#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ киберинцидента, проведенного подразделением eSentire Threat Response Unit (TRU), который включал распространение вредоносного ПО, замаскированного под проект на JavaScript, и его влияние на систему жертвы. Этот инцидент высветил тактику северокорейских хакеров и подчеркнул важность решений для обеспечения безопасности конечных точек, повышения осведомленности о безопасности и бдительности при взаимодействии с общедоступными хранилищами кода для снижения угрозы распространения вредоносного ПО.
-----

Инцидент был связан с вредоносными программами BeaverTail и InvisibleFerret, распространявшимися через NPM в октябре 2024 года.

Тактика, согласованная с северокорейскими хакерами, в частности с группой Contagious Interview group.

Вредоносный ZIP-файл, установленный в пакете NPM, запускает различные вредоносные действия, крадет учетные данные браузера и нацеливается на крипто-кошельки.

Компоненты вредоносного ПО включали в себя запутанный JavaScript-файл, инициирующий загрузку с сервера управления.

Файлы на Python содержали загрузчик и три полезные программы, выполняющие вредоносные действия, такие как снятие отпечатков пальцев с хоста, создание бэкдор-сессий, кейлоггинг и эксфильтрация файлов.

Для устранения угроз рекомендуются такие решения для обеспечения безопасности конечных точек, как EDR и тренинги по повышению осведомленности о безопасности.

Настоятельно рекомендуется соблюдать осторожность при взаимодействии с общедоступными хранилищами кода, чтобы предотвратить распространение вредоносного ПО.

Для принятия превентивных мер защиты подчеркивается важность отслеживания и идентификации хэшей файлов, связанных с вредоносными компонентами.

#ParsedReport #CompletenessMedium
18-11-2024

Glove Stealer: Leveraging IElevator to Bypass App-Bound Encryption & Steal Sensitive Data

https://www.gendigital.com/blog/insights/research/glove-stealer

Report completeness: Medium

Threats:
Glove_stealer
Clickfix_technique
Fakecaptcha_technique
Homoglyph_technique
Msedge

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1059, T1071, T1005, T1560, T1140, T1074

IOCs:
File: 7
Url: 5
Path: 3
Hash: 3
Domain: 2

Soft:
Chrome, opera, chromium, CryptoTab, Firefox, Aegis, LastPass, Bitwarden, KeePass, Steam, have more...

Algorithms:
md5, 3des, base64, zip

Languages:
powershell

Links:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption
https://github.com/avast/ioc/tree/master/GloveStealer
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Glove Stealer - это сложный инструмент для кражи информации, предназначенный для извлечения конфиденциальных данных из различных источников, в первую очередь нацеленный на данные браузера, криптовалютные кошельки, аутентификаторы 2FA, менеджеры паролей, почтовые клиенты и другие ценные ресурсы. Этот инструмент использует тактику социальной инженерии, фишинговые электронные письма и методы обмана для заражения систем и передачи украденных данных на удаленные серверы. В нем подчеркивается важность осведомленности пользователей и надежных мер безопасности для предотвращения подобных угроз.
-----

Glove Stealer - это вредоносный инструмент для кражи информации, написанный на .NET и предназначенный для извлечения конфиденциальных данных из широкого спектра источников. В первую очередь он нацелен на данные браузера, включая файлы cookie и информацию об автозаполнении, а также на криптовалютные кошельки, средства аутентификации 2FA, менеджеры паролей, почтовые клиенты и другие ценные ресурсы. Одной из примечательных особенностей Glove Stealer является использование вспомогательного модуля, который позволяет обойти шифрование, связанное с приложением, с помощью сервиса IElevator.

При распространении Glove Stealer часто используются методы социальной инженерии, такие как имитация законных инструментов, таких как ClickFix, для обмана пользователей. Эти методы обычно приводят к тому, что пользователи неосознанно запускают вредоносные скрипты, копируя и вставляя их в терминалы PowerShell или запуская приглашения в системах Windows. В некоторых случаях для инициирования процесса заражения используются фишинговые электронные письма с HTML-вложениями, содержащими поддельные сообщения об ошибках.

После запуска Glove Stealer выдает поддельные сообщения терминала за подлинные, даже используя символы-аналоги для обфускации. Вредоносная программа взаимодействует с серверами управления (C&C), генерирует ключи шифрования "на лету" и отправляет украденные данные на удаленные серверы. Он ориентирован на различные браузеры и приложения, включая широкий спектр криптовалютных кошельков, средства аутентификации 2FA, менеджеры паролей, почтовые клиенты и игровые платформы.

Чтобы избежать шифрования, связанного с приложениями, в Chrome, Glove Stealer запрашивает полезную информацию .NET с C&C-сервера, которая расшифровывается и хранится локально для целей расшифровки. Этот вспомогательный модуль должен быть размещен в дереве каталогов Program Files в Chrome, для успешной работы ему требуются права локального администратора.

Таким образом, Glove Stealer - это сложный инструмент для кражи информации, который используется в недавних фишинговых кампаниях для сбора ценных данных из взломанных систем. Это подчеркивает важность осведомленности пользователей при распознавании и смягчении последствий атак социальной инженерии, а также необходимость принятия надежных мер безопасности для предотвращения компрометации конфиденциальной информации такими угрозами.

#ParsedReport #CompletenessLow
18-11-2024

QuickBooks popup scam still being delivered via Google ads

https://www.malwarebytes.com/blog/scams/2024/11/quickbooks-popup-scam-still-being-delivered-via-google-ads

Report completeness: Low

Threats:
Squiblydoo

Victims:
Quickbooks users

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1059, T1204

IOCs:
File: 2
Domain: 1
Hash: 2

Soft:
QuickBooks

Algorithms:
base64

Functions:
MonitorAndShowForm, CheckTimeWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что мошенники, базирующиеся в Индии, нацелены на пользователей QuickBooks с помощью вредоносной рекламы, используя обманную тактику для установки поддельного программного обеспечения и черного хода в системах жертв. Эти мошенники стремятся использовать пользователей в своих целях, генерируя поддельные сообщения об ошибках, чтобы вызвать страх и срочность, что в конечном итоге приводит к тому, что жертвы обращаются за помощью к мошенникам по несуществующим вопросам. Сотрудничество специалистов по кибербезопасности при анализе этих угроз подчеркивает важность сохранения бдительности, обновления мер безопасности и соблюдения надлежащей кибергигиены для защиты от подобных вредоносных действий и защиты конфиденциальных данных.
-----

Популярное бухгалтерское программное обеспечение QuickBooks, разработанное компанией Intuit, стало главной мишенью для мошенников, базирующихся в Индии. Эти мошенники, уступающие только тем, кто занимается классическим мошенничеством с технической поддержкой Microsoft, активно используют ничего не подозревающих пользователей QuickBooks. Недавняя недобросовестная рекламная кампания высветила сохраняющуюся распространенность этой схемы. Злоумышленники заманивают жертв, показывая вредоносную рекламу, которая приводит к установке поддельной программы QuickBooks, в результате чего появляются постоянные всплывающие сообщения, которые вселяют страх в пользователей, побуждая их обращаться за помощью под видом повреждения данных.

Вредоносный установщик выполняет двойную задачу: он загружает законное программное обеспечение QuickBooks с официального веб-сайта Intuit, а также тайно устанавливает бэкдор с именем "zeform.exe". Этот двоичный файл создан для беспрепятственной интеграции с QuickBooks, что позволяет генерировать поддельные сообщения об ошибках, направленные на дальнейшее манипулирование пользователями. Эти поддельные сообщения об ошибках не только заставляют пользователей поверить, что их данные находятся в опасности, но и создают ощущение срочности, заставляя их обращаться к мошенникам за предполагаемой помощью.

Помимо того, что мошенники обманом заставляют пользователей платить за несуществующие решения проблем, они также могут использовать вредоносное ПО для обеспечения несанкционированного доступа к системам жертв или даже для кражи конфиденциальной информации, такой как пароли. Установка бэкдора "zeform.exe" открывает возможности для потенциальной утечки данных и долгосрочной эксплуатации скомпрометированных систем.

Выражаем благодарность Джо Десимоне (Joe Desimone) из Elastic Security за проверку вредоносного исполняемого файла и Squiblydoo за проверку сертификата Microsoft, который использовался для подписи вредоносного всплывающего исполняемого файла. Их вклад в анализ и подтверждение наличия вредоносных компонентов еще больше проливает свет на сложную тактику, применяемую мошенниками в отношении пользователей QuickBooks. Совместные усилия подчеркивают важность специалистов по кибербезопасности в выявлении и устранении подобных угроз для защиты пользователей и предотвращения финансовых потерь и утечки данных.

Поскольку QuickBooks продолжает оставаться прибыльной мишенью для киберпреступников, пользователи должны сохранять бдительность и осторожность при загрузке программного обеспечения или при взаимодействии с незнакомыми всплывающими сообщениями. Регулярное обновление программного обеспечения для обеспечения безопасности, тщательный анализ источников загрузки и отказ от взаимодействия с подозрительными объявлениями или подсказками - важнейшие шаги для снижения риска стать жертвой мошенничества, подобного тому, которое нацелено на пользователей QuickBooks. Оставаясь в курсе возникающих угроз и соблюдая правила кибергигиены, отдельные лица и организации могут укрепить свою защиту от возникающих киберугроз и защитить свои конфиденциальные данные от несанкционированного использования.

#ParsedReport #CompletenessHigh
18-11-2024

Inside Water Barghest s Rapid Exploit-to-Market Strategy for IoT Devices

https://www.trendmicro.com/en_us/research/24/k/water-barghest.html

Report completeness: High

Actors/Campaigns:
Water_barghest (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Sandworm
Water_zmeu (motivation: cyber_criminal, cyber_espionage)
Fancy_bear (motivation: cyber_criminal, cyber_espionage)

Threats:
Residential_proxy_technique
Ngioweb
Cyclops_blink
Vpnfilter
Spear-phishing_technique
Ramnit

Industry:
Iot, Government, E-commerce

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1036, T1105, T1027, T1498, T1583, T1203

IOCs:
Domain: 30
File: 1
Hash: 46
IP: 166

Soft:
Linux, WordPress, Tenda, Zyxel, outlook

Algorithms:
sha256, aes, aes-256-ecb, base64

Languages:
python

Platforms:
x64

YARA: Found

Links:
https://github.com/trendmicro/research/tree/main/botnet\_ngioweb

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, chart: 2, code: 3, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Water Barghest - это изощренная группа кибер-хакеров, которая использует устройства Интернета вещей для создания ботнета с целью получения финансовой выгоды, продавая доступ на рынке прокси-серверов для частных лиц. Группа использует продвинутую автоматизацию, вредоносное ПО, такое как Ngioweb, и общую инфраструктуру с другими киберпреступниками для поддержания анонимности и получения дохода. Их деятельность привлекла внимание служб безопасности и свидетельствует о растущем сотрудничестве финансово мотивированных хакерских групп и участников APT в использовании ботнетов Интернета вещей в вредоносных целях. Для защиты от таких угроз организации могут использовать аналитические данные об угрозах и решения в области кибербезопасности.
-----

Water Barghest - это группа кибер-хакеров, которая управляет ботнетом из более чем 20 000 уязвимых устройств Интернета вещей, которые монетизируются путем продажи доступа на рынке прокси-серверов для частных лиц.

Группа использует вредоносное ПО Ngioweb для быстрой компрометации устройств, позволяя им стать частью прокси-сети всего за 10 минут.

Операции Water Barghest были связаны с Pawn Storm, национальным государственным субъектом, и другой маршрутизаторной ботнетой под названием Water Zmeu, демонстрирующей общую инфраструктуру киберпреступников и участников APT.

Группа использует автоматизацию и передовые технологии для обнаружения эксплойтов Интернета вещей, уязвимых устройств, внедрения вредоносных программ и поддержания стабильного потока доходов на протяжении многих лет.

Вредоносное ПО Ngioweb эволюционировало, нацеливаясь на устройства Интернета вещей, и представляет угрозу для таких брендов, как QNAP, Netgear и D-Link, используя при этом сложные методы обхода, такие как алгоритмы генерации доменов и зашифрованные конфигурации.

Рынок прокси-серверов для частных лиц, используемый Water Barghest, предлагает зараженные устройства в качестве прокси-серверов в аренду, принимая платежи только в криптовалюте и привлекая внимание служб безопасности благодаря высокому уровню автоматизации.

Для противодействия таким угрозам, как "Водный барраж", организации могут использовать аналитические отчеты и информацию об угрозах, полученную от решений в области кибербезопасности, для лучшей защиты своей среды, снижения рисков и эффективного реагирования на возникающие угрозы.

Защита устройств Интернета вещей, предотвращение ненужного доступа к открытому Интернету и внедрение мер по смягчению последствий являются важнейшими шагами для предотвращения использования устройств злоумышленниками, такими как Water Barghest.

#ParsedReport #CompletenessHigh
18-11-2024

Security Brief: ClickFix Social Engineering Technique Floods Threat Landscape

https://www.proofpoint.com/us/blog/threat-insight/security-brief-clickfix-social-engineering-technique-floods-threat-landscape

Report completeness: High

Actors/Campaigns:
Ta571
Ta578
Uac-0050
Ta579

Threats:
Clickfix_technique
Clearfake
Lumma_stealer
Asyncrat
Danabot
Darkgate
Netsupportmanager_rat
Purelogs
Brc4_tool
Latrodectus
Xworm_rat
Protware_html_guardian_tool
Hvnc_tool
Sharphide_tool
Aresloader

Industry:
E-commerce, Transport, Government, Logistic, Financial

Geo:
Ukrainian, Ukraine, German, Russian

ChatGPT TTPs:
do not use without manual check
T1059.001, T1566.002, T1071.003, T1566.003, T1573.001

IOCs:
Domain: 16
Url: 24
Hash: 7
IP: 5

Soft:
Microsoft Word, Google Chrome, Dropbox, chatgpt

Algorithms:
7zip, sha256, zip, base64

Win Services:
Bits

Languages:
javascript, powershell

Platforms:
intel

Links:
have more...
https://github.com/outflanknl/SharpHide
https://github.com/JohnHammond/recaptcha-phish
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-08-28-IOCs-for-Lumman-Stealer-from-fake-human-captcha-copy-paste-script.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении метода социальной инженерии, известного как ClickFix, который предполагает использование поддельных сообщений об ошибках, чтобы обманом заставить пользователей запускать вредоносные скрипты. хакеры выдают себя за программные сервисы и используют скомпрометированные веб-сайты, документы и URL-адреса для распространения вредоносных программ, таких как AsyncRAT, Danabot и DarkGate. Этот метод был применен в различных кампаниях по всему миру, затрагивая организации по всему миру, и использует такие тактические приемы, как поддельные темы с капчей, уведомления на GitHub, вредоносная реклама и вредоносные электронные письма, чтобы обмануть пользователей и распространить вредоносное ПО. В тексте также приводятся конкретные примеры того, как хакеры успешно использовали технологию ClickFix для поиска жертв и распространения вредоносного ПО.
-----

Появление технологии социальной инженерии ClickFix, использующей поддельные сообщения об ошибках, чтобы обманом заставить пользователей запускать вредоносные скрипты.

хакеры выдают себя за программные сервисы, чтобы заставить пользователей выполнять команды PowerShell для загрузки вредоносного ПО.

Использование ClickFix через скомпрометированные веб-сайты, документы и URL-адреса.

Варианты включают исправление кликов с использованием капчи и олицетворение уведомлений на GitHub.

Среди распространяемых вредоносных программ - AsyncRAT, Danabot, DarkGate, Lumma Stealer, PureLog Stealer, XWorm и Lucky Volunteer.

Кампании, ориентированные на организации по всему миру, с акцентом на швейцарские и украинские организации.

Вредоносная реклама, использованная в середине октября 2024 года для распространения вируса XWorm с помощью технологии ClickFix.

Эффективность метода ClickFix была продемонстрирована благодаря успешному распространению вредоносного ПО.

Интересная тема по реактивной защите от атак, использующих LLM.

Large language models (LLMs) are increasingly being harnessed to automate cyberattacks, making sophisticated exploits more accessible and scalable. In response, we propose a new defense strategy tailored to counter LLM-driven cyberattacks. We introduce Mantis, a defensive framework that exploits LLMs' susceptibility to adversarial inputs to undermine malicious operations

https://arxiv.org/abs/2410.20911

#ParsedReport #CompletenessMedium
19-11-2024

One Sock Fits All: The use and abuse of the NSOCKS botnet

https://blog.lumen.com/one-sock-fits-all-the-use-and-abuse-of-the-nsocks-botnet

Report completeness: Medium

Actors/Campaigns:
0ktapus
Fancy_bear

Threats:
Nsocks_tool
Ngioweb
Bandit_stealer
Truesocks_tool
Agent_tesla
Password_spray_technique
Limpopo_ransomware

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1090, T1568, T1095, T1498, T1071, T1203

IOCs:
IP: 2
Hash: 1
File: 1
Domain: 3

Soft:
Twitter, gatekeepers, Zyxel

Algorithms:
md5, base64

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 4, code: 3, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в исследовании ботнета ngioweb, проведенного командой Black Lotus Labs в Lumen Technologies, и его связи с криминальным прокси-сервисом NSOCKS. В тексте описывается, как работает инфраструктура ботнетов, как используется криминальный прокси-сервис и взаимосвязь различных видов преступной деятельности. В нем также подчеркиваются риски, связанные с прокси-ботнетами, которые обеспечивают анонимность, способствуют преступной деятельности и создают проблемы кибербезопасности, требующие активных защитных мер.
-----

Команда Black Lotus Labs из Lumen Technologies провела обширное исследование ботнета ngioweb и его роли в обеспечении работы криминального прокси-сервиса NSOCKS. NSOCKS - это широко используемый криминальный прокси-сервер с более чем 35 000 ежедневных ботов, распространяющихся по 180 странам, в основном из ботнета ngioweb, который использует маршрутизаторы small office/home office (SOHO) и устройства Интернета вещей. Инфраструктура ботнета включает в себя активные и архивные узлы управления (C2), которые скрывают истинную личность пользователей и поддерживают различные вредоносные действия, включая запуск мощных DDoS-атак.

Криминальный прокси-сервис NSOCKS предлагает клиентам возможность проксировать вредоносный трафик, но также используется для таких целей, как обфускация вредоносного трафика, утечка учетных данных и фишинг. NSOCKS использует сеть узлов C2 "backconnect" для прокси-трафика, в которой более 180 узлов служат точками входа и выхода. Ботнет ngioweb состоит из двух отдельных элементов - сети загрузчиков, которая извлекает и запускает вредоносное ПО, и набора доменов C2, управляемых алгоритмом генерации доменов. Ботнет использует множество эксплойтов, нацеленных на уязвимые библиотеки веб-приложений и модели маршрутизаторов, но, похоже, не использует эксплойты нулевого дня.

Примечательно, что NSOCKS взаимодействует с другими видами преступной деятельности, такими как Shopsocks5 и VN5Socks, распространяя свое влияние не только на прокси-сервисы. Взаимосвязанность этих сетей представляет значительную угрозу для законных организаций в Интернете. Многие боты NSOCKS также используются другими вредоносными группами, что позволяет предположить, что зараженные устройства могут быть доступны нескольким хакерам одновременно.

В исследовании подчеркиваются риски, связанные с прокси-ботнетами, особенно связанные с обеспечением анонимности и содействием преступной деятельности, такой как мошенничество, спам и фишинг. Сервис NSOCKS предлагает пользователям возможность приобретать прокси-серверы на определенный срок, ориентируясь на объекты в США и позволяя фильтровать вредоносные действия по доменам. Архитектура NSOCKS, характеризующаяся большим уровнем backconnect C2s, не только подключает пользователей к прокси-сервису, но и выявляет уязвимости, которые могут быть использованы злоумышленниками, включая DDoS-атаки.

Растущая популярность прокси-ботнетов представляет серьезную проблему для кибербезопасности, поскольку они предоставляют хакерам скрытые средства для осуществления вредоносных действий, избегая при этом обнаружения. Возможности прокси-ботнетов, таких как NSOCKS, выходят за рамки обычной киберпреступности, позволяя проводить скоординированные атаки и повышая изощренность вредоносных действий. Защита от этих угроз требует принятия упреждающих мер, таких как блокирование индикаторов компрометации (IOCs) и защита облачных ресурсов от потенциальных атак, организованных через прокси-ботнеты.

#ParsedReport #CompletenessHigh
19-11-2024

Unraveling Raspberry Robin's Layers: Analyzing Obfuscation Techniques and Core Mechanisms

https://www.zscaler.com/blogs/security-research/unraveling-raspberry-robin-s-layers-analyzing-obfuscation-techniques-and

Report completeness: High

Threats:
Raspberry_robin
Rapsberry_robin
Bumblebee
Inline_hooking_technique
Sandbox_evasion_technique
Bogus_control_technique
Paexec_tool
Psexec_tool
Uac_bypass_technique
Fodhelper_technique
Donut

Geo:
Pol

CVEs:
CVE-2021-31969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (20h2, 21h1, 1909, 2004)
- microsoft windows server 2016 (20h2, 2004)
- microsoft windows server 2019 (-)

CVE-2024-26229 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1091, T1027, T1055, T1018, T1005, T1106, T1033, T1060

IOCs:
File: 19
Command: 2
Registry: 1
Hash: 3
Url: 59

Soft:
Microsoft Office, Microsoft Windows Defender, Windows registry, Windows Defender, PsExec, Windows firewall

Algorithms:
rc4, aes-ctr, prng, base64, crc-64, crc-32, xor

Functions:
switch_gs_value

Win API:
NtGlobalFlag, KdDebuggerEnabled, MulDiv, DbgElevationEnabled, DbgBreakPoint, NtQueryObject, ZwRestoreKey, GetSystemMetrics, ShellExecuteEx, NtWow64ReadVirtualMemory64, have more...

Languages:
python, java

Platforms:
x64

Links:
have more...
https://github.com/mrphrazer/msynth
https://github.com/ThreatLabz/tools/blob/main/raspberry\_robin/anti\_analysis.cpp
https://github.com/DenuvoSoftwareSolutions/SiMBA