#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры все чаще используют законные средства удаленного доступа (RAT), такие как ConnectWise, Atera и FleetDeck, в злонамеренных целях, используя такие тактики, как фишинг и социальная инженерия, для установки этих средств на компьютеры жертв с целью дальнейших атак и кражи учетных данных. В 2024 году на ConnectWise RAT пришлось 56% сообщений об угрозах, а гибкий испытательный период Atera позволяет проводить более длительные кампании. Злоупотребление RATs свидетельствует о появлении новых хакеров и проблемах с защитой от кибербезопасности.
-----

хакеры часто используют законные средства удаленного доступа (RAT), злонамеренно внедряя их на ничего не подозревающих жертвах, что отличает эти средства от традиционных троянов удаленного доступа. Как только RAT устанавливается на компьютер жертвы, он может облегчить дальнейшую загрузку вредоносных программ или обеспечить мониторинг конфиденциальной информации, такой как учетные данные. В этом отчете подчеркивается растущее злоупотребление RATs, с акцентом на конкретные примеры, такие как ConnectWise RAT, Atera и FleetDeck, а также связанные с ними тактики, методы и процедуры (TTP).

ConnectWise RAT, известный легальный инструмент удаленного доступа, был признан наиболее часто используемым, на его долю пришлось 56% сообщений об активных угрозах (ATR) в 2024 году. Кампании, использующие этот RAT, включают в себя подделку электронных писем от Администрации социального обеспечения и files.fm часто нацелены на пользователей, связанных с финансами. ConnectWise обеспечивает простоту развертывания, включая 14-дневную бесплатную пробную версию, которой злоумышленники часто злоупотребляют. Инструмент может генерировать исполняемые файлы Windows, используемые для установки, а его связь по умолчанию осуществляется через порт 8041. Примечательно, что в его кампаниях часто используются электронные письма, созданные в социальных сетях, которые обманом заставляют пользователей загружать установщик ConnectWise RAT, замаскированный под законное приложение.

Atera - это еще один RAT, который сочетает в себе функции удаленного мониторинга и управления и интегрируется с такими популярными RAT, как Splashtop. Гибкая 30-дневная пробная версия программы дает хакерам время для проведения расширенных кампаний. Агенты Atera генерируют значительный сетевой трафик через различные конечные точки API, что потенциально позволяет осуществлять эффективную коммуникацию между командами и контролерами (C2). Отслеживание показывает, что этот инструмент использовался в кампаниях по подделке уведомлений бразильского суда по трудовым спорам и привел к серии вредоносных электронных писем, предназначенных для португалоязычных пользователей.

Реже FleetDeck представляет собой специализированное решение, которое завоевало популярность среди хакеров, особенно учитывая отсутствие последних обновлений и технического обслуживания с 2022 года. Инфраструктура FleetDeck известна тем, что облегчает коммуникации C2, и ее кампании часто включают фишинговые электронные письма о неоплаченных счетах, пытаясь убедить получателей в том, что для доступа к необходимым документам требуется инструмент, связанный с Adobe.

Другие RAT, такие как LogMeIn Resolve, Gooxion, PDQ Connect и другие, были определены в рамках отдельных кампаний, посвященных различным темам — от финансов до доставки — на нескольких языках. В совокупности эти наблюдения иллюстрируют многогранность и риск RATs в хакерской среде, поскольку угрозы постоянно развиваются, а злоумышленники переключаются между инструментами, основанными на доступности и предполагаемой легитимности, что усугубляет проблемы защиты кибербезопасности.

#ParsedReport #CompletenessLow
01-06-2025

Fake Course, Real Threat: Learning a Phishing Lesson the Hard Way

https://cofense.com/blog/fake-course-real-threat-learning-a-phishing-lesson-the-hard-way

Report completeness: Low

Victims:
Coursera users, Facebook users, Online learning platform users

ChatGPT TTPs:
do not use without manual check
T1114, T1192, T1204.001, T1566.001, T1589.002

IOCs:
Url: 2
IP: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на пользователей платформ онлайн-обучения, таких как Coursera, путем подделки электронных писем с приглашениями, перенаправления пользователей на поддельную страницу входа в систему. Этот метод использует логины в социальных сетях для кражи учетных данных и отправки их на сервер управления.
-----

Недавняя фишинговая кампания, выявленная Центром защиты от фишинга Cofense (PDC), использует популярность платформ онлайн-обучения, в частности, для пользователей таких сервисов, как Coursera. Этот сложный подход использует привлекательность онлайн-курсов, чтобы обманом заставить жертв предоставить свои учетные данные. Изначально фишинговая программа пытается подделать законную платформу Coursera, рассылая приглашения пользователям, что делает ее надежным источником. Однако вместо того, чтобы направлять пользователей на реальный веб-сайт, она перенаправляет их на поддельную страницу входа в систему под видом входа через Facebook.

Когда пользователи нажимают кнопку "Зарегистрироваться", им предлагается воспользоваться знакомым интерфейсом, который предлагает им войти в Coursera, используя свои учетные записи Facebook, используя удобство входа в социальные сети в качестве тактики для повышения вероятности фишинга учетных данных. Если жертвы продолжают, им открывается поддельная страница входа в Facebook, на которой запрашивается номер их мобильного телефона или адрес электронной почты вместе с паролем. Этот метод не только имитирует подлинный процесс входа в систему, но и перенаправляет украденные учетные данные на сервер управления (C2) хакера.

В рамках этой кампании хакеры демонстрируют использование мультиплатформенного спуфинга и использование интереса пользователей к возможностям бесплатного обучения, сочетая социальную инженерию с техническими манипуляциями для кражи учетных данных. По мере развития хакеров такие стратегии фишинга, вероятно, будут распространяться все шире, что подчеркивает важность бдительности пользователей. Рекомендации для пользователей включают проверку подозрительных электронных писем, включение двухфакторной аутентификации (2FA), где это возможно, и сообщение о любых сомнительных сообщениях в ИТ-отделы.

#ParsedReport #CompletenessLow
02-06-2025

Glitch-hosted Phishing Uses Telegram & Fake CAPTCHAs to Target Navy Federal Credit Union Customers

https://www.netskope.com/blog/glitch-hosted-phishing-uses-telegram-fake-captchas-to-target-navy-federal-credit-union-customers

Report completeness: Low

Threats:
Fakecaptcha_technique
Glitch

Victims:
Navy federal credit union members, T-mobile accounts, Companies email users, Credit card holders, Other banks customers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1071.001, T1111, T1140, T1204, T1566.002, T1567.002

IOCs:
Url: 200

Soft:
Telegram, Node.js, AWS Amplify

Algorithms:
exhibit

Win API:
sendMessage

Languages:
javascript

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/Glitch

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Участились фишинговые кампании с использованием платформы Glitch, в первую очередь нацеленные на членов Федерального кредитного союза Navy, которые используют ее возможности для быстрого развертывания фишинговых страниц. Злоумышленники крадут конфиденциальные данные через Telegram и используют поддельные капчи, чтобы избежать обнаружения.
-----

Лаборатория Netskope Threat Labs выявила значительное увеличение числа фишинговых атак с использованием платформы Glitch в период с января по апрель 2025 года. Кампании были нацелены в первую очередь на членов Федерального кредитного союза Navy, затронув более 830 организаций и более 3000 пользователей. Злоумышленники стремятся украсть конфиденциальную информацию, такую как учетные данные для входа в систему электронной почты и банковских услуг, а также данные кредитной карты. Примечательным аспектом этих фишинговых операций является использование Telegram для сбора данных, включая одноразовые пароли (OTP), что позволяет им обходить многофакторную аутентификацию (MFA).

Платформа для размещения веб-приложений Glitch позволяет пользователям создавать и развертывать приложения непосредственно из браузеров. Злоумышленники используют возможности Glitch для бесплатного размещения фишинговых страниц, используя такие функциональные возможности, как функция "Remix", для быстрого создания уникальных поддоменов. Такая гибкость позволяет им в течение нескольких минут предпринимать многочисленные попытки фишинга, нацеливаясь не только на Федеральный кредитный союз ВМС, но и на аккаунты T-Mobile и различные компании для получения конфиденциальной информации о электронной почте и кредитных картах.

Методология фишинга включает в себя ввод страницы для входа в систему, на которой жертвы вводят свои имена пользователей и пароли. Злоумышленники собирают дополнительные данные, такие как общедоступные IP-адреса и информацию о геолокации, с помощью JavaScript, которые отправляются им через Telegram. После получения учетных данных злоумышленники запрашивают у жертвы OTP-сообщение, отправленное на ее телефон. После ввода эта информация передается через Telegram, что предоставляет злоумышленникам несанкционированный доступ к учетным записям жертвы.

Кроме того, многие фишинговые кампании теперь включают в себя вводящие в заблуждение элементы, такие как поддельные капчи, чтобы предотвратить обнаружение статическими веб-сканерами. Поддельная капча предназначена для того, чтобы ввести жертв в заблуждение, заставив их думать, что они должны пройти проверку. Этот скрипт заменяет флажок на счетчик, который при нажатии перенаправляет жертвы непосредственно на фишинговую полезную информацию. Распространенность поддельных капч в фишинговых атаках указывает на то, что киберпреступники используют новую тактику сокрытия своих операций.

#ParsedReport #CompletenessMedium
02-06-2025

VIPERSOFTX is attacked by cryptocurrency users

https://asec.ahnlab.com/ko/88265/

Report completeness: Medium

Threats:
Vipersoftx
Quasar_rat
Tesseract_stealer
Purecryptor
Purehvnc_tool
Clipbanker

Victims:
Cryptocurrency users

Geo:
Korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1043, T1053.005, T1056.001, T1059.001, T1105, T1113, T1204.002, have more...

IOCs:
Hash: 5
Url: 5
IP: 5

Soft:
task scheduler, Chrome, Opera, Opera GX, Firefox, Vivaldi, Chrome Canary

Algorithms:
md5, base64, aes

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники VIPERSOFTX распространяют вредоносное ПО для кражи криптовалют, используя скрипты PowerShell для установки дополнительных полезных программ, таких как Quasar RAT и TesserActStealers. Их тактика заключается в маскировке вредоносного ПО под законное программное обеспечение, манипулировании данными из буфера обмена для перенаправления средств и использовании различных методов удаленного доступа и утечки данных.
-----

Злоумышленники VIPERSOFTX распространяют вредоносное ПО, предназначенное для кражи криптовалюты. Вредоносное ПО VIPERSOFTX позволяет выполнять команды и извлекать информацию о криптовалюте. Похитители TesserActStealers используют Quasar RAT для удаленного доступа и извлечения данных с помощью распознавания текста с открытым исходным кодом. Злоумышленники устанавливают скрипты PowerShell на взломанные системы для загрузки дополнительной полезной информации. Эти скрипты выполняют различные вредоносные функции и устанавливают Quasar RAT, который обычно используется для доступа к криптовалютным кошелькам. VIPERSOFTX маскирует вредоносное ПО под взломы или кейгены, чтобы воспользоваться доверием пользователей. К методам распространения относятся торрент-сайты и вредоносные электронные письма. Взломанные системы устанавливают запланированные задачи для выполнения вредоносных скриптов PowerShell. Скрипты часто расшифровывают и выполняют закодированные команды для дальнейших действий. Загрузчики используют DNS-запросы для получения конфигураций сервера управления (C&C). Вредоносная программа защищает содержимое буфера обмена, перехватывая адреса криптовалютных кошельков и изменяя их для перенаправления средств. VIPERSOFTX использует Quasar RAT для регистрации ключей и поиска информации об учетной записи. PureCryPter используется для доставки полезной информации и уклонения от нее; Purehvnc используется для контроля зараженных систем. VIPERSOFTX использует для пользователей криптовалют сложные вредоносные программы для кражи данных.

#ParsedReport #CompletenessLow
02-06-2025

Victims risk AsyncRAT infection after being redirected to fake Booking.com sites

https://www.malwarebytes.com/blog/news/2025/06/victims-risk-asyncrat-infection-after-being-redirected-to-fake-booking-sites

Report completeness: Low

Threats:
Asyncrat
Fakecaptcha_technique

Victims:
Individuals, Travelers, Online users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1056.001, T1059.001, T1071.001, T1105, T1204.001, T1216.001, T1219, T1566.002

IOCs:
Command: 2
File: 4
Domain: 14

Soft:
Chrome

Functions:
JavaScript

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники размещают вводящие в заблуждение ссылки на игровых платформах и в социальных сетях, что приводит пользователей на мошеннические сайты, похожие на Booking.com, которые используют поддельные капчи для получения доступа к буферу обмена. Эта манипуляция позволяет загружать бэкдор.AsyncRAT - вредоносная программа, позволяющая удаленно управлять зараженными устройствами и представляющая значительную угрозу безопасности. Пользователям следует избегать выполнения подозрительных инструкций и использовать антивирусные решения для защиты от подобных угроз.
-----

Недавние действия киберпреступников были сосредоточены на манипулировании ссылками на игровых веб-сайтах и в социальных сетях, особенно с помощью спонсорской рекламы, с целью перенаправления пользователей на мошеннические сайты, маскирующиеся под Booking.com. Эта тактика основана на том факте, что значительная часть путешественников (40%) используют обычный онлайн-поиск для бронирования, что создает возможности для мошенников. Как только пользователи переходят по этим обманчивым ссылкам, они попадают на сайты, содержащие поддельную капчу. Эта капча предлагает пользователям предоставить доступ к буферу обмена, что фактически позволяет сайту использовать их данные в буфере обмена.

Существенный риск заключается в вредоносной природе этих поддельных CAPTCHAs, при помощи которых пользователей обманом заставляют копировать определенный контент, который им предлагается вставить в диалоговое окно запуска Windows. Если пользователь выполнит это требование, может открыться окно PowerShell, позволяющее загрузить и запустить файл с именем ckjg.exe. Этот файл, в свою очередь, загружает и запускает другой файл с именем Stub.exe, который был идентифицирован Malwarebytes и ThreatDown как черный ход.AsyncRAT. Эта вредоносная программа функционирует как инструмент удаленного доступа (RAT), позволяющий злоумышленнику получить удаленный контроль над зараженным устройством, создавая серьезную угрозу конфиденциальности и безопасности пользователей.

Чтобы снизить угрозу, создаваемую подобными мошенническими действиями, пользователям рекомендуется воздерживаться от выполнения любых инструкций, генерируемых подозрительными веб-сайтами, без тщательного изучения. Крайне важно использовать активные средства защиты от вредоносных программ, которые могут блокировать вредоносные веб-сайты и скрипты. Кроме того, рекомендуется использовать браузерные расширения, предназначенные для предотвращения доступа к вредоносным доменам и мошенничеству. В документе о функциях JavaScript была обнаружена одна конкретная уязвимость.execCommand(копия), которая отвечает за доступ к буферу обмена; отключение JavaScript может снизить этот риск, хотя это может затруднить работу многих законных веб-сайтов. Использование различных браузеров для различных целей также может повысить безопасность пользователей при навигации по онлайн-угрозам.

#ParsedReport #CompletenessMedium
02-06-2025

Attacker exploits misconfigured AI tool to run AI-generated payload

https://sysdig.com/blog/attacker-exploits-misconfigured-ai-tool-to-run-ai-generated-payload/

Report completeness: Medium

Threats:
Processhider
T-rex
Xmrig_miner

Victims:
Open webui users, Sysdig customer training system

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1059.006, T1071.001, T1078.001, T1105, T1140, T1176, T1190, have more...

IOCs:
File: 26
Url: 4
Coin: 2
IP: 1
Hash: 10

Soft:
Linux, Discord, ChatGPT, systemd, Chrome

Crypto:
monero, ravencoin

Algorithms:
base64, kawpow, xor, sha256

Functions:
kill_miners, boot, ProcessBuilder

Win API:
IsProcessorFeaturePresent, IsDebuggerPresent

Languages:
javascript, java, python, perl, powershell

Platforms:
cross-platform

Links:
https://github.com/open-webui/open-webui/blob/4ce1e88750c6da2f94b834697902ceb9f5524726/src/lib/components/workspace/Tools/ToolkitEditor.svelte#L50
https://github.com/htr-tech/PyObfuscate/tree/master

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали неправильно настроенную открытую систему WebUI, предоставив несанкционированный доступ для выполнения вредоносных сценариев Python, созданных с помощью искусственного интеллекта, которые были нацелены на Linux и Windows. Вредоносная программа использовала криптоминеры (T-Rex, XMRig) и методы обфускации, в том числе веб-браузер Discord для C2, в то время как инфокрады были нацелены на кражу учетных данных. Атака подчеркнула необходимость многоуровневого обнаружения угроз для защиты от таких уязвимостей.
-----

Недавняя атака на неправильно сконфигурированную систему Open WebUI выявила значительные хакерские атаки, используемые злоумышленниками. Open WebUI, приложение с интерфейсом искусственного интеллекта, которое расширяет возможности large language models (LLM), было непреднамеренно размещено в Интернете, что позволило получить несанкционированный доступ с правами администратора из-за отсутствия аутентификации. Эта неправильная настройка позволила злоумышленникам загрузить и запустить вредоносный скрипт на Python, созданный с помощью искусственного интеллекта, используя открытые инструменты WebUI. Вредоносная полезная нагрузка была разработана для платформ Linux и Windows.

Злоумышленники вставили запутанный код на Python в открытый WebUI, который был тщательно закодирован с использованием метода, называемого "pyklump". После выполнения этот код в первую очередь был нацелен на загрузку криптоминеров, в частности T—Rex и XMRig, использующих методы обфускации для обхода механизмов обнаружения. В ходе атаки также использовался веб-интерфейс Discord для управления (C2), облегчающий фильтрацию данных с помощью структурированных полезных данных. Полезная нагрузка была специально нацелена на майнинг криптовалют Monero и Kawpow путем подключения к определенным пулам майнинга.

Для систем Linux вредоносный скрипт скомпилировал две встроенные программы на C, которые использовались для сокрытия процессов криптодобычи с помощью библиотеки processhider. Эта библиотека позволяла скрыть вредоносные действия от стандартных системных утилит, отфильтровав жестко заданное имя процесса "systemd". Кроме того, постоянство было достигнуто с помощью службы systemd, маскирующейся под законную службу с именем "ptorch_updater"..

На стороне Windows путь атаки расходился с функциональностью "start_miner", который не только инициировал процесс майнинга, но и установил Java Development Kit (JDK) для запуска вторичного вредоносного Java-приложения, загруженного с внешнего сервера. Этот загрузчик Java был разработан для поддержания дальнейшей вредоносной функциональности, избегая проверок безопасности с помощью флагов командной строки, которые отключают мониторинг и проверку.

Тактика хакеров включала в себя использование инфокрадов, способных красть учетные данные из веб-браузеров и коммуникационных платформ, таких как Discord. Пытаясь перехватить токены аутентификации Discord, злоумышленники использовали украденную информацию для дальнейшего проникновения в среду жертв. Этот сложный уровень атаки подчеркнул растущую тенденцию использования искусственного интеллекта и сложных методов написания сценариев для разработки более быстрого и эффективного вредоносного ПО.

Несмотря на сложный характер атаки, ее обнаружение было достигнуто благодаря решениям безопасности Sysdig, которые выявили множество угроз во время выполнения, включая создание вредоносных общих объектов и поиск подозрительных доменов. Этот инцидент подчеркнул, что случайные неправильные настройки, особенно в системах, подключенных к Интернету, представляют собой серьезные риски, что требует применения надежных многоуровневых стратегий обнаружения угроз для защиты от таких появляющихся хакеров.

#ParsedReport #CompletenessLow
02-06-2025

Malicious npm Packages Target BSC and Ethereum to Drain Crypto Wallets

https://socket.dev/blog/malicious-npm-packages-target-bsc-and-ethereum

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Cryptocurrency users

Industry:
Financial, Petroleum

Geo:
Russian

TTPs:

IOCs:
Email: 1
File: 11
Coin: 1

Soft:
Node.js, Outlook

Crypto:
ethereum

Functions:
getEnv, getNodeUrl, validateToken

Languages:
javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4