#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе продолжающейся кампании кибершпионажа, проводимой хакерской группой TAG-110, связанной с Россией и, возможно, с BlueDelta (APT28). Эта кампания нацелена на организации в Центральной Азии, Восточной Азии и Европе, в первую очередь на государственные структуры, правозащитные группы и образовательные учреждения. TAG-110 использует пользовательские вредоносные программы HATVIBE и CHERRYSPY для утечки данных и шпионажа с целью сбора разведданных о геополитических событиях и поддержания влияния России на постсоветском пространстве. В тексте также подчеркивается важность защиты от подобных угроз путем мониторинга признаков компрометации, внедрения правил обнаружения, исправления уязвимостей и повышения осведомленности сотрудников об угрозах.
-----

TAG-110, идентифицированная хакерская группировка, связанная с Россией, проводит постоянную кампанию кибершпионажа, нацеленную на организации в Центральной Азии, Восточной Азии и Европе.

Группа использует пользовательские вредоносные программы под названием HATVIBE и CHERRYSPY для борьбы с государственными структурами, правозащитными группами и образовательными учреждениями.

Тактика TAG-110 аналогична историческим действиям, связанным с UAC-0063, связанной с российской APT-группой BlueDelta (APT28).

Кампания затронула 62 жертвы в одиннадцати странах, при этом о серьезных инцидентах сообщалось в Казахстане, Кыргызстане и Узбекистане.

HATVIBE служит загрузчиком для развертывания CHERRYSPY, бэкдора на Python, используемого для утечки данных и шпионажа.

CHERRYSPY обеспечивает безопасную фильтрацию данных с помощью таких методов шифрования, как RSA и AES, ориентируясь на государственные и исследовательские организации.

Деятельность TAG-110 способствует достижению геополитических целей России в Центральной Азии по сохранению влияния в условиях напряженных отношений.

Защита от TAG-110 включает мониторинг IOCs, внедрение правил обнаружения, таких как Snort и YARA, исправление уязвимостей, повышение осведомленности сотрудников об угрозах и использование интеллектуальных инструментов для повышения безопасности.

Ожидается, что TAG-110 продолжит кампании кибершпионажа в постсоветских государствах Центральной Азии, Украине и ее союзниках.

#ParsedReport #CompletenessLow
21-11-2024

Differential analysis raises red flags over @lottiefiles/lottie-player

https://www.reversinglabs.com/blog/differential-analysis-raises-red-flags-over-lottiefiles/lottie-player

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1071.003, T1557

IOCs:
File: 2
Hash: 3

Soft:
VSCode, NuGet, Windows certificate, Telegram

Crypto:
bitcoin

Links:
https://github.com/LottieFiles/lottie-player/issues/254

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте рассказывается о том, как исследовательская группа ReversingLabs отслеживает общедоступные хранилища на предмет потенциального вредоносного ПО, которое может привести к атакам на цепочки поставок. В нем освещаются недавние инциденты, когда законные пакеты были скомпрометированы с целью использования вредоносных программ, подчеркивается важность обнаружения и предотвращения атак на цепочки поставок, а также даются рекомендации по безопасной разработке и бдительности в отношении злоумышленников.
-----

Исследовательская группа ReversingLabs проводит мониторинг общедоступных репозиториев, таких как npm, PyPI, VSCode Marketplace, RubyGems и NuGet, на предмет выявления потенциальных вредоносных программ, которые могут привести к атакам на цепочки поставок. Вредоносные пакеты часто публикуются новыми учетными записями, которые иногда маскируются, чтобы казаться заслуживающими доверия, имитируя популярные пакеты или выпуская безобидные версии перед внедрением вредоносных программ. Команда наблюдала случаи, когда старые вредоносные кампании появлялись с новыми пакетами.

В ходе недавних инцидентов законные пакеты, такие как ua-parser-js и @ledgerhq/connect-kit на npm, были скомпрометированы для использования вредоносного ПО и кражи активов крипто-кошелька. Другой случай был связан с популярным пакетом @lottiefiles/lottie-player, который имел три версии (2.0.5, 2.0.6, 2.0.7), зараженным вредоносным кодом, нацеленным на активы криптокошелька. Скомпрометированные версии были быстро удалены из npm, и были опубликованы чистые версии.

Злоумышленники изменили пакет @lottiefiles/lottie-player, заменив код в файле lottie-player.js вредоносным кодом. Анализ различий между последней версией, не содержащей вредоносных программ (2.0.4), и вредоносной версией (2.0.7) выявил изменения, в том числе различия в размере файла, отсутствие обычных действий и введение новых действий, связанных с сервисами обмена биткойнов. Были запущены политики поиска угроз, направленные на обнаружение атак в цепочке поставок программного обеспечения, что подчеркивает важность мониторинга подозрительного поведения.

Атаки на цепочки поставок, подобные атаке на @lottiefiles/lottie-player, выявляют риски, связанные с вредоносными пакетами, даже в установленных базах кода. Методы безопасной разработки, такие как привязка зависимостей к заведомо исправным версиям, могут снизить эти риски. Регулярные оценки безопасности имеют решающее значение для проверки целостности библиотек с открытым исходным кодом и обеспечения бесперебойности процесса сборки, чтобы предотвратить включение вредоносных зависимостей.

Разработчикам необходимо сохранять бдительность в отношении меняющихся тактик, используемых злоумышленниками, и проводить тщательную оценку безопасности для защиты от атак на цепочки поставок и внедрения вредоносного кода. Регулярные обновления зависимостей и тщательный мониторинг общедоступных репозиториев необходимы для снижения рисков и поддержания безопасности процессов разработки программного обеспечения.

#ParsedReport #CompletenessLow
22-11-2024

NodeStealer s Evolution: A Growing Threat to Facebook Accounts and Beyond

https://socradar.io/nodestealer-threat-to-facebook-accounts-and-beyond

Report completeness: Low

Threats:
Nodestealer

Victims:
Facebook ads manager accounts, Individual users and organizations

Industry:
E-commerce, Petroleum

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1176, T1539

IOCs:
Hash: 19

Soft:
Google Chrome, Bitwarden, Telegram

Algorithms:
md5, sha1, sha256

Languages:
javascript, python

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/blob/main/Malware/Python%20Nodestealer/IOCs/2024-11-19/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что NodeStealer, инфокрад на базе Python, эволюционировал с расширенными возможностями, создавая значительную угрозу кибербезопасности. Оно нацелено на аккаунты Facebook Ads Manager, информацию о кредитных картах и сохраненные в браузере данные, демонстрируя повышенную изощренность и адаптивность. Вредоносное ПО, созданное вьетнамскими хакерами, использует легальные инструменты и платформы, чтобы избежать обнаружения. Организациям рекомендуется принимать упреждающие меры для эффективной борьбы с такими угрозами, как NodeStealer, и другими развивающимися киберугрозами.
-----

NodeStealer, инфокрад на базе Python, обновился с расширенными возможностями, ориентируясь на аккаунты Facebook Ads Manager, информацию о кредитных картах и данные, хранящиеся в браузере, такие как учетные данные и файлы cookie.

Последняя версия NodeStealer, появившаяся в ноябре 2024 года, демонстрирует усовершенствования, в том числе нацеливание финансовых данных на вредоносные рекламные кампании и использование диспетчера перезапуска Windows для эффективной кражи данных.

Кампании NodeStealer включают в себя верифицированные аккаунты Facebook, распространяющие вредоносную рекламу поддельного расширения Google Chrome, что приводит к компрометации личных данных и финансовым потерям.

Последние версии NodeStealer связаны с вьетнамскими хакерами, которые фильтруют данные через Telegram, чтобы избежать обнаружения и повысить эффективность.

Для борьбы с такими угрозами, как NodeStealer, организации могут применять упреждающие меры, такие как обучение сотрудников распознаванию фишинга, проведение симуляций и использование таких инструментов, как "Темный веб-мониторинг" от SOCRadar, для раннего обнаружения угроз и защиты бренда.

Развивающаяся тактика NodeStealer подчеркивает важность постоянного информирования, внедрения надежных мер безопасности и упреждающего мониторинга для эффективной защиты от подобных киберугроз.

#ParsedReport #CompletenessMedium
21-11-2024

Lumma Stealer on the Rise: How Telegram Channels Are Fueling Malware Proliferation

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/lumma-stealer-on-the-rise-how-telegram-channels-are-fueling-malware-proliferation

Report completeness: Medium

Threats:
Lumma_stealer
Process_injection_technique

Geo:
India, Usa

ChatGPT TTPs:
do not use without manual check
T1204.002, T1036.005, T1055.001, T1027, T1071.001, T1140, T1057

IOCs:
Url: 11
File: 6
Hash: 24

Soft:
Telegram, steam, Photoshop, Valorant, Microsoft Office, TradingView

Algorithms:
base64

Functions:
Second

Win API:
LoadLibraryExW, WinHttpOpenRequest

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer - это новая угроза, использующая Telegram-каналы для распространения вредоносного ПО, нацеленного на пользователей в Индии, США и Европе. McAfee предлагает передовые решения в области безопасности для обнаружения и устранения этой угрозы, используя аналитику угроз, поведенческий анализ и мониторинг в режиме реального времени. Вредоносное ПО использует различные тактики для кражи конфиденциальной информации и нарушения конфиденциальности пользователей, что подчеркивает адаптивность киберугроз. Для пользователей крайне важно поддерживать комплексную антивирусную защиту и сохранять бдительность для защиты личных данных и конфиденциальности в условиях растущих киберугроз.
-----

Lumma Stealer - это мощная вредоносная программа для кражи информации, которая недавно была идентифицирована как новая угроза, использующая для распространения популярные платформы, такие как Telegram-каналы. Передовые решения McAfee в области безопасности позволяют обнаруживать и устранять такие угрозы, как Lumma Stealer, с помощью передовой аналитики угроз, поведенческого анализа и мониторинга в режиме реального времени. Вредоносное ПО маскируется под программы для взлома Telegram-каналов с большим количеством подписчиков, таких как "hitbase" и "sharmamod". McAfee обнаруживает эти поддельные программы для взлома как "Trojan:Win/Lummastealer".SD", а данные телеметрии показывают, что Индия больше всего пострадала от этой угрозы, за ней следуют США и Европа.

Злоумышленник Lumma Stealer использует различные тактики, методы и процедуры (TTP) для кражи конфиденциальной информации и нарушения конфиденциальности пользователей. Он сохраняет расшифрованные данные в переменной с именем "uiOAshyuxgYUA" и выполняет вызовы API для внедрения процессов, ориентируясь на такие программы, как RegAsm.exe for injection. Вредоносная программа записывает полезную информацию в папку AppData\Roaming в виде .NET-файлов с именами "XTb9DOBjB3.exe" (Lumma_stealer) и "bTkEBBlC4H.exe" (clipper). Он извлекает имя учетной записи Steam, изначально затемняет его и расшифровывает, чтобы выявить домен C2 для установления соединения с сервером злоумышленника.

После установления соединения с сервером C2 программа Lumma Stealer извлекает данные конфигурации в формате, закодированном в Base64, декодирует их в двоичный формат и передает через процедуру дешифрования для восстановления открытого текста. Вредоносная программа также собирает системную информацию и отправляет ее на сервер C2. Она устанавливает атрибуты для файлов, чтобы защитить себя, например, удаляет статус скрытого и устанавливает себя в качестве системного файла.

Распространение Lumma Stealer по каналам Telegram подчеркивает адаптивность киберугроз и легкость, с которой хакеры могут использовать популярные платформы для распространения вредоносного кода. Усовершенствованные механизмы обнаружения угроз и проактивной защиты McAfee обеспечивают пользователям жизненно важную защиту от возникающих угроз благодаря мониторингу в режиме реального времени, поведенческому анализу и непрерывным обновлениям для противодействия новым TTP. В быстро меняющемся киберпространстве для пользователей крайне важно обеспечить комплексную антивирусную защиту для защиты личных данных, финансовой информации и конфиденциальности. Сохранение бдительности и наличие надлежащих решений для обеспечения безопасности гарантирует, что пользователи будут готовы эффективно противостоять новейшим угрозам.

#ParsedReport #CompletenessLow
22-11-2024

"Not what the doctor ordered": Silent Push maps out illegal pharmacy infrastructure. 2,500+ active IOFA domains and dedicated IPs discovered, primarily served via US-based hosts.

https://www.silentpush.com/blog/illegal-pharmacies

Report completeness: Low

Threats:
Blackseo_technique

Industry:
Healthcare

Geo:
Russian

IOCs:
Domain: 20
IP: 9
Email: 1

#ParsedReport #CompletenessHigh
22-11-2024

HEXON STEALER: THE LONG JOURNEY OF COPYING, HIDING, AND REBRANDING

https://www.cyfirma.com/research/hexon-stealer-the-long-journey-of-copying-hiding-and-rebranding

Report completeness: High

Threats:
Hexon
Stealit
Jsconfuser_tool
Jsobfuscator_tool
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Industry:
Entertainment

Geo:
Turkish

TTPs:
Tactics: 8
Technics: 15

IOCs:
Hash: 3
Domain: 3
IP: 5
File: 3

Soft:
Telegram, Discord, NSIS installer, Chromium, Node.js

Wallets:
coinbase, exodus_wallet

Algorithms:
sha256, md5, zip

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, windows: 3, code: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе и характеристиках вредоносного программного обеспечения, известного как Hexon Stealer, включая его возможности, методы распространения, профиль разработчика, используемые каналы связи, историю ребрендинга и текущие проблемы, связанные с развитием киберугроз.
-----

В отчете CYFIRMA представлен анализ Hexon Stealer, вредоносного программного обеспечения, способного извлекать конфиденциальную информацию из браузеров, включая учетные данные, данные автозаполнения и данные криптовалютного кошелька. Разработчик вредоносного ПО использует различные каналы для продвижения Hexon Stealer, предлагая пользователям панель входа для удаленного управления скомпрометированными системами.

Появление Telegram-канала под названием "Hexon Stealer" показало, что вредоносная программа может извлекать широкий спектр данных, таких как токены Discord, резервные коды 2FA, информацию о кредитных картах и многое другое. Это предоставляет злоумышленникам полный удаленный доступ к скомпрометированным системам, позволяя им отслеживать экраны, управлять входными данными, выполнять команды и даже участвовать в переговорах о выкупе. Использование платформы Coinbase для криптовалютных платежей затрудняет отслеживание транзакций с требованием выкупа.

В отчете подробно описывается переход оригинального Telegram-канала Hexon Stealer на новый, который называется Hexon Grabber. Программа Hexon Stealer основана на формате установщика NSIS и в основном предназначена для кражи файлов cookie браузера, учетных данных и крипто-кошельков. Он известен как ребрендированная версия Stealit Stealer, исходный код которой был опубликован для публичного анализа на GitHub после того, как был удален исследователями безопасности.

Hexon Stealer использует платформу Electron для создания интерфейса своего настольного приложения, который позволяет разработчикам создавать кроссплатформенные настольные приложения с использованием веб-технологий, таких как HTML, CSS и JavaScript. Вредоносная программа использует NSIS для упаковки и распространения своей вредоносной полезной нагрузки.

Возможности вредоносного ПО включают внедрение Discord для извлечения конфиденциальной информации, компрометацию игровых аккаунтов, кражу криптовалютных кошельков и реализацию аутентификации по HWID для ограниченного доступа. Hexon Stealer удаляет дополнительный исполняемый файл с именем saa.exe, который основан на платформе electron. Он может использовать методы манипулирования поведением системы или уклонения от обнаружения средствами безопасности, например, запутывать свой код с помощью таких инструментов, как JSConfuser, чтобы усложнить анализ.

В отчете подчеркивается, что разработчик Hexon Stealer, скорее всего, турецкий, и есть средняя степень уверенности в том, что группа, стоящая за этим, является ребрендингом Stealit Stealer group. Каналы коммуникации, используемые для продвижения вредоносного ПО, такие как Telegram и Signal, указывают на растущую тенденцию к тому, что неквалифицированные киберпреступники собирают и продвигают старые коды для кражи данных под новыми именами. В частности, все большее распространение получают хакеры Discord, которые нацелены на конфиденциальные данные, такие как учетные данные и игровые аккаунты.

В результате изучения доменов, каналов связи и анализа кода в отчете делается вывод о том, что Hexon Stealer, вероятно, имеет общее происхождение с предыдущими вариантами вредоносного ПО, такими как Stealit Stealer и Less Stealer, что указывает на турецкого разработчика или группу, стоящую за его созданием. Ребрендинг и эволюция этих вредоносных инструментов подчеркивают сохраняющиеся проблемы, связанные с киберугрозами, и необходимость принятия надежных мер кибербезопасности для противодействия им.

#ParsedReport #CompletenessLow
22-11-2024

APT-K-47 Threat Disclosure: The Past and Present of Asyncshell

https://paper.seebug.org/3240

Report completeness: Low

Actors/Campaigns:
Mysterious_elephant
Sidewinder
Apt59

Threats:
Asyncshell
Confuserex_tool
Orpcbackdoor
Walkershell
Msmqspy
Lastopenspy

Geo:
Turkey, Bangladesh, Asia, Pakistan

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.003, T1071.001, T1140, T1204.002

IOCs:
File: 6
Email: 1
Hash: 3

Algorithms:
base64, aes, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе кампании атак, проведенной группой APT-K-47, с особым упором на использование ими варианта вредоносного ПО Asynshell и эволюцию их тактики и методов с течением времени. В тексте обсуждается использование группой замаскированных запросов на обслуживание для связи C2, разработка различных версий Asynshell, происхождение и история группы, а также стратегические изменения в методологии атак. В конечном счете, в тексте освещаются усилия команды Knowsec 404 Advanced Threat Intelligence по отслеживанию и анализу вредоносных инструментов и действий APT-K-47.
-----

Команда Knowsec 404 Advanced Threat Intelligence обнаружила кампанию атак APT-K-47, связанную с "Hajj", которая использовала файл CHM для выполнения вредоносной полезной нагрузки в том же каталоге.

Команда обнаружила обновленный образец, Asynshell-v4, который использует алгоритм base64 variant для обфускации строк, маскируется под обычный запрос сетевой службы для связи C2 и не содержит обширной информации журнала.

APT-K-47, известная под псевдонимом "Таинственный слон", возможно, родом из Южной Азии, имеет историю нападений, начиная с 2022 года, и имеет сходство с такими группами APT, как Sidewinder, Confucius и Bitter из этого региона.

Policy_Formulation_Committee.exe расшифровывает адрес, замаскированный под обычный запрос сетевой службы, для установления соединения с сервером C2 для выполнения командной строки, помогая динамически изменять адреса соединений для длительного контроля над хостами-жертвами.

С момента своего открытия Asyncshell эволюционировал до четырех версий, демонстрируя совершенствование методологии атаки и структуры полезной нагрузки, при этом группа успешно перешла от фиксированных подходов к передаче данных C2 к переменным.

Команда Knowsec 404 отслеживает арсенал вредоносных программ APT-K-47, включая такие инструменты, как ORPCBackdoor, walkershell, Asyncshell, MSMQSPY и LastopenSpy, чтобы получить представление о деятельности и методологиях группы.

#ParsedReport #CompletenessHigh
22-11-2024

#StopRansomware: BianLian Ransomware Group

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/stopransomware-bianlian-ransomware-group

Report completeness: High

Actors/Campaigns:
Bianlian (motivation: financially_motivated, cyber_criminal)

Threats:
Bianlian_ransomware
Credential_harvesting_technique
Rclone_tool
Proxyshell_vuln
Atera_tool
Teamviewer_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Upx_tool
Advanced-port-scanner_tool
Sharpshares_tool
Pingcastle_tool
Rdp_recognizer_tool
Impacket_tool
Sessiongopher_tool
Supply_chain_technique
Bianlian_encryptor
Credential_dumping_technique
Minidump_tool
Mstsc_tool
Nltest_tool
Tightvnc_tool

Victims:
Organizations, Private enterprises, Critical infrastructure organization

Industry:
Critical_infrastructure, Healthcare

Geo:
Russia, Australian, Australia

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2022-37969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19444)
- microsoft windows 10 1607 (<10.0.14393.5356)
- microsoft windows 10 1809 (<10.0.17763.3406)
- microsoft windows 10 20h2 (<10.0.19042.2006)
- microsoft windows 10 21h1 (<10.0.19043.2006)
have more...
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 8
Technics: 47

IOCs:
File: 15
Url: 3
Email: 3
Domain: 1
Command: 7
Path: 6
Registry: 4
Hash: 4

Soft:
Windows Powershell, ESXi, Windows defender, Windows Registry, SoftPerfect Network Scanner, Active Directory, Local Security Authority, PsExec, Windows firewall, Azure AD, have more...

Crypto:
bitcoin

Functions:
All, GetWmiObject

Win Services:
SAVService

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4