#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arechclient2 (sectopRAT) - это троян для удаленного доступа на базе .NET, предназначенный для утечки данных, маскирующийся под расширение Chrome. Он крадет учетные данные и системную информацию и подключается к серверу C2 для загрузки сценариев кейлоггинга. Меры безопасности должны включать блокировку определенных IP-адресов и мониторинг локальных каталогов на предмет несанкционированных расширений.
-----

Arechclient2, также известный как sectopRAT, представляет собой троянскую программу удаленного доступа (RAT), разработанную с использованием .NET, которая была сильно запутана с помощью calli obfuscator, что усложнило ее анализ. Попытки деобфускации вредоносного ПО с помощью calliFixer увенчались успехом лишь частично, однако анализ с помощью dnSpy позволил внести некоторую ясность. С помощью Detect It Easy (DIE) обфускатор calli был подтвержден, а анализ исполняемого файла выявил важные возможности вредоносной программы.

Вредоносная программа предназначена для сбора обширной информации, включая сведения об установленных веб-браузерах, расширениях, сохраненных учетных данных, файлах cookie, именах пользователей, паролях и данных автозаполнения. Он сканирует VPN-сервисы, такие как NordVPN и ProtonVPN, и собирает системную информацию, такую как характеристики оборудования и сведения об операционной системе. Кроме того, он выполняет поиск установленных игровых лаунчеров и конфигураций для таких приложений, как Telegram и Discord. Одной из примечательных областей, представляющих интерес, является сканирование конфигурации кошелька, что указывает на потенциальный мотив для кражи криптовалюты.

После выполнения в контролируемой среде sectopRAT успешно подключился к удаленному серверу управления (C2). Он загружает несколько файлов, необходимых для его работы: manifest.json, в котором указаны атрибуты расширения, и два JavaScript files-content.js, которые функционируют как основной скрипт для кейлоггинга и эксфильтрации данных, и background.js, который обходит меры безопасности для передачи украденных данных. Эти компоненты в совокупности образуют вредоносное расширение для Google Chrome, замаскированное под "Документы Google". Это расширение действует как скрытый инструмент для кражи данных, способный перехватывать вводимые пользователем данные на различных веб-сайтах, что усложняет усилия по обнаружению.

Загрузка этих файлов была привязана к определенному URL-адресу, и, хотя во время анализа не было зафиксировано никакой дополнительной полезной нагрузки, сетевое поведение RAT предполагает, что дальнейшая доставка полезной нагрузки могла происходить динамически с сервера C2 в зависимости от среды жертвы. Способность вредоносного ПО маскироваться под вредоносное расширение, получая при этом неограниченный доступ к данным браузера, представляет серьезную угрозу безопасности. В качестве меры предосторожности рекомендуется заблокировать сетевой трафик на IP-адреса 91.202.233.18:9000 и 91.202.233.18:15647, отслеживать каталог %AppData%/Local/llg на предмет подозрительных действий и удалить все несанкционированные расширения Chrome, особенно те, которые имитируют Google Docs. Рекомендуется внедрять методы обнаружения угроз на основе поведения, чтобы выявлять необычные действия, а также ограничивать выполнение ненадежных приложений.СЕТЕВЫЕ приложения.

Этот случай подчеркивает сохраняющуюся угрозу, исходящую от запутанных RAT и вредоносных расширений браузера, подчеркивая необходимость улучшения мер безопасности и строгого контроля над расширениями браузера.

#ParsedReport #CompletenessMedium
18-02-2025

Meet NailaoLocker: a ransomware distributed in Europe by ShadowPad and PlugX backdoors

https://www.orangecyberdefense.com/global/blog/cert-news/meet-nailaolocker-a-ransomware-distributed-in-europe-by-shadowpad-and-plugx-backdoors

Report completeness: Medium

Actors/Campaigns:
Green_nailao (motivation: financially_motivated, information_theft, cyber_espionage)
Earth_lusca
Stac1248
Crimson_palace
Ra-group (motivation: financially_motivated)
Bronze_starlight
Winnti
Apt18
Stone_panda

Threats:
Nailaolocker
Shadowpad
Plugx_rat
Dllsearchorder_hijacking_technique
Process_hollowing_technique
Nailaoloader
Evilextractor
Kodex
Dll_sideloading_technique
Babuk

Industry:
Healthcare, E-commerce, Government, Energy, Iot

Geo:
Chinese, China, North korean, American, French, Sweden

CVEs:
CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum security gateway firmware (r80.40)


TTPs:

ChatGPT TTPs:
do not use without manual check
T1574.002, T1055.012, T1543.003, T1190, T1021.001, T1134, T1560.001

IOCs:
File: 12
IP: 1

Soft:
Windows registry, Windows service, Active Directory

Crypto:
bitcoin

Algorithms:
zip, aes-256-ctr

Win API:
SeDebugPrivilege, GetModuleHandleW, LoadLibrary, GetModuleFilenameW, CreateFileW

Platforms:
intel

Links:
https://github.com/cert-orangecyberdefense/cti/tree/main/green\_nailao

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластер угроз Green Nailao нацелен на европейские медицинские организации, использующий DLL-библиотеки для развертывания вредоносных программ ShadowPad и PlugX, используя уязвимость CVE-2024-24919 в шлюзах безопасности Check Point. Он использует методы сторонней загрузки для сохранения и вывоза конфиденциальных данных, что приводит к развертыванию программы-вымогателя NailaoLocker, что указывает на сочетание шпионских и финансовых мотивов, характерных для различных групп APT.
-----

Кластер угроз, известный как Green Nailao, действует с июня 2024 года и нацелен на европейские организации здравоохранения. В рамках кампании используется перехват DLL-файлов для установки вредоносных программ ShadowPad и PlugX. Особый вариант ShadowPad демонстрирует передовые методы обфускации и обеспечивает постоянство работы с помощью служб Windows и разделов реестра. В ходе кампании была использована уязвимость нулевого дня (CVE-2024-24919) в шлюзах безопасности Check Point, позволяющая злоумышленникам считывать данные и извлекать хэши паролей. Злоумышленники получили доступ к сетям через взломанные шлюзы, что позволило осуществлять боковое перемещение и разведку с использованием протокола RDP. Они использовали методы боковой загрузки для выполнения полезной нагрузки, при этом "logger.exe" выступал в качестве загрузчика для варианта ShadowPad, а исполняемый файл McAfee облегчал развертывание PlugX. Доказательства попыток утечки данных включают в себя ntds.база данных dit, в которой отфильтрованные данные архивируются с использованием методов ZIP. Соединения с серверами управления были замаскированы под принадлежащие американским технологическим компаниям. Программа-вымогатель NailaoLocker использует асимметричное шифрование и не имеет общепринятых методов защиты, поэтому для сбора выкупа используется служба киберпреступников низкого уровня. Хотя тактика напоминает тактику китайских APT-групп, однозначной связи между ними установлено не было. Кампания отражает сочетание шпионажа и финансовых мотивов, что указывает на тревожную эволюцию тактики хакеров, особенно в отношении сектора здравоохранения.

#ParsedReport #CompletenessLow
19-02-2025

How to Identify and Investigate Phishing Kit Attacks

https://any.run/cybersecurity-blog/how-to-track-phishkits/

Report completeness: Low

Actors/Campaigns:
Storm-1747

Threats:
Tycoon_2fa
Mamba_2fa_tool
16shop_tool
Evilginx_tool
Bulletprooflink
Greatness_tool
Gophish_tool
Blitz_tool
Aitm_technique
Supply_chain_technique
Evilproxy_tool
Gabagool_tool
Sneaky_2fa_tool
Mamba

Victims:
Apple, Paypal, Amazon, Microsoft

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1557.001, T1195

Soft:
Outlook, Linux

Languages:
swift

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговые программы, которые снижают порог проникновения для киберпреступников, используют обманчивые веб-страницы и электронные письма для сбора конфиденциальных данных. Среди известных примеров - Tycoon2FA, который обходит MFA, и Mamba2FA, нацеленный на финансовый и производственный секторы. В этих наборах используются передовые методы уклонения от ответственности и автоматизации, что создает значительные угрозы для организаций.
-----

Фишинговые наборы снижают порог проникновения для киберпреступников, требуя минимальных технических знаний для проведения эффективных атак. Эти наборы включают инструменты для создания обманчивых веб-страниц, электронных писем и веб-сайтов для извлечения конфиденциальных данных. Они варьируются от базовых шаблонов до продвинутых решений "фишинг как услуга" (PHaaS) с автоматическим обновлением и шифрованием. Ключевые компоненты включают шаблоны веб-сайтов, имитирующие законные бренды, сценарии сбора данных, механизмы автоматизированного развертывания и методы обхода многофакторной аутентификации (MFA), такие как использование обратных прокси-серверов.

Tycoon2FA, впервые обнаруженный в 2023 году, использует тактику "противник посередине" для обхода 2FA и кражи учетных данных с помощью поддельных форм входа, размещенных на Cloudflare Workers. Mamba2FA нацелен на финансовый и производственный секторы, в то время как Evilginx2 и BulletProofLink сосредоточены на перехвате токенов и размещении фишинговых страниц, соответственно. Использование таких наборов делает сотрудников потенциально уязвимыми в бизнес-сетях.

Автоматизация фишинговых наборов позволяет проводить одновременные атаки на нескольких пользователей, повышая риск для организации, особенно с помощью методов кражи сеансовых файлов cookie в обход MFA. Имитация бренда может нанести ущерб репутации и подорвать доверие клиентов. Фишинговые атаки также могут привести к угрозам цепочке поставок, поскольку происходит утечка данных от целевых сторонних поставщиков.

Стратегии Threat intelligence (TI) улучшают обнаружение и смягчение последствий фишинговых атак за счет использования индикаторов компрометации (IOCs) для мониторинга сети. Анализ поведения фишинговых кампаний помогает улучшить обнаружение угроз до того, как произойдет значительный ущерб. Упреждающая блокировка с помощью информационных каналов укрепляет системы безопасности, предотвращая доступ к известным вредоносным доменам и IP-адресам.

Инструменты поиска TI помогают выявлять новые фишинговые домены, связанные с такими наборами, как Tycoon2FA, с которым связано 49 фишинговых доменов. Этот подход позволяет оценивать угрозы во время сортировки инцидентов и осуществлять постоянный мониторинг затронутых организаций на предмет новых показателей, связанных с конкретными наборами. Изощренность фишинговых наборов и методы уклонения от их использования создают постоянные проблемы, привлекая начинающих хакеров и совершенствуясь в ответ на меры безопасности.

#ParsedReport #CompletenessMedium
19-02-2025

Earth Preta Mixes Legitimate and Malicious Components to Sidestep Detection

https://www.trendmicro.com/en_us/research/25/b/earth-preta-mixes-legitimate-and-malicious-components-to-sidestep-detection.html

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Mavinject_tool
Toneshell
Spear-phishing_technique

Industry:
Government

Geo:
Asia-pacific, Thailand, Taiwan, Malaysia, Vietnam

ChatGPT TTPs:
do not use without manual check
T1055, T1218.011, T1073, T1566.001

IOCs:
File: 8
Domain: 1

Win API:
DLLRegisterServer, WriteProcessMemory, CreateRemoteThreadEx, CoCreateGuid

Win Services:
ekrn

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1, dump: 5, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Earth Preta (Mustang Panda) нацелена на правительства стран Азиатско-Тихоокеанского региона, используя тактику обнаружения с помощью ESET. Их новейший метод включает в себя использование MAVInject для ввода полезной нагрузки в waitfor.exe, развертывание поддельного PDF-файла и использование модифицированного бэкдора TONESHELL (EACore.dll) для обхода антивируса. Связь с сервером C&C устанавливается с помощью уникальных методов идентификации, что указывает на необходимость усиленного мониторинга таких стратегий.
-----

Команда Trend Micro по поиску угроз выявила новую тактику, применяемую APT-группой Earth Preta, также известной как Mustang Panda. Эта группа нацелена на организации в Азиатско-Тихоокеанском регионе, в частности, проводит кампании против правительств Тайваня, Вьетнама и Малайзии. Последний обнаруженный метод заключается в использовании Microsoft Application Virtualization Injector (MAVInject) для внедрения вредоносных программ в процесс waitfor.exe, в частности, при обнаружении антивирусного приложения ESET в целевой системе.

Атака начинается с развертывания вредоносного дроппера, IRSetup.exe который устанавливает несколько файлов в каталоге ProgramData/session. Среди этих файлов есть как законные исполняемые файлы, так и вредоносные компоненты. Чтобы отвлечь жертву, Earth Preta также использует поддельный PDF-файл, якобы стремясь к сотрудничеству в разработке платформы для борьбы с преступностью, поддерживаемой правительственными учреждениями. Эта тактика отражает их исторический метод использования фишинговых электронных писем и поддельных документов для облегчения получения полезной информации.

Центральным элементом вредоносной программы Earth Preta является модифицированный бэкдор TONESHELL, обозначенный как EACore.dll, который запускается как часть полезной нагрузки. Он загружает этот бэкдор с помощью законного приложения Electronic Arts, в частности OriginLegacyCLI.exe. Конструкция бэкдора включает функции, направленные на обнаружение присутствия процессов ESET ekrn.exe или egui.exe. Если какой-либо из них активен, EACore.dll регистрируется с помощью regsvr32.exe. Этот процесс впоследствии запускается waitfor.exe, обеспечивая путь для внедрения вредоносного кода с помощью MAVInject. Эта методология направлена на то, чтобы обойти антивирусное обнаружение, демонстрируя умение группы скрывать свои вредоносные действия.

В сценариях, где приложения ESET отсутствуют, вредоносная программа обладает резервными механизмами, которые позволяют ей напрямую внедрять код в waitfor.exe используя такие API, как WriteProcessMemory и CreateRemoteThreadEx. В конечном итоге полезная нагрузка расшифровывает шеллкод в своем разделе данных, чтобы установить связь со своим сервером управления (C&C), расположенным по адресу www.militarytc.com:443. Это взаимодействие облегчается с помощью вызова API ws2_32.send, который собирает информацию о хосте для создания уникального идентификатора для каждой скомпрометированной системы, что еще больше повышает устойчивость.

Несколько признаков, указывающих на принадлежность, связывают этот новый вариант с Earth Preta, в том числе его методология, отражающая предыдущие действия, связанные с группой. Новый вариант включает в себя создание уникального идентификатора жертвы и другую структуру пакетов подтверждения связи по сравнению с предыдущими образцами. Несмотря на эти различия, лежащая в основе техника остается в соответствии с установленными моделями Earth Preta.

Учитывая сложность и эволюционный характер стратегий атак Earth Preta, организациям рекомендуется усилить свои возможности мониторинга. Особое внимание уделяется выявлению необычного поведения законных процессов и исполняемых файлов, что имеет важное значение для снижения рисков, связанных с такими хакерами.

#ParsedReport #CompletenessMedium
19-02-2025

FortiSandbox 5.0 Detects Evolving Snake Keylogger Variant

https://www.fortinet.com/blog/threat-research/fortisandbox-detects-evolving-snake-keylogger-variant

Report completeness: Medium

Threats:
Snake_keylogger
Credential_harvesting_technique
Process_hollowing_technique
Process_injection_technique

Industry:
Financial

Geo:
Turkey, Taiwan, Spain, Indonesia, China

ChatGPT TTPs:
do not use without manual check
T1056.001, T1055.012, T1547.001, T1027

IOCs:
File: 1
Url: 2
Hash: 2

Soft:
Chrome, Firefox, Telegram

Functions:
SetWindowsHookEx

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, table: 3, windows: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiGuard Labs обнаружила новый вариант кейлоггера Snake, который фиксирует конфиденциальные данные с помощью регистрации нажатий клавиш и сохраняется после перезагрузки системы. Он использует фишинг для распространения, избегает обнаружения с помощью методов антианализа и осуществляет эксфильтрацию данных через SMTP и Telegram.
-----

Компания FortiGuard Labs разработала новый вариант кейлоггера Snake, также известный как кейлоггер 404, обозначаемый как AutoIt/Injector.GTY!tr. Этот вариант вредоносного ПО демонстрирует значительный масштаб своей деятельности, в результате чего было заблокировано более 280 миллионов попыток заражения, в основном сосредоточенных в таких регионах, как Китай, Турция, Индонезия, Тайвань и Испания. Большое количество обнаружений подчеркивает постоянную и широко распространенную угрозу, которую представляет Snake Keylogger для частных лиц и организаций по всему миру. Механизм его распространения часто включает фишинговые электронные письма с вредоносными вложениями или ссылками, которые используются ничего не подозревающими пользователями для взлома их систем.

После развертывания Snake Keylogger предназначен для сбора конфиденциальной информации из широко используемых веб-браузеров, включая Chrome, Edge и Firefox. Эта возможность достигается за счет отслеживания нажатий клавиш, получения учетных данных для входа в систему и просмотра содержимого буфера обмена. Затем вредоносная программа использует SMTP-ботов и Telegram-ботов для передачи украденных данных на свой командно-диспетчерский сервер (C2), предоставляя злоумышленникам доступ к собранной информации.

Механизмы, позволяющие кейлоггеру Snake избегать обнаружения, включают в себя сложные методы антианализа. Он выполняет свою полезную нагрузку с помощью AutoIt, маскируя свои вредоносные функции под законные процессы автоматизации. После активации он реплицируется как "ageless.exe" в каталоге %Local_AppData%\supergroup, при этом скрипт ageless.vbs помещается в папку %Startup%, чтобы поддерживать постоянство при перезагрузке системы. Этот сценарий запуска гарантирует, что вредоносная программа будет запущена без использования административных привилегий, тем самым поддерживая скрытое присутствие.

Чтобы еще больше скрыть свою деятельность, Snake Keylogger использует взлом процесса путем внедрения в законный процесс RegSvcs.exe. Вредоносная программа предназначена для проверки доступа к каталогам, содержащим конфиденциальные данные, и может выполнять поиск геолокации по указанным URL-адресам. Для передачи данных он специально использует API SetWindowsHookEx для реализации низкоуровневых перехватчиков клавиатуры для захвата нажатий клавиш.

FortiSandbox версии 5.0, оснащенный передовым механизмом искусственного интеллекта PAIX, имеет решающее значение для обнаружения таких сложных вредоносных программ. Этот движок объединяет статический и динамический анализ для распознавания поведения вредоносных программ, включая идентификацию запутанных строк и API-интерфейсов, связанных с кейлоггингом и сбором учетных данных. Выполняя поведенческий анализ наряду с оценкой атрибутов файлов, PAIX может упреждающе обнаруживать потенциальные угрозы до того, как они скомпрометируют систему. Постоянные обновления моделей искусственного интеллекта гарантируют, что возможности обнаружения остаются эффективными в борьбе с новыми угрозами, такими как кейлоггер Snake, тем самым предоставляя пользователям подробные индикаторы компрометации и позволяя принимать упреждающие защитные меры против сложных вредоносных атак.

#ParsedReport #CompletenessLow
18-02-2025

An Update on Fake Updates: Two New Actors, and New Mac Malware

https://www.proofpoint.com/us/blog/threat-insight/update-fake-updates-two-new-actors-and-new-mac-malware

Report completeness: Low

Actors/Campaigns:
Ta2726 (motivation: cyber_criminal, financially_motivated)
Ta2727 (motivation: cyber_criminal, financially_motivated)
Ta569 (motivation: financially_motivated)

Threats:
Frigidstealer
Socgholish_loader
Gholoader
Lumma_stealer
Deerstealer
Marcher
Doiloader

Industry:
Financial

Geo:
America, Canada, France

ChatGPT TTPs:
do not use without manual check
T1189, T1204, T1073, T1059.004, T1041

IOCs:
Domain: 27
Hash: 5

Soft:
MacOS, Android, Microsoft Edge, Google Chrome, Chrome, Gatekeeper

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Proofpoint выявила новых хакеров TA2726 и TA2727, которые проводили кампании по внедрению в Сеть и распространяли вредоносное ПО. TA2726 в основном выполняет функции службы распределения трафика, перенаправляя пользователей на вредоносные программы, в то время как TA2727 развертывает вредоносные программы, такие как FrigidStealer, нацеленные как на системы Windows, так и на macOS. Кампании используют социальную инженерию, чтобы заставить пользователей загружать вредоносное программное обеспечение, замаскированное под обновления, адаптируясь к меняющимся мерам безопасности.
-----

Два новых хакера, TA2726 и TA2727, участвуют в веб-кампаниях по внедрению и распространению вредоносных программ. Вредоносные JavaScript-программы обычно используются совместно со службой распределения трафика (TDS) для доставки полезной нагрузки. TA2726 работает в основном как TDS, перенаправляя трафик для оказания помощи другим участникам, таким как TA569, особенно в кампаниях по компрометации веб-сайтов в Северной Америке. TA2727 сотрудничает с TA569 и независимо распространяет вредоносные программы, такие как FrigidStealer, Lumma Stealer, DeerStealer и Marcher. Пользователи переходят по поддельным ссылкам на обновления, что приводит к загрузке вредоносных программ, выдаваемых за законные обновления. FrigidStealer нацелен на конфиденциальную информацию, используя методы обхода системы безопасности macOS и социальную инженерию для завоевания доверия пользователей. Он работает как исполняемый файл Mach-O, отправляя данные на сервер управления. Количество веб-угроз возросло по мере того, как злоумышленники адаптируются к мерам безопасности, настраивая вредоносное ПО как для корпоративных, так и для потребительских настроек, включая системы macOS.

#ParsedReport #CompletenessMedium
19-02-2025

Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger

https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger/

Report completeness: Medium

Actors/Campaigns:
Sandworm
Unc5792 (motivation: cyber_espionage)
Uac-0195 (motivation: cyber_espionage)
Unc4221
Turla
Ghostwriter
Seaborgium

Threats:
Wavesign
Rclone_tool
Chisel_tool
Robocopy_tool

Victims:
Signal messenger, Ukrainian military personnel

Industry:
Government, Military

Geo:
United kingdom, Russia, Ukraine, Russian federation, Belarus, Russian, Ukrainian, Belarusian

ChatGPT TTPs:
do not use without manual check
T1566, T1059.007, T1059, T1074, T1041, T1005

IOCs:
Domain: 25
File: 5
Path: 9
Command: 2
Hash: 4
IP: 1

Soft:
WhatsApp, Telegram, Android, outlook, Google Play

Algorithms:
exhibit

Functions:
doRedirect, Get-Random, Get-ChildItem, Remove-Item

Languages:
javascript, powershell

Platforms:
apple

Links:
https://github.com/signalapp/Signal-iOS/commit/498b97033254c514404345efc1d4c29c1b076f6c
https://github.com/signalapp/Signal-Android/commit/112874c08019a40b6f8f1dbbf84eb0ab4d796582