#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о группе программ-вымогателей Cl0p, ее активизации в кибератаках на организации посредством утечки данных, использовании уязвимостей нулевого дня в программном обеспечении Cleo, угрозах раскрытия информации о жертвах в случае невыполнения требований о выкупе, сотрудничестве с другими киберпреступными группами и их изощренной тактике организации крупномасштабных атак. -масштабируйте кампании по утечке данных и вымогательству.
-----

Программы-вымогатели Cl0p, также известные как Cl0p, - это известная группа программ-вымогателей, впервые появившаяся в феврале 2019 года. Эта хакерская организация нацелилась на широкий спектр отраслей по всему миру, включая розничную торговлю, транспорт, образование, производство, автомобилестроение, энергетику, финансовые услуги, телекоммуникации и здравоохранение. Считается, что группа программ-вымогателей Cl0p имеет связи с группой программ-вымогателей CryptoMix, что указывает на потенциальную преемственность или связь между этими двумя объектами.

Недавно Cl0p вновь проявила себя в серии целенаправленных атак на организации, уделяя особое внимание утечке данных. Группа активно публикует список жертв на своем сайте по утечке данных, подчеркивая свою постоянную угрозу в сфере кибербезопасности. Несмотря на замедление темпов в 2024 году, когда было опубликовано всего 27 сообщений о жертвах, 24 декабря Cl0p активизировала свои усилия, нацелившись на 66 компаний, пострадавших от недавнего взлома программного обеспечения Cleo.

Атака на Cleo была связана с использованием уязвимости нулевого дня CVE-2024-50623 в продуктах Cleo LexiCom, Cleo VLTrader и Cleo Harmony. Эта уязвимость позволяла Cl0p выполнять удаленную загрузку файлов, что потенциально могло привести к удаленному выполнению кода. Несмотря на то, что для уязвимых продуктов Cleo было выпущено исправление, существуют опасения, что его можно обойти.

Компания Huntress, занимающаяся кибербезопасностью, раскрыла информацию об активном использовании уязвимости и представила доказательство ее эффективности. Cl0p подтвердила свою причастность к использованию Cleo и заявила о намерении удалить данные, полученные в результате предыдущих атак, чтобы сосредоточиться на текущей кампании по вымогательству. Группа пригрозила раскрыть полные названия компаний, не отвечающих на запросы, в течение 48 часов, если они не выполнят требования о выкупе.

Исследователь в области кибербезопасности Ютака Седжияма (Yutaka Sejiyama) обратил внимание на возможность идентификации жертв путем сопоставления информации с незащищенными серверами Cleo. Точное число компаний, подвергшихся атаке, остается неизвестным, хотя программное обеспечение Cleo, как сообщается, используется более чем 4000 организациями по всему миру. Данные Check Point показали значительное количество попыток взлома организаций, использующих произвольную загрузку файлов Cleo, что свидетельствует о масштабах продолжающихся атак.

Использование Cl0p уязвимостей нулевого дня в популярных платформах для организации крупномасштабных утечек данных и кампаний по вымогательству подчеркивает широкие возможности группы. Тактика группы включает в себя кражу, шифрование и утечку данных, при этом жертвы сталкиваются с требованиями выкупа и потенциальным разоблачением общественности, если они не выполнят их требования.

Более того, Cl0p ассоциируется с другими киберпреступными группами, такими как FIN11 и UNC2546, что предполагает сотрудничество или совместное использование ресурсов в рамках экосистемы киберпреступности. Методы работы группы включают в себя фильтрацию конфиденциальных данных перед шифрованием, чтобы оказать максимальное давление на жертв с целью получения выкупа. Они продемонстрировали способность воздействовать на различные отрасли, включая крупные организации, с помощью комбинации вредоносных кампаний по электронной почте и использования уязвимостей в общедоступной инфраструктуре.

#ParsedReport #CompletenessLow
26-12-2024

Contactless banking for yourself (and that guy): a scheme to steal money using NFC technology has reached Russian Android users

https://news.drweb.ru/show/?i=14969&lng=ru&c=5

Report completeness: Low

Threats:
Ngate
Nfcgate_tool

Victims:
Russian users

Industry:
Financial

Geo:
Russian, Russia, Czech

ChatGPT TTPs:
do not use without manual check
T1071, T1566, T1203, T1056

Soft:
Android, RuStore, Google Play

Links:
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/tree/master/Android.Banker.NGate.1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковский троянец NGate нацелен на российских пользователей, используя данные NFC-чипа для кражи денег со счетов жертв в банкоматах без их ведома, что первоначально было обнаружено при атаках на чешские банки. Мошенники заманивают жертв обещаниями социальных выплат, заставляя их загружать замаскированный APK-файл, содержащий данные банковских карт. Рекомендации по предотвращению подобных атак включают защиту PIN-кода и CVV-кода, использование антивирусного программного обеспечения, проверку подлинности веб-сайта, загрузку приложений из официальных источников и избегание взаимодействия с потенциальными мошенниками.
-----

Новые версии банковского трояна NGate нацелены на российских пользователей.

Троян извлекает данные из NFC-чипа скомпрометированных устройств, чтобы злоумышленники могли снимать деньги со счетов жертв в банкоматах без непосредственного участия.

NGate banker был впервые обнаружен в конце 2023 года, когда он был нацелен на чешские банки с использованием социальной инженерии, фишинга и вредоносных программ.

Кампания нападений в Чехии была пресечена местными правоохранительными органами, но возобновлена в России с целью получения незаконной финансовой выгоды.

Мошенники связываются с жертвами, обещая выгоды или вознаграждение, заставляя их загружать вредоносный APK-файл, замаскированный под официальные приложения популярных организаций.

Троянец NGate - это модифицированная версия приложения NFCGate, предназначенная для перехвата NFC-трафика и извлечения номеров карт и дат истечения срока их действия.

Троянец предлагает жертвам приложить платежную карту к смартфону, похищая данные банковской карты, не требуя root-доступа к устройству.

Меры по смягчению последствий включают отказ от обмена конфиденциальной информацией о банковских картах, использование антивирусного программного обеспечения, проверку подлинности веб-сайта, загрузку приложений только из официальных источников и избегание взаимодействия с потенциальными мошенниками.

#ParsedReport #CompletenessLow
26-12-2024

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2024/12/watering_hole_attack_part2.html

Report completeness: Low

Actors/Campaigns:
Stone_panda

Threats:
Watering_hole_technique
Sqroot
Weevely

Victims:
Media-related website

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1204.002, T1071.001, T1105, T1140, T1036.005, T1027, T1505.003

IOCs:
File: 14
IP: 1
Hash: 7

Algorithms:
base64, chacha20, zip, rc4

Languages:
javascript, php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание масштабной кибератаки, направленной на веб-сайт, связанный со СМИ, в 2023 году, когда злоумышленники внедрили вредоносный код для загрузки вредоносного ПО в определенные учетные записи пользователей с использованием базовой аутентификации. Атака включала в себя несколько этапов распространения вредоносного ПО, что позволило выявить тактику злоумышленников, возможности вредоносного ПО, используемые методы шифрования и группу, стоящую за атакой. В тексте подчеркивается важность защиты от методов социальной инженерии при таких атаках наряду с устранением уязвимостей в общедоступных ресурсах.
-----

В тексте обсуждается конкретный случай хакерской атаки на веб-сайт, связанный со СМИ, в 2023 году. Злоумышленники использовали веб-сайт, внедрив вредоносный JavaScript, что привело к загрузке вредоносного ПО пользователям, которые вошли в систему под определенной учетной записью с использованием обычной аутентификации. Процесс загрузки вредоносного ПО выглядел как сообщение о техническом обслуживании, запускающее автоматическую загрузку файла LZH. Если у пользователей возникали проблемы с извлечением файла, на веб-странице была указана ссылка на загрузку законного программного обеспечения для распаковки.

Вредоносная программа, загруженная в результате этой атаки, содержалась в файле LNK, внутри которого находился ZIP-файл, содержащий саму вредоносную программу, и файл VBS для извлечения. Содержимое ZIP-файла было закодировано в Base64 и извлечено при запуске файла LNK. Внутри ZIP-файла были обнаружены допустимые файлы, такие как iusb3mon.exe и библиотеки DLL. Вредоносная программа под названием SQRoot загружала вредоносные библиотеки DLL в допустимый файл iusb3mon.exe, расширяя свои возможности.

SQRoot имел возможность загружать плагины с сервера управления (C2) для расширения своих функциональных возможностей. При отправке клиентской информации на сервер C2 использовалось шифрование с использованием ChaCha20. Примечательно, что SQRoot обеспечивал связь с сервером C2 только в определенное время по будням и отправлял поддельные сообщения для маскировки законного трафика. После загрузки определенных плагинов была загружена другая вредоносная программа, SQRoot RAT, замаскированная под файл BPM. Как и SQRoot, SQRoot RAT связывался с сервером C2 в определенные часы и перед передачей шифровал данные с помощью RC4. В тексте упоминается блок-схема, изображающая работу SQRoot Stealer, предназначенного для кражи информации и работающего аналогично SQRoot путем загрузки плагинов.

Группа, стоящая за атакой watering hole, остается неизвестной. Однако имена файлов вредоносного ПО, использованные при атаке, ранее были связаны с APT10. Кроме того, на зараженном веб-сайте была установлена веб-оболочка Weevely, что указывает на более масштабную компрометацию сайта.

В статье подчеркивается тенденция использования злоумышленниками тактики социальной инженерии в атаках с использованием подполья, а не использования уязвимостей, что привлекает внимание к важности устранения таких угроз. В статье подчеркивается необходимость принятия мер безопасности, которые включали бы защиту от атак с использованием социальной инженерии в дополнение к устранению уязвимостей в общедоступных ресурсах.

#ParsedReport #CompletenessMedium
26-12-2024

Botnets Continue to Target Aging D-Link Vulnerabilities

https://www.fortinet.com/blog/threat-research/botnets-continue-to-target-aging-d-link-vulnerabilities

Report completeness: Medium

Actors/Campaigns:
Keksec

Threats:
Ficora
Capsaicin
Mirai
Kaiten
Udpflood_technique
Yakuza

Geo:
Netherlands, Asian

CVEs:
CVE-2022-37056 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink go-rt-ac750 firmware (reva_1.01b03, revb_2.00b02)

CVE-2019-10891 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-806 firmware (-)

CVE-2015-2051 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-645 firmware (<1.05b01)

CVE-2024-33112 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1105, T1573, T1110

IOCs:
IP: 8
Url: 39
Hash: 38
Domain: 5
File: 7

Soft:
curl, Linux

Algorithms:
chacha20

Functions:
GetDeviceSettings, Function

Win API:
arc

Platforms:
mips, arm, m68k, x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, code: 7, dump: 5, table: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в наблюдении за возросшей активностью ботнетов "FICORA" и "CAPSAICIN", которые используют уязвимости в устройствах D-Link, связанные с интерфейсом протокола администрирования домашней сети (HNAP). Эти ботнеты удаленно выполняют вредоносные команды и подчеркивают важность регулярного обновления ядер устройств и поддержания надежных методов мониторинга для предотвращения использования вредоносных программ.
-----

В октябре и ноябре 2024 года FortiGuard Labs наблюдала всплеск активности двух различных ботнетов, названных "FICORA" и "CAPSAICIN". Эти ботнеты в основном используют известные уязвимости в устройствах D-Link, связанные с интерфейсом протокола администрирования домашней сети (HNAP), что позволяет злоумышленникам удаленно выполнять вредоносные команды. Уязвимость в HNAP известна уже почти десять лет и затрагивает различные устройства с различными общими уязвимостями и уровнями подверженности (CVE), такими как CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112.

Злоумышленники, распространявшие ботнет "FICORA", были обнаружены на серверах, расположенных в Нидерландах, что указывает на широкомасштабную атаку, а не на целенаправленную. С другой стороны, ботнет "CAPSAICIN" был особенно активен в течение двух дней в октябре, в первую очередь в странах Восточной Азии.

Ботнет "FICORA" использует сценарий оболочки под названием "multi" для загрузки и запуска вредоносного ПО, используя для загрузки такие методы, как "wget", "ftpget", "curl" и "tftp". Этот скрипт-загрузчик предназначен для различных архитектур Linux и кодирует свою конфигурацию с помощью алгоритма шифрования ChaCha20. Кроме того, он содержит жестко заданные имя пользователя и пароль для атак методом перебора и устраняет конкурирующие вредоносные программы. "FICORA" - это вариант Mirai с функциями DDoS-атаки, нацеленный на такие протоколы, как "UDP", "TCP" и "DNS"..

Загрузчик ботнета "CAPSAICIN" запускается с определенного IP-адреса и использует сценарий оболочки с именем "bins.sh" для загрузки и запуска вредоносного ПО на различных архитектурах Linux. После запуска вредоносная программа подключается к своему управляющему серверу, предоставляет системную информацию и ожидает команд для выполнения различных функций, включая настройку переменных среды и проведение DDoS-атак. Вредоносная программа "КАПСАИЦИН", по-видимому, является вариантом, разработанным на основе ботнетов группы Keksec.

Несмотря на то, что эти уязвимости были известны и исправлены много лет назад, широкомасштабная деятельность "FICORA" и "CAPSAICIN" подчеркивает важность регулярного обновления ядер устройств и поддержания надежных методов мониторинга для предотвращения использования вредоносных программ с помощью этих уязвимостей. Соблюдение этих мер безопасности может значительно снизить риск стать жертвой подобных атак ботнета.

#ParsedReport #CompletenessMedium
27-12-2024

Strela Stealer Targeting Ukraine Alongside Other European Countries

https://www.sonicwall.com/blog/strela-stealer-targeting-ukraine-alongside-other-european-countries

Report completeness: Medium

Threats:
Strela_stealer
Junk_code_technique

Geo:
Spain, Germany, Ukraine, Italy

ChatGPT TTPs:
do not use without manual check
T1140, T1218.010, T1005, T1071.001, T1027

IOCs:
File: 1
Path: 1
IP: 1
Hash: 3
Url: 1

Soft:
Outlook, Mozilla Thunderbird

Algorithms:
xor, sha256

Win API:
GetKeyboardLayoutList

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз SonicWall Capture Labs обнаружила новый вариант вредоносной программы Strela Stealer, который содержит значительные обновления, нацеленные на учетные данные для входа в систему по электронной почте и информацию о конфигурации системы. Этот вариант использует передовые методы обфускации, работает с помощью фишинговых электронных писем и теперь включает Украину в качестве нового целевого региона. Вредоносная программа не поддается механизмам обнаружения и требует сложных методов анализа, чтобы полностью понять ее действия.
-----

Исследовательская группа SonicWall Capture Labs по изучению угроз активно отслеживает вредоносную программу Strela Stealer, которая проявляла постоянную активность на протяжении всего 2024 года. Был обнаружен новый вариант Strela Stealer, содержащий значительные обновления. Первоначально разработанный для использования с учетными данными для входа в систему электронной почты из Outlook и Thunderbird, этот вариант теперь также собирает информацию о конфигурации системы с помощью утилиты "systeminfo". В дополнение к существующим целевым регионам в Европе, таким как Испания, Италия и Германия, в качестве нового целевого региона была включена Украина.

Заражение начинается с вложения JavaScript в архивные файлы, отправленные по фишинговым электронным письмам. При выполнении JavaScript запускает скрипт PowerShell, который запускает основную библиотеку DLL из общего сетевого хранилища с помощью Regsvr32.exe, предотвращая загрузку файлов на диск. Эта основная библиотека DLL служит в качестве загрузчика для фактической полезной нагрузки, которая закодирована в разделе данных вредоносной программы. Процесс расшифровки полезной нагрузки включает в себя индивидуальный метод расшифровки XOR.

В новой версии Strela Stealer усовершенствованы методы обфускации, что делает анализ более сложным. Основной DLL-файл содержит множество инструкций по переходу и ненужный код наряду со значимыми инструкциями по сборке. Такая намеренная путаница в структуре кода может привести к проблемам при анализе вредоносных программ, что потребует дополнительного времени и специальных знаний.

Файл полезной нагрузки также содержит обфускацию, отражающую сложности, обнаруженные в основной библиотеке-оболочке DLL. Примечательно, что введенная полезная нагрузка представляет собой 64-разрядный исполняемый файл, который использует API "GetKeyboardLayoutList" для извлечения входных идентификаторов языка и проверки их на соответствие жестко заданным значениям, прежде чем приступить к выполнению своих операций. Вредоносная программа специально предназначена для извлечения данных из клиентов Thunderbird и Outlook.

Ключевым дополнением к этому варианту является использование утилиты "systeminfo" для сбора сведений о конфигурации системы. Strela Stealer автоматически запускает утилиту systeminfo, сохраняет выходные данные в текстовый файл в папке %temp%, шифрует информацию и затем передает ее обратно на свой сервер с помощью POST-запроса. Вредоносная программа рассчитывает на получение ответа "ОК" от сервера после передачи данных.

SonicWall Capture Labs обеспечивает защиту от угрозы Strela Stealer с помощью Capture ATP с технологией RTDMI. Вредоносная программа в основном распространяется через фишинговые электронные письма, содержащие файл JavaScript, который запускает сценарий PowerShell для запуска вредоносной библиотеки DLL из общего сетевого расположения, что повышает ее способность обходить механизмы обнаружения. Включение Украины в число новых целевых регионов наряду с европейскими аналогами демонстрирует расширяющийся географический охват этой угрозы. Сложные методы обфускации, используемые в этом варианте, требуют применения передовых методов анализа для полного понимания его функциональных возможностей.

#ParsedReport #CompletenessMedium
27-12-2024

Dark Web Profile: Storm-842 (Void Manticore)

https://socradar.io/dark-web-profile-storm-842-void-manticore

Report completeness: Medium

Actors/Campaigns:
Void_manticore
Scarred_manticore
Oilrig

Threats:
Karma
Credential_harvesting_technique
Elrawdisk_driver_tool
Bibi-wiper
Regeorg_tool
Sdelete_tool
Shadow_copies_delete_technique

Victims:
Albania government, Israel

Industry:
Critical_infrastructure, Government

Geo:
Iran, Albanian, Albania, Israel, Iranian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1485, T1021

IOCs:
File: 1

Soft:
Linux, OpenSSH

Algorithms:
xor, base64

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В совместном докладе ФБР и CISA была освещена серия кибератак против правительства Албании, которые приписываются иранским хакерам, с особым акцентом на деятельность таких групп, как HomeLand Justice и Storm-842. Эти хакеры, связанные с иранским государством и Министерством разведки и безопасности (MOIS), участвуют в скоординированных кибероперациях, направленных против правительственных учреждений и инфраструктуры. В рекомендациях подчеркивается необходимость усиления организациями своей защиты от кибербезопасности, включая внедрение таких мер, как анализ угроз, планы реагирования на инциденты и использование таких платформ, как SOCRadar, для эффективного обнаружения хакеров и противодействия им.
-----

Кибератаки против правительства Албании были совершены хакерами HomeLand Justice, связанными с иранским государством, которые нарушили работу систем электронного правительства и позже были нацелены на пограничные системы и инфраструктуру Албании.

Иранский хакер Storm-842, также известный как Void Manticore, связанный с MOIS, проводит деструктивные атаки в сочетании с кампаниями влияния, сотрудничая со Scarred Manticore/ OilRig/APT 34/Helix Kitten для разработки скоординированных стратегий.

Storm-842 использует специально разработанную вредоносную программу wiper, участвует в операциях влияния путем утечки украденных данных и сотрудничает со Scarred Manticore посредством систематической передачи операций.

Рекомендации по защите от иранских APT-групп, таких как Storm-842, включают фильтрацию вредоносного контента, проверку интернет-трафика, разработку планов реагирования на инциденты, использование аналитических данных об угрозах и обучение персонала угрозам.

Платформа SOCRadar предоставляет информацию об угрозах в режиме реального времени, управление уязвимостями и мониторинг темного интернета, что помогает оперативно обнаруживать хакеров и противодействовать им, повышая готовность к противодействию APT-группам, таким как Storm-842.

#ParsedReport #CompletenessLow
27-12-2024

OtterCookie, a new malware used by Contagious Interview

https://jp.security.ntt/tech_blog/contagious-interview-ottercookie

Report completeness: Low

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)

Threats:
Ottercookie
Beavertail
Invisibleferret

Geo:
Japan, Japanese, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1105, T1059, T1071.001, T1003.007, T1115

IOCs:
Hash: 4
IP: 1
Domain: 3

Soft:
Node.js

Crypto:
ethereum

Algorithms:
sha256

Languages:
javascript