#ParsedReport #CompletenessMedium
25-11-2024

CyberVolk \| A Deep Dive into the Hacktivists, Tools and Ransomware Fueling Pro-Russian Cyber Attacks

https://www.sentinelone.com/labs/cybervolk-a-deep-dive-into-the-hacktivists-tools-and-ransomware-fueling-pro-russian-cyber-attacks

Report completeness: Medium

Actors/Campaigns:
Cybervolk (motivation: hacktivism, politically_motivated)
Doubleface (motivation: hacktivism)
Moroccan_dragons
Lapsus
Noname057
Mosesstaff (motivation: hacktivism)
Rippersec (motivation: hacktivism)
Hunt3r_kill3rs

Threats:
Azzasec
Hexalocker
Paraodeus
Lockbit
Cybervolk_ransomware
Avkiller
Amsi_bypass_technique
Process_injection_technique
Uac_bypass_technique
Screenlocker
Lbx_grabber
Blx_stealer

Industry:
Government, Petroleum

Geo:
Russian, India, Spain

ChatGPT TTPs:
do not use without manual check
T1027, T1562, T1083

IOCs:
File: 6
Hash: 30
Domain: 1

Soft:
Telegram, Visual Studio, Discord, CPanel, WordPress

Algorithms:
aes-128, base64, aes, rsa-2048, aes-256, rsa-4096

Languages:
php, golang, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CyberVolk/GLORIAMIST - это политически мотивированный коллектив хактивистов с пророссийскими взглядами, который активно участвует в атаках программ-вымогателей, нацеленных на организации во многих странах. Они тесно связаны с другими группами программ-вымогателей, такими как AzzaSec и DoubleFace, и известны тем, что перепрофилируют существующие вредоносные программы и разрабатывают сложные инструменты. Группа управляет программой-вымогателем как услугой (RaaS) и заключает альянсы с другими группами хактивистов, что делает их динамичными и сложными для отслеживания. Их деятельность, включая операции с программами-вымогателями, распространение вредоносных программ infostealer и развертывание webshell, создает значительные риски для кибербезопасности.
-----

CyberVolk/GLORIAMIST - это пророссийская группа хактивистов из Индии, активно атакующая организации по всему миру с помощью программ-вымогателей в интересах российского правительства.

CyberVolk использует модель Ransomware-as-a-Service (RaaS) и использует DDoS-атаки наряду с программами-вымогателями для нарушения деятельности тех, кто противостоит российским интересам.

CyberVolk имеет тесные связи с другими группами программ-вымогателей, такими как AzzaSec и DoubleFace, использует общую кодовую базу и формирует альянсы с такими группами, как HexaLocker и Parano.

Программа-вымогатель Invisible/Doubleface, связанная с командой Doubleface, использует ту же кодовую базу AzzaSec, что и программа-вымогатель CyberVolk, что свидетельствует о четкой связи между этими группами.

CyberVolk разрабатывает широкий спектр вредоносных программ, помимо программ-вымогателей, включая инфокрадов и веб-оболочек, демонстрируя универсальный инструментарий для кибератак.

CyberVolk занимается утечкой данных с помощью таких методов, как Discord webhooks, а семейство программ-вымогателей Parano объединяет функции антианализа и отладки для расширения возможностей уклонения.

Группы хактивистов, связанные с CyberVolk, недавно были заблокированы в Telegram, что указывает на продолжающиеся попытки помешать их деятельности путем закрытия каналов связи или вымогательства.

#ParsedReport #CompletenessMedium
25-11-2024

SpyLoan: A Global Threat Exploiting Social Engineering

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spyloan-a-global-threat-exploiting-social-engineering

Report completeness: Medium

Threats:
Spyloan

Victims:
Android users

Industry:
Healthcare, Financial

Geo:
Chile, Uganda, Philippines, India, Spanish, Senegal, America, Tanzania, Kenya, Latin america, Chilean, Indonesia, Africa, Nigeria, Colombian, Colombia, Mexico, Peru, Thailand, Asia, Vietnam

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1567, T1041, T1001

IOCs:
File: 2
Url: 4
Hash: 15

Soft:
Android, Gmail, Outlook

Algorithms:
base64, aes

Functions:
Collects

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении мошеннических кредитных приложений SpyLoan на Android, которые используют тактику социальной инженерии, чтобы обманом заставить пользователей предоставлять конфиденциальную информацию и разрешения. Эти приложения работают в основном в таких регионах, как Южная Америка, Южная Азия и Африка, и связаны с различными видами ущерба, такими как вымогательство, домогательства, финансовые потери, мошенничество и даже самоубийства. Несмотря на усилия правоохранительных органов, направленные против этих приложений, они сохраняются и развиваются благодаря общей платформе или разработчику, стоящему за ними.
-----

Исследовательская группа McAfee mobile обнаружила рост числа приложений для хищнических займов на Android, которые используют тактику социальной инженерии для обмана пользователей с целью предоставления конфиденциальной информации и предоставления дополнительных разрешений мобильным приложениям. Эти приложения, помеченные как потенциально нежелательные программы (PUP), были обнаружены в более чем восьми миллионах установок в пятнадцати идентифицированных приложениях. Работающие в основном в Южной Америке, Южной Азии и Африке, эти приложения используют общую платформу для шифрования и извлечения данных на сервер управления (C2) через конечные точки HTTP. Они занимаются локальным продвижением с помощью вводящей в заблуждение рекламы в социальных сетях, ориентируясь на уязвимых пользователей, нуждающихся в быстрых и гибких кредитах.

Приложения SpyLoan привлекают пользователей обещаниями легких займов с низкими ставками и минимальными требованиями. Однако их истинной целью является сбор личной информации, которая затем может быть использована для вымогательства, преследования и финансовых потерь. Эти приложения часто используют обманчивую маркетинговую тактику, чтобы создать ложное ощущение срочности и подтолкнуть пользователей к поспешному принятию решений. Собирая избыточные данные, такие как SMS-сообщения, журналы вызовов и списки контактов, эти приложения нарушают нормы конфиденциальности и могут привести пользователей к возникновению долговых циклов.

Приложения используют общую процедуру шифрования для передачи конфиденциальных данных, включая личную информацию и информацию об устройстве, на сервер C2. Они используют схожие методы взаимодействия и структуры конечных точек, что позволяет предположить, что за этими вредоносными действиями стоит общая платформа или разработчик. Помимо финансового ущерба, эти приложения были связаны со случаями преследования, мошенничества, несанкционированных транзакций и даже самоубийств жертв, ставших жертвами фальшивых кредитных схем.

Усилия правоохранительных органов были направлены против колл-центров, занимающихся вымогательством и предоставляющих поддельные кредитные приложения в таких странах, как Перу, Мексика и Чили. Несмотря на эти репрессии и аресты, работа SpyLoan apps продолжается и продолжает развиваться, а новые операторы используют лазейки и уязвимости, особенно в таких регионах, как Южная Америка, Юго-Восточная Азия и Африка. Наличие общего разработчика или общей платформы для этих приложений позволяет быстро распространять их на разных рынках, сохраняя при этом согласованную модель для обмана пользователей.

#ParsedReport #CompletenessLow
25-11-2024

Vietnamese Phishers Target Meta Business Owners with Over 400 Phish Pages

https://cyberarmor.tech/vietnamese-phishers-target-meta-business-owners-with-over-400-phish-pages

Report completeness: Low

Victims:
Meta business account owners

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1071.001

IOCs:
Url: 407
Email: 1

Soft:
Telegram

Links:
https://github.com/cyberarmortech/iocs/blob/main/quyetnd288.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Исследователи раскрыли чрезвычайно изощренную фишинговую кампанию вьетнамских хакеров quyetnd288, направленную против владельцев учетных записей Meta business, которая включала создание более 400 фишинговых сайтов с целью кражи учетных данных для входа в систему и использования страха и срочности для манипулирования жертвами. В нем подчеркивается растущая опасность целенаправленных фишинговых кампаний на основных платформах и важность бдительности, многофакторной аутентификации и обновления паролей для повышения безопасности.
-----

Вьетнамские хакеры quyetnd288 провели чрезвычайно изощренную фишинговую кампанию, направленную против владельцев бизнес-аккаунтов Meta business.

Было создано более 400 фишинговых сайтов, имитирующих интерфейс бизнес-менеджера Meta.

Тактика социальной инженерии, используемая для того, чтобы заставить жертв раскрыть свои данные под ложным предлогом.

Злоумышленники использовали различные платформы веб-хостинга для максимального воздействия.

Собранные данные были переданы в Telegram-канал, управляемый @Tigerok3001 и @vlxx12312.

Первоначальное тестирование фишингового набора наблюдалось по определенному URL-адресу http://103.186.67.50/intest.html.

Повторяющееся использование имени "Нгуин нх Квит" и адреса электронной почты quyetnd288@gmail.com определены на предварительных этапах.

Значимость: подчеркивает растущую сложность и опасность целенаправленных фишинговых кампаний, подчеркивает необходимость повышения бдительности, многофакторной аутентификации и регулярного обновления паролей.

#ParsedReport #CompletenessMedium
25-11-2024

Notorious Ursnif Banking Trojan Uses Stealthy Memory Execution to Avoid Detection

https://cyble.com/blog/ursnif-trojan-hides-with-stealthy-tactics

Report completeness: Medium

Threats:
Stealthy_memory_execution_technique
Gozi

Victims:
Business professionals

Industry:
Financial

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 10
Url: 2
Hash: 6

Soft:
Windows Defender

Algorithms:
zip, base64, sha256, aes

Functions:
DLL

Win API:
LdrLoadDll, VirtualAlloc, VirtualProtect, FlushInstructionCache, GetNativeSystemInfo, RtlAddFunctionTable, LoadLibraryA, DllRegisterServer, GetCurrentThreadId, OpenThread, have more...

Languages:
powershell

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Ursnif\_loader.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 4, dump: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе продолжающейся вредоносной кампании, нацеленной на бизнес-профессионалов в Соединенных Штатах, в которой используется многоэтапная операция, организованная хакером для внедрения банковского трояна Ursnif, известного своей кражей конфиденциальной информации. Кампания использует вредоносные LNK-файлы, замаскированные под PDF-файлы, используя certutil.exe и различные методы для выполнения вредоносной полезной нагрузки и установления связи с сервером управления (C&C) для кражи данных. Вредоносная программа Ursnif использует сложные методы обхода, чтобы избежать обнаружения, подчеркивая меняющийся ландшафт угроз и необходимость принятия контрмер, таких как разработка правила Yara для обнаружения.
-----

Исследовательские лаборатории Cyble Research и Intelligence Labs выявили продолжающуюся вредоносную кампанию, направленную против бизнес-профессионалов в Соединенных Штатах, в ходе которой использовалась многоэтапная операция по внедрению банковского трояна Ursnif, известного своей кражей конфиденциальной информации.

Атака начинается с вредоносного файла LNK, замаскированного под PDF, декодируемого с помощью certutil.exe для доставки файла HTML-приложения (HTA) с VBScript, который запускает выполнение документа-приманки, и вредоносной библиотеки DLL, выполняющей роль загрузчика для расшифровки полезной нагрузки и выполнения Ursnif.

Вредоносные файлы LNK, спрятанные в ZIP-архивах, рассылаемые по электронной почте в виде спама, используются в качестве первоначальных источников заражения.

Вредоносная программа Ursnif использует динамическое разрешение API, зашифрованную полезную нагрузку и манипуляции с памятью, чтобы избежать обнаружения и установить соединения с серверами C&C для кражи данных.

Шеллкод использует различные API, такие как VirtualAlloc, VirtualProtect, RtlAddFunctionTable и FlushInstructionCache, для выделения памяти, защиты и выполнения библиотек DLL.

Библиотека DLL второго уровня содержит зашифрованные данные конфигурации, включая сведения о сервере C&C, информацию об агенте пользователя и структуру взаимодействия, что обеспечивает взаимодействие и управление экземплярами.

Формат обмена данными C&C создан и зашифрован с использованием AES, преобразован в BASE64 для передачи, с использованием предопределенного формата, случайной строки, границы и устаревших строк пользовательского агента, используемых для обмена данными.

На Github доступно правило Yara для обнаружения загрузчика Ursnif, позволяющее противостоять этой сложной киберугрозе.

#technique

Special topic on Android malware obfuscation and countermeasures technology

https://mp-weixin-qq-com.translate.goog/s/LIAkPLZ_vVOUGjFymdEH-w?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique #llm

Prompt Jailbreak Manual

https://github.com/Acmesec/PromptJailbreakManual/

#ParsedReport #CompletenessLow
27-11-2024

PSLoramyra: Technical Analysis of Fileless Malware Loader

https://any.run/cybersecurity-blog/psloramyra-malware-technical-analysis

Report completeness: Low

Threats:
Psloramyra
Quasar_rat
Newpe2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1055.001, T1027

IOCs:
File: 6
Hash: 4
Path: 3
Domain: 1
IP: 1

Soft:
Task Scheduler, Windows Task Scheduler, Windows PowerShell, Linux

Functions:
CreateWshShellObj, GetFilePath, GetVisibilitySetting

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, table: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе сложного вредоносного загрузчика под названием PSLoramyra, который работает как безфайловый загрузчик, чтобы избежать традиционных методов обнаружения. Эта вредоносная программа использует скрипты PowerShell, VBS и BAT для внедрения и выполнения вредоносных программ непосредственно в системную память, обеспечивая постоянный доступ и демонстрируя улучшенное поведение за счет динамической загрузки в память своей основной вредоносной программы. Цепочка заражения вредоносного ПО, механизмы сохранения, атрибуты скрытности, методы обфускации и использование внедрения в память способствуют его способности избегать обнаружения и незаметно выполнять вредоносные действия, что подчеркивает его продвинутый характер как загрузчика без файлов.
-----

Вредоносный загрузчик PSLoramyra работает как безфайловый загрузчик, используя сценарии PowerShell, VBS и BAT для внедрения и выполнения вредоносных программ непосредственно в системную память, что позволяет ему осуществлять постоянный доступ, не оставляя значительных следов в системе.

PSLoramyra динамически загружает свой основной вредоносный код в память, что затрудняет его обнаружение и устранение последствий. В нем используются такие методы, как отражение.Собрание.Загружать и RegSvcs.exe выполнять полезную нагрузку, при этом идентифицированной полезной нагрузкой в конкретном случае является Quasar RAT, популярный инструмент удаленного доступа.

Вредоносная программа обеспечивает постоянство в зараженных системах, создавая в планировщике задач Windows задания для запуска сценариев каждые две минуты, что позволяет вредоносным действиям продолжаться даже после перезагрузки системы. Вредоносная программа также использует методы обфускации, такие как использование символа #, для усложнения обнаружения.

Выполнение вредоносного ПО включает загрузку типа NewPE2.PE из сборки .NET и внедрение вредоносного кода в легитимные процессы, такие как RegSvcs.exe, что позволяет ему скрывать свои действия в рамках, казалось бы, безопасных процессов.

Продвинутый характер PSLoramyra как файлового загрузчика подчеркивает его надежные возможности, опору на автоматизацию и использование механизмов сохранения данных, таких как Windows Task Scheduler, для закрепления на зараженных системах.

Подробный анализ PSLoramyra в среде ANY.RUN sandbox позволяет получить ценную информацию о ее поведении и функциональных возможностях, способствуя эффективному обнаружению угроз и реагированию на инциденты для специалистов по кибербезопасности по всему миру.

#ParsedReport #CompletenessMedium
26-11-2024

Analysis of Elpaco: a Mimic variant

https://securelist.com/elpaco-ransomware-a-mimic-variant/114635

Report completeness: Medium

Threats:
Elpaco
Mimic_ransomware
Zerologon_vuln
Hidcon
Process_injection_technique
Lolbin_technique
Ransom.win32.generic
Ransom.win32.mimic.gen

Geo:
Romania, United kingdom, Netherlands, Russia, Germany, Korea, Canada, France

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 5
Technics: 13

IOCs:
File: 13
Hash: 2

Soft:
Windows Defender

Algorithms:
exhibit, chacha20, zip, rsa-4096

Functions:
SetSearchW

Win API:
FindFirstFileW, WriteFile, FindNextFileW, ShellExecuteW, LoadLibraryA, BCryptGenRandom

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4