимание уделяется автоматизации действий на зараженных устройствах, больше не используются USSD и SMS-сообщения.

#ParsedReport #CompletenessMedium
06-11-2024

New trend in MSI file abuse: New Ocean Lotus organization used MST files for the first time to deliver special orders

https://mp.weixin.qq.com/s/alaZxCd61gJNI9D01eQzgg

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Golden_eyed_dog
Apt-q-15 (motivation: cyber_espionage)
Darkhotel (motivation: cyber_espionage)

Threats:
Raindrop_tool
Harpoon_technique
Dll_sideloading_technique
Lolbin_technique

Victims:
Governments, Enterprises

Industry:
Government

Geo:
North koreans, Korean

ChatGPT TTPs:
do not use without manual check
T1218, T1059.001, T1140, T1027

IOCs:
File: 4
Hash: 2

Algorithms:
md5

Languages:
powershell, rust

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении и эволюции тактики организации Ocean Lotus, в частности, новой Ocean Lotus group, в их деятельности по кибершпионажу, направленной против национальных правительств и предприятий. Было замечено, что группа занимается деятельностью APT с использованием таких методов, как злоупотребление файлами MSI, дополнительная загрузка библиотек DLL, конфронтация на основе памяти и использование пользовательских загрузчиков. Существует различие между старыми и новыми группами Ocean Lotus, которые используют циклическую схему чередования операций и совместного использования ресурсов между собой. Также упоминаются другие организации APT, что подчеркивает распространенный метод сжатия вредоносных компонентов в cabs во время процессов установки MSI. Отчет свидетельствует об усовершенствовании и эволюции тактики Ocean Lotus, при этом особое внимание уделяется действиям новой Ocean Lotus group.
-----

Новая организация Ocean Lotus вновь появилась с новыми методами, связанными со злоупотреблением файлами MSI, для деятельности APT, направленной против национальных правительств и предприятий.

В настоящее время Ocean Lotus подразделяется на две отдельные группы нападения, старую и новую Ocean Lotus, которые по очереди занимаются шпионажем против страны на ежегодной основе, разделяя ресурсы между двумя группами.

В недавней рассылке harpoon по электронной почте, проводимой новой Ocean Lotus group, использовались параметры MSI TRANSFORMS для добавления в память ранее невиданной полезной нагрузки RUST special horse посредством дополнительной загрузки DLL.

Новая Ocean Lotus group в основном использует пользовательские загрузчики, разработанные с использованием кодовой базы Mingw-w64, что демонстрирует отличие в технологиях от старой Ocean Lotus group.

Различные организации APT используют вредоносные компоненты, сжатые в cabs, в процессе установки MSI, проверяя эффективность антивирусных технологий.

Bitter organization и APT-Q-15 (Darkhotel) используют таблицу пользовательских действий в установочных пакетах MSI для выполнения вредоносных действий, при этом Darkhotel использует эффект LOLBINS с помощью core.dll.

Новая организация Ocean Lotus использует core.библиотека dll для загрузки кода через msiexec свидетельствует о высоком уровне сложности их работы.

Там упоминается о возможном прерывании работы из-за истечения срока действия лицензии, что является важным элементом для участников угроз.

#ParsedReport #CompletenessMedium
06-11-2024

ToxicPanda: a new banking trojan from Asia hit Europe and LATAM

https://www.cleafy.com/cleafy-labs/toxicpanda-a-new-banking-trojan-from-asia-hit-europe-and-latam

Report completeness: Medium

Threats:
Toxicpanda
Anatsa
Tgtoxic
Touchmove
Medusalocker
Copybara
Bingomod
Trickmo

Victims:
Banking institutions

Industry:
Financial, E-commerce, Retail

Geo:
Portugal, Chinese, France, Hong kong, Latin america, Latam, Asia, Spain, Peru, Portuguese, Italy, Asian, Spanish, China, Emea, Germany

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1071, T1090, T1573, T1027, T1070, T1556, T1098

IOCs:
File: 5
IP: 1
Domain: 21
Email: 1
Hash: 5

Soft:
Android, Google Chrome, Chrome

Algorithms:
base64, aes, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении троянской программы ToxicPanda для Android, разработанной командой Cleafy по анализу угроз. Эта кампания нацелена на банковские учреждения в Европе и Латинской Америке, использующие методы мошенничества на устройствах для проведения несанкционированных транзакций. Злоумышленники, вероятно, говорящие на китайском языке, расширяют свое внимание за пределы Европы в сторону Латинской Америки, демонстрируя адаптивность вредоносного ПО. Возможности ToxicPanda включают в себя перехват учетных записей (ATO) непосредственно с зараженных устройств, перехват одноразовых паролей (OTP) и использование методов обфускации, позволяющих избежать обнаружения. В отчете подчеркивается необходимость в системах проактивного обнаружения для противодействия развивающимся киберугрозам, таким как ToxicPanda.
-----

Служба анализа угроз Cleafy выявила кампанию банковского трояна ToxicPanda, нацеленную на 16 банковских учреждений в Италии, Португалии, Испании и Латинской Америке.

ToxicPanda, управляемая, вероятно, китайскоязычными злоумышленниками, использует методы мошенничества с использованием устройств (ODF) для захвата аккаунтов и мошеннических денежных переводов.

Вредоносная программа функционирует как троян удаленного доступа (RAT) с возможностями захвата учетных записей (ATO), перехвата OTP-сообщений и удаленного управления зараженными устройствами.

Разработчики ToxicPanda демонстрируют неопытность в работе с иностранными целями, демонстрируя менее изощренный подход по сравнению с другими банковскими троянами.

В рамках кампании было заражено более 1500 устройств, в первую очередь в Италии, за которой следуют Португалия, Гонконг, Испания и Перу.

Вредоносная программа имеет сходство с семейством вредоносных программ TGToxic, но обладает меньшими возможностями и несогласованностью в реализации.

ToxicPanda использует жестко запрограммированный ключ шифрования AES, статические домены C2 и связь через WebSocket для управления зараженными устройствами.

Операторы ботнетов, базирующиеся в группе компаний, говорящих на китайском языке, расширяют свою деятельность с Европы на Латинскую Америку, что свидетельствует об их адаптивности и охвате.

В отчете подчеркивается растущая угроза, исходящая от ToxicPanda в Европе и потенциальная экспансия в Латинскую Америку, а также проблемы, с которыми сталкиваются антивирусные решения при обнаружении таких развивающихся угроз.

Ознакомление с подробностями, представленными в отчете, может помочь в совершенствовании стратегий кибербезопасности и устранении рисков, связанных с развитием киберугроз, таких как ToxicPanda.

#ParsedReport #CompletenessHigh
05-11-2024

Malware from a domestic APT organization is highly skilled, and even Apple computers are not immune

https://www.ctfiot.com/213746.html

Report completeness: High

Actors/Campaigns:
Daggerfly (motivation: cyber_espionage)

Threats:
Stormbamboo
Macma
Reloadext
Supply_chain_technique
Dns_hijacking_technique
Libpcap_tool
Mgbot
Applescript

Industry:
Telco

Geo:
Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1565.002, T1557.001, T1203

IOCs:
File: 6
Domain: 2
IP: 1
Hash: 1

Soft:
macOS, Chrome, Linux, 5KPlayer, YoutubeDL, Google Chrome, Internet Explorer, WeChat

Algorithms:
zip, aes

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о StormBamboo, продвинутом вредоносном ПО, разработанном китайской APT-группой и предназначенном для кибершпионажа организаций в основном в Азии. StormBamboo распространяется посредством перехвата DNS и использует уязвимости в механизмах обновления приложений для доставки вредоносного контента. Вредоносная программа перехватывает сетевой трафик, манипулирует DNS-запросами и HTTP-запросами, а также нарушает процессы обновления программного обеспечения для распространения других угроз, таких как MacMa и Reloadext. Злоумышленники демонстрируют глубокое понимание социальной инженерии и поведения пользователей, что создает серьезную проблему для сетевой безопасности.
-----

StormBamboo - это продвинутая вредоносная программа, управляемая китайской APT-группой, известной как "Evasive Panda" или "StormCloud"..

Он нацелен на организации в первую очередь в Азии в целях кибершпионажа.

Вредоносная программа распространяется посредством перехвата DNS-серверов, манипулируя ответами DNS для перенаправления трафика жертвы на вредоносные серверы.

StormBamboo использует недостатки безопасности в механизмах обновления приложений для доставки вредоносных обновлений.

Он участвовал в распространении других угроз, таких как MacMa для macOS и Reloadext, расширение Chrome для кражи данных электронной почты.

Перехватывая DNS- и HTTP-запросы, StormBamboo направляет жертв на серверы, контролируемые злоумышленниками, и доставляет вредоносный контент.

Вредоносная программа может скомпрометировать процессы обновления программного обеспечения, вставляя вредоносный код для загрузки дальнейших этапов вредоносного ПО.

StormBamboo использует сложные методы, такие как перехват пакетов с использованием libpcap, для манипулирования сетевым трафиком для своих атак.

Команда, стоящая за StormBamboo, демонстрирует глубокое понимание социальной инженерии, поведения пользователей и постоянной эволюции киберугроз, что создает серьезную проблему для сетевой безопасности.

#ParsedReport #CompletenessHigh
06-11-2024

G700 : The Next Generation of Craxs RAT

https://www.cyfirma.com/research/g700-the-next-generation-of-craxs-rat

Report completeness: High

Threats:
Craxsrat
G700-rat
Dnguard_tool
Credential_dumping_technique

Industry:
Entertainment, Financial, E-commerce

Geo:
Indian, India

TTPs:
Tactics: 9
Technics: 26

IOCs:
Hash: 3
Url: 1
File: 3

Soft:
Android, Telegram, Twitter, Tiktok

Crypto:
binance

Algorithms:
sha256, base64

Functions:
Binanceinj

Languages:
java

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, code: 8, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от вредоносного ПО G700 RAT, нацеленного на устройства Android и криптовалютные приложения, его сложных методах проникновения и кражи данных, меняющемся характере угрозы и важности внедрения надежных мер безопасности для борьбы с такими киберугрозами.
-----

CYFIRMA фокусируется на предоставлении информации о новых угрозах, таких как G700 RAT, усовершенствованная версия Craxs RAT, предназначенная для устройств Android и криптовалютных приложений. Вредоносная программа использует различные методы, такие как повышение привилегий, фишинг и вредоносное распространение, для проникновения на устройства, позволяя злоумышленникам обходить аутентификацию, захватывать конфиденциальные данные и совершать незаконные действия незамеченными. В нем используются методы обфускации, включая кодировку Base64 и APK-шифрование, позволяющие избежать обнаружения и сохранить работоспособность. G700 RAT распространяется через форумы dark web и Telegram-каналы, что свидетельствует о высоком спросе на него в сетях киберпреступников.

G700 RAT, написанный на C# и Java, использует пробелы в безопасности мобильных приложений, особенно в криптовалютном и финансовом секторах. Он использует такие тактики, как повышение привилегий, захват экрана, скрытый перехват SMS, фишинг и распространение поддельных APK-файлов, для получения несанкционированного доступа и скрытного выполнения вредоносных действий. Вредоносная программа манипулирует транзакциями с криптовалютой, внедряет поддельные страницы и может выводить устройства из строя во время атак. Его способность перехватывать SMS-сообщения OTP и обходить процессы аутентификации создает серьезные угрозы безопасности для пользователей Android.

Стойкий и неуловимый характер вредоносного ПО подчеркивает настоятельную необходимость усиления мер безопасности для борьбы с появляющимися угрозами. G700 RAT является частью линейки вредоносных программ, имеющих сходство с Craxs RAT, и постоянно пополняется новыми функциями, такими как функция скрытия SMS и поддельная страница Google Play Store. Она также включает в себя возможности программы-вымогателя и внедряет фишинговые страницы в различные приложения для кражи конфиденциальной информации, такой как учетные данные для входа в систему и финансовые данные. Получив расширенные разрешения, вредоносная программа получает доступ к SMS, контактам, местоположению и хранилищу, что позволяет киберпреступникам управлять устройствами и красть данные.

Разработчик G700 RAT активно занимается продажей различных вредоносных программ, включая последнюю версию G700 RAT v6.4, которая предлагалась за 2000 долларов с пожизненной лицензией. Хакер ведет Telegram-канал, посвященный G700 RAT, и обновляет вредоносную программу, добавляя в нее исправления ошибок и новые функции. Хотя истинная личность разработчика и его местонахождение остаются неясными, некоторые признаки указывают на потенциальную связь с Индией. Распространение G700 RAT варьируется: одни продают его на коммерческой основе, а другие предлагают бесплатно на форумах dark web, что подчеркивает его значительный спрос среди киберпреступников.

Чтобы снизить риски, связанные с G700 RAT и аналогичными угрозами, частным лицам и организациям рекомендуется внедрять надежные средства контроля безопасности, использовать аналитические данные об угрозах для раннего обнаружения и обучать пользователей выявлению попыток фишинга и подозрительных загрузок приложений. Осведомленность, бдительность и упреждающие меры безопасности имеют решающее значение для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessLow
06-11-2024

GoZone Ransomware Adopts Coercive Tactics to Extract Payment

https://blog.sonicwall.com/en-us/2024/11/gozone-ransomware-adopts-coercive-tactics-to-extract-payment

Report completeness: Low

Threats:
Gozone
Uac_bypass_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1566

IOCs:
Coin: 1
File: 1

Crypto:
bitcoin

Algorithms:
chacha20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии кампании вымогателей под названием GoZone, которая использует тактику принуждения, угрожая раскрыть откровенный контент на компьютерах жертв, если выкуп не будет выплачен. Программа-вымогатель распространяется с помощью нежелательных электронных писем и использует тактику запугивания, пакеты шифрования, такие как Chacha20 и RSA, и механизм карантина, чтобы заставить жертв соблюдать требования. Кроме того, в тексте подчеркивается стремление SonicWall вносить свой вклад в более широкое сообщество по анализу угроз, делясь информацией и опытом, чтобы помочь организациям повысить свою защиту от кибербезопасности.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила кампанию вымогателей, которые не только шифруют файлы, но и прибегают к тактике принуждения, обвиняя жертв в хранении откровенного контента на своих компьютерах. Эта программа-вымогатель, известная как GoZone, угрожает передать этот предполагаемый контент властям, если выкуп не будет выплачен. Обычно GoZone распространяется по нежелательным электронным письмам и использует тактику запугивания, чтобы заставить жертв подчиниться.

Технический анализ программы-вымогателя показывает, что она написана на языке программирования Go и использует пакеты шифрования, такие как Chacha20 и RSA. При заражении системы GoZone генерирует текстовый файл readme в каждом каталоге, где были зашифрованы файлы, который служит уведомлением о требовании выкупа. На обоях рабочего стола отображается QR-код, который при сканировании просто копирует биткоин-адрес ("bc1qwemkeh2vu5ftzgat3sk87gr4mlskw898xd6tk5") в браузер. Отслеживание этого биткойн-адреса в блокчейне указывает на минимальную активность, что позволяет предположить, что злоумышленники, стоящие за кампанией, могут быть нацелены на ограниченное число жертв.

Одним из примечательных аспектов программы-вымогателя GoZone является ее механизм блокировки, который не позволяет жертвам менять обои на рабочем столе или фоновые настройки, что еще больше усиливает необходимость выполнения требований о выкупе. Углубленный анализ также выявил ссылки на модули-вымогатели в коде вредоносного ПО, что указывает на ряд потенциальных функциональных возможностей, которыми могут воспользоваться злоумышленники.

Кроме того, стремление SonicWall к повышению глобальной кибербезопасности выходит за рамки их клиентской базы. Исследовательская группа вносит свой вклад в более широкое сообщество аналитиков угроз, регулярно публикуя подробные технические анализы значимых угроз, предоставляя защитникам знания, необходимые для эффективной защиты их сетей. Делясь идеями и опытом, SonicWall стремится помочь организациям любого размера опережать возникающие киберугрозы и защищать свои цифровые активы.

#ParsedReport #CompletenessLow
06-11-2024

Russian APT organization OST tool technical and tactical intelligence

https://www.ctfiot.com/213741.html

Report completeness: Low

Actors/Campaigns:
Duke
Vermin
Turla
Sandworm
Gamaredon
Uac-0050
Energeticbear
Ember_bear
Fancy_bear
Emissary_panda
Seaborgium

Threats:
Intelliadmin_tool
Remcom_tool
Rms_tool
Remoteutilities_tool
Syncthing_tool
Teamviewer_tool
Ultra_vnc_tool
4shared
Rclone_tool
Cookieeditor_tool
Mimikatz_tool
Procdump_tool
Sharpchromium_tool
Edrsandblast_tool
Libprocesshider_rootkit
Powershellrunner
Sdelete_tool
Chisel_tool
Dnscat2_tool
Dropbear_tool
Ngrok_tool
Pivotnacci
Proxychains_tool
Regeorg_tool
Rsockstun_tool
Sshdoor
Acunetix_tool
Amass_tool
Aadinternals_tool
Adfind_tool
Angry_ip_scanner_tool
Bloodhound_tool
Droopescan_tool
Dsinternals_tool
Joomscan_tool
Ldapdomaindump_tool
Nbtscan_tool
Nmap_tool
Masscan_tool
Roadtools_tool
Sscan_tool
Wpscan_tool
Brc4_tool
Cobalt_strike
Crackmapexec_tool
Evilginx_tool
Evil-winrm_tool
Hydra
Impacket_tool
Juicypotato_tool
Koadic_tool
Linpeas_tool
Netcat_tool
Nishang_tool
Metasploit_tool
Meterpreter_tool
Phishery_tool
Poshc2_tool
Powersploit
Empire_loader
Rottenpotatong_tool
Rubeus_tool
Sliver_c2_tool
Weevely
Winpeas_tool
Wso_webshell
Bitsadmin_tool
Minidump_tool
Wevtutil_tool

Industry:
Military

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1078, T1027, T1046, T1071, T1003

IOCs:
File: 1

Soft:
InnoSetup, Dropbox, Gmail, Telegram, VirtualBox, OpenSSH, Active Directory, PsExec

#ParsedReport #GeneratedSchema
Generated with GPT-4