#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговые программы, которые снижают порог проникновения для киберпреступников, используют обманчивые веб-страницы и электронные письма для сбора конфиденциальных данных. Среди известных примеров - Tycoon2FA, который обходит MFA, и Mamba2FA, нацеленный на финансовый и производственный секторы. В этих наборах используются передовые методы уклонения от ответственности и автоматизации, что создает значительные угрозы для организаций.
-----

Фишинговые наборы снижают порог проникновения для киберпреступников, требуя минимальных технических знаний для проведения эффективных атак. Эти наборы включают инструменты для создания обманчивых веб-страниц, электронных писем и веб-сайтов для извлечения конфиденциальных данных. Они варьируются от базовых шаблонов до продвинутых решений "фишинг как услуга" (PHaaS) с автоматическим обновлением и шифрованием. Ключевые компоненты включают шаблоны веб-сайтов, имитирующие законные бренды, сценарии сбора данных, механизмы автоматизированного развертывания и методы обхода многофакторной аутентификации (MFA), такие как использование обратных прокси-серверов.

Tycoon2FA, впервые обнаруженный в 2023 году, использует тактику "противник посередине" для обхода 2FA и кражи учетных данных с помощью поддельных форм входа, размещенных на Cloudflare Workers. Mamba2FA нацелен на финансовый и производственный секторы, в то время как Evilginx2 и BulletProofLink сосредоточены на перехвате токенов и размещении фишинговых страниц, соответственно. Использование таких наборов делает сотрудников потенциально уязвимыми в бизнес-сетях.

Автоматизация фишинговых наборов позволяет проводить одновременные атаки на нескольких пользователей, повышая риск для организации, особенно с помощью методов кражи сеансовых файлов cookie в обход MFA. Имитация бренда может нанести ущерб репутации и подорвать доверие клиентов. Фишинговые атаки также могут привести к угрозам цепочке поставок, поскольку происходит утечка данных от целевых сторонних поставщиков.

Стратегии Threat intelligence (TI) улучшают обнаружение и смягчение последствий фишинговых атак за счет использования индикаторов компрометации (IOCs) для мониторинга сети. Анализ поведения фишинговых кампаний помогает улучшить обнаружение угроз до того, как произойдет значительный ущерб. Упреждающая блокировка с помощью информационных каналов укрепляет системы безопасности, предотвращая доступ к известным вредоносным доменам и IP-адресам.

Инструменты поиска TI помогают выявлять новые фишинговые домены, связанные с такими наборами, как Tycoon2FA, с которым связано 49 фишинговых доменов. Этот подход позволяет оценивать угрозы во время сортировки инцидентов и осуществлять постоянный мониторинг затронутых организаций на предмет новых показателей, связанных с конкретными наборами. Изощренность фишинговых наборов и методы уклонения от их использования создают постоянные проблемы, привлекая начинающих хакеров и совершенствуясь в ответ на меры безопасности.

#ParsedReport #CompletenessMedium
19-02-2025

Earth Preta Mixes Legitimate and Malicious Components to Sidestep Detection

https://www.trendmicro.com/en_us/research/25/b/earth-preta-mixes-legitimate-and-malicious-components-to-sidestep-detection.html

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Mavinject_tool
Toneshell
Spear-phishing_technique

Industry:
Government

Geo:
Asia-pacific, Thailand, Taiwan, Malaysia, Vietnam

ChatGPT TTPs:
do not use without manual check
T1055, T1218.011, T1073, T1566.001

IOCs:
File: 8
Domain: 1

Win API:
DLLRegisterServer, WriteProcessMemory, CreateRemoteThreadEx, CoCreateGuid

Win Services:
ekrn

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1, dump: 5, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Earth Preta (Mustang Panda) нацелена на правительства стран Азиатско-Тихоокеанского региона, используя тактику обнаружения с помощью ESET. Их новейший метод включает в себя использование MAVInject для ввода полезной нагрузки в waitfor.exe, развертывание поддельного PDF-файла и использование модифицированного бэкдора TONESHELL (EACore.dll) для обхода антивируса. Связь с сервером C&C устанавливается с помощью уникальных методов идентификации, что указывает на необходимость усиленного мониторинга таких стратегий.
-----

Команда Trend Micro по поиску угроз выявила новую тактику, применяемую APT-группой Earth Preta, также известной как Mustang Panda. Эта группа нацелена на организации в Азиатско-Тихоокеанском регионе, в частности, проводит кампании против правительств Тайваня, Вьетнама и Малайзии. Последний обнаруженный метод заключается в использовании Microsoft Application Virtualization Injector (MAVInject) для внедрения вредоносных программ в процесс waitfor.exe, в частности, при обнаружении антивирусного приложения ESET в целевой системе.

Атака начинается с развертывания вредоносного дроппера, IRSetup.exe который устанавливает несколько файлов в каталоге ProgramData/session. Среди этих файлов есть как законные исполняемые файлы, так и вредоносные компоненты. Чтобы отвлечь жертву, Earth Preta также использует поддельный PDF-файл, якобы стремясь к сотрудничеству в разработке платформы для борьбы с преступностью, поддерживаемой правительственными учреждениями. Эта тактика отражает их исторический метод использования фишинговых электронных писем и поддельных документов для облегчения получения полезной информации.

Центральным элементом вредоносной программы Earth Preta является модифицированный бэкдор TONESHELL, обозначенный как EACore.dll, который запускается как часть полезной нагрузки. Он загружает этот бэкдор с помощью законного приложения Electronic Arts, в частности OriginLegacyCLI.exe. Конструкция бэкдора включает функции, направленные на обнаружение присутствия процессов ESET ekrn.exe или egui.exe. Если какой-либо из них активен, EACore.dll регистрируется с помощью regsvr32.exe. Этот процесс впоследствии запускается waitfor.exe, обеспечивая путь для внедрения вредоносного кода с помощью MAVInject. Эта методология направлена на то, чтобы обойти антивирусное обнаружение, демонстрируя умение группы скрывать свои вредоносные действия.

В сценариях, где приложения ESET отсутствуют, вредоносная программа обладает резервными механизмами, которые позволяют ей напрямую внедрять код в waitfor.exe используя такие API, как WriteProcessMemory и CreateRemoteThreadEx. В конечном итоге полезная нагрузка расшифровывает шеллкод в своем разделе данных, чтобы установить связь со своим сервером управления (C&C), расположенным по адресу www.militarytc.com:443. Это взаимодействие облегчается с помощью вызова API ws2_32.send, который собирает информацию о хосте для создания уникального идентификатора для каждой скомпрометированной системы, что еще больше повышает устойчивость.

Несколько признаков, указывающих на принадлежность, связывают этот новый вариант с Earth Preta, в том числе его методология, отражающая предыдущие действия, связанные с группой. Новый вариант включает в себя создание уникального идентификатора жертвы и другую структуру пакетов подтверждения связи по сравнению с предыдущими образцами. Несмотря на эти различия, лежащая в основе техника остается в соответствии с установленными моделями Earth Preta.

Учитывая сложность и эволюционный характер стратегий атак Earth Preta, организациям рекомендуется усилить свои возможности мониторинга. Особое внимание уделяется выявлению необычного поведения законных процессов и исполняемых файлов, что имеет важное значение для снижения рисков, связанных с такими хакерами.

#ParsedReport #CompletenessMedium
19-02-2025

FortiSandbox 5.0 Detects Evolving Snake Keylogger Variant

https://www.fortinet.com/blog/threat-research/fortisandbox-detects-evolving-snake-keylogger-variant

Report completeness: Medium

Threats:
Snake_keylogger
Credential_harvesting_technique
Process_hollowing_technique
Process_injection_technique

Industry:
Financial

Geo:
Turkey, Taiwan, Spain, Indonesia, China

ChatGPT TTPs:
do not use without manual check
T1056.001, T1055.012, T1547.001, T1027

IOCs:
File: 1
Url: 2
Hash: 2

Soft:
Chrome, Firefox, Telegram

Functions:
SetWindowsHookEx

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, table: 3, windows: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiGuard Labs обнаружила новый вариант кейлоггера Snake, который фиксирует конфиденциальные данные с помощью регистрации нажатий клавиш и сохраняется после перезагрузки системы. Он использует фишинг для распространения, избегает обнаружения с помощью методов антианализа и осуществляет эксфильтрацию данных через SMTP и Telegram.
-----

Компания FortiGuard Labs разработала новый вариант кейлоггера Snake, также известный как кейлоггер 404, обозначаемый как AutoIt/Injector.GTY!tr. Этот вариант вредоносного ПО демонстрирует значительный масштаб своей деятельности, в результате чего было заблокировано более 280 миллионов попыток заражения, в основном сосредоточенных в таких регионах, как Китай, Турция, Индонезия, Тайвань и Испания. Большое количество обнаружений подчеркивает постоянную и широко распространенную угрозу, которую представляет Snake Keylogger для частных лиц и организаций по всему миру. Механизм его распространения часто включает фишинговые электронные письма с вредоносными вложениями или ссылками, которые используются ничего не подозревающими пользователями для взлома их систем.

После развертывания Snake Keylogger предназначен для сбора конфиденциальной информации из широко используемых веб-браузеров, включая Chrome, Edge и Firefox. Эта возможность достигается за счет отслеживания нажатий клавиш, получения учетных данных для входа в систему и просмотра содержимого буфера обмена. Затем вредоносная программа использует SMTP-ботов и Telegram-ботов для передачи украденных данных на свой командно-диспетчерский сервер (C2), предоставляя злоумышленникам доступ к собранной информации.

Механизмы, позволяющие кейлоггеру Snake избегать обнаружения, включают в себя сложные методы антианализа. Он выполняет свою полезную нагрузку с помощью AutoIt, маскируя свои вредоносные функции под законные процессы автоматизации. После активации он реплицируется как "ageless.exe" в каталоге %Local_AppData%\supergroup, при этом скрипт ageless.vbs помещается в папку %Startup%, чтобы поддерживать постоянство при перезагрузке системы. Этот сценарий запуска гарантирует, что вредоносная программа будет запущена без использования административных привилегий, тем самым поддерживая скрытое присутствие.

Чтобы еще больше скрыть свою деятельность, Snake Keylogger использует взлом процесса путем внедрения в законный процесс RegSvcs.exe. Вредоносная программа предназначена для проверки доступа к каталогам, содержащим конфиденциальные данные, и может выполнять поиск геолокации по указанным URL-адресам. Для передачи данных он специально использует API SetWindowsHookEx для реализации низкоуровневых перехватчиков клавиатуры для захвата нажатий клавиш.

FortiSandbox версии 5.0, оснащенный передовым механизмом искусственного интеллекта PAIX, имеет решающее значение для обнаружения таких сложных вредоносных программ. Этот движок объединяет статический и динамический анализ для распознавания поведения вредоносных программ, включая идентификацию запутанных строк и API-интерфейсов, связанных с кейлоггингом и сбором учетных данных. Выполняя поведенческий анализ наряду с оценкой атрибутов файлов, PAIX может упреждающе обнаруживать потенциальные угрозы до того, как они скомпрометируют систему. Постоянные обновления моделей искусственного интеллекта гарантируют, что возможности обнаружения остаются эффективными в борьбе с новыми угрозами, такими как кейлоггер Snake, тем самым предоставляя пользователям подробные индикаторы компрометации и позволяя принимать упреждающие защитные меры против сложных вредоносных атак.

#ParsedReport #CompletenessLow
18-02-2025

An Update on Fake Updates: Two New Actors, and New Mac Malware

https://www.proofpoint.com/us/blog/threat-insight/update-fake-updates-two-new-actors-and-new-mac-malware

Report completeness: Low

Actors/Campaigns:
Ta2726 (motivation: cyber_criminal, financially_motivated)
Ta2727 (motivation: cyber_criminal, financially_motivated)
Ta569 (motivation: financially_motivated)

Threats:
Frigidstealer
Socgholish_loader
Gholoader
Lumma_stealer
Deerstealer
Marcher
Doiloader

Industry:
Financial

Geo:
America, Canada, France

ChatGPT TTPs:
do not use without manual check
T1189, T1204, T1073, T1059.004, T1041

IOCs:
Domain: 27
Hash: 5

Soft:
MacOS, Android, Microsoft Edge, Google Chrome, Chrome, Gatekeeper

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Proofpoint выявила новых хакеров TA2726 и TA2727, которые проводили кампании по внедрению в Сеть и распространяли вредоносное ПО. TA2726 в основном выполняет функции службы распределения трафика, перенаправляя пользователей на вредоносные программы, в то время как TA2727 развертывает вредоносные программы, такие как FrigidStealer, нацеленные как на системы Windows, так и на macOS. Кампании используют социальную инженерию, чтобы заставить пользователей загружать вредоносное программное обеспечение, замаскированное под обновления, адаптируясь к меняющимся мерам безопасности.
-----

Два новых хакера, TA2726 и TA2727, участвуют в веб-кампаниях по внедрению и распространению вредоносных программ. Вредоносные JavaScript-программы обычно используются совместно со службой распределения трафика (TDS) для доставки полезной нагрузки. TA2726 работает в основном как TDS, перенаправляя трафик для оказания помощи другим участникам, таким как TA569, особенно в кампаниях по компрометации веб-сайтов в Северной Америке. TA2727 сотрудничает с TA569 и независимо распространяет вредоносные программы, такие как FrigidStealer, Lumma Stealer, DeerStealer и Marcher. Пользователи переходят по поддельным ссылкам на обновления, что приводит к загрузке вредоносных программ, выдаваемых за законные обновления. FrigidStealer нацелен на конфиденциальную информацию, используя методы обхода системы безопасности macOS и социальную инженерию для завоевания доверия пользователей. Он работает как исполняемый файл Mach-O, отправляя данные на сервер управления. Количество веб-угроз возросло по мере того, как злоумышленники адаптируются к мерам безопасности, настраивая вредоносное ПО как для корпоративных, так и для потребительских настроек, включая системы macOS.

#ParsedReport #CompletenessMedium
19-02-2025

Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger

https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger/

Report completeness: Medium

Actors/Campaigns:
Sandworm
Unc5792 (motivation: cyber_espionage)
Uac-0195 (motivation: cyber_espionage)
Unc4221
Turla
Ghostwriter
Seaborgium

Threats:
Wavesign
Rclone_tool
Chisel_tool
Robocopy_tool

Victims:
Signal messenger, Ukrainian military personnel

Industry:
Government, Military

Geo:
United kingdom, Russia, Ukraine, Russian federation, Belarus, Russian, Ukrainian, Belarusian

ChatGPT TTPs:
do not use without manual check
T1566, T1059.007, T1059, T1074, T1041, T1005

IOCs:
Domain: 25
File: 5
Path: 9
Command: 2
Hash: 4
IP: 1

Soft:
WhatsApp, Telegram, Android, outlook, Google Play

Algorithms:
exhibit

Functions:
doRedirect, Get-Random, Get-ChildItem, Remove-Item

Languages:
javascript, powershell

Platforms:
apple

Links:
https://github.com/signalapp/Signal-iOS/commit/498b97033254c514404345efc1d4c29c1b076f6c
https://github.com/signalapp/Signal-Android/commit/112874c08019a40b6f8f1dbbf84eb0ab4d796582

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российские хакеры, связанные с государством, атакуют аккаунты Signal Messenger, связанные с военнослужащими и журналистами, используя вредоносные QR-коды для привязки аккаунтов жертв к их устройствам для прослушивания. Кластеры участников UNC5792 и UNC4221 используют методы фишинга для перенаправления пользователей, в то время как APT44 и Sandworm используют скрипты для фильтрации сообщений со взломанных устройств. Участившиеся атаки подчеркивают растущую угрозу для защищенных приложений обмена сообщениями на фоне растущих кибервозможностей в зонах конфликтов.
-----

Российские хакеры, связанные с государством, атакуют аккаунты в мессенджере Signal, связанные с военнослужащими, политиками, журналистами и активистами. Эти угрозы также распространяются на такие приложения, как WhatsApp и Telegram, использующие аналогичные методы.

Они используют функцию "связанных устройств" Signal, используя вредоносные QR-коды, которые при сканировании связывают учетную запись жертвы с контролем злоумышленника. QR-коды часто маскируются под законные ресурсы.

Были выявлены две конкретные группы российских хакеров - UNC5792 и UNC4221. UNC5792 занимается созданием вредоносных URL-адресов и QR-кодов в фишинговых кампаниях. UNC4221 создает фишинговые наборы, имитирующие законные военные приложения, для маскировки действий по подключению устройств.

APT44, связанный с GRU, использует пакетный скрипт Windows под названием WAVESIGN для извлечения сигнальных сообщений через Rclone. Печально известный Chisel, приписываемый Sandworm, - это вредоносная программа для Android, которая выполняет поиск файлов базы данных сигналов. Turla использует сценарии PowerShell для фильтрации сообщений Signal, в то время как UNC1151 использует Robocopy для передачи данных из Signal Desktop.

Увеличение числа атак на Signal указывает на серьезную угрозу для защищенных приложений обмена сообщениями, что отражает более широкий рост коммерческого шпионского ПО и вредоносных программ для мобильных устройств в зонах конфликтов.

#ParsedReport #CompletenessLow
19-02-2025

TransparentTribe (Transparent Tribe) APT organization CrimsonRAT remote control sample analysis

https://www.ctfiot.com/227859.html

Report completeness: Low

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Crimson_rat
Harpoon_technique
Peppy_rat

Victims:
Government, Military

Industry:
Government, Military, Financial

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002

IOCs:
IP: 1

Soft:
WeChat

Functions:
TransparentTribe

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TransparentTribe APT group нацелена на правительственные и военные структуры, используя атаки социальной инженерии harpoon с использованием вредоносных документов Office и макросов VBA. Они используют таких крыс, как CrimsonRAT и PeppyRAT, для утечки конфиденциальных данных, постоянно совершенствуя свои вредоносные программы, чтобы избежать обнаружения.
-----

TransparentTribe, группа APT, активно проводит целенаправленные кибератаки против правительственных и военных структур в соседних странах и регионах. Их основной метод заключается в использовании методов социальной инженерии для осуществления атак с использованием гарпуна. Обычно это связано с доставкой вредоносных документов, таких как файлы Word или Excel, в которых используются макросы Visual Basic для приложений (VBA) для выполнения вредоносного кода при открытии. Вредоносные макросы запускают различные инструменты удаленного доступа (RAT), включая CrimsonRAT и PeppyRAT, которые предназначены для кражи конфиденциальной информации из целевых систем.

Следует отметить эволюцию тактики TransparentTribe; группа продемонстрировала приверженность диверсификации направлений атак и расширению арсенала вредоносных программ. Они часто обновляют свои методы первоначального проникновения, используя новые и специально разработанные вредоносные программы, позволяющие избежать обнаружения и повысить вероятность успешных атак. Примечательно, что компоненты удаленного управления их вредоносного ПО, как правило, написаны на C#, а частота взаимодействия команд и контроля (C2) соответствует предыдущим образцам, с которыми сталкивались в ходе предыдущих атак.

Ожидается, что по мере развития ситуации с угрозами такие организации, как TransparentTribe, будут активизировать свои кибероперации. Это включает в себя не только запуск новых атак, но и разработку новых вариантов вредоносного ПО и совершенствование методов обхода мер безопасности. Растущая сложность их стратегий атак создает серьезные проблемы для специалистов в области кибербезопасности, поскольку эти разработки требуют расширенных аналитических возможностей и оперативного реагирования на возникающие угрозы.

Текущие тенденции указывают на то, что APT-группы будут продолжать наращивать свою деятельность, что все больше затрудняет аналитикам threat intelligence эффективное отслеживание и устранение этих угроз. Следовательно, индустрия безопасности должна сосредоточиться на расширении своих возможностей в области анализа угроз, используя оперативные данные для противодействия различным методам атак, используемым такими группами.

Исследователи, занимающиеся анализом вредоносных программ, должны сохранять бдительность, приспосабливаясь к постоянному развитию технологий атак, особенно тех, которые широко распространены в кампаниях по вымогательству, кибершпионаже и других вредоносных операциях. Существует призыв к сотрудничеству между профессионалами в этой области для обмена информацией и анализом семейств вредоносных программ, поскольку коллективный разум может привести к более эффективной защите от постоянных угроз, создаваемых APT-организациями, такими как TransparentTribe.

#ParsedReport #CompletenessLow
19-02-2025

Analysis of attack activities of APT-C-28 (ScarCruft) organization using file-free delivery of RokRat

https://www.ctfiot.com/228098.html

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: information_theft)

Threats:
Rokrat

Victims:
South korean government, Corporate personnel, North korean-related organizations, Individuals

Industry:
Military, Healthcare, Government, Aerospace, Transport

Geo:
North korean, Asian, Korea, Korean, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.001, T1027, T1055, T1071.001

IOCs:
File: 12
Path: 1
Registry: 2
Hash: 8

Soft:
WeChat

Algorithms:
zip, xor

Functions:
bytearray

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4