#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Pikabot - это новый троян, состоящий из двух компонентов: загрузчика и основного модуля. Он реализует вредоносную функциональность, добавляет стойкость и собирает системную информацию со скомпрометированного хоста. Сетевые запросы шифруются с помощью Base64, AES (режим CBC) и 32-байтового ключа.
-----

Pikabot - это новый троян, появившийся в начале 2023 года и состоящий из двух компонентов: загрузчика и основного модуля. Он способен получать команды от командно-контрольного сервера, такие как внедрение произвольного шеллкода, DLL или исполняемых файлов. Он имеет некоторое сходство с Qakbot, но нет достаточных доказательств, чтобы однозначно связать их с одним и тем же субъектом угрозы.

Основной модуль реализует вредоносные функции, такие как выполнение произвольных команд и внедрение полезной нагрузки, предоставляемой командно-контрольным сервером. Он использует ряд методов антианализа и общедоступный инструмент ADVobfuscator для обфускации строк. Инжектор используется для расшифровки и внедрения основного модуля, а также реализует такие методы защиты от анализа, как обработчики исключений, проверка флага BeingDebugged и использование функций Windows API IsDebuggerPresent и CheckRemoteDebuggerPresent.

Pikabot также добавляет постоянство на скомпрометированном хосте, создавая новое значение с путем к файлу в ключе реестра Run и повреждая текущий исполняемый файл. Кроме того, он загружает сценарий PowerShell с командно-контрольного сервера и сохраняет его в HKEY_CURRENT_USER\Software\predefined_name вместе с зашифрованными командно-контрольными серверами. Наконец, он устанавливает значение в ключе реестра Run для выполнения сценария PowerShell.

Pikabot регистрирует скомпрометированный хост на командно-контрольных серверах и собирает системную информацию. Он запрашивает задания у сервера и поддерживает различные типы команд. Сетевые запросы шифруются с помощью Base64, AES (режим CBC) и 32-байтового ключа.

#ParsedReport #CompletenessLow
24-05-2023

Malvertising via brand impersonation is back again

https://www.malwarebytes.com/blog/threat-intelligence/2023/05/malvertising-its-a-jungle-out-there

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Users

IOCs:
Domain: 16

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Малвертайзинг - это форма вредоносной рекламы, которая снова на подъеме и часто используется преступниками, чтобы привести к мошенничеству, вредоносному ПО и фишинговым сайтам. Рекламодатели могут использовать сократители URL, маскировочные сервисы или недавно зарегистрированные домены для распространения вредоносного контента среди своих жертв.
-----

Малвертайзинг - это форма вредоносной рекламы, которая влияет на опыт пользователей и доверие к их любимой поисковой системе. В последнее время многочисленные инциденты показали, что вредоносная реклама снова на подъеме, и это во многом связано с тем, что преступники покупают рекламу и отображают официальный сайт бренда в рекламном сниппете. Эти объявления могут вести к мошенничеству или вредоносному ПО, и даже к фишинговым сайтам, которые пытаются украсть пароли и номера кредитных карт.

Рекламодатели могут быть законными аффилированными лицами, связанными с брендом, но они также могут использовать для вредоносной деятельности укорачиватели URL, маскировочные сервисы или недавно зарегистрированные домены. Что еще хуже, субъекты угроз часто используют службы фильтрации трафика, чтобы направлять вредоносный контент исключительно на предполагаемые жертвы. Такая система распределения и фильтрации трафика известна как маскировка, при которой используется как легитимный URL (или приманка), так и денежный URL (вредоносный).

#ParsedReport #CompletenessLow
25-05-2023

Obsidian ORB Ransomware Demands Gift Cards as Payment

https://blog.cyble.com/2023/05/25/obsidian-orb-ransomware-demands-gift-cards-as-payment

Report completeness: Low

Threats:
Obsidian_orb
Chaos_ransomware
Blacksnake
Onyx
Rancoz

Industry:
Financial

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 5
Hash: 1

Algorithms:
aes, sha1, sha256

Functions:
GetDrives

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Obsidian ORB Ransomware - это модифицированная версия кода Chaos ransomware, которая распространяется путем создания своих копий в каталоге %appdata% и выполнения нескольких команд через cmd.exe. Он также принимает платежи за выкуп в виде подарочных карт от популярных платформ. Важно сохранять бдительность в отношении таких атак.
-----

Ransomware - одна из самых больших угроз кибербезопасности, при этом используются такие тактики, как двойное вымогательство и таймеры обратного отсчета. Новейший вариант, Obsidian ORB Ransomware, является модифицированной версией печально известного кода Chaos ransomware, утечка которого произошла в Интернете.

В отличие от других вариантов ransomware, TA, стоящие за Obsidian ORB, решили принимать платежи за выкуп в виде подарочных карт с таких популярных платформ, как Roblox, Paysafe, Payday и Steam.

Ransomware распространяется путем создания своих копий в каталоге %appdata% и создания файла ярлыка в папке Windows Startup. Она сканирует машину жертвы для выявления доступных дисков и шифрует определенные папки с помощью библиотек Microsoft Enhanced RSA и AES Cryptographic Provider. В каждом каталоге, где происходит шифрование файлов, создается записка с выкупом под названием "read_it.txt". Фоновое изображение рабочего стола взломанной системы также изменяется. Кроме того, ransomware выполняет несколько команд через cmd.exe для удаления резервных копий и отключения режима восстановления на зараженной системе.

Нередко субъекты угроз используют существующий код ransomware в качестве шаблона для новых вариантов. Такой подход удобен и эффективен для них, поскольку они могут изменять и настраивать код в соответствии со своими предпочтениями. В данном случае TA модифицировал код Chaos ransomware, создав Obsidian ORB ransomware.

Cyble Research & Intelligence Labs (CRIL) постоянно отслеживает кампании по борьбе с вымогательским ПО и будет информировать читателей о последних новостях. Важно сохранять бдительность в отношении подобных атак, поскольку они могут иметь серьезные последствия как для частных лиц, так и для организаций.

#ParsedReport #CompletenessMedium
25-05-2023

Operation Magalenha \| Long-Running Campaign Pursues Portuguese Credentials and PII

https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Maxtrilha
Smokeloader
Geral
Beacon

Victims:
Users of portuguese financial institutions

Industry:
Government, Financial

Geo:
Portuguese, Russian, American, Spain, America, Belize, Portugal, Brazilian, Andorra

IOCs:
File: 2
Registry: 1
Url: 20
IP: 1
Hash: 106

Softs:
google chrome

Algorithms:
base64, sha1

Languages:
delphi

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Operation Magalenha - бразильская угрожающая группа, которая нацелена на пользователей более 30 финансовых учреждений, развертывая два варианта бэкдора под названием PeepingTitle на языке программирования Delphi. Эта угрожающая группа стратегически перенесла хостинг своей инфраструктуры на Timeweb, российского поставщика услуг IaaS. Организациям и частным лицам необходимо сохранять бдительность и принимать проактивные меры для защиты от этой угрозы.
-----

SentinelLabs отслеживает бразильскую группу угроз под названием Operation Magalenha с 2021 года. Эта кампания является последней итерацией более широкой группы, которая нацелена на пользователей более 30 финансовых учреждений. Угрожающие субъекты развертывают два варианта бэкдоров под названием PeepingTitle, которые являются частью бразильской экосистемы вредоносного ПО для финансовых учреждений. Эти бэкдоры реализованы на языке программирования Delphi и обладают шпионскими возможностями, такими как мониторинг взаимодействия окон, несанкционированное снятие скриншотов, завершение процессов и развертывание дальнейшего вредоносного ПО.

Угрожающая группа стратегически перенесла хостинг своей инфраструктуры от IaaS-провайдеров с более строгими мерами защиты от злоупотреблений, таких как крупный американский облачный провайдер, к Timeweb, российскому IaaS-провайдеру, известному своей более мягкой политикой. Вредоносная программа обычно распространяется через фишинговые электронные письма, социальную инженерию и вредоносные веб-сайты, а скрипты открывают TinyURL на сайты для входа пользователей Energias de Portugal и Португальского налогового и таможенного управления.

Анализ инфраструктуры, связанной с угрожающей группой, выявил изменения в дизайне операции в середине 2022 года, а также улики, указывающие на бразильско-португалоязычных участников угрозы. Образцы вредоносного ПО сигнализировали по адресу 193.218.204.207 и содержали бразильско-португальский текст "ПЕРЕМЕННАЯ В порядке" и "ОБНОВИТЬ".

Операция Magalenha демонстрирует настойчивость группировок и их способность обновлять свой арсенал вредоносного ПО и тактику. Это позволяет им оставаться эффективными в своих кампаниях, и они продемонстрировали понимание финансового ландшафта в португало- и испаноязычных странах Европы, Центральной и Латинской Америки. Поэтому организациям и частным лицам необходимо сохранять бдительность и принимать упреждающие меры для защиты от этой угрозы.

#technique

Don't @ Me: URL Obfuscation Through Schema Abuse

https://www.mandiant.com/resources/blog/url-obfuscation-schema-abuse

#ParsedReport #CompletenessMedium
26-05-2023

Akira Ransomware Unleashing Chaos using Conti Leaks

https://labs.k7computing.com/index.php/akira-ransomware-unleashing-chaos-using-conti-leaks

Report completeness: Medium

Actors/Campaigns:
Bluesky

Threats:
Akira_ransomware
Conti
Credential_stealing_technique
Radmin_tool
Pchunter_tool
Chisel_tool
Meterpreter_tool
Cobalt_strike
Anydesk_tool
Onyx
Scarecrow

Victims:
16 organisations worldwide

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1110, T1075, T1021, T1076, T1077, T1086, T1053, T1542, T1036, have more...

IOCs:
File: 3
Registry: 1
Command: 1
Url: 1
Hash: 5

Softs:
mssql, windows defender

Algorithms:
chacha20

Win API:
QueryPerformanceCounter, QueueUserAPC, WaitForMultipleObjects, CoCreateInstance, GetLogicalDriveStringsA, FindFirstFileW, FindNextFileW, RmGetList, RmShutdown, CryptGenRandom, have more...

Win Services:
db2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Akira ransomware была использована для атаки на более чем 16 организаций по всему миру, используя слабые места в системе безопасности, такие как фишинговые письма, эксплуатация RDP и уязвимости программного обеспечения. Злоумышленники также использовали методы уклонения и инструменты эксфильтрации, и есть подозрения, что они скопировали исходный код программы Conti ransomware. Важно принять упреждающие меры, чтобы обезопасить системы от подобных атак в будущем.
-----

Атаки Ransomware стали серьезной проблемой для частных лиц и организаций. С появлением Ransomware-as-a-Service и утечкой исходного кода популярных вымогательских программ, угрожающие стороны принимают эту стратегию. Одной из недавно замеченных программ-вымогателей является Akira, которая начала свою кампанию в конце марта 2023 года и уже заразила более 16 организаций по всему миру. У нее есть свой собственный сайт Tor в ретро-стиле, где она публично раскрывает украденные данные, если жертва не заплатит выкуп.

Операторы программы Akira ransomware нацеливаются на уязвимые системы и используют слабые места в системе безопасности для получения первоначального доступа. Их распространенная тактика включает фишинговые письма, использование протокола удаленного рабочего стола (RDP) и уязвимостей программного обеспечения для проникновения в системы и проведения атак. Кроме того, они используют и другие методы, такие как перебор плохо управляемых серверов MsSQL. В конкретном случае с программой Akira ransomware злоумышленники в первую очередь использовали плохо настроенные соединения Remote Desktop Protocol (RDP), которые были открыты для доступа в Интернет, с обходом MFA и слабыми паролями. Для получения доступа злоумышленники создавали службы Windows для дампа памяти из lsass.exe с целью кражи учетных данных и создавали запланированные задачи для выполнения удаленного листинга каталогов. Они также использовали AdvancedIP Scanner для поиска всех подключенных в сети систем и Radmin для удаленного доступа.

Для уклонения злоумышленники добавили в реестр для обхода сканирования в реальном времени в Windows Defender HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\ и использовали путь C:\programdata для запуска большинства своих инструментов и финального ransomware. Отмечается, что они также устанавливали шпионские программы, руткиты и майнеры монет и запускали их в течение нескольких дней, прежде чем заразить систему вымогательским ПО. Для утечки данных злоумышленники использовали программы туннелирования, такие как chisel и cloudflare free tunnel, чтобы обойти брандмауэр и скрыть свой IP. Они также использовали AnyDesk для сохранения данных, а в ransomware было три функции, связанные со строковыми операциями, которые были объявлены как Static-функции.

Программа-вымогатель имела три режима шифрования и принимала аргументы командной строки. Она использовала библиотеку Boost.Asio C++ для создания нескольких потоков для асинхронной работы и вызывала API GetLogicalDriveStringsA для заполнения всех логических дисков. Программа-вымогатель также использовала FindFirstFileW и FindNextFileW для анализа всех каталогов и размещения записки о выкупе akira_readme.txt. Она также убивала процессы, зарегистрированные ресурсы в диспетчере перезагрузки windows, чтобы шифровать файлы непрерывно.

При дальнейшем анализе было обнаружено, что участники угрозы скопировали утечку исходного кода программы Conti ransomware, которая имела схожие расширения и список процессов. Это указывает на потенциальный рост числа подобных инцидентов в будущем. Поэтому важно принимать упреждающие меры для повышения безопасности и защиты систем.

#ParsedReport #CompletenessMedium
26-05-2023

BatLoader Impersonates Midjourney, ChatGPT in Drive-by Cyberattacks

https://www.esentire.com/blog/batloader-impersonates-midjourney-chatgpt-in-drive-by-cyberattacks

Report completeness: Medium

Threats:
Batloader
Redline_stealer
More_eggs
Process_hacker_tool

Victims:
Chatgpt, Midjourney

Geo:
Russian, Apac, Emea, America, Africa

ChatGPT TTPs:
do not use without manual check
T1497, T1495, T1496, T1081

IOCs:
Domain: 5
Url: 2
File: 2
Hash: 7
IP: 1

Softs:
midjourney, chatgpt, discord, microsoft edge, windows defender application control

Languages:
php

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие субъекты воспользовались ростом популярности технологий генеративного ИИ и чат-ботов в 2023 году, пообещав неограниченный доступ к пользователям, что привело к пику злоупотреблений Google Search Ads. Отдел реагирования на угрозы eSentire (TRU) выявил вредоносную кампанию, начатую в начале мая 2023 года с использованием файлов MSIX Windows App Installer для доставки вредоносной программы Redline Stealer.-----

Отдел реагирования на угрозы eSentire (TRU) недавно обнаружил продолжающуюся кампанию BatLoader, использующую поисковую рекламу Google для доставки самодельных веб-страниц ChatGPT и Midjourney. Эта вредоносная кампания была инициирована в начале мая 2023 года и использует файлы MSIX Windows App Installer для заражения устройств Redline Stealer. Ссылка на загрузку вела на два отдельных сайта с полезной нагрузкой, которые ранее были приписаны BatLoader.

Файл AppXManifest, созданный русскоговорящим человеком с помощью Advanced Installer версии 20.2 с профессиональной лицензией, был проанализирован TRU и определен как содержащий базовый скрипт загрузки PowerShell. Этот скрипт загружает Redline Stealer с сайта adv-pardorudy.ru в память в виде сборки, а также выполняет два запроса к панели C2: Start.php и Install.php. Start.php записывает время начала заражения вместе с IP-адресом жертвы, а Install.php записывает успешную установку полезной нагрузки на adv-pardorudy.ru вместе с временем и IP-адресом жертвы.

Технологии генеративного ИИ и чат-боты становятся все более популярными в 2023 году, что заставляет системных администраторов искать способы контроля доступа к этим платформам. Угрожающие субъекты воспользовались этой ситуацией, пообещав пользователям неограниченный доступ, что привело к пику злоупотреблений поисковой рекламой Google в 4 квартале 2022 года и начале 2023 года. Несмотря на то, что компания Google предприняла шаги по сокращению злоупотреблений своим рекламным сервисом, эта кампания показывает, что вредоносные объявления все еще могут проскользнуть мимо модераторов и доставить жертвам вредоносное ПО.

Деятельность BatLoader, подобная этой кампании, уже была выявлена TRU ранее и обычно имеет ряд сходств. Обычно они включают выдачу себя за крупные бренды и сервисы через поисковую рекламу Google, использование AdvancedInstaller для создания установочных пакетов, сайты полезной нагрузки, ранее приписываемые BatLoader, и полезную нагрузку, похищающую информацию.

#ParsedReport #CompletenessLow
26-05-2023

Analysis of Attack Cases: From Korean VPN Installations to MeshAgent Infections

https://asec.ahnlab.com/en/53267

Report completeness: Low

Threats:
Meshagent
Spark_rat
Meshcentral_tool
Anydesk_tool
Teamviewer_tool
Ammyyrat
Tmate_tool
Netsupportmanager_rat
Dropper/win.agent.c5431031
Sparkrat
Malware/mdp.download.m1197

Victims:
Chinese users who require better access to the internet

Geo:
Korean, Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1093, T1090, T1105, T1036, T1097, T1077, T1083

IOCs:
File: 5
Command: 1
Hash: 5
Url: 2

Softs:
task scheduler, macos

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
dump: 7, windows: 9, code: 3, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Основная идея текста заключается в том, что угрожающий субъект распространяет вредоносное ПО через программу установки VPN, которая включает дроппер, разработанный с использованием GoLang, SparkRAT и MeshAgent. Пользователям рекомендуется проявлять осторожность при загрузке любого программного обеспечения и обновлять систему безопасности до последней версии, чтобы защититься от заражения вредоносным ПО.
-----

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) ранее рассказывал о случае распространения SparkRAT через корейский установщик VPN. Недавно были обнаружены аналогичные случаи, свидетельствующие о возрождении этого агента угроз. Распространение вредоносного ПО на некоторое время приостановилось, но при одинаковом потоке атак и использовании SparkRAT, вероятно, за этими атаками стоит один и тот же агент.

Первоначальный способ распространения, по-видимому, такой же, как и раньше. Агент угроз атаковал веб-сайт компании VPN и заменил установочный файл вредоносным ПО. Таким образом, пользователи, загружающие и выполняющие программу установки VPN, непреднамеренно устанавливают вместе с ней вредоносное ПО. Процесс установки вредоносного ПО включает в себя дроппер, разработанный с помощью GoLang, который загружает SparkRAT из внешнего источника. После этого агент угрозы посылает вредоносные команды SparkRAT, чтобы также установить MeshAgent на зараженную систему. MeshAgent - это бесплатный инструмент управления с открытым исходным кодом, предоставляющий возможности удаленного контроля. Он позволяет контролировать мощность, управлять учетными записями, всплывающими окнами чата/сообщений, загружать/выгружать файлы и выполнять команды.

Одно из наиболее заметных различий между недавними и прошлыми инцидентами - использование в большинстве случаев вредоносного ПО, разработанного на языке GoLang, а не .NET. Замаскированный установщик и вредоносная программа, устанавливающая MeshAgent, - это два дроппера, используемые в атаках, и, хотя они оба являются обфусцированными вредоносными программами GoLang, они имеют схожие формы. Они создают и выполняют вредоносное ПО внутри PE при выполнении. Замаскированный установщик также включает функцию, которая позволяет ему зарегистрировать файл start.exe загрузчика в планировщике задач. Этот файл также разработан на языке GoLang и отвечает за загрузку и выполнение дополнительного вредоносного ПО из внешнего источника.

Пользователям важно соблюдать осторожность при загрузке любого программного обеспечения и обновлять V3 до последней версии, чтобы заранее блокировать заражение вредоносным ПО. Кроме того, рекомендуется проверять официальный сайт любой программы или программного обеспечения, чтобы убедиться в безопасности и легитимности загрузки.

#ParsedReport #CompletenessLow
26-05-2023

Invicta Stealer Spreading Through Phony GoDaddy Refund Invoices

https://blog.cyble.com/2023/05/25/invicta-stealer-spreading-through-phony-godaddy-refund-invoices

Report completeness: Low

Actors/Campaigns:
Dev-0960

Threats:
Invicta
Stop_ransomware
Beacon

Victims:
Godaddy, steam, keypass users

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 8

IOCs:
File: 4
Path: 3
Hash: 10

Softs:
telegram, discord, electrum-ltc, blisk, torch, 7star, amigo, opera, comodo dragon, chedot, have more...

Wallets:
zcash, wassabi, guarda, coinomi, electrum, jaxx, mainnet

Crypto:
bitcoin, binance, dogecoin, litecoin

Algorithms:
sha256, sha1, zip

#ParsedReport #ExtractedSchema

Classified images:
code: 17, windows: 13, dump: 5, schema: 5, chats: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Invicta Stealer - это вредоносная программа для кражи, разработанная агентом угроз (TA), которая способна собирать системную информацию, данные кошелька, данные браузера и многое другое. Заражение начинается со спам-письма, содержащего обманчивую HTML-страницу. Киберпреступник предлагает бесплатный конструктор стиллера, который предлагает пользователям ввести веб-крючок Discord или URL-адрес сервера для командования и управления (C&C). Стиллер использует множество техник для скрытия процесса реверсирования и осуществляет несколько вредоносных действий одновременно.
-----

Субъекты угроз активно используют платформы социальных сетей для продвижения своих вредоносных инструментов и привлечения потенциальных союзников или клиентов.

Invicta Stealer - это новый стиллер, разработанный субъектом угрозы, который способен собирать системную информацию, данные об аппаратном обеспечении системы, данные кошелька и данные браузера.

Заражение начинается со спам-письма, содержащего обманчивую HTML-страницу, которая после открытия перенаправляет пользователей на URL-адрес Discord, чтобы инициировать загрузку стиллера.

Стиллер использует методы, скрывающие процесс реверсирования, такие как зашифрованные строки и SYSCALLS.

Угонщик собирает обширную системную информацию, информацию об аппаратном обеспечении системы, данные из Discord, криптовалютных кошельков, браузеров, Steam, KeyPass и учетных записей пользователей.

Затем похититель создает сжатый zip-файл, содержащий все украденные файлы, и отправляет его на указанный C&C-сервер.

#ParsedReport #CompletenessLow
26-05-2023

Cisco Talos Intelligence Blog. Mercenary mayhem: A technical analysis of Intellexa's PREDATOR spyware

https://blog.talosintelligence.com/mercenary-intellexa-predator

Report completeness: Low

Threats:
Predator_spyware
Intellexa_framework
Cytrox
Alien
Binder
Xhook_tool

Victims:
Various targets using commercial spyware

Industry:
Government

Geo:
Israeli

CVEs:
CVE-2021-38000 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<95.0.4638.69)
- fedoraproject fedora (34)
- debian debian linux (10.0, 11.0)

CVE-2021-1048 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- google android (-)

CVE-2021-37976 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<94.0.4606.71)
- fedoraproject fedora (33, 34, 35)
- debian debian linux (10.0, 11.0)

CVE-2021-37973 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<94.0.4606.61)
- fedoraproject fedora (33, 35)
- debian debian linux (10.0, 11.0)

CVE-2021-38003 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- google chrome (<95.0.4638.69)
- fedoraproject fedora (34)
- debian debian linux (10.0, 11.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1489, T1492, T1498, T1518, T1511, T1519

IOCs:
File: 2

Softs:
android, google chrome, whatsapp, telegram, selinux, instagram.android, wechat, android.chrome

Functions:
main_exec, dlsym, ioctl, startPy, fork, ptrace, mmap, VOIP-based, InMemoryClassLoader

Languages:
python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2023/05
https://github.com/PAGalaxyLab/YAHFA
https://github.com/iqiyi/xHook
https://github.com/iqiyi/xHook/tree/9180bd74098fd41f808d3968e2e52b4f5db92c99

#ParsedReport #ExtractedSchema

Classified images:
code: 10, dump: 3, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Cisco Talos раскрыла подробности о коммерческом шпионском продукте Intellexa, который использует уязвимости нулевого дня для записи звука, сбора информации из приложений обмена сообщениями и скрытия приложений. Он также способен получать доступ к ядру, читать и выполнять код из определенных мест файловой системы.-----

Использование коммерческих шпионских программ растет, и все большее число целей становится мишенью для субъектов, использующих сложные инструменты для проведения операций слежения. Компания Cisco Talos получила новые подробности о коммерческом шпионском продукте, продаваемом фирмой Intellexa (ранее известной как Cytrox). Этот пакет шпионских программ для мобильных устройств состоит из двух компонентов - ALIEN и PREDATOR, которые составляют его основу.

Talos раскрыл внутреннюю работу PREDATOR и ALIEN и механизмы, которые эти два компонента используют для взаимодействия. ALIEN - это гораздо больше, чем просто загрузчик для PREDATOR, как считалось ранее. ALIEN внедряется в адресное пространство привилегированного процесса и проверяет, был ли он загружен в zygote64, прежде чем загрузить компонент PREDATOR с хостингового сайта. ALIEN подключает API ioctl() в libbinder.so и управляет множеством различных команд binder.

Шпионские продукты Intellexa используют пять различных уязвимостей нулевого дня для создания ALIEN и PREDATOR. Эти уязвимости затрагивают системы Google Chrome и Linux/Android, и шпионские программы могут записывать звук телефонных звонков и приложений на базе VOIP, а также собирать информацию из Signal, WhatsApp и Telegram. Она также способна скрывать приложения и предотвращать их выполнение при перезагрузке устройства.

Модуль KMEM предоставляет произвольный доступ на чтение и запись в адресное пространство ядра. Эксплуатация CVE-2021-1048 может привести к получению доступа к ядру и внесению изменений в настройки конфигурации kmem. ALIEN также может читать и выполнять код из указанных мест в файловой системе. Например, имплант может внедрить код, считанный ранее из файла /system/fonts/NotoColorEmoji.ttf, в память процесса system_server для выполнения.

PREDATOR - это pyfrozen ELF-файл, содержащий сериализованные модули Python и нативный код, используемый встроенными или загруженными модулями. PREDATOR отвечает за выдачу команд для запуска или остановки записи. Он также может добавлять сертификаты в текущие доверенные пользователем центры сертификации, записывая публичный сертификат центра сертификации в путь /data/misc/user/0/cacerts-added.

Шпионская программа использует различные источники для сбора информации о системе, например, перечисляет различные каталоги в файловой системе и считывает множество файлов, чтобы извлечь как можно больше статически доступных данных с зараженного устройства. Он также получает имя производителя устройства из системного свойства ro.product.manufacturer и проверяет наличие определенных производителей из жестко заданного списка. Полученное содержимое записывается в файл /data/local/tmp/wd/ и эксфильтрируется.