#ParsedReport #CompletenessLow
13-11-2024

Malicious apps on Google Play: how attackers use DNS protocol for hidden communication of Trojans with control servers

https://news.drweb.ru/show/?i=14935&lng=ru&c=5

Report completeness: Low

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1071, T1001

IOCs:
Url: 1
File: 1

Soft:
Android, Linux

Algorithms:
base64, gzip

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.FakeApp.1669/README.adoc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - об Android.Трояны FakeApp, особенно ориентированные на Android.FakeApp.1669, который перенаправляет пользователей на нежелательные веб-сайты, получая команды от вредоносного DNS-сервера. Эти троянские программы распространяются в Google Play Store под видом законных приложений и могут извлекать определенные конфигурации, адаптированные к конкретным вариантам, на основе информации о зараженном устройстве. Троянец способен отображать контент с различных веб-сайтов, таких как сайты онлайн-казино, вместо ожидаемой функциональности. Dr.Web Security Space эффективно обнаруживает и удаляет известные версии этого троянца.
-----

Андроид.Трояны FakeApp - это тип вредоносного программного обеспечения, которое в основном перенаправляет пользователей на нежелательные веб-сайты. Эти трояны относительно просты в техническом плане, поскольку обычно они получают команды для открытия определенных веб-адресов. Одним из ярких примеров такого типа троянских программ является Android.FakeApp.1669, который отличается использованием модифицированной библиотеки dnsjava для получения настроек конфигурации с вредоносного DNS-сервера. Этот троянец специально выбирает свою конфигурацию при подключении к Интернету через определенных провайдеров, таких как мобильные сети передачи данных.

Андроид.FakeApp.1669 распространяется в различных формах, часто под видом законных приложений, доступных в Google Play Store. Из официального магазина приложений для Android его скачали более 2,1 миллиона раз. После запуска троянец отправляет DNS-запрос на сервер управления, чтобы получить текстовую запись, связанную с именем целевого домена. Сервер предоставляет эту запись, содержащую закодированные конфигурации для вредоносного ПО, только если зараженное устройство подключено через определенных провайдеров.

Каждая модификация Android.FakeApp.1669 привязана к определенным доменным именам, что позволяет DNS-серверу предоставлять конфигурации, адаптированные к индивидуальным вариантам. Названия поддоменов в целевых доменах кодируют информацию о зараженном устройстве, включая модель устройства, размеры экрана, время установки, состояние батареи и настройки разработчика. Троянец загружает ссылку в WebView, отображая контент с различных веб-сайтов, часто ведущий на сайты онлайн-казино вместо ожидаемой функциональности, рекламируемой на странице Google Play.

При работе без необходимого сетевого подключения или в автономном режиме Android.FakeApp.1669 может функционировать как обычная программа, если разработчики предусмотрели такую функциональность. Примечательно, что Dr.Web Security Space эффективно обнаруживает и удаляет известные версии этого троянца, снижая угрозу для пользователей.

#ParsedReport #CompletenessHigh
12-11-2024

Hamas-affiliated Threat Actor WIRTE Continues its Middle East Operations and Moves to Disruptive Activity. Conclusion

https://research.checkpoint.com/2024/hamas-affiliated-threat-actor-expands-to-disruptive-activity

Report completeness: High

Actors/Campaigns:
Wirte (motivation: propaganda, sabotage, cyber_espionage, politically_motivated)
Molerats (motivation: cyber_espionage)

Threats:
Ransom.win.honey
Blackguard_stealer
Samecoin
Ironwind
Sysjoker
Dll_sideloading_technique
Havoc
Donut
Tasks_spreader

Victims:
Palestinian authority, Jordan, Iraq, Egypt, Saudi arabia, Israel

Industry:
Healthcare, Financial, Military

Geo:
Middle east, Palestinian, Lebanon, Israeli, Iran, Saudi arabia, Israel, Iraq, Beirut, Iranian, Egypt, Jordan

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1027, T1566, T1055, T1107, T1059, T1053, T1204, T1070, have more...

IOCs:
Hash: 37
Domain: 32
IP: 23
Url: 3
File: 18

Soft:
Active Directory, Android, Windows Defender

Wallets:
harmony_wallet

Algorithms:
xor, base64, zip, sha256

Win API:
RtlIpv4StringToAddressA

Languages:
powershell

Links:
https://github.com/HavocFramework/Havoc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 4, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является подробный анализ деятельности, тактики и инструментов, используемых группой WIRTE APT (АПТ), с акцентом на их кибершпионаже и подрывных операциях, направленных в первую очередь против организаций на Ближнем Востоке, имеющих тесные связи с ХАМАСОМ, и последовательной эволюции их инструментов и тактики на протяжении многих лет. время.
-----

В тексте дается подробное представление о деятельности, тактике и инструментах, примененных группой WIRTE APT (APTП) за прошедший год. Несмотря на продолжающиеся конфликты на Ближнем Востоке, WIRTE продолжает свою деятельность, демонстрируя универсальный инструментарий, который включает в себя "очистители", бэкдоры и фишинговые страницы, используемые как для шпионажа, так и для саботажа. Группа продемонстрировала постоянную приверженность таким тактикам, как фильтрация пользовательских агентов, создание полезной нагрузки с помощью HTML-тегов, перенаправление на новостные сайты и поддержание согласованного стиля инфраструктуры.

Группа WIRTE работает по меньшей мере с 2018 года и известна прежде всего тем, что занимается политически мотивированным кибершпионажем, уделяя особое внимание сбору разведданных, связанных с региональными геополитическими конфликтами. Есть веские основания полагать, что WIRTE тесно связана с ХАМАСОМ, основываясь на истории их деятельности и схемах, напоминающих деятельность ХАМАСА. На фоне продолжающегося конфликта в регионе группировка нацелилась на организации на Ближнем Востоке, включая Палестинскую автономию, Иорданию, Ирак, Египет и Саудовскую Аравию.

Исследование Check Point выявило четкую связь между пользовательским вредоносным ПО, используемым WIRTE, и SameCoin, вредоносной программой-очистителем, которая двумя волнами атаковала израильские компании в феврале и октябре 2024 года. Несмотря на эволюцию своих инструментов, WIRTE сохранила такие ключевые аспекты своей деятельности, как соглашения об именовании доменов, взаимодействие с помощью HTML-тегов, ответы, ограниченные конкретными пользовательскими агентами, и перенаправление на законные веб-сайты.

Недавний анализ показал, что WIRTE расширила свою деятельность за пределы шпионажа, включив в нее подрывные атаки. Группа использовала такие инструменты, как IronWind, которые были обнаружены в ходе кампании, нацеленной на организации на Ближнем Востоке и связанной с операциями TA402. WIRTE участвовала в подрывных атаках на Израиль, внедряя пользовательское вредоносное ПО, интегрированное с уникальными функциями шифрования и использованием отдельных строк пользовательского агента для каждого образца.

Помимо проведения деструктивных атак, WIRTE также использовала фишинговые страницы, созданные для имитации законных сервисов, таких как Docdroid, в целях обмана. Кампании группы демонстрируют постоянное внимание к различным организациям по всему Ближнему Востоку, с особым упором на Палестинскую автономию, Иорданию и Израиль. Жертвы группы WIRTE тесно связаны с интересами ХАМАСА, подчеркивая исторические связи между двумя организациями и общие цели, связанные с палестинскими проблемами.

Более того, WIRTE использовала множество обманчивых приманок, эксплуатирующих региональные конфликты, а в недавних кампаниях для злонамеренных действий использовались такие инструменты, как IronWind. Деятельность группировки продолжалась на протяжении всех продолжающихся конфликтов на Ближнем Востоке, демонстрируя сочетание шпионажа и подрывных операций в соответствии с целями ХАМАСА. Постоянный мониторинг и анализ, проводимый исследователями в области кибербезопасности, продолжают выявлять эволюционирующие тактики и стратегии, используемые группой WIRTE APT в киберпространстве.

#technique

Stealers evolve to bypass Google Chrome’s new app-bound encryption

https://redcanary.com/blog/threat-intelligence/google-chrome-app-bound-encryption/

#technique

Evasive ZIP Concatenation: Trojan Targets Windows Users

https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users

#ParsedReport #CompletenessMedium
14-11-2024

New Round of SnakeKeylogger Phishing Campaign

https://rt-solar.ru/solar-4rays/blog/4882

Report completeness: Medium

Threats:
Snake_keylogger
Process_hollowing_technique

Victims:
Russian organizations

Industry:
Foodtech, Energy

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1059.005, T1055.012, T1053.005, T1113, T1115, T1056.001

IOCs:
Email: 7
Domain: 9
File: 8
Path: 1
Hash: 35

Soft:
Windows Defender, task scheduler, Telegram, Google Chrome, Amigo, Kometa, Nichrome, CocCoc, Orbitum, Slimjet, have more...

Algorithms:
sha1, sha256, md5

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возобновлении фишинговой кампании с использованием вредоносного ПО SnakeKeylogger, нацеленной на российские организации в различных секторах, его функциях и распространении, недавней волне атак с использованием вредоносного ПО и рекомендуемых мерах для компаний по эффективной борьбе с такими угрозами.
-----

Фишинговая кампания, использующая вредоносный модуль SnakeKeylogger, нацелена на российские организации в промышленности, сельском хозяйстве и энергетике.

SnakeKeylogger - это программа для кражи ключей .NET, распространяемая через форумы даркнета и завоевавшая популярность среди хакеров с 2024 года.

Клиенты ежедневно получают фишинговые электронные письма, содержащие SnakeKeylogger, при этом злоумышленники используют поддельные или скомпрометированные адреса российских компаний.

Вредоносная программа использует дроппер с именем "Contract.exe", чтобы избежать обнаружения AVPO с помощью метода дешифрования для загрузки вспомогательных dll-модулей в память.

SnakeKeylogger может похвастаться расширенными функциональными возможностями для сбора учетных данных из браузеров, почтовых клиентов и многого другого, а также предлагает множество вариантов удаления украденных данных, чтобы избежать обнаружения.

Стратегии смягчения последствий включают в себя приоритетное обучение сотрудников кибербезопасности и внедрение защищенных почтовых шлюзов для перехвата фишинговых писем.

#ParsedReport #CompletenessLow
14-11-2024

A three-beat waltz: The ecosystem behind Chinese state-sponsored cyber threats

https://t7f4e9n3.rocketcdn.me/wp-content/uploads/2024/11/A-three-beat-waltz-The-ecosystem-behind-Chinese-state-sponsored-cyber-threats.pdf

Report completeness: Low

Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage)
Comment_crew (motivation: hacktivism)
Tonto_team
Blacktech
Naikon
Redfoxtrot
Red_delta
Emissary_panda
Leviathan
Winnti (motivation: cyber_espionage, financially_motivated)
Apt31
Stone_panda
Earth_empusa
Chengdu_404_leak
Green_army (motivation: hacktivism)
Honker_union (motivation: hacktivism)
Ixeshe (motivation: hacktivism)
Dragon_castling (motivation: hacktivism)
Chamelgang (motivation: cyber_espionage)
Shell_crew
Bronze_starlight
Flax_typhoon
Crimson_palace

Threats:
Supply_chain_technique
Spear-phishing_technique
Hack-for-hire
Plugx_rat
Shadowpad
Shadowhammer
Htran
Catb_ransomware
Nightsky

Industry:
Transport, Government, Healthcare, Critical_infrastructure, Entertainment, Education, Military, Aerospace

Geo:
Iranian, America, Philippines, Pakistan, Africa, Guangdong, Australian, Russia, Chinese, Brazil, Asian, Middle east, African, Pacific, Russian, China, Tibetans uyghurs and, Korea, Korean, American, Vietnam, Asia, India, Hong kong, Japan, Taiwan, Serbia, Indonesia, Tibetans uyghurs, Japanese, Asia pacific

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059, T1195.002, T1068

IOCs:
Domain: 1

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в глубоком анализе экосистемы киберугроз, спонсируемой китайским государством, с изложением мотивов, стратегий и последствий китайских киберопераций для глобальной кибербезопасности. В нем рассматриваются сложность и системный подход к кибератакам Китая, обусловленные экономическими, политическими и военными целями, с акцентом на взаимосвязанные отношения между военными, институциональными и гражданскими структурами. В тексте также освещаются проблемы идентификации, эволюция китайских хакерских сообществ и важность международного сотрудничества, передовых технологий обнаружения угроз и обучения кибергигиене для эффективного противодействия этим угрозам.
-----

Киберугрозы, спонсируемые китайским государством, носят сложный, долгосрочный и систематический характер и нацелены на критически важные сектора с помощью таких тактик, как скрытый фишинг и атаки на цепочки поставок.

Мотивы, стоящие за деятельностью Китая в киберпространстве, включают экономические, политические и военные цели, направленные на получение интеллектуальной собственности и укрепление военного потенциала.

Установление причастности китайских киберопераций является сложной задачей из-за их скрытого характера и участия частных структур, в частности, Министерства государственной безопасности (МГБ).

Взаимодействие между государственными структурами, частными фирмами и патриотически настроенными хакерами в значительной степени формирует наступательный киберпространственный ландшафт Китая.

Эволюция патриотических хакеров в Китае, переход от хактивистских кампаний к спонсируемым государством кибер-подразделениям под руководством и регулированием правительства.

Реализация стратегии военно-гражданского объединения (MCF) под руководством Си Цзиньпина объединяет гражданские и военные ресурсы для укрепления оборонного потенциала и сокращения технологического разрыва с США.

Хакерские сообщества в Китае переходят к легальным службам кибербезопасности и играют важную роль в спонсируемой государством кибердеятельности, делая акцент на патриотизме, технологиях и геополитике в китайской культуре кибербезопасности.

#ParsedReport #CompletenessLow
14-11-2024

Evasive ZIP Concatenation: Trojan Targets Windows Users

https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users

Report completeness: Low

Threats:
Qshing_technique
Smokeloader
X-ray_tool

Industry:
Financial, Transport

ChatGPT TTPs:
do not use without manual check
T1027, T1203, T1059, T1566, T1189

IOCs:
File: 8

Soft:
Windows File Explorer, Microsoft Visio

Algorithms:
zip, 7zip

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Кибер-хакеры разработали сложные методы фишинга, включающие использование поддельных ZIP-файлов для сокрытия вредоносной полезной нагрузки и нацеливания на конкретные системы, что позволяет избежать обнаружения традиционными средствами безопасности. Исследователи в области безопасности работают над такими решениями, как алгоритмы рекурсивной распаковки, чтобы противостоять этим развивающимся угрозам и обеспечить обнаружение глубоко спрятанных вредоносных программ.
-----

Исследователи Perception Point обнаружили новую двухэтапную фишинговую атаку с использованием файлов Microsoft Visio и SharePoint для внедрения вредоносных URL-адресов и кражи учетных данных.

хакеры использовали платформу Eventbrite в рамках фишинговой кампании для незаконного получения финансовых и персональных данных.

Решения для обеспечения безопасности браузеров стали играть решающую роль в борьбе с такими угрозами, как фишинг, вредоносное ПО и опасные расширения.

Кампания по борьбе с мошенничеством продемонстрировала, что хакеры усиливают фишинг QR-кодов, используя объединение ZIP-файлов, чтобы избежать обнаружения.

Злоумышленники манипулируют структурами ZIP-файлов, чтобы обойти проверки безопасности, используя расхождения в интерпретации ZIP-ридера.

Объединенные ZIP-файлы позволяют скрывать вредоносную полезную нагрузку в труднодоступных местах, чтобы избежать обнаружения.

WinRAR считывает второй центральный каталог в объединенных ZIP-файлах, в то время как Windows File Explorer испытывает трудности, что потенциально создает пробелы в безопасности.

Недавняя атака распространяла вредоносный троян, замаскированный под товаросопроводительный документ в связанном ZIP-файле, предназначенный для пользователей Windows и WinRAR.

Вредоносный троян загружал дополнительные полезные программы, такие как банковские трояны или программы-вымогатели, используя язык сценариев AutoIt.

Традиционным средствам обнаружения может быть сложно полностью распаковать объединенные ZIP-файлы, пропуская скрытую вредоносную нагрузку.

Алгоритм рекурсивной распаковки Perception Point решает эту проблему путем рекурсивного извлечения каждого слоя связанных ZIP-файлов для динамического анализа.

Рекурсивное извлечение имеет важное значение для обнаружения продвинутых вредоносных программ, скрытых с помощью методов уклонения, таких как SmokeLoader, как показано в пользовательском интерфейсе X-Ray от Perception Point.

#ParsedReport #CompletenessMedium
14-11-2024

LightSpy: APT41 Deploys Advanced DeepData Framework In Targeted Southern Asia Espionage Campaign

https://blogs.blackberry.com/en/2024/11/lightspy-apt41-deploys-advanced-deepdata-framework-in-targeted-southern-asia-espionage-campaign

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: cyber_espionage, information_theft)
Axiom (motivation: cyber_espionage)

Threats:
Lightspy
Wyrmspy
Upx_tool

Industry:
Government, Healthcare, Education, Telco

Geo:
Asia-pacific, Asia, Vietnam, China, Chinese

ChatGPT TTPs:
do not use without manual check
T1013, T1132.002, T1102, T1562.001, T1113, T1083, T1218.011

IOCs:
File: 15
Path: 19
IP: 18
Hash: 20

Soft:
WhatsApp, Telegram, WeChat, Outlook, DingDing, Feishu, KeePass, Android, WxWorks, Chrome, Firefox, have more...

Algorithms:
md5, sha256

Languages:
javascript

Platforms:
cross-platform, intel

#ParsedReport #ExtractedSchema

Classified images:
code: 6, table: 1, schema: 1, dump: 1