#ParsedReport #CompletenessLow
21-11-2024

Alert: XorBot Comes Back with Enhanced Tactics

https://nsfocusglobal.com/alert-xorbot-comes-back-with-enhanced-tactics

Report completeness: Low

Threats:
Xorbot
Masjesu
Mirai
Udpflood_technique
Icmpflood_technique
Tcpsynflood_technique
Tcpackflood_technique
Httpflood_technique

Victims:
Intelbras cameras, Tp-link routers, D-link routers

Industry:
Iot

CVEs:
CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1053.003, T1574.006, T1105

IOCs:
File: 2
IP: 1
Hash: 2

Soft:
Telegram, crontab

Algorithms:
xor

Platforms:
mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что XorBot, семейство ботнетов, обнаруженных в ноябре 2023 года, развивается благодаря усовершенствованной тактике и повышенной осведомленности о защите от отслеживания, создавая значительную угрозу безопасности в сфере Интернета вещей (IoT). Этот ботнет нацелен на такие устройства, как камеры Intelbras и маршрутизаторы от TP-Link и D-Link, использует уязвимости в устройствах Интернета вещей для установки вредоносной троянской программы и предлагает услуги по аренде DDoS-атак. Операторы, стоящие за XorBot, расширили свою деятельность, чтобы привлечь больше устройств под свой контроль, используя методы шифрования, маскировку и функции защиты от отслеживания, чтобы усложнить усилия по обнаружению.
-----

XorBot, новое семейство ботнетов, обнаруженное компанией NSFOCUS в ноябре 2023 года, с начала 2024 года развивается благодаря усовершенствованной тактике и повышению осведомленности о защите от отслеживания. Этот ботнет представляет серьезную угрозу безопасности в сфере Интернета вещей (IoT), нацеливаясь на такие устройства, как камеры Intelbras и маршрутизаторы от TP-Link и D-Link. Операторы, стоящие за XorBot, расширили свою деятельность, предлагая услуги по организации DDoS-атак, привлекая все больше устройств под свой контроль. Это семейство, известное как "Masjesu" из-за нового названия канала, выпустило версии с четкой идентификацией, последняя из которых - 1.04.

XorBot использует уязвимости в устройствах Интернета вещей для установки вредоносной троянской программы, которая включает в себя до 12 различных методов эксплойта. В последней версии XorBot отмечены заметные изменения по сравнению с предыдущими версиями, в частности, показана совместимость с различными архитектурами процессоров, такими как MIPS, PowerPC, ARM и x86_64. В нем используется технология многоэтапного XOR-шифрования, аналогичная семейству Mirai, и уникальный алгоритм дешифрования. Троян маскируется путем замены критически важных системных файлов и обеспечения сохраняемости путем изменения системных конфигураций. Кроме того, он ограничивает доступ к каталогу /tmp, чтобы предотвратить вмешательство других вредоносных программ.

Ботнет обладает мощными функциями защиты от отслеживания, осуществляя пассивное онлайн-взаимодействие с управляющими серверами, что усложняет методы отслеживания на основе сигнатур. XorBot поддерживает несколько типов DDoS-атак, включая UDP, TCP и HTTP, и динамически выбирает методы атаки на основе инструкций сервера. Разработчики XorBot используют платформы социальных сетей, такие как Telegram, для привлечения персонала и продвижения по службе, способствуя росту ботнета. Они инвестируют в технологии защиты от обнаружения и отслеживания, что усложняет отслеживание благодаря уникальной логике коммуникации и защитным мерам на уровне файлов.

#ParsedReport #CompletenessMedium
21-11-2024

We get the CrossC2 configs

https://rt-solar.ru/solar-4rays/blog/4900

Report completeness: Medium

Threats:
Crossc2_tool
Cobalt_strike
Upx_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1573, T1027, T1132, T1071

IOCs:
File: 9
IP: 3
Hash: 10

Soft:
Unix, Linux, MacOS, nginx

Algorithms:
sha1, sha256, md5, gzip, aes-128, base64, deflate, xor, cbc

Functions:
ReadME, cc2_init

Languages:
python, golang, java

Platforms:
arm, cross-platform, x86, x64, mips

Links:
https://github.com/gloxec/CrossC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фреймворк CrossC2, генератор полезной нагрузки для Unix, используемый для создания полезных нагрузок Cobalt Strike. В нем упоминаются его уникальные возможности, ограниченное количество онлайн-документации, использование в вредоносных кампаниях, упаковка UPX в образцах, процессы расшифровки, зашифрованные строки и обфускация CFG. В нем также подробно описываются функциональные возможности genCrossC2, включая строку в кодировке base64 для десериализации открытых и закрытых ключей, а также процесс анализа с использованием API Monitor. На протяжении всего текста подчеркивается важность тщательного анализа вредоносных программ, особенно с запутанными образцами.
-----

В тексте подчеркивается наличие конфигурации полезной нагрузки, известной как beaconConfiguration, которая настраивается с помощью ini-файла. Особое внимание уделяется платформе CrossC2, генератору полезной нагрузки Unix, который может создавать полезные нагрузки Cobalt Strike для платформ Unix. CrossC2 упоминается как относительно необычный инструмент с ограниченной технической документацией, доступной в Интернете, в основном от китайской компании по информационной безопасности Qi An Xin.

Генератор, genCrossC2, написан на Golang и поддерживает создание полезных приложений Cobalt Strike для различных платформ. Несмотря на свою кроссплатформенность, он в основном используется для Unix. Отчеты Moonlock Lab и Recorded Future указывают на то, что злоумышленники использовали этот фреймворк в своих вредоносных кампаниях, причем в последний раз образцы были обнаружены в августе 2024 года.

В тексте приводится конкретный пример, созданный с использованием фреймворка CrossC2, который продемонстрировал упаковку UPX. Процесс расшифровки UPX изначально завершился неудачей из-за структурных элементов в файле. Удаление этих элементов позволило успешно распаковать файл, что привело к обнаружению скрипта на Python в расшифрованных строках.

Дальнейшее расследование показало, что двоичный файл genCrossC2, доступный для Windows, Linux и macOS, содержит зашифрованные строки и CFG-обфускацию. В частности, он содержит строку в кодировке base64, которая при расшифровке оказывается файлом .jar, отвечающим за десериализацию открытых и закрытых ключей, сгенерированных TeamServer Cobalt Strike. Затем открытый ключ кодируется в base64 и сохраняется в файле для дальнейшего использования.

Анализ genCrossC2 включает в себя изучение его работы с использованием API Monitor. В тексте описывается пошаговый процесс создания маяка для Cobalt Strike 4.8 в Linux, оснащенного UPX. Конфигурация для такой полезной нагрузки разделена на две части: основную информацию о системе командования и контроля (C2) и дополнительный сегмент для переопределения гибкого профиля, который определяет, как можно замаскировать связь C2.

Концепция гибкого профиля в Cobalt Strike, используемая для мониторинга HTTP-индикаторов, рассматривается в контексте CrossC2. Приведен пример профиля, демонстрирующий адрес C2 и указывающий на возможные нарушения безопасности, которые могут раскрыть дополнительную информацию об инфраструктуре злоумышленников. Несмотря на сложную структуру и запутанность CrossC2, текст демонстрирует, что тщательный анализ, включая динамические методы, может выявить важные детали функциональности и инфраструктуры вредоносного ПО.

В конечном счете, в тексте подчеркивается важность тщательного и многогранного подхода к анализу вредоносных программ, демонстрирующего, что даже самые запутанные образцы могут быть проанализированы для извлечения ценной информации.

#ParsedReport #CompletenessLow
22-11-2024

2024 MSC Malware Trends Report

https://asec.ahnlab.com/ko/84693

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique

Geo:
Japan, North korea

CVEs:
CVE-2024-43572 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20796)
- microsoft windows 10 1607 (<10.0.14393.7428)
- microsoft windows 10 1809 (<10.0.17763.6414)
- microsoft windows 10 21h2 (<10.0.19044.5011)
- microsoft windows 10 22h2 (<10.0.19045.5011)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1036, T1059

IOCs:
File: 10
Hash: 5

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в смещении тенденций распространения вредоносных программ с документов MSOffice в сторону таких форматов, как LNK и CHM, с акцентом на появление нового типа вредоносных программ, использующих формат файлов MSC, используемый в консоли управления Microsoft. В ходе анализа были выявлены проблемы, связанные с вредоносным ПО формата MSC, статус его распространения и тактика, используемая злоумышленниками для обмана пользователей с целью получения вредоносной полезной нагрузки.
-----

Тенденции распространения вредоносных программ смещаются от документов MSOffice к таким форматам, как LNK и CHM. Во втором квартале текущего года был выявлен новый тип вредоносного ПО, использующего формат файлов MSC (snap-ins/Management Saved Console), используемый в консоли управления Microsoft (MMC). Файлы формата MSC основаны на XML и могут выполнять такие задачи, как выполнение сценариев, команд и программ. Среди обнаруженных вредоносных программ формата MSC были выявлены два типа: одна из них использует уязвимость CVE-2024-43572 в apds.dll и другой, выполняющий работу с командной строкой через панель задач консоли MMC.

Анализ статуса распространения вредоносного ПО формата MSC по состоянию на октябрь 2024 года показывает диапазон значений на графике, где более высокое значение указывает на увеличение распространения вредоносного ПО. Злоумышленники все чаще используют незнакомые форматы, чтобы обманом заставить пользователей запускать вредоносное ПО, не вызывая подозрений. Обычным пользователям сложно понять назначение или функциональность файлов MSC, и из-за их простого выполнения с помощью двойного щелчка ожидается, что их распространение будет продолжаться.

Один из распространенных типов вредоносных программ MSC использует уязвимость CVE-2024-43572 в apds.dll для выполнения вредоносной нагрузки. Этот тип часто маскируется значками файлов, напоминающими документы PDF или Word, чтобы казаться безобидным. Другой тип вредоносного ПО использует консольную панель задач MMC для выполнения команд, аналогичным образом маскируясь под файл документа или папку. Примечательно, что группа Kimsuky была идентифицирована как распространяющая это вредоносное ПО, в частности, нацеленное на внутренних пользователей и использующее документы-приманки в процессе своей работы.

#ParsedReport #CompletenessMedium
22-11-2024

Unveiling WolfsBane: Gelsemium s Linux counterpart to Gelsevirine

https://www.welivesecurity.com/en/eset-research/unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine

Report completeness: Medium

Actors/Campaigns:
Gelsemium (motivation: cyber_espionage)

Threats:
Wolfsbane
Gelsevirine
Project_wood
Firewood
Dynamic_linker_hijacking_technique
Timestomp_technique
Gelsemine
Antsword
Beurk
Sshdoor

Geo:
Singapore, Philippines, Middle east, Chinese, China, Taiwan, Asia, Ukraine

TTPs:
Tactics: 9
Technics: 22

IOCs:
File: 5
Domain: 2
Hash: 19

Soft:
Linux, Unix, Systemd, Visual Basic for Applications, Apache Tomcat, SELinux, OpenSSH

Algorithms:
aes, rc4, xor, sha1, base64

Languages:
java

Links:
https://github.com/unix-thrust/beurk/tree/dev
https://github.com/AntSwordProject/AntSword-JSP-Template/blob/master/web/shell.jsp
https://github.com/tennc/webshell/blob/master/jsp/icesword.jsp
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили новые бэкдоры для Linux, связанные с китайской Gelsemium group и Project Wood, что указывает на переход к использованию вредоносных программ для Linux группами APT в связи с улучшением мер безопасности Windows. Бэкдоры, названные WolfsBane и FireWood, предназначены для кибершпионажа и обеспечения постоянного доступа для сбора разведданных, с акцентом на использование уязвимостей в системах Linux, работающих через Интернет. Открытие подчеркивает эволюцию тактики хакеров, нацеленных на системы Linux на фоне улучшения безопасности Windows.
-----

Исследователи ESET недавно обнаружили ранее неизвестные бэкдоры для Linux, связанные с китайской Gelsemium group и Project Wood. Первый бэкдор под названием WolfsBane был создан компанией Gelsemium на основе его сходства с известными вредоносными программами для Windows, используемыми этой группой. WolfsBane предназначен для кибершпионажа, нацеленного на конфиденциальные данные с помощью скрытного выполнения команд и поддержания постоянного доступа. Кроме того, был обнаружен второй бэкдор для Linux, FireWood, но он лишь предположительно связан с Gelsemium, и предполагается, что он может быть распространен среди различных китайских APT-групп.

Переход к вредоносному ПО для Linux в APT groups становится все более заметным из-за усовершенствований в мерах безопасности Windows, таких как широкое использование инструментов EDR и решение Microsoft отключить макросы VBA по умолчанию. Этот сдвиг вынуждает хакеров изучать альтернативные направления атак, уделяя особое внимание использованию уязвимостей в системах, ориентированных на Интернет, многие из которых основаны на Linux.

Исследование выявило сходство кода между бэкдорами Linux и известными вредоносными программами для Windows, используемыми Gelsemium, что указывает на тесную связь. WolfsBane идентифицируется как Linux-аналог Gelsevirine, в то время как FireWood ассоциируется с Project Wood. Обнаруженные вредоносные программы направлены на сохранение постоянного доступа для сбора разведывательной информации, избегая при этом обнаружения. Архивы, содержащие эти образцы Linux, были обнаружены в 2023 году на Тайване, Филиппинах и в Сингапуре, вероятно, в результате действий по реагированию на инциденты на скомпрометированных серверах.

Цепочка выполнения бэкдора WolfsBane включает в себя дроппер, лаунчер и компоненты бэкдора, которые стремятся обеспечить постоянство и скрыть вредоносные действия с помощью руткитов на уровне пользователя. С другой стороны, бэкдор FireWood является продолжением вредоносного ПО Project Wood, использующего модули драйверов ядра для сокрытия процессов и взаимодействия с драйверами ядра по протоколу Netlink.

В дополнение к бэкдорам, другие инструменты, найденные в архивах, включают в себя программу для кражи паролей SSH и различные веб-оболочки, предназначенные для удаленного управления и утечки данных. Это обнаружение вредоносных программ для Linux, используемых Gelsemium, представляет собой значительный сдвиг в их тактике и подчеркивает растущее внимание хакеров к системам Linux на фоне улучшенных мер безопасности Windows.

#ParsedReport #CompletenessLow
22-11-2024

Tracing the Path of VietCredCare and DuckTail: Vietnamese dark market of infostealers data

https://www.group-ib.com/blog/tracing-the-path-of-vietcredcare-and-ducktail

Report completeness: Low

Actors/Campaigns:
Ducktail (motivation: cyber_criminal, financially_motivated)

Threats:
Vietcredcare
Ducktail_stealer
Spear-phishing_technique

Victims:
Facebook business accounts

Industry:
E-commerce

Geo:
Vietnamese, Vietnam

ChatGPT TTPs:
do not use without manual check
T1071, T1566.001, T1078, T1036.005, T1105

Soft:
Telegram, Microsoft Excel, WhatsApp, Dropbox, Microsoft OneDrive, CocCoc, Firefox, Mozilla Firefox, Microsoft Edge, Google Chrome, have more...

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в сравнении двух вьетнамских семейств вредоносных программ VietCredCare и DuckTail, которые нацелены на бизнес-аккаунты Facebook для проведения несанкционированных рекламных кампаний. Несмотря на различия в операционных моделях, структуре кода и стратегиях монетизации, у них есть общие черты в таких тактиках, как таргетинг на аккаунты Facebook, использование фишинга и использование Telegram для утечки данных. Обе группы действуют независимо в сфере киберугроз во Вьетнаме, и, хотя некоторые из них были арестованы, после ареста продолжают появляться новые версии инфокрадов. Конечная цель этих семейств вредоносных программ - использовать скомпрометированные учетные записи для получения финансовой выгоды, что подчеркивает сохраняющуюся угрозу кражи учетных записей в социальных сетях во Вьетнаме.
-----

В мае 2024 года во Вьетнаме были арестованы более 20 человек, участвовавших в кампаниях по распространению информации на Facebook.

Два семейства вредоносных программ, VietCredCare и DuckTail, контролируемые вьетнамскими хакерами, нацелились на бизнес-аккаунты Facebook для проведения несанкционированных рекламных кампаний.

Активность VietCredCare снизилась после арестов, в то время как DuckTail продолжила свою деятельность, проводя текущие кампании и обновляя информацию.

VietCredCare и DuckTail имеют разные операционные модели, структуру кода, методы распространения и стратегии монетизации, что указывает на независимые операции.

После ареста появились новые версии инфокрадов, нацеленных на аккаунты Facebook.

Операторы монетизируют украденные данные, продавая скомпрометированные аккаунты, предлагая рекламные кампании в Facebook и создавая поддельные интернет-магазины.

VietCredCare и DuckTail схожи в таргетинге на аккаунты Facebook, краже информации, тактике скрытого фишинга и использовании Telegram для утечки данных.

VietCredCare распространялась через платформы обмена сообщениями и электронную почту, в то время как DuckTail использовала профессионально выглядящие приманки на таких платформах, как LinkedIn и ссылки на облачные хранилища для распространения.

VietCredCare отправляет данные жертв через Telegram в текстовых файлах, в то время как DuckTail отправляет зашифрованные данные в ZIP-архивах, включая информацию о браузере, IP-адреса и данные учетной записи Facebook.

Операторы обрабатывают украденные данные для идентификации с помощью файлов cookie или токенов сеанса, при этом VietCredCare в основном продает скомпрометированные аккаунты, а DuckTail фокусируется на успешных рекламных кампаниях или использует аккаунты Facebook Business Manager для поддельной рекламы магазинов.

Несмотря на различия, оба семейства вредоносных программ нацелены на использование скомпрометированных аккаунтов для получения финансовой выгоды, демонстрируя экосистему аналогичных вредоносных программ, нацеленных на аккаунты Facebook во Вьетнаме.

#ParsedReport #CompletenessMedium
22-11-2024

A Bag of RATs: VenomRAT vs. AsyncRAT

https://www.rapid7.com/blog/post/2024/11/21/a-bag-of-rats-venomrat-vs-asyncrat

Report completeness: Medium

Actors/Campaigns:
Blindeagle
Nullbulge
Opera1er

Threats:
Venomrat
Asyncrat
Dcrat
Quasar_rat
Amsi_bypass_technique
Sharpsploit

TTPs:
Tactics: 1
Technics: 12

IOCs:
File: 18
Hash: 2

Soft:
NET Framework, VirtualBox, Hyper-V, Windows Registry, Windows security, Event Tracing for Windows

Algorithms:
aes

Functions:
GetCPUName, GetRAM, GetGPU, GetInstalledApplications, GetUserProcessList, GetLibraryAddress, GetExportAddress

Win API:
msiScanBuffer in, EtwEventWrite, CheckRemoteDebuggerPresent, CreateToolhelp32Snapshot, AmsiScanBuffer, NtProtectVirtualMemory

YARA: Found

Links:
https://github.com/mandiant/capa/tree/master/web/explorer
https://github.com/TheWover/DInvoke
https://github.com/cobbr/SharpSploit/tree/master/SharpSploit/Evasion
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в сравнении и анализе двух популярных инструментов удаленного доступа, VenomRAT и AsyncRAT, которые развились из проекта с открытым исходным кодом QuasarRAT. Анализ выявляет их функциональные возможности, различия и эволюцию, подчеркивая необходимость в обновленных правилах обнаружения для устранения этих различных угроз. Кроме того, в тексте упоминается, что Rapid7 распространяет обновленное правило VenomRAT YARA, чтобы помочь в обнаружении и реагировании.
-----

В тексте обсуждается появление двух популярных инструментов удаленного доступа (RATs), известных как VenomRAT и AsyncRAT, которые произошли от проекта с открытым исходным кодом QuasarRAT. Эти крысы привлекли к себе внимание благодаря их частому использованию различными хакерами, такими как Blind Eagle, Coral Rider, NullBulge и OPERA1ER. Несмотря на общие корни, VenomRAT и AsyncRAT со временем разошлись в функционале и поведении, что создает проблемы для систем обнаружения.

Был проведен подробный технический анализ, в котором сравнивались архитектура, возможности и тактика VenomRAT и AsyncRAT. Оба RAT разработаны на C# и основаны на платформе .NET Framework. Анализ выявил общие характеристики, включая использование стандартных библиотек для обработки файлов и шифрования. Однако были также выявлены некоторые различия, такие как уникальная длина кода шифрования и реализация кейлоггинга. Было обнаружено, что VenomRAT обладает более совершенными методами обхода и возможностями аппаратного взаимодействия по сравнению с AsyncRAT.

Одной из примечательных особенностей VenomRAT является включение специальных классов, таких как AntiProcess и Camera, которые отсутствуют в AsyncRAT. Класс AntiProcess служит в качестве компонента защиты от мониторинга и детектирования, позволяя обходить механизмы безопасности, такие как AMSI и ETW, чтобы избежать использования антивирусов и средств мониторинга. Класс DInvokeCore в VenomRAT динамически разрешает и вызывает функции Windows API во время выполнения, что затрудняет выявление вредоносных действий традиционными системами обнаружения.

Анализ показывает, как VenomRAT эволюционировал, выйдя за рамки семейства QuasarRAT, включив возможности других проектов с открытым исходным кодом, таких как DcRAT и SharpSploit. Хотя VenomRAT и AsyncRAT связаны, VenomRAT демонстрирует более сложные методы уклонения. Подчеркивается важность рассмотрения их как отдельных угроз, что настоятельно призывает поставщиков средств безопасности соответствующим образом обновить свои правила обнаружения.

Чтобы помочь в обнаружении и реагировании, Rapid7 представила сообществу обновленное правило VenomRAT YARA. Клиентам, использующим InsightIDR и управляемые службы обнаружения и реагирования, рекомендуется установить Insight Agent на все применимые хосты, чтобы улучшить видимость потенциальных угроз безопасности. Предоставленное правило YARA нацелено на вредоносные хэши, связанные с поведением, приписываемым VenomRAT, с целью улучшения охвата обнаружения.

#ParsedReport #CompletenessLow
22-11-2024

Cracking Braodo Stealer: Analyzing Python Malware and Its Obfuscated Loader

https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html

Report completeness: Low

Threats:
Braodo
Abobus_tool
Msedge

TTPs:

IOCs:
File: 8

Soft:
Telegram, Chrome, Firefox, Opera, Chromium, chrome, Firefox, Slack

Algorithms:
zip, base64, aes

Languages:
python, powershell

Links:
https://github.com/EscaLag/Abobus-obfuscator
have more...
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Braodo Stealer - это семейство сложных вредоносных программ, которые нацелены на конфиденциальную информацию, такую как учетные данные, файлы cookie и системные данные, используя различные методы обфускации, чтобы избежать обнаружения. Для распространения он использует такие платформы, как GitHub и GitLab, использует ботов Telegram в качестве каналов связи C2 и фокусируется на извлечении учетных данных из популярных веб-браузеров. Обсуждаются методы обнаружения и стратегии смягчения последствий, которые помогут специалистам по безопасности эффективно бороться с этой киберугрозой.
-----

Braodo Stealer - это семейство сложных вредоносных программ, нацеленных на конфиденциальную информацию, такую как учетные данные, файлы cookie и системные данные.

Он в основном написан на Python и использует различные методы обфускации, чтобы избежать обнаружения.

Braodo Stealer использует такие платформы, как GitHub и GitLab, для распространения своих вредоносных программ.

Он использует Telegram-ботов в качестве каналов управления для скрытой коммуникации и утечки данных.

Вредоносная программа использует запутанный пакетный скрипт в качестве загрузчика своей полезной нагрузки, чтобы препятствовать обнаружению.

Braodo Stealer обеспечивает устойчивость на скомпрометированных хостах, используя ключи запуска реестра для автоматического выполнения своего кода при загрузке системы.

Он собирает учетные данные из таких веб-браузеров, как Chrome, Firefox, Microsoft Edge и других.

Методы обнаружения Braodo Stealer включают мониторинг временных каталогов на наличие файлов, содержащих пароли, файлы cookie и сохраненную информацию об учетной записи для входа.

Команда исследователей угроз Splunk предоставляет ценную информацию и ресурсы для борьбы с Braodo Stealer.