#ParsedReport #CompletenessHigh
25-12-2024

OilRig Exposed: Unveiling the Tools and Techniques of APT34

https://www.picussecurity.com/resource/blog/oilrig-exposed-tools-techniques-apt34

Report completeness: High

Actors/Campaigns:
Oilrig (motivation: cyber_espionage)
Duke
Fox_kitten
Andariel

Threats:
Spear-phishing_technique
Quadagent
Ismagent
Supply_chain_technique
Stealhook_tool
Lazagne_tool
Credential_dumping_technique
Dumplsass_tool
Mimikatz_tool
Putty_tool
Keypunch
Longwatch
Dns_tunneling_technique
Plink_tool
Ransomhub

Victims:
Saudi arabian organizations, Governmental bodies, Technology services provider, Energy and oil industries, Telecommunications providers, Critical infrastructure

Industry:
Petroleum, Telco, Critical_infrastructure, Military, Energy, Government

Geo:
Middle east, Iranian, Iran, Saudi arabian, Saudi, Russian, North korean

CVEs:
CVE-2024-9474 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimanager (<6.2.13, <6.4.15, <7.0.13, <7.2.8, <7.4.5)
- fortinet fortimanager cloud (le6.4.7, <7.0.13, <7.2.8, <7.4.5)

CVE-2024-38063 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...
CVE-2024-0012 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)


TTPs:
Tactics: 12
Technics: 17

IOCs:
File: 4
Hash: 5

Soft:
Windows Kernel, Microsoft Exchange

Crypto:
ripple

Algorithms:
base64

Languages:
powershell, visual_basic

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Androxgh0st, вредоносная программа на базе Python, обнаруженная в апреле 2022 года, представляет серьезную угрозу кибербезопасности, поскольку нацелена на уязвимости в платформах веб-разработки для осуществления таких действий, как кража данных, майнинг криптовалют и несанкционированное использование системных ресурсов. Вредоносная программа демонстрирует техническую изощренность, используя специфические уязвимости и применяя методы обхода для скрытой работы в скомпрометированных системах. Ее тактика, методы и процедуры (TTP) тесно связаны со структурой MITRE ATT&CK, что затрудняет обнаружение и смягчение последствий для специалистов по кибербезопасности. Для эффективной борьбы с Androxgh0st организациям рекомендуется внедрять различные меры безопасности, такие как мониторинг HTTP-запросов, применение исправлений безопасности и проведение регулярных аудитов безопасности.
-----

Androxgh0st, вредоносная программа на базе Python, впервые обнаруженная в апреле 2022 года, быстро превратилась в серьезную угрозу в сфере кибербезопасности. Он нацелен на уязвимости в популярных платформах веб-разработки, таких как Laravel, для удаленного выполнения кода, извлечения конфиденциальных учетных данных и доступа к файлам .env, содержащим важные переменные среды для облачных сервисов, таких как AWS, Office 365, SendGrid и Twilio. Формируя ботнеты и используя бреши в системе безопасности, Androxgh0st позволяет осуществлять такие действия, как кража данных, майнинг криптовалют и несанкционированное использование системных ресурсов.

Это вредоносное ПО демонстрирует техническую изощренность, используя специфические уязвимости, такие как уязвимость PHPUnit (CVE-2017-9841), уязвимость платформы Laravel (CVE-2018-15133) и уязвимость HTTP-сервера Apache (CVE-2021-41773), для получения несанкционированного доступа и выполнения произвольного кода. Конструкция Androxgh0st обеспечивает плавную масштабируемость и эффективное сканирование уязвимых сетей, в частности, нацеленное на env-файлы для сбора учетных данных.

Androxgh0st использует такие методы уклонения, как использование законных учетных данных, запутывание скриптов, развертывание веб-оболочек, использование известных уязвимостей, динамическое манипулирование инфраструктурой и использование ботнета для распределенных действий, таких как DDoS-атаки или криптомайнинг. Такая тактика позволяет вредоносному ПО скрытно действовать в скомпрометированных системах, что затрудняет обнаружение и устранение последствий для специалистов по кибербезопасности.

Тактика, методы и процедуры вредоносного ПО (TTP) хорошо согласуются с платформой MITRE ATT&CK и охватывают такие действия, как масштабные операции сканирования, использование уязвимостей, автоматизация разведки с помощью ботнета, использование скомпрометированных учетных данных AWS и использование сценариев Python для вредоносных операций. Androxgh0st поддерживает постоянство, используя сохраненные учетные данные, устанавливая веб-оболочки и создавая новые учетные записи пользователей в облачных средах с использованием скомпрометированных учетных данных AWS.

Для эффективного обнаружения и устранения вредоносного ПО Androxgh0st организациям рекомендуется отслеживать HTTP-запросы, анализировать строки пользовательского агента, просматривать журналы доступа, применять исправления безопасности, ограничивать доступ к конфиденциальным файлам, отключать режимы отладки, удалять жестко запрограммированные учетные данные, проводить регулярные проверки безопасности и отслеживать исходящие запросы на файлообменники. Внедряя эти стратегии, организации могут усилить свою защиту от Androxgh0st и снизить связанные с этим риски.

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте дается подробное представление о деятельности спонсируемых государством хакеров OilRig, также известных как APT34 и Helix Kitten, освещаются их изощренные операции по кибершпионажу на Ближнем Востоке, нацеленные на правительство, технологические службы, энергетический сектор и критически важную инфраструктуру. Эволюция тактики группы, использование продвинутых бэкдоров, эксплуатация уязвимостей и эффективный обход механизмов обнаружения представляют значительную угрозу для организаций. Рекомендации по защите от атак OilRig включают определение приоритетности критических исправлений, внедрение виртуальных исправлений, регулярное сканирование уязвимостей, развертывание инструментов EDR и совершенствование мер обнаружения, основанных на поведении.
-----

OilRig, также известный как APT34 и Helix Kitten, является изощренным и настойчивым хакером, спонсируемым государством, работающим в интересах иранского государства.

Группа в основном действует на Ближнем Востоке, занимаясь кибершпионажем в государственном секторе, сфере технологических услуг и энергетике.

OilRig развила свою тактику от кампаний подводной охоты до передовых методов, таких как бэкдоры QUADAGENT и ISMAgent, демонстрируя постоянную адаптацию к обходным механизмам обнаружения.

Хакер нацелился на критически важные секторы, такие как государственные учреждения, энергетическая промышленность, телекоммуникационные провайдеры и критически важная инфраструктура на Ближнем Востоке.

Стратегическое использование OilRig таких бэкдоров, как Helminth и QUADAGENT, наряду с использованием уязвимостей, таких как CVE-2024-30088, демонстрирует их мастерство в проведении скрытных операций.

Недавние кампании группы используют уязвимости с повышением привилегий, внедряя пользовательские вредоносные программы, такие как бэкдор STEALHOOK, для мониторинга и извлечения данных.

OilRig использует шифрование, обфускацию и кодировку base64, чтобы оставаться скрытым в каналах связи и избегать обнаружения системами безопасности.

Группа использует полный набор тактик, методов и процедур (TTP), таких как использование скомпрометированных учетных данных, языки сценариев, такие как PowerShell и Visual Basic, и инструменты кейлоггинга для сбора учетных данных.

Организациям рекомендуется определить приоритетность критических исправлений, внедрить виртуальное исправление ошибок, провести сканирование уязвимостей, внедрить инструменты EDR и усовершенствовать меры обнаружения, основанные на поведении, для эффективной защиты от атак OilRig.

#technique

Self-spreading Java malware targeting Minecraft servers. Infected servers are capable of scanning for other vulnerable servers, encrypting Minecraft worlds, and phishing players who connect.

https://github.com/blackmassgroup/minegrief

#ParsedReport #CompletenessLow
26-12-2024

Dark Web Profile: Trinity Ransomware

https://socradar.io/dark-web-profile-trinity-ransomware

Report completeness: Low

Threats:
Trinity_ransomware
Trinitylock
Venus_ransomware
2023lock
Zeoticus
Goodgame
Venus_locker
Shadow_copies_delete_technique

Victims:
Healthcare, Technology, Public sector, Manufacturing, Legal, Financial services, Construction, Business services

Industry:
E-commerce, Critical_infrastructure, Healthcare

Geo:
Usa, America, Kyrgyzstan, Russian, Belarus, Spain, Russia, Canada

TTPs:
Tactics: 1
Technics: 7

IOCs:
File: 3

Algorithms:
curve25519, exhibit, chacha20, poly1305, xsalsa20, xchacha20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обзоре различных вариантов программ-вымогателей - Trinity, Zeoticus, Venus и 2023Lock - с описанием их тактики, методов шифрования, происхождения, механизмов нацеливания и влияния на различные отрасли и страны. Эти разновидности программ-вымогателей используют передовые методы шифрования, тактику двойного вымогательства и модели "Программы-вымогатели как услуга" (RaaS), нацеленные на жертв в различных секторах с основной целью получения выкупа в криптовалюте в строго установленные сроки.
-----

Программа-вымогатель Trinity появилась в мае 2024 года и быстро стала заметной угрозой в сфере кибербезопасности благодаря использованию тактики двойного вымогательства. Помимо шифрования файлов жертв с помощью алгоритма шифрования ChaCha20 и добавления расширения ".trinitylock", Trinity также осуществляет эксфильтрацию конфиденциальных данных, чтобы оказывать давление на цели с целью удовлетворения требований о выкупе, угрожая публичным разоблачением. Считается, что эта программа-вымогатель является ребрендингом более ранних версий, таких как Venus и 2023Lock, которые относятся к семейству программ-вымогателей Zeoticus благодаря общим характеристикам в функциональности и технологиях.

Программа-вымогатель Zeoticus, которая считается предшественницей нескольких шифровальщиков, таких как Venus, 2023Lock и TrinityLock, работает по модели "Программа-вымогатель как услуга" (RaaS). В нем используются сложные методы шифрования, включая алгоритм XChaCha20 и комбинаторный алгоритм curve25519xsalsa20poly1305. Zeoticus 2.0, усовершенствованная версия, появившаяся в сентябре 2020 года, обеспечивает более быстрое шифрование с помощью гибридных симметричных и асимметричных методов, которые могут быть нацелены на удаленные диски и предотвращать процессы вмешательства. Механизмы таргетинга исключают русскоязычные регионы, что указывает на возможное происхождение из России.

Программа-вымогатель Venus, автономный файлообменник, продаваемый на подпольных рынках, использует общие соединения с программой-вымогателем Zeoticus и использует открытые сервисы протокола удаленного рабочего стола (RDP) для первоначального доступа. Не путать с VenusLocker, Venus нацелен на жертв без разбора и использует процессы, препятствующие восстановлению, такие как удаление теневых копий томов и отключение средств защиты. У него нет специального сайта для утечек, вместо этого он использует электронную почту.

Программа-вымогатель 2023Lock, продолжая традицию шифрования Zeoticus и Zeoticus 2.0, добавляет расширение ".2023lock" к зашифрованным файлам и оставляет записки с требованием выкупа, в которых жертвам предлагается получить доступ к веб-сайту Onion для связи с хакером. Этот вариант очень похож на TrinityLock, выступая в качестве его бета-версии.

Программа-вымогатель Trinity использует многогранный подход для заражения систем, распространения через фишинговые электронные письма, вредоносные веб-сайты или уязвимости в программном обеспечении. Вредоносная программа оптимизирует процессы шифрования, повышает привилегии, сканирует сети, перемещается в стороны и извлекает данные, прежде чем потребовать выкуп в криптовалюте в течение 24 часов. Жертвы, которые не выполняют требования, рискуют получить доступ к данным на общедоступном сайте утечки. Три основные отрасли, на которые нацелена программа-вымогатель Trinity, - это здравоохранение, технологии и ряд других отраслей, демонстрирующих ее широкое влияние на различные отрасли. США, Канада и Испания - три основные страны, на которые нацелена программа-вымогатель Trinity, с акцентом на развитые страны из-за потенциально более высоких выплат выкупа.

#ParsedReport #CompletenessLow
26-12-2024

PlugX worm disinfection campaign feedbacks

https://blog.sekoia.io/plugx-worm-disinfection-campaign-feedbacks

Report completeness: Low

Actors/Campaigns:
Red_delta

Threats:
Plugx_rat

Geo:
French

ChatGPT TTPs:
do not use without manual check
T1092, T1027

Soft:
Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Группа исследователей получила контроль над IP-адресом, используемым червем PlugX, что привело к проведению расследования, в результате которого были разработаны методы лечения зараженных компьютеров. Их выводы были представлены в виде презентаций и постов в блогах, что послужило толчком к международному сотрудничеству между более чем двадцатью странами в проведении крупномасштабной операции по суверенной дезинфекции под юридическим надзором, нацеленной на конкретные IP-адреса и автономные системы, пострадавшие от заражения PlugX. Несмотря на технические успехи, инициатива столкнулась с юридическими трудностями, что подчеркивает важность сотрудничества с правоохранительными и регулирующими органами для обеспечения соблюдения этических и правовых норм в операциях по обеспечению кибербезопасности.
-----

В сентябре 2023 года исследователи получили контроль над IP-адресом, используемым червем PlugX, связанным с Mustang Panda, с помощью заражения флэш-накопителей.

На конференции BotConf 2024 исследователи поделились информацией о методах удаленного обеззараживания, представив два подхода: команду самоудаления и предоставление специального кода для удаления PlugX с зараженных рабочих станций и флэш-накопителей.

Более двадцати стран сотрудничали с исследователями при поддержке прокуратуры Парижа и Национального кибернетического подразделения французской жандармерии для проведения крупномасштабных операций по дезинфекции, основанных на результатах исследований.

Операция включала в себя отправку 59 475 полезных программ для дезинфекции на 5 539 IP-адресов, ориентированных на конкретные автономные системы и IP-адреса в странах-участницах, для проведения стратегической и эффективной кампании.

Юридические аспекты создавали проблемы во время кампании, подчеркивая важность соблюдения правовых норм и этических границ, за соблюдением которых следят официальные органы, такие как прокуратура Парижа и Национальное кибер-подразделение французской жандармерии.

#ParsedReport #CompletenessMedium
26-12-2024

CL0P Ransomware: The Latest Updates

https://cyberint.com/blog/dark-web/cl0p-ransomware

Report completeness: Medium

Actors/Campaigns:
Fin11 (motivation: cyber_criminal, financially_motivated)
Ta505 (motivation: cyber_criminal, financially_motivated)

Threats:
Clop
Cryptomix
Shadow_copies_delete_technique

Victims:
Cleo, Norton lifelock, Ucla, Kirkland, Delta dental, Siemens energy, Michigan state university

Industry:
Petroleum, Transport, Telco, Healthcare, Retail, Education, Logistic, Energy

Geo:
Russian

CVEs:
CVE-2021-27102 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- accellion fta (le9_12_411)

CVE-2024-50623 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cleo harmony (<5.8.0.21)
- cleo lexicom (<5.8.0.21)
- cleo vltrader (<5.8.0.21)

CVE-2021-27103 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- accellion fta (le9_12_411)

CVE-2021-27104 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- accellion fta (le9_12_370)

CVE-2021-27101 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- accellion fta (le9_12_370)


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1490

IOCs:
IP: 1
File: 5
Command: 5
Hash: 48

Soft:
Twitter, LexiCom, VLTrader, Windows CryptoAPI, ProtonMail, MOVEit

Wallets:
harmony_wallet

Algorithms:
sha256

Win Services:
BackupExecAgentBrowser

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о группе программ-вымогателей Cl0p, ее активизации в кибератаках на организации посредством утечки данных, использовании уязвимостей нулевого дня в программном обеспечении Cleo, угрозах раскрытия информации о жертвах в случае невыполнения требований о выкупе, сотрудничестве с другими киберпреступными группами и их изощренной тактике организации крупномасштабных атак. -масштабируйте кампании по утечке данных и вымогательству.
-----

Программы-вымогатели Cl0p, также известные как Cl0p, - это известная группа программ-вымогателей, впервые появившаяся в феврале 2019 года. Эта хакерская организация нацелилась на широкий спектр отраслей по всему миру, включая розничную торговлю, транспорт, образование, производство, автомобилестроение, энергетику, финансовые услуги, телекоммуникации и здравоохранение. Считается, что группа программ-вымогателей Cl0p имеет связи с группой программ-вымогателей CryptoMix, что указывает на потенциальную преемственность или связь между этими двумя объектами.

Недавно Cl0p вновь проявила себя в серии целенаправленных атак на организации, уделяя особое внимание утечке данных. Группа активно публикует список жертв на своем сайте по утечке данных, подчеркивая свою постоянную угрозу в сфере кибербезопасности. Несмотря на замедление темпов в 2024 году, когда было опубликовано всего 27 сообщений о жертвах, 24 декабря Cl0p активизировала свои усилия, нацелившись на 66 компаний, пострадавших от недавнего взлома программного обеспечения Cleo.

Атака на Cleo была связана с использованием уязвимости нулевого дня CVE-2024-50623 в продуктах Cleo LexiCom, Cleo VLTrader и Cleo Harmony. Эта уязвимость позволяла Cl0p выполнять удаленную загрузку файлов, что потенциально могло привести к удаленному выполнению кода. Несмотря на то, что для уязвимых продуктов Cleo было выпущено исправление, существуют опасения, что его можно обойти.

Компания Huntress, занимающаяся кибербезопасностью, раскрыла информацию об активном использовании уязвимости и представила доказательство ее эффективности. Cl0p подтвердила свою причастность к использованию Cleo и заявила о намерении удалить данные, полученные в результате предыдущих атак, чтобы сосредоточиться на текущей кампании по вымогательству. Группа пригрозила раскрыть полные названия компаний, не отвечающих на запросы, в течение 48 часов, если они не выполнят требования о выкупе.

Исследователь в области кибербезопасности Ютака Седжияма (Yutaka Sejiyama) обратил внимание на возможность идентификации жертв путем сопоставления информации с незащищенными серверами Cleo. Точное число компаний, подвергшихся атаке, остается неизвестным, хотя программное обеспечение Cleo, как сообщается, используется более чем 4000 организациями по всему миру. Данные Check Point показали значительное количество попыток взлома организаций, использующих произвольную загрузку файлов Cleo, что свидетельствует о масштабах продолжающихся атак.

Использование Cl0p уязвимостей нулевого дня в популярных платформах для организации крупномасштабных утечек данных и кампаний по вымогательству подчеркивает широкие возможности группы. Тактика группы включает в себя кражу, шифрование и утечку данных, при этом жертвы сталкиваются с требованиями выкупа и потенциальным разоблачением общественности, если они не выполнят их требования.

Более того, Cl0p ассоциируется с другими киберпреступными группами, такими как FIN11 и UNC2546, что предполагает сотрудничество или совместное использование ресурсов в рамках экосистемы киберпреступности. Методы работы группы включают в себя фильтрацию конфиденциальных данных перед шифрованием, чтобы оказать максимальное давление на жертв с целью получения выкупа. Они продемонстрировали способность воздействовать на различные отрасли, включая крупные организации, с помощью комбинации вредоносных кампаний по электронной почте и использования уязвимостей в общедоступной инфраструктуре.

#ParsedReport #CompletenessLow
26-12-2024

Contactless banking for yourself (and that guy): a scheme to steal money using NFC technology has reached Russian Android users

https://news.drweb.ru/show/?i=14969&lng=ru&c=5

Report completeness: Low

Threats:
Ngate
Nfcgate_tool

Victims:
Russian users

Industry:
Financial

Geo:
Russian, Russia, Czech

ChatGPT TTPs:
do not use without manual check
T1071, T1566, T1203, T1056

Soft:
Android, RuStore, Google Play

Links:
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/tree/master/Android.Banker.NGate.1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковский троянец NGate нацелен на российских пользователей, используя данные NFC-чипа для кражи денег со счетов жертв в банкоматах без их ведома, что первоначально было обнаружено при атаках на чешские банки. Мошенники заманивают жертв обещаниями социальных выплат, заставляя их загружать замаскированный APK-файл, содержащий данные банковских карт. Рекомендации по предотвращению подобных атак включают защиту PIN-кода и CVV-кода, использование антивирусного программного обеспечения, проверку подлинности веб-сайта, загрузку приложений из официальных источников и избегание взаимодействия с потенциальными мошенниками.
-----

Новые версии банковского трояна NGate нацелены на российских пользователей.

Троян извлекает данные из NFC-чипа скомпрометированных устройств, чтобы злоумышленники могли снимать деньги со счетов жертв в банкоматах без непосредственного участия.

NGate banker был впервые обнаружен в конце 2023 года, когда он был нацелен на чешские банки с использованием социальной инженерии, фишинга и вредоносных программ.

Кампания нападений в Чехии была пресечена местными правоохранительными органами, но возобновлена в России с целью получения незаконной финансовой выгоды.

Мошенники связываются с жертвами, обещая выгоды или вознаграждение, заставляя их загружать вредоносный APK-файл, замаскированный под официальные приложения популярных организаций.

Троянец NGate - это модифицированная версия приложения NFCGate, предназначенная для перехвата NFC-трафика и извлечения номеров карт и дат истечения срока их действия.

Троянец предлагает жертвам приложить платежную карту к смартфону, похищая данные банковской карты, не требуя root-доступа к устройству.

Меры по смягчению последствий включают отказ от обмена конфиденциальной информацией о банковских картах, использование антивирусного программного обеспечения, проверку подлинности веб-сайта, загрузку приложений только из официальных источников и избегание взаимодействия с потенциальными мошенниками.

#ParsedReport #CompletenessLow
26-12-2024

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2024/12/watering_hole_attack_part2.html

Report completeness: Low

Actors/Campaigns:
Stone_panda

Threats:
Watering_hole_technique
Sqroot
Weevely

Victims:
Media-related website

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1204.002, T1071.001, T1105, T1140, T1036.005, T1027, T1505.003

IOCs:
File: 14
IP: 1
Hash: 7

Algorithms:
base64, chacha20, zip, rc4

Languages:
javascript, php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание масштабной кибератаки, направленной на веб-сайт, связанный со СМИ, в 2023 году, когда злоумышленники внедрили вредоносный код для загрузки вредоносного ПО в определенные учетные записи пользователей с использованием базовой аутентификации. Атака включала в себя несколько этапов распространения вредоносного ПО, что позволило выявить тактику злоумышленников, возможности вредоносного ПО, используемые методы шифрования и группу, стоящую за атакой. В тексте подчеркивается важность защиты от методов социальной инженерии при таких атаках наряду с устранением уязвимостей в общедоступных ресурсах.
-----

В тексте обсуждается конкретный случай хакерской атаки на веб-сайт, связанный со СМИ, в 2023 году. Злоумышленники использовали веб-сайт, внедрив вредоносный JavaScript, что привело к загрузке вредоносного ПО пользователям, которые вошли в систему под определенной учетной записью с использованием обычной аутентификации. Процесс загрузки вредоносного ПО выглядел как сообщение о техническом обслуживании, запускающее автоматическую загрузку файла LZH. Если у пользователей возникали проблемы с извлечением файла, на веб-странице была указана ссылка на загрузку законного программного обеспечения для распаковки.

Вредоносная программа, загруженная в результате этой атаки, содержалась в файле LNK, внутри которого находился ZIP-файл, содержащий саму вредоносную программу, и файл VBS для извлечения. Содержимое ZIP-файла было закодировано в Base64 и извлечено при запуске файла LNK. Внутри ZIP-файла были обнаружены допустимые файлы, такие как iusb3mon.exe и библиотеки DLL. Вредоносная программа под названием SQRoot загружала вредоносные библиотеки DLL в допустимый файл iusb3mon.exe, расширяя свои возможности.

SQRoot имел возможность загружать плагины с сервера управления (C2) для расширения своих функциональных возможностей. При отправке клиентской информации на сервер C2 использовалось шифрование с использованием ChaCha20. Примечательно, что SQRoot обеспечивал связь с сервером C2 только в определенное время по будням и отправлял поддельные сообщения для маскировки законного трафика. После загрузки определенных плагинов была загружена другая вредоносная программа, SQRoot RAT, замаскированная под файл BPM. Как и SQRoot, SQRoot RAT связывался с сервером C2 в определенные часы и перед передачей шифровал данные с помощью RC4. В тексте упоминается блок-схема, изображающая работу SQRoot Stealer, предназначенного для кражи информации и работающего аналогично SQRoot путем загрузки плагинов.

Группа, стоящая за атакой watering hole, остается неизвестной. Однако имена файлов вредоносного ПО, использованные при атаке, ранее были связаны с APT10. Кроме того, на зараженном веб-сайте была установлена веб-оболочка Weevely, что указывает на более масштабную компрометацию сайта.

В статье подчеркивается тенденция использования злоумышленниками тактики социальной инженерии в атаках с использованием подполья, а не использования уязвимостей, что привлекает внимание к важности устранения таких угроз. В статье подчеркивается необходимость принятия мер безопасности, которые включали бы защиту от атак с использованием социальной инженерии в дополнение к устранению уязвимостей в общедоступных ресурсах.