#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют такие инструменты, как Blov HTML Crypter, для усиления тактики фишинга, скрывая вредоносный HTML-контент, что затрудняет его обнаружение системами безопасности. Этот инструмент использует такие методы, как минимизация, шифрование и кодировка, для преобразования HTML-файлов, что позволяет злоумышленникам распространять их по различным каналам и избегать обнаружения в течение длительного времени. Используя шифрование AES, Blov HTML Crypter создает проблемы для обнаружения, что делает фишинговые атаки более успешными. Для противодействия этим развивающимся методам фишинга необходимы передовые методы, такие как поведенческий анализ и мониторинг процесса выполнения JavaScript.
-----

Киберпреступники используют Blov HTML Crypter для улучшения тактики фишинга, изменяя HTML-файлы, чтобы обойти сканеры безопасности с помощью таких методов, как минимизация, шифрование и кодирование.

Измененные HTML-файлы могут распространяться по различным каналам, таким как вложения в электронную почту, ссылки на чат-сервисы, сообщения в социальных сетях или облачные платформы, и оставаться незамеченными в течение длительного времени.

HTML-фишинг предполагает внедрение скрытого кода в обычные веб-файлы с целью обмана отдельных лиц с целью раскрытия конфиденциальной информации, которая обычно используется в фишинговых электронных письмах, чтобы мошенничество выглядело законным.

Blov HTML Crypter поддерживает различные форматы файлов на основе HTML и использует минимизацию CSS и HTML, обфускацию JavaScript и шифрование AES для сокрытия вредоносного кода, что затрудняет обнаружение вредоносного кода средствами безопасности.

Использование шифрования AES в Blov HTML Crypter сопряжено со значительными трудностями при обнаружении, поскольку зашифрованный контент отображается в виде случайных данных, что позволяет обойти традиционные инструменты статического анализа.

#ParsedReport #CompletenessLow
25-11-2024

Evolving Threats: The Adaptive Design of XWorm Malware

https://www.seqrite.com/blog/evolving-threats-the-adaptive-design-of-xworm-malware

Report completeness: Low

Threats:
Xworm_rat
Process_injection_technique

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 2
Hash: 2

Algorithms:
base64, md5, aes

Languages:
visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается XWorm, сложная и легко адаптируемая вредоносная программа с тактикой уклонения и модульной конструкцией. Она использует методы обфускации, взаимодействует с сервером управления и демонстрирует стратегическое поведение, позволяющее избежать обнаружения. XWorm собирает системную информацию, манипулирует настройками DNS, самообновляется и может удалять следы, чтобы избежать обнаружения. Понимание возможностей XWorm имеет решающее значение для борьбы с этим устойчивым и адаптируемым вредоносным ПО.
-----

XWorm - это сложная и легко адаптируемая вредоносная программа, известная своей тактикой обхода и модульной конструкцией. Она использует методы обфускации, чтобы избежать обнаружения, и взаимодействует с сервером управления (C2) для выполнения вредоносных действий. После запуска вредоносная программа расшифровывает свои настройки конфигурации и устанавливает скрытое присутствие, создавая мьютекс для предотвращения конфликтов с несколькими экземплярами. Связь с сервером C2 зашифрована с помощью AES, что позволяет удаленно отслеживать зараженные системы и выдавать команды.

Вредоносная программа демонстрирует стратегическое поведение, при котором она сначала находится в спящем режиме в течение трех секунд, прежде чем расшифровать свои параметры конфигурации, которые включают такие важные данные, как хост, порт, ключ и версия. После расшифровки XWorm создает мьютекс для обеспечения одиночного выполнения и завершает работу, если мьютекс уже существует. Такой подход сводит к минимуму риск обнаружения средствами защиты. Кроме того, он устанавливает соединение по TCP-сокету с сервером C2, обеспечивая передачу и прием данных. Вредоносная программа поддерживает активное соединение, отправляя ping-сообщения через регулярные промежутки времени, и ожидает ответа pong для обеспечения бесперебойной связи с сервером C2.

XWorm собирает исчерпывающую системную информацию с компьютера жертвы, включая имя хоста, имя пользователя, сведения о драйвере и технические характеристики оборудования, такие как информация о процессоре и графическом процессоре GPU. Сбор этих данных помогает злоумышленникам анализировать систему и планировать дальнейшие вредоносные действия. Собранная информация шифруется с использованием AES-шифрования перед отправкой на сервер C2, что повышает безопасность при передаче. Затем вредоносная программа обрабатывает ответы с сервера C2, расшифровывая их и сравнивая с жестко заданными значениями, чтобы определить последующие действия.

Одной из примечательных функций XWorm является его способность манипулировать настройками DNS, считывая и изменяя файл hosts жертвы. Эта возможность позволяет проводить атаки с использованием DNS-манипуляций, позволяя вредоносному ПО отправлять копию файла hosts злоумышленнику, получать изменения и подтверждать успешные операции. XWorm также может самостоятельно обновлять и удалять следы из системы, чтобы избежать обнаружения. Записывая файлы во временный каталог, создавая пакетные файлы для самоудаления и используя модульную структуру для управления функциональностью, XWorm может адаптироваться к различным средам и оставаться скрытым в зараженных системах.

Методы обхода вредоносного ПО подчеркивают важность надежных мер безопасности, постоянного мониторинга и упреждающего обнаружения угроз для защиты от таких сложных угроз. Гибкость в добавлении или удалении функциональных возможностей в виде плагинов подчеркивает динамичный характер XWorm, что делает его серьезной угрозой, требующей тщательного подхода к кибербезопасности. Понимание возможностей и тактики работы XWorm имеет решающее значение для эффективной борьбы с этим устойчивым и адаптируемым вариантом вредоносного ПО.

#ParsedReport #CompletenessMedium
25-11-2024

CyberVolk \| A Deep Dive into the Hacktivists, Tools and Ransomware Fueling Pro-Russian Cyber Attacks

https://www.sentinelone.com/labs/cybervolk-a-deep-dive-into-the-hacktivists-tools-and-ransomware-fueling-pro-russian-cyber-attacks

Report completeness: Medium

Actors/Campaigns:
Cybervolk (motivation: hacktivism, politically_motivated)
Doubleface (motivation: hacktivism)
Moroccan_dragons
Lapsus
Noname057
Mosesstaff (motivation: hacktivism)
Rippersec (motivation: hacktivism)
Hunt3r_kill3rs

Threats:
Azzasec
Hexalocker
Paraodeus
Lockbit
Cybervolk_ransomware
Avkiller
Amsi_bypass_technique
Process_injection_technique
Uac_bypass_technique
Screenlocker
Lbx_grabber
Blx_stealer

Industry:
Government, Petroleum

Geo:
Russian, India, Spain

ChatGPT TTPs:
do not use without manual check
T1027, T1562, T1083

IOCs:
File: 6
Hash: 30
Domain: 1

Soft:
Telegram, Visual Studio, Discord, CPanel, WordPress

Algorithms:
aes-128, base64, aes, rsa-2048, aes-256, rsa-4096

Languages:
php, golang, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CyberVolk/GLORIAMIST - это политически мотивированный коллектив хактивистов с пророссийскими взглядами, который активно участвует в атаках программ-вымогателей, нацеленных на организации во многих странах. Они тесно связаны с другими группами программ-вымогателей, такими как AzzaSec и DoubleFace, и известны тем, что перепрофилируют существующие вредоносные программы и разрабатывают сложные инструменты. Группа управляет программой-вымогателем как услугой (RaaS) и заключает альянсы с другими группами хактивистов, что делает их динамичными и сложными для отслеживания. Их деятельность, включая операции с программами-вымогателями, распространение вредоносных программ infostealer и развертывание webshell, создает значительные риски для кибербезопасности.
-----

CyberVolk/GLORIAMIST - это пророссийская группа хактивистов из Индии, активно атакующая организации по всему миру с помощью программ-вымогателей в интересах российского правительства.

CyberVolk использует модель Ransomware-as-a-Service (RaaS) и использует DDoS-атаки наряду с программами-вымогателями для нарушения деятельности тех, кто противостоит российским интересам.

CyberVolk имеет тесные связи с другими группами программ-вымогателей, такими как AzzaSec и DoubleFace, использует общую кодовую базу и формирует альянсы с такими группами, как HexaLocker и Parano.

Программа-вымогатель Invisible/Doubleface, связанная с командой Doubleface, использует ту же кодовую базу AzzaSec, что и программа-вымогатель CyberVolk, что свидетельствует о четкой связи между этими группами.

CyberVolk разрабатывает широкий спектр вредоносных программ, помимо программ-вымогателей, включая инфокрадов и веб-оболочек, демонстрируя универсальный инструментарий для кибератак.

CyberVolk занимается утечкой данных с помощью таких методов, как Discord webhooks, а семейство программ-вымогателей Parano объединяет функции антианализа и отладки для расширения возможностей уклонения.

Группы хактивистов, связанные с CyberVolk, недавно были заблокированы в Telegram, что указывает на продолжающиеся попытки помешать их деятельности путем закрытия каналов связи или вымогательства.

#ParsedReport #CompletenessMedium
25-11-2024

SpyLoan: A Global Threat Exploiting Social Engineering

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spyloan-a-global-threat-exploiting-social-engineering

Report completeness: Medium

Threats:
Spyloan

Victims:
Android users

Industry:
Healthcare, Financial

Geo:
Chile, Uganda, Philippines, India, Spanish, Senegal, America, Tanzania, Kenya, Latin america, Chilean, Indonesia, Africa, Nigeria, Colombian, Colombia, Mexico, Peru, Thailand, Asia, Vietnam

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1567, T1041, T1001

IOCs:
File: 2
Url: 4
Hash: 15

Soft:
Android, Gmail, Outlook

Algorithms:
base64, aes

Functions:
Collects

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении мошеннических кредитных приложений SpyLoan на Android, которые используют тактику социальной инженерии, чтобы обманом заставить пользователей предоставлять конфиденциальную информацию и разрешения. Эти приложения работают в основном в таких регионах, как Южная Америка, Южная Азия и Африка, и связаны с различными видами ущерба, такими как вымогательство, домогательства, финансовые потери, мошенничество и даже самоубийства. Несмотря на усилия правоохранительных органов, направленные против этих приложений, они сохраняются и развиваются благодаря общей платформе или разработчику, стоящему за ними.
-----

Исследовательская группа McAfee mobile обнаружила рост числа приложений для хищнических займов на Android, которые используют тактику социальной инженерии для обмана пользователей с целью предоставления конфиденциальной информации и предоставления дополнительных разрешений мобильным приложениям. Эти приложения, помеченные как потенциально нежелательные программы (PUP), были обнаружены в более чем восьми миллионах установок в пятнадцати идентифицированных приложениях. Работающие в основном в Южной Америке, Южной Азии и Африке, эти приложения используют общую платформу для шифрования и извлечения данных на сервер управления (C2) через конечные точки HTTP. Они занимаются локальным продвижением с помощью вводящей в заблуждение рекламы в социальных сетях, ориентируясь на уязвимых пользователей, нуждающихся в быстрых и гибких кредитах.

Приложения SpyLoan привлекают пользователей обещаниями легких займов с низкими ставками и минимальными требованиями. Однако их истинной целью является сбор личной информации, которая затем может быть использована для вымогательства, преследования и финансовых потерь. Эти приложения часто используют обманчивую маркетинговую тактику, чтобы создать ложное ощущение срочности и подтолкнуть пользователей к поспешному принятию решений. Собирая избыточные данные, такие как SMS-сообщения, журналы вызовов и списки контактов, эти приложения нарушают нормы конфиденциальности и могут привести пользователей к возникновению долговых циклов.

Приложения используют общую процедуру шифрования для передачи конфиденциальных данных, включая личную информацию и информацию об устройстве, на сервер C2. Они используют схожие методы взаимодействия и структуры конечных точек, что позволяет предположить, что за этими вредоносными действиями стоит общая платформа или разработчик. Помимо финансового ущерба, эти приложения были связаны со случаями преследования, мошенничества, несанкционированных транзакций и даже самоубийств жертв, ставших жертвами фальшивых кредитных схем.

Усилия правоохранительных органов были направлены против колл-центров, занимающихся вымогательством и предоставляющих поддельные кредитные приложения в таких странах, как Перу, Мексика и Чили. Несмотря на эти репрессии и аресты, работа SpyLoan apps продолжается и продолжает развиваться, а новые операторы используют лазейки и уязвимости, особенно в таких регионах, как Южная Америка, Юго-Восточная Азия и Африка. Наличие общего разработчика или общей платформы для этих приложений позволяет быстро распространять их на разных рынках, сохраняя при этом согласованную модель для обмана пользователей.

#ParsedReport #CompletenessLow
25-11-2024

Vietnamese Phishers Target Meta Business Owners with Over 400 Phish Pages

https://cyberarmor.tech/vietnamese-phishers-target-meta-business-owners-with-over-400-phish-pages

Report completeness: Low

Victims:
Meta business account owners

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1071.001

IOCs:
Url: 407
Email: 1

Soft:
Telegram

Links:
https://github.com/cyberarmortech/iocs/blob/main/quyetnd288.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Исследователи раскрыли чрезвычайно изощренную фишинговую кампанию вьетнамских хакеров quyetnd288, направленную против владельцев учетных записей Meta business, которая включала создание более 400 фишинговых сайтов с целью кражи учетных данных для входа в систему и использования страха и срочности для манипулирования жертвами. В нем подчеркивается растущая опасность целенаправленных фишинговых кампаний на основных платформах и важность бдительности, многофакторной аутентификации и обновления паролей для повышения безопасности.
-----

Вьетнамские хакеры quyetnd288 провели чрезвычайно изощренную фишинговую кампанию, направленную против владельцев бизнес-аккаунтов Meta business.

Было создано более 400 фишинговых сайтов, имитирующих интерфейс бизнес-менеджера Meta.

Тактика социальной инженерии, используемая для того, чтобы заставить жертв раскрыть свои данные под ложным предлогом.

Злоумышленники использовали различные платформы веб-хостинга для максимального воздействия.

Собранные данные были переданы в Telegram-канал, управляемый @Tigerok3001 и @vlxx12312.

Первоначальное тестирование фишингового набора наблюдалось по определенному URL-адресу http://103.186.67.50/intest.html.

Повторяющееся использование имени "Нгуин нх Квит" и адреса электронной почты quyetnd288@gmail.com определены на предварительных этапах.

Значимость: подчеркивает растущую сложность и опасность целенаправленных фишинговых кампаний, подчеркивает необходимость повышения бдительности, многофакторной аутентификации и регулярного обновления паролей.

#ParsedReport #CompletenessMedium
25-11-2024

Notorious Ursnif Banking Trojan Uses Stealthy Memory Execution to Avoid Detection

https://cyble.com/blog/ursnif-trojan-hides-with-stealthy-tactics

Report completeness: Medium

Threats:
Stealthy_memory_execution_technique
Gozi

Victims:
Business professionals

Industry:
Financial

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 10
Url: 2
Hash: 6

Soft:
Windows Defender

Algorithms:
zip, base64, sha256, aes

Functions:
DLL

Win API:
LdrLoadDll, VirtualAlloc, VirtualProtect, FlushInstructionCache, GetNativeSystemInfo, RtlAddFunctionTable, LoadLibraryA, DllRegisterServer, GetCurrentThreadId, OpenThread, have more...

Languages:
powershell

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Ursnif\_loader.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 4, dump: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе продолжающейся вредоносной кампании, нацеленной на бизнес-профессионалов в Соединенных Штатах, в которой используется многоэтапная операция, организованная хакером для внедрения банковского трояна Ursnif, известного своей кражей конфиденциальной информации. Кампания использует вредоносные LNK-файлы, замаскированные под PDF-файлы, используя certutil.exe и различные методы для выполнения вредоносной полезной нагрузки и установления связи с сервером управления (C&C) для кражи данных. Вредоносная программа Ursnif использует сложные методы обхода, чтобы избежать обнаружения, подчеркивая меняющийся ландшафт угроз и необходимость принятия контрмер, таких как разработка правила Yara для обнаружения.
-----

Исследовательские лаборатории Cyble Research и Intelligence Labs выявили продолжающуюся вредоносную кампанию, направленную против бизнес-профессионалов в Соединенных Штатах, в ходе которой использовалась многоэтапная операция по внедрению банковского трояна Ursnif, известного своей кражей конфиденциальной информации.

Атака начинается с вредоносного файла LNK, замаскированного под PDF, декодируемого с помощью certutil.exe для доставки файла HTML-приложения (HTA) с VBScript, который запускает выполнение документа-приманки, и вредоносной библиотеки DLL, выполняющей роль загрузчика для расшифровки полезной нагрузки и выполнения Ursnif.

Вредоносные файлы LNK, спрятанные в ZIP-архивах, рассылаемые по электронной почте в виде спама, используются в качестве первоначальных источников заражения.

Вредоносная программа Ursnif использует динамическое разрешение API, зашифрованную полезную нагрузку и манипуляции с памятью, чтобы избежать обнаружения и установить соединения с серверами C&C для кражи данных.

Шеллкод использует различные API, такие как VirtualAlloc, VirtualProtect, RtlAddFunctionTable и FlushInstructionCache, для выделения памяти, защиты и выполнения библиотек DLL.

Библиотека DLL второго уровня содержит зашифрованные данные конфигурации, включая сведения о сервере C&C, информацию об агенте пользователя и структуру взаимодействия, что обеспечивает взаимодействие и управление экземплярами.

Формат обмена данными C&C создан и зашифрован с использованием AES, преобразован в BASE64 для передачи, с использованием предопределенного формата, случайной строки, границы и устаревших строк пользовательского агента, используемых для обмена данными.

На Github доступно правило Yara для обнаружения загрузчика Ursnif, позволяющее противостоять этой сложной киберугрозе.

#technique

Special topic on Android malware obfuscation and countermeasures technology

https://mp-weixin-qq-com.translate.goog/s/LIAkPLZ_vVOUGjFymdEH-w?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique #llm

Prompt Jailbreak Manual

https://github.com/Acmesec/PromptJailbreakManual/

#ParsedReport #CompletenessLow
27-11-2024

PSLoramyra: Technical Analysis of Fileless Malware Loader

https://any.run/cybersecurity-blog/psloramyra-malware-technical-analysis

Report completeness: Low

Threats:
Psloramyra
Quasar_rat
Newpe2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1055.001, T1027

IOCs:
File: 6
Hash: 4
Path: 3
Domain: 1
IP: 1

Soft:
Task Scheduler, Windows Task Scheduler, Windows PowerShell, Linux

Functions:
CreateWshShellObj, GetFilePath, GetVisibilitySetting

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, table: 1, code: 9