#ParsedReport #CompletenessLow
22-11-2024

Cracking Braodo Stealer: Analyzing Python Malware and Its Obfuscated Loader

https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html

Report completeness: Low

Threats:
Braodo
Abobus_tool
Msedge

TTPs:

IOCs:
File: 8

Soft:
Telegram, Chrome, Firefox, Opera, Chromium, chrome, Firefox, Slack

Algorithms:
zip, base64, aes

Languages:
python, powershell

Links:
https://github.com/EscaLag/Abobus-obfuscator
have more...
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Braodo Stealer - это семейство сложных вредоносных программ, которые нацелены на конфиденциальную информацию, такую как учетные данные, файлы cookie и системные данные, используя различные методы обфускации, чтобы избежать обнаружения. Для распространения он использует такие платформы, как GitHub и GitLab, использует ботов Telegram в качестве каналов связи C2 и фокусируется на извлечении учетных данных из популярных веб-браузеров. Обсуждаются методы обнаружения и стратегии смягчения последствий, которые помогут специалистам по безопасности эффективно бороться с этой киберугрозой.
-----

Braodo Stealer - это семейство сложных вредоносных программ, нацеленных на конфиденциальную информацию, такую как учетные данные, файлы cookie и системные данные.

Он в основном написан на Python и использует различные методы обфускации, чтобы избежать обнаружения.

Braodo Stealer использует такие платформы, как GitHub и GitLab, для распространения своих вредоносных программ.

Он использует Telegram-ботов в качестве каналов управления для скрытой коммуникации и утечки данных.

Вредоносная программа использует запутанный пакетный скрипт в качестве загрузчика своей полезной нагрузки, чтобы препятствовать обнаружению.

Braodo Stealer обеспечивает устойчивость на скомпрометированных хостах, используя ключи запуска реестра для автоматического выполнения своего кода при загрузке системы.

Он собирает учетные данные из таких веб-браузеров, как Chrome, Firefox, Microsoft Edge и других.

Методы обнаружения Braodo Stealer включают мониторинг временных каталогов на наличие файлов, содержащих пароли, файлы cookie и сохраненную информацию об учетной записи для входа.

Команда исследователей угроз Splunk предоставляет ценную информацию и ресурсы для борьбы с Braodo Stealer.

#ParsedReport #CompletenessMedium
22-11-2024

AiTM Phishing, Hold the Gabagool: Analyzing the Gabagool Phishing Kit. Case study

https://medium.com/trac-labs/aitm-phishing-hold-the-gabagool-analyzing-the-gabagool-phishing-kit-531f5bbaf0e4

Report completeness: Medium

Threats:
Aitm_technique
Gabagool_tool
Credential_harvesting_technique

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1078

IOCs:
Hash: 2
File: 3
Coin: 1

Soft:
Cloudflare R2, Twitter, Selenium, CryptoJS, office365, outlook, Unix

Algorithms:
hmac, aes, sha256, base64

Functions:
setCookie, getCookie, setInterval

Languages:
javascript

Platforms:
x64

Links:
https://github.com/TRACLabs1/Phishing/blob/main/Gabagool/Gabagool-IOCs-11-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинговая кампания Gabagool нацелена на корпоративных и государственных служащих, используя пакеты Cloudflare R2 для размещения вредоносного контента. Злоумышленники начинают свои операции с компрометации учетных записей электронной почты и отправки фишинговых писем, содержащих вредоносные ссылки, которые ведут к поддельным документам, размещенным на таких платформах, как SharePoint, и перенаправляют жертв на скрытые фишинговые страницы в корзинах Cloudflare R2. В кампании также используются такие тактические приемы, как укороченные URL-адреса с цепочками перенаправлений и шифрование AES для связи с сервером. Аналитикам Threat intelligence рекомендуется отслеживать соответствующие показатели компрометации и анализировать сетевой трафик для выявления угроз и устранения их последствий.
-----

Фишинговая кампания под названием "Gabagool" нацелена на корпоративных и государственных служащих.

Использует пакеты Cloudflare R2 для размещения вредоносного контента, используя репутацию Cloudflare.

Злоумышленники компрометируют учетные записи электронной почты, чтобы отправлять фишинговые письма с вредоносными ссылками на поддельные документы, размещенные на таких платформах, как SharePoint, SugarSync или Box.

URL-адреса, используемые в кампании, имеют определенный формат и ведут на фишинговые целевые страницы для сбора учетных данных.

Используется множество тактик, включая сокращенные URL-адреса, схемы QR-кодов и шифрование AES для безопасной связи с сервером.

Код набора для фишинга включает в себя функции для манипулирования стилями CSS, отслеживания взаимодействия пользователя с целевой страницей и сбора введенных пользователем данных.

Рекомендации включают мониторинг подключений к пакетам Cloudflare R2, отслеживание трафика на известные вредоносные серверы и анализ сетевого трафика на наличие признаков компрометации.

#ParsedReport #CompletenessLow
25-11-2024

Ghost Tap: New cash-out tactic with NFC Relay

https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay

Report completeness: Low

Threats:
Ghost_tap_technique
Nfskate
Ngate
Nfcgate_tool

Industry:
Financial, Retail

ChatGPT TTPs:
do not use without manual check
T1576, T1056, T1566

Soft:
Android

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении новой тактики мошенничества под названием "Призрачный перехват", которая заключается в том, что киберпреступники используют украденные данные кредитных карт, привязанных к мобильным платежным сервисам, таким как Google Pay и Apple Pay, посредством ретрансляции трафика NFC. Эта тактика позволяет совершать значительные покупки в автономном режиме с помощью украденных карт, привязанных к новым устройствам, сохраняя при этом анонимность, что создает трудности для финансовых учреждений в выявлении и предотвращении такого мошенничества. Сотрудничество и передовые методы обнаружения необходимы для борьбы с возникающими угрозами в финансовом секторе.
-----

Мошенники постоянно ищут новые способы обналичивания украденных средств, стремясь избежать обнаружения финансовыми учреждениями и сохранить анонимность. Недавно аналитики ThreatFabric раскрыли новую тактику, известную как "Призрачный перехват", при которой хакеры используют украденные данные кредитных карт, привязанных к мобильным платежным сервисам, таким как Google Pay и Apple Pay, посредством ретрансляции трафика NFC.

В рамках этой схемы киберпреступники получают OTP от банков, часто используя такие тактические приемы, как вредоносное ПО для мобильного банкинга, оверлейные атаки, кейлоггинг или фишинг. Привязывая украденные карты к новым устройствам, преступники могут совершать значительные покупки в автономном режиме, используя привязанные карты. Однако этот метод сопряжен с рисками, поскольку прямое использование украденных карт может привести к идентификации правоохранительными органами, а быстрая обработка нескольких карт может увеличить вероятность их блокировки эмитентами.

Чтобы решить эти проблемы, хакеры внедрили инструмент NFCGate для ретрансляции NFC-трафика между устройством с украденной картой и mule (физическим лицом, совершающим покупки в розничной сети), что позволяет осуществлять масштабные выплаты при сохранении анонимности. Эта тактика использует законные исследовательские инструменты, такие как NFCGate, в злонамеренных целях, демонстрируя, как киберпреступники используют научные исследования для получения незаконной выгоды.

Финансовые учреждения сталкиваются с трудностями при выявлении мошенничества с использованием Ghost Tap из-за таких признаков, как карты, привязанные к новым устройствам, или многочисленные транзакции, совершенные в недоступных местах в течение короткого периода времени. Поскольку киберпреступники все больше внимания уделяют атакам на основе NFC, метод Ghost Tap представляет серьезную проблему для организаций, позволяя совершать быстрые и анонимные мошеннические покупки, которые могут остаться незамеченными механизмами борьбы с мошенничеством.

Эффективное предотвращение мошенничества с использованием Ghost Tap требует бдительности в отношении подозрительного поведения на устройствах клиентов, которое может указывать на кражу данных кредитных карт, что может привести к несанкционированным транзакциям. Поскольку финансовый сектор сталкивается с ростом числа атак на основе NFC, сотрудничество и передовые методы обнаружения необходимы для борьбы с возникающими угрозами и эффективной защиты активов клиентов.

#ParsedReport #CompletenessMedium
24-11-2024

MUT-8694: An NPM and PyPI Malicious Campaign Targeting Windows Users

https://securitylabs.datadoghq.com/articles/mut-8964-an-npm-and-pypi-malicious-campaign-targeting-windows-users

Report completeness: Medium

Actors/Campaigns:
Mut-8694

Threats:
Supply_chain_technique
Blankgrabber
Skuld
Typosquatting_technique
Screen_shotting_technique
Uac_bypass_technique

Victims:
Developers, Discord users

Industry:
Entertainment

Geo:
England, United kingdom, London

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1105, T1185, T1562.001, T1113

IOCs:
File: 4
Url: 5
Command: 6
Path: 2
Registry: 1
Hash: 3

Soft:
Android, Roblox, PyInstaller, Telegram, Discord, Windows Defender, Chromium, twitter

Wallets:
exodus_wallet, electrum

Crypto:
ethereum

Algorithms:
base64, zip

Functions:
Set-MpPreference, Windows

Win API:
IsDebuggerPresent

Languages:
javascript, powershell, python

Platforms:
apple

YARA: Found

Links:
https://github.com/hackirby/skuld/tree/main
https://github.com/Blank-c/Blank-Grabber
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследование Datadog в области безопасности выявило MUT-8694, атаку на цепочку поставок, направленную на хранилища пакетов npm и PyPI, в результате которой пользователям Windows были отправлены вредоносные пакеты, содержащие вредоносное ПО infostealer. Атака использует легальные сервисы, такие как GitHub и repl.it, для размещения дополнительной полезной нагрузки, демонстрируя настойчивость хакера, его адаптивность и нацеленность на игровые сообщества и пользователей Discord для кражи учетных данных и эксплойтов, связанных с криптографией.
-----

Исследование Datadog в области безопасности выявило атаку на цепочку поставок, направленную как на хранилища пакетов npm, так и на PyPI, известную как MUT-8694. Это первый случай, когда хакер атаковал две разные экосистемы пакетов одновременно. Атака включает в себя развертывание вредоносных пакетов, которые доставляют вредоносное ПО infostealer пользователям Windows, используя легальные сервисы, такие как GitHub и repl.it для размещения дополнительной полезной нагрузки. Кампания имеет сходство с предыдущей кампанией, описанной исследователями из Socket.

GuardDog, CLI-инструмент Datadog, обнаружил новую угрозу в экосистеме PyPI 10 октября 2024 года. Было обнаружено, что вредоносный пакет с именем "larpexodus" выполняет команду PowerShell, которая извлекает и запускает вредоносное ПО infostealer из внешнего источника. Анализ выявил, что вредоносное ПО -это Blank Grabber, скомпилированное из проекта с открытым исходным кодом на GitHub, а другой образец был взят из проекта Skuld Stealer. Дальнейшее расследование выявило множество похожих двоичных файлов в пакетах на npm, что указывает на более широкую кампанию в разных экосистемах пакетов.

Вредоносные пакеты как в npm, так и в PyPI маскируются под легальное программное обеспечение, часто используя методы опечатывания. GuardDog выявил 42 вредоносных пакета, связанных с этой кампанией в PyPI. Эти пакеты, в том числе такие, как "nodelogic", предназначены для устранения проблем, связанных с программным обеспечением, но на самом деле после установки запускают вредоносное ПО infostealer.

Вредоносное ПО в этих пакетах предназначено для получения полезной информации infostealer из различных источников. Код в пакетах автоматически выполняется при установке, извлекая вредоносное ПО с GitHub и repl.it. Обнаруженная вредоносная программа включает в себя инфокрад Blank Grabber и Skuld Stealer, нацеленные на пользователей Windows с такими возможностями, как кража файлов cookie браузера, криптовалютных кошельков, скриншотов и сведение к минимуму обнаружения с помощью программного обеспечения безопасности, такого как Windows Defender.

Анализ Blank Grabber показал, что вредоносная программа обладает возможностями уклонения и может извлекать украденные данные с помощью веб-сайтов Discord или ботов Telegram. Она может собирать информацию о системе жертвы, отключать функции защитника Windows, делать скриншоты и извлекать конфиденциальную информацию, такую как файлы cookie браузера и ключи продукта. Программа Skuld Stealer, написанная на Go, ориентирована на пользователей Discord в Windows и содержит функции, позволяющие избежать обнаружения, сохраняться в качестве элемента запуска и извлекать украденные учетные данные через веб-узлы Discord.

Хакер, стоящий за MUT-8694, демонстрирует настойчивость и адаптивность, организуя сложную атаку на цепочку поставок, нацеленную на несколько экосистем пакетов. Они используют такие методы, как поиск опечаток, обфускация и легальные сервисы, для доставки вредоносной полезной нагрузки. Внимание к игровым сообществам и пользователям Discord в связи с кражей учетных данных и эксплойтами, связанными с криптографией, подчеркивает их стратегические цели.

#ParsedReport #CompletenessLow
25-11-2024

JarkaStealer in PyPI repository

https://www.kaspersky.ru/blog/jarkastealer-in-pypi-packages/38624

Report completeness: Low

Threats:
Jarkastealer
Supply_chain_technique

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...
CVE-2024-10924 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- really-simple-plugins really simple security (<9.1.2)


ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1608.003, T1105, T1041, T1587.001

IOCs:
File: 1

Soft:
ChatGPT, OpenAI, Dropbox, Telegram, Discord, Steam

Languages:
java, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Глобальная исследовательская и аналитическая группа (GReAT) обнаружила вредоносные пакеты для интеграции с ИИ, содержащие вредоносное ПО JarkaStealer, в репозитории Python Package Index (PyPI), что подчеркивает постоянную угрозу, исходящую от таких атак, и подчеркивает необходимость постоянной бдительности в средах разработки программного обеспечения.
-----

Глобальная команда исследователей и аналитиков (GReAT) обнаружила в репозитории Python Package Index (PyPI) вредоносные пакеты для интеграции с искусственным интеллектом, содержащие вредоносное ПО stealer. Эти пакеты были замаскированы под библиотеки для работы с популярными языковыми моделями, но на самом деле были предназначены для установки вредоносного ПО JarkaStealer. Два вредоносных пакета, названные gptplus и claudeai-eng, были загружены в PyPI одним и тем же автором. Оба пакета утверждали, что предоставляют доступ к продвинутым API искусственного интеллекта, но на самом деле использовали демо-версию ChatGPT для обмана жертв. Пакеты включали инструкции о том, как взаимодействовать с языковыми моделями, но их базовый код содержал механизмы загрузки вредоносного ПО JarkaStealer на компьютер жертвы.

Вредоносная программа JarkaStealer, вероятно, созданная русскоязычными авторами, в основном используется для кражи конфиденциальных данных и передачи их хакерам. Он распространяется через Telegram по модели malware-as-a-service (MaaS), а его исходный код был найден на GitHub, что указывает на потенциальное участие других участников в распространении вредоносного ПО. Обнаружив вредоносные пакеты в PyPI, команда GReAT незамедлительно предупредила администраторов, которые удалили пакеты из хранилища. Однако этот инцидент служит напоминанием о постоянной угрозе, исходящей от подобных атак, и подчеркивает необходимость сохранения бдительности.

Пользователям, которые, возможно, случайно загрузили вредоносные пакеты, рекомендуется немедленно удалить их. Хотя вредоносная программа JarkaStealer не сохраняется в системе и активируется только при использовании пакета, скомпрометированные учетные данные и токены следует незамедлительно изменить, чтобы снизить потенциальные риски. Разработчикам настоятельно рекомендуется проявлять осторожность при внедрении пакетов программного обеспечения с открытым исходным кодом в свои проекты, особенно связанные с технологиями искусственного интеллекта. Проведение тщательного анализа зависимостей и элементов цепочки поставок программных продуктов может помочь снизить риски, связанные с интеграцией программного обеспечения сторонних производителей.

Для повышения уровня безопасности и предотвращения атак на цепочки поставок рекомендуется использовать корпоративные решения для обеспечения безопасности, которые предоставляют информацию об угрозах, связанных с компонентами с открытым исходным кодом. Постоянный мониторинг действий, связанных с вредоносным ПО JarkaStealer, и регулярное сканирование репозиториев с открытым исходным кодом на наличие потенциальных угроз являются важными мерами защиты от вредоносных действий, нацеленных на среды разработки программного обеспечения.

#ParsedReport #CompletenessHigh
25-11-2024

Russia-Aligned TAG-110 Targets Asia and Europe with HATVIBE and CHERRYSPY

https://go.recordedfuture.com/hubfs/reports/CTA-RU-2024-1121.pdf

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Ghostwriter (motivation: cyber_espionage)

Threats:
Hatvibe
Cherryspy
Pyarmor_tool
Themida_tool
Typosquatting_technique
Spear-phishing_technique

Victims:
National center for human rights of the republic of uzbekistan, Kmg-security, Tajik educational and research institution

Industry:
Petroleum, Government, Education, Military

Geo:
Armenia, Mongolia, Uzbekistan, Greece, Kazakhstan, Ukraine, Russia, India, Asian, Israel, Kyrgyzstan, Asia, China, Tajikistan, Moscow, Hungary, Russian, Turkmenistan

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http file server (le2.3m)


TTPs:
Tactics: 2
Technics: 11

IOCs:
File: 3
IP: 11
Domain: 11
Hash: 2

Soft:
Microsoft Word, outlook

Algorithms:
aes, base64, sha256, md5, gzip, deflate, xor

Functions:
CreateObject

Languages:
python, php, visual_basic

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является раскрытие кампании кибершпионажа, проводимой группой TAG-110, связанной с Россией и нацеленной на организации в Центральной Азии, Восточной Азии и Европе, для поддержки деятельности России в Украине и мониторинга геополитических событий в соседних странах. Группа использует пользовательские вредоносные программы, такие как HATVIBE и CHERRYSPY, для проникновения в организации, при этом предполагается, что первоначальный доступ осуществляется через вредоносные вложения электронной почты или уязвимые веб-сервисы. Группа Insikt выявила 62 жертвы в разных странах и подготовила рекомендации по усилению безопасности и использованию инструментов анализа угроз. Ожидается, что группа продолжит наносить удары по государствам Центральной Азии, Украине и поддерживающим государствам региона, руководствуясь интересами национальной безопасности, военными операциями и геополитическим влиянием.
-----

Кампания по кибершпионажу, проводимая TAG-110 совместно с Россией, нацелена на правительственный сектор, сектор прав человека и сектор образования, в первую очередь в Центральной Азии, с целью поддержки деятельности России на Украине и мониторинга геополитических событий в соседних странах.

TAG-110 внедряет пользовательские вредоносные программы, такие как HATVIBE loader и CHERRYSPY backdoor, для проникновения в организации в Центральной Азии, Восточной Азии и Европе, при этом первоначальный доступ, вероятно, осуществляется через вредоносные вложения электронной почты или с использованием уязвимых веб-сервисов, таких как Rejetto HTTP File Server.

Заметными жертвами кампании стали организации в таких странах, как Армения, Китай, Греция, Индия, Казахстан, Кыргызстан, Таджикистан, Туркменистан, Украина и Узбекистан.

Меры обнаружения включают правила идентификации для связи HATVIBE C2, правило YARA для файлов HATVIBE и рекомендации по безопасности, включая обучение по повышению уровня безопасности, многофакторную аутентификацию и системы оповещения в режиме реального времени.

Ожидается, что кампания продолжится, сосредоточив внимание на государствах Центральной Азии, Украине и поддерживающих государствах региона, с инфраструктурой и соглашениями о TTP, включая инфраструктуру VPS и соглашение об именовании доменов C2, состоящее из двух слов.

#ParsedReport #CompletenessHigh
24-11-2024

Arctic Wolf Observes Threat Campaign Targeting Palo Alto Networks Firewall Devices

https://arcticwolf.com/resources/blog/arctic-wolf-observes-threat-campaign-targeting-palo-alto-networks-firewall-devices

Report completeness: High

Threats:
Sliver_c2_tool
Cobalt_strike
Upx_tool
Coinminer
Xmrig_miner
Timestomp_technique
Credential_dumping_technique
Aurora

Industry:
Government, Healthcare

Geo:
United kingdom, Jordan

CVEs:
CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 6
IP: 14
Coin: 1
Domain: 1
Hash: 1

Soft:
PAN-OS, curl, Linux, AN-OS so, url to

Algorithms:
base64, xor, sha256, ghostrider

Languages:
javascript, php