#ParsedReport #ExtractedSchema

Classified images:
schema: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Equation из АНБ нацелилась на Северо-Западный политехнический университет Китая, используя более 40 разновидностей вредоносных программ в рамках сложной операции, включающей MiTM-атаки и точечный фишинг, используя для кражи данных такие инструменты, как NOPEN и SECONDDATE. Их тактика включала использование законных учетных данных для доступа к сети и поддержание постоянства с помощью бэкдоров, в то время как операции были скрыты с помощью зашифрованной связи и нескольких прокси-серверов.
-----

В ходе недавнего расследования китайских отчетов о кибербезопасности стало известно о предполагаемых кибероперациях АНБ, в частности о тех, которые приписываются Equation Group (APT-C-40). Этот анализ основан на обширных исследованиях, проведенных в различных китайских изданиях по кибербезопасности, включая отчеты Qihoo 360 и Национального центра экстренного реагирования на компьютерные вирусы (CVERC). Похоже, что АНБ нацелилось на Северо-Западный политехнический университет Китая, используя различные сложные методы и инструменты, которые, вероятно, способствуют краже данных и шпионажу.

В кибератаке на университет было задействовано более 40 различных видов вредоносных программ, и она была осуществлена с помощью подразделения специального доступа АНБ (TAO). Злоумышленники использовали комбинацию тактик, методов и процедур (TTP), включая атаки MiTM (Man-in-the-Middle) и фишинговые кампании spear. Эти попытки фишинга, в частности, были замаскированы под электронные письма, в которых обсуждался "обзор научных исследований", и были нацелены на сотрудников университетов и студентов путем внедрения вредоносных программ. Примечательно, что операция проводилась в обычное рабочее время в Соединенных Штатах, что свидетельствует о скоординированной атаке.

Критически важными для этой операции были четыре IP-адреса, которые, как сообщается, были получены АНБ через компании-прикрытия. Среди вредоносных программных платформ, использованных при атаке, был выделен "NOPEN", поскольку для его реализации требуется участие человека. Специальные инструменты, такие как "SECONDDATE", использовались для перехвата внутреннего сетевого трафика и перенаправления его на платформу FOXACID АНБ, известную благодаря использованию браузера. Кроме того, для получения первоначального доступа был использован эксплойт для систем Solaris, использующих платформу "ISLAND". Оказавшись внутри сети, АНБ использовало бэкдоры и инструменты сброса учетных данных, чтобы обеспечить постоянство.

Кроме того, злоумышленники использовали стратегии, позволяющие скрыть свои перемещения в сети. Для проникновения в брандмауэры использовались подлинные учетные данные, в то время как инструменты, способные перехватывать учетные данные SSH и Telnet, облегчали дальнейший доступ. При внедрении вредоносных программ использовались сложные варианты, такие как FLAME SPRAY и STOIC SURGEON, предназначенные для поддержания контроля и уклонения от обнаружения. Защита их обратной связи с серверами командования и контроля (C2) осуществлялась по зашифрованным каналам, а извлечение данных осуществлялось с помощью инструментов, специально разработанных для конфиденциальных телекоммуникационных данных и данных, связанных с обороной.

Использование нескольких прокси-серверов для маршрутизации данных не только скрыло источник атаки, но и продемонстрировало многоуровневый подход к обеспечению операционной безопасности. Китайский криминалистический анализ позволил выявить четкие закономерности на разных этапах атаки, а также получить представление о времени работы, что подчеркивает сотрудничество в ходе расследования этих кибератак. Информация, связанная с этими методами, дает представление о APT и их эксплуатационных возможностях, вызывая дискуссии об эволюционирующих методологиях реагирования на инциденты и протоколах безопасности.

#ParsedReport #CompletenessLow
20-02-2025

Weathering the storm: In the midst of a Typhoon

https://blog.talosintelligence.com/salt-typhoon-analysis/

Report completeness: Low

Actors/Campaigns:
Ghostemperor

Threats:
Lolbin_technique
Jumbledpath_tool

Victims:
Telecommunications companies

Industry:
Government, Telco, Education

CVEs:
CVE-2024-20399 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco nx-os (6.2\(2\), 6.2\(2a\), 6.2\(6\), 6.2\(6a\), 6.2\(6b\))

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (<17.3.8a, <17.6.6a, <17.9.4a)

CVE-2018-0171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (<16.12.10a, <17.3.8a, <17.6.6a, <17.9.4a)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1070, T1190, T1040, T1090

IOCs:
File: 1
IP: 2

Soft:
Linux

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon, опытный хакер, нацелился на телекоммуникационные компании США, используя кражу учетных данных и методы "жизни за пределами страны". Они манипулируют конфигурациями устройств Cisco и используют специальный инструмент JumbledPath для скрытой утечки данных. Cisco рекомендует усилить меры безопасности, включая отключение ненужных служб и внедрение политики надежных паролей.
-----

Компания Cisco Talos сообщила о продолжающихся кампаниях по вторжению в телекоммуникационные компании США, которые, как утверждается, были совершены опытным хакером, известным как Salt Typhoon. Эти атаки позволили хакеру получить доступ к базовой сетевой инфраструктуре, что позволило собрать обширную информацию. Примечательно, что только один случай подтвердил использование конкретной уязвимости Cisco (CVE-2018-0171), в то время как большинство инцидентов были связаны с получением хакером законных учетных данных для входа в систему.

Salt Typhoon продемонстрировал длительную устойчивость, сохранив доступ к оборудованию различных поставщиков, причем один случай свидетельствовал о более чем трехлетнем необнаруженном присутствии в сети. Злоумышленник в значительной степени полагался на методы "живого взаимодействия", используя существующее программное обеспечение и конфигурации, чтобы избежать обнаружения и действовать скрытно в целевых средах. Большинство рассмотренных инцидентов не включали обнаружение новых уязвимостей Cisco. Хотя поступали заявления о злоупотреблении тремя другими известными уязвимостями Cisco, никаких существенных доказательств в поддержку этих утверждений найдено не было.

Тактика вредоносного ПО, применяемая Salt Typhoon, включала в себя переключение со скомпрометированных устройств в рамках одной телекоммуникационной сети на другие, используя эти исходные точки в основном для утечки данных. Хакер манипулировал конфигурациями устройств, особенно теми, которые связаны с Bash и Guest Shell, виртуальной средой на базе Linux на устройствах Cisco, позволяя выполнять команды Linux. Они создали несанкционированные SSH-серверы на высоких портах для обеспечения постоянного доступа, а также изменили учетные записи системных пользователей для дальнейшего повышения привилегий.

Важным инструментом в их арсенале является пользовательская утилита под названием JumbledPath, которая позволяет удаленно перехватывать пакеты через взломанное устройство, устанавливая ряд соединений, определенных участниками. Этот инструмент, написанный на Go и скомпилированный в виде двоичного файла ELF, предназначен для сокрытия исходного источника запроса и конечного пункта назначения. Он помогает хакеру работать незамеченным в сетях нескольких поставщиков, что было подтверждено его присутствием на скомпрометированных устройствах Cisco Nexus.

Что касается защитных мер, Cisco рекомендует организациям отключать ненужные службы, которые могут подвергать оборудование угрозам, включая незашифрованный веб-сервер и доступ по Telnet. Решающее значение имеет использование SSH для всех протоколов управления, отключение гостевой консоли, если это не требуется, и внедрение обновленных и сложных политик паролей. Организациям настоятельно рекомендуется следовать строгим протоколам безопасности, которые включают частое обновление систем, разделение сетей и использование многофакторной аутентификации в точках доступа.

В ходе этого мониторинга появились дополнительные сообщения об атаках с использованием функции Smart Install со ссылками на CVE-2018-0171. Однако, похоже, что эти действия не связаны с кампанией Salt Typhoon и не связаны с известным хакером. Следовательно, это подчеркивает необходимость исправления известных уязвимостей и защиты даже некритичных устройств, чтобы они не могли использоваться в качестве шлюзов для доступа к более критичным системам.

#ParsedReport #CompletenessMedium
20-02-2025

LightSpy Expands Command List to Include Social Media Platforms

https://hunt.io/blog/lightspy-malware-targets-facebook-instagram

Report completeness: Medium

Threats:
Lightspy
Watering_hole_technique
Deepdata

Victims:
Facebook, Instagram, Telegram, Qq, Wechat, Whatsapp, Line

Geo:
Hong kong

ChatGPT TTPs:
do not use without manual check
T1189, T1190, T1071

IOCs:
IP: 24
Url: 6
Hash: 19
File: 5
Domain: 1
Path: 4

Soft:
macOS, Linux, Instagram, Telegram, WeChat, WhatsApp, Android, Google Play

Algorithms:
md5

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LightSpy - это мультиплатформенная вредоносная программа, известная своей изменяющейся тактикой уклонения от обнаружения и нацеленная на социальные сети, в частности Facebook и Instagram, с более чем 100 командами для извлечения данных. Ее инфраструктура включает активные IP-адреса, что указывает на возможности постоянного наблюдения и контроля, особенно в системах iOS и Windows. Аналитики подчеркивают необходимость усиления мер безопасности для борьбы с этой растущей угрозой.
-----

LightSpy - это сложная вредоносная программа, о которой впервые стало известно в 2020 году, известная своими широкими возможностями таргетинга на нескольких платформах, включая мобильные устройства, Windows, macOS, Linux и маршрутизаторы. Первоначально было замечено, что это вредоносное ПО внедряется с помощью тактики "полива" и доставки на основе эксплойтов, но оно продемонстрировало стойкость, часто изменяя свою инфраструктуру, чтобы избежать обнаружения. В период его активности произошли значительные изменения, включая значительное расширение списка команд, в частности, в отношении платформ социальных сетей, таких как Facebook и Instagram.

Недавние анализы показывают, что LightSpy обновил свой командный функционал до более чем 100 команд, расширив свой операционный контроль за пределы простого сбора данных. Компания внедрила функции, позволяющие управлять передачами и отслеживать версии плагинов. Facebook Instagram. WeChat заметно сместил акцент с приложений для обмена сообщениями, таких как Telegram и WeChat, на активное извлечение данных из баз данных Facebook и Instagram. Это расширение позволяет злоумышленникам собирать личные сообщения, списки контактов и метаданные учетных записей с широко используемых платформ, что потенциально может привести к расширению возможностей для наблюдения и использования.

Инфраструктура, связанная с LightSpy, постоянно отслеживалась, в результате чего были получены активные IP-адреса, в том числе те, которые были выявлены в ходе предыдущих исследований различных вариантов LightSpy. Например, серверы, связанные с LightSpy, в частности 149.104.18.80, содержали конфигурации, которые указывали на сложность его работы и возможности. Взаимодействие с этими серверами позволило получить доступные метаданные, относящиеся к ядру вредоносного ПО, с указанием даты его развертывания и методов проверки целостности с помощью хэшей MD5. Примечательной особенностью конечных точек является многократное использование /963852741, с помощью которого можно получить доступ к подробным ответам о плагинах и аспектах их работы.

Детальное исследование серверов LightSpy выявило отсутствие подключаемых модулей для Linux, Android или macOS, что указывает на то, что основными целями недавних операций были системы iOS и Windows. Панели администратора, размещенные на определенных IP-адресах, предоставляют операторам возможность управлять скомпрометированными системами и выполнять команды, выявляя закономерности действий оператора с помощью различных процессов аутентификации. Возможность отслеживания взаимодействий LightSpy с помощью ответов сервера и поведения при выполнении команд подчеркивает важность бдительности в области кибербезопасности.

Продолжающееся развитие возможностей LightSpy свидетельствует о том, что его операторы совершенствуют свои методологии сбора данных и наблюдения за системами. Современные рекомендации по снижению рисков, связанных с такими вредоносными программами, включают ограничение разрешений для приложений, использование расширенных функций безопасности на устройствах и проведение тщательной проверки системных журналов для выявления любых прошлых заражений, связанных с LightSpy. Постоянно адаптируясь к изменениям в методах работы LightSpy, аналитики стремятся усовершенствовать стратегии обнаружения и защиты от этого постоянно развивающегося хакера.

#ParsedReport #CompletenessMedium
20-02-2025

Demystifying PKT and Monero Cryptocurrency deployed on MSSQL servers

https://www.seqrite.com/blog/pkt-monero-mining-mssql-malware/

Report completeness: Medium

Threats:
Packet_crypt_tool
Quickheal
Lolbin_technique
Xmrig_miner
Themida_tool
Ghanarava

Industry:
Financial, E-commerce

ChatGPT TTPs:
do not use without manual check
T1190, T1218.007, T1059.001, T1027, T1036.005, T1496

IOCs:
File: 17
Url: 3
IP: 1
Hash: 6

Soft:
MSSQL

Crypto:
monero, bitcoin

Algorithms:
randomx, base64, exhibit

Functions:
isRunning, kill

Win Services:
WebClient

Languages:
rust, powershell

Links:
https://github.com/cjdelisle/packetcrypt\_rs

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, dump: 1, code: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
число хакеров, занимающихся несанкционированным майнингом криптовалют PKT Classic и Monero, увеличилось, при этом злоумышленники используют уязвимости SQL Server для удаленного выполнения кода. Злоумышленники внедряют вредоносные инструменты для майнинга, потребляющие большие ресурсы процессора, а также используют методы для маскировки и распределения полезной нагрузки. Организациям настоятельно рекомендуется усилить защиту с помощью обновлений программного обеспечения, политики строгого использования паролей и мониторинга ресурсов.
-----

Недавние наблюдения Seqrite Lab выявили тенденцию к росту числа хакеров, занимающихся добычей криптовалют, особенно в PKT Classic и Monero. PKT Classic использует алгоритм проверки работоспособности (PoW), известный как PacketCrypt, который позволяет майнерам использовать неиспользуемую пропускную способность Интернета, а не просто вычислительные мощности для майнинга, что отражает его цель - создать децентрализованный рынок пропускной способности. Злоумышленники используют уязвимости, особенно в системах SQL Server, для развертывания операций интеллектуального анализа данных без согласия пользователя.

В январе 2025 года был зафиксирован инцидент, когда операция в командной строке была выполнена через sqlserver.exe, что указывает на потенциальный компромисс, который позволил удаленно выполнить код. Расследование показало, что злоумышленники использовали легальную утилиту Windows “certutil” для загрузки инструмента майнинга PacketCrypt на взломанные устройства. Для майнинга валюты PKT требуются такие параметры конфигурации, как адрес кошелька и URL пула майнинга, которые могут быть легко использованы злоумышленниками.

Анализ инструмента майнинга показал, что он был разработан в RUST и стал общедоступным через репозиторий GitHub, связанный с Калебом, основателем блокчейна PKT cash. Злоумышленники создали исполняемый файл (.exe) и разместили его на указанном IP-адресе, замаскировав под изображение для удобства распространения. Процесс майнинга был признан ресурсоемким, и сообщалось, что процесс "pkt.exe" потребляет до 99% ресурсов центрального процессора, что серьезно снижает производительность системы и приводит к поломке оборудования.

Злоумышленники также нацелились на Monero, используя программное обеспечение для майнинга XMRIG. Они использовали уязвимости системы для выполнения сценариев PowerShell, которые загружали вредоносную полезную нагрузку, скрытую с помощью защиты Themida, чтобы избежать обнаружения. При запуске эти файлы пытались использовать для майнинга Monero, но часто терпели неудачу из-за отсутствия файлов конфигурации, что, вероятно, перенаправляло жертв на ресурсы, которые помогли бы им настроить программное обеспечение для майнинга.

Атака продемонстрировала многоступенчатый подход с использованием общедоступных инструментов и сценариев, подчеркнув уязвимость систем из-за слабых учетных данных и других уязвимых мест. Продолжающиеся операции по майнингу продемонстрировали значительное несанкционированное использование системных ресурсов злоумышленниками с целью получения прибыли.

Для борьбы с такими угрозами организациям рекомендуется принять ряд защитных мер. Регулярные обновления программного обеспечения имеют решающее значение для устранения уязвимостей, а внедрение многофакторной аутентификации, такой как CAPTCHA, может предотвратить попытки несанкционированного доступа. Необходимо применять строгие правила использования паролей, а также отдавать приоритет эффективным антивирусным решениям, оснащенным возможностями сканирования в режиме реального времени. Ограничение административных привилегий и активный мониторинг использования ресурсов могут помочь выявить признаки криптомайнинга, тем самым укрепляя защиту организации от возникающих угроз.

#ParsedReport #CompletenessLow
20-02-2025

SecTopRAT bundled in Chrome installer distributed via Google Ads

https://www.malwarebytes.com/blog/cybercrime/2025/02/sectoprat-bundled-in-chrome-installer-distributed-via-google-ads

Report completeness: Low

Threats:
Sectop_rat

ChatGPT TTPs:
do not use without manual check
T1204, T1562.001, T1055, T1071.001

IOCs:
File: 3
Url: 4
Path: 1
IP: 1
Domain: 2
Hash: 2

Soft:
Chrome, Google Chrome, Windows Defender, waterfox, Firefox, Grammarly

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют рекламу Google для распространения вредоносного ПО SecTopRAT с помощью мошеннического установщика Chrome, используя тактику обмана, чтобы избежать обнаружения. Вредоносное ПО взаимодействует с внешним сервером и может извлекать конфиденциальные данные, маскируясь под законное программное обеспечение.
-----

Киберпреступники используют рекламу Google для распространения вредоносного ПО, вводя пользователей в заблуждение и заставляя их загружать мошенническую версию браузера Google Chrome. В этой кампании используется страница-посредник, размещенная на сайтах Google, что очень напоминает более ранние попытки фишинга с использованием учетных данных учетной записи Google. Когда пользователи ищут "скачать Google Chrome", рекламное объявление перенаправляет их на этот вредоносный сайт, где в качестве законного установщика Chrome предлагается исполняемый файл.

При подключении к этому исполняемому файлу, помеченному как GoogleChrome.exe, устанавливается соединение с hxxps://launchapps.site/getCode.php, где вредоносная программа получает дальнейшие инструкции по эксплуатации. Установщик пытается запустить программу с правами администратора для выполнения действий, требующих повышенных прав. Важный шаг включает в себя команду PowerShell, предназначенную для создания исключения в каталоге %appdata%\Roaming, что эффективно предотвращает обнаружение вредоносного ПО защитником Windows в процессе его извлечения.

После запуска вредоносная программа помещает файл с именем decrypted.exe в каталог %\AppData%\Roaming\BackupWin\, который распаковывает настоящую полезную нагрузку, waterfox.exe. Этот исполняемый файл маскируется под законный браузер Waterfox, тем самым добавляя еще один уровень обмана. Затем вредоносная программа внедряет свой вредоносный код в легитимный процесс MSBuild.exe, устанавливая связь с сервером управления атакующими, расположенным по IP-адресу 45.141.84.208. Извлеченная вредоносная программа идентифицирована как SecTopRAT, троянец удаленного доступа, обладающий возможностями для утечки конфиденциальной информации.

В качестве дополнительной тактики обмана поддельный установщик завершает загрузку и установку подлинного браузера Google Chrome, гарантируя, что жертвы не будут знать о лежащем в его основе компрометирующем средстве. Этот инцидент выявил критическую уязвимость в цепочке поставок программного обеспечения, когда скомпрометированная реклама Google служит источником распространения вредоносного ПО, используя доверие пользователей к поисковой системе. Принятые меры безопасности, такие как Malwarebytes Browser Guard и Premium Security Antivirus, были эффективны в блокировании вредоносной рекламы и обнаружении вредоносной полезной нагрузки, однако кампания подчеркивает постоянные угрозы, исходящие от злоумышленников, способных манипулировать надежными платформами в неблаговидных целях.

#ParsedReport #CompletenessMedium
21-02-2025

Fake DeepSeek Site Infects Mac Users with Poseidon Stealer

https://www.esentire.com/blog/fake-deepseek-site-infects-mac-users-with-poseidon-stealer

Report completeness: Medium

Actors/Campaigns:
Rodrigo4

Threats:
Poseidon
Meteor_wiper
Clickfix_technique

Victims:
Mac users

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1059.002, T1059.004, T1189, T1497.001, T1005, T1041

IOCs:
Coin: 19
Domain: 2
Url: 1

Soft:
DeepSeek, Bitwarden, Telegram, Mac OS, GateKeeper, macOS, Firefox, Ledger Live, curl, Chromium, have more...

Wallets:
aptos_wallet, finnie, bitfinity_wallet, zilpay, kardiachain, cyano, hycon, xverse_wallet, abc_wallet, solflare_wallet, have more...

Crypto:
bitcoin, ethereum, tezos, casper, solana, monero, dogecoin

Algorithms:
zip, exhibit, base64

Functions:
ptrace, sysctl, getpid, system

Languages:
applescript

Platforms:
apple

Links:
https://github.com/eSentire/iocs/blob/main/PoseidonStealer/PoseidonStealer-2-12-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Poseidon Stealer - это новая вредоносная программа, нацеленная на macOS и использующая для заражения AppleScript через osascript. Она собирает конфиденциальные данные браузера и продается в Telegram, используя тактику защиты от отладки и фишинговые методы для сбора учетных данных, избегая обнаружения.
-----

В начале февраля 2025 года была обнаружена новая вредоносная программа, известная как Poseidon Stealer, использующая команду osascript для выполнения AppleScript в рамках процесса заражения. Эта вредоносная программа продается в Telegram как вредоносная программа как услуга, доступная за абонентскую плату в размере 3000 долларов в месяц. Poseidon Stealer в первую очередь нацелен на конфиденциальную информацию, хранящуюся в веб-браузерах Chromium и Firefox, с целью извлечения таких данных, как данные кредитной карты, пароли, закладки и информация о криптовалютном кошельке.

Цепочка заражения начинается с того, что пользователь перенаправляется на поддельный веб-сайт, который очень похож на законный сайт. Это приводит к загрузке файла DMG, содержащего вредоносный сценарий оболочки. Когда скрипт запускается в терминале, он запускает загрузку и выполнение двоичного файла Poseidon Stealer. Чтобы обойти исследователей и меры безопасности, вредоносная программа оснащена функциями защиты от отладки, используя системный вызов ptrace() для определения того, выполняется ли ее отладка. Если он идентифицирует известные имена пользователей исследователя безопасности, он завершает работу, чтобы предотвратить дальнейший анализ.

Poseidon Stealer выполняет обширный сбор данных, включая учетные данные пользователя, файлы cookie, конфиденциальные файлы и системную информацию. Затем украденные данные упаковываются в zip-архив и отправляются на сервер управления (C2). Примечательно, что вредоносная программа включает в себя механизм фишинга, при котором пользователю предлагается ввести свои учетные данные для входа в систему. Если введена неверная информация, вредоносная программа будет повторно запрашивать пароль, что увеличивает шансы на успешный сбор учетных данных.

Атака, продемонстрированная Poseidon Stealer, подчеркивает постоянную угрозу, исходящую от пользователей macOS, в частности, с помощью обманчивых методов, которые используют доверие пользователей к законным веб-сервисам. Внедрение такого вредоносного ПО подчеркивает важность бдительности и упреждающих мер безопасности для защиты от изощренных фишинговых атак и попыток утечки данных.

#ParsedReport #CompletenessHigh
20-02-2025

Weak Passwords Led to (SafePay) RansomwareYet Again

https://www.nccgroup.com/us/research-blog/weak-passwords-led-to-safepay-ransomware-yet-again/

Report completeness: High

Threats:
Safepay
Screenconnect_tool
Qdoor
Upx_tool
Runpe_tool
Process_hollowing_technique
Blacksuit_ransomware
Credential_dumping_technique
Shadow_copies_delete_technique

Geo:
Belarusian, Azerbaijani, Georgian, Russian, Ukrainian

TTPs:
Tactics: 8
Technics: 14

IOCs:
Path: 3
IP: 1
File: 2
Command: 1
Hash: 3
Email: 2
Url: 1

Soft:
Windows Service, Microsoft Defender, bcdedit

Wallets:
safepay

Algorithms:
ecdh, sha1, chacha20, sha256, curve25519

Win API:
DllRegisterServer, DllUnregisterServer, CryptGenRandom

Platforms:
x86