#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Наши исследователи недавно обнаружили локализованные вспышки нового варианта USB-червя PlugX - разновидности вредоносного ПО с черным ходом, известного как троян удаленного доступа (RAT) китайского происхождения. В августе 2022 года новый штамм был впервые замечен в Папуа-Новой Гвинее, а в январе последовали новые вспышки в Гане, Монголии, Зимбабве и Нигерии. Этот вариант имеет уникальную полезную нагрузку и связан с командно-контрольным сервером, который ранее считался лишь слабо связанным с PlugX.

PlugX - это распространенная форма вредоносного ПО, которая использует боковую загрузку DLL для распространения и захвата контроля над системами. Предупреждение CryptoGuard, вероятно, вызванное утечкой данных, выявило заражение, которое состоит из чистого исполняемого файла, вредоносных DLL и зашифрованной полезной нагрузки. Вредоносные библиотеки DLL загружаются в чистый загрузчик, и зараженный каталог под названием RECYCLER.BIN содержит украденные и зашифрованные файлы с обфусцированными именами base64. Затем активность C2 достигает нескольких вариантов IP-адреса 45.142.166.112. Этот адрес ранее ассоциировался с группой угроз Mustang Panda или PKPLUG, а полезной нагрузкой является PlugX.

Эта версия PlugX называется 20190301h и обладает функцией USB-червя, который скрывает свое вредоносное содержимое от пользователей. Он маскируется под другой съемный диск и устанавливает скрытые и системные атрибуты для других файлов и каталогов. Червь также загружает файл desktop.ini, который ассоциирует каталог RECYCLER.BIN с функцией Recycle в Windows. Для утечки данных вредоносная программа собирает файлы .doc, .docx, .xls, .xlsx, .ppt, .pptx и .pdf размером до 314572800 байт и шифрует их перед сохранением в каталоге RECYCLER.BIN с обфусцированными base64 именами.

Появление этого нового варианта PlugX подчеркивает необходимость бдительности, когда дело доходит до выявления и реагирования на киберугрозы. Исследователи Sophos сделали подробные записи о IoCs, связанных с этим инцидентом, и разместили их на нашем GitHub. Поскольку мы наблюдаем все больше заражений в отдаленных регионах, важно оставаться в курсе постоянно меняющихся тактик, используемых злоумышленниками, и различных решений безопасности, доступных для защиты от них.

#ParsedReport
10-03-2023

DUCKTAIL: Threat Operation Re-emerges with New LNK, PowerShell, and Other Custom Tactics to Avoid Detection

https://www.deepinstinct.com/blog/ducktail-threat-operation-re-emerges-with-new-lnk-powershell-and-other-custom-tactics-to-avoid-detection

Threats:
Ducktail_stealer
Doenerium
Vidar_stealer

Industry:
Financial, Transport

TTPs:
Tactics: 6
Technics: 10

IOCs:
Hash: 124
File: 12
Path: 1
Domain: 11

Softs:
net core, telegram, discord

Links:
https://github.com/deepinstinct/DuckTail\_IOCs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносные программы DUCKTAIL действуют с 2022 года, когда они были впервые замечены группой исследования угроз компании WithSecure. Первоначальное заражение начинается с вредоносного LNK, который выполняет PowerShell для загрузки вредоносного ПО, размещенного на общедоступном файлообменном сервисе. С октября 2022 года по декабрь 2022 года Deep Instinct наблюдал за операцией, экспериментирующей с изменением своего пользовательского вредоносного ПО с архива, содержащего вредоносный исполняемый файл, на архив, содержащий вредоносный LNK-файл. Во время этой экспериментальной фазы угрожающий субъект использовал свои собственные вредоносные программы .NET, а также товарные вредоносные программы, такие как Doenerium и Vidar stealer.

В декабре 2022 года Deep Instinct наблюдал возвращение операции DUCKTAIL с цепочкой заражений, объединяющей все их эксперименты, а конечной полезной нагрузкой снова была пользовательская вредоносная программа с еще одним новым действительным сертификатом. Эта вредоносная программа предназначена для кражи файлов cookie браузера и их эксфильтрации через Telegram, специально нацеливаясь на учетные записи Facebook Ads. Если сессионный cookie Facebook найден, вредоносная программа проверяет, является ли аккаунт бизнес-аккаунтом, и пытается добавить электронную почту атакующего в качестве администратора и финансового редактора.

Неясно, что делают субъекты угроз, получив доступ к бизнес-аккаунтам Facebook Ads. WithSecure наблюдала мошенничество в Facebook для бренда AICOOK, в то время как страницы DUCKTAIL в Facebook называются AICOK. Также были отмечены случаи дропшиппинга, партнерских программ, продаж под белой маркой и других схем получения дохода с украденных аккаунтов.

В целом, угроза DUCKTAIL продолжает развиваться и обновлять свою тактику, чтобы оставаться незамеченной и финансово успешной. Важно, чтобы организации не теряли бдительности и знали об этих угрозах, чтобы не стать их жертвами.

#ParsedReport
10-03-2023

Netcat Attack Cases Targeting MS-SQL Servers (LOLBins)

https://asec.ahnlab.com/en/49249

Threats:
Netcat_tool
Lolbin_technique
Remcos_rat
Tzw_ransomware
Cobalt_strike
Rasmanpotato
Stowaway_tool
Beacon
Juicypotato_tool
Badpotato_tool
Sweetpotato_tool
Teamviewer_tool
Xshell_tool
Hook
Trojan/win.generic.r5390221
Trojan/win.generic.r5388505
Malware/win32.generic.r4386013
Trojan/win.etwbypass.xm161

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 11
Path: 9
IP: 1
Hash: 8
Coin: 1

Softs:
ms-sql, winscp, (event tracing for windows)

Functions:
EtwEventWrite

Win API:
EtwEventWrite

Links:
https://github.com/uknowsec/SharpDecryptPwd
https://github.com/ph4ntonn/Stowaway
https://github.com/crisprss/RasmanPotato
https://github.com/Sentinel-One/CobaltStrikeParser

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

ASEC (AhnLab Security Emergency response Center) недавно обнаружил распространение вредоносной программы Netcat, нацеленной на плохо управляемые серверы MS-SQL. Эта утилита позволяет пользователям отправлять и получать данные по сети через протокол TCP/UDP и может использоваться как на платформах Linux, так и Windows. При использовании в качестве удаленной оболочки она позволяет субъекту угрозы получить контроль над целевыми системами. ASEC отслеживает эти атаки, и ежеквартально публикуется статистика, включающая количество атак и тип используемого вредоносного ПО.

Плохо управляемые серверы MS-SQL обычно имеют простые учетные данные и открыты для внешнего доступа, что делает их идеальными целями для атак методом грубой силы или по словарю. Если внешнему угрожающему субъекту удается получить доступ, он может установить вредоносное ПО или выполнить вредоносные команды. В текущей анализируемой среде были обнаружены журналы, показывающие попытки установки Remcos RAT и tzw ransomware, однако недавно обнаруженные атаки отличаются тем, что набор инструментов используется непрерывно до тех пор, пока атака не увенчается успехом. Эти инструменты созданы китайскими разработчиками и опубликованы на GitHub, что указывает на то, что участники атаки, создающие угрозы, могут быть знакомы с языком.

Угрожающий агент сначала попытался получить контроль над зараженной системой с помощью нескольких экземпляров Cobalt Strike, но их выполнение было заблокировано продуктом V3. Затем они переключились на использование Netcat, который проще в использовании, но все еще способен установить обратный shell. Кроме того, был установлен инструмент повышения привилегий под названием RasmanPotato, а также SharpDecryptPwd, инструмент командной строки, используемый для сбора и отображения учетных данных. Наконец, Stowaway, инструмент прокси, использовался угрозой для доступа к внутренней сети и другим системам в той же сети, что и зараженная система.

#ParsedReport
10-03-2023

Stealing the LIGHTSHOW (Part One) North Korea's UNC2970

https://www.mandiant.com/resources/blog/lightshow-north-korea-unc2970

Actors/Campaigns:
Unc2970 (motivation: cyber_espionage)
Unc577
Dream_job
Unc4034
Tick

Threats:
Touchmove
Sideshow
Touchshift
Plankwalk
Tightvnc_tool
Lidshift_rat
Beacon
Lidshot
Dll_sideloading_technique
Touchshot
Touchkey
Hookshot
Hook
Process_injection_technique
Timestomp_technique
Cloudburst

Geo:
Korea, Dprk, Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 13
Path: 7
Registry: 1
Hash: 14
Url: 13

Softs:
microsoft word, wordpress, microsoft intune management extension, azuread, azure ad, active directory, azure active directory, "microsoft enhanced cryptographic provider

Algorithms:
zip, base64, xor

Functions:
OpenSSL, CreateProccess

Win API:
VirtualAlloc, EnumDisplaySettingsExW, GetSystemMetrics, GetDC, ReleaseDC, DeleteFile

Languages:
php

Platforms:
x86, x64

Links:
https://gist.github.com/wdormann/fca29e0dcda8b5c0472e73e10c78c3e7

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Mandiant отслеживает подозреваемую северокорейскую шпионскую группу, известную как UNC2970, с июня 2022 года. Эта группа нацелена на организации СМИ США и Европы с помощью целевого фишинга с темой найма на работу, а недавно перешла на нацеливание на пользователей непосредственно в LinkedIn, используя поддельные учетные записи, изображающие в качестве рекрутеров. Компания Mandiant заметила, что UNC2970 использует три новых семейства кодов: TOUCHMOVE, SIDESHOW и TOUCHSHHIFT во время своей работы.

Mandiant отреагировал на многочисленные вторжения UNC2970, нацеленные на американские и европейские СМИ, с помощью целевого фишинга, в котором использовалась тема найма на работу. Наиболее важные факты: UNC2970 сначала взаимодействовал с целями через LinkedIn, маскируясь под рекрутеров, а затем перевел разговор в WhatsApp. UNC2970 рассылал фишинговые полезные нагрузки, в основном используя документы Microsoft Word, встроенные в макросы для выполнения удаленной инъекции шаблона. Серверы C2, используемые UNC2970 для удаленного внедрения шаблонов, в основном были скомпрометированы сайтами WordPress. UNC2970 вернулся в WhatsApp, чтобы атаковать свои цели. ZIP-файл, предоставленный UNC2970, содержал файл ISO, который включал троянскую версию TightVNC. LIDSHIFT имеет возможность рефлективно внедрять зашифрованную DLL в память, которая действует как загрузчик (LIDSHOT). LIDSHOT отправляет перечисление системы и загружает/выполняет шелл-код с C2 обратно на свой C2.

Mandiant наблюдал, как UNC2970 развертывает PLANKWALK, чтобы закрепиться в окружающей среде. PLANKWALK — это бэкдор, написанный на C++, который обменивается данными через HTTP и использует несколько уровней боковой загрузки DLL для выполнения зашифрованной полезной нагрузки. Mandiant также заметила, что UNC2970 использует для достижения своих целей широкий спектр настраиваемых инструментов после эксплуатации, включая TOUCHSHOT, вредоносный дроппер, который маскируется под mscoree.dll или netplwix.dll; TOUCHKEY — кейлоггер, фиксирующий нажатия клавиш и данные буфера обмена; HOOKSHOT, туннелер, который использует статически связанную реализацию OpenSSL для обратной связи со своим C2; TOUCHMOVE, загрузчик, который расшифровывает файл конфигурации и полезную нагрузку и выполняет их; и SIDESHOW, бэкдор, написанный на C/C++, который обменивается данными через HTTP-запросы POST со своим C2-сервером.

Microsoft Intune использовался для развертывания вредоносных программ на хостах в среде из-за отсутствия решения VPN для удаленных машин. Вредоносные сценарии PowerShell использовались для декодирования и сброса полезной нагрузки CLOUDBURST в кодировке Base64 на диск. CLOUDBURST — это загрузчик, написанный на C, который взаимодействует через HTTP и содержит поддельные экспорты. CLOUDBURST проводит опрос хостов, загружает и выполняет шелл-код с сервера C2.

Выявленные инструменты вредоносных программ указывают на продолжающуюся разработку вредоносных программ и развертывание новых инструментов UNC2970. Хотя группа ранее нацеливалась на оборону, средства массовой информации и технологические отрасли, нацеливание на исследователей в области безопасности предполагает изменение стратегии или расширение ее деятельности. Технические индикаторы и группы TTP связывают его с TEMP.Hermit, хотя последняя активность предполагает, что группа адаптирует свои возможности по мере того, как все больше их целей переходят на облачные сервисы.

#ParsedReport
10-03-2023

ASEC Weekly Phishing Email Threat Trend (20230226 to 20230304)

https://asec.ahnlab.com/ko/49167

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korean

TTPs:

IOCs:
File: 46
Url: 9

Softs:
microsoft excel

Algorithms:
zip

#ParsedReport
10-03-2023

Suspected Chinese Campaign to Persist on SonicWall Devices, Highlights Importance of Monitoring Edge Devices

https://www.mandiant.com/resources/blog/suspected-chinese-persist-sonicwall

Actors/Campaigns:
Unc4540

Threats:
Rekoobe_rootkit
Credential_stealing_technique
Beacon

Geo:
Chinese, China

IOCs:
Hash: 6
File: 1
IP: 1

Softs:
firewalld

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Mandiant в партнерстве с командой SonicWall Product Security and Incident Response Team (PSIRT) выявила китайскую кампанию с использованием постоянного вредоносного ПО на непропатченном устройстве SonicWall Secure Mobile Access (SMA). Эта вредоносная программа предназначена для кражи учетных данных пользователя, предоставления доступа к оболочке и сохранения работоспособности после обновления прошивки. Она отслеживается под именем UNC4540.

Анализ взломанного устройства выявил коллекцию файлов, состоящую из различных сценариев bash и одного двоичного файла ELF, идентифицированного как вариант TinyShell. Вредоносные скрипты указывают на детальное понимание устройства, рассчитанное на стабильность и стойкость. Основной точкой входа для вредоносной программы является сценарий под названием firewalld, который выполняет свой основной цикл для подсчета каждого файла в квадрате системы. Помимо кражи учетных данных, этот скрипт также выполняет бэкдор TinyShell и переводит его в режим reverse-shell.

Другой скрипт под названием iptabled обеспечивает резервное сохранение в случае выхода или сбоя. Еще один, geoBotnetd, каждые десять секунд проверяет наличие новых обновлений прошивки и копирует их, добавляя бэкдорного пользователя root, который обеспечивает постоянный доступ. Наконец, основной скрипт firewalld включает функцию для исправления легитимного бинарного файербага SonicWall.

Вполне вероятно, что это вредоносное ПО было развернуто в 2021 году, и, учитывая значительные усилия и ресурсы, затраченные на разработку этих эксплойтов и вредоносного ПО для управляемых устройств, Mandiant ожидает продолжения подобных кампаний в ближайшем будущем. Они советуют пользователям постоянно обновлять свои устройства, использовать многофакторную аутентификацию и отслеживать сетевой трафик на предмет подозрительной активности.

#ParsedReport
10-03-2023

GoBruteforcer: Golang-Based Botnet Actively Harvests Web Servers

https://unit42.paloaltonetworks.com/gobruteforcer-golang-botnet

Threats:
Gobruteforcer_botnet
Upx_tool
Portscan_tool

Geo:
Japanese

IOCs:
Hash: 13
Domain: 1

Softs:
phpmyadmin, mysql

Languages:
golang, php

Platforms:
x64, arm, x86

Links:
https://github.com/upx/upx
https://github.com/jlaffaye/ftp/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи Unit 42 обнаружили новую вредоносную программу под названием GoBruteforcer, которая нацелена на веб-серверы, работающие с сервисами phpMyAdmin, MySQL, FTP и Postgres. Она была размещена на легитимном сайте и имела двоичные файлы для процессоров архитектур x86, x64 и ARM. Вредоносная программа написана на популярном языке программирования Golang и использует блок Classless Inter-Domain Routing (CIDR) для сканирования сети во время атаки. Вредоносный код пытается получить доступ к серверу методом грубой силы и развертывает на сервере жертвы бота Internet Relay Chat (IRC). GoBruteforcer также пытается запросить систему жертвы, используя веб-оболочку PHP. Для успешного выполнения ему требуются особые условия на системе жертвы, например, уже установленные целевые службы (со слабыми паролями).

Palo Alto Networks обеспечивает защиту от этого типа вредоносных программ с помощью Cortex XDR или брандмауэра следующего поколения с облачными службами безопасности, включая WildFire и Advanced Threat Prevention. Кроме того, усовершенствованная фильтрация URL и DNS Security позволяют блокировать командно-контрольные (C2) домены и URL-адреса хостинга вредоносных программ.

GoBruteforcer упакован с помощью UPX Packer, и после распаковки образца мы заметили, что он имеет модуль multiscan, который сканирует хосты внутри CIDR для своей атаки. Затем он начинает сканирование на такие сервисы, как phpMyAdmin, MySQL, FTP и Postgres. При сканировании сервисов phpMyAdmin он использует набор учетных данных, жестко закодированных в двоичном файле, чтобы попытаться войти в систему методом грубой силы. В случае успеха он развертывает и запускает IRC-бота на сервере жертвы.

Мы также обнаружили еще один образец GoBruteforcer, который нацелен только на службу phpMyAdmin, что указывает на то, что злоумышленники активно развивают свои методы для атак на веб-серверы. Слабые пароли делают веб-серверы уязвимыми для таких вредоносных программ, как GoBruteforcer. С помощью передовых решений безопасности, таких как Cortex XDR или Next-Generation Firewall от Palo Alto, организации могут защитить себя от подобных угроз. Для блокирования вредоносных команд и доменов управления можно также использовать расширенную фильтрацию URL-адресов и защиту DNS.

#ParsedReport
10-03-2023

Dark Pink APT Group Strikes Government Entities in South Asian Countries

https://blog.eclecticiq.com/dark-pink-apt-group-strikes-government-entities-in-south-asian-countries

Actors/Campaigns:
Darkpink (motivation: cyber_criminal)
Saaiwc

Threats:
Kamikakabot
Dll_sideloading_technique
Lolbin_technique
Dll_hijacking_technique
Pss
Beacon
Html_smuggling_technique

Industry:
Maritime, Government

Geo:
Norwegian, Ukraine, China, Asian, Norway, Indonesia, Chinese

TTPs:
Tactics: 1
Technics: 12

IOCs:
File: 4
Registry: 3
Path: 2
IP: 1

Softs:
chrome, winlogon, telegram, microsoft office, windows registry

Algorithms:
base64, xor, zip

Functions:
run_command, sendFile

Win API:
ReadFile

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В феврале 2023 года группа разведки и исследований EclecticIQ выявила множество образцов вредоносного ПО KamiKakaBot, используемых для атак на правительственные организации в странах АСЕАН. Участники угрозы использовали различные техники уклонения, такие как шифрование полезной нагрузки и использование "живых" двоичных файлов, чтобы оставаться незамеченными при выполнении вредоносных действий на зараженных устройствах. Анализ инфраструктуры командования и управления (C2) вредоносной программы позволяет предположить, что эта кампания, скорее всего, приписывается группе Advanced Persistent Threat (APT) "Dark Pink", хотя есть вероятность, что эта деятельность может быть делом рук группы с похожей тактикой, техникой и процедурами (TTP).

KamiKakaBot распространяется через фишинговые электронные письма, содержащие в качестве вложения вредоносный ISO-файл. Вредоносный ISO-файл содержит WinWord.exe, подписанный легитимной подписью Microsoft, который используется для побочной загрузки DLL. После выполнения загрузчик записывает ключ реестра в HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, чтобы установить постоянный доступ. После загрузки в память WinWord.exe вредоносная программа может извлекать конфиденциальную информацию из веб-браузеров, таких как Chrome, Edge и Firefox, а затем отправлять ее на канал Telegram-бота злоумышленников в сжатом формате ZIP.

Анализ ТТП, использованных в этой кампании, показывает, что злоумышленники по-прежнему используют те же тактики, методы и процедуры для доставки и исполнения вредоносного ПО KamiKakaBot, только с небольшими изменениями, внесенными в процедуру обфускации для увеличения скорости заражения и обхода антивирусных решений. Кроме того, субъекты угрозы использовали отношения между странами АСЕАН и Европы для создания фишинговых приманок во время кампании "Февраль 2023".

Группы (APT), такие как Dark Pink, представляют собой значительную киберугрозу для стран АСЕАН и за ее пределами. Исследователи EclecticIQ заметили, что APT-группа Dark Pink оттачивает свои технические навыки для обхода средств защиты, масштабирования TTP, встраивания в среду жертвы и препятствования обнаружению. Вполне вероятно, что группа Dark Pink APT продолжит совершенствовать свои поведенческие методы уклонения, поэтому организации должны оставаться бдительными, чтобы защитить себя от потенциально опасных кибератак.

#ParsedReport
10-03-2023

Emotet Strikes Again, Resuming Spamming Operations

https://blog.cyble.com/2023/03/10/emotet-strikes-again-resuming-spamming-operations

Threats:
Emotet
Zipbomb_technique
Cobalt_strike

Industry:
Financial

TTPs:
Tactics: 6
Technics: 13

IOCs:
Url: 6
File: 1
Hash: 4

Softs:
microsoft office

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet - опасный банковский троянец, заражающий пользователей по всему миру с 7 марта 2023 года. Обычно он распространяется через спам-письма с вредоносными вложениями, такими как файлы ZIP и DOC. Файл DOC содержит вредоносный макрокод, который загружает полезную нагрузку Emotet на машину жертвы. Полезная нагрузка имеет размер более 500 МБ, чтобы избежать обнаружения антивирусами. После загрузки вредоносная программа Emotet подключается к командно-контрольному серверу, с которого можно загрузить дополнительные полезные нагрузки.

#ParsedReport
10-03-2023

Xenomorph v3: a new variant with ATS targeting more than 400 institutions

https://www.threatfabric.com/blogs/xenomorph-v3-new-variant-with-ats.html

Actors/Campaigns:
Zombinder
Hadoken_security
Indra

Threats:
Xenomorph
Octo
Hook
Gymdrop
Gustuff
Sharkbot
Kraken
Halkbank
Mallox_ransomware
Geral

Industry:
Retail, E-commerce, Ics, Financial

Geo:
Italia, Spain, Budapest, Malaysia, Australia, Italy, Argentina, America, France, Colombia, Deutsche, Ita, Denmark, Uruguay, Portugal, Chile, Canada, Greece, Canadian, Austria, Georgia, Turkey, Emirates

IOCs:
File: 152
Hash: 3
Domain: 6

Softs:
android, discord, coinbase.android, coinbase

Languages:
javascript

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Hadoken Security Group, новая волна создателей вредоносных программ, распространяется с начала 2022 года. Их основной продукт - семейство вредоносных программ под названием Xenomorph, кампании которого характеризуются короткими и сдержанными усилиями по распространению. Недавно аналитики ThreatFabrics обнаружили новую версию Xenomorph, Xenomorph.C, которая оснащена движком выполнения, работающим на сервисах доступности, и способна полностью автоматизировать цепочку мошенничества. Целевой список этой версии включает более 400 банковских и финансовых учреждений и криптовалютных кошельков. Группа Hadoken выходит на рынок MaaS, что означает, что они, скорее всего, начнут широкомасштабное распространение и повысят уровень своей угрозы до уровня более продвинутых семейств вредоносных программ, таких как Gustuff и SharkBot.

Образцы, выявленные ThreatFabrics, были связаны с тестовыми кампаниями, в которых вредоносное ПО распространялось через сторонние хостинги, такие как Discord Content Delivery Network (CDN). Эта техника не нова, поскольку она часто используется авторами вредоносных программ, чтобы скрыться от посторонних глаз. Кроме того, это бесплатный хостинг, надежный и используемый миллионами людей, и соединения с такими доменами с меньшей вероятностью будут отмечены как подозрительные.

Впервые Xenomorph был распространен GymDrop в феврале 2022 года, затем BugDrop и Zombinder. Последняя версия Xenomorph, похоже, была развернута приложением Zombinder, привязанным к легитимному конвертеру валют, который загружает приложение, выдающее себя за Google Protect. Основное внимание Xenomorph уделял Испании, Португалии, Италии, Бельгии и Канаде, причем последние кампании также были нацелены на криптовалютные кошельки.

Последняя версия Xenomorph имеет модульную кодовую базу для повышения гибкости и упрощения обновления. Она также имеет ряд функций, облегчающих преступную деятельность, таких как эксфильтрация PII, удаленные действия для злоупотребления Accessibility Services и модуль сбора кода для извлечения кодов аутентификации из приложений Authenticators. Кроме того, вредоносная программа обладает функцией кражи Cookie, позволяющей преступникам получать доступ к веб-сессиям жертв, вошедших в систему.

Разработка Xenomorph указывает на то, что субъекты переключают свое внимание на мобильные вредоносные программы, создавая все более опасные версии. Благодаря возможностям автоматизированной системы передачи данных (ATS) уровень угрозы Xenomorph значительно повысился. Поскольку группа Hadoken активно рекламирует свой продукт, существует большая вероятность того, что объем этого вредоносного ПО увеличится, и, возможно, оно даже будет распространяться через дропперы в Google Play Store. Финансовые организации могут связаться с командой ThreatFabric по анализу мобильных угроз, если они подозревают, что какие-либо приложения вовлечены во вредоносную деятельность. Пакет ThreatFabric Fraud Risk Suite предлагает разведку мобильных угроз, поведенческую аналитику, расширенное дактилоскопирование устройств и более 10 000 адаптивных индикаторов мошенничества для обеспечения безопасного и беспрепятственного путешествия клиентов в Интернете.

#ParsedReport
10-03-2023

Killnet 2023 ORBAT

https://cyberknow.medium.com/killnet-2023-orbat-a9584d5c6e66

Actors/Campaigns:
Killnet (motivation: hacktivism, financially_motivated)
Anonymous_russia

Threats:
Killmilk_actor
Phoenix_keylogger

Geo:
German, Australian, Germany, America, Russian

Softs:
telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Killnet - известная российская хактивистская группа, которая действует в киберпространстве с февраля 2022 года. Это одна из самых влиятельных пророссийских группировок в российско-украинской войне, и ее влияние продолжает расти со временем. Деятельность Killnet в основном включает DDoS-атаки, но они также заинтересованы в ransomware, атаках на взломы и утечки. Группа имеет финансовую мотивацию, у нее есть своя криптобиржа, форум и группы спецназа.

Killnet добился значительного успеха в манипулировании информационным пространством войны между Россией и Украиной. Им удалось объединить 22 группы для проведения различных кампаний, и в последние месяцы они нацелились на Германию и НАТО. Это свидетельствует о растущей силе организации и ее способности привлекать других людей к своему делу. Более того, Killnet получил много похвалы от различных российских СМИ и групп Telegram. Таким образом, их популярность и охват продолжают расти.

Именно поэтому при отслеживании угроз в киберпространстве необходимо учитывать намерения. Killnet растет в размерах и поддержке, и их возможности только увеличиваются. Заглядывая вперед, можно предположить, что в 2023 году эта группа будет действовать еще более мощно и опасно. Поэтому важно проявлять бдительность и следить за тем, чтобы их деятельность выявлялась и тщательно отслеживалась. В противном случае эта вредоносная деятельность может нанести серьезный ущерб и нарушить работу предприятий, правительств и других организаций.

#ParsedReport
09-03-2023

Attackers Increasingly Abusing DigitalOcean to Host Scams and Phishing

https://www.netskope.com/blog/attackers-increasingly-abusing-digitalocean-to-host-scams-and-phishing

Industry:
Financial

Geo:
Japanese, America

IOCs:
File: 4
Domain: 97

Softs:
windows defender

Platforms:
intel