#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакеры из КНДР используют двоичные файлы, скомпилированные с помощью Nim, и многоэтапные цепочки атак на Web3 и криптографические компании, используя специфичные для macOS методы, такие как внедрение процессов. Их вредоносное ПО обеспечивает сохраняемость с помощью уникальных обработчиков сигналов и взаимодействует через защищенные веб-сокеты, используя AppleScripts для первоначального доступа и фильтрации данных, включая извлечение учетных данных из связки ключей macOS.
-----

Хакеры из КНДР разработали сложную кампанию атак на Web3 и предприятия, связанные с криптографией, которые используют двоичные файлы, скомпилированные с помощью Nim, и различные многоэтапные цепочки атак. Их подход особенно примечателен тем, что в системах macOS используется внедрение процессов, что редко встречается в вредоносных программах, нацеленных на эту платформу. Злоумышленники используют зашифрованную удаленную связь через wss, защищенный протокол WebSocket, и внедрили уникальный механизм сохранения, который использует обработчики сигналов SIGINT/SIGTERM, что позволяет им сохранять сохранение, даже если вредоносное ПО будет удалено или система перезагрузится.

В основе их тактики лежит использование AppleScripts как для первоначального доступа, так и для последующей атаки в качестве легких маяков и бэкдоров. Злоумышленники используют скрипты Bash, предназначенные для извлечения конфиденциальных учетных данных из связки ключей macOS, данных браузера и пользовательской информации Telegram. На начальном этапе атак обычно используется стратегия социальной инженерии, при которой цели выдаются за пользователей Telegram и заманиваются для запуска вредоносного AppleScript, замаскированного под "сценарий обновления Zoom SDK". Этот скрипт сильно запутан и извлекает дополнительные скрипты с сервера управления (C2), выполняя основную функциональность вредоносного ПО.

В кампаниях используются различные языки программирования, в частности AppleScript, C++ и Nim. После первоначального запуска исполняемый файл Mach-O, скомпилированный на C++, записывает зашифрованную полезную информацию на диск, после чего загружаются сценарии Bash для фильтрации данных. Исполняемые файлы на основе Nim обеспечивают постоянство работы, удаляя дополнительные компоненты, которые обеспечивают долгосрочный доступ злоумышленников. Первый зараженный двоичный файл, в котором используется технология process injection, взаимодействует с C2 через wss, используя структурированный формат сообщений JSON, что позволяет ему отправлять и получать команды вместе с результатами выполнения.

Один из ключевых компонентов, CoreKitAgent, использует передовые стратегии обфускации, включая процедуры многоходового шифрования, что затрудняет аналитикам немедленное выявление вредоносных намерений. Способность вредоносного ПО реагировать на системные сигналы и выполнять действия асинхронно обеспечивает устойчивость к попыткам его уничтожения. Кроме того, вредоносная программа использует встроенный AppleScript, который периодически передает данные на серверы C2, что повышает ее скрытность во время операций.

#ParsedReport #CompletenessLow
02-07-2025

2025-06-29 - Supper is served

https://c-b.io/2025-06-29+-+Supper+is+served

Report completeness: Low

Actors/Campaigns:
Vice_society

Threats:
Supper_backdoor
Xorist
Interlock
Revshell_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.003, T1070.004, T1071.001, T1090.002, T1219, T1547.001

IOCs:
Path: 3
File: 9
IP: 3
Command: 1
Hash: 1

Algorithms:
xor

Functions:
rand

Win API:
LoadLibrary, FreeLibrary, WSAStartup, GetModuleFileNameA, WriteFile

Platforms:
x64

Links:
https://github.com/horsicq/Detect-It-Easy
https://github.com/AptAmoeba

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Supper - это сложный 64-разрядный бэкдор для Windows, функционирующий как троян удаленного доступа (RAT) и прокси-сервер SOCKS5, обнаруженный в июле 2024 года. Он поддерживает постоянный доступ через бесфайловую обратную оболочку и использует пользовательские протоколы и шифрование для обмена данными C2, обеспечивая потоковую безопасность и повторное выполнение в случае сбоя, демонстрируя повышенную сложность вредоносного ПО.
-----

Supper, также известная как "Interlock Rat", представляет собой сложную 64-разрядную утилиту для бэкдора и туннелирования Windows, которая действует как троян удаленного доступа (RAT), так и прокси-сервер SOCKS5. Первоначально обнаруженная в июле 2024 года, эта вредоносная программа предоставляет хакерам постоянный доступ к скомпрометированным системам, позволяя им направлять произвольный трафик через среду жертвы. Supper работает по пользовательскому протоколу, который характеризуется 12-байтовым заголовком, содержащим ключ шифрования, за которым следует 8-байтовая полезная нагрузка. Все команды, выполняемые Supper, обрабатываются через `cmd.exe`.

После запуска Supper интегрирует несколько ключевых компонентов для поддержания своей операционной эффективности. Сначала он ожидает, пока глобальный коммуникационный мьютекс обеспечит потокобезопасность, а затем инициирует взаимодействие со своим сервером управления (C2), используя идентификатор сеанса 0xFFFF. Вредоносная программа проверяет наличие пустой полезной нагрузки и, если ее нет, создает новый зашифрованный заголовок полезной нагрузки для отправки на C2. Этот процесс включает в себя этап проверки, чтобы убедиться, что текущий идентификатор сеанса находится в допустимых пределах, и в этом случае она отправляет полезную нагрузку и освобождает мьютекс.

Supper использует пользовательский потоковый шифр с отслеживанием состояния, который генерирует 4-байтовый ключ с помощью двух вызовов функции rand(). После подготовки этого ключа вредоносная программа пытается установить соединение с C2. Если подключение установлено успешно, он отправляет пакет подтверждения, указывающий на установленное заражение; этот пакет содержит магический заголовок 0xDF691155 и значение тайм-аута для связи, установленное на 300 секунд. После этого первоначального взаимодействия Supper переходит к поддержанию постоянства и выполнению команд.

Для обеспечения сохраняемости Supper использует бесфайловый подход для запуска обратной оболочки. Он запускает дочерний процесс, который перенаправляет операции ввода-вывода обратно на C2, не оставляя следов в файлах. В случае, если его основные процессы не будут инициализированы, Supper попытается выполнить повторное выполнение до трех раз, обрабатывая возможные сбои из-за проблем с сетью или взаимодействий с файловой системой. Если все попытки заканчиваются неудачей, Supper обращается к локальному файлу конфигурации, расположенному во временной директории пользователя, и расшифровывает его с помощью ключа, полученного из первых четырех байт файла. В этом процессе используется стратегия экспоненциального замедления, чтобы определить продолжительность ожидания между повторными попытками.

Благодаря своему сложному дизайну и возможностям Supper демонстрирует растущую сложность работы вредоносных программ. Всестороннее знание технических аспектов Supper может значительно повысить эффективность защиты от его функциональности и угроз, исходящих от связанных с ним хакеров, включая ранее известную группу Vanilla Tempest/Vice Society.

#ParsedReport #CompletenessMedium
01-07-2025

1. Overview

https://www.genians.co.kr/blog/threat_intelligence/suky-castle

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Clickfix_technique
Babyshark
Appleseed
Spear-phishing_technique
Quasar_rat

Victims:
Experts in korean diplomacy, security, and international politics, Defense research job seekers, Experts in the us security field, Military and political sector individuals

Industry:
Military, Education

Geo:
Asian, Dutch, North korea, Taiwan, German, North korean, Japan, Switzerland, Asia, Koreas, China, Germany, Russia, Iran, Korea, France, French, Vietnam, Korean

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1053.005, T1055, T1057, T1059.001, T1059.003, T1059.005, T1071.001, T1082, have more...

IOCs:
File: 11
Domain: 27
Command: 2
IP: 16
Hash: 16

Soft:
Google Chrome, curl

Algorithms:
md5

Languages:
visual_basic, autoit, php, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 9, code: 3, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Kimsuky использует тактику "ClickFix", чтобы обманом заставить пользователей выполнять вредоносные команды PowerShell с помощью поддельных запросов на обновление браузера. Кроме того, в их кампании "BabyShark" используются методы скрытого фишинга и сложные методы обфускации, использующие уязвимости и подменяющие рабочие платформы для доставки полезной информации. Рекомендации по защите включают усовершенствованные системы обнаружения конечных точек и интеграцию C2 insights в протоколы безопасности.
-----

С начала 2025 года группа компаний Kimsuky активно использует тактику атаки ClickFix, впервые выявленную Proofpoint в апреле 2024 года. Эта тактика нацелена на пользователей, посещающих взломанные веб-сайты, и выдает им вводящее в заблуждение сообщение об ошибке, имитирующее обновление браузера. Пользователей убеждают в том, что им необходимо устранить эту проблему, выполнив предоставленный код в PowerShell, что в конечном итоге активирует вредоносную полезную нагрузку. Исследователи отметили, что различные хакеры, в том числе из Северной Кореи, Ирана и России, использовали этот метод, демонстрируя психологическое манипулирование жертвами, заставляя их невольно выполнять вредоносные команды.

В сочетании с "ClickFix" группа Kimsuky также использовала кампанию "BabyShark", которая ознаменовалась внедрением новой тактики атаки с помощью скриптовых механизмов. В январе 2025 года группа провела масштабную фишинговую кампанию, направленную против экспертов в области корейской дипломатии, выдавая себя за журналиста, чтобы получить интервью, кульминацией которой стали вредоносные ссылки, замаскированные под анкеты. С тех пор эта тактика претерпела изменения; вредоносная полезная нагрузка обычно включает скрипты Visual Basic (VBS), выполняемые через PowerShell, которые инициируют обмен данными с серверами управления (C2).

Примечательно, что злоумышленники использовали методы обфускации в своих скриптах, накладывая команды на бессмысленные строки, чтобы избежать обнаружения программным обеспечением безопасности. Это стало очевидным, когда в контексте деятельности Kimsuky group был идентифицирован сервер C2, демонстрирующий, как внедряются передовые методы для обеспечения постоянства и сбора информации о пользователях с помощью запланированных задач.

Дальнейшая тактика включала случаи, когда платформы для поиска работы были подделаны для доставки вредоносной полезной информации с помощью всплывающих сообщений. Группа продемонстрировала гибкость в своих методах работы, используя различные серверы C2 и манипулируя сигналами в фишинговых сообщениях, при этом системы возвращают ложные сообщения, чтобы заманить жертв к совершению действий, которые компрометируют их системы.

Недавний пример тактики "ClickFix", обнаруженный в середине 2025 года, заключался в том, что пользователь выдавал себя за сайт корейского портала, предлагая пользователям выполнять команды PowerShell под видом настроек безопасности. Это включало в себя изощренный обман, который был разработан для того, чтобы спровоцировать загрузку дополнительных вредоносных программ и кражу пользовательской информации.

В конечном счете, очевидные уязвимости, используемые в ходе этих кампаний, выявляют сложную ситуацию с кибербезопасностью, поскольку Kimsuky работает с намерением эффективно манипулировать психологическими реакциями, обеспечивая при этом способы обхода инфраструктуры безопасности. Рекомендуемые средства защиты от этих развивающихся угроз включают внедрение усовершенствованных систем обнаружения и реагирования на конечные точки (EDR), способных распознавать атаки на основе сценариев и анализировать аномальное поведение, связанное с командами PowerShell. Более того, интеграция информации, полученной из EDR о коммуникациях C2, в брандмауэр и протоколы безопасности может помочь превентивно блокировать приток подобных хакеров.

#ParsedReport #CompletenessLow
02-07-2025

Report Title: Analysis of StealC V2 Malware

https://s2w.inc/en/resource/detail/863

Report completeness: Low

Actors/Campaigns:
Plymouth

Threats:
Stealc

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.001, T1059.003, T1071.001, T1105, T1497.003, T1555.003, T1567.002, have more...

Algorithms:
base64, rc4

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StealC V2 - это продвинутая вредоносная программа-инфокрад, которая отправляет конфиденциальные данные на сервер C2 для расшифровки на стороне сервера, используя динамическую конфигурацию и HTTP/S POST-запросы для уклонения. Его возможности включают кражу регистрационных данных, использование шифрования RC4 для обфускации и удаленное выполнение дополнительных вредоносных программ.
-----

StealC - это вредоносная программа для кражи информации на языке C, которая была впервые представлена пользователем, известным как "plymouth", на веб-форуме Deep & Dark в январе 2023 года. Вредоносная программа эволюционировала с выпуском StealC V2 в марте 2025 года, который содержал значительные улучшения, включая новую кодовую базу и инновационные возможности, такие как расшифровка файлов cookie браузера на основе Chromium на стороне сервера и механизм взлома пароля.

В отличие от своего предшественника, StealC V2 не выполняет расшифровку локально на зараженных компьютерах. Вместо этого он отправляет конфиденциальные данные, включая регистрационные данные, файлы cookie и главный ключ, на сервер управления и контроля (C2), где эта информация затем расшифровывается. Такой подход помогает избежать обнаружения антивирусным программным обеспечением в режиме реального времени, отправляя файлы с помощью нескольких HTTP-запросов, а не консолидируя данные локально, что сводит к минимуму риски потери данных. Кроме того, вредоносная программа поддерживает фрагментарную фильтрацию данных для больших файлов, что расширяет ее возможности по краже данных.

Операционная система StealC V2 включает в себя взаимодействие с сервером C2 для получения данных конфигурации, что позволяет злоумышленникам динамически определять цели для кражи информации. Вредоносная программа использует HTTP/S POST-запросы как для получения своей конфигурации, так и для передачи украденных данных, которые закодированы в формате Base64. Эта функция динамической настройки позволяет злоумышленникам изменять списки целей в режиме реального времени без необходимости изменять базовый код вредоносной программы.

StealC V2 включает в себя несколько методов обхода, направленных на предотвращение обнаружения с помощью мер безопасности. Он шифрует строки и имена WinAPI с помощью RC4, расшифровывая их во время выполнения, чтобы скрыть свои действия. Вредоносная программа также проверяет языковые настройки, чтобы обойти цели, обычно используемые правоохранительными органами, и использует временные ограничения, ограничивая выполнение определенными временными рамками. Интересно, что, хотя в предыдущих версиях были включены функции для обхода безопасных сред, в последней версии эта функция была удалена. Кроме того, предыдущие методы предотвращения повторного выполнения, по-видимому, стали неэффективными.

Наконец, вредоносная программа обладает способностью загружать и выполнять дополнительные вредоносные программы с помощью команд с сервера C2. Он может выполнять полезную нагрузку в виде PE-файлов, сценариев PowerShell и установщиков MSI, что позволяет злоумышленникам расширять свои вредоносные действия на скомпрометированных системах с помощью различных форм вредоносного ПО.

#ParsedReport #CompletenessLow
02-07-2025

Windows Shortcut (LNK) Malware Strategies

https://unit42.paloaltonetworks.com/lnk-malware/

Report completeness: Low

Victims:
Windows users

Geo:
Asia, Australia, Japan, Middle east, India

CVEs:
CVE-2010-2568 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_server_2003 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_vista (-)
- microsoft windows_xp (-)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.001, T1036.005, T1059.001, T1059.003, T1064, T1202, T1203, T1204.002, T1218.005, have more...

IOCs:
Path: 1
File: 12
Domain: 1
Hash: 10

Soft:
Microsoft Edge, Windows shell, Console Window Host, UNIX, Windows Explorer

Algorithms:
sha256, base64

Functions:
Get-Content

Languages:
javascript, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще используют файлы быстрого доступа Windows (LNK) для доставки вредоносных программ, количество вредоносных образцов увеличилось с 21 000 в 2023 году до более чем 68 000 в 2024 году. Ключевые методы включают использование уязвимостей, в частности CVE-2010-2568, и использование аргументов командной строки для выполнения сценариев с помощью cmd.exe и PowerShell. Кроме того, вредоносное ПО может быть скрыто в законных файлах LNK под видом "наложенного содержимого", что усложняет усилия по обнаружению.
-----

В последние годы злоумышленники все чаще используют файлы ярлыков Windows (LNK) в качестве механизма доставки вредоносных программ, а телеметрия указывает на значительное увеличение количества образцов вредоносных LNK-файлов с более чем 21 000 в 2023 году до более чем 68 000 в 2024 году. Файлы LNK, которые служат виртуальными ссылками на другие файлы, могут содержать вредоносный контент, но при этом казаться законными, что делает их эффективной тактикой обмана. Этот анализ основан на 30 000 выборках LNK и показывает, что этот тип вредоносного ПО можно разделить на четыре различных способа выполнения.

Один из распространенных методов заключается в использовании файлов LNK на основе эксплойтов, предназначенных для использования уязвимостей в компонентах операционной системы Windows. Наиболее часто используемая уязвимость была идентифицирована как CVE-2010-2568. Несмотря на то, что Microsoft исправила многие из этих эксплойтов в современных системах, некоторые из них все еще существуют, и аналитикам важно понять, как они могут запускать вредоносные действия сразу после открытия папки, содержащей зараженный файл LNK.

Другая категория вредоносных программ LNK состоит из файлов, которые непосредственно указывают на ранее существовавшие вредоносные скрипты или двоичные файлы в системе жертвы. Эти вредоносные файлы LNK сами по себе не содержат вредоносного кода; вместо этого они ссылаются на вредоносные файлы, такие как исполняемые файлы или скрипты, расположенные на диске жертвы, тем самым косвенно запуская вредоносное ПО. В анализе подчеркивается важность тщательной проверки свойств LNK, в частности целевых путей и аргументов командной строки, на предмет любых необычных записей, указывающих на потенциальные угрозы.

Тактика эксплуатации также распространяется на использование аргументов командной строки, которые могут вызывать различные интерпретаторы Windows, такие как cmd.exe или PowerShell. Эти команды могут выполнять встроенные сценарии или загружать дополнительные вредоносные программы из Интернета, часто используя методы обфускации, чтобы избежать обнаружения. Результаты исследования показывают, что более 80% вредоносных файлов LNK используют cmd.exe или PowerShell, а также различные методы, используемые для обфускации выполняемых команд, включая кодировку Base64 и вводящую в заблуждение сборку команд.

Более того, исследование выявило специфическую тенденцию, когда вредоносный контент может добавляться к легитимным файлам LNK в качестве "наложенного контента". В этом случае дополнительные вредоносные скрипты или двоичные файлы эффективно скрываются в структуре LNK, что позволяет им обходить основные методы обнаружения. Эта сложность требует от аналитиков тщательного изучения файлов LNK, особенно при работе со встроенными скриптами и их соответствующими аргументами командной строки, которые могут привести к удаленному выполнению кода с помощью интерпретаторов, таких как mshta.exe и команды PowerShell.

#ParsedReport #CompletenessLow
02-07-2025

Swiss Government Data Exposed Sarcoma Ransomware Hits Radix Contractor

https://www.secureblink.com/cyber-security-news/swiss-government-data-exposed-sarcoma-ransomware-hits-radix-contractor

Report completeness: Low

Threats:
Sarcoma
Supply_chain_technique
Spear-phishing_technique

Victims:
Radix, Swiss federal administration, Swiss government agencies, Individuals involved in government projects

Industry:
Healthcare, Government

Geo:
Switzerland

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1078, T1190, T1204, T1486, T1566.001

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака программы-вымогателя Sarcoma на Radix foundation выявила уязвимости в швейцарской системе кибербезопасности, особенно в защите сторонних подрядчиков. Злоумышленники использовали тактику двойного вымогательства, что привело к краже и утечке из даркнета 1,3 терабайт конфиденциальных данных, что вызвало опасения по поводу возросших рисков фишинга и мошенничества, направленных против затронутых лиц. Этот инцидент подчеркивает настоятельную необходимость улучшения управления рисками сторонних организаций и ужесточения протоколов безопасности в государственных ИТ-средах.
-----

Атака программы-вымогателя Sarcoma на Radix foundation, произошедшая 16 июня 2025 года, выявила значительные недостатки в системе кибербезопасности Швейцарии, особенно в отношении сторонних подрядчиков. Radix, некоммерческий фонд здравоохранения, с которым сотрудничают различные швейцарские федеральные ведомства, стал мишенью Sarcoma group, изощренной группы киберпреступников, известной своей тактикой двойного вымогательства. Этот подход сочетает шифрование данных с масштабной кражей данных, что вынуждает жертв рассматривать возможность оплаты из-за угрозы раскрытия общедоступных данных. Операции Sarcoma member характеризовались целенаправленными кампаниями фишинга и использованием незащищенных уязвимостей, что позволяет использовать средства удаленного доступа и кражу учетных данных.

В ходе атаки было изъято 1,3 терабайта конфиденциальных данных, которые впоследствии просочились в темную сеть после того, как Radix отказалась заплатить выкуп, требуемый злоумышленниками. Утечка данных включает финансовые отчеты, контракты, частную переписку и потенциально может включать личную информацию, относящуюся к лицам, участвующим в государственных проектах. Хотя Radix не имеет прямого доступа к государственным информационным системам, последствия утечки значительны, поскольку организация обрабатывает конфиденциальные государственные данные.

Последствия этого инцидента выходят за рамки отдельной организации, подчеркивая тревожную тенденцию в киберпреступной деятельности, нацеленной на сторонних поставщиков в обход государственных средств защиты. Это следует за аналогичным случаем, произошедшим в 2024 году с участием другого подрядчика, Xplain, который также подвергся атаке программ-вымогателей, что привело к значительному утечке данных из более чем 65 000 документов, включая секретные материалы.

В связи с инцидентом Radix Швейцарский национальный центр кибербезопасности (NCSC) активно работает над оценкой полной степени уязвимости и потенциального воздействия на различные государственные учреждения. Они предупредили о возросшем риске попыток фишинга, которые могут использовать утечку данных. Хотя компания Radix заверила, что нет никаких свидетельств того, что данные партнерской организации были скомпрометированы, продолжающееся расследование вызывает опасения по поводу фишинга, мошенничества и кражи личных данных, направленных против затронутых лиц.

Этот инцидент подчеркивает настоятельную необходимость улучшения управления рисками сторонних организаций в государственных ИТ-средах. Поскольку киберпреступники продолжают использовать слабые места в цепочках поставок, все чаще возникает необходимость в более строгих протоколах безопасности, регулярных проверках и обязательных мерах для быстрого обнаружения и реагирования со стороны подрядчиков и партнеров в государственном секторе.

#ParsedReport #CompletenessLow
02-07-2025

@mentalpositive s New macOS Stealer: AMOS Repackaged or a New Cyber Threat?

https://labs.k7computing.com/index.php/mentalpositives-new-macos-stealer-amos-repackaged-or-a-new-cyber-threat/

Report completeness: Low

Actors/Campaigns:
Mentalpositive

Threats:
Amos_stealer
Process_hollowing_technique

Victims:
Ledger live users, Metamask users, Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056.001, T1059.004, T1071.001, T1176, T1204.002, T1497.001, T1518, T1555.001, T1560.001, have more...

IOCs:
File: 2
Hash: 3

Soft:
macOS, Ledger Live, Telegram, Unix, Twitter

Wallets:
metamask

Algorithms:
zip

Functions:
kill

Languages:
objective_c, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый macOS stealer от MentalPositive, "macOS Stealer от MentalPositive", предназначен для пользователей Ledger Live и использует упрощение процессов Unix для обходных операций и запрашивает доступ администратора для сбора конфиденциальных данных. Он форматирует данные в "information.txt", используя HTTP-запросы с уникальными идентификаторами сборки для управления и эксфильтрации данных, имитируя системные диалоги, чтобы избежать обнаружения.
-----

Недавно обнаруженный macOS stealer, известный как "macOS Stealer от MentalPositive", нацелен на пользователей Ledger Live и, по-видимому, является вариантом Atomic macOS Stealer (AMOS), который появился в 2023 году. При первоначальном анализе возникают вопросы о том, является ли это новое вредоносное ПО просто ребрендингом AMOS или оно использует новые методы для повышения своей эффективности. AMOS отличилась своей способностью собирать широкий спектр данных от жертв, включая пароли, системные данные, данные о связках ключей и информацию о криптовалютном кошельке. Вирус распространялся через попытки фишинга, взломанные приложения и контрафактное программное обеспечение, имитирующее законные программы. После установки AMOS использовала средства запуска и подпольные фоновые процессы для скрытной работы, отправляя украденные данные по зашифрованным каналам и часто меняя серверы, чтобы избежать обнаружения.

В macOS Stealer от MentalPositive при запуске используются методы "опустошения" процессов Unix, позволяющие ему отключаться от управляющего терминала и избегать интерактивной отладки или обнаружения в изолированной среде. Он использует специальные системные вызовы для завершения процессов, связанных с терминалом, тем самым защищая его выполнение от вмешательства пользователя. Подобно AMOS, он запрашивает пароль администратора пользователя под видом законной системной операции, проверяя это с помощью локальных механизмов аутентификации. Если пароль подтвержден, вредоносная программа получает повышенные привилегии, необходимые для постоянных операций.

После сбора конфиденциальных данных, таких как имена пользователей, пароли и ключи от кошелька, вредоносная программа форматирует эту информацию в файл с надписью "information.txt", который содержит отличительную подпись для обозначения содержимого. Хакер расширил сферу своих атак, включив в нее более широкий спектр криптовалютных кошельков, извлекая исчерпывающие данные из популярных браузеров и связанных с ними расширений. Затем собранные данные сжимаются в единый архив перед удалением.

Примечательно, что вредоносная программа отправляет HTTP-запросы, содержащие уникальные идентификаторы сборки, такие как JENYA, SHELLS и BARNI, которые помогают хакеру управлять различными версиями или кампаниями. Перед завершением своей работы вредоносная программа имитирует поддельный системный диалог, чтобы отвлечь пользователей во время сбора данных.

Что касается различий, то AMOS использует передовые методы обфускации, что затрудняет анализ, в то время как код MentalPositive более прозрачен, что облегчает проверку. Оригинальный AMOS в основном создан на C++ и Go, что обеспечивает модульность и переносимость, в то время как новый stealer разработан с использованием Objective-C и Swift, с акцентом на собственные функциональные возможности macOS. Оба варианта вредоносных программ схожи в своем подходе к запросам административного доступа и сокрытию своих действий, включая использование обманчивых системных окон. Однако новый вариант находится на ранней стадии разработки и потенциально может дополниться более изощренными методами обхода в будущем.

По мере роста числа угроз для пользователей macOS крайне важна бдительность, особенно в отношении неизвестных исполняемых файлов. Пользователям рекомендуется использовать надежные решения для обеспечения безопасности, чтобы снизить риски, связанные с такими вредоносными программами-похитителями.

#ParsedReport #CompletenessLow
01-07-2025

Phishing Attack Targets Canadian Infrastructure on Canada Day

https://cyberarmor.tech/phishing-attack-targets-canadian-infrastructure-on-canada-day/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Construction & engineering firms, Energy providers, Plumbing and hvac services, Infrastructure contractors, Personnel from critical infrastructure, Municipal services, Private contractors

Industry:
Critical_infrastructure, Energy

Geo:
Quebec, Canada, Canadian

ChatGPT TTPs:
do not use without manual check
T1078, T1192, T1566.001, T1566.002