#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении мошеннических кредитных приложений SpyLoan на Android, которые используют тактику социальной инженерии, чтобы обманом заставить пользователей предоставлять конфиденциальную информацию и разрешения. Эти приложения работают в основном в таких регионах, как Южная Америка, Южная Азия и Африка, и связаны с различными видами ущерба, такими как вымогательство, домогательства, финансовые потери, мошенничество и даже самоубийства. Несмотря на усилия правоохранительных органов, направленные против этих приложений, они сохраняются и развиваются благодаря общей платформе или разработчику, стоящему за ними.
-----

Исследовательская группа McAfee mobile обнаружила рост числа приложений для хищнических займов на Android, которые используют тактику социальной инженерии для обмана пользователей с целью предоставления конфиденциальной информации и предоставления дополнительных разрешений мобильным приложениям. Эти приложения, помеченные как потенциально нежелательные программы (PUP), были обнаружены в более чем восьми миллионах установок в пятнадцати идентифицированных приложениях. Работающие в основном в Южной Америке, Южной Азии и Африке, эти приложения используют общую платформу для шифрования и извлечения данных на сервер управления (C2) через конечные точки HTTP. Они занимаются локальным продвижением с помощью вводящей в заблуждение рекламы в социальных сетях, ориентируясь на уязвимых пользователей, нуждающихся в быстрых и гибких кредитах.

Приложения SpyLoan привлекают пользователей обещаниями легких займов с низкими ставками и минимальными требованиями. Однако их истинной целью является сбор личной информации, которая затем может быть использована для вымогательства, преследования и финансовых потерь. Эти приложения часто используют обманчивую маркетинговую тактику, чтобы создать ложное ощущение срочности и подтолкнуть пользователей к поспешному принятию решений. Собирая избыточные данные, такие как SMS-сообщения, журналы вызовов и списки контактов, эти приложения нарушают нормы конфиденциальности и могут привести пользователей к возникновению долговых циклов.

Приложения используют общую процедуру шифрования для передачи конфиденциальных данных, включая личную информацию и информацию об устройстве, на сервер C2. Они используют схожие методы взаимодействия и структуры конечных точек, что позволяет предположить, что за этими вредоносными действиями стоит общая платформа или разработчик. Помимо финансового ущерба, эти приложения были связаны со случаями преследования, мошенничества, несанкционированных транзакций и даже самоубийств жертв, ставших жертвами фальшивых кредитных схем.

Усилия правоохранительных органов были направлены против колл-центров, занимающихся вымогательством и предоставляющих поддельные кредитные приложения в таких странах, как Перу, Мексика и Чили. Несмотря на эти репрессии и аресты, работа SpyLoan apps продолжается и продолжает развиваться, а новые операторы используют лазейки и уязвимости, особенно в таких регионах, как Южная Америка, Юго-Восточная Азия и Африка. Наличие общего разработчика или общей платформы для этих приложений позволяет быстро распространять их на разных рынках, сохраняя при этом согласованную модель для обмана пользователей.

#ParsedReport #CompletenessLow
25-11-2024

Vietnamese Phishers Target Meta Business Owners with Over 400 Phish Pages

https://cyberarmor.tech/vietnamese-phishers-target-meta-business-owners-with-over-400-phish-pages

Report completeness: Low

Victims:
Meta business account owners

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1071.001

IOCs:
Url: 407
Email: 1

Soft:
Telegram

Links:
https://github.com/cyberarmortech/iocs/blob/main/quyetnd288.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Исследователи раскрыли чрезвычайно изощренную фишинговую кампанию вьетнамских хакеров quyetnd288, направленную против владельцев учетных записей Meta business, которая включала создание более 400 фишинговых сайтов с целью кражи учетных данных для входа в систему и использования страха и срочности для манипулирования жертвами. В нем подчеркивается растущая опасность целенаправленных фишинговых кампаний на основных платформах и важность бдительности, многофакторной аутентификации и обновления паролей для повышения безопасности.
-----

Вьетнамские хакеры quyetnd288 провели чрезвычайно изощренную фишинговую кампанию, направленную против владельцев бизнес-аккаунтов Meta business.

Было создано более 400 фишинговых сайтов, имитирующих интерфейс бизнес-менеджера Meta.

Тактика социальной инженерии, используемая для того, чтобы заставить жертв раскрыть свои данные под ложным предлогом.

Злоумышленники использовали различные платформы веб-хостинга для максимального воздействия.

Собранные данные были переданы в Telegram-канал, управляемый @Tigerok3001 и @vlxx12312.

Первоначальное тестирование фишингового набора наблюдалось по определенному URL-адресу http://103.186.67.50/intest.html.

Повторяющееся использование имени "Нгуин нх Квит" и адреса электронной почты quyetnd288@gmail.com определены на предварительных этапах.

Значимость: подчеркивает растущую сложность и опасность целенаправленных фишинговых кампаний, подчеркивает необходимость повышения бдительности, многофакторной аутентификации и регулярного обновления паролей.

#ParsedReport #CompletenessMedium
25-11-2024

Notorious Ursnif Banking Trojan Uses Stealthy Memory Execution to Avoid Detection

https://cyble.com/blog/ursnif-trojan-hides-with-stealthy-tactics

Report completeness: Medium

Threats:
Stealthy_memory_execution_technique
Gozi

Victims:
Business professionals

Industry:
Financial

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 10
Url: 2
Hash: 6

Soft:
Windows Defender

Algorithms:
zip, base64, sha256, aes

Functions:
DLL

Win API:
LdrLoadDll, VirtualAlloc, VirtualProtect, FlushInstructionCache, GetNativeSystemInfo, RtlAddFunctionTable, LoadLibraryA, DllRegisterServer, GetCurrentThreadId, OpenThread, have more...

Languages:
powershell

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Ursnif\_loader.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 4, dump: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе продолжающейся вредоносной кампании, нацеленной на бизнес-профессионалов в Соединенных Штатах, в которой используется многоэтапная операция, организованная хакером для внедрения банковского трояна Ursnif, известного своей кражей конфиденциальной информации. Кампания использует вредоносные LNK-файлы, замаскированные под PDF-файлы, используя certutil.exe и различные методы для выполнения вредоносной полезной нагрузки и установления связи с сервером управления (C&C) для кражи данных. Вредоносная программа Ursnif использует сложные методы обхода, чтобы избежать обнаружения, подчеркивая меняющийся ландшафт угроз и необходимость принятия контрмер, таких как разработка правила Yara для обнаружения.
-----

Исследовательские лаборатории Cyble Research и Intelligence Labs выявили продолжающуюся вредоносную кампанию, направленную против бизнес-профессионалов в Соединенных Штатах, в ходе которой использовалась многоэтапная операция по внедрению банковского трояна Ursnif, известного своей кражей конфиденциальной информации.

Атака начинается с вредоносного файла LNK, замаскированного под PDF, декодируемого с помощью certutil.exe для доставки файла HTML-приложения (HTA) с VBScript, который запускает выполнение документа-приманки, и вредоносной библиотеки DLL, выполняющей роль загрузчика для расшифровки полезной нагрузки и выполнения Ursnif.

Вредоносные файлы LNK, спрятанные в ZIP-архивах, рассылаемые по электронной почте в виде спама, используются в качестве первоначальных источников заражения.

Вредоносная программа Ursnif использует динамическое разрешение API, зашифрованную полезную нагрузку и манипуляции с памятью, чтобы избежать обнаружения и установить соединения с серверами C&C для кражи данных.

Шеллкод использует различные API, такие как VirtualAlloc, VirtualProtect, RtlAddFunctionTable и FlushInstructionCache, для выделения памяти, защиты и выполнения библиотек DLL.

Библиотека DLL второго уровня содержит зашифрованные данные конфигурации, включая сведения о сервере C&C, информацию об агенте пользователя и структуру взаимодействия, что обеспечивает взаимодействие и управление экземплярами.

Формат обмена данными C&C создан и зашифрован с использованием AES, преобразован в BASE64 для передачи, с использованием предопределенного формата, случайной строки, границы и устаревших строк пользовательского агента, используемых для обмена данными.

На Github доступно правило Yara для обнаружения загрузчика Ursnif, позволяющее противостоять этой сложной киберугрозе.

#technique

Special topic on Android malware obfuscation and countermeasures technology

https://mp-weixin-qq-com.translate.goog/s/LIAkPLZ_vVOUGjFymdEH-w?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique #llm

Prompt Jailbreak Manual

https://github.com/Acmesec/PromptJailbreakManual/

#ParsedReport #CompletenessLow
27-11-2024

PSLoramyra: Technical Analysis of Fileless Malware Loader

https://any.run/cybersecurity-blog/psloramyra-malware-technical-analysis

Report completeness: Low

Threats:
Psloramyra
Quasar_rat
Newpe2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1055.001, T1027

IOCs:
File: 6
Hash: 4
Path: 3
Domain: 1
IP: 1

Soft:
Task Scheduler, Windows Task Scheduler, Windows PowerShell, Linux

Functions:
CreateWshShellObj, GetFilePath, GetVisibilitySetting

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, table: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе сложного вредоносного загрузчика под названием PSLoramyra, который работает как безфайловый загрузчик, чтобы избежать традиционных методов обнаружения. Эта вредоносная программа использует скрипты PowerShell, VBS и BAT для внедрения и выполнения вредоносных программ непосредственно в системную память, обеспечивая постоянный доступ и демонстрируя улучшенное поведение за счет динамической загрузки в память своей основной вредоносной программы. Цепочка заражения вредоносного ПО, механизмы сохранения, атрибуты скрытности, методы обфускации и использование внедрения в память способствуют его способности избегать обнаружения и незаметно выполнять вредоносные действия, что подчеркивает его продвинутый характер как загрузчика без файлов.
-----

Вредоносный загрузчик PSLoramyra работает как безфайловый загрузчик, используя сценарии PowerShell, VBS и BAT для внедрения и выполнения вредоносных программ непосредственно в системную память, что позволяет ему осуществлять постоянный доступ, не оставляя значительных следов в системе.

PSLoramyra динамически загружает свой основной вредоносный код в память, что затрудняет его обнаружение и устранение последствий. В нем используются такие методы, как отражение.Собрание.Загружать и RegSvcs.exe выполнять полезную нагрузку, при этом идентифицированной полезной нагрузкой в конкретном случае является Quasar RAT, популярный инструмент удаленного доступа.

Вредоносная программа обеспечивает постоянство в зараженных системах, создавая в планировщике задач Windows задания для запуска сценариев каждые две минуты, что позволяет вредоносным действиям продолжаться даже после перезагрузки системы. Вредоносная программа также использует методы обфускации, такие как использование символа #, для усложнения обнаружения.

Выполнение вредоносного ПО включает загрузку типа NewPE2.PE из сборки .NET и внедрение вредоносного кода в легитимные процессы, такие как RegSvcs.exe, что позволяет ему скрывать свои действия в рамках, казалось бы, безопасных процессов.

Продвинутый характер PSLoramyra как файлового загрузчика подчеркивает его надежные возможности, опору на автоматизацию и использование механизмов сохранения данных, таких как Windows Task Scheduler, для закрепления на зараженных системах.

Подробный анализ PSLoramyra в среде ANY.RUN sandbox позволяет получить ценную информацию о ее поведении и функциональных возможностях, способствуя эффективному обнаружению угроз и реагированию на инциденты для специалистов по кибербезопасности по всему миру.

#ParsedReport #CompletenessMedium
26-11-2024

Analysis of Elpaco: a Mimic variant

https://securelist.com/elpaco-ransomware-a-mimic-variant/114635

Report completeness: Medium

Threats:
Elpaco
Mimic_ransomware
Zerologon_vuln
Hidcon
Process_injection_technique
Lolbin_technique
Ransom.win32.generic
Ransom.win32.mimic.gen

Geo:
Romania, United kingdom, Netherlands, Russia, Germany, Korea, Canada, France

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 5
Technics: 13

IOCs:
File: 13
Hash: 2

Soft:
Windows Defender

Algorithms:
exhibit, chacha20, zip, rsa-4096

Functions:
SetSearchW

Win API:
FindFirstFileW, WriteFile, FindNextFileW, ShellExecuteW, LoadLibraryA, BCryptGenRandom

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в реагировании на инцидент, связанный с версией программы-вымогателя Elpaco, когда опытный хакер получил доступ к серверу жертвы с помощью успешной RDP-атаки методом перебора. Злоумышленник использовал уязвимость Zerologon для повышения привилегий и настройки работы вредоносного ПО с помощью графического интерфейса пользователя. Программа-вымогатель Elpaco, упакованная с использованием установщика 7-Zip, шифровала пользовательские данные, требовала выплаты выкупа и использовала расширенные функции, такие как многопоточное шифрование. Вредоносная программа содержала графический интерфейс, позволяющий операторам настраивать свойства программы-вымогателя, параметры шифрования и поведение, что создавало трудности для расшифровки из-за ее алгоритма шифрования и самоудаления после шифрования. Кроме того, правила YARA помогли обнаружить Elpaco dropper и графический интерфейс консоли, что указывает на широкое использование хакерами по всему миру.
-----

Вариант программы-вымогателя Elpaco был использован в недавней атаке, когда хакер получил доступ с помощью успешной RDP-атаки методом перебора.

Злоумышленник воспользовался уязвимостью CVE-2020-1472 (Zerologon) для повышения привилегий.

Версия программы-вымогателя Elpaco использовала библиотеку Everything для настройки операций с помощью графического интерфейса.

Программа-вымогатель была упакована с использованием механизма установки в формате 7-Zip, чтобы избежать обнаружения.

Программы-вымогатели Mimic и Elpaco variant использовали библиотеку Everything для таких вредоносных действий, как шифрование файлов и требование выкупа.

Вредоносная программа Elpaco распаковала необходимые файлы в каталоге %AppData%\Local со случайно сгенерированным UUID.

Основной консолью, используемой вредоносной программой Elpaco, была svhostss.exe, напоминающая законный процесс Windows svchost.exe.

Elpaco включила графический интерфейс под названием gui40.exe для настройки свойств программ-вымогателей, параметров шифрования, уведомлений о требовании выкупа и многого другого.

Elpaco регистрировала свои действия в C:\temp\MIMIC_LOG.txt и надежно удалил себя и связанные с ним файлы, используя команду Del и fsutil LOLBin.

Правила YARA были разработаны для определения Elpaco dropper и графического интерфейса консоли.

Elpaco и другие имитационные образцы использовались в атаках на различные страны, включая Соединенные Штаты, Россию, Нидерланды, Германию, Канаду, Румынию, Южную Корею и Великобританию.

Программа-вымогатель Elpaco создавала трудности для расшифровки из-за своего алгоритма шифрования и самоудаляющегося последующего шифрования, позволяющего избежать обнаружения.

#ParsedReport #CompletenessMedium
27-11-2024

Investigation into Helldown Ransomware

https://www.cyfirma.com/research/investigation-into-helldown-ransomware

Report completeness: Medium

Threats:
Helldown
Shadow_copies_delete_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Industry:
Transport, Healthcare, Energy

Geo:
France, Germany, Usa, Switzerland

CVEs:
CVE-2024-42057 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel zld firmware (<5.39)


TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 6
Hash: 4

Soft:
Linux, Zyxel, Windows Service

Algorithms:
sha256, md5

Win API:
UnhandledExceptionFilter

Platforms:
cross-platform

SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Helldown представляет собой быстро развивающуюся киберугрозу, нацеленную на критически важные отрасли по всему миру, и обладает расширенными возможностями как на платформах Windows, так и Linux. Программа-вымогатель использует шифрование, методы защиты от обнаружения и использует уязвимости, воздействуя на различные отрасли и основные службы по всему миру. Хакеры, стоящие за программой-вымогателем Helldown, активно используют уязвимости в брандмауэрах Zyxel, что приводит к значительным нарушениям и затрагивает жертв во многих странах. Меры по устранению уязвимостей, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для борьбы с этой широко распространенной угрозой.
-----

Программа-вымогатель Helldown - это быстро развивающаяся киберугроза, нацеленная на критически важные отрасли по всему миру, с расширенными возможностями как на платформах Windows, так и Linux. Эта программа-вымогатель нарушает работу систем, шифруя файлы и используя уязвимости, используя методы защиты от обнаружения и модульную конструкцию, что свидетельствует о постоянном развитии.

Первоначально идентифицированный CYFIRMA в августе 2024 года, вирус-вымогатель Helldown шифрует файлы, добавляет случайные расширения к именам файлов и оставляет записку с требованием выкупа ("Readme.random_string.txt"). Вредоносная программа проверяет наличие аналитических сред, манипулирует реестрами Windows для изменения настроек VSS, удаляет себя и другие артефакты и перезапускает скомпрометированную систему. Этот вариант программы-вымогателя Helldown представляет собой 64-разрядный исполняемый файл ELF, который загружает данные конфигурации и выполняет команды с помощью интерпретаторов оболочки, избегая обнаружения с помощью таких функций, как touch и sleep.

хакеры активно используют уязвимости в брандмауэрах Zyxel для получения доступа к системам, нацеливаясь на такие уязвимости, как CVE-2024-42057 с оценкой CVSS 8,1. Эти злоумышленники создают несанкционированные учетные записи и загружают вредоносные файлы для взлома систем, при этом поступают сообщения об аналогичных действиях на устройствах с устаревшей прошивкой. Сообщалось о значительных нарушениях, связанных с этими брандмауэрами, при этом некоторые жертвы заменяли устройства после инцидента.

Программа-вымогатель Helldown, несмотря на свою относительную новизну, затронула различные отрасли, в первую очередь недвижимость и строительство, за которыми следуют информационные технологии и производство. Также были затронуты такие важные отрасли, как здравоохранение, энергетика и транспорт, что отражает широкое влияние программы-вымогателя на основные услуги и бизнес по всему миру. Программа-вымогатель затронула жертв в 11 странах, причем наибольшее число случаев заражения зарегистрировано в США, за которыми следуют Германия, Франция и Швейцария, что указывает на глобальный охват и потенциал дальнейшего распространения.

Передовые технологии шифрования, кросс-платформенный таргетинг и использование уязвимостей делают программу-вымогатель Helldown серьезной угрозой для бизнеса по всему миру, особенно в критически важных отраслях. Ее нацеленность на нарушение работы основных служб и операций подчеркивает потенциальную возможность широкого распространения. Упреждающие меры, такие как исправление уязвимостей и внедрение надежных стратегий резервного копирования, имеют решающее значение для смягчения воздействия программ-вымогателей и предотвращения дальнейшего распространения.

#ParsedReport #CompletenessMedium
27-11-2024

RomCom Backdoor Attacks Use Zero-Day Exploits in Mozilla and Windows (CVE-2024-9680 & CVE-2024-49039)

https://socradar.io/romcom-backdoor-attacks-mozilla-and-windows

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Unc2596

Threats:
Romcom_rat
Redir
Dll_injection_technique

Industry:
Military, Government

Geo:
Ukraine, Russia, America

CVEs:
CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)


ChatGPT TTPs:
do not use without manual check
T1210, T1189

IOCs:
Domain: 9
File: 1
IP: 1
Hash: 6

Soft:
Firefox, Windows Task Scheduler

Languages:
javascript

Links:
https://github.com/eset/malware-ioc/tree/master/romcom