#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - детальное расследование и анализ сложной фишинговой атаки, нацеленной на клиента страховой компании из Великобритании, который использовал передовые тактики, такие как использование надежных адресов отправителей, создание поддельных страниц аутентификации и использование законных платформ для обхода систем безопасности электронной почты. Инцидент был частью более широкой кампании, нацеленной на несколько компаний, подчеркивающей важность информированности пользователей, лучших практик борьбы с фишинговыми атаками и внедрения технических мер для усиления защиты от подобных угроз.
-----

Команда криминалистов Varonis недавно расследовала сложную фишинговую атаку, направленную на клиента страховой компании из Великобритании. Атака началась с правила удаления, созданного на основе IP-адреса в США в почтовом ящике исполнительного менеджера, в результате чего электронные письма, содержащие определенное ключевое слово в адресе электронной почты, были удалены безвозвратно. Фишинговое электронное письмо, озаглавленное "ML Payment #05323", по всей видимости, было отправлено генеральным директором крупной международной судоходной компании, доверенным отправителем, с которым клиент общался ранее. В электронном письме содержалась ссылка на PDF-файл, размещенный на сервере AWS, который был представлен как официальное сообщение OneDrive. Ссылка на PDF-файл содержала фразу "atoantibot", которая, по-видимому, указывала на защиту от захвата учетной записи, но на самом деле была частью попытки фишинга.

Злоумышленник использовал общедоступную платформу Render для создания поддельной страницы аутентификации Microsoft, перенаправляя жертв на "login.siffinance.com", чтобы украсть их учетные данные. Используя легальные платформы, злоумышленник стремился обойти системы защиты электронной почты. После ввода учетных данных жертва была перенаправлена на официальный сайт Microsoft Office, выдав инцидент за обычный сбой. Несмотря на то, что злоумышленник деактивировал вредоносный домен, доступ к нему был перенаправлен на интернет-розыгрыш. Жертва также необъяснимым образом ответила на электронное письмо злоумышленника, и успешный вход в систему с IP-адреса в США подтвердил несанкционированный доступ злоумышленника из Великобритании.

Этот фишинговый инцидент был частью более широкой кампании, нацеленной на несколько компаний, которые использовали передовые тактики для сокрытия своих следов, использования надежных адресов отправителей, использования законных платформ, таких как AWS и Render, и создания сложных вложенных ссылок, чтобы скрыть конечный фишинговый сайт. Стратегия злоумышленника усложнила задачу обнаружения и расследования, подчеркнув важность осведомленности пользователей и передовых методов борьбы с фишинговыми атаками.

Чтобы усилить защиту от фишинга и атак с целью захвата учетных записей, организации могут внедрять технические меры, такие как мониторинг электронной почты и активности в интернете в режиме реального времени, поведения пользователей и взаимодействия с данными, используя такие инструменты, как Varonis. Обучение пользователей навыкам работы с электронной почтой, проверке ссылок, защите учетных данных и распознаванию фишинга также может помочь снизить риски, связанные с изощренными фишинговыми кампаниями. Повышая осведомленность и внедряя превентивные меры безопасности, организации могут усилить свою защиту от возникающих киберугроз.

#ParsedReport #CompletenessLow
27-11-2024

Dozens of Machines Infected: Year-Long NPM Supply Chain Attack Combines Crypto Mining and Data Theft

https://checkmarx.com/blog/dozens-of-machines-infected-year-long-npm-supply-chain-attack-combines-crypto-mining-and-data-theft

Report completeness: Low

Threats:
Supply_chain_technique
Xmrig_miner

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1070, T1036, T1564, T1553, T1587, T1049, T1496

IOCs:
File: 4
Url: 3
Coin: 1

Soft:
Dropbox, Node.js, WordPress, Linux, systemd

Crypto:
monero

Languages:
javascript

Links:
https://github.com/hpc20235/yawpp

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 10, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследовательская группа Checkmarx обнаружила постоянную и изощренную атаку на цепочку поставок с использованием вредоносного пакета NPM @0xengine/xmlrpc, который из-за частых обновлений перешел от законной функциональности к вредоносной, что привело к краже данных, добыче криптовалюты и компрометации системы. Этот инцидент подчеркивает важность бдительности при проверке проектов с открытым исходным кодом, внедрении мер безопасности, мониторинге обновлений пакетов и проведении регулярных аудитов для снижения рисков атак на цепочку поставок.
-----

Исследовательская группа Checkmarx обнаружила постоянную и изощренную атаку на цепочку поставок с использованием вредоносного пакета NPM @0xengine/xmlrpc, который был активен с октября 2023 по ноябрь 2024 года. Несмотря на то, что изначально пакет представлялся как легальная реализация XML-RPC, в более поздних версиях был внедрен вредоносный код, приводящий к краже данных и майнингу криптовалют в зараженных системах. Вредоносная программа осуществляет эксфильтрацию данных через Dropbox и file.io, а также использует методы обхода, чтобы избежать обнаружения, такие как мониторинг системной активности. Атака распространялась через прямые установки NPM и как скрытая зависимость в, казалось бы, законном репозитории GitHub под названием "yawpp". Эта стратегия использовала доверие разработчиков к зависимостям пакетов, что привело к непреднамеренной установке вредоносного пакета.

Эволюция вредоносного пакета примечательна тем, что, начиная с версии 1.3.4, он стратегически перешел от легальной функциональности к вредоносной, и в октябре 2024 года было выпущено в общей сложности 16 обновлений вплоть до версии 1.3.18. Эта схема непрерывного обновления поддерживала иллюзию законного обслуживания, скрывая при этом истинную природу программного обеспечения. Атака осуществлялась с помощью многоэтапного подхода, активируясь либо с помощью выполнения определенных команд, либо как зависимость от инструмента WordPress "yawpp". После запуска вредоносная программа собирает системную информацию, запускает операции по добыче криптовалюты с помощью XMRig для майнинга Monero и устанавливает постоянство через systemd как "Xsession.auth", чтобы обеспечить долгосрочную работу зараженных систем.

Чтобы избежать обнаружения, вредоносная программа включает в себя усовершенствованную систему мониторинга, которая проверяет наличие средств мониторинга и отслеживает активность пользователей с помощью xprintidle, чтобы определить оптимальное время для майнинга. Это гарантирует, что процесс майнинга выполняется только в периоды бездействия пользователя, чтобы уменьшить подозрения. Кроме того, вредоносная программа реализует систему сбора и эксфильтрации данных, которая срабатывает каждые 12 часов, систематически собирая конфиденциальную информацию для эксфильтрации по различным каналам.

Атака на цепочку поставок, организованная с помощью @0xengine/xmlrpc, демонстрирует постоянную угрозу в цепочках поставок программного обеспечения и подчеркивает необходимость постоянной бдительности при проверке проектов с открытым исходным кодом. Этот инцидент подчеркивает риски, связанные как с изначально вредоносными пакетами, так и с законными, которые со временем становятся уязвимыми. Разработчикам и организациям рекомендуется применять надежные меры безопасности, отслеживать обновления пакетов и проводить регулярные проверки зависимостей, чтобы снизить угрозу атак на цепочки поставок.

#ParsedReport #CompletenessLow
27-11-2024

Bootkitty: Analyzing the first UEFI bootkit for Linux

https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux

Report completeness: Low

Threats:
Bootkitty
Bcdropper
Bcobserver
Efiguard
Especter
Finfisher
Blacklotus
Blackcat
Dynamic_linker_hijacking_technique

Victims:
Ubuntu versions

Geo:
Ukraine

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Hash: 3

Soft:
Linux, Ubuntu, systemd

Win API:
decompress

Languages:
rust

Links:
https://github.com/ajkhoury/UEFI-Bootkit
have more...
https://github.com/Cr4sh/s6\_pcie\_microblaze/tree/master/python/payloads/DmaBackdoorBoot
https://github.com/Mattiwatti/EfiGuard

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили загрузочный пакет UEFI для систем Linux под названием Bootkitty, который является доказательством концепции, еще не встречавшейся в природе. Этот загрузчик предназначен для обхода проверки подписи ядра и предварительной загрузки неизвестных двоичных файлов во время запуска системы, в частности, для версий Ubuntu. Кроме того, был также идентифицирован соответствующий неподписанный модуль ядра под названием BCDropper, демонстрирующий функции, связанные с руткитом. Несмотря на то, что Bootkitty является скорее доказательством концепции, он отражает меняющийся ландшафт угроз для UEFI в системах Linux и подчеркивает необходимость обеспечения готовности к потенциальным будущим угрозам.
-----

Исследователи ESET обнаружили первый загрузочный пакет UEFI, разработанный для систем Linux и получивший название Bootkitty. Этот загрузочный пакет считается первоначальным подтверждением концепции и не был внедрен в массовом порядке. Он предназначен для отключения функции проверки подписи ядра и предварительной загрузки неизвестных двоичных файлов ELF с помощью процесса инициализации Linux во время запуска системы. Загрузочный пакет был загружен на VirusTotal в ноябре 2024 года и предназначен для Linux, в частности для нескольких версий Ubuntu. Он подписан самозаверяющим сертификатом, что делает невозможным его запуск в системах с включенной безопасной загрузкой UEFI, если только не установлены сертификаты злоумышленников.

Bootkitty содержит артефакты, указывающие на то, что он может быть скорее доказательством концепции, чем активно используемым вредоносным ПО. В нем есть функции, которые во время выполнения выводят определенные строки, включая ASCII-код, представляющий название bootkit и список возможных авторов, участвовавших в его разработке. Примечательно, что буткит поддерживает лишь ограниченное число систем из-за использования жестко закодированных байтовых шаблонов, которые ограничивают его функциональность конкретными конфигурациями.

Загрузчик запускается путем исправления законного загрузчика GRUB, загрузчика-заглушки EFI ядра Linux и распакованного образа ядра Linux. Он подключает функции из протоколов аутентификации UEFI для обхода безопасной загрузки UEFI и изменяет память GRUB для обеспечения бесперебойной загрузки ядра Linux. Кроме того, Bootkitty изменяет функцию module_sig_check для загрузки модулей ядра без проверки подписи.

В дополнение к bootkit на VirusTotal был обнаружен связанный с ним неподписанный модуль ядра под названием BCDropper. Хотя, судя по подсказкам, он был разработан тем же автором, что и Bootkitty, связь между ними остается неопределенной. BCDropper удаляет встроенный ELF-файл с именем BCObserver, скрывает себя и реализует функции, связанные с руткитами, такие как скрытие файлов и манипулирование процессами.

Несмотря на то, что Bootkitty является скорее подтверждением концепции, она представляет собой значительное изменение в ландшафте угроз UEFI, поскольку нацелена на системы Linux. Хотя текущая версия представляет минимальную угрозу для систем Linux, она подчеркивает важность готовности к потенциальным будущим угрозам UEFI.

#ParsedReport #CompletenessMedium
27-11-2024

Gaming Engines: An Undetected Playground for Malware Loaders. Key Points. Key Points

https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders

Report completeness: Medium

Threats:
Godloader
Stargazers_ghost_network
Xmrig_miner
Redline_stealer
Dll_hijacking_technique
Dropper.win.godot

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1027, T1090, T1562.001, T1102.002, T1210, T1071.001

IOCs:
File: 5
Hash: 20
IP: 2

Soft:
Godot, macOS, Linux, Android, Discord, Microsoft Defender

Wallets:
harmony_wallet

Crypto:
monero, ethereum

Algorithms:
md5, aes

Functions:
_ready, _start_execution, get_gpu_names, get_total_free_space_gb, add_folder_to_windows_defender_exclusions, _linux_do, _mac_do

Languages:
python, gdscript, powershell

Platforms:
apple, cross-platform

Links:
https://github.com/Bioruebe/godotdec
https://github.com/apps/github-actions

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в исследовании Check Point, раскрывающем новую технологию под названием GodLoader, которая использует движок Godot для выполнения вредоносных команд с использованием кода GDScript. Этот метод не поддается обнаружению большинством антивирусов, нацелен на широкий спектр устройств и распространяется через сеть Stargazers Ghost Network на GitHub. Анализ показывает эволюцию киберугроз, обусловленную постоянными инновациями киберпреступников в области внедрения вредоносного кода, уделяя особое внимание возможностям движка Godot и потенциальному влиянию на разработчиков игр и геймеров.
-----

В ходе исследования Check Point была обнаружена технология, использующая движок Godot для выполнения вредоносных команд с использованием кода GDScript, что позволяет избежать обнаружения большинством антивирусов.

Загрузчик под названием GodLoader заразил более 17 000 компьютеров с 29 июня 2024 года, распространяясь через сеть Stargazers Ghost Network на GitHub.

GodLoader ориентирован на множество платформ, таких как Windows, macOS, Linux, Android и iOS, потенциально затрагивая более 1,2 миллионов пользователей игр, разработанных на движке Godot Engine.

хакеры используют подлинные исполняемые файлы Godot для внедрения вредоносных скриптов в качестве загружаемого контента или модов, которые остаются незамеченными, демонстрируя постоянную эволюцию киберугроз.

GodLoader использует GDScript для незаметного выполнения вредоносного кода, загрузки вредоносных программ, обхода безопасных сред и выполнения удаленных полезных нагрузок без возникновения аварийных ситуаций.

Распределение полезной нагрузки через Stargazers Ghost Network включает в себя методы обхода "песочницы", проверки виртуальной среды и использование таких платформ, как bitbucket.организация для выполнения полезной нагрузки.

XMRig miner, входящий в состав GodLoader, был загружен более 17 000 раз и извлекает конфигурацию из частного источника на pastebin.

Вредоносная программа GodLoader эволюционировала от встраивания полезной нагрузки в движок Godot до разделения зашифрованных файлов, что свидетельствует о постоянных усилиях хакеров по совершенствованию тактики уклонения.

Распространение вредоносного ПО с помощью исполняемых файлов Godot Engine вызывает опасения по поводу потенциального заражения подлинных игр в результате подделки файлов или манипуляций с движком, аналогичных перехвату библиотек DLL.

#ParsedReport #CompletenessLow
27-11-2024

Attacks by the attack group APT-C-60 using legitimate services

https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html

Report completeness: Low

Actors/Campaigns:
Camouflaged_hunter
Darkhotel

Threats:
Com_hijacking_technique

Geo:
Japan, Asia, China, Asian, Korea

ChatGPT TTPs:
do not use without manual check
T1566.001, T1546.015

IOCs:
File: 6
Path: 1
IP: 2
Hash: 20

Algorithms:
aes, rc4

Functions:
DllMain

Win API:
GetProcAddress

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, проведенной APT-C-60 против местных организаций в августе 2024 года. Атака включала рассылку вредоносных электронных писем, выдаваемых за заявления о приеме на работу, с целью заражения организаций вредоносным ПО. В статье подробно описывается метод атаки, включая анализ загрузчиков и бэкдоров, а также кампании с использованием того же вредоносного ПО. Важность атаки заключается в использовании законных сервисов, таких как Bitbucket и StatCounter, ее нацеленности на страны Восточной Азии и необходимости усиления мер кибербезопасности для защиты от APT-C-60 и подобных хакеров.
-----

Группа атак APT-C-60 провела атаки на местные организации в августе 2024 года, что подтверждено JPCERT/CC. Атака включала отправку вредоносных электронных писем, выдаваемых за заявления о приеме на работу, в отдел по подбору персонала организаций с целью заражения их вредоносным ПО. В этой статье рассматривается метод атаки, описывается процесс, приводящий к заражению вредоносным ПО, анализ загрузчиков, бэкдоров и кампаний, использующих одно и то же вредоносное ПО.

Атака началась с рассылки целевого электронного письма, в котором получателям предлагалось загрузить файл по ссылке Google Drive, указанной в электронном письме. При переходе по ссылке Google Drive загружается файл VHDX, содержащий вредоносное ПО. Файлы VHDX - это форматы файлов на виртуальном диске, которые можно просмотреть, установив их. Файл VHDX в ходе этой атаки содержал файл LNK и документ-приманку, как показано на рисунке 2. Открыв IPML.txt , обнаруживается документ-приманка, в то время как загрузчик, известный как SecureBootUEFI.dat, создается и поддерживается для сохранения посредством перехвата COM, регистрируя путь к идентификатору COM-интерфейса F82B4EF1-93A9-4DDE-8015-F7950A1A6E31.

ESET назвала бэкдор, использованный в этой атаке, SpyGrace. Конфигурация, встроенная в бэкдор, включает информацию о версии, причем образец идентифицирован как v3.1.6. Фаза инициализации бэкдора включает выполнение определенных команд и URL-адресов C2, как подробно описано в приложении A. В отчетах от поставщиков средств безопасности за август-сентябрь 2024 года указывалось на вредоносное ПО, похожее на подтвержденный образец, с акцентом на использование законных средств защиты. такие сервисы, как Bitbucket и StatCounter, а также сохранение данных с помощью перехвата COM. Кроме того, наличие документа-приманки в файле VHDX указывает на потенциальные аналогичные атаки в странах Восточной Азии, таких как Япония, Южная Корея и Китай, что согласуется с сообщениями об атаках, направленных против этих стран.

Эта атака вызывает беспокойство из-за использования законных сервисов, таких как Bitbucket и StatCounter, и ее направленности на страны Восточной Азии, в частности Японию. Дополнительные сведения о образцах и CCE, использованных при атаке, можно найти в предоставленном приложении. Важность этих результатов подчеркивается совпадением элементов в разных кампаниях с точки зрения типов команд, ключей RC4, ключей AES и других характеристик, наблюдаемых в проанализированных выборках.

Учитывая изощренность и размах этих атак, бдительность и усовершенствованные меры кибербезопасности имеют решающее значение для защиты организаций и конфиденциальных данных от попадания в руки APT-C-60 и подобных хакеров. Выводы, изложенные в этой статье, проливают свет на тактику, методы и процедуры, используемые APT-C-60, подчеркивая необходимость упреждающего анализа угроз и возможностей реагирования на них перед лицом развивающихся киберугроз.

#ParsedReport #CompletenessLow
27-11-2024

Credit Card Skimmer Malware Targeting Magento Checkout Pages

https://blog.sucuri.net/2024/11/credit-card-skimmer-malware-targeting-magento-checkout-pages.html

Report completeness: Low

Victims:
Magento websites

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1036, T1078.003

IOCs:
Domain: 3
File: 1

Algorithms:
base64, xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа нацелена на веб-сайты Magento с помощью вредоносного JavaScript-кода, предназначенного для кражи ценных данных клиентов во время оформления заказа. Вредоносная программа создает поддельные формы кредитных карт или извлекает поля для оплаты, отправляя зашифрованные данные на удаленный сервер. В тексте также рассказывается об обнаружении вредоносного ПО на зараженных веб-сайтах, о том, как оно работает, и даются рекомендации по защите платформ электронной коммерции. Кроме того, в нем рассказывается о Пудже Шриваставе (Puja Srivastava), аналитике по безопасности, специализирующемся на исследовании вредоносных программ и устранении их последствий, который занимается борьбой с новыми вредоносными угрозами.
-----

Веб-сайты Magento являются главной мишенью для киберпреступников из-за их распространенности в сфере электронной коммерции и ценной информации о клиентах, которую они обрабатывают.

Была обнаружена вредоносная программа JavaScript, нацеленная на сайты Magento с целью кражи зашифрованных данных клиентов во время оформления заказа.

Вредоносная программа работает путем создания поддельных бланков кредитных карт или извлечения полей для оплаты непосредственно на страницах оформления заказа.

Вредоносная программа была впервые обнаружена Уэстоном Генри (Weston Henry) и предназначена для объединения вредоносных программ для файловой системы и баз данных с передовыми методами обфускации.

На момент написания статьи 8 веб-сайтов были заражены этой вредоносной программой, исходящей из занесенного в черный список домена dynamicopenfonts.app.

Информация о кредитной карте и пользовательские данные, собранные с помощью API-интерфейсов Magento, шифруются и отправляются на удаленный сервер по адресу staticfonts.com stealthly.

Рекомендации по защите платформ электронной коммерции включают постоянное обновление программного обеспечения, безопасное управление учетными записями администраторов, внедрение мониторинга целостности файлов и развертывание брандмауэра веб-приложений (WAF).

Пуджа Шривастава, аналитик по безопасности, специализирующийся на исследовании, обнаружении и устранении вредоносных программ, активно борется с новыми вредоносными угрозами в этой области.