#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается эволюционирующий характер рынка обнаружения вредоносных программ в связи со все более уклончивыми и мощными программами, разрабатываемыми кибер-хакерами. В нем подчеркивается роль загрузчиков, в частности BabbleLoader, в операциях по борьбе с киберпреступностью, поскольку они доставляют вредоносные программы, такие как похитители информации и программы-вымогатели, обходя традиционную антивирусную защиту с помощью различных передовых методов. Функции BabbleLoader включают вставку нежелательного кода, метаморфические преобразования, динамическое разрешение API, меры по защите от "песочницы" и многое другое, все это предназначено для того, чтобы препятствовать обнаружению и анализу со стороны поставщиков средств безопасности. хакеры постоянно совершенствуют свои вредоносные программы с помощью нескольких уровней защиты, чтобы противостоять методам обнаружения, что приводит к непрекращающейся гонке вооружений между атакующими и защитниками в условиях киберугроз.
-----

Рынок обнаружения вредоносных программ развивается в связи со все более уклончивыми и мощными программами, разрабатываемыми кибер-хакерами.

Загрузчики играют решающую роль в операциях по борьбе с киберпреступностью, предоставляя вредоносные программы, такие как программы-похитители информации или программы-вымогатели, обходя традиционную антивирусную защиту с помощью таких методов, как выполнение в памяти и функции антианализа.

"BabbleLoader" - это чрезвычайно маневренный загрузчик с защитными механизмами, предназначенными для обхода антивирусных программ и изолированных сред, чтобы обеспечить проникновение злоумышленников в память.

Ключевые функции BabbleLoader включают вставку нежелательного кода, метаморфические преобразования, динамическое разрешение API, загрузку шеллкода и расшифровку, чтобы запутать полезную нагрузку и избежать обнаружения на основе сигнатур, искусственного интеллекта и поведения.

Включение нежелательного кода в BabbleLoader сбивает с толку аналитиков, перегружает инструменты дизассемблирования и декомпиляции, бросает вызов моделям искусственного интеллекта, что приводит к пропущенным обнаружениям, ложным срабатываниям и увеличению вычислительных и финансовых затрат на анализ с помощью искусственного интеллекта.

BabbleLoader использует методы защиты от "песочницы", такие как разрешение указателей для импорта, сравнение идентификатора поставщика с белым списком, проверка VDLL, запуск анализа процессов и загрузчик Donut для распаковки и выполнения окончательной полезной нагрузки, WhiteSnake stealer с уникальной связью C2 через TOR.

хакеры включают в свои сборки несколько уровней защиты, чтобы противостоять методам обнаружения, используемым поставщиками систем безопасности, что приводит к гонке вооружений между атакующими и защищающимися.

BabbleLoader нацелен на защиту от различных методов обнаружения за счет высоких затрат для поставщиков средств безопасности, используя передовые методы обхода, которые создают проблемы для точного обнаружения вредоносных программ в меняющемся ландшафте киберугроз.

#ParsedReport #CompletenessLow
16-11-2024

The latest Patchwork (White Elephant) Protego remote control Trojan will be unable to respond to subsequent remote control commands after receiving a remote control command

https://www.ctfiot.com/215643.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Protego

IOCs:
Hash: 1

Soft:
WeChat

Algorithms:
base64, xor

Functions:
CreateThreadshellcode

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе уязвимостей и недостатков в работе троянца Protego remote control, используемого APT-организацией Patchwork (White Elephant). Основные выводы включают логические ошибки, влияющие на команды удаленного управления, проблемы с шифрованием и передачей файлов, недостатки в функциональности команды enablecmd, использование объекта mutex для скрытности и сведения о языке программирования.
-----

В тексте обсуждаются результаты, связанные с троянцем Protego remote control, используемым организацией Patchwork (White Elephant) APT. Аналитик обнаружил множество логических ошибок в трояне, которые потенциально могут сделать его невосприимчивым к командам удаленного управления в будущем. Троянец выполняет алгоритм дешифрования для расшифровки шелл-кода из своего раздела, после чего запускает окончательный троян Protego remote control.

После запуска троянец Protego remote control создает мьютекс-объект, гарантирующий, что на хосте будет работать только один экземпляр, что повышает скрытность и возможности управления. После успешного онлайн-подключения к хосту загружается зашифрованная информация о хосте, включающая такие сведения о системе, как версия, имена хоста и пользователей, путь к троянской программе, IP-адрес, информация об антивирусном программном обеспечении и установленных программах.

Анализ также выявил недостаток в функциональности передачи файлов троянца. При загрузке указанного файла из контролируемой системы было отмечено, что переданный сжатый файл значительно превышает первоначальный размер. Процесс передачи данных включает в себя сегментацию, при этом троянец каждый раз считывает 1048576 байт данных, шифрует и отправляет их. Однако неэффективное тестирование передачи файлов, проведенное разработчиком, привело к аномальному сжатию, что привело к увеличению размера файла по сравнению с ожидаемым.

Кроме того, была выявлена проблема с функциональностью команды enablecmd. Было замечено, что выполнение этой команды не соответствует ее назначению. После выполнения троянец удаленного управления перестал отвечать на последующие команды удаленного управления от злоумышленника. Логика кода команды enablecmd нарушает поток ответов троянца на команды, что приводит к прекращению ответа после активации режима cmd.

Кроме того, анализ выявил, что язык программирования троянца Protego remote control - .NET, что очевидно при просмотре через модули обработки. Троянец использует методы извлечения памяти для идентификации и анализа присутствия троянца Protego remote control в PE-файле. Эти данные позволяют получить важнейшее представление об уязвимостях и недостатках в работе троянской программы дистанционного управления APT organization Patchwork (White Elephant).

#ParsedReport #CompletenessLow
16-11-2024

ShrinkLocker Ransomware Threatens Global Cybersecurity with BitLocker Exploit in 2024

https://www.secureblink.com/cyber-security-news/shrink-locker-ransomware-threatens-global-cybersecurity-with-bit-locker-exploit-in-2024

Report completeness: Low

Threats:
Shrinklocker
Supply_chain_technique
Chaos_ransomware

Victims:
Healthcare company

Industry:
Financial, Healthcare, Critical_infrastructure

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1222, T1218, T1021, T1021.001

Soft:
BitLocker, Active Directory, Active Directory Domain Services

Algorithms:
ecc, rsa-2048, ecdh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель ShrinkLocker представляет собой серьезную угрозу кибербезопасности, которая использует уязвимость в шифровании BitLocker с использованием VBScript. Он отличается простотой и в то же время эффективностью, быстро распространяется по сетям и блокирует доступ пользователей к их системам до тех пор, пока не будет выплачен выкуп. Несмотря на то, что ShrinkLocker изначально создавался в безобидных целях, он подчеркивает снижение барьеров для проникновения вредоносных программ и важность проактивных средств кибербезопасности для защиты от таких угроз.
-----

Программа-вымогатель ShrinkLocker - это серьезная угроза кибербезопасности в 2024 году, которая использует уязвимость в шифровании BitLocker с использованием VBScript. Эта программа-вымогатель отличается тем, что использует более простые, но эффективные инструменты, используя шифрование BitLocker вместо более сложных методов, таких как ECC или RSA-2048. Используя существующие системные инструменты, ShrinkLocker уклоняется от обнаружения и принятия ответных мер. Он повторно шифрует диск жертвы, используя новый пароль, загруженный на сервер злоумышленника, эффективно блокируя доступ пользователей к их системам до тех пор, пока выкуп не будет выплачен. Примечательно, что ShrinkLocker может быстро распространяться по корпоративным сетям, используя объекты групповой политики и запланированные задачи для автоматизации команд шифрования, компрометируя целые домены в течение нескольких минут.

Более десяти лет назад ShrinkLocker был создан в благих целях и перепрофилирован киберпреступниками для использования его возможностей в злонамеренных целях. Несмотря на свою простоту, скорость распространения ShrinkLocker и возможность изменять настройки реестра и использовать BitLocker в своих целях, значительно снижают барьер для проникновения вредоносных программ. Дополнительный анализ атаки ShrinkLocker на медицинскую компанию на Ближнем Востоке выявил риски, связанные с уязвимостями цепочки поставок, горизонтальным перемещением внутри сетей и потенциальным воздействием на критически важные сектора.

Примечательно, что ShrinkLocker уникален среди программ-вымогателей, поскольку в нем было разработано решение для расшифровки, хотя и с ограничениями. Этот инструмент может восстанавливать данные в течение определенного периода времени после заражения, предоставляя пользователям редкую возможность восстановить свою зашифрованную информацию без уплаты выкупа. Для предотвращения атак ShrinkLocker требуется упреждающий мониторинг настроек BitLocker, хранение информации о восстановлении в AD DS и реализация комплексной стратегии защиты с использованием надежных мер безопасности, таких как брандмауэры, системы обнаружения вторжений и MFA.

Появление ShrinkLocker демонстрирует, что даже устаревшие технологии, такие как VBScript, могут быть использованы для проведения разрушительных кибератак. Понимая нетрадиционные угрозы, такие как ShrinkLocker, и готовясь к ним, организации могут лучше защищаться как от традиционных, так и от новых вариантов программ-вымогателей. Доступность инструмента расшифровки для ShrinkLocker дает жертвам проблеск надежды на фоне меняющегося ландшафта киберугроз, подчеркивая важность сохранения бдительности и проактивности в защите от кибербезопасности.

#ParsedReport #CompletenessHigh
15-11-2024

Bored BeaverTail & InvisibleFerret Yacht Club - A Lazarus Lure Pt.2

https://www.esentire.com/blog/bored-beavertail-invisibleferret-yacht-club-a-lazarus-lure-pt-2

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Invisibleferret
Anydesk_tool
Typosquatting_technique
Msedge
Credential_stealing_technique

Victims:
Software developer

Industry:
Financial

Geo:
North korea, North korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1105, T1056.002, T1113, T1057, T1213, T1140, T1071, T1027, T1587.001, have more...

IOCs:
Domain: 2
Coin: 2
File: 6
IP: 33
Url: 48
Path: 3
Hash: 7

Soft:
Chrome, cURL, Linux, MacOS, Opera

Wallets:
metamask, tronlink, coin98, rabby, tonkeeper, exodus_wallet, openmask, safepal, mytonwallet, solflare_wallet, have more...

Crypto:
solana

Algorithms:
zip, base64, md5

Functions:
auto_up, act_win_pn, GetTextFromClipboard, save_log

Languages:
python, javascript

Platforms:
cross-platform

Links:
https://github.com/eSentire/iocs/blob/main/InvisibleFerret\_2/InvisibleFerret2\_iocs\_11-01-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ киберинцидента, проведенного подразделением eSentire Threat Response Unit (TRU), который включал распространение вредоносного ПО, замаскированного под проект на JavaScript, и его влияние на систему жертвы. Этот инцидент высветил тактику северокорейских хакеров и подчеркнул важность решений для обеспечения безопасности конечных точек, повышения осведомленности о безопасности и бдительности при взаимодействии с общедоступными хранилищами кода для снижения угрозы распространения вредоносного ПО.
-----

Инцидент был связан с вредоносными программами BeaverTail и InvisibleFerret, распространявшимися через NPM в октябре 2024 года.

Тактика, согласованная с северокорейскими хакерами, в частности с группой Contagious Interview group.

Вредоносный ZIP-файл, установленный в пакете NPM, запускает различные вредоносные действия, крадет учетные данные браузера и нацеливается на крипто-кошельки.

Компоненты вредоносного ПО включали в себя запутанный JavaScript-файл, инициирующий загрузку с сервера управления.

Файлы на Python содержали загрузчик и три полезные программы, выполняющие вредоносные действия, такие как снятие отпечатков пальцев с хоста, создание бэкдор-сессий, кейлоггинг и эксфильтрация файлов.

Для устранения угроз рекомендуются такие решения для обеспечения безопасности конечных точек, как EDR и тренинги по повышению осведомленности о безопасности.

Настоятельно рекомендуется соблюдать осторожность при взаимодействии с общедоступными хранилищами кода, чтобы предотвратить распространение вредоносного ПО.

Для принятия превентивных мер защиты подчеркивается важность отслеживания и идентификации хэшей файлов, связанных с вредоносными компонентами.

#ParsedReport #CompletenessMedium
18-11-2024

Glove Stealer: Leveraging IElevator to Bypass App-Bound Encryption & Steal Sensitive Data

https://www.gendigital.com/blog/insights/research/glove-stealer

Report completeness: Medium

Threats:
Glove_stealer
Clickfix_technique
Fakecaptcha_technique
Homoglyph_technique
Msedge

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1059, T1071, T1005, T1560, T1140, T1074

IOCs:
File: 7
Url: 5
Path: 3
Hash: 3
Domain: 2

Soft:
Chrome, opera, chromium, CryptoTab, Firefox, Aegis, LastPass, Bitwarden, KeePass, Steam, have more...

Algorithms:
md5, 3des, base64, zip

Languages:
powershell

Links:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption
https://github.com/avast/ioc/tree/master/GloveStealer
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Glove Stealer - это сложный инструмент для кражи информации, предназначенный для извлечения конфиденциальных данных из различных источников, в первую очередь нацеленный на данные браузера, криптовалютные кошельки, аутентификаторы 2FA, менеджеры паролей, почтовые клиенты и другие ценные ресурсы. Этот инструмент использует тактику социальной инженерии, фишинговые электронные письма и методы обмана для заражения систем и передачи украденных данных на удаленные серверы. В нем подчеркивается важность осведомленности пользователей и надежных мер безопасности для предотвращения подобных угроз.
-----

Glove Stealer - это вредоносный инструмент для кражи информации, написанный на .NET и предназначенный для извлечения конфиденциальных данных из широкого спектра источников. В первую очередь он нацелен на данные браузера, включая файлы cookie и информацию об автозаполнении, а также на криптовалютные кошельки, средства аутентификации 2FA, менеджеры паролей, почтовые клиенты и другие ценные ресурсы. Одной из примечательных особенностей Glove Stealer является использование вспомогательного модуля, который позволяет обойти шифрование, связанное с приложением, с помощью сервиса IElevator.

При распространении Glove Stealer часто используются методы социальной инженерии, такие как имитация законных инструментов, таких как ClickFix, для обмана пользователей. Эти методы обычно приводят к тому, что пользователи неосознанно запускают вредоносные скрипты, копируя и вставляя их в терминалы PowerShell или запуская приглашения в системах Windows. В некоторых случаях для инициирования процесса заражения используются фишинговые электронные письма с HTML-вложениями, содержащими поддельные сообщения об ошибках.

После запуска Glove Stealer выдает поддельные сообщения терминала за подлинные, даже используя символы-аналоги для обфускации. Вредоносная программа взаимодействует с серверами управления (C&C), генерирует ключи шифрования "на лету" и отправляет украденные данные на удаленные серверы. Он ориентирован на различные браузеры и приложения, включая широкий спектр криптовалютных кошельков, средства аутентификации 2FA, менеджеры паролей, почтовые клиенты и игровые платформы.

Чтобы избежать шифрования, связанного с приложениями, в Chrome, Glove Stealer запрашивает полезную информацию .NET с C&C-сервера, которая расшифровывается и хранится локально для целей расшифровки. Этот вспомогательный модуль должен быть размещен в дереве каталогов Program Files в Chrome, для успешной работы ему требуются права локального администратора.

Таким образом, Glove Stealer - это сложный инструмент для кражи информации, который используется в недавних фишинговых кампаниях для сбора ценных данных из взломанных систем. Это подчеркивает важность осведомленности пользователей при распознавании и смягчении последствий атак социальной инженерии, а также необходимость принятия надежных мер безопасности для предотвращения компрометации конфиденциальной информации такими угрозами.

#ParsedReport #CompletenessLow
18-11-2024

QuickBooks popup scam still being delivered via Google ads

https://www.malwarebytes.com/blog/scams/2024/11/quickbooks-popup-scam-still-being-delivered-via-google-ads

Report completeness: Low

Threats:
Squiblydoo

Victims:
Quickbooks users

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1059, T1204

IOCs:
File: 2
Domain: 1
Hash: 2

Soft:
QuickBooks

Algorithms:
base64

Functions:
MonitorAndShowForm, CheckTimeWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что мошенники, базирующиеся в Индии, нацелены на пользователей QuickBooks с помощью вредоносной рекламы, используя обманную тактику для установки поддельного программного обеспечения и черного хода в системах жертв. Эти мошенники стремятся использовать пользователей в своих целях, генерируя поддельные сообщения об ошибках, чтобы вызвать страх и срочность, что в конечном итоге приводит к тому, что жертвы обращаются за помощью к мошенникам по несуществующим вопросам. Сотрудничество специалистов по кибербезопасности при анализе этих угроз подчеркивает важность сохранения бдительности, обновления мер безопасности и соблюдения надлежащей кибергигиены для защиты от подобных вредоносных действий и защиты конфиденциальных данных.
-----

Популярное бухгалтерское программное обеспечение QuickBooks, разработанное компанией Intuit, стало главной мишенью для мошенников, базирующихся в Индии. Эти мошенники, уступающие только тем, кто занимается классическим мошенничеством с технической поддержкой Microsoft, активно используют ничего не подозревающих пользователей QuickBooks. Недавняя недобросовестная рекламная кампания высветила сохраняющуюся распространенность этой схемы. Злоумышленники заманивают жертв, показывая вредоносную рекламу, которая приводит к установке поддельной программы QuickBooks, в результате чего появляются постоянные всплывающие сообщения, которые вселяют страх в пользователей, побуждая их обращаться за помощью под видом повреждения данных.

Вредоносный установщик выполняет двойную задачу: он загружает законное программное обеспечение QuickBooks с официального веб-сайта Intuit, а также тайно устанавливает бэкдор с именем "zeform.exe". Этот двоичный файл создан для беспрепятственной интеграции с QuickBooks, что позволяет генерировать поддельные сообщения об ошибках, направленные на дальнейшее манипулирование пользователями. Эти поддельные сообщения об ошибках не только заставляют пользователей поверить, что их данные находятся в опасности, но и создают ощущение срочности, заставляя их обращаться к мошенникам за предполагаемой помощью.

Помимо того, что мошенники обманом заставляют пользователей платить за несуществующие решения проблем, они также могут использовать вредоносное ПО для обеспечения несанкционированного доступа к системам жертв или даже для кражи конфиденциальной информации, такой как пароли. Установка бэкдора "zeform.exe" открывает возможности для потенциальной утечки данных и долгосрочной эксплуатации скомпрометированных систем.

Выражаем благодарность Джо Десимоне (Joe Desimone) из Elastic Security за проверку вредоносного исполняемого файла и Squiblydoo за проверку сертификата Microsoft, который использовался для подписи вредоносного всплывающего исполняемого файла. Их вклад в анализ и подтверждение наличия вредоносных компонентов еще больше проливает свет на сложную тактику, применяемую мошенниками в отношении пользователей QuickBooks. Совместные усилия подчеркивают важность специалистов по кибербезопасности в выявлении и устранении подобных угроз для защиты пользователей и предотвращения финансовых потерь и утечки данных.

Поскольку QuickBooks продолжает оставаться прибыльной мишенью для киберпреступников, пользователи должны сохранять бдительность и осторожность при загрузке программного обеспечения или при взаимодействии с незнакомыми всплывающими сообщениями. Регулярное обновление программного обеспечения для обеспечения безопасности, тщательный анализ источников загрузки и отказ от взаимодействия с подозрительными объявлениями или подсказками - важнейшие шаги для снижения риска стать жертвой мошенничества, подобного тому, которое нацелено на пользователей QuickBooks. Оставаясь в курсе возникающих угроз и соблюдая правила кибергигиены, отдельные лица и организации могут укрепить свою защиту от возникающих киберугроз и защитить свои конфиденциальные данные от несанкционированного использования.

#ParsedReport #CompletenessHigh
18-11-2024

Inside Water Barghest s Rapid Exploit-to-Market Strategy for IoT Devices

https://www.trendmicro.com/en_us/research/24/k/water-barghest.html

Report completeness: High

Actors/Campaigns:
Water_barghest (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Sandworm
Water_zmeu (motivation: cyber_criminal, cyber_espionage)
Fancy_bear (motivation: cyber_criminal, cyber_espionage)

Threats:
Residential_proxy_technique
Ngioweb
Cyclops_blink
Vpnfilter
Spear-phishing_technique
Ramnit

Industry:
Iot, Government, E-commerce

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1036, T1105, T1027, T1498, T1583, T1203

IOCs:
Domain: 30
File: 1
Hash: 46
IP: 166

Soft:
Linux, WordPress, Tenda, Zyxel, outlook

Algorithms:
sha256, aes, aes-256-ecb, base64

Languages:
python

Platforms:
x64

YARA: Found

Links:
https://github.com/trendmicro/research/tree/main/botnet\_ngioweb

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, chart: 2, code: 3, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Water Barghest - это изощренная группа кибер-хакеров, которая использует устройства Интернета вещей для создания ботнета с целью получения финансовой выгоды, продавая доступ на рынке прокси-серверов для частных лиц. Группа использует продвинутую автоматизацию, вредоносное ПО, такое как Ngioweb, и общую инфраструктуру с другими киберпреступниками для поддержания анонимности и получения дохода. Их деятельность привлекла внимание служб безопасности и свидетельствует о растущем сотрудничестве финансово мотивированных хакерских групп и участников APT в использовании ботнетов Интернета вещей в вредоносных целях. Для защиты от таких угроз организации могут использовать аналитические данные об угрозах и решения в области кибербезопасности.
-----

Water Barghest - это группа кибер-хакеров, которая управляет ботнетом из более чем 20 000 уязвимых устройств Интернета вещей, которые монетизируются путем продажи доступа на рынке прокси-серверов для частных лиц.

Группа использует вредоносное ПО Ngioweb для быстрой компрометации устройств, позволяя им стать частью прокси-сети всего за 10 минут.

Операции Water Barghest были связаны с Pawn Storm, национальным государственным субъектом, и другой маршрутизаторной ботнетой под названием Water Zmeu, демонстрирующей общую инфраструктуру киберпреступников и участников APT.

Группа использует автоматизацию и передовые технологии для обнаружения эксплойтов Интернета вещей, уязвимых устройств, внедрения вредоносных программ и поддержания стабильного потока доходов на протяжении многих лет.

Вредоносное ПО Ngioweb эволюционировало, нацеливаясь на устройства Интернета вещей, и представляет угрозу для таких брендов, как QNAP, Netgear и D-Link, используя при этом сложные методы обхода, такие как алгоритмы генерации доменов и зашифрованные конфигурации.

Рынок прокси-серверов для частных лиц, используемый Water Barghest, предлагает зараженные устройства в качестве прокси-серверов в аренду, принимая платежи только в криптовалюте и привлекая внимание служб безопасности благодаря высокому уровню автоматизации.

Для противодействия таким угрозам, как "Водный барраж", организации могут использовать аналитические отчеты и информацию об угрозах, полученную от решений в области кибербезопасности, для лучшей защиты своей среды, снижения рисков и эффективного реагирования на возникающие угрозы.

Защита устройств Интернета вещей, предотвращение ненужного доступа к открытому Интернету и внедрение мер по смягчению последствий являются важнейшими шагами для предотвращения использования устройств злоумышленниками, такими как Water Barghest.

#ParsedReport #CompletenessHigh
18-11-2024

Security Brief: ClickFix Social Engineering Technique Floods Threat Landscape

https://www.proofpoint.com/us/blog/threat-insight/security-brief-clickfix-social-engineering-technique-floods-threat-landscape

Report completeness: High

Actors/Campaigns:
Ta571
Ta578
Uac-0050
Ta579

Threats:
Clickfix_technique
Clearfake
Lumma_stealer
Asyncrat
Danabot
Darkgate
Netsupportmanager_rat
Purelogs
Brc4_tool
Latrodectus
Xworm_rat
Protware_html_guardian_tool
Hvnc_tool
Sharphide_tool
Aresloader

Industry:
E-commerce, Transport, Government, Logistic, Financial

Geo:
Ukrainian, Ukraine, German, Russian

ChatGPT TTPs:
do not use without manual check
T1059.001, T1566.002, T1071.003, T1566.003, T1573.001

IOCs:
Domain: 16
Url: 24
Hash: 7
IP: 5

Soft:
Microsoft Word, Google Chrome, Dropbox, chatgpt

Algorithms:
7zip, sha256, zip, base64

Win Services:
Bits

Languages:
javascript, powershell

Platforms:
intel

Links:
have more...
https://github.com/outflanknl/SharpHide
https://github.com/JohnHammond/recaptcha-phish
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-08-28-IOCs-for-Lumman-Stealer-from-fake-human-captcha-copy-paste-script.txt