#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: OpcJacker - это новый тип вредоносного ПО, которое в основном используется для перехвата криптовалюты и распространяется через вредоносные рекламные объявления, нацеленные на пользователей из Ирана. Он закрпляется, отслеживает буфер обмена на предмет криптовалютных адресов и запускает исполняемый файл, который может быть RAT, загрузчиком или hVNC. Он находится на стадии разработки и тестирования и является потенциальной угрозой, поэтому следует принять превентивные меры.
-----

OpcJacker - это новый тип вредоносного ПО, который распространяется в дикой природе со второй половины 2022 года. Он в основном используется для перехвата криптовалюты, кейлоггинга, создания скриншотов и кражи конфиденциальных данных из браузеров. Угрожающие субъекты, стоящие за этой кампанией, предпочитают использовать для распространения OpcJacker ISO-образы и RAR/ZIP-архивы, содержащие модифицированные инсталляторы различных программ. Эти ISO-образы и архивы распространяются через вредоносные программы, ориентированные на пользователей в Иране, через поддельные веб-сайты, замаскированные под криптовалютные приложения.

Вредоносный код загружается с помощью загрузчика под названием Babadeda crypter. Этот криптер также используется для загрузки программы Phobos ransomware. Кроме того, новые версии этого криптера содержат еще одну библиотеку DLL (mdb.dll), которая загружается в память и перезаписывает случайно выбранный блок памяти шеллкодом первой стадии. Этот шеллкод первой стадии расшифровывается и объединяет все фрагменты для формирования шеллкода второй стадии, который является загрузчиком и основной вредоносной программой.

Основной компонент вредоносной программы (OpcJacker) представляет собой интересный стиллер, который устанавливает постоянство с помощью методов запуска реестра и планировщика задач. Затем он запускает функцию clipper, которая отслеживает буфер обмена на предмет криптовалютных адресов и заменяет их на собственные криптовалютные адреса, контролируемые злоумышленниками. Наконец, virtual_launch_exe запускает исполняемый файл, который, по нашим наблюдениям, является либо NetSupport RAT, либо загрузчиком NetSupport RAT, либо hVNC.

Атакующие, стоящие за этой кампанией, по-видимому, преследуют финансовые цели, поскольку основная задача вредоносной программы - кража криптовалютных средств с кошельков. Кроме того, универсальные функции OpcJacker позволяют ему выступать в качестве похитителя информации или загрузчика вредоносного ПО, что означает возможность его использования не по назначению.

Анализ образцов показывает, что вредоносный код может находиться на стадии разработки и тестирования. Учитывая его уникальный дизайн в сочетании с различными функциями, подобными VM, не исключено, что вредоносная программа может оказаться популярной среди угрожающих субъектов и, следовательно, может быть использована в будущих угрожающих кампаниях. Поэтому важно сохранять бдительность и принимать превентивные меры против этой вредоносной программы, например, избегать непроверенных веб-сайтов, устанавливать антивирусное программное обеспечение и поддерживать его в актуальном состоянии.

#ParsedReport
29-03-2023

ASEC Weekly Phishing Email Threat Trends (March 12th, 2023 March 18th, 2023)

https://asec.ahnlab.com/en/50470

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook
Variantcrypter

Industry:
Financial, Healthcare, Transport, Logistic

Geo:
Korean

TTPs:

IOCs:
File: 68
Url: 19

Algorithms:
zip

Languages:
php

#ParsedReport
29-03-2023

How Threat Actors are Exploiting ChatGPT's Popularity to Spread Malware via Compromised Facebook Accounts Putting Over 500,000 People at Risk

https://cloudsek.com/blog/how-threat-actors-are-exploiting-chatgpts-popularity-to-spread-malware-via-compromised-facebook-accounts-putting-over-500-000-people-at-risk

Industry:
Financial

Geo:
Pakistan, Philippines, Mexico, Vietnamese, Brazil, Vietnam

IOCs:
Url: 17

Softs:
chatgpt', chatgpt, "chatgpt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы распространяются через аккаунты и страницы Facebook и способны похищать личную информацию, системные данные и данные кредитных карт. Компании должны убедиться, что их меры безопасности соответствуют современным требованиям, а пользователи должны с осторожностью относиться к любым ссылкам, отправляемым через рекламу Facebook.
-----

Недавнее исследование CloudSEK выявило тревожную распространенность вредоносного ПО, распространяемого через аккаунты и страницы Facebook. Наше расследование показало, что 13 страниц/аккаунтов Facebook общей численностью более 500 000 подписчиков были взломаны и использованы для распространения вредоносного ПО. Самый старый случай был выявлен 13 февраля 2023 года, а возраст некоторых аккаунтов составляет всего 0 дней.

Вредоносная программа способна похищать личную информацию, системные данные и данные кредитных карт своих жертв. После проверки вредоносной программы через VirusTotal она была отмечена как вредоносная 9 из 61 поставщика средств безопасности. Она обладает возможностями репликации, может повышать привилегии и имеет постоянные механизмы, которые затрудняют ее удаление из системы. Мало того, для размещения вредоносной программы злоумышленники также используют законные веб-сайты, такие как Google Drive, Trello и другие отдельные веб-сайты.

Анализ этих взломанных аккаунтов и страниц в Facebook показал, что ими управляли люди из Вьетнама, Филиппин, Бразилии, Пакистана и Мексики. Кроме того, на многих страницах неоднократно использовалось одно и то же видео, что наводит на мысль о единой группе или отдельном человеке, ответственном за атаки. Кроме того, была обнаружена доска Trello, содержащая карточки, написанные на вьетнамском языке, которые могут дать дополнительные подсказки о происхождении и мотивах угроз.

Помимо вредоносной программы ChatGPT, в ходе нашего исследования были обнаружены поддельные приложения, которые в настоящее время могут использоваться для мошеннических действий. Хотя все компании, против которых направлены эти угрозы, являются законными и не несут ответственности за взломы, некоторые из них предприняли шаги, чтобы предупредить пользователей об обмене конфиденциальной информацией.

Эти результаты показывают, насколько серьезной является проблема распространения вредоносных программ через социальные сети и насколько важно, чтобы пользователи сохраняли бдительность при работе в Интернете. Компании должны убедиться, что их меры безопасности актуальны, а также расследовать любую подозрительную активность в своих сетях. Между тем, пользователи должны всегда остерегаться любых ссылок, отправленных через рекламу Facebook, независимо от того, насколько законными они кажутся, и никогда не делиться своей конфиденциальной информацией.

#ParsedReport
29-03-2023

Spyware vendors use 0-days and n-days against popular platforms

https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms

Threats:
Cytrox
Predator
Heliconia_noise_tool

Industry:
Government, Logistic

Geo:
Malaysia, Kazakhstan, Emirates, Mali, Italian, Malaysian, Italy

CVEs:
CVE-2020-3837 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (<13.3.1)
- apple ipados (<13.3.1)
- apple tvos (<13.3.1)
- apple watchos (<6.1.2)
- apple mac os x (<10.15.3)
have more...
CVE-2022-1134 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<100.0.4896.60)

CVE-2021-30900 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (15.0, <14.8.1)
- apple ipad os (<14.8.1)
- apple macos (<11.6.1)
- apple ipados (15.0)

CVE-2022-3723 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<107.0.5304.87)

CVE-2023-0266 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.9
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<6.2)

CVE-2022-3038 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.52)
- fedoraproject fedora (37)

CVE-2023-26083 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-22706 [Vulners]
CVSS V3.1: 4.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- arm bifrost (<r36p0)
- arm valhall (<r36p0)
- arm midgard (ler31p0)

CVE-2022-42856 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple tvos (<16.2)
- apple ipados (<15.7.2)
- apple iphone os (<15.7.2, <16.1.2)
- apple macos (<13.1)
- apple safari (<16.2)
have more...
CVE-2022-2856 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<104.0.5112.101)
- fedoraproject fedora (37)

CVE-2022-38181 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arm midguard gpu kernel driver (ler31p0)
- arm valhall gpu kernel driver (r39p0, ler38p1)
- arm bifrost gpu kernel driver (r39p0, ler38p1)

CVE-2022-4135 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<107.0.5304.121)
- microsoft edge (<107.0.1418.62)
- microsoft edge chromium (<107.0.5304.150)

CVE-2022-4262 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<108.0.5359.94)


IOCs:
Url: 4
Domain: 2
File: 3

Softs:
android, chrome, chromium

Platforms:
arm, apple

Links:
https://github.com/singi/oob\_timestamp

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа угроз Google (TAG) недавно обнаружила две кампании, использующие эксплойты 0-дня для атак на пользователей Android, iOS и Chrome. Эти кампании демонстрируют, как коммерческие поставщики средств наблюдения распространили возможности, которые раньше использовались только правительствами, и как существует серьезный риск для интернета из-за использования этих уязвимостей 0-дня. Google обязуется информировать сообщество и предпринимать шаги для защиты пользователей.
-----

Группа анализа угроз (Threat Analysis Group, TAG) компании Google занимается отслеживанием участников различных информационных операций, атак, поддерживаемых правительством, и злоупотреблений, мотивированных финансовыми соображениями. На протяжении многих лет TAG активно отслеживает деятельность коммерческих поставщиков шпионского ПО, которые предоставляют опасные инструменты взлома правительствам, не способным самостоятельно разработать такие возможности. В этом сообщении в блоге приводятся подробности двух недавно обнаруженных ими целевых кампаний, обе из которых используют 0-день для эксплуатации Android, iOS и Chrome.

В первой кампании использовались 0-day эксплойты, доставленные через ссылки bit.ly, отправленные по SMS пользователям, находящимся в Италии, Малайзии и Казахстане. CVE-2022-42856 - удаленное выполнение кода, использующее проблему путаницы типов в JIT-компиляторе. CVE-2021-30900 - ошибка выхода из песочницы и повышения привилегий в AGXAccelerator, исправленная Apple в версии 15.1. CVE-2022-3723 - уязвимость путаницы типов в Chrome, обнаруженная компанией Avast в дикой природе и исправленная в октябре 2022 года. CVE-2022-4135 - обход GPU-песочницы в Chrome, затрагивающий только Android (0-день на момент эксплуатации), исправлен в ноябре 2022 года. CVE-2022-38181 - ошибка повышения привилегий, исправленная ARM в августе 2022 года. Устройства Pixel с обновлением безопасности 2023-01-05 защищены от обеих цепочек эксплойтов, а также пользователи Chrome, обновленные как минимум до версии 108.0.5359.

Вторая кампания представляла собой цепочку эксплойтов, состоящую из нескольких 0- и n-day эксплойтов, нацеленных на Samsung Internet Browser, которые были доставлены в виде одноразовых ссылок, отправленных через SMS пользователям в Объединенных Арабских Эмиратах (ОАЭ). Цепочка эксплойтов поставляла полнофункциональный шпионский набор для Android, написанный на C++. CVE-2022-4262 и CVE-2023-0266 были 0-днями на момент эксплуатации. CVE-2022-3038 представлял собой выход из песочницы в Chrome, исправленный в августе 2022 года. CVE-2022-22706 - уязвимость в драйвере ядра GPU Mali, исправленная ARM в январе 2022 года и отмеченная как используемая в дикой природе. Цепочка эксплойтов использовала преимущества многочисленных 0-дневных утечек информации ядра. Google сообщил об этих уязвимостях ARM и Samsung, которые были устранены после выхода версии 19.0.6 в конце декабря 2022 года.

Эти кампании демонстрируют степень распространения коммерческими поставщиками средств наблюдения возможностей, которые исторически использовались только правительствами, обладающими техническими знаниями для разработки и внедрения эксплойтов. Индустрия коммерческого шпионского ПО продолжает процветать, и даже мелкие поставщики систем наблюдения имеют доступ к 0-дням. Поскольку использование этих уязвимостей 0-дня часто держится в секрете, существует серьезный риск для Интернета. Также возможно, что эксплойты и методы используются поставщиками средств наблюдения, что способствует распространению опасных инструментов взлома. Google продолжает информировать сообщество и принимать меры по защите пользователей по мере выявления подобных кампаний.

#ParsedReport
29-03-2023

Cl0p Ransomware Group Targets Multiple Entities By Exploiting CVE-2023-0669 in GoAnywhere MFT. Get Global Threat Intelligence on Real Time

https://cloudsek.com/threatintelligence/cl0p-ransomware-group-targets-multiple-entities-by-exploiting-cve-2023-0669-in-goanywhere-mft

Threats:
Clop
Metasploit_tool
Proxyshell_vuln

Industry:
Healthcare

Geo:
Usa

CVEs:
CVE-2023-0669 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)


IOCs:
File: 1

Softs:
goanywhere, microsoft exchange

Links:
https://gist.github.com/Frycos/d7ec4de07123f78cc37d29890dce0313

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Cl0p ransomware является активной и все более опасной угрозой, требующей от организаций принятия дополнительных мер предосторожности для защиты своих данных и систем.
-----

CloudSEK, недавно обнаружила, что ряд компаний стали жертвами Cl0p, широко известного штамма вымогательского ПО, активного с 2019 года. Cl0p известен своей тактикой "двойного вымогательства", при которой украденные данные также угрожают раскрыть, если не будет выплачен выкуп. Было установлено, что группа использовала CVE-2023-0669 в GoAnywhere MFT, который был исправлен 7 февраля 2023 года.

Уязвимость вызвана ошибкой десериализации и может быть использована путем отправки post-запроса на конечную точку по адресу /goanywhere/lic/accept. Помимо этого, группа использует различные другие методы, такие как фишинговые письма, активное использование "нулевых дней" в природе и возможность распространения через эксфильтрованные учетные данные от похитителей информации. В США находится большинство уязвимых экземпляров GoAnywhere MFT, и, следовательно, именно в этом регионе находится большинство жертв группы Cl0p ransomware.

Для борьбы с этой проблемой на GitHub были выпущены модуль Metasploit и инструмент POC для эксплуатации этой уязвимости. Инструмент POC берет объект, содержащий вредоносный код, хранящийся в файле bin, и шифрует его. Затем этот зашифрованный объект отправляется через пост-запрос на уязвимую конечную точку по адресу /goanywhere/lic/accept, после чего библиотека пытается десериализовать его и происходит удаленное выполнение кода.

#rstcloud
Начали работы по созданию классификатора изображений в TI-отчетах. Очень хочется научиться вытаскивать картинки с графами атак и кусками кода.

На правах рекламы. Вебминарчик за TI от Позитива.

https://www.ptsecurity.com/ru-ru/research/webinar/pt-feeds-kak-povysit-zashchishchennost-pri-pomoshchi-ti

#technique

HardHat C2
A cross-platform, collaborative, Command & Control framework written in C#, designed for red teaming and ease of use.

https://github.com/DragoQCC/HardHatC2

Contracts Identify Cyber Operations Projects from Russian Company NTC Vulkan

https://www.mandiant.com/resources/blog/cyber-operations-russian-vulkan

#ParsedReport
30-03-2023

SmoothOperator Supply Chain Attack Targeting 3CX VOIP Desktop Client

https://socradar.io/smoothoperator-supply-chain-attack-targeting-3cx-voip-desktop-client

Actors/Campaigns:
Smoothoperator
Lazarus

Threats:
Supply_chain_technique

Industry:
Healthcare

Geo:
American, Korean

IOCs:
File: 2
Domain: 21

Softs:
macos, chrome

Algorithms:
base64

Links:
https://github.com/IconStorages/images

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организации должны принимать меры по мониторингу и предотвращению инцидентов в цепочке поставок, включая внедрение процессов и технологий для быстрого обнаружения и реагирования, обучение персонала тому, как распознавать угрозы и реагировать на них, а также обеспечение того, чтобы все используемое программное обеспечение и компоненты были из надежных источников и регулярно обновлялись.
-----

Мониторинг и предотвращение инцидентов в цепочке поставок имеет решающее значение для безопасности любой организации. Недавняя атака на настольный клиент 3CX является примером такого инцидента и может иметь значительные потенциальные последствия из-за профиля клиентов 3CX, который включает такие ведущие бренды, как American Express, AirFrance, BMW, Toyota, Mercedes, Национальная служба здравоохранения и Coca-Cola.

Атака работает путем извлечения двух вредоносных DLL-файлов, ffmpeg.dll и d3dcompiler_47.dll. Первая DLL-библиотека, ffmpeg.dll, загружается боковой загрузкой и выполняет зашифрованную полезную нагрузку во втором DLL-файле, d3dcompiler_47.dll. Затем вредоносная программа загружает с GitHub файлы иконок (*.ICO), которые содержат инструкции в виде закодированных в Base64 строк в конце изображений. Вредоносная программа использует эти инструкции для загрузки конечной полезной нагрузки. Конечная полезная нагрузка загружается в виде DLL - новой вредоносной программы для кражи информации, которая нацелена на профили пользователей браузеров Chrome, Edge, Brave и Firefox для поиска сохраненных учетных данных и другой информации.

Исследователи из Crowdstrike предполагают, что атака может быть связана с северокорейской государственной группой угроз под названием Labyrinth Collima, подгруппой Lazarus. Поставщики защитного программного обеспечения, такие как SentinelOne, ESET, Sophos и CrowdStrike, выявили вредоносный код и предупредили пользователей о необходимости исследовать свои системы.

В целом, организациям важно принимать меры по мониторингу и предотвращению инцидентов в цепочке поставок. Это включает в себя внедрение процессов и технологий для быстрого обнаружения и реагирования на инциденты, а также обучение персонала тому, как распознавать угрозы и реагировать на них. Кроме того, организациям следует убедиться, что все программное обеспечение и компоненты, используемые в их системах, получены из надежных источников и регулярно обновляются.

#ParsedReport
30-03-2023

Technical Analysis of Xloaders Code Obfuscation in Version 4.3. Key Points

https://www.zscaler.com/blogs/security-research/technical-analysis-xloaders-code-obfuscation-version-43

Threats:
Formbook
Process_injection_technique

IOCs:
File: 3
Hash: 5
Domain: 65

Algorithms:
xor, rc4, base64

Functions:
RtlGetProcessHeaps

Languages:
python

Links:
https://github.com/threatlabz/tools/tree/main/xloader/custom\_buffer\_decryption\_algorithm.py
https://github.com/threatlabz/tools/tree/main/xloader/custom\_sha1.py
https://github.com/threatlabz/tools/tree/main/xloader/decrypt\_strings.py
https://github.com/threatlabz/tools/tree/main/xloader/custom\_rc4.py
https://github.com/threatlabz/tools/tree/main/xloader

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Xloader - это семейство вредоносных программ для кражи информации, которое с годами совершенствовалось за счет дополнительных слоев обфускации и шифрования. Zscaler ThreatLabz разработала инструменты для расшифровки кода и данных Xloader, а облачная платформа безопасности Zscaler способна обнаруживать индикаторы Xloader и Formbook.
-----

Xloader - это семейство вредоносных программ для кражи информации, которое произошло от семейства Formbook, впервые проданного на криминальных форумах в 2016 году. В начале 2020 года угрожающие субъекты, стоящие за Xloader, провели ребрендинг и перешли на модель "вредоносное ПО как услуга" (MaaS), сдавая инфраструктуру C2 в аренду клиентам. Разработчики продолжают обновлять код, добавляя дополнительные слои обфускации и шифрования с каждой новой выпущенной версией.

Последним вариантом Xloader является версия 4.3, выпущенная в январе 2023 года, которая имеет несколько модификаций, включая дополнительную обфускацию. Xloader реализует различные методы обфускации и несколько уровней шифрования для защиты критических частей кода и данных от анализа. Эти алгоритмы комбинируются различными способами для расшифровки других блоков кода и данных, таких как ключи шифрования и зашифрованные строки. Zscaler ThreatLabz разработал сценарий IDA для расшифровки зашифрованного кода Xloader, а также сценарий Python для расшифровки кода и данных Xloader.

Xloader содержит функции для расшифровки кода, которые защищены двумя уровнями шифрования в версиях 2.9 и 4.3. Алгоритм, используемый для обоих уровней, - это пользовательский алгоритм Xloader RC4 с ключом, хранящимся в структуре ConfigObj. Xloader также шифрует свою конфигурацию, включая список командно-контрольных (C2) серверов. Список C2 сначала декодируется Base64, а затем расшифровывается пользовательским слоем RC4. В версии 4.3 таблица 4-байтовых ключей строится на стеке, и каждая позиция соответствует C2. Ключ для последнего слоя RC4 генерируется путем XORing значения из ConfigObj со значением на стеке.

В целом, семейства вредоносных программ Formbook и Xloader представляют собой заметную угрозу, а угрожающие субъекты, стоящие за ними, постоянно совершенствуют свой код, пытаясь затруднить анализ. Однако исследователи Zscaler смогли разгадать слои обфускации и проанализировать ключевые компоненты кода вредоносного ПО. Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы Xloader и Formbook на различных уровнях.

#ParsedReport
29-03-2023

CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers

https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers

Actors/Campaigns:
Lazarus

IOCs:
Hash: 8

Softs:
macos

Platforms:
intel

#ParsedReport
29-03-2023

Creal: New Stealer Targeting Cryptocurrency Users Via Phishing Sites

https://blog.cyble.com/2023/03/29/creal-new-stealer-targeting-cryptocurrency-users-via-phishing-sites

Threats:
Creal_stealer
Beacon

Industry:
Entertainment

TTPs:
Tactics: 7
Technics: 14

IOCs:
Url: 38
File: 3
IP: 63
Domain: 1
Hash: 2

Softs:
pyinstaller, curl, coinbase, discord, instagram, tiktok, outlook, telegram

Algorithms:
zip

Functions:
getnode, urlopen

Win API:
gethostname

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники начали использовать InfoStealers для распространения криптомошенничества через каналы YouTube, от которого можно защититься, приняв определенные меры.
-----

Злоумышленники начали использовать InfoStealers для распространения криптомошенничества через каналы YouTube. Предполагается, что для получения доступа к учетным записям могло использоваться вредоносное ПО Stealer. Cyble Research and Intelligence Labs (CRIL) обнаружила фишинговый сайт, распространяющий Creal Stealer, который компилируется с помощью PyInstaller и написан на языке Python.

Программа проверяет, присутствуют ли имя пользователя, имя хоста, MAC-адрес и публичный IP-адрес жертвы в заранее составленных черных списках, и завершает выполнение, если найдено любое из значений черного списка. Он достигает постоянства, копируя себя в указанное место, и извлекает учетные данные и файлы cookie из браузеров на основе имен, упомянутых в коде. Его целью являются браузеры на базе Chromium, чат и игровые приложения, холодные криптовалютные кошельки и расширения для браузеров.

Creal Stealer также определяет IP-адрес и геолокационные данные жертвы и сохраняет украденные данные в файлах. Для утечки данных он использует веб-крючки Discord и многочисленные платформы для размещения и обмена файлами, такие как Anonfiles и Gofile.

#ParsedReport
30-03-2023

Dissecting AlienFox \| The Cloud Spammer s Swiss Army Knife

https://www.sentinelone.com/labs/dissecting-alienfox-the-cloud-spammers-swiss-army-knife

Threats:
Alienfox
Androxgh0st

Industry:
Financial, Retail

CVEs:
CVE-2022-31279 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable


IOCs:
File: 2

Softs:
microsoft office 365, telegram, laravel, drupal, joomla, opencart, wordpress, office365, sendgrid, sendinblue, have more...

Languages:
python, php

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания SentinelLabs выявила AlienFox, инструментарий, используемый злоумышленниками для сбора учетных данных у нескольких поставщиков облачных услуг, что может привести к дополнительным расходам на обслуживание, потере доверия клиентов и затратам на устранение последствий. Для защиты от инструментов AlienFox организациям следует использовать передовые методы управления конфигурацией и придерживаться принципа наименьших привилегий.
-----

Компания SentinelLabs выявила AlienFox, инструментарий, используемый злоумышленниками для сбора учетных данных у нескольких поставщиков облачных услуг. Он является модульным, с открытым исходным кодом и постоянно развивается, причем с каждой итерацией разработчики становятся все более изощренными. Для работы инструментария обычно требуется список целей, который может генерироваться различными скриптами, в том числе с использованием API платформ SecurityTrails и LeakIX. На сегодняшний день существует три основные версии AlienFox, причем последняя содержит сценарии, автоматизирующие такие вредоносные действия, как создание постоянных учетных записей Amazon Web Services (AWS) и повышение привилегий, а также сбор квот на отправку и автоматизация спам-кампаний.

Набор инструментов расширился и включает в себя другие виды деятельности, такие как взлом криптовалютных кошельков и проверка того, связан ли адрес электронной почты с учетной записью Amazon. Для защиты от инструментов AlienFox организациям следует использовать лучшие практики управления конфигурацией и придерживаться принципа наименьших привилегий, а также рассмотреть возможность использования платформы Cloud Workload Protection Platform (CWPP) на виртуальных машинах и контейнерах для обнаружения интерактивных действий с ОС. Распространение AlienFox представляет собой незарегистрированную тенденцию к атакам на более минимальные облачные сервисы, непригодные для криптомайнинга, с целью обеспечения и расширения последующих кампаний. Анализируя инструменты и результаты работы инструментов, было установлено, что субъекты используют AlienFox для идентификации и сбора учетных данных сервисов с неправильно сконфигурированных или открытых сервисов. Компрометация может привести к дополнительным расходам на обслуживание, потере доверия клиентов и затратам на устранение последствий.