#ParsedReport #CompletenessLow
18-11-2024

QuickBooks popup scam still being delivered via Google ads

https://www.malwarebytes.com/blog/scams/2024/11/quickbooks-popup-scam-still-being-delivered-via-google-ads

Report completeness: Low

Threats:
Squiblydoo

Victims:
Quickbooks users

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1059, T1204

IOCs:
File: 2
Domain: 1
Hash: 2

Soft:
QuickBooks

Algorithms:
base64

Functions:
MonitorAndShowForm, CheckTimeWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что мошенники, базирующиеся в Индии, нацелены на пользователей QuickBooks с помощью вредоносной рекламы, используя обманную тактику для установки поддельного программного обеспечения и черного хода в системах жертв. Эти мошенники стремятся использовать пользователей в своих целях, генерируя поддельные сообщения об ошибках, чтобы вызвать страх и срочность, что в конечном итоге приводит к тому, что жертвы обращаются за помощью к мошенникам по несуществующим вопросам. Сотрудничество специалистов по кибербезопасности при анализе этих угроз подчеркивает важность сохранения бдительности, обновления мер безопасности и соблюдения надлежащей кибергигиены для защиты от подобных вредоносных действий и защиты конфиденциальных данных.
-----

Популярное бухгалтерское программное обеспечение QuickBooks, разработанное компанией Intuit, стало главной мишенью для мошенников, базирующихся в Индии. Эти мошенники, уступающие только тем, кто занимается классическим мошенничеством с технической поддержкой Microsoft, активно используют ничего не подозревающих пользователей QuickBooks. Недавняя недобросовестная рекламная кампания высветила сохраняющуюся распространенность этой схемы. Злоумышленники заманивают жертв, показывая вредоносную рекламу, которая приводит к установке поддельной программы QuickBooks, в результате чего появляются постоянные всплывающие сообщения, которые вселяют страх в пользователей, побуждая их обращаться за помощью под видом повреждения данных.

Вредоносный установщик выполняет двойную задачу: он загружает законное программное обеспечение QuickBooks с официального веб-сайта Intuit, а также тайно устанавливает бэкдор с именем "zeform.exe". Этот двоичный файл создан для беспрепятственной интеграции с QuickBooks, что позволяет генерировать поддельные сообщения об ошибках, направленные на дальнейшее манипулирование пользователями. Эти поддельные сообщения об ошибках не только заставляют пользователей поверить, что их данные находятся в опасности, но и создают ощущение срочности, заставляя их обращаться к мошенникам за предполагаемой помощью.

Помимо того, что мошенники обманом заставляют пользователей платить за несуществующие решения проблем, они также могут использовать вредоносное ПО для обеспечения несанкционированного доступа к системам жертв или даже для кражи конфиденциальной информации, такой как пароли. Установка бэкдора "zeform.exe" открывает возможности для потенциальной утечки данных и долгосрочной эксплуатации скомпрометированных систем.

Выражаем благодарность Джо Десимоне (Joe Desimone) из Elastic Security за проверку вредоносного исполняемого файла и Squiblydoo за проверку сертификата Microsoft, который использовался для подписи вредоносного всплывающего исполняемого файла. Их вклад в анализ и подтверждение наличия вредоносных компонентов еще больше проливает свет на сложную тактику, применяемую мошенниками в отношении пользователей QuickBooks. Совместные усилия подчеркивают важность специалистов по кибербезопасности в выявлении и устранении подобных угроз для защиты пользователей и предотвращения финансовых потерь и утечки данных.

Поскольку QuickBooks продолжает оставаться прибыльной мишенью для киберпреступников, пользователи должны сохранять бдительность и осторожность при загрузке программного обеспечения или при взаимодействии с незнакомыми всплывающими сообщениями. Регулярное обновление программного обеспечения для обеспечения безопасности, тщательный анализ источников загрузки и отказ от взаимодействия с подозрительными объявлениями или подсказками - важнейшие шаги для снижения риска стать жертвой мошенничества, подобного тому, которое нацелено на пользователей QuickBooks. Оставаясь в курсе возникающих угроз и соблюдая правила кибергигиены, отдельные лица и организации могут укрепить свою защиту от возникающих киберугроз и защитить свои конфиденциальные данные от несанкционированного использования.

#ParsedReport #CompletenessHigh
18-11-2024

Inside Water Barghest s Rapid Exploit-to-Market Strategy for IoT Devices

https://www.trendmicro.com/en_us/research/24/k/water-barghest.html

Report completeness: High

Actors/Campaigns:
Water_barghest (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Sandworm
Water_zmeu (motivation: cyber_criminal, cyber_espionage)
Fancy_bear (motivation: cyber_criminal, cyber_espionage)

Threats:
Residential_proxy_technique
Ngioweb
Cyclops_blink
Vpnfilter
Spear-phishing_technique
Ramnit

Industry:
Iot, Government, E-commerce

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1036, T1105, T1027, T1498, T1583, T1203

IOCs:
Domain: 30
File: 1
Hash: 46
IP: 166

Soft:
Linux, WordPress, Tenda, Zyxel, outlook

Algorithms:
sha256, aes, aes-256-ecb, base64

Languages:
python

Platforms:
x64

YARA: Found

Links:
https://github.com/trendmicro/research/tree/main/botnet\_ngioweb

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, chart: 2, code: 3, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Water Barghest - это изощренная группа кибер-хакеров, которая использует устройства Интернета вещей для создания ботнета с целью получения финансовой выгоды, продавая доступ на рынке прокси-серверов для частных лиц. Группа использует продвинутую автоматизацию, вредоносное ПО, такое как Ngioweb, и общую инфраструктуру с другими киберпреступниками для поддержания анонимности и получения дохода. Их деятельность привлекла внимание служб безопасности и свидетельствует о растущем сотрудничестве финансово мотивированных хакерских групп и участников APT в использовании ботнетов Интернета вещей в вредоносных целях. Для защиты от таких угроз организации могут использовать аналитические данные об угрозах и решения в области кибербезопасности.
-----

Water Barghest - это группа кибер-хакеров, которая управляет ботнетом из более чем 20 000 уязвимых устройств Интернета вещей, которые монетизируются путем продажи доступа на рынке прокси-серверов для частных лиц.

Группа использует вредоносное ПО Ngioweb для быстрой компрометации устройств, позволяя им стать частью прокси-сети всего за 10 минут.

Операции Water Barghest были связаны с Pawn Storm, национальным государственным субъектом, и другой маршрутизаторной ботнетой под названием Water Zmeu, демонстрирующей общую инфраструктуру киберпреступников и участников APT.

Группа использует автоматизацию и передовые технологии для обнаружения эксплойтов Интернета вещей, уязвимых устройств, внедрения вредоносных программ и поддержания стабильного потока доходов на протяжении многих лет.

Вредоносное ПО Ngioweb эволюционировало, нацеливаясь на устройства Интернета вещей, и представляет угрозу для таких брендов, как QNAP, Netgear и D-Link, используя при этом сложные методы обхода, такие как алгоритмы генерации доменов и зашифрованные конфигурации.

Рынок прокси-серверов для частных лиц, используемый Water Barghest, предлагает зараженные устройства в качестве прокси-серверов в аренду, принимая платежи только в криптовалюте и привлекая внимание служб безопасности благодаря высокому уровню автоматизации.

Для противодействия таким угрозам, как "Водный барраж", организации могут использовать аналитические отчеты и информацию об угрозах, полученную от решений в области кибербезопасности, для лучшей защиты своей среды, снижения рисков и эффективного реагирования на возникающие угрозы.

Защита устройств Интернета вещей, предотвращение ненужного доступа к открытому Интернету и внедрение мер по смягчению последствий являются важнейшими шагами для предотвращения использования устройств злоумышленниками, такими как Water Barghest.

#ParsedReport #CompletenessHigh
18-11-2024

Security Brief: ClickFix Social Engineering Technique Floods Threat Landscape

https://www.proofpoint.com/us/blog/threat-insight/security-brief-clickfix-social-engineering-technique-floods-threat-landscape

Report completeness: High

Actors/Campaigns:
Ta571
Ta578
Uac-0050
Ta579

Threats:
Clickfix_technique
Clearfake
Lumma_stealer
Asyncrat
Danabot
Darkgate
Netsupportmanager_rat
Purelogs
Brc4_tool
Latrodectus
Xworm_rat
Protware_html_guardian_tool
Hvnc_tool
Sharphide_tool
Aresloader

Industry:
E-commerce, Transport, Government, Logistic, Financial

Geo:
Ukrainian, Ukraine, German, Russian

ChatGPT TTPs:
do not use without manual check
T1059.001, T1566.002, T1071.003, T1566.003, T1573.001

IOCs:
Domain: 16
Url: 24
Hash: 7
IP: 5

Soft:
Microsoft Word, Google Chrome, Dropbox, chatgpt

Algorithms:
7zip, sha256, zip, base64

Win Services:
Bits

Languages:
javascript, powershell

Platforms:
intel

Links:
have more...
https://github.com/outflanknl/SharpHide
https://github.com/JohnHammond/recaptcha-phish
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-08-28-IOCs-for-Lumman-Stealer-from-fake-human-captcha-copy-paste-script.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении метода социальной инженерии, известного как ClickFix, который предполагает использование поддельных сообщений об ошибках, чтобы обманом заставить пользователей запускать вредоносные скрипты. хакеры выдают себя за программные сервисы и используют скомпрометированные веб-сайты, документы и URL-адреса для распространения вредоносных программ, таких как AsyncRAT, Danabot и DarkGate. Этот метод был применен в различных кампаниях по всему миру, затрагивая организации по всему миру, и использует такие тактические приемы, как поддельные темы с капчей, уведомления на GitHub, вредоносная реклама и вредоносные электронные письма, чтобы обмануть пользователей и распространить вредоносное ПО. В тексте также приводятся конкретные примеры того, как хакеры успешно использовали технологию ClickFix для поиска жертв и распространения вредоносного ПО.
-----

Появление технологии социальной инженерии ClickFix, использующей поддельные сообщения об ошибках, чтобы обманом заставить пользователей запускать вредоносные скрипты.

хакеры выдают себя за программные сервисы, чтобы заставить пользователей выполнять команды PowerShell для загрузки вредоносного ПО.

Использование ClickFix через скомпрометированные веб-сайты, документы и URL-адреса.

Варианты включают исправление кликов с использованием капчи и олицетворение уведомлений на GitHub.

Среди распространяемых вредоносных программ - AsyncRAT, Danabot, DarkGate, Lumma Stealer, PureLog Stealer, XWorm и Lucky Volunteer.

Кампании, ориентированные на организации по всему миру, с акцентом на швейцарские и украинские организации.

Вредоносная реклама, использованная в середине октября 2024 года для распространения вируса XWorm с помощью технологии ClickFix.

Эффективность метода ClickFix была продемонстрирована благодаря успешному распространению вредоносного ПО.

Интересная тема по реактивной защите от атак, использующих LLM.

Large language models (LLMs) are increasingly being harnessed to automate cyberattacks, making sophisticated exploits more accessible and scalable. In response, we propose a new defense strategy tailored to counter LLM-driven cyberattacks. We introduce Mantis, a defensive framework that exploits LLMs' susceptibility to adversarial inputs to undermine malicious operations

https://arxiv.org/abs/2410.20911

#ParsedReport #CompletenessMedium
19-11-2024

One Sock Fits All: The use and abuse of the NSOCKS botnet

https://blog.lumen.com/one-sock-fits-all-the-use-and-abuse-of-the-nsocks-botnet

Report completeness: Medium

Actors/Campaigns:
0ktapus
Fancy_bear

Threats:
Nsocks_tool
Ngioweb
Bandit_stealer
Truesocks_tool
Agent_tesla
Password_spray_technique
Limpopo_ransomware

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1090, T1568, T1095, T1498, T1071, T1203

IOCs:
IP: 2
Hash: 1
File: 1
Domain: 3

Soft:
Twitter, gatekeepers, Zyxel

Algorithms:
md5, base64

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 4, code: 3, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в исследовании ботнета ngioweb, проведенного командой Black Lotus Labs в Lumen Technologies, и его связи с криминальным прокси-сервисом NSOCKS. В тексте описывается, как работает инфраструктура ботнетов, как используется криминальный прокси-сервис и взаимосвязь различных видов преступной деятельности. В нем также подчеркиваются риски, связанные с прокси-ботнетами, которые обеспечивают анонимность, способствуют преступной деятельности и создают проблемы кибербезопасности, требующие активных защитных мер.
-----

Команда Black Lotus Labs из Lumen Technologies провела обширное исследование ботнета ngioweb и его роли в обеспечении работы криминального прокси-сервиса NSOCKS. NSOCKS - это широко используемый криминальный прокси-сервер с более чем 35 000 ежедневных ботов, распространяющихся по 180 странам, в основном из ботнета ngioweb, который использует маршрутизаторы small office/home office (SOHO) и устройства Интернета вещей. Инфраструктура ботнета включает в себя активные и архивные узлы управления (C2), которые скрывают истинную личность пользователей и поддерживают различные вредоносные действия, включая запуск мощных DDoS-атак.

Криминальный прокси-сервис NSOCKS предлагает клиентам возможность проксировать вредоносный трафик, но также используется для таких целей, как обфускация вредоносного трафика, утечка учетных данных и фишинг. NSOCKS использует сеть узлов C2 "backconnect" для прокси-трафика, в которой более 180 узлов служат точками входа и выхода. Ботнет ngioweb состоит из двух отдельных элементов - сети загрузчиков, которая извлекает и запускает вредоносное ПО, и набора доменов C2, управляемых алгоритмом генерации доменов. Ботнет использует множество эксплойтов, нацеленных на уязвимые библиотеки веб-приложений и модели маршрутизаторов, но, похоже, не использует эксплойты нулевого дня.

Примечательно, что NSOCKS взаимодействует с другими видами преступной деятельности, такими как Shopsocks5 и VN5Socks, распространяя свое влияние не только на прокси-сервисы. Взаимосвязанность этих сетей представляет значительную угрозу для законных организаций в Интернете. Многие боты NSOCKS также используются другими вредоносными группами, что позволяет предположить, что зараженные устройства могут быть доступны нескольким хакерам одновременно.

В исследовании подчеркиваются риски, связанные с прокси-ботнетами, особенно связанные с обеспечением анонимности и содействием преступной деятельности, такой как мошенничество, спам и фишинг. Сервис NSOCKS предлагает пользователям возможность приобретать прокси-серверы на определенный срок, ориентируясь на объекты в США и позволяя фильтровать вредоносные действия по доменам. Архитектура NSOCKS, характеризующаяся большим уровнем backconnect C2s, не только подключает пользователей к прокси-сервису, но и выявляет уязвимости, которые могут быть использованы злоумышленниками, включая DDoS-атаки.

Растущая популярность прокси-ботнетов представляет серьезную проблему для кибербезопасности, поскольку они предоставляют хакерам скрытые средства для осуществления вредоносных действий, избегая при этом обнаружения. Возможности прокси-ботнетов, таких как NSOCKS, выходят за рамки обычной киберпреступности, позволяя проводить скоординированные атаки и повышая изощренность вредоносных действий. Защита от этих угроз требует принятия упреждающих мер, таких как блокирование индикаторов компрометации (IOCs) и защита облачных ресурсов от потенциальных атак, организованных через прокси-ботнеты.

#ParsedReport #CompletenessHigh
19-11-2024

Unraveling Raspberry Robin's Layers: Analyzing Obfuscation Techniques and Core Mechanisms

https://www.zscaler.com/blogs/security-research/unraveling-raspberry-robin-s-layers-analyzing-obfuscation-techniques-and

Report completeness: High

Threats:
Raspberry_robin
Rapsberry_robin
Bumblebee
Inline_hooking_technique
Sandbox_evasion_technique
Bogus_control_technique
Paexec_tool
Psexec_tool
Uac_bypass_technique
Fodhelper_technique
Donut

Geo:
Pol

CVEs:
CVE-2021-31969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (20h2, 21h1, 1909, 2004)
- microsoft windows server 2016 (20h2, 2004)
- microsoft windows server 2019 (-)

CVE-2024-26229 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1091, T1027, T1055, T1018, T1005, T1106, T1033, T1060

IOCs:
File: 19
Command: 2
Registry: 1
Hash: 3
Url: 59

Soft:
Microsoft Office, Microsoft Windows Defender, Windows registry, Windows Defender, PsExec, Windows firewall

Algorithms:
rc4, aes-ctr, prng, base64, crc-64, crc-32, xor

Functions:
switch_gs_value

Win API:
NtGlobalFlag, KdDebuggerEnabled, MulDiv, DbgElevationEnabled, DbgBreakPoint, NtQueryObject, ZwRestoreKey, GetSystemMetrics, ShellExecuteEx, NtWow64ReadVirtualMemory64, have more...

Languages:
python, java

Platforms:
x64

Links:
have more...
https://github.com/mrphrazer/msynth
https://github.com/ThreatLabz/tools/blob/main/raspberry\_robin/anti\_analysis.cpp
https://github.com/DenuvoSoftwareSolutions/SiMBA

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея заключается в том, что Raspberry Robin - это сложная и стойкая вредоносная программа, обнаруженная в 2021 году, которая распространяется через зараженные USB-устройства. Она использует уникальные методы двоичной обфускации, методы антианализа и эксплойты для повышения привилегий и использовалась хакерами для развертывания других семейств вредоносных программ. Raspberry Robin шифрует данные, обменивается данными через сеть TOR, распространяется по сетям с использованием законных инструментов и использует различные методы обфускации и уклонения, чтобы избежать обнаружения и анализа.
-----

Raspberry Robin, также известный как Roshtyak, - это вредоносный загрузчик, обнаруженный в 2021 году, который уже несколько лет циркулирует в дикой природе, в основном распространяясь через зараженные USB-устройства. Raspberry Robin выделяется своими уникальными методами бинарной обфускации, широким использованием методов антианализа и набором эксплойтов для повышения привилегий. Эта вредоносная программа использовалась различными хакерами для развертывания других семейств вредоносных программ, таких как Bumblebee.

Raspberry Robin использует ряд методов противодействия анализу, чтобы избежать обнаружения. При обнаружении среды анализа он запускает ложную информацию и использует несколько уровней кода с использованием методов обфускации, таких как сглаживание потока управления и смешанная логико-арифметическая (MBA) обфускация. Он взаимодействует со своими серверами управления (C2) через сеть TOR и использует низкоуровневые API операционной системы Windows. Вредоносное ПО способно распространяться по сетям.

Функциональность Raspberry Robin представлена на трех ключевых уровнях, каждый из которых содержит различные методы антианализа. Он использует различные методы для обнаружения сред эмуляции и анализа, обновляя блок Process Environment, чтобы отметить любой обнаруженный метод антианализа. Вредоносная программа также использует методы обфускации, такие как сглаживание потока управления, обфускация строк и смешанные логически-арифметические операции.

Raspberry Robin шифрует данные, используя такие алгоритмы, как RC4 и RSA, при этом ключ шифрования берется из конкретной системной информации. Он использует реестр Windows для сохранения на скомпрометированных хостах и манипулирует данными реестра, чтобы избежать обнаружения. Вредоносная программа использует такие методы, как добавление ненужных данных, случайные смещения и отключение отчетов о сбоях, чтобы избежать анализа.

Интересной особенностью Raspberry Robin является его способность распространяться в сетях Windows с помощью законных инструментов, таких как PsExec и PAExec. Он создает пути к файлам, копирует себя в целевые каталоги и выполняет итерацию сетевых дисков для распространения. Вредоносная программа гарантирует, что пользователь получит права администратора перед выполнением процесса распространения, и создает списки исключений для продуктов безопасности, чтобы избежать обнаружения.

Raspberry Robin использует методы обхода контроля учетных записей и эксплойты локального повышения привилегий для повышения своих привилегий на скомпрометированных хостах. Перед выбором метода повышения прав он проверяет различные условия и запускает вредоносные файлы с помощью законных приложений Windows. Вредоносная программа использует эксплойты типа CVE-2024-26229 и CVE-2021-31969, расшифрованные во время выполнения, для компрометации систем.

Основная задача Raspberry Robin - загружать и выполнять полезную нагрузку на скомпрометированных хостах. Он проверяет подключение к сети TOR, шифрует данные, внедряет код в процессы и взаимодействует с серверами ЧПУ. Вредоносная программа собирает обширную системную информацию и использует такие методы шифрования, как RC4 и AES-CTR, для защиты данных.

#ParsedReport #CompletenessLow
19-11-2024

XenoRAT Adopts Excel XLL Files and ConfuserEx as Access Method

https://hunt.io/blog/xenorat-excel-xll-confuserex-as-access-method

Report completeness: Low

Actors/Campaigns:
Uat-5394

Threats:
Xenorat
Confuserex_tool
Spear-phishing_technique

Geo:
North korean, Spanish, Bulgaria

ChatGPT TTPs:
do not use without manual check
T1203, T1140, T1027, T1071, T1204

IOCs:
File: 3
IP: 2
Hash: 7

Algorithms:
zip, sha256

Links:
https://github.com/moom825/xeno-rat

#ParsedReport #GeneratedSchema
Generated with GPT-4