#ParsedReport
13-03-2023
Defining the Cobalt Strike Reflective Loader
https://securityintelligence.com/posts/defining-cobalt-strike-reflective-loader
Threats:
Cobalt_strike
Reflectiveloader
Beacon
Bokuloader
Metasploit_tool
Meterpreter_tool
Hellsgate_technique
Hook
Iat_hooking_technique
IOCs:
File: 10
Algorithms:
xor
Win API:
LoadLibrary, LoadLibraryA, VirtualAlloc, NtAllocateVirtualMemory, GetProcAddress
Languages:
java
Platforms:
x64, intel
Links:
13-03-2023
Defining the Cobalt Strike Reflective Loader
https://securityintelligence.com/posts/defining-cobalt-strike-reflective-loader
Threats:
Cobalt_strike
Reflectiveloader
Beacon
Bokuloader
Metasploit_tool
Meterpreter_tool
Hellsgate_technique
Hook
Iat_hooking_technique
IOCs:
File: 10
Algorithms:
xor
Win API:
LoadLibrary, LoadLibraryA, VirtualAlloc, NtAllocateVirtualMemory, GetProcAddress
Languages:
java
Platforms:
x64, intel
Links:
https://github.com/xforcered/InlineExecute-Assemblyhttps://github.com/boku7/BokuLoader/blob/main/src/BokuLoader.c#L421https://github.com/xforcered/CredBandithttps://github.com/hasherezade/pe-bearhttps://github.com/bats3c/DarkLoadLibraryhttps://github.com/stephenfewer/ReflectiveDLLInjectionhttps://github.com/xforcered/BokuLoaderhttps://github.com/am0nsec/HellsGateSecurity Intelligence
Defining the Cobalt Strike Reflective Loader
Unpack how Cobalt Strike works to create more robust detections. Get deep insights from IBM Security X-Force Red experts.
#ParsedReport
14-03-2023
Mallox Ransomware Being Distributed in Korea
https://asec.ahnlab.com/en/49366
Threats:
Mallox_ransomware
Malware/mdp.inject.m218
Geo:
Kazakhstan, Russia, Belarus, Ukraine, Korea
IOCs:
Url: 3
File: 14
Hash: 4
Softs:
ms-sql, msdtssrvr, taskkill, internet explorer, windows defender, asp.net
Algorithms:
base64
Win Services:
fdlauncher
Platforms:
intel
14-03-2023
Mallox Ransomware Being Distributed in Korea
https://asec.ahnlab.com/en/49366
Threats:
Mallox_ransomware
Malware/mdp.inject.m218
Geo:
Kazakhstan, Russia, Belarus, Ukraine, Korea
IOCs:
Url: 3
File: 14
Hash: 4
Softs:
ms-sql, msdtssrvr, taskkill, internet explorer, windows defender, asp.net
Algorithms:
base64
Win Services:
fdlauncher
Platforms:
intel
ASEC BLOG
Mallox Ransomware Being Distributed in Korea - ASEC BLOG
AhnLab Security Emergency response Center (ASEC) has recently discovered the distribution of the Mallox ransomware during the team’s monitoring. As covered before, Mallox, which targets vulnerable MS-SQL servers, has historically been distributed at a consistently…
CTT Report Hub
#ParsedReport 14-03-2023 Mallox Ransomware Being Distributed in Korea https://asec.ahnlab.com/en/49366 Threats: Mallox_ransomware Malware/mdp.inject.m218 Geo: Kazakhstan, Russia, Belarus, Ukraine, Korea IOCs: Url: 3 File: 14 Hash: 4 Softs: ms-sql, msdtssrvr…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил распространение программы-вымогателя Mallox. Эта программа нацелена на уязвимые серверы MS-SQL и распространяется с высокой скоростью, согласно статистике AhnLab. Вредоносная программа маскируется под программу, связанную с DirectPlay, построена на .NET и подключается к определенному адресу для загрузки дополнительного вредоносного ПО, которое затем запускается в памяти. Если этот адрес не может быть достигнут, он пытается подключиться непрерывно через бесконечный цикл. На основании адреса домена, связанного с вымогательским ПО Mallox, приобретенного ASEC в феврале, можно предположить, что этот домен является основным местом распространения Mallox.
Дополнительное загруженное вредоносное ПО представляет собой файл данных, закодированный в Base64. При декодировании и реверсировании файла выясняется, что это DLL-файл, созданный с использованием .NET. Программа-вымогатель способна исключать определенные языковые среды из заражения, основываясь на языковых настройках ПК. После завершения сканирования LangID выполняет команды по удалению реестра, отключению восстановления и завершению связанных с SQL служб и процессов.
Mallox ransomware - это вредоносная программа, нацеленная на уязвимые серверы Microsoft SQL и распространяющаяся с высокой скоростью, согласно статистике AhnLab. Вредоносная программа маскируется под программу, связанную с DirectPlay и построенную на .NET, подключаясь к определенному адресу для загрузки дополнительного вредоносного ПО. Если этот адрес не может быть достигнут, он пытается снова подключиться с помощью бесконечного цикла. Можно предположить, что этот же адрес домена является основным центром распространения Mallox. Дополнительное вредоносное ПО представляет собой файл данных, закодированный в Base64, который при расшифровке и реверсировании обнаруживает DLL-файл, созданный в .NET. Вымогатель способен определять языковые настройки, чтобы исключить из заражения некоторые языковые среды. По завершении сканирования LangID удаляет реестр, отключает восстановление и завершает любые службы и процессы, связанные с SQL.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил распространение программы-вымогателя Mallox. Эта программа нацелена на уязвимые серверы MS-SQL и распространяется с высокой скоростью, согласно статистике AhnLab. Вредоносная программа маскируется под программу, связанную с DirectPlay, построена на .NET и подключается к определенному адресу для загрузки дополнительного вредоносного ПО, которое затем запускается в памяти. Если этот адрес не может быть достигнут, он пытается подключиться непрерывно через бесконечный цикл. На основании адреса домена, связанного с вымогательским ПО Mallox, приобретенного ASEC в феврале, можно предположить, что этот домен является основным местом распространения Mallox.
Дополнительное загруженное вредоносное ПО представляет собой файл данных, закодированный в Base64. При декодировании и реверсировании файла выясняется, что это DLL-файл, созданный с использованием .NET. Программа-вымогатель способна исключать определенные языковые среды из заражения, основываясь на языковых настройках ПК. После завершения сканирования LangID выполняет команды по удалению реестра, отключению восстановления и завершению связанных с SQL служб и процессов.
Mallox ransomware - это вредоносная программа, нацеленная на уязвимые серверы Microsoft SQL и распространяющаяся с высокой скоростью, согласно статистике AhnLab. Вредоносная программа маскируется под программу, связанную с DirectPlay и построенную на .NET, подключаясь к определенному адресу для загрузки дополнительного вредоносного ПО. Если этот адрес не может быть достигнут, он пытается снова подключиться с помощью бесконечного цикла. Можно предположить, что этот же адрес домена является основным центром распространения Mallox. Дополнительное вредоносное ПО представляет собой файл данных, закодированный в Base64, который при расшифровке и реверсировании обнаруживает DLL-файл, созданный в .NET. Вымогатель способен определять языковые настройки, чтобы исключить из заражения некоторые языковые среды. По завершении сканирования LangID удаляет реестр, отключает восстановление и завершает любые службы и процессы, связанные с SQL.
#ParsedReport
14-03-2023
FakeGPT: New Variant of Fake-ChatGPT Chrome Extension Stealing Facebook Ad Accounts with Thousands of Daily Installs. The Vicious Circle of Hijacked Facebook Malvertising
https://labs.guard.io/fakegpt-new-variant-of-fake-chatgpt-chrome-extension-stealing-facebook-ad-accounts-with-4c9996a8f282
Threats:
Fakegpt
Industry:
Financial
IOCs:
Domain: 3
File: 9
Hash: 2
Url: 4
Softs:
chrome, google chrome, instagram
Languages:
java, typescript, php
14-03-2023
FakeGPT: New Variant of Fake-ChatGPT Chrome Extension Stealing Facebook Ad Accounts with Thousands of Daily Installs. The Vicious Circle of Hijacked Facebook Malvertising
https://labs.guard.io/fakegpt-new-variant-of-fake-chatgpt-chrome-extension-stealing-facebook-ad-accounts-with-4c9996a8f282
Threats:
Fakegpt
Industry:
Financial
IOCs:
Domain: 3
File: 9
Hash: 2
Url: 4
Softs:
chrome, google chrome, instagram
Languages:
java, typescript, php
Medium
“FakeGPT”: New Variant of Fake-ChatGPT Chrome Extension Stealing Facebook Ad Accounts with Thousands of Daily Installs
By Nati Tal (Guardio Labs)
CTT Report Hub
#ParsedReport 14-03-2023 FakeGPT: New Variant of Fake-ChatGPT Chrome Extension Stealing Facebook Ad Accounts with Thousands of Daily Installs. The Vicious Circle of Hijacked Facebook Malvertising https://labs.guard.io/fakegpt-new-variant-of-fake-chatgpt…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Наша команда исследователей безопасности Guardio недавно обнаружила вредоносное расширение для Chrome, которое, как выяснилось, перехватывает учетные записи Facebook и устанавливает скрытые бэкдоры учетных записей. Расширение называется "Быстрый доступ к Chat GPT" и рекламируется в сообщениях, спонсируемых Facebook, как способ быстрого использования услуг ChatGPT из браузера. Это вредоносное расширение работает путем сбора всех данных, которые оно может получить из браузера жертвы, кражи cookies авторизованных активных сессий и использования специальной тактики для захвата аккаунта Facebook.
Вредоносное расширение также содержит вредоносный бэкдор приложения Facebook, который предоставляет субъектам угрозы права супер-админа. Это позволяет им создать армию ботов Facebook и вредоносный аппарат платных медиа, который затем продвигает платную рекламу Facebook за счет своих жертв самораспространяющимся червеобразным способом.
Используя это вредоносное расширение, злоумышленники могут выкачивать из браузера жертвы всевозможные данные, включая маркеры безопасности и сеансов доступа к таким сервисам, как YouTube, аккаунты Google и Twitter. Кроме того, они могут собирать информацию о любых бизнес-аккаунтах Facebook, например, о текущих акциях и кредитном балансе, а также финансовые данные.
Вредоносное расширение также использует преимущества официального API приложений Facebook, создавая второе вредоносное приложение (портал) Facebook, которое используется для шифрования утекающих данных. Это позволяет злоумышленникам выбирать таким методом только действительно ценные цели, а также использовать самораспространение через продвигаемые Facebook посты, созданные с помощью этих аккаунтов.
Вредоносное расширение было впервые обнаружено 3/3/2023 года и с начала февраля распространялось на Facebook и в официальном магазине Google Chrome Store, ежедневно устанавливая тысячи новых экземпляров. После того как мы сообщили об этом вредоносном расширении в Google, оно было удалено из магазина Chrome.
Это конкретное вредоносное расширение является примером того, насколько мощными могут быть крадущие программы, и показывает важность поддержания актуальности и безопасности вашего браузера. При работе в Интернете необходимо обращать внимание на подозрительные расширения и всегда перепроверять легитимность продукта перед его загрузкой и установкой.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Наша команда исследователей безопасности Guardio недавно обнаружила вредоносное расширение для Chrome, которое, как выяснилось, перехватывает учетные записи Facebook и устанавливает скрытые бэкдоры учетных записей. Расширение называется "Быстрый доступ к Chat GPT" и рекламируется в сообщениях, спонсируемых Facebook, как способ быстрого использования услуг ChatGPT из браузера. Это вредоносное расширение работает путем сбора всех данных, которые оно может получить из браузера жертвы, кражи cookies авторизованных активных сессий и использования специальной тактики для захвата аккаунта Facebook.
Вредоносное расширение также содержит вредоносный бэкдор приложения Facebook, который предоставляет субъектам угрозы права супер-админа. Это позволяет им создать армию ботов Facebook и вредоносный аппарат платных медиа, который затем продвигает платную рекламу Facebook за счет своих жертв самораспространяющимся червеобразным способом.
Используя это вредоносное расширение, злоумышленники могут выкачивать из браузера жертвы всевозможные данные, включая маркеры безопасности и сеансов доступа к таким сервисам, как YouTube, аккаунты Google и Twitter. Кроме того, они могут собирать информацию о любых бизнес-аккаунтах Facebook, например, о текущих акциях и кредитном балансе, а также финансовые данные.
Вредоносное расширение также использует преимущества официального API приложений Facebook, создавая второе вредоносное приложение (портал) Facebook, которое используется для шифрования утекающих данных. Это позволяет злоумышленникам выбирать таким методом только действительно ценные цели, а также использовать самораспространение через продвигаемые Facebook посты, созданные с помощью этих аккаунтов.
Вредоносное расширение было впервые обнаружено 3/3/2023 года и с начала февраля распространялось на Facebook и в официальном магазине Google Chrome Store, ежедневно устанавливая тысячи новых экземпляров. После того как мы сообщили об этом вредоносном расширении в Google, оно было удалено из магазина Chrome.
Это конкретное вредоносное расширение является примером того, насколько мощными могут быть крадущие программы, и показывает важность поддержания актуальности и безопасности вашего браузера. При работе в Интернете необходимо обращать внимание на подозрительные расширения и всегда перепроверять легитимность продукта перед его загрузкой и установкой.
#ParsedReport
14-03-2023
CASPER attack steals data using air-gapped computer's internal speaker
https://www.bleepingcomputer.com/news/security/casper-attack-steals-data-using-air-gapped-computers-internal-speaker
Threats:
Casper
Stuxnet
Remsec_strider
Etherled_technique
Industry:
Government, Energy, Education
Geo:
Iran, Korea
IOCs:
File: 1
Softs:
(ubuntu
14-03-2023
CASPER attack steals data using air-gapped computer's internal speaker
https://www.bleepingcomputer.com/news/security/casper-attack-steals-data-using-air-gapped-computers-internal-speaker
Threats:
Casper
Stuxnet
Remsec_strider
Etherled_technique
Industry:
Government, Energy, Education
Geo:
Iran, Korea
IOCs:
File: 1
Softs:
(ubuntu
BleepingComputer
CASPER attack steals data using air-gapped computer's internal speaker
Researchers at the School of Cyber Security at Korea University, Seoul, have presented a new covert channel attack named CASPER can leak data from air-gapped computers to a nearby smartphone at a rate of 20bits/sec.
CTT Report Hub
#ParsedReport 14-03-2023 CASPER attack steals data using air-gapped computer's internal speaker https://www.bleepingcomputer.com/news/security/casper-attack-steals-data-using-air-gapped-computers-internal-speaker Threats: Casper Stuxnet Remsec_strider …
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Компьютеры, защищенные "воздушным зазором", представляют собой изолированные от сети системы, используемые в критически важных средах, таких как правительственные сети, энергетическая инфраструктура и системы управления оружием, что делает их труднодоступными для атак по скрытым каналам. Однако исследователи из Корейского университета разработали новую атаку под названием CASPER, которая может успешно осуществлять эксфильтрацию данных из этих систем.
Атака CASPER работает с использованием внутреннего динамика компьютера для передачи высокочастотных звуковых сигналов в двоичном формате или азбукой Морзе на расстояние до 1,5 м. Вредоносная программа должна быть сначала установлена на целевую систему, что обычно делается через сотрудника с физическим доступом или незаметного злоумышленника. После установки вредоносная программа кодирует данные, которые она хочет вынести, и передает их через внутренний динамик в незаметном ультразвуковом диапазоне частот от 17 кГц до 20 кГц.
При такой скорости передачи данных типичный пароль длиной 8 символов может быть передан за 3 секунды, а 2048-битный ключ RSA - за 100 секунд. Для защиты от этой атаки самым простым решением является удаление внутреннего динамика из критически важных компьютеров.
Похожими типами атак являются: COVID-bit, который использует блок питания для генерации электромагнитных волн; ETHERLED, который использует светодиодные индикаторы сетевой карты объекта; и SATAn, который использует кабели SATA в качестве беспроводных антенн.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Компьютеры, защищенные "воздушным зазором", представляют собой изолированные от сети системы, используемые в критически важных средах, таких как правительственные сети, энергетическая инфраструктура и системы управления оружием, что делает их труднодоступными для атак по скрытым каналам. Однако исследователи из Корейского университета разработали новую атаку под названием CASPER, которая может успешно осуществлять эксфильтрацию данных из этих систем.
Атака CASPER работает с использованием внутреннего динамика компьютера для передачи высокочастотных звуковых сигналов в двоичном формате или азбукой Морзе на расстояние до 1,5 м. Вредоносная программа должна быть сначала установлена на целевую систему, что обычно делается через сотрудника с физическим доступом или незаметного злоумышленника. После установки вредоносная программа кодирует данные, которые она хочет вынести, и передает их через внутренний динамик в незаметном ультразвуковом диапазоне частот от 17 кГц до 20 кГц.
При такой скорости передачи данных типичный пароль длиной 8 символов может быть передан за 3 секунды, а 2048-битный ключ RSA - за 100 секунд. Для защиты от этой атаки самым простым решением является удаление внутреннего динамика из критически важных компьютеров.
Похожими типами атак являются: COVID-bit, который использует блок питания для генерации электромагнитных волн; ETHERLED, который использует светодиодные индикаторы сетевой карты объекта; и SATAn, который использует кабели SATA в качестве беспроводных антенн.
#ParsedReport
14-03-2023
The New Post-Exploitation framework- Exfiltrator-22
https://thesecmaster.com/the-new-post-exploitation-framework-exfiltrator-22
Threats:
Exfiltrator-22_tool
Lockbit
Domain_fronting_technique
Process_injection_technique
TTPs:
Tactics: 1
Technics: 15
IOCs:
IP: 2
File: 3
Hash: 1
Softs:
telegram
Platforms:
x64
14-03-2023
The New Post-Exploitation framework- Exfiltrator-22
https://thesecmaster.com/the-new-post-exploitation-framework-exfiltrator-22
Threats:
Exfiltrator-22_tool
Lockbit
Domain_fronting_technique
Process_injection_technique
TTPs:
Tactics: 1
Technics: 15
IOCs:
IP: 2
File: 3
Hash: 1
Softs:
telegram
Platforms:
x64
The Sec Master
The New Post-Exploitation framework- Exfiltrator-22
In this article, we will walk you through what is the new post-exploitation framework, Exfiltrator-22, and is Exfiltrator-22 related to Lock bit 3.0.
CTT Report Hub
#ParsedReport 14-03-2023 The New Post-Exploitation framework- Exfiltrator-22 https://thesecmaster.com/the-new-post-exploitation-framework-exfiltrator-22 Threats: Exfiltrator-22_tool Lockbit Domain_fronting_technique Process_injection_technique TTPs: Tactics:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Exfiltrator-22 - это новый пост-эксплуатационный фреймворк, предназначенный для поражения архитектуры x64 и распространения ransomware в корпоративных сетях. Он был разрекламирован анонимным агентом угроз в декабре 2022 года, утверждая, что его невозможно обнаружить ни одним антивирусом или системой обнаружения конечных точек (EDR). Инструмент размещается на пуленепробиваемом виртуальном частном сервере (VPS), что позволяет злоумышленникам обходить определенные законы или правила, которые в противном случае могли бы пресечь вредоносную деятельность.
EX-22 предоставляет пользователям административную панель для удаленного управления вредоносным ПО, а также такие функции, как повышенная обратная оболочка, загрузка и выгрузка файлов, кейлоггер, скриншоты, выкупное ПО, персистентность и повышение привилегий, извлечение конфиденциальной информации с помощью LSASS-дампа, хэширование и кража токенов. По данным cyfirma, коэффициент обнаружения этого инструмента составляет 5/70 в онлайновых песочницах после многократного динамического сканирования, что свидетельствует о том, что EX-22 достаточно искусен в технике уклонения от защиты.
Тактика, методы и процедуры (TTP) EX-22 имеют много общего с тактикой, методами и процедурами Lockbit 3.0, включая методы доменного фронтирования и ту же инфраструктуру для скрытия командно-контрольного трафика. Более того, векторы атак EX-22 также схожи с векторами атак Lockbit 3.0.
Из особенностей и характеристик EX-22 становится ясно, что злоумышленники, стоящие за ним, весьма изощрены, что делает EX-22 предпочтительным выбором для киберпреступников, которые не хотят, чтобы их инструменты были легко обнаружены. Это подвергает организации риску дальнейших атак, поскольку EX-22 был разработан как инструмент вредоносного ПО как услуги (MaaS).
В заключение можно сказать, что Exfiltrator-22 - это мощный пост-эксплоит фреймворк, имеющий много общего с Lockbit 3.0, а его сложные функции затрудняют его обнаружение. Организациям следует принять меры для защиты от возможных атак с использованием этого инструмента.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Exfiltrator-22 - это новый пост-эксплуатационный фреймворк, предназначенный для поражения архитектуры x64 и распространения ransomware в корпоративных сетях. Он был разрекламирован анонимным агентом угроз в декабре 2022 года, утверждая, что его невозможно обнаружить ни одним антивирусом или системой обнаружения конечных точек (EDR). Инструмент размещается на пуленепробиваемом виртуальном частном сервере (VPS), что позволяет злоумышленникам обходить определенные законы или правила, которые в противном случае могли бы пресечь вредоносную деятельность.
EX-22 предоставляет пользователям административную панель для удаленного управления вредоносным ПО, а также такие функции, как повышенная обратная оболочка, загрузка и выгрузка файлов, кейлоггер, скриншоты, выкупное ПО, персистентность и повышение привилегий, извлечение конфиденциальной информации с помощью LSASS-дампа, хэширование и кража токенов. По данным cyfirma, коэффициент обнаружения этого инструмента составляет 5/70 в онлайновых песочницах после многократного динамического сканирования, что свидетельствует о том, что EX-22 достаточно искусен в технике уклонения от защиты.
Тактика, методы и процедуры (TTP) EX-22 имеют много общего с тактикой, методами и процедурами Lockbit 3.0, включая методы доменного фронтирования и ту же инфраструктуру для скрытия командно-контрольного трафика. Более того, векторы атак EX-22 также схожи с векторами атак Lockbit 3.0.
Из особенностей и характеристик EX-22 становится ясно, что злоумышленники, стоящие за ним, весьма изощрены, что делает EX-22 предпочтительным выбором для киберпреступников, которые не хотят, чтобы их инструменты были легко обнаружены. Это подвергает организации риску дальнейших атак, поскольку EX-22 был разработан как инструмент вредоносного ПО как услуги (MaaS).
В заключение можно сказать, что Exfiltrator-22 - это мощный пост-эксплоит фреймворк, имеющий много общего с Lockbit 3.0, а его сложные функции затрудняют его обнаружение. Организациям следует принять меры для защиты от возможных атак с использованием этого инструмента.
#ParsedReport
14-03-2023
NOBELIUM Uses Poland's Ambassadors Visit to the U.S. to Target EU Governments Assisting Ukraine
https://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine
Actors/Campaigns:
Darkhalo
Duke
Threats:
Sunburst
Envyscout
Html_smuggling_technique
Industry:
Government, Healthcare, Telco, Ngo, Education
Geo:
Russia, Poland, Polish, Polands, America, Russian, Ukrainian, Ukraine
TTPs:
Tactics: 5
Technics: 6
IOCs:
Url: 2
File: 5
Path: 5
Registry: 1
IP: 1
Hash: 8
Functions:
GetProcessImageF
Win API:
CopyFileA, RegCloseKey, RegSetValueExA, RegQueryValueExA, CreateFileA
Platforms:
x64
YARA: Found
14-03-2023
NOBELIUM Uses Poland's Ambassadors Visit to the U.S. to Target EU Governments Assisting Ukraine
https://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine
Actors/Campaigns:
Darkhalo
Duke
Threats:
Sunburst
Envyscout
Html_smuggling_technique
Industry:
Government, Healthcare, Telco, Ngo, Education
Geo:
Russia, Poland, Polish, Polands, America, Russian, Ukrainian, Ukraine
TTPs:
Tactics: 5
Technics: 6
IOCs:
Url: 2
File: 5
Path: 5
Registry: 1
IP: 1
Hash: 8
Functions:
GetProcessImageF
Win API:
CopyFileA, RegCloseKey, RegSetValueExA, RegQueryValueExA, CreateFileA
Platforms:
x64
YARA: Found
BlackBerry
NOBELIUM Uses Poland's Ambassador’s Visit to the U.S. to Target EU Governments Assisting Ukraine
NOBELIUM, aka APT29, is a sophisticated, Russian state-sponsored threat actor targeting Western countries. BlackBerry researchers recently observed a new campaign targeting European Union countries; specifically, its diplomatic entities and systems providing…
CTT Report Hub
#ParsedReport 14-03-2023 NOBELIUM Uses Poland's Ambassadors Visit to the U.S. to Target EU Governments Assisting Ukraine https://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine Actors/Campaigns: Darkhalo Duke Threats:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
NOBELIUM, также известная как APT29, является сложной российской государственной угрозой, нацеленной на западные страны. В марте 2021 года исследователи BlackBerry заметили новую кампанию, направленную на дипломатические учреждения Европейского союза и системы, передающие конфиденциальную информацию, связанную с войной в Украине. Вектор заражения в этой кампании NOBELIUM - целевое фишинговое письмо, содержащее документ, ведущий на HTML-файл. Приманка обращается к людям, которые хотят узнать расписание послов Польши на 2023 год, что указывает на то, что объект угрозы нацелен на государственные организации в ЕС. Вредоносный HTML-файл представляет собой версию вредоносного дроппера ROOTSAW от NOBELIUM. Для связи с C2 вредоносная программа использует "api.notion.com", который является широко используемым приложением для ведения заметок.
NOBELIUM - это высококвалифицированная и скрытная группа, ответственная за ряд высокопоставленных атак на цепочки поставок и другие современные постоянные угрозы. Они известны своим проворством, когда проникают в сеть цели, и использованием инновационных методов вторжения. Используя взломанный легитимный сервер для размещения полезной нагрузки, NOBELIUM увеличивает шансы на успешную установку вредоносного ПО на компьютеры жертв. Использование Notions API для C2 придает их трафику доброкачественный вид, а совпадение визита посла Польши в США с приманкой, использованной в атаке, свидетельствует о том, что они активно следят за геополитическими событиями, чтобы увеличить свои шансы на успех.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
NOBELIUM, также известная как APT29, является сложной российской государственной угрозой, нацеленной на западные страны. В марте 2021 года исследователи BlackBerry заметили новую кампанию, направленную на дипломатические учреждения Европейского союза и системы, передающие конфиденциальную информацию, связанную с войной в Украине. Вектор заражения в этой кампании NOBELIUM - целевое фишинговое письмо, содержащее документ, ведущий на HTML-файл. Приманка обращается к людям, которые хотят узнать расписание послов Польши на 2023 год, что указывает на то, что объект угрозы нацелен на государственные организации в ЕС. Вредоносный HTML-файл представляет собой версию вредоносного дроппера ROOTSAW от NOBELIUM. Для связи с C2 вредоносная программа использует "api.notion.com", который является широко используемым приложением для ведения заметок.
NOBELIUM - это высококвалифицированная и скрытная группа, ответственная за ряд высокопоставленных атак на цепочки поставок и другие современные постоянные угрозы. Они известны своим проворством, когда проникают в сеть цели, и использованием инновационных методов вторжения. Используя взломанный легитимный сервер для размещения полезной нагрузки, NOBELIUM увеличивает шансы на успешную установку вредоносного ПО на компьютеры жертв. Использование Notions API для C2 придает их трафику доброкачественный вид, а совпадение визита посла Польши в США с приманкой, использованной в атаке, свидетельствует о том, что они активно следят за геополитическими событиями, чтобы увеличить свои шансы на успех.
#ParsedReport
14-03-2023
DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit
https://www.microsoft.com/en-us/security/blog/2023/03/13/dev-1101-enables-high-volume-aitm-campaigns-with-open-source-phishing-kit
Actors/Campaigns:
Dev-0928
Threats:
Dev-1101_tool
Aitm_technique
Industry:
Telco
IOCs:
Domain: 2
Softs:
microsoft 365 defender, telegram, microsoft office, cpanel, azure ad, microsoft defender, microsoft edge, office 365
Languages:
php
Links:
14-03-2023
DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit
https://www.microsoft.com/en-us/security/blog/2023/03/13/dev-1101-enables-high-volume-aitm-campaigns-with-open-source-phishing-kit
Actors/Campaigns:
Dev-0928
Threats:
Dev-1101_tool
Aitm_technique
Industry:
Telco
IOCs:
Domain: 2
Softs:
microsoft 365 defender, telegram, microsoft office, cpanel, azure ad, microsoft defender, microsoft edge, office 365
Languages:
php
Links:
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Cloud%20Identity%20Threat%20Protection%20Essentials/Hunting%20Queries/Signins-From-VPS-Providers.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/new\_locations\_azuread\_signin.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/signinBurstFromMultipleLocations.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Cloud%20Identity%20Threat%20Protection%20Essentials/Hunting%20Queries/Signins-from-NordVPN-Providers.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/SuccessfulSigninFromNon-CompliantDevice.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/anomalous\_app\_azuread\_signin.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/AzurePortalSigninfromanotherAzureTenant.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Solutions/SecurityThreatEssentialSolution/Analytic%20Rules/PossibleAiTMPhishingAttemptAgainstAAD.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/AnomalousUserAppSigninLocationIncrease-detection.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/UserLoginIPAddressTeleportation.yamlhttps://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/UserAccounts-CABlockedSigninSpikes.yamlMicrosoft Security Blog
DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit | Microsoft Security Blog
Storm-1101 is an actor tracked by Microsoft responsible for the development, support, and advertising of several AiTM phishing kits.
CTT Report Hub
#ParsedReport 14-03-2023 DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit https://www.microsoft.com/en-us/security/blog/2023/03/13/dev-1101-enables-high-volume-aitm-campaigns-with-open-source-phishing-kit Actors/Campaigns: Dev-0928…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
DEV-1101 - группа угроз, предлагающая фишинговый набор Adversary-in-the-Middle (AiTM) с открытым исходным кодом. Этот набор помогает злоумышленникам в настройке и запуске фишинговой активности, предоставляя такие функции, как обратный прокси-сервер, управление кампаниями с мобильных устройств и функции уклонения, такие как страницы CAPTCHA. Фишинговый набор AiTM стал доступен в мае 2022 года и с тех пор используется злоумышленниками с различными мотивами и целями. Microsoft 365 Defender обнаруживает подозрительные действия, связанные с этими атаками и последующими действиями.
Фишинговые атаки AiTM - это сложные угрозы, требующие решений, использующих сигналы из нескольких источников. Microsoft 365 Defender использует междоменную видимость для обнаружения вредоносных действий, связанных с AiTM, таких как кража куки-файлов сеанса и попытки использовать украденные куки-файлы для входа в систему. Передовые решения для борьбы с фишингом могут отслеживать и сканировать входящую электронную почту и посещаемые веб-сайты, а политики безопасности по умолчанию и условного доступа могут оценивать запросы на вход в систему с помощью дополнительных сигналов, основанных на идентификации, и применять подозрительные входы.
Организациям следует принять меры по защите от атак AiTM путем внедрения MFA с помощью различных методов, таких как использование Microsoft Authenticator, ключей безопасности FIDO2 и аутентификации на основе сертификатов. Кроме того, они должны включить такие политики, как требования к совместимым устройствам или доверенным IP-адресам, и постоянно отслеживать подозрительные или аномальные действия. Клиенты Microsoft Sentinel могут использовать шаблоны аналитики для выявления потенциальных попыток фишинга AiTM, а UEBA можно использовать для поиска аномальных событий входа в систему.
В целом, фишинговый набор DEV-1101 является мощным инструментом, позволяющим субъектам угроз запускать сложные фишинговые кампании. Организации должны сохранять бдительность и обеспечивать актуальность своих стратегий смягчения последствий, чтобы защититься от подобных атак.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
DEV-1101 - группа угроз, предлагающая фишинговый набор Adversary-in-the-Middle (AiTM) с открытым исходным кодом. Этот набор помогает злоумышленникам в настройке и запуске фишинговой активности, предоставляя такие функции, как обратный прокси-сервер, управление кампаниями с мобильных устройств и функции уклонения, такие как страницы CAPTCHA. Фишинговый набор AiTM стал доступен в мае 2022 года и с тех пор используется злоумышленниками с различными мотивами и целями. Microsoft 365 Defender обнаруживает подозрительные действия, связанные с этими атаками и последующими действиями.
Фишинговые атаки AiTM - это сложные угрозы, требующие решений, использующих сигналы из нескольких источников. Microsoft 365 Defender использует междоменную видимость для обнаружения вредоносных действий, связанных с AiTM, таких как кража куки-файлов сеанса и попытки использовать украденные куки-файлы для входа в систему. Передовые решения для борьбы с фишингом могут отслеживать и сканировать входящую электронную почту и посещаемые веб-сайты, а политики безопасности по умолчанию и условного доступа могут оценивать запросы на вход в систему с помощью дополнительных сигналов, основанных на идентификации, и применять подозрительные входы.
Организациям следует принять меры по защите от атак AiTM путем внедрения MFA с помощью различных методов, таких как использование Microsoft Authenticator, ключей безопасности FIDO2 и аутентификации на основе сертификатов. Кроме того, они должны включить такие политики, как требования к совместимым устройствам или доверенным IP-адресам, и постоянно отслеживать подозрительные или аномальные действия. Клиенты Microsoft Sentinel могут использовать шаблоны аналитики для выявления потенциальных попыток фишинга AiTM, а UEBA можно использовать для поиска аномальных событий входа в систему.
В целом, фишинговый набор DEV-1101 является мощным инструментом, позволяющим субъектам угроз запускать сложные фишинговые кампании. Организации должны сохранять бдительность и обеспечивать актуальность своих стратегий смягчения последствий, чтобы защититься от подобных атак.
#ParsedReport
14-03-2023
GoatRAT: Android Banking Trojan Variant Targeting Brazilian Banks
https://blog.cyble.com/2023/03/14/goatrat-android-banking-trojan-variant-targeting-brazilian-banks
Threats:
Goatrat
Industry:
Financial
Geo:
Brazilian
TTPs:
Tactics: 3
Technics: 4
IOCs:
Url: 4
File: 3
Hash: 2
Softs:
android
Functions:
getText, getPIX, performAction
14-03-2023
GoatRAT: Android Banking Trojan Variant Targeting Brazilian Banks
https://blog.cyble.com/2023/03/14/goatrat-android-banking-trojan-variant-targeting-brazilian-banks
Threats:
Goatrat
Industry:
Financial
Geo:
Brazilian
TTPs:
Tactics: 3
Technics: 4
IOCs:
Url: 4
File: 3
Hash: 2
Softs:
android
Functions:
getText, getPIX, performAction
Cyble
GoatRAT: Banking Trojan Targeting Brazil
Read Cyble Research & Intelligence Labs' Analysis of GoatRat, a Banking Trojan targeting Brazilian banks via the ATS framework.
CTT Report Hub
#ParsedReport 14-03-2023 GoatRAT: Android Banking Trojan Variant Targeting Brazilian Banks https://blog.cyble.com/2023/03/14/goatrat-android-banking-trojan-variant-targeting-brazilian-banks Threats: Goatrat Industry: Financial Geo: Brazilian TTPs: Tactics:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Недавно была обнаружена новая версия банковского троянца GoatRAT для Android, специально нацеленная на бразильские банки. Этот новый вариант использует систему автоматических переводов (ATS) для осуществления несанкционированных денежных переводов на зараженных устройствах. Вредоносный сокращенный URL hxxps://bit.ly/nubankmodulo перенаправляет пользователей на URL GoatRAT hxxps://goatrat.com/apks/apk20.apk, который содержит вредоносное ПО для Android.
После установки вредоносная программа инициирует службу под названием Server, которая устанавливает контакт с сервером Command and Control (C&C) для получения PIX-ключа, необходимого для проведения мошеннических операций. Затем вредоносная программа использует службу Accessibility Service для проверки соответствия имени активного пакета одному из имен пакетов целевых приложений. После идентификации вредоносная программа создает поддельное оверлейное банковское окно и использует функцию getText() для извлечения текста из целевого банковского приложения. Затем вредоносная программа извлекает ключ PIX с помощью функции getPIX() и вставляет его в указанное поле. Затем вредоносная программа вводит значение, сохраненное в переменной money, в поле перевода суммы. Наконец, вредоносная программа использует функцию performAction() для автоматического выполнения кликов по кнопкам Confirm и Pay. Затем вредоносная программа использует код для удаления оверлейного окна из верхней части целевого банковского приложения после завершения перевода денег.
Этот новый вариант GoatRAT подчеркивает повышенный риск кибератак, которые не требуют многочисленных разрешений или множества функций банковского троянца для проведения финансовых махинаций. Для защиты от подобных атак важно соблюдать основные правила кибербезопасности, такие как загрузка программ только из официальных магазинов приложений, использование надежных антивирусов и программных пакетов для обеспечения интернет-безопасности, применение многофакторной аутентификации, включение биометрических функций безопасности, осторожность при открытии ссылок, полученных по SMS или электронной почте, и постоянное обновление устройств, операционных систем и приложений.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Недавно была обнаружена новая версия банковского троянца GoatRAT для Android, специально нацеленная на бразильские банки. Этот новый вариант использует систему автоматических переводов (ATS) для осуществления несанкционированных денежных переводов на зараженных устройствах. Вредоносный сокращенный URL hxxps://bit.ly/nubankmodulo перенаправляет пользователей на URL GoatRAT hxxps://goatrat.com/apks/apk20.apk, который содержит вредоносное ПО для Android.
После установки вредоносная программа инициирует службу под названием Server, которая устанавливает контакт с сервером Command and Control (C&C) для получения PIX-ключа, необходимого для проведения мошеннических операций. Затем вредоносная программа использует службу Accessibility Service для проверки соответствия имени активного пакета одному из имен пакетов целевых приложений. После идентификации вредоносная программа создает поддельное оверлейное банковское окно и использует функцию getText() для извлечения текста из целевого банковского приложения. Затем вредоносная программа извлекает ключ PIX с помощью функции getPIX() и вставляет его в указанное поле. Затем вредоносная программа вводит значение, сохраненное в переменной money, в поле перевода суммы. Наконец, вредоносная программа использует функцию performAction() для автоматического выполнения кликов по кнопкам Confirm и Pay. Затем вредоносная программа использует код для удаления оверлейного окна из верхней части целевого банковского приложения после завершения перевода денег.
Этот новый вариант GoatRAT подчеркивает повышенный риск кибератак, которые не требуют многочисленных разрешений или множества функций банковского троянца для проведения финансовых махинаций. Для защиты от подобных атак важно соблюдать основные правила кибербезопасности, такие как загрузка программ только из официальных магазинов приложений, использование надежных антивирусов и программных пакетов для обеспечения интернет-безопасности, применение многофакторной аутентификации, включение биометрических функций безопасности, осторожность при открытии ссылок, полученных по SMS или электронной почте, и постоянное обновление устройств, операционных систем и приложений.
#ParsedReport
14-03-2023
Cisco Talos Intelligence Blog. Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency
https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe
Actors/Campaigns:
Kasablanka
Threats:
Yorotrooper
Avemaria_rat
Lodarat
Meterpreter_tool
Lazagne
Poet_rat
Industry:
Energy, Government, Healthcare
Geo:
Kyrgyzstan, Turkey, Belarusian, Tajikistan, Uzbekistan, Turkish, Belarus, Russian, Turkmenistan, Russia, Azerbaijani, Azerbaijan, Minsk
IOCs:
Domain: 66
File: 4
Hash: 62
IP: 19
Url: 53
Softs:
pyinstaller, telegram, google chrome, discord
Algorithms:
zip
Languages:
python
Links:
14-03-2023
Cisco Talos Intelligence Blog. Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency
https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe
Actors/Campaigns:
Kasablanka
Threats:
Yorotrooper
Avemaria_rat
Lodarat
Meterpreter_tool
Lazagne
Poet_rat
Industry:
Energy, Government, Healthcare
Geo:
Kyrgyzstan, Turkey, Belarusian, Tajikistan, Uzbekistan, Turkish, Belarus, Russian, Turkmenistan, Russia, Azerbaijani, Azerbaijan, Minsk
IOCs:
Domain: 66
File: 4
Hash: 62
IP: 19
Url: 53
Softs:
pyinstaller, telegram, google chrome, discord
Algorithms:
zip
Languages:
python
Links:
https://github.com/AlessandroZ/LaZagne/blob/b1289b8f69d41356d85403c6ecefc569588b3a68/Linux/lazagne/softwares/browsers/chromium\_based.py?ref=cisco-talos-blog
https://github.com/FallenAstaroth/stink?ref=cisco-talos-blog
https://github.com/Cisco-Talos/IOCs/tree/main/2023/03?ref=cisco-talos-blog
https://github.com/Nuitka/Nuitka?ref=cisco-talos-blogCisco Talos
Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency
Cisco Talos has identified a new espionage oriented threat actor, which we are naming “YoroTrooper,” targeting a multitude of entities in Europe and Turkey.
CTT Report Hub
#ParsedReport 14-03-2023 Cisco Talos Intelligence Blog. Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
YoroTrooper - изощренный агент угроз, действующий с июня 2022 года и нацеленный на правительства и энергетические организации в Содружестве Независимых Государств (СНГ), а также посольства Азербайджана и Туркменистана. Угроза связана с успешной компрометацией учетных записей двух международных организаций: агентства здравоохранения Европейского союза (ЕС) и Всемирной организации интеллектуальной собственности (ВОИС). Набор инструментов YoroTrooper включает AveMaria/Warzone RAT, LodaRAT, имплантат на основе Python, пользовательские скрипты и Stink Stealer. Все вредоносные программы на базе Python упаковываются в исполняемый файл с помощью таких фреймворков, как Nuitka или PyInstaller. Пользовательские имплантаты используют ботов Telegram для эксфильтрации или получения команд от оператора.
Цепочка заражения YoroTrooper начинается с вредоносных файлов ярлыков (LNK) и документов-приманок, завернутых во вредоносные архивы, которые доставляются по фишинговой электронной почте. После выполнения эти файлы загружают и запускают удаленные файлы HTA, которые, в свою очередь, выполняют команды на основе PowerShell для загрузки и выполнения следующей полезной нагрузки, обычно вредоносного дроппера на основе EXE и документа-приманки. Вредоносный EXE затем развертывает вредоносную программу для кражи информации, включая учетные данные, историю и файлы cookie для нескольких браузеров, а также скриншоты и внешние IP-адреса.
YoroTrooper был замечен в развертывании различных инструментов, включая инструменты с открытым исходным кодом для эксфильтрации учетных данных и первоначальной разведки. Она также использует пользовательские имплантаты на базе Python, причем последний вариант, обнаруженный в феврале 2023 года, представляет собой простой скрипт для кражи, который извлекает данные для входа в браузер Chrome и эксфильтрирует их через бота Telegram. Известно, что группа также использует AveMaria/Warzone RAT, LodaRAT и пользовательский кейлоггер на языке Си. Хотя LodaRAT приписывают угрозе Kasablanka, наши исследования показывают, что варианты LodaRAT, используемые YoroTrooper, отличаются от предыдущих версий и основаны на версиях, замеченных в других кампаниях, что указывает на его доступность для многих угроз.
YoroTrooper представляется сложным субъектом угроз с четкой мотивацией к шпионажу. Использование разнообразных вредоносных программ и инструментов с открытым исходным кодом для атак на правительства и международные организации в регионе СНГ свидетельствует об уровне изощренности и преданности делу, о чем свидетельствует постоянная эволюция и внедрение новых инструментов в ходе кампаний. Учитывая растущую распространенность инструментов с открытым исходным кодом и обилие вредоносного кода, доступного в Интернете, организациям важно сохранять бдительность и обеспечивать актуальность своих решений по безопасности для обнаружения и предотвращения любой вредоносной активности.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
YoroTrooper - изощренный агент угроз, действующий с июня 2022 года и нацеленный на правительства и энергетические организации в Содружестве Независимых Государств (СНГ), а также посольства Азербайджана и Туркменистана. Угроза связана с успешной компрометацией учетных записей двух международных организаций: агентства здравоохранения Европейского союза (ЕС) и Всемирной организации интеллектуальной собственности (ВОИС). Набор инструментов YoroTrooper включает AveMaria/Warzone RAT, LodaRAT, имплантат на основе Python, пользовательские скрипты и Stink Stealer. Все вредоносные программы на базе Python упаковываются в исполняемый файл с помощью таких фреймворков, как Nuitka или PyInstaller. Пользовательские имплантаты используют ботов Telegram для эксфильтрации или получения команд от оператора.
Цепочка заражения YoroTrooper начинается с вредоносных файлов ярлыков (LNK) и документов-приманок, завернутых во вредоносные архивы, которые доставляются по фишинговой электронной почте. После выполнения эти файлы загружают и запускают удаленные файлы HTA, которые, в свою очередь, выполняют команды на основе PowerShell для загрузки и выполнения следующей полезной нагрузки, обычно вредоносного дроппера на основе EXE и документа-приманки. Вредоносный EXE затем развертывает вредоносную программу для кражи информации, включая учетные данные, историю и файлы cookie для нескольких браузеров, а также скриншоты и внешние IP-адреса.
YoroTrooper был замечен в развертывании различных инструментов, включая инструменты с открытым исходным кодом для эксфильтрации учетных данных и первоначальной разведки. Она также использует пользовательские имплантаты на базе Python, причем последний вариант, обнаруженный в феврале 2023 года, представляет собой простой скрипт для кражи, который извлекает данные для входа в браузер Chrome и эксфильтрирует их через бота Telegram. Известно, что группа также использует AveMaria/Warzone RAT, LodaRAT и пользовательский кейлоггер на языке Си. Хотя LodaRAT приписывают угрозе Kasablanka, наши исследования показывают, что варианты LodaRAT, используемые YoroTrooper, отличаются от предыдущих версий и основаны на версиях, замеченных в других кампаниях, что указывает на его доступность для многих угроз.
YoroTrooper представляется сложным субъектом угроз с четкой мотивацией к шпионажу. Использование разнообразных вредоносных программ и инструментов с открытым исходным кодом для атак на правительства и международные организации в регионе СНГ свидетельствует об уровне изощренности и преданности делу, о чем свидетельствует постоянная эволюция и внедрение новых инструментов в ходе кампаний. Учитывая растущую распространенность инструментов с открытым исходным кодом и обилие вредоносного кода, доступного в Интернете, организациям важно сохранять бдительность и обеспечивать актуальность своих решений по безопасности для обнаружения и предотвращения любой вредоносной активности.
#ParsedReport
14-03-2023
South Korean Android Banking Menace FakeCalls. Voice phishing
https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls
Threats:
Fakecalls
Dead_drop_technique
Industry:
Petroleum, Financial, Government
Geo:
Korean, Korea
IOCs:
Hash: 21
Softs:
android, curl
Algorithms:
aes, zip
Links:
14-03-2023
South Korean Android Banking Menace FakeCalls. Voice phishing
https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls
Threats:
Fakecalls
Dead_drop_technique
Industry:
Petroleum, Financial, Government
Geo:
Korean, Korea
IOCs:
Hash: 21
Softs:
android, curl
Algorithms:
aes, zip
Links:
https://github.com/pedroSG94/rtmp-rtsp-stream-client-javaCheck Point Research
South Korean Android Banking Menace – FakeCalls - Check Point Research
Research by: Bohdan Melnykov, Raman Ladutska When malware actors want to enter the business, they can choose markets where their profit is almost guaranteed to be worth the effort – according to past results. The malware does not need to be high profile,…
CTT Report Hub
#ParsedReport 14-03-2023 South Korean Android Banking Menace FakeCalls. Voice phishing https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls Threats: Fakecalls Dead_drop_technique Industry: Petroleum, Financial, Government…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Мы проанализировали вредоносную программу FakeCalls, направленную на Южную Корею, - вредоносную программу, которая в 2020 году нанесла финансовый ущерб на сумму около 600 миллионов долларов США и имеет более 2500 наблюдаемых образцов. Разработчики этого вредоносного ПО уделили особое внимание защите своего творения, реализовав несколько уникальных техник анти-анализа и механизмов маскированного разрешения командно-контрольных серверов, стоящих за операциями. Трюки и подходы, использованные этой конкретной вредоносной программой, могут быть повторно использованы в других приложениях, нацеленных на другие рынки по всему миру, что делает еще более важным исследование вредоносных программ, которые активны даже в странах с небольшим населением. Для смягчения последствий таких атак Check Points Harmony Mobile предлагает комплексное решение, которое обнаруживает и блокирует загрузку вредоносных приложений в режиме реального времени.
Голосовой фишинг является растущей угрозой в цифровом мире, особенно в Южной Корее, где вредоносная программа FakeCalls принесла огромную финансовую прибыль за счет тысяч жертв. Вредоносная программа была разработана таким образом, что создавалось впечатление, будто она исходит от законного банка, заменяя свой собственный номер на номер реального банка, чтобы установить доверие с жертвой. Затем она использует предварительно записанные звуковые дорожки, чтобы дать инструкции о том, как получить от жертвы частные финансовые данные. Для защиты от таких атак Check Points Harmony Mobile предоставляет функцию On-device Network Protection, которая распространяет ведущие в отрасли технологии сетевой безопасности Check Points на мобильные устройства. Кроме того, чтобы опережать возникающие угрозы, исследователи должны продолжать изучать новые варианты вредоносных программ и методы, используемые киберпреступниками.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Мы проанализировали вредоносную программу FakeCalls, направленную на Южную Корею, - вредоносную программу, которая в 2020 году нанесла финансовый ущерб на сумму около 600 миллионов долларов США и имеет более 2500 наблюдаемых образцов. Разработчики этого вредоносного ПО уделили особое внимание защите своего творения, реализовав несколько уникальных техник анти-анализа и механизмов маскированного разрешения командно-контрольных серверов, стоящих за операциями. Трюки и подходы, использованные этой конкретной вредоносной программой, могут быть повторно использованы в других приложениях, нацеленных на другие рынки по всему миру, что делает еще более важным исследование вредоносных программ, которые активны даже в странах с небольшим населением. Для смягчения последствий таких атак Check Points Harmony Mobile предлагает комплексное решение, которое обнаруживает и блокирует загрузку вредоносных приложений в режиме реального времени.
Голосовой фишинг является растущей угрозой в цифровом мире, особенно в Южной Корее, где вредоносная программа FakeCalls принесла огромную финансовую прибыль за счет тысяч жертв. Вредоносная программа была разработана таким образом, что создавалось впечатление, будто она исходит от законного банка, заменяя свой собственный номер на номер реального банка, чтобы установить доверие с жертвой. Затем она использует предварительно записанные звуковые дорожки, чтобы дать инструкции о том, как получить от жертвы частные финансовые данные. Для защиты от таких атак Check Points Harmony Mobile предоставляет функцию On-device Network Protection, которая распространяет ведущие в отрасли технологии сетевой безопасности Check Points на мобильные устройства. Кроме того, чтобы опережать возникающие угрозы, исследователи должны продолжать изучать новые варианты вредоносных программ и методы, используемые киберпреступниками.
#ParsedReport
14-03-2023
Medusa ransomware gang picks up steam as it targets companies worldwide
https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide
Threats:
Medusalocker
Mirai
IOCs:
File: 3
Email: 1
Softs:
android, telegram
Algorithms:
aes-256, rsa-2048
14-03-2023
Medusa ransomware gang picks up steam as it targets companies worldwide
https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide
Threats:
Medusalocker
Mirai
IOCs:
File: 3
Email: 1
Softs:
android, telegram
Algorithms:
aes-256, rsa-2048
BleepingComputer
Medusa ransomware gang picks up steam as it targets companies worldwide
A ransomware operation known as Medusa has begun to pick up steam in 2023, targeting corporate victims worldwide with million-dollar ransom demands.
CTT Report Hub
#ParsedReport 14-03-2023 Medusa ransomware gang picks up steam as it targets companies worldwide https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide Threats: Medusalocker Mirai IOCs: File:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Medusa - это программа-вымогатель, которая набирает обороты в 2023 году. Она началась в июне 2021 года, но с относительно низкой активностью и небольшим количеством жертв. С тех пор появилось множество других семейств вредоносных программ с таким же названием, но оригинальная Medusa ransomware полностью отличается от них. Она обычно используется в модели Ransomware-as-a-Service, имеет множество филиалов, записку с выкупом, обычно называемую How_to_back_files.html, и широкий выбор расширений для зашифрованных файлов.
Программа Medusa ransomware использует шифрование AES-256 + RSA-2048 с помощью библиотеки BCrypt. Файлы, зашифрованные Medusa Ransomware, имеют расширение .MEDUSA, добавляемое к их именам. Кроме того, программа удаляет теневые копии томов Windows и файлы резервных копий в качестве дополнительного шага для предотвращения восстановления. В каждой папке создается примечание о выкупе под названием !!!READ_ME_MEDUSA!!!.txt. Его переговорный сайт размещен на сайте Tor qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.onion, а сайт утечки данных - medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd[.onion.
Наиболее тревожным аспектом программы Medusa ransomware является то, что она не имеет известных слабых мест в своем шифровании, а значит, у жертв очень мало шансов восстановить свои файлы без уплаты выкупа. Такая стратегия двойного вымогательства становится все более распространенной среди банд вымогателей, и это означает, что организации должны быть как никогда бдительны в защите своих систем от атак. Кроме того, они могут выиграть от инвестиций в такие решения, как программное обеспечение нового поколения для защиты от вымогательства и регулярное резервное копирование данных, чтобы минимизировать любой ущерб, нанесенный успешной атакой.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Medusa - это программа-вымогатель, которая набирает обороты в 2023 году. Она началась в июне 2021 года, но с относительно низкой активностью и небольшим количеством жертв. С тех пор появилось множество других семейств вредоносных программ с таким же названием, но оригинальная Medusa ransomware полностью отличается от них. Она обычно используется в модели Ransomware-as-a-Service, имеет множество филиалов, записку с выкупом, обычно называемую How_to_back_files.html, и широкий выбор расширений для зашифрованных файлов.
Программа Medusa ransomware использует шифрование AES-256 + RSA-2048 с помощью библиотеки BCrypt. Файлы, зашифрованные Medusa Ransomware, имеют расширение .MEDUSA, добавляемое к их именам. Кроме того, программа удаляет теневые копии томов Windows и файлы резервных копий в качестве дополнительного шага для предотвращения восстановления. В каждой папке создается примечание о выкупе под названием !!!READ_ME_MEDUSA!!!.txt. Его переговорный сайт размещен на сайте Tor qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.onion, а сайт утечки данных - medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd[.onion.
Наиболее тревожным аспектом программы Medusa ransomware является то, что она не имеет известных слабых мест в своем шифровании, а значит, у жертв очень мало шансов восстановить свои файлы без уплаты выкупа. Такая стратегия двойного вымогательства становится все более распространенной среди банд вымогателей, и это означает, что организации должны быть как никогда бдительны в защите своих систем от атак. Кроме того, они могут выиграть от инвестиций в такие решения, как программное обеспечение нового поколения для защиты от вымогательства и регулярное резервное копирование данных, чтобы минимизировать любой ущерб, нанесенный успешной атакой.