#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый и продвинутый установщик вредоносного ПО CleverSoar, предназначенный для жертв, говорящих на китайском и вьетнамском языках, демонстрирующий сложные возможности, такие как сбор данных, слежка и тактика уклонения. Кампания, стоящая за CleverSoar, по-видимому, является частью длительной шпионской деятельности высококвалифицированного хакера, и ее сходство с другими кампаниями, о которых сообщалось, намекает на потенциальные связи. Rapid7 Labs рекомендует использовать Insight Agent для улучшения защиты от таких угроз, в то время как организациям в пострадавших регионах следует сохранять бдительность и быть готовыми к обнаружению и снижению потенциальных рисков, связанных с CleverSoar.
-----

Rapid7 Labs обнаружила новый сложный установщик вредоносного ПО под названием CleverSoar, предназначенный для жертв, говорящих на китайском и вьетнамском языках.

CleverSoar использует вредоносные компоненты, такие как Winos4.0 framework и руткит Nidhogg, для таких функций, как регистрация нажатий клавиш, утечка данных, обход системы безопасности и скрытый контроль системы.

Кампания CleverSoar, вероятно, является частью длительных шпионских усилий, направленных на сбор данных и расширенное наблюдение.

Установщик CleverSoar появился на VirusTotal в конце июля, большинство связанных с ним двоичных файлов были обнаружены в ноябре 2024 года, и предназначен для пользователей в зависимости от языковых настроек.

Сходство с кампанией ValleyRAT и другими кампаниями предполагает потенциальную связь, указывая на то, что за CleverSoar стоит очень способный хакер.

CleverSoar использует передовые знания в области протоколов Windows и продуктов безопасности, включая методы защиты от виртуальных машин, проверки обхода и индивидуальные методы обхода.

Кампания CleverSoar представляет собой целенаправленную угрозу с использованием специально разработанных компонентов вредоносного ПО и сложных средств защиты от обнаружения.

В число рекомендаций входит использование Insight Agent для улучшения защиты от таких угроз, как CleverSoar. Организациям следует осознавать потенциальные риски и проявлять бдительность в отношении тактики хакеров.

#ParsedReport #CompletenessLow
26-11-2024

Caught in the Net: Unmasking Advanced Phishing Tactics

https://www.varonis.com/blog/advanced-phishing-tactics

Report completeness: Low

Threats:
Glitch

Victims:
U.k.-based insurance customer

Industry:
Transport

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1027

IOCs:
Domain: 6
IP: 1

Soft:
Microsoft Office, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - детальное расследование и анализ сложной фишинговой атаки, нацеленной на клиента страховой компании из Великобритании, который использовал передовые тактики, такие как использование надежных адресов отправителей, создание поддельных страниц аутентификации и использование законных платформ для обхода систем безопасности электронной почты. Инцидент был частью более широкой кампании, нацеленной на несколько компаний, подчеркивающей важность информированности пользователей, лучших практик борьбы с фишинговыми атаками и внедрения технических мер для усиления защиты от подобных угроз.
-----

Команда криминалистов Varonis недавно расследовала сложную фишинговую атаку, направленную на клиента страховой компании из Великобритании. Атака началась с правила удаления, созданного на основе IP-адреса в США в почтовом ящике исполнительного менеджера, в результате чего электронные письма, содержащие определенное ключевое слово в адресе электронной почты, были удалены безвозвратно. Фишинговое электронное письмо, озаглавленное "ML Payment #05323", по всей видимости, было отправлено генеральным директором крупной международной судоходной компании, доверенным отправителем, с которым клиент общался ранее. В электронном письме содержалась ссылка на PDF-файл, размещенный на сервере AWS, который был представлен как официальное сообщение OneDrive. Ссылка на PDF-файл содержала фразу "atoantibot", которая, по-видимому, указывала на защиту от захвата учетной записи, но на самом деле была частью попытки фишинга.

Злоумышленник использовал общедоступную платформу Render для создания поддельной страницы аутентификации Microsoft, перенаправляя жертв на "login.siffinance.com", чтобы украсть их учетные данные. Используя легальные платформы, злоумышленник стремился обойти системы защиты электронной почты. После ввода учетных данных жертва была перенаправлена на официальный сайт Microsoft Office, выдав инцидент за обычный сбой. Несмотря на то, что злоумышленник деактивировал вредоносный домен, доступ к нему был перенаправлен на интернет-розыгрыш. Жертва также необъяснимым образом ответила на электронное письмо злоумышленника, и успешный вход в систему с IP-адреса в США подтвердил несанкционированный доступ злоумышленника из Великобритании.

Этот фишинговый инцидент был частью более широкой кампании, нацеленной на несколько компаний, которые использовали передовые тактики для сокрытия своих следов, использования надежных адресов отправителей, использования законных платформ, таких как AWS и Render, и создания сложных вложенных ссылок, чтобы скрыть конечный фишинговый сайт. Стратегия злоумышленника усложнила задачу обнаружения и расследования, подчеркнув важность осведомленности пользователей и передовых методов борьбы с фишинговыми атаками.

Чтобы усилить защиту от фишинга и атак с целью захвата учетных записей, организации могут внедрять технические меры, такие как мониторинг электронной почты и активности в интернете в режиме реального времени, поведения пользователей и взаимодействия с данными, используя такие инструменты, как Varonis. Обучение пользователей навыкам работы с электронной почтой, проверке ссылок, защите учетных данных и распознаванию фишинга также может помочь снизить риски, связанные с изощренными фишинговыми кампаниями. Повышая осведомленность и внедряя превентивные меры безопасности, организации могут усилить свою защиту от возникающих киберугроз.

#ParsedReport #CompletenessLow
27-11-2024

Dozens of Machines Infected: Year-Long NPM Supply Chain Attack Combines Crypto Mining and Data Theft

https://checkmarx.com/blog/dozens-of-machines-infected-year-long-npm-supply-chain-attack-combines-crypto-mining-and-data-theft

Report completeness: Low

Threats:
Supply_chain_technique
Xmrig_miner

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1070, T1036, T1564, T1553, T1587, T1049, T1496

IOCs:
File: 4
Url: 3
Coin: 1

Soft:
Dropbox, Node.js, WordPress, Linux, systemd

Crypto:
monero

Languages:
javascript

Links:
https://github.com/hpc20235/yawpp

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 10, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследовательская группа Checkmarx обнаружила постоянную и изощренную атаку на цепочку поставок с использованием вредоносного пакета NPM @0xengine/xmlrpc, который из-за частых обновлений перешел от законной функциональности к вредоносной, что привело к краже данных, добыче криптовалюты и компрометации системы. Этот инцидент подчеркивает важность бдительности при проверке проектов с открытым исходным кодом, внедрении мер безопасности, мониторинге обновлений пакетов и проведении регулярных аудитов для снижения рисков атак на цепочку поставок.
-----

Исследовательская группа Checkmarx обнаружила постоянную и изощренную атаку на цепочку поставок с использованием вредоносного пакета NPM @0xengine/xmlrpc, который был активен с октября 2023 по ноябрь 2024 года. Несмотря на то, что изначально пакет представлялся как легальная реализация XML-RPC, в более поздних версиях был внедрен вредоносный код, приводящий к краже данных и майнингу криптовалют в зараженных системах. Вредоносная программа осуществляет эксфильтрацию данных через Dropbox и file.io, а также использует методы обхода, чтобы избежать обнаружения, такие как мониторинг системной активности. Атака распространялась через прямые установки NPM и как скрытая зависимость в, казалось бы, законном репозитории GitHub под названием "yawpp". Эта стратегия использовала доверие разработчиков к зависимостям пакетов, что привело к непреднамеренной установке вредоносного пакета.

Эволюция вредоносного пакета примечательна тем, что, начиная с версии 1.3.4, он стратегически перешел от легальной функциональности к вредоносной, и в октябре 2024 года было выпущено в общей сложности 16 обновлений вплоть до версии 1.3.18. Эта схема непрерывного обновления поддерживала иллюзию законного обслуживания, скрывая при этом истинную природу программного обеспечения. Атака осуществлялась с помощью многоэтапного подхода, активируясь либо с помощью выполнения определенных команд, либо как зависимость от инструмента WordPress "yawpp". После запуска вредоносная программа собирает системную информацию, запускает операции по добыче криптовалюты с помощью XMRig для майнинга Monero и устанавливает постоянство через systemd как "Xsession.auth", чтобы обеспечить долгосрочную работу зараженных систем.

Чтобы избежать обнаружения, вредоносная программа включает в себя усовершенствованную систему мониторинга, которая проверяет наличие средств мониторинга и отслеживает активность пользователей с помощью xprintidle, чтобы определить оптимальное время для майнинга. Это гарантирует, что процесс майнинга выполняется только в периоды бездействия пользователя, чтобы уменьшить подозрения. Кроме того, вредоносная программа реализует систему сбора и эксфильтрации данных, которая срабатывает каждые 12 часов, систематически собирая конфиденциальную информацию для эксфильтрации по различным каналам.

Атака на цепочку поставок, организованная с помощью @0xengine/xmlrpc, демонстрирует постоянную угрозу в цепочках поставок программного обеспечения и подчеркивает необходимость постоянной бдительности при проверке проектов с открытым исходным кодом. Этот инцидент подчеркивает риски, связанные как с изначально вредоносными пакетами, так и с законными, которые со временем становятся уязвимыми. Разработчикам и организациям рекомендуется применять надежные меры безопасности, отслеживать обновления пакетов и проводить регулярные проверки зависимостей, чтобы снизить угрозу атак на цепочки поставок.

#ParsedReport #CompletenessLow
27-11-2024

Bootkitty: Analyzing the first UEFI bootkit for Linux

https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux

Report completeness: Low

Threats:
Bootkitty
Bcdropper
Bcobserver
Efiguard
Especter
Finfisher
Blacklotus
Blackcat
Dynamic_linker_hijacking_technique

Victims:
Ubuntu versions

Geo:
Ukraine

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Hash: 3

Soft:
Linux, Ubuntu, systemd

Win API:
decompress

Languages:
rust

Links:
https://github.com/ajkhoury/UEFI-Bootkit
have more...
https://github.com/Cr4sh/s6\_pcie\_microblaze/tree/master/python/payloads/DmaBackdoorBoot
https://github.com/Mattiwatti/EfiGuard

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили загрузочный пакет UEFI для систем Linux под названием Bootkitty, который является доказательством концепции, еще не встречавшейся в природе. Этот загрузчик предназначен для обхода проверки подписи ядра и предварительной загрузки неизвестных двоичных файлов во время запуска системы, в частности, для версий Ubuntu. Кроме того, был также идентифицирован соответствующий неподписанный модуль ядра под названием BCDropper, демонстрирующий функции, связанные с руткитом. Несмотря на то, что Bootkitty является скорее доказательством концепции, он отражает меняющийся ландшафт угроз для UEFI в системах Linux и подчеркивает необходимость обеспечения готовности к потенциальным будущим угрозам.
-----

Исследователи ESET обнаружили первый загрузочный пакет UEFI, разработанный для систем Linux и получивший название Bootkitty. Этот загрузочный пакет считается первоначальным подтверждением концепции и не был внедрен в массовом порядке. Он предназначен для отключения функции проверки подписи ядра и предварительной загрузки неизвестных двоичных файлов ELF с помощью процесса инициализации Linux во время запуска системы. Загрузочный пакет был загружен на VirusTotal в ноябре 2024 года и предназначен для Linux, в частности для нескольких версий Ubuntu. Он подписан самозаверяющим сертификатом, что делает невозможным его запуск в системах с включенной безопасной загрузкой UEFI, если только не установлены сертификаты злоумышленников.

Bootkitty содержит артефакты, указывающие на то, что он может быть скорее доказательством концепции, чем активно используемым вредоносным ПО. В нем есть функции, которые во время выполнения выводят определенные строки, включая ASCII-код, представляющий название bootkit и список возможных авторов, участвовавших в его разработке. Примечательно, что буткит поддерживает лишь ограниченное число систем из-за использования жестко закодированных байтовых шаблонов, которые ограничивают его функциональность конкретными конфигурациями.

Загрузчик запускается путем исправления законного загрузчика GRUB, загрузчика-заглушки EFI ядра Linux и распакованного образа ядра Linux. Он подключает функции из протоколов аутентификации UEFI для обхода безопасной загрузки UEFI и изменяет память GRUB для обеспечения бесперебойной загрузки ядра Linux. Кроме того, Bootkitty изменяет функцию module_sig_check для загрузки модулей ядра без проверки подписи.

В дополнение к bootkit на VirusTotal был обнаружен связанный с ним неподписанный модуль ядра под названием BCDropper. Хотя, судя по подсказкам, он был разработан тем же автором, что и Bootkitty, связь между ними остается неопределенной. BCDropper удаляет встроенный ELF-файл с именем BCObserver, скрывает себя и реализует функции, связанные с руткитами, такие как скрытие файлов и манипулирование процессами.

Несмотря на то, что Bootkitty является скорее подтверждением концепции, она представляет собой значительное изменение в ландшафте угроз UEFI, поскольку нацелена на системы Linux. Хотя текущая версия представляет минимальную угрозу для систем Linux, она подчеркивает важность готовности к потенциальным будущим угрозам UEFI.

#ParsedReport #CompletenessMedium
27-11-2024

Gaming Engines: An Undetected Playground for Malware Loaders. Key Points. Key Points

https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders

Report completeness: Medium

Threats:
Godloader
Stargazers_ghost_network
Xmrig_miner
Redline_stealer
Dll_hijacking_technique
Dropper.win.godot

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1027, T1090, T1562.001, T1102.002, T1210, T1071.001

IOCs:
File: 5
Hash: 20
IP: 2

Soft:
Godot, macOS, Linux, Android, Discord, Microsoft Defender

Wallets:
harmony_wallet

Crypto:
monero, ethereum

Algorithms:
md5, aes

Functions:
_ready, _start_execution, get_gpu_names, get_total_free_space_gb, add_folder_to_windows_defender_exclusions, _linux_do, _mac_do

Languages:
python, gdscript, powershell

Platforms:
apple, cross-platform

Links:
https://github.com/Bioruebe/godotdec
https://github.com/apps/github-actions

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в исследовании Check Point, раскрывающем новую технологию под названием GodLoader, которая использует движок Godot для выполнения вредоносных команд с использованием кода GDScript. Этот метод не поддается обнаружению большинством антивирусов, нацелен на широкий спектр устройств и распространяется через сеть Stargazers Ghost Network на GitHub. Анализ показывает эволюцию киберугроз, обусловленную постоянными инновациями киберпреступников в области внедрения вредоносного кода, уделяя особое внимание возможностям движка Godot и потенциальному влиянию на разработчиков игр и геймеров.
-----

В ходе исследования Check Point была обнаружена технология, использующая движок Godot для выполнения вредоносных команд с использованием кода GDScript, что позволяет избежать обнаружения большинством антивирусов.

Загрузчик под названием GodLoader заразил более 17 000 компьютеров с 29 июня 2024 года, распространяясь через сеть Stargazers Ghost Network на GitHub.

GodLoader ориентирован на множество платформ, таких как Windows, macOS, Linux, Android и iOS, потенциально затрагивая более 1,2 миллионов пользователей игр, разработанных на движке Godot Engine.

хакеры используют подлинные исполняемые файлы Godot для внедрения вредоносных скриптов в качестве загружаемого контента или модов, которые остаются незамеченными, демонстрируя постоянную эволюцию киберугроз.

GodLoader использует GDScript для незаметного выполнения вредоносного кода, загрузки вредоносных программ, обхода безопасных сред и выполнения удаленных полезных нагрузок без возникновения аварийных ситуаций.

Распределение полезной нагрузки через Stargazers Ghost Network включает в себя методы обхода "песочницы", проверки виртуальной среды и использование таких платформ, как bitbucket.организация для выполнения полезной нагрузки.

XMRig miner, входящий в состав GodLoader, был загружен более 17 000 раз и извлекает конфигурацию из частного источника на pastebin.

Вредоносная программа GodLoader эволюционировала от встраивания полезной нагрузки в движок Godot до разделения зашифрованных файлов, что свидетельствует о постоянных усилиях хакеров по совершенствованию тактики уклонения.

Распространение вредоносного ПО с помощью исполняемых файлов Godot Engine вызывает опасения по поводу потенциального заражения подлинных игр в результате подделки файлов или манипуляций с движком, аналогичных перехвату библиотек DLL.

#ParsedReport #CompletenessLow
27-11-2024

Attacks by the attack group APT-C-60 using legitimate services

https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html

Report completeness: Low

Actors/Campaigns:
Camouflaged_hunter
Darkhotel

Threats:
Com_hijacking_technique

Geo:
Japan, Asia, China, Asian, Korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1546.015

IOCs:
File: 6
Path: 1
IP: 2
Hash: 20

Algorithms:
aes, rc4

Functions:
DllMain

Win API:
GetProcAddress

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4