#ParsedReport #CompletenessMedium
29-05-2023
Volt Typhoon targets US critical infrastructure with living-off-the-land techniques
https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques
Report completeness: Medium
Threats:
Lolbin_technique
Dumplsass_tool
Portproxy_tool
Impacket_tool
Credential_stealing_technique
Win32/wmisuspprocexec.j!se
Ntdsutil_tool
Victims:
Critical infrastructure organizations in the united states and guam
Industry:
Government, Maritime, Transport, Education
Geo:
China, Asia, Guam
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 3
Hash: 19
Softs:
microsoft defender, microsoft defender for endpoint, microsoft 365 defender, active directory, zyxel, windows local security authority, psexec, windows defender credential guard
Algorithms:
base64, sha256
29-05-2023
Volt Typhoon targets US critical infrastructure with living-off-the-land techniques
https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques
Report completeness: Medium
Threats:
Lolbin_technique
Dumplsass_tool
Portproxy_tool
Impacket_tool
Credential_stealing_technique
Win32/wmisuspprocexec.j!se
Ntdsutil_tool
Victims:
Critical infrastructure organizations in the united states and guam
Industry:
Government, Maritime, Transport, Education
Geo:
China, Asia, Guam
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 3
Hash: 19
Softs:
microsoft defender, microsoft defender for endpoint, microsoft 365 defender, active directory, zyxel, windows local security authority, psexec, windows defender credential guard
Algorithms:
base64, sha256
Microsoft News
Volt Typhoon targets US critical infrastructure with living-off-the-land techniques
Microsoft has uncovered stealthy malicious activity by Volt Typhoon focused on post-compromise credential access & network system discovery.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-05-2023 Volt Typhoon targets US critical infrastructure with living-off-the-land techniques https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Microsoft обнаружила скрытную и целенаправленную вредоносную деятельность, осуществляемую Volt Typhoon, спонсируемым государством субъектом, базирующимся в Китае, который придает большое значение скрытности и полагается на методы "Living-of-the-Land" и работу с клавиатурой. Снижение риска от таких противников, как Volt Typhoon, требует поведенческого мониторинга, закрытия или изменения учетных данных скомпрометированных учетных записей, а также других мер безопасности.
-----
Недавно компания Microsoft обнаружила скрытую и целенаправленную вредоносную деятельность, осуществляемую Volt Typhoon, спонсируемым государством субъектом, базирующимся в Китае. Microsoft с умеренной уверенностью оценивает, что эта кампания направлена на организации критической инфраструктуры в США и может быть разработана для нарушения критической инфраструктуры связи между США и Азиатским регионом во время будущих кризисов.
В этой кампании угрожающий субъект делает упор на скрытность, полагаясь почти исключительно на методы "Living-of-the-Land" и работу с клавиатурой. Они отдают команды через командную строку для сбора данных, включая учетные данные из локальных и сетевых систем. Для повышения скрытности своих операций Volt Typhoon проксирует весь сетевой трафик к своим целям через взломанные пограничные сетевые устройства SOHO, включая устройства производства ASUS, Cisco, D-Link, NETGEAR и Zyxel.
Volt Typhoon редко использует вредоносное ПО в своей деятельности после компрометации. Вместо этого они полагаются на "живые" команды для поиска информации о системе, обнаружения дополнительных устройств в сети и эксфильтрации данных. Агентство национальной безопасности (АНБ) выпустило совет по кибербезопасности, содержащий руководство по тактике, технике и процедурам (TTPs), используемым Volt Typhoon.
Наиболее опасные действия Volt Typhoon включают доступ к учетным данным и обнаружение сетевых систем. В большинстве случаев они получают доступ к взломанным системам, входя в систему с действительными учетными данными. Однако в небольшом количестве случаев они создают прокси на взломанных системах для облегчения доступа с помощью команды netsh portproxy, Impacket или Fast Reverse Proxy (FRP). Скомпрометированные организации могут наблюдать доступ C2 в виде успешных входов в систему с необычных IP-адресов.
Снижение риска от таких противников, как Volt Typhoon, требует поведенческого мониторинга и закрытия или изменения учетных данных скомпрометированных учетных записей. Рекомендуется применять строгие политики многофакторной аутентификации (MFA), внедрять беспарольный вход, правила истечения срока действия пароля и деактивировать неиспользуемые учетные записи. Кроме того, следует блокировать кражу учетных данных с помощью LSASS, создание процессов с помощью команд PSExec и WMI, выполнение потенциально обфусцированных сценариев, а также включить Windows Defender Credential Guard.
Microsoft продолжит отслеживать активность и инструментарий Volt Typhoon и будет предупреждать о любых связанных с ним предупреждениях. Эти предупреждения могут включать конфигурацию машины для пересылки трафика на нелокальный адрес, Ntdsutil собирает информацию о Active Directory, хэши паролей сбрасываются из памяти LSASS, подозрительное использование wmic.exe для выполнения кода и инструментарий Impacket.
Важно отметить, что эти предупреждения также могут быть вызваны угрозами, не связанными с Volt Typhoon, и организациям следует проверить подозреваемые скомпрометированные учетные записи или затронутые системы, чтобы выявить любые вредоносные действия или открытые данные. Принятие необходимых мер безопасности для предотвращения такого рода атак - лучший способ обеспечить безопасность вашей организации.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Microsoft обнаружила скрытную и целенаправленную вредоносную деятельность, осуществляемую Volt Typhoon, спонсируемым государством субъектом, базирующимся в Китае, который придает большое значение скрытности и полагается на методы "Living-of-the-Land" и работу с клавиатурой. Снижение риска от таких противников, как Volt Typhoon, требует поведенческого мониторинга, закрытия или изменения учетных данных скомпрометированных учетных записей, а также других мер безопасности.
-----
Недавно компания Microsoft обнаружила скрытую и целенаправленную вредоносную деятельность, осуществляемую Volt Typhoon, спонсируемым государством субъектом, базирующимся в Китае. Microsoft с умеренной уверенностью оценивает, что эта кампания направлена на организации критической инфраструктуры в США и может быть разработана для нарушения критической инфраструктуры связи между США и Азиатским регионом во время будущих кризисов.
В этой кампании угрожающий субъект делает упор на скрытность, полагаясь почти исключительно на методы "Living-of-the-Land" и работу с клавиатурой. Они отдают команды через командную строку для сбора данных, включая учетные данные из локальных и сетевых систем. Для повышения скрытности своих операций Volt Typhoon проксирует весь сетевой трафик к своим целям через взломанные пограничные сетевые устройства SOHO, включая устройства производства ASUS, Cisco, D-Link, NETGEAR и Zyxel.
Volt Typhoon редко использует вредоносное ПО в своей деятельности после компрометации. Вместо этого они полагаются на "живые" команды для поиска информации о системе, обнаружения дополнительных устройств в сети и эксфильтрации данных. Агентство национальной безопасности (АНБ) выпустило совет по кибербезопасности, содержащий руководство по тактике, технике и процедурам (TTPs), используемым Volt Typhoon.
Наиболее опасные действия Volt Typhoon включают доступ к учетным данным и обнаружение сетевых систем. В большинстве случаев они получают доступ к взломанным системам, входя в систему с действительными учетными данными. Однако в небольшом количестве случаев они создают прокси на взломанных системах для облегчения доступа с помощью команды netsh portproxy, Impacket или Fast Reverse Proxy (FRP). Скомпрометированные организации могут наблюдать доступ C2 в виде успешных входов в систему с необычных IP-адресов.
Снижение риска от таких противников, как Volt Typhoon, требует поведенческого мониторинга и закрытия или изменения учетных данных скомпрометированных учетных записей. Рекомендуется применять строгие политики многофакторной аутентификации (MFA), внедрять беспарольный вход, правила истечения срока действия пароля и деактивировать неиспользуемые учетные записи. Кроме того, следует блокировать кражу учетных данных с помощью LSASS, создание процессов с помощью команд PSExec и WMI, выполнение потенциально обфусцированных сценариев, а также включить Windows Defender Credential Guard.
Microsoft продолжит отслеживать активность и инструментарий Volt Typhoon и будет предупреждать о любых связанных с ним предупреждениях. Эти предупреждения могут включать конфигурацию машины для пересылки трафика на нелокальный адрес, Ntdsutil собирает информацию о Active Directory, хэши паролей сбрасываются из памяти LSASS, подозрительное использование wmic.exe для выполнения кода и инструментарий Impacket.
Важно отметить, что эти предупреждения также могут быть вызваны угрозами, не связанными с Volt Typhoon, и организациям следует проверить подозреваемые скомпрометированные учетные записи или затронутые системы, чтобы выявить любые вредоносные действия или открытые данные. Принятие необходимых мер безопасности для предотвращения такого рода атак - лучший способ обеспечить безопасность вашей организации.
#technique
badger-builder is an AI-assisted tool for generating dynamic Brute Ratel C4 profiles. Simply provide badger-builder a flavor for your desired profile and it will prompt OpenAI for fitting configurations.
https://github.com/Tw1sm/badger-builder
badger-builder is an AI-assisted tool for generating dynamic Brute Ratel C4 profiles. Simply provide badger-builder a flavor for your desired profile and it will prompt OpenAI for fitting configurations.
https://github.com/Tw1sm/badger-builder
GitHub
GitHub - Tw1sm/badger-builder: badger-builder is an AI-assisted tool for generating dynamic Brute Ratel C4 profiles
badger-builder is an AI-assisted tool for generating dynamic Brute Ratel C4 profiles - Tw1sm/badger-builder
#technique
Hidden Desktop (often referred to as HVNC) is a tool that allows operators to interact with a remote desktop session without the user knowing. The VNC protocol is not involved, but the result is a similar experience. This Cobalt Strike BOF implementation was created as an alternative to TinyNuke/forks that are written in C++.
https://github.com/WKL-Sec/HiddenDesktop
Hidden Desktop (often referred to as HVNC) is a tool that allows operators to interact with a remote desktop session without the user knowing. The VNC protocol is not involved, but the result is a similar experience. This Cobalt Strike BOF implementation was created as an alternative to TinyNuke/forks that are written in C++.
https://github.com/WKL-Sec/HiddenDesktop
GitHub
GitHub - WKL-Sec/HiddenDesktop: HVNC for Cobalt Strike
HVNC for Cobalt Strike. Contribute to WKL-Sec/HiddenDesktop development by creating an account on GitHub.
Threat Analysis Report An APT37 attack case impersonating a North Korean human rights organization
https://www.genians.co.kr/hubfs/blogfile/threat_intelligence_report_apt37.pdf
https://www.genians.co.kr/hubfs/blogfile/threat_intelligence_report_apt37.pdf
Fata Morgana: Watering hole attack on shipping and logistics websites
https://www.clearskysec.com/wp-content/uploads/2023/05/Fata-Morgana-Israeli-Websites-Infected-by-Iranian-Group-1.8.pdf
https://www.clearskysec.com/wp-content/uploads/2023/05/Fata-Morgana-Israeli-Websites-Infected-by-Iranian-Group-1.8.pdf
Простите, не удержался.
https://www.youtube.com/shorts/CtYXI9igMhk
https://www.youtube.com/shorts/CtYXI9igMhk
YouTube
Работа #варкрафт #warcraft3 #варкрафт3 #warcraft #worldofwarcraft #мемы #рекомендации
Радости и весёлости по мотивам вселенной WarCraft в формате mp4.Вратосфера:• Паблик ВК: vk.com/the_gates_of_orgrimmar• Квест в ВК: vk.com/battle_for_eternity...
#ParsedReport #CompletenessHigh
30-05-2023
HiddenEyeZ cybercrime group: identity card
https://www.stormshield.com/news/hiddeneyez-cybercrime-group-identity-card-malware
Report completeness: High
Actors/Campaigns:
Hiddeneyez (motivation: cyber_criminal)
Threats:
Redline_stealer
Hiddeneyez_hvnc
Hvnc_tool
Icarus
Highlander_tool
R77rk_tool
Prynt_stealer
Stormkitty_stealer
Process_hollowing_technique
Hiddenvnc_tool
Putty_tool
Uac_bypass_technique
Stealerium_stealer
Victims:
Victims worldwide, including us banking information
Industry:
Financial
Geo:
Canada, Mexico, France
ChatGPT TTPs:
T1014, T1179, T1060, T1027, T1055, T1074, T1036, T1140, T1043
IOCs:
Registry: 4
Coin: 1
File: 10
IP: 3
Url: 7
Domain: 1
Path: 5
Hash: 17
Command: 5
Softs:
telegram, windows defender, discord, winlogon, outlook, pidgin, net framework, windows explorer, chrome, chromium, have more...
Algorithms:
zip, base64, sha256, sha1
Win API:
NtQuerySystemInformation, ZwQueryDirectoryFile
Win Services:
bits
Links:
30-05-2023
HiddenEyeZ cybercrime group: identity card
https://www.stormshield.com/news/hiddeneyez-cybercrime-group-identity-card-malware
Report completeness: High
Actors/Campaigns:
Hiddeneyez (motivation: cyber_criminal)
Threats:
Redline_stealer
Hiddeneyez_hvnc
Hvnc_tool
Icarus
Highlander_tool
R77rk_tool
Prynt_stealer
Stormkitty_stealer
Process_hollowing_technique
Hiddenvnc_tool
Putty_tool
Uac_bypass_technique
Stealerium_stealer
Victims:
Victims worldwide, including us banking information
Industry:
Financial
Geo:
Canada, Mexico, France
ChatGPT TTPs:
do not use without manual checkT1014, T1179, T1060, T1027, T1055, T1074, T1036, T1140, T1043
IOCs:
Registry: 4
Coin: 1
File: 10
IP: 3
Url: 7
Domain: 1
Path: 5
Hash: 17
Command: 5
Softs:
telegram, windows defender, discord, winlogon, outlook, pidgin, net framework, windows explorer, chrome, chromium, have more...
Algorithms:
zip, base64, sha256, sha1
Win API:
NtQuerySystemInformation, ZwQueryDirectoryFile
Win Services:
bits
Links:
github.com/microsoft/detoursgithub.com/Stealerium/Stealeriumgithub.com/bytecode77/r77-rootkitStormshield
HiddenEyeZ: cybercriminal group identity card and malware analysis | Stormshield
After the analysis of the RedLine campaign, we now investigate cybercrime and the HiddenEyeZ group.
CTT Report Hub
#ParsedReport #CompletenessHigh 30-05-2023 HiddenEyeZ cybercrime group: identity card https://www.stormshield.com/news/hiddeneyez-cybercrime-group-identity-card-malware Report completeness: High Actors/Campaigns: Hiddeneyez (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Наш анализ кампании RedLine позволил обнаружить информацию о HiddenEyeZ, киберпреступной группе, специализирующейся на краже конфиденциальных данных. Мы изучили ее дроппер, особенности, методы сохранения, руткит, кражу и защиту от обнаружения, чтобы понять, какую угрозу представляет эта группа и как ее уменьшить.
-----
Наш анализ кампании RedLine выявил образцы вредоносного ПО от HiddenEyeZ, киберпреступной группы, специализирующейся на краже конфиденциальных данных. Они предлагают различные услуги и продукты, такие как лицензирование их вредоносного ПО HiddenEyeZ HVNC (RAT/stealer), HiddenCrypt, Botnet Log Packs, распространение вредоносного ПО, учебники и многое другое. Цены варьируются от нескольких сотен долларов за одно использование вредоносной программы HiddenEyeZ HVNC в месяц до 1 500 долларов за пожизненную лицензию. Группа использует традиционные маркетинговые методы, такие как временные акции, а продажи осуществляются напрямую через бота Telegram или с sellix.io, платежной платформы, принимающей криптовалюты.
Группа публикует образцы логов жертв в своем лаунчере Telegram для демонстрации потенциальным клиентам. Информация, полученная из этих журналов, показывает, что жертвы разбросаны по всему миру, но нет жертв из Франции или США - хотя сообщения на канале Telegram показывают особый интерес к банковской информации США.
HiddenEyeZ HVNC - это RAT/кража, разработанная, используемая и продаваемая группой HiddenEyeZ. Он предназначен для кражи конфиденциальной информации у жертв, включая пароли, личные файлы, криптовалютные кошельки и т.д. Он может развернуть Icarus stealer, который автоматически извлекает конфиденциальные данные у жертвы. Для обеспечения хорошего уровня скрытности образец имеет возможность развертывать руткит в пользовательском режиме под названием r77.
AddStartupTask забрасывается в местоположение %TEMP%\proclog.exe и запускается через сценарий %TEMP%\drive.bat. После выполнения оба файла удаляются с диска. Этот инструмент позволяет вредоносной программе добиться стойкости и запускать программное обеспечение на скрытом рабочем столе, невидимом для жертвы.
Образец также содержит защиту от обнаружения продуктами безопасности, например, переименован в Icarus в найденных образцах, путь PDB в бинарном файле указывает на то, что это Stealerium или его вариант. Код декомпилированного образца и код, присутствующий в репозитории Stealerium, демонстрируют сильное сходство.
В целом, наш анализ выявил большое количество информации о работе группы HiddenEyeZ и ее основного продукта - вредоносной программы HiddenEyeZ HVNC. Мы изучили его дроппер, его функции и возможности, его методы достижения стойкости, его руткит и стеллер, а также его способы защиты от обнаружения. Эта информация важна для понимания угрозы, исходящей от этой киберпреступной группы, и способов ее снижения.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Наш анализ кампании RedLine позволил обнаружить информацию о HiddenEyeZ, киберпреступной группе, специализирующейся на краже конфиденциальных данных. Мы изучили ее дроппер, особенности, методы сохранения, руткит, кражу и защиту от обнаружения, чтобы понять, какую угрозу представляет эта группа и как ее уменьшить.
-----
Наш анализ кампании RedLine выявил образцы вредоносного ПО от HiddenEyeZ, киберпреступной группы, специализирующейся на краже конфиденциальных данных. Они предлагают различные услуги и продукты, такие как лицензирование их вредоносного ПО HiddenEyeZ HVNC (RAT/stealer), HiddenCrypt, Botnet Log Packs, распространение вредоносного ПО, учебники и многое другое. Цены варьируются от нескольких сотен долларов за одно использование вредоносной программы HiddenEyeZ HVNC в месяц до 1 500 долларов за пожизненную лицензию. Группа использует традиционные маркетинговые методы, такие как временные акции, а продажи осуществляются напрямую через бота Telegram или с sellix.io, платежной платформы, принимающей криптовалюты.
Группа публикует образцы логов жертв в своем лаунчере Telegram для демонстрации потенциальным клиентам. Информация, полученная из этих журналов, показывает, что жертвы разбросаны по всему миру, но нет жертв из Франции или США - хотя сообщения на канале Telegram показывают особый интерес к банковской информации США.
HiddenEyeZ HVNC - это RAT/кража, разработанная, используемая и продаваемая группой HiddenEyeZ. Он предназначен для кражи конфиденциальной информации у жертв, включая пароли, личные файлы, криптовалютные кошельки и т.д. Он может развернуть Icarus stealer, который автоматически извлекает конфиденциальные данные у жертвы. Для обеспечения хорошего уровня скрытности образец имеет возможность развертывать руткит в пользовательском режиме под названием r77.
AddStartupTask забрасывается в местоположение %TEMP%\proclog.exe и запускается через сценарий %TEMP%\drive.bat. После выполнения оба файла удаляются с диска. Этот инструмент позволяет вредоносной программе добиться стойкости и запускать программное обеспечение на скрытом рабочем столе, невидимом для жертвы.
Образец также содержит защиту от обнаружения продуктами безопасности, например, переименован в Icarus в найденных образцах, путь PDB в бинарном файле указывает на то, что это Stealerium или его вариант. Код декомпилированного образца и код, присутствующий в репозитории Stealerium, демонстрируют сильное сходство.
В целом, наш анализ выявил большое количество информации о работе группы HiddenEyeZ и ее основного продукта - вредоносной программы HiddenEyeZ HVNC. Мы изучили его дроппер, его функции и возможности, его методы достижения стойкости, его руткит и стеллер, а также его способы защиты от обнаружения. Эта информация важна для понимания угрозы, исходящей от этой киберпреступной группы, и способов ее снижения.
#ParsedReport #CompletenessHigh
30-05-2023
Void Rabisu s Use of RomCom Backdoor Shows a Growing Shift in Threat Actors Goals
https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html
Report completeness: High
Actors/Campaigns:
Tropical_scorpius (motivation: cyber_criminal, cyber_espionage, hacktivism, financially_motivated, politically_motivated)
Astrachat
Fancy_bear (motivation: hacktivism, cyber_criminal)
Voidbalaur (motivation: hacktivism, cyber_criminal)
Duke (motivation: hacktivism, cyber_criminal)
Killnet (motivation: hacktivism, cyber_criminal)
Threats:
Romcom_rat
Conti
Cuba
Vmprotect_tool
Icedid
Qakbot
Gozi
Com_hijacking_technique
Pid_spoofing_technique
Plink_tool
Anydesk_tool
Fategrab
Vidar_stealer
Stealc
Nltest_tool
Emotet
Matanbuchus
Batloader
Solarmarker
Industry:
Government, Financial, Energy
Geo:
Ukraine, Canadian, Ukrainian, Asia, Russian, Canada, America, Ontario
TTPs:
Tactics: 1
Technics: 10
IOCs:
Domain: 58
File: 17
Registry: 2
Path: 16
IP: 2
Hash: 29
Softs:
windows registry, 3proxy, google chrome, microsoft edge, mozilla firefox, chromium, chrome, component object model
Algorithms:
zip
Functions:
Main, startWorker, stub, stW, fSt
YARA: Found
Links:
30-05-2023
Void Rabisu s Use of RomCom Backdoor Shows a Growing Shift in Threat Actors Goals
https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html
Report completeness: High
Actors/Campaigns:
Tropical_scorpius (motivation: cyber_criminal, cyber_espionage, hacktivism, financially_motivated, politically_motivated)
Astrachat
Fancy_bear (motivation: hacktivism, cyber_criminal)
Voidbalaur (motivation: hacktivism, cyber_criminal)
Duke (motivation: hacktivism, cyber_criminal)
Killnet (motivation: hacktivism, cyber_criminal)
Threats:
Romcom_rat
Conti
Cuba
Vmprotect_tool
Icedid
Qakbot
Gozi
Com_hijacking_technique
Pid_spoofing_technique
Plink_tool
Anydesk_tool
Fategrab
Vidar_stealer
Stealc
Nltest_tool
Emotet
Matanbuchus
Batloader
Solarmarker
Industry:
Government, Financial, Energy
Geo:
Ukraine, Canadian, Ukrainian, Asia, Russian, Canada, America, Ontario
TTPs:
Tactics: 1
Technics: 10
IOCs:
Domain: 58
File: 17
Registry: 2
Path: 16
IP: 2
Hash: 29
Softs:
windows registry, 3proxy, google chrome, microsoft edge, mozilla firefox, chromium, chrome, component object model
Algorithms:
zip
Functions:
Main, startWorker, stub, stW, fSt
YARA: Found
Links:
https://github.com/trendmicro/research/tree/main/romcomTrend Micro
Void Rabisu’s Use of RomCom Backdoor Shows a Growing Shift in Threat Actors’ Goals
CTT Report Hub
#ParsedReport #CompletenessHigh 30-05-2023 Void Rabisu s Use of RomCom Backdoor Shows a Growing Shift in Threat Actors Goals https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Void Rabisu, вредоносный агент, связанный с бэкдором RomCom, с октября 2022 года сменил мотивацию с финансовой выгоды на геополитические цели и использует сторонний сервис для подписания двоичных файлов сертификатами вроде бы легитимных канадских компаний.
-----
Void Rabisu, вредоносный агент, связанный с бэкдором RomCom, с октября 2022 года сменил мотивацию с финансовой выгоды на геополитические цели. RomCom распространяется через сайты-приманки, создаваемые быстрыми сериями, и является примером финансово мотивированных угроз, чьи цели и мотивы все больше совпадают с геополитическими обстоятельствами. Помимо использования рекламы Google Ads для привлечения жертв, RomCom распространяется через троянизированные версии легитимных приложений, включая приложения для чатов, PDF-ридеры, приложения для удаленного рабочего стола и менеджеры паролей. Целями вредоносной программы являются Украина и страны НАТО, организации финансового, энергетического и водного секторов, местное правительственное агентство по поддержке украинских беженцев, а также банки и поставщики ИТ-услуг в Европе, США и Азии.
RomCom 3.0 состоит из трех компонентов: загрузчика, сетевого компонента и рабочего компонента. Он поддерживает 42 команды, включая команды для загрузки и запуска легитимного программного обеспечения, и похищает сохраненные учетные данные и историю просмотров из браузеров. Вредоносная программа защищена с помощью VMProtect и подписана действительными сертификатами, а также использует функции анти-VM для обнаружения запуска на виртуальной машине.
Void Rabisu, похоже, использует сторонний сервис, который помогает подписывать двоичные файлы сертификатами вроде бы легитимных канадских компаний. Такие компании имеют такие странности, как несуществующие номера телефонов, стоковые фотографии руководителей и адреса офисов, которые не совпадают. В данном случае сертификат был подписан канадской компанией Noray Consulting Ltd., которая, по-видимому, является либо поддельной, либо законной компанией, которой злоупотребляют, чтобы пройти проверку, необходимую для получения права подписывать двоичные файлы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Void Rabisu, вредоносный агент, связанный с бэкдором RomCom, с октября 2022 года сменил мотивацию с финансовой выгоды на геополитические цели и использует сторонний сервис для подписания двоичных файлов сертификатами вроде бы легитимных канадских компаний.
-----
Void Rabisu, вредоносный агент, связанный с бэкдором RomCom, с октября 2022 года сменил мотивацию с финансовой выгоды на геополитические цели. RomCom распространяется через сайты-приманки, создаваемые быстрыми сериями, и является примером финансово мотивированных угроз, чьи цели и мотивы все больше совпадают с геополитическими обстоятельствами. Помимо использования рекламы Google Ads для привлечения жертв, RomCom распространяется через троянизированные версии легитимных приложений, включая приложения для чатов, PDF-ридеры, приложения для удаленного рабочего стола и менеджеры паролей. Целями вредоносной программы являются Украина и страны НАТО, организации финансового, энергетического и водного секторов, местное правительственное агентство по поддержке украинских беженцев, а также банки и поставщики ИТ-услуг в Европе, США и Азии.
RomCom 3.0 состоит из трех компонентов: загрузчика, сетевого компонента и рабочего компонента. Он поддерживает 42 команды, включая команды для загрузки и запуска легитимного программного обеспечения, и похищает сохраненные учетные данные и историю просмотров из браузеров. Вредоносная программа защищена с помощью VMProtect и подписана действительными сертификатами, а также использует функции анти-VM для обнаружения запуска на виртуальной машине.
Void Rabisu, похоже, использует сторонний сервис, который помогает подписывать двоичные файлы сертификатами вроде бы легитимных канадских компаний. Такие компании имеют такие странности, как несуществующие номера телефонов, стоковые фотографии руководителей и адреса офисов, которые не совпадают. В данном случае сертификат был подписан канадской компанией Noray Consulting Ltd., которая, по-видимому, является либо поддельной, либо законной компанией, которой злоупотребляют, чтобы пройти проверку, необходимую для получения права подписывать двоичные файлы.
#ParsedReport #CompletenessLow
30-05-2023
FlowCloud malware infection via USB Flash Drive
https://insight-jp.nttsecurity.com/post/102ifpu/flowcloud-malware-infection-via-usb-flash-drive
Report completeness: Low
Actors/Campaigns:
Red_delta
Ta410 (motivation: cyber_espionage)
Webworm (motivation: cyber_espionage)
Ta428
Threats:
Flowcloud
Killlsomeone
Proxyshell_vuln
Proxylogon_exploit
Lookback
Victims:
Japanese organizations, Us public institutions, Global organizations, Manufacturing company
Geo:
Japan, Chinese, China, Japanese
ChatGPT TTPs:
T1140, T1083, T1064, T1036, T1082, T1050
IOCs:
File: 3
Hash: 9
Domain: 2
IP: 4
30-05-2023
FlowCloud malware infection via USB Flash Drive
https://insight-jp.nttsecurity.com/post/102ifpu/flowcloud-malware-infection-via-usb-flash-drive
Report completeness: Low
Actors/Campaigns:
Red_delta
Ta410 (motivation: cyber_espionage)
Webworm (motivation: cyber_espionage)
Ta428
Threats:
Flowcloud
Killlsomeone
Proxyshell_vuln
Proxylogon_exploit
Lookback
Victims:
Japanese organizations, Us public institutions, Global organizations, Manufacturing company
Geo:
Japan, Chinese, China, Japanese
ChatGPT TTPs:
do not use without manual checkT1140, T1083, T1064, T1036, T1082, T1050
IOCs:
File: 3
Hash: 9
Domain: 2
IP: 4
CTT Report Hub
#ParsedReport #CompletenessLow 30-05-2023 FlowCloud malware infection via USB Flash Drive https://insight-jp.nttsecurity.com/post/102ifpu/flowcloud-malware-infection-via-usb-flash-drive Report completeness: Low Actors/Campaigns: Red_delta Ta410 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что группа под названием TA410 атакует широкий круг глобальных организаций, используя вредоносное ПО FlowCloud, и недавние атаки были замечены в Японии и США. Цепочка атак включает запуск EXE-файла с USB-накопителя, а IP-адреса, связанные с атаками, находятся в Китае.
-----
В прошлом году такие злоумышленники, как Mustang Panda, KilllSomeOne и TA410, атаковали японские организации через USB-накопители.
Вредоносное ПО FlowCloud используется с 2019 года TA410 и классифицируется на три подгруппы.
В 2022 году была проведена атака на японскую производственную компанию, которая была приписана подгруппе под названием LookingFrog.
Вредоносная программа FlowCloud использовалась в многочисленных атаках за короткий промежуток времени с июня по август 2022 года.
Конфиг вредоносной программы FlowCloud содержит пояснительные комментарии на упрощенном китайском языке и осуществляет обмен данными через порты 562 и 563.
Руткит совместим с Windows 11 версии 21H2.
Большинство IP-адресов назначения, перечисленных в конфиге вредоносной программы FlowCloud, находятся в Китае.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что группа под названием TA410 атакует широкий круг глобальных организаций, используя вредоносное ПО FlowCloud, и недавние атаки были замечены в Японии и США. Цепочка атак включает запуск EXE-файла с USB-накопителя, а IP-адреса, связанные с атаками, находятся в Китае.
-----
В прошлом году такие злоумышленники, как Mustang Panda, KilllSomeOne и TA410, атаковали японские организации через USB-накопители.
Вредоносное ПО FlowCloud используется с 2019 года TA410 и классифицируется на три подгруппы.
В 2022 году была проведена атака на японскую производственную компанию, которая была приписана подгруппе под названием LookingFrog.
Вредоносная программа FlowCloud использовалась в многочисленных атаках за короткий промежуток времени с июня по август 2022 года.
Конфиг вредоносной программы FlowCloud содержит пояснительные комментарии на упрощенном китайском языке и осуществляет обмен данными через порты 562 и 563.
Руткит совместим с Windows 11 версии 21H2.
Большинство IP-адресов назначения, перечисленных в конфиге вредоносной программы FlowCloud, находятся в Китае.
#ParsedReport #CompletenessMedium
30-05-2023
PixBankBot: New ATS-Based Malware Poses Threat to the Brazilian Banking Sector
https://blog.cyble.com/2023/05/30/pixbankbot-new-ats-based-malware-poses-threat-to-the-brazilian-banking-sector
Report completeness: Medium
Threats:
Brasdex
Pixpirate
Goatrat
Lizar
Victims:
Brazilian banks utilizing pix instant payment system
Industry:
Financial
Geo:
Brazilian, Brasil, Ita, Brazil, American
TTPs:
Tactics: 4
Technics: 6
IOCs:
Url: 2
File: 1
Hash: 4
Softs:
android
Algorithms:
sha256, sha1
30-05-2023
PixBankBot: New ATS-Based Malware Poses Threat to the Brazilian Banking Sector
https://blog.cyble.com/2023/05/30/pixbankbot-new-ats-based-malware-poses-threat-to-the-brazilian-banking-sector
Report completeness: Medium
Threats:
Brasdex
Pixpirate
Goatrat
Lizar
Victims:
Brazilian banks utilizing pix instant payment system
Industry:
Financial
Geo:
Brazilian, Brasil, Ita, Brazil, American
TTPs:
Tactics: 4
Technics: 6
IOCs:
Url: 2
File: 1
Hash: 4
Softs:
android
Algorithms:
sha256, sha1
Cyble
PixBankBot: New ATS-Based Malware Poses Threat to the Brazilian Banking Sector
Cyble analyzes PixBankBot, a new ATS-based malware that targets Brazilian banks through the popular Pix instant payment platform.
CTT Report Hub
#ParsedReport #CompletenessMedium 30-05-2023 PixBankBot: New ATS-Based Malware Poses Threat to the Brazilian Banking Sector https://blog.cyble.com/2023/05/30/pixbankbot-new-ats-based-malware-poses-threat-to-the-brazilian-banking-sector Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Рост числа вариантов банковских троянов для Android, нацеленных на бразильские банки, представляет собой угрозу для финансовых учреждений в эпоху цифровых платежей. Эти трояны могут осуществлять мошеннические операции и собирать информацию о пользователе, интегрируя фреймворк ATS и используя сервисы доступности.
-----
Pix произвела революцию в сфере платежей и переводов, позволив более 138 миллионам пользователей совершать транзакции по состоянию на апрель 2023 года. К сожалению, бразильские банки, использующие систему мгновенных платежей Pix, подвергаются постоянным атакам со стороны угроз. Компания Cyble Research & Intelligence Labs обнаружила новый вариант банковского троянца для Android под названием PixBankBot, созданный специально для атак на бразильские банки через систему автоматических переводов (ATS). Вредоносная программа ловко маскируется под PDF-приложение с иконкой и названием, чтобы казаться подлинной. После установки он предлагает пользователю включить службу доступности, которая затем используется для перехвата клавиатуры и фреймворка ATS.
Вредоносная программа получает уникальный идентификатор, известный как Pix-ключ, связанный с информацией о банковском счете получателя, и отправляет основную информацию об устройстве, такую как имя устройства, версия Android, IP и регион, на командно-контрольный сервер (C&C). После обнаружения целевого банковского приложения вредоносная программа создает поддельное окно настоящего приложения, скрывая свои вредоносные действия от ничего не подозревающих жертв. Затем он ищет определенные элементы, связанные с ключом Pix и суммой перевода, вставляет их и автоматически нажимает на элементы пользовательского интерфейса для завершения процесса перевода денег. Кроме того, он проверяет, включена ли биометрическая аутентификация, и пытается обманом заставить жертву подтвердить подлинность своих отпечатков пальцев. После завершения перевода вредоносная программа отправляет сумму перевода и название целевого банка на C&C-сервер, а затем удаляется с зараженного устройства.
Рост числа вариантов банковских троянов для Android на базе ATS, нацеленных на бразильские банки, свидетельствует об эволюции угроз, с которыми сталкиваются финансовые учреждения в эпоху цифровых платежей. Эти трояны могут осуществлять мошеннические операции и собирать конфиденциальную информацию о пользователе, интегрируя фреймворк ATS и используя службы доступности, чтобы делать это без вмешательства пользователя. Кроме того, они используют тактику удаления с зараженных устройств, что позволяет им оставаться незамеченными. Таким образом, пользователи и финансовые учреждения должны сохранять бдительность, чтобы не стать жертвой этих новых угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Рост числа вариантов банковских троянов для Android, нацеленных на бразильские банки, представляет собой угрозу для финансовых учреждений в эпоху цифровых платежей. Эти трояны могут осуществлять мошеннические операции и собирать информацию о пользователе, интегрируя фреймворк ATS и используя сервисы доступности.
-----
Pix произвела революцию в сфере платежей и переводов, позволив более 138 миллионам пользователей совершать транзакции по состоянию на апрель 2023 года. К сожалению, бразильские банки, использующие систему мгновенных платежей Pix, подвергаются постоянным атакам со стороны угроз. Компания Cyble Research & Intelligence Labs обнаружила новый вариант банковского троянца для Android под названием PixBankBot, созданный специально для атак на бразильские банки через систему автоматических переводов (ATS). Вредоносная программа ловко маскируется под PDF-приложение с иконкой и названием, чтобы казаться подлинной. После установки он предлагает пользователю включить службу доступности, которая затем используется для перехвата клавиатуры и фреймворка ATS.
Вредоносная программа получает уникальный идентификатор, известный как Pix-ключ, связанный с информацией о банковском счете получателя, и отправляет основную информацию об устройстве, такую как имя устройства, версия Android, IP и регион, на командно-контрольный сервер (C&C). После обнаружения целевого банковского приложения вредоносная программа создает поддельное окно настоящего приложения, скрывая свои вредоносные действия от ничего не подозревающих жертв. Затем он ищет определенные элементы, связанные с ключом Pix и суммой перевода, вставляет их и автоматически нажимает на элементы пользовательского интерфейса для завершения процесса перевода денег. Кроме того, он проверяет, включена ли биометрическая аутентификация, и пытается обманом заставить жертву подтвердить подлинность своих отпечатков пальцев. После завершения перевода вредоносная программа отправляет сумму перевода и название целевого банка на C&C-сервер, а затем удаляется с зараженного устройства.
Рост числа вариантов банковских троянов для Android на базе ATS, нацеленных на бразильские банки, свидетельствует об эволюции угроз, с которыми сталкиваются финансовые учреждения в эпоху цифровых платежей. Эти трояны могут осуществлять мошеннические операции и собирать конфиденциальную информацию о пользователе, интегрируя фреймворк ATS и используя службы доступности, чтобы делать это без вмешательства пользователя. Кроме того, они используют тактику удаления с зараженных устройств, что позволяет им оставаться незамеченными. Таким образом, пользователи и финансовые учреждения должны сохранять бдительность, чтобы не стать жертвой этих новых угроз.