#ParsedReport #CompletenessLow
25-11-2024

Evolving Threats: The Adaptive Design of XWorm Malware

https://www.seqrite.com/blog/evolving-threats-the-adaptive-design-of-xworm-malware

Report completeness: Low

Threats:
Xworm_rat
Process_injection_technique

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 2
Hash: 2

Algorithms:
base64, md5, aes

Languages:
visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается XWorm, сложная и легко адаптируемая вредоносная программа с тактикой уклонения и модульной конструкцией. Она использует методы обфускации, взаимодействует с сервером управления и демонстрирует стратегическое поведение, позволяющее избежать обнаружения. XWorm собирает системную информацию, манипулирует настройками DNS, самообновляется и может удалять следы, чтобы избежать обнаружения. Понимание возможностей XWorm имеет решающее значение для борьбы с этим устойчивым и адаптируемым вредоносным ПО.
-----

XWorm - это сложная и легко адаптируемая вредоносная программа, известная своей тактикой обхода и модульной конструкцией. Она использует методы обфускации, чтобы избежать обнаружения, и взаимодействует с сервером управления (C2) для выполнения вредоносных действий. После запуска вредоносная программа расшифровывает свои настройки конфигурации и устанавливает скрытое присутствие, создавая мьютекс для предотвращения конфликтов с несколькими экземплярами. Связь с сервером C2 зашифрована с помощью AES, что позволяет удаленно отслеживать зараженные системы и выдавать команды.

Вредоносная программа демонстрирует стратегическое поведение, при котором она сначала находится в спящем режиме в течение трех секунд, прежде чем расшифровать свои параметры конфигурации, которые включают такие важные данные, как хост, порт, ключ и версия. После расшифровки XWorm создает мьютекс для обеспечения одиночного выполнения и завершает работу, если мьютекс уже существует. Такой подход сводит к минимуму риск обнаружения средствами защиты. Кроме того, он устанавливает соединение по TCP-сокету с сервером C2, обеспечивая передачу и прием данных. Вредоносная программа поддерживает активное соединение, отправляя ping-сообщения через регулярные промежутки времени, и ожидает ответа pong для обеспечения бесперебойной связи с сервером C2.

XWorm собирает исчерпывающую системную информацию с компьютера жертвы, включая имя хоста, имя пользователя, сведения о драйвере и технические характеристики оборудования, такие как информация о процессоре и графическом процессоре GPU. Сбор этих данных помогает злоумышленникам анализировать систему и планировать дальнейшие вредоносные действия. Собранная информация шифруется с использованием AES-шифрования перед отправкой на сервер C2, что повышает безопасность при передаче. Затем вредоносная программа обрабатывает ответы с сервера C2, расшифровывая их и сравнивая с жестко заданными значениями, чтобы определить последующие действия.

Одной из примечательных функций XWorm является его способность манипулировать настройками DNS, считывая и изменяя файл hosts жертвы. Эта возможность позволяет проводить атаки с использованием DNS-манипуляций, позволяя вредоносному ПО отправлять копию файла hosts злоумышленнику, получать изменения и подтверждать успешные операции. XWorm также может самостоятельно обновлять и удалять следы из системы, чтобы избежать обнаружения. Записывая файлы во временный каталог, создавая пакетные файлы для самоудаления и используя модульную структуру для управления функциональностью, XWorm может адаптироваться к различным средам и оставаться скрытым в зараженных системах.

Методы обхода вредоносного ПО подчеркивают важность надежных мер безопасности, постоянного мониторинга и упреждающего обнаружения угроз для защиты от таких сложных угроз. Гибкость в добавлении или удалении функциональных возможностей в виде плагинов подчеркивает динамичный характер XWorm, что делает его серьезной угрозой, требующей тщательного подхода к кибербезопасности. Понимание возможностей и тактики работы XWorm имеет решающее значение для эффективной борьбы с этим устойчивым и адаптируемым вариантом вредоносного ПО.

#ParsedReport #CompletenessMedium
25-11-2024

CyberVolk \| A Deep Dive into the Hacktivists, Tools and Ransomware Fueling Pro-Russian Cyber Attacks

https://www.sentinelone.com/labs/cybervolk-a-deep-dive-into-the-hacktivists-tools-and-ransomware-fueling-pro-russian-cyber-attacks

Report completeness: Medium

Actors/Campaigns:
Cybervolk (motivation: hacktivism, politically_motivated)
Doubleface (motivation: hacktivism)
Moroccan_dragons
Lapsus
Noname057
Mosesstaff (motivation: hacktivism)
Rippersec (motivation: hacktivism)
Hunt3r_kill3rs

Threats:
Azzasec
Hexalocker
Paraodeus
Lockbit
Cybervolk_ransomware
Avkiller
Amsi_bypass_technique
Process_injection_technique
Uac_bypass_technique
Screenlocker
Lbx_grabber
Blx_stealer

Industry:
Government, Petroleum

Geo:
Russian, India, Spain

ChatGPT TTPs:
do not use without manual check
T1027, T1562, T1083

IOCs:
File: 6
Hash: 30
Domain: 1

Soft:
Telegram, Visual Studio, Discord, CPanel, WordPress

Algorithms:
aes-128, base64, aes, rsa-2048, aes-256, rsa-4096

Languages:
php, golang, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CyberVolk/GLORIAMIST - это политически мотивированный коллектив хактивистов с пророссийскими взглядами, который активно участвует в атаках программ-вымогателей, нацеленных на организации во многих странах. Они тесно связаны с другими группами программ-вымогателей, такими как AzzaSec и DoubleFace, и известны тем, что перепрофилируют существующие вредоносные программы и разрабатывают сложные инструменты. Группа управляет программой-вымогателем как услугой (RaaS) и заключает альянсы с другими группами хактивистов, что делает их динамичными и сложными для отслеживания. Их деятельность, включая операции с программами-вымогателями, распространение вредоносных программ infostealer и развертывание webshell, создает значительные риски для кибербезопасности.
-----

CyberVolk/GLORIAMIST - это пророссийская группа хактивистов из Индии, активно атакующая организации по всему миру с помощью программ-вымогателей в интересах российского правительства.

CyberVolk использует модель Ransomware-as-a-Service (RaaS) и использует DDoS-атаки наряду с программами-вымогателями для нарушения деятельности тех, кто противостоит российским интересам.

CyberVolk имеет тесные связи с другими группами программ-вымогателей, такими как AzzaSec и DoubleFace, использует общую кодовую базу и формирует альянсы с такими группами, как HexaLocker и Parano.

Программа-вымогатель Invisible/Doubleface, связанная с командой Doubleface, использует ту же кодовую базу AzzaSec, что и программа-вымогатель CyberVolk, что свидетельствует о четкой связи между этими группами.

CyberVolk разрабатывает широкий спектр вредоносных программ, помимо программ-вымогателей, включая инфокрадов и веб-оболочек, демонстрируя универсальный инструментарий для кибератак.

CyberVolk занимается утечкой данных с помощью таких методов, как Discord webhooks, а семейство программ-вымогателей Parano объединяет функции антианализа и отладки для расширения возможностей уклонения.

Группы хактивистов, связанные с CyberVolk, недавно были заблокированы в Telegram, что указывает на продолжающиеся попытки помешать их деятельности путем закрытия каналов связи или вымогательства.

#ParsedReport #CompletenessMedium
25-11-2024

SpyLoan: A Global Threat Exploiting Social Engineering

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spyloan-a-global-threat-exploiting-social-engineering

Report completeness: Medium

Threats:
Spyloan

Victims:
Android users

Industry:
Healthcare, Financial

Geo:
Chile, Uganda, Philippines, India, Spanish, Senegal, America, Tanzania, Kenya, Latin america, Chilean, Indonesia, Africa, Nigeria, Colombian, Colombia, Mexico, Peru, Thailand, Asia, Vietnam

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1567, T1041, T1001

IOCs:
File: 2
Url: 4
Hash: 15

Soft:
Android, Gmail, Outlook

Algorithms:
base64, aes

Functions:
Collects

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении мошеннических кредитных приложений SpyLoan на Android, которые используют тактику социальной инженерии, чтобы обманом заставить пользователей предоставлять конфиденциальную информацию и разрешения. Эти приложения работают в основном в таких регионах, как Южная Америка, Южная Азия и Африка, и связаны с различными видами ущерба, такими как вымогательство, домогательства, финансовые потери, мошенничество и даже самоубийства. Несмотря на усилия правоохранительных органов, направленные против этих приложений, они сохраняются и развиваются благодаря общей платформе или разработчику, стоящему за ними.
-----

Исследовательская группа McAfee mobile обнаружила рост числа приложений для хищнических займов на Android, которые используют тактику социальной инженерии для обмана пользователей с целью предоставления конфиденциальной информации и предоставления дополнительных разрешений мобильным приложениям. Эти приложения, помеченные как потенциально нежелательные программы (PUP), были обнаружены в более чем восьми миллионах установок в пятнадцати идентифицированных приложениях. Работающие в основном в Южной Америке, Южной Азии и Африке, эти приложения используют общую платформу для шифрования и извлечения данных на сервер управления (C2) через конечные точки HTTP. Они занимаются локальным продвижением с помощью вводящей в заблуждение рекламы в социальных сетях, ориентируясь на уязвимых пользователей, нуждающихся в быстрых и гибких кредитах.

Приложения SpyLoan привлекают пользователей обещаниями легких займов с низкими ставками и минимальными требованиями. Однако их истинной целью является сбор личной информации, которая затем может быть использована для вымогательства, преследования и финансовых потерь. Эти приложения часто используют обманчивую маркетинговую тактику, чтобы создать ложное ощущение срочности и подтолкнуть пользователей к поспешному принятию решений. Собирая избыточные данные, такие как SMS-сообщения, журналы вызовов и списки контактов, эти приложения нарушают нормы конфиденциальности и могут привести пользователей к возникновению долговых циклов.

Приложения используют общую процедуру шифрования для передачи конфиденциальных данных, включая личную информацию и информацию об устройстве, на сервер C2. Они используют схожие методы взаимодействия и структуры конечных точек, что позволяет предположить, что за этими вредоносными действиями стоит общая платформа или разработчик. Помимо финансового ущерба, эти приложения были связаны со случаями преследования, мошенничества, несанкционированных транзакций и даже самоубийств жертв, ставших жертвами фальшивых кредитных схем.

Усилия правоохранительных органов были направлены против колл-центров, занимающихся вымогательством и предоставляющих поддельные кредитные приложения в таких странах, как Перу, Мексика и Чили. Несмотря на эти репрессии и аресты, работа SpyLoan apps продолжается и продолжает развиваться, а новые операторы используют лазейки и уязвимости, особенно в таких регионах, как Южная Америка, Юго-Восточная Азия и Африка. Наличие общего разработчика или общей платформы для этих приложений позволяет быстро распространять их на разных рынках, сохраняя при этом согласованную модель для обмана пользователей.

#ParsedReport #CompletenessLow
25-11-2024

Vietnamese Phishers Target Meta Business Owners with Over 400 Phish Pages

https://cyberarmor.tech/vietnamese-phishers-target-meta-business-owners-with-over-400-phish-pages

Report completeness: Low

Victims:
Meta business account owners

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1071.001

IOCs:
Url: 407
Email: 1

Soft:
Telegram

Links:
https://github.com/cyberarmortech/iocs/blob/main/quyetnd288.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Исследователи раскрыли чрезвычайно изощренную фишинговую кампанию вьетнамских хакеров quyetnd288, направленную против владельцев учетных записей Meta business, которая включала создание более 400 фишинговых сайтов с целью кражи учетных данных для входа в систему и использования страха и срочности для манипулирования жертвами. В нем подчеркивается растущая опасность целенаправленных фишинговых кампаний на основных платформах и важность бдительности, многофакторной аутентификации и обновления паролей для повышения безопасности.
-----

Вьетнамские хакеры quyetnd288 провели чрезвычайно изощренную фишинговую кампанию, направленную против владельцев бизнес-аккаунтов Meta business.

Было создано более 400 фишинговых сайтов, имитирующих интерфейс бизнес-менеджера Meta.

Тактика социальной инженерии, используемая для того, чтобы заставить жертв раскрыть свои данные под ложным предлогом.

Злоумышленники использовали различные платформы веб-хостинга для максимального воздействия.

Собранные данные были переданы в Telegram-канал, управляемый @Tigerok3001 и @vlxx12312.

Первоначальное тестирование фишингового набора наблюдалось по определенному URL-адресу http://103.186.67.50/intest.html.

Повторяющееся использование имени "Нгуин нх Квит" и адреса электронной почты quyetnd288@gmail.com определены на предварительных этапах.

Значимость: подчеркивает растущую сложность и опасность целенаправленных фишинговых кампаний, подчеркивает необходимость повышения бдительности, многофакторной аутентификации и регулярного обновления паролей.

#ParsedReport #CompletenessMedium
25-11-2024

Notorious Ursnif Banking Trojan Uses Stealthy Memory Execution to Avoid Detection

https://cyble.com/blog/ursnif-trojan-hides-with-stealthy-tactics

Report completeness: Medium

Threats:
Stealthy_memory_execution_technique
Gozi

Victims:
Business professionals

Industry:
Financial

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 10
Url: 2
Hash: 6

Soft:
Windows Defender

Algorithms:
zip, base64, sha256, aes

Functions:
DLL

Win API:
LdrLoadDll, VirtualAlloc, VirtualProtect, FlushInstructionCache, GetNativeSystemInfo, RtlAddFunctionTable, LoadLibraryA, DllRegisterServer, GetCurrentThreadId, OpenThread, have more...

Languages:
powershell

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Ursnif\_loader.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 4, dump: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе продолжающейся вредоносной кампании, нацеленной на бизнес-профессионалов в Соединенных Штатах, в которой используется многоэтапная операция, организованная хакером для внедрения банковского трояна Ursnif, известного своей кражей конфиденциальной информации. Кампания использует вредоносные LNK-файлы, замаскированные под PDF-файлы, используя certutil.exe и различные методы для выполнения вредоносной полезной нагрузки и установления связи с сервером управления (C&C) для кражи данных. Вредоносная программа Ursnif использует сложные методы обхода, чтобы избежать обнаружения, подчеркивая меняющийся ландшафт угроз и необходимость принятия контрмер, таких как разработка правила Yara для обнаружения.
-----

Исследовательские лаборатории Cyble Research и Intelligence Labs выявили продолжающуюся вредоносную кампанию, направленную против бизнес-профессионалов в Соединенных Штатах, в ходе которой использовалась многоэтапная операция по внедрению банковского трояна Ursnif, известного своей кражей конфиденциальной информации.

Атака начинается с вредоносного файла LNK, замаскированного под PDF, декодируемого с помощью certutil.exe для доставки файла HTML-приложения (HTA) с VBScript, который запускает выполнение документа-приманки, и вредоносной библиотеки DLL, выполняющей роль загрузчика для расшифровки полезной нагрузки и выполнения Ursnif.

Вредоносные файлы LNK, спрятанные в ZIP-архивах, рассылаемые по электронной почте в виде спама, используются в качестве первоначальных источников заражения.

Вредоносная программа Ursnif использует динамическое разрешение API, зашифрованную полезную нагрузку и манипуляции с памятью, чтобы избежать обнаружения и установить соединения с серверами C&C для кражи данных.

Шеллкод использует различные API, такие как VirtualAlloc, VirtualProtect, RtlAddFunctionTable и FlushInstructionCache, для выделения памяти, защиты и выполнения библиотек DLL.

Библиотека DLL второго уровня содержит зашифрованные данные конфигурации, включая сведения о сервере C&C, информацию об агенте пользователя и структуру взаимодействия, что обеспечивает взаимодействие и управление экземплярами.

Формат обмена данными C&C создан и зашифрован с использованием AES, преобразован в BASE64 для передачи, с использованием предопределенного формата, случайной строки, границы и устаревших строк пользовательского агента, используемых для обмена данными.

На Github доступно правило Yara для обнаружения загрузчика Ursnif, позволяющее противостоять этой сложной киберугрозе.

#technique

Special topic on Android malware obfuscation and countermeasures technology

https://mp-weixin-qq-com.translate.goog/s/LIAkPLZ_vVOUGjFymdEH-w?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique #llm

Prompt Jailbreak Manual

https://github.com/Acmesec/PromptJailbreakManual/

#ParsedReport #CompletenessLow
27-11-2024

PSLoramyra: Technical Analysis of Fileless Malware Loader

https://any.run/cybersecurity-blog/psloramyra-malware-technical-analysis

Report completeness: Low

Threats:
Psloramyra
Quasar_rat
Newpe2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1055.001, T1027

IOCs:
File: 6
Hash: 4
Path: 3
Domain: 1
IP: 1

Soft:
Task Scheduler, Windows Task Scheduler, Windows PowerShell, Linux

Functions:
CreateWshShellObj, GetFilePath, GetVisibilitySetting

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, table: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4