#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Субъекты угроз Vidar предприняли шаги для сокрытия своих следов, такие как использование публичных VPN-сервисов и ротация внутренней IP-инфраструктуры, чтобы еще больше анонимизировать свою деятельность. Отслеживание хостинга основного сайта Vidar может помочь потенциально идентифицировать как аффилированных лиц, так и жертв, что облегчает смягчение последствий атаки Vidar.
-----

Vidar - это вредоносное программное обеспечение, или malware, впервые замеченное в конце 2018 года. Оно используется в основном для кражи информации, позволяя злоумышленникам получать доступ к конфиденциальной информации своих целей. За последние четыре месяца инфраструктура и бэкэнд Vidar претерпели многочисленные изменения. Для дальнейшей анонимизации своей деятельности субъекты угроз использовали публичные VPN-сервисы. Они использовали домен my-odin.com для управления различными аспектами своей деятельности, такими как аутентификация партнеров, обмен файлами и администрирование панели.

С августа 2022 года участники угрозы Vidar меняли свою внутреннюю IP-инфраструктуру, отдавая предпочтение провайдерам в Молдове и России. При попытке загрузить любые файлы, размещенные по URL-пути /private, пользователи перенаправлялись на страницу входа в систему партнеров Vidar. Затем, в марте 2023 года, два IP-адреса были использованы для деятельности по управлению протоколом удаленного рабочего стола (RDP). Часть активности была отслежена до ретранслятора ProtonVPN, а часть - до VPN-сервера с именем хоста vpn-udp-1.recfut.com. Это указывает на то, что субъекты угроз предпринимают шаги по анонимизации своей деятельности по управлению.

В мае 2023 года IP-адрес хостинга my-odin.com был обновлен еще раз. Новым IP-адресом стал 185.229.64.137 (S.C. INFOTECH-GRUP S.R.L.). Мы можем заметить, что связь с этим IP-адресом началась 03 мая 2023 года, и что новый IP-адрес соответствует предыдущему поведению. Кроме того, наблюдались входящие соединения с ретрансляторов Tor, что позволяет предположить, что аффилированные лица Vidar получают доступ к своим аккаунтам / хранилищам вредоносного ПО.

Продолжающиеся изменения в инфраструктуре Vidar демонстрируют эволюцию ее управления. Субъекты угроз предпринимают шаги, чтобы замести следы, поэтому важно быть в курсе всех новых находок, связанных с Vidar и другими угрозами. Отслеживание хостинга основного сайта Vidar может помочь потенциально идентифицировать как аффилированных лиц, так и жертв. Это поможет смягчить последствия атаки Vidar.

#ParsedReport #CompletenessLow
15-06-2023

The Anatomy of HTML Attachment Phishing: One Code, Many Variants

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/the-anatomy-of-html-attachment-phishing.html

Report completeness: Low

Victims:
Users worldwide, us, south korea, germany, online shoppers, retailers, financial institutions

Industry:
Retail, Entertainment, Financial, Healthcare

Geo:
Korea, Germany

IOCs:
File: 8
Hash: 172
Url: 170

Algorithms:
exhibit, base64

Functions:
atob

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Фишинговые кампании становятся все более изощренными, а субъекты угроз постоянно совершенствуют свои тактики и методы, чтобы повысить процент успеха. Злоумышленники регулярно обновляют вредоносный код, который они используют, чтобы избежать обнаружения, а HTML-вложения являются одним из самых популярных типов вложений, используемых в фишинговых атаках. Наиболее подвержены атакам такие страны, как США, Южная Корея и Германия, причем особенно уязвимы для атак высокотехнологичные, производственные и медицинские отрасли.
-----

Фишинг - это вредоносная практика, которая заключается в выдаче себя за доверенное лицо с целью кражи конфиденциальной информации. Файлы HTML являются одним из самых популярных типов вложений, используемых в фишинговых атаках, и злоумышленники используют различные техники, такие как перенаправление пользователей на множество вредоносных веб-сайтов, обфускация кода и кодирование конфиденциальной информации, чтобы избежать обнаружения. За последний год количество фишинговых кампаний, связанных с HTML-вложениями, увеличилось более чем на 1030%. Наиболее подвержены атакам такие страны, как США, Южная Корея и Германия, причем особенно уязвимы для атак высокотехнологичные, производственные и медицинские отрасли.

Эти фишинговые кампании становятся все более изощренными, субъекты угроз постоянно совершенствуют свои тактики и методы, чтобы повысить процент успеха. Злоумышленники регулярно обновляют используемый ими вредоносный код, чтобы избежать обнаружения, поэтому важно, чтобы пользователи и сотрудники были осведомлены о рисках, связанных с открытием ненадежных файлов.

Фишинговые письма обычно содержат поддельные запросы DocuSign, вложенные файлы или вредоносные HTML-файлы, замаскированные под легитимные сообщения eFax. Эти письма часто ведут на фишинговую страницу после выполнения, а HTML-вложение использует методы обфускации, а также создает веб-страницу с двумя скрытыми элементами ввода и элементом сценария. Один из элементов ввода содержит Base64-кодированное значение адреса электронной почты целевого пользователя. Ответ, полученный по URL-адресу, заканчивающемуся на mj.js, состоит из двух частей, причем первый блок загружает библиотеку jquery для выполнения остального кода. Четвертый блок кода создает пост-запрос с четырьмя параметрами, а непосредственно перед загрузкой финальной фишинговой страницы он делает POST-запрос с электронным адресом в качестве параметра. В ответ на него передаются данные в формате json, содержащие ссылки на URL-адреса фонового изображения и логотипа компании жертвы.

Более того, вредоносный код в HTML-вложении также использует различные триггеры для выполнения фишинговой полезной нагрузки, такие как onload, onerror, onbegin, onanimatestart и onloadstart. Эти триггеры получают доступ к элементам DOM для создания окончательного фишингового сценария, который затем выполняется с помощью функций eval и atob.

#ParsedReport #CompletenessHigh
15-06-2023

Cadet Blizzard emerges as a novel and distinct Russian threat actor

https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor

Report completeness: High

Actors/Campaigns:
Cadet_blizzard (motivation: cyber_espionage)
Gamaredon
Volt_typhoon (motivation: cyber_espionage)
Ruinous_ursa
Forest_blizzard
Seashell_blizzard
Fancy_bear
Dev-0960

Threats:
Whispergate
Supply_chain_technique
Lolbin_technique
Proxyshell_vuln
P0wnyshell
Regeorg
Credential_harvesting_technique
Dumplsass_tool
Procdump_tool
Impacket_tool
Netcat_tool
Meterpreter_tool
Saintbot
Outsteel
Teamviewer_tool

Victims:
Organizations in ukraine and europe

Industry:
Ngo, Government

Geo:
Ukraine, Russia, Russian, Asia, Chinese, America, Ukrainian

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 6
Domain: 1
Email: 1
IP: 1
Hash: 5

Softs:
microsoft 365 defender, microsoft defender, microsoft defender for endpoint, telegram, confluence, sysinternals, windows defender

Algorithms:
sha256

Win Services:
WinDefend

Languages:
python, autoit

Links:
https://github.com/sensepost/reGeorg
https://github.com/flozz/p0wny-shell
https://gist.github.com/malwarezone/119bed274bc77b52122fa118f0a72618#file-stealer-au3-L2880
https://github.com/fortra/impacket

#ParsedReport #ExtractedSchema

Classified images:
code: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Microsoft выявила нового субъекта угроз, Cadet Blizzard, который нацелен на критически важную инфраструктуру США и украинские организации, и сотрудничает с мировым сообществом безопасности для обмена информацией о его деятельности. Кроме того, в регионе действуют и другие злоумышленники, и организации могут принять меры по укреплению своей безопасности, чтобы минимизировать риск.
-----

Центр разведки угроз Microsoft (MSTIC) обнаружил свидетельства работы разрушительного вредоносного ПО, направленного на несколько украинских организаций. Эта вредоносная деятельность приписывается новому субъекту угроз, Cadet Blizzard, который, как полагают, связан с российскими военными. В рамках своих операций Cadet Blizzard, по-видимому, нацеливается на критически важную инфраструктуру США и использует информационные операции, а также деструктивные возможности против украинских организаций. Microsoft сотрудничает с мировым сообществом по безопасности, чтобы поделиться информацией о деятельности Cadet Blizzard, и работает с CERT-UA для защиты от кибератак.

С середины января 2022 года компания Cadet Blizzard начала проводить в Украине разрушительные и деструктивные мероприятия. В течение нескольких месяцев ей удавалось закрепиться в затронутых сетях и осуществлять утечку данных до начала разрушительных действий. В январе 2023 года ее операции активизировались против множества организаций в Украине и Европе. Было замечено, что Cadet Blizzard действует семь дней в неделю и в нерабочее время своих основных европейских целей. Страны-члены НАТО, оказывающие военную помощь Украине, подвергаются большему риску атаки со стороны Cadet Blizzard.

Тактика, техника и процедуры Cadet Blizzard включают взлом веб-серверов, сбор учетных данных с помощью инструментов Sysinternals, использование модулей Impacket для латерального перемещения, использование сервисов анонимизации, таких как IVPN, SurfShark и Tor, чтобы скрыть свою деятельность, отключение антивируса Microsoft Defender и сбор информации в массовом порядке с целевых серверов. Кроме того, было замечено, что группа сливает данные с серверов на сайт Tor .onion под именем Free Civilian и создает новый канал Telegram под тем же именем.

Помимо Cadet Blizzard, в регионе действуют и другие вредоносные субъекты, такие как китайская государственная организация Volt Typhoon и российская организация частного сектора, оказывающая оперативную поддержку первой. Storm-0587 - это кластер фишинговых действий с использованием документов с оружием, SaintBot - загрузчик, который развертывает полезные нагрузки, а OUTSTEEL - похититель информации, который был замечен в нескольких атаках.

Организации могут предпринять шаги по укреплению своей безопасности, чтобы минимизировать риск, создаваемый Cadet Blizzard и другими злоумышленниками. К ним относятся многофакторная аутентификация и контролируемый доступ к папкам для предотвращения модификации MBR/VBR и бокового перемещения, внедрение облачной защиты для антивирусного ПО, а также использование общих команд, инструментов и индикаторов компрометации для исследования среды и оценки потенциального вторжения.

#ParsedReport #CompletenessLow
16-06-2023

Kimsuky spreading CHM malware using various topics

https://asec.ahnlab.com/ko/53426

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/bat.runner
Trojan/vbs.runner
Infostealer/bat.generic
Infostealer/vbs.generic

Industry:
Education, Financial

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1192, T1059, T1558, T1064, T1041

IOCs:
File: 21
Path: 2
Registry: 1
Url: 4
Hash: 10

Softs:
curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky нацеливается на конкретных пользователей с помощью вредоносных программ, замаскированных под справочные окна, используя украденную личную информацию для создания финансовых транзакций между двумя пользователями. Затем вредоносные файлы загружаются и выполняются с помощью команд curl и expand.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) отслеживал деятельность вредоносной APT-группы Kimsuky в течение мая. В этом месяце было подтверждено, что они распространяют вредоносное ПО с помощью CHM-файлов, отклоняясь от своего обычного метода работы с файлами документов. Вредоносное ПО маскируется под окна помощи и нацелено на конкретных пользователей, используя их личную информацию для создания таких тем, как монеты, налогообложение и контракты.

Группа Kimsuky использует украденную личную информацию пользователей для создания финансовой транзакции между двумя конкретными пользователями (Рисунок 2). Это делается для того, чтобы обмануть пользователей, заставив их поверить, что они просматривают легитимное окно справки. Затем вредоносные команды выполняются через объект ярлыка, который вызывает oeirituttbb.vbs, Runner, выполняющий созданный файл oeirituttvv.bat. Файл oeirituttvv.bat загружает дополнительные вредоносные файлы через curl, которые затем распаковываются и выполняются с помощью команды expand. В зависимости от цели атаки, тип загружаемого вредоносного файла может быть разным.

#ParsedReport #CompletenessLow
16-06-2023

DoNot APT Elevates its Tactics by Deploying Malicious Android Apps on Google Play Store

https://www.cyfirma.com/outofband/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store

Report completeness: Low

Actors/Campaigns:
Donot
Sidewinder

Threats:
Cobalt_strike

Victims:
Individuals in the pakistan region

Geo:
Pakistan, Asian, Asia, Kashmir

TTPs:
Tactics: 3
Technics: 4

IOCs:
File: 2
Coin: 1
Domain: 3
IP: 1

Softs:
android, telegram, whatsapp

Algorithms:
cbc, sha256, aes

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 4, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно CYFIRMA обнаружила вредоносные приложения для Android, размещенные в Google Play Store под подозрительным аккаунтом. Атака была мотивирована сбором информации с помощью полезной нагрузки stager и ее использованием для атаки на втором этапе. Угрожающий субъект нацелился на жертв в Пакистане с помощью атаки с использованием копьеметания и воспользовался доверием людей к Google Play Store.
-----

Команда CYFIRMA недавно обнаружила подозрительные приложения для Android, размещенные в Google Play Store под учетной записью SecurITY Industry. После проведения тщательного анализа образцов, с умеренным уровнем уверенности, они связали аккаунт с печально известной группой Advanced Persistent Threat Group; DoNot. Технический анализ показывает, что мотивом атаки является сбор информации через полезную нагрузку stager и использование собранной информации для второго этапа атаки с использованием вредоносного ПО с более разрушительными функциями.

Угроза использовала законные библиотеки Android, чтобы заставить приложение действовать злонамеренно, получать контакты и точное местоположение жертв. Для вредоносной деятельности использовались опасные разрешения. Снимок кода показал использование библиотеки Android Room для хранения данных, а также клиентской библиотеки Retrofit HTTP для взаимодействия с официальным сайтом iKHfaa VPN, выполнения задачи командования и контроля, получения местоположения и контактов устройства. Кроме того, был захвачен HTTP-запрос, отправляющий данные на appnsure.com:9090 в формате Json с использованием ключа авторизации.

Единственная доступная информация о жертвах, на которых была направлена эта вредоносная программа, заключается в том, что они находились в Пакистане. Мы полагаем, что угрожающая сторона использовала атаку с помощью копьеметания в мессенджерах Telegram или WhatsApp, чтобы заманить жертв на установку приложения через магазин Google Play. Это первый случай, когда APT использовала Google Play Store для размещения вредоносных приложений в обход проверок безопасности. Следовательно, последствия будут значительными, если передовые постоянные угрозы (APT) возьмут эту стратегию на вооружение.

По результатам технических исследований становится ясно, что целью угрожающего субъекта был сбор информации для второго этапа атаки с использованием вредоносного ПО с расширенными возможностями. Получив доступ к спискам контактов и местоположению жертв, угрожающий агент может разработать стратегию будущих атак и использовать жертв в своих целях. Эта стратегия использует доверие людей к магазину Google Play, поскольку редко кто подозревает его в размещении вредоносных приложений.

#ParsedReport #CompletenessLow
16-06-2023

Analysis of BAT file extension ransomware attacking MS-SQL servers (Mallox)

https://asec.ahnlab.com/ko/54278

Report completeness: Low

Threats:
Targetcompany
Remcos_rat
Process_hollowing_technique

Victims:
Ms-sql servers

IOCs:
File: 5
Hash: 1
Url: 1

Softs:
ms-sql

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 4, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Mallox ransomware с расширением файла BAT распространяется на неправильно управляемых серверах MS-SQL. Чтобы защитить серверы MS-SQL от этих атак, важно правильно управлять учетными записями и предотвращать атаки методом грубой силы и по словарю, устанавливать последние исправления безопасности, использовать решение безопасности, способное обнаруживать безфайловые вредоносные программы, и создать безопасную среду.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил, что программа-рансомвар Mallox с расширением файла BAT распространяется на неправильно управляемых серверах MS-SQL. Файл BAT, бесфайловый тип, используется так же, как и файлы EXE, причем powershell и sqlps являются двумя основными формами распространения. На рисунке 1 показан ASD-журнал адреса загрузки, идентифицированного как Tst.bat в содержимом обнаружения. На рисунке 2 показано, как файл BAT был загружен в рамках подробного журнала. На рисунке 3 показан процесс загрузки и выполнения программы Mallox ransomware, обнаруженной продуктом EDR. На рисунке видно, что основные действия расписаны кратко. Если щелкнуть процесс на левом экране, появится журнал с указанием причины обнаружения и предпринятых действий.

Аналогично атакующему, выполнение команды загрузки вредоносного кода осуществлялось с помощью процесса PowerShell с использованием CMD. Адрес распространения и путь хранения злоумышленника показаны подробно. На рисунке 5 показан обычный файл PowerShell с произвольным именем файла, созданный на рисунке 4, выполняемый вместе с произвольной закодированной командой сценария. Затем выполняется Process Hollowing - техника инъекции - данных, которые являются основным телом Mallox ransomware, в MSbuild.exe, обычный процесс Windows. Кроме того, по тому же пути создается и выполняется файл killer.bat.

Рисунок 7 - экран обнаружения поведения вымогательского ПО MSBuild.exe, выполненного после Process Hollowing. Видно, что отображается зашифрованное содержимое файла-приманки, а также история команд по удалению теневых копий тома. Также записывается все содержимое зашифрованных файлов документов. На рисунке 8 показана команда, выполненная для блокирования восстановления с помощью функций Windows, и можно убедиться, что все они записаны.

Вредоносные коды, направленные на неправильно управляемые серверы баз данных MS-SQL, включают исполняемые файлы, но также стали обнаруживаться и неисполняемые файлы без файлов (NON-PE). Атаки на серверы баз данных MS-SQL обычно включают перебор и словарные атаки на системы, которые ненадлежащим образом управляют учетной информацией. В случае с сервером MS-SQL, он часто устанавливается вместе в процессе установки ERP и бизнес-решений, в дополнение к форме, непосредственно встроенной в качестве сервера баз данных.

Чтобы защитить серверы MS-SQL от этих атак, важно правильно управлять учетными записями и предотвращать атаки методом грубой силы и по словарю. Также важно устанавливать последние исправления безопасности и использовать решение безопасности, способное обнаруживать безфайловые вредоносные программы. Кроме того, создание безопасной среды для серверов MS-SQL путем разделения сети и контроля доступа поможет снизить риск атак.

#ParsedReport #CompletenessLow
16-06-2023

The Latest on Clop Ransomware and the MOVEit Vulnerability

https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability

Report completeness: Low

Threats:
Clop
Supply_chain_technique

Victims:
Zellis uk, us federal agencies, government contractors, multiple companies

Industry:
Aerospace, Government, Retail, Education, Telco, Financial, Healthcare, Transport, Petroleum

Softs:
moveit

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что банда Clop Ransomware - это вредоносная киберпреступная организация, которая использует уязвимость нулевого дня в системе MOVEit Transfer для получения доступа к растущему списку компаний, и в ответ на это ФБР и CISA выпустили совместный совет по кибербезопасности. Компания Flashpoint внимательно следит за блогом Clop ransomware и предоставляет инструменты и ресурсы, чтобы помочь организациям предотвращать подобные атаки и реагировать на них.
-----

Clop Ransomware - это вредоносная киберпреступная организация, которая использует уязвимость MOVEit для получения доступа к растущему списку компаний. По состоянию на 13 июня на их сайте утечки данных было указано 64 организации почти из всех основных отраслей, включая правительства и финансовые учреждения. Они также публично пригрозили опубликовать любые имеющиеся у них данные, связанные с несоблюдением требований или переговорами со стороны тех, на кого была направлена массовая утечка данных из инструмента Progress Software MOVEit Transfer.

Clop начал использовать уязвимость нулевого дня 27 мая, а 5 июня компания Zellis UK, поставщик решений для расчета заработной платы и управления персоналом, подтвердила, что они были скомпрометированы. Это привело к тому, что цепочка других организаций в их цепочке поставок также была затронута. После этого ФБР и CISA 7 июня выпустили совместный совет по кибербезопасности (CSA) с известными тактиками, методами и процедурами группы Clop ransomware, списком индикаторов компрометации (IOC) и рекомендованными мерами по смягчению последствий для пострадавших сторон.

Flashpoint продолжает следить за новостями в блоге Clop ransomware и других источниках о жертвах уязвимости нулевого дня MOVEit Transfer. Для минимизации ущерба в случае атаки ransomware организациям следует подготовить хорошо отработанный план реагирования на инциденты. Flashpoint предоставляет инструменты, позволяющие командам безопасности предотвращать атаки ransomware и реагировать на них.

Банда Clop Ransomware - это вредоносная киберпреступная организация, которая неуклонно получает доступ ко все большему числу компаний и организаций по всему миру. Они использовали уязвимость нулевого дня в системе MOVEit Transfer, о которой стало известно 5 июня, и с тех пор угрожают жертвам публикацией их данных в случае невыполнения требований или отказа от переговоров. В ответ на это ФБР и CISA выпустили совместную консультацию по кибербезопасности с известными тактиками и МОК вымогательского ПО Clop, а также рекомендованными мерами по смягчению последствий.

Flashpoint продолжает внимательно следить за блогом Clop ransomware и другими источниками для получения дальнейших обновлений и жертв уязвимости нулевого дня MOVEit Transfer. Чтобы минимизировать ущерб в случае атаки ransomware, организациям следует иметь план реагирования на инциденты. Flashpoint предоставляет инструменты и ресурсы, помогающие организациям предотвращать такие атаки и реагировать на них.

#ParsedReport #CompletenessHigh
16-06-2023

Mystic Stealer: The New Kid on the Block. Appendix

https://inquest.net/blog/2023/06/15/mystic-stealer-new-kid-block

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Mystic_stealer
Polymorphism_technique
Arkei_stealer
Sandbox_evasion_technique
Advobfuscator_tool
Neutrino_pos

Industry:
Government, Petroleum, Financial

Geo:
Latvian, Bulgarian, Germany, China, Russian, Russia, France, Indian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1555.006, T1078, T1082, T1083, T1090, T1102, T1203, T1204, T1486, have more...

IOCs:
File: 10
Email: 1
Domain: 3
Url: 8
IP: 9
Coin: 7
Hash: 6

Softs:
telegram, hyper-v, virtualbox, django, opera, k-meleon, icecat, mozilla firefox, icedragon, cyberfox, have more...

Wallets:
dashcore, tronlink, binancechain, yoroi, nifty, math_wallet, coinbase, guarda_wallet, equal_wallet, jaxx, have more...

Crypto:
bitcoin, multiversx, ethereum, polkadot, binance, dogecoin, litecoin, bitcoingold

Algorithms:
xor, rc4

Languages:
php, python

Links:
https://github.com/andrivet/ADVobfuscator
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_nameservers.txt
https://github.com/a0rtega/pafish/blob/master/pafish/cpu.c
https://github.com/montysecurity/C2-Tracker/blob/main/data/Mystic%20Stealer%20IPs.txt
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domain\_whois.txt
https://github.com/Microv/MysticStealer\_HashResolver
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/c2s.txt
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domains.txt
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/import\_hash.py
https://github.com/phish-report/IOK/blob/main/indicators/mystic-stealer-88b6ef2f.yml
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/decrypt\_c2s.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mystic Stealer - это сложная вредоносная программа для кражи информации, которая пользуется значительным спросом благодаря своей способности собирать учетные данные из различных источников. Она реализована на языке C для клиента и Python для панели управления и использует функции антианализа и уклонения от защиты. Его можно арендовать на подпольных форумах по цене 150 долларов США в месяц, поэтому важно принять меры по защите от этой и других вредоносных программ.
-----

Mystic Stealer - это новая вредоносная программа для кражи информации, которая впервые была разрекламирована в апреле 2023 года. Она пользуется значительным спросом благодаря своей способности собирать учетные данные из самых разных источников, включая 40 веб-браузеров, 70 расширений для браузеров, а также популярные криптовалютные кошельки, Steam и Telegram. Mystic Stealer реализован на языке C для клиента и Python для панели управления и взаимодействует со своими командно-контрольными серверами с помощью пользовательского бинарного протокола по TCP.

Mystic Stealer собирает системную информацию, историю и данные автозаполнения, закладки, куки и сохраненные учетные данные из 40 веб-браузеров, а также учетные данные Steam и Telegram и данные, связанные с криптовалютными кошельками. Он также способен делать скриншоты и загружать дополнительные полезные программы. Mystic Stealer содержит функции антианализа и уклонения от защиты, такие как истечение срока действия бинарных файлов, антивиртуализация, импорт Windows API по хэшу, зашифрованный бинарный пользовательский протокол и обфускация полиморфных строк.

Разработчик предоставляет веб-панель управления администратором, которая работает вне диапазона на отдельном открытом служебном порту, не используемом вредоносной программой для C2-коммуникаций. Разработчики используют веб-фреймворк Python Django для панели управления, что является некоторой редкостью при разработке вредоносных программ. Комплект пользовательского интерфейса панели управления, по-видимому, основан на Datta Able для Django, хотя связи между этим проектом и Mystic Stealer нет.

Mystic Stealer был выставлен на аренду по цене $150 в месяц на различных подпольных форумах, включая WWH (WWH-Club) и BHF (Best Hack Forums). Продавец также ведет аккаунт в Telegram под именем @mysticstealer и канал t.me/+ZjiasReCKmo2N2Rk (Новости Mystic Stealer).

Угонщик был связан с несколькими IP-адресами хостинга серверов в различных географических регионах, включая, но не ограничиваясь регистрацией во Франции, Германии, России, США и Китае. Многие из сайтов недавно ушли в офлайн, а вышестоящая CDN сообщила о сбоях в соединении, поэтому возможно, что эти домены являются частью службы распределения трафика или внешнего прокси-сервера и службы трафика. Существует кластер серверов C2, помеченный как "Grand" на основе артефактов WHOIS - некоторые домены в этом кластере имеют высокие показатели репутации в различных наборах данных. Доступны записи WHOIS репрезентативных доменов из этого набора.

Для обнаружения начального обмена ключами соединения C2 были разработаны сигнатуры Suricata. Они обнаруживают начальный обмен ключами соединения C2 и предупреждают, когда размер пакета составляет 4 байта, содержащих постоянное значение. Для обеспечения дополнительной безопасности рекомендуется соблюдать надлежащую гигиену электронной почты. Сюда входят различные технологии гигиены электронной почты, анализ которых позволяет получить мгновенный отчет о состоянии безопасности компании.

Mystic Stealer - это сложная угроза, способная нанести широкомасштабный ущерб. Поэтому важно сохранять бдительность и принимать меры по защите от этой и других вредоносных программ.

#ParsedReport #CompletenessLow
16-06-2023

Ransomware Roundup - Big Head

https://www.fortinet.com/blog/threat-research/fortiguard-labs-ransomware-roundup-big-head

Report completeness: Low

Threats:
Big_head

Industry:
Financial

Geo:
Turkey, Spain, France

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Hash: 11

Softs:
microsoft word, telegram

Crypto:
bitcoin

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория FortiGuard Labs обнаружила два новых варианта ransomware, Big Head и еще один, вероятно, используемый одним и тем же злоумышленником, и предоставила читателям краткую информацию о развивающемся ландшафте ransomware и решениях Fortinet для защиты от них.
-----

Лаборатория FortiGuard Labs недавно обнаружила два новых варианта ransomware, Big Head и еще один, вероятно, используемый одним и тем же злоумышленником. Оба варианта предназначены для вымогательства денег у жертв путем шифрования их файлов. Big Head имеет как минимум три варианта, один из которых отображает поддельный экран обновления Windows. Вариант B отображает записку с требованием выкупа на обоях рабочего стола зараженной машины и требует выкуп в размере одного биткойна. Биткойн-кошелек злоумышленника зафиксировал две транзакции в прошлом.

Большинство образцов Big Head было получено из США, в то время как другой вариант ransomware был получен из США, Испании, Франции и Турции. На момент проведения данного исследования нет никаких признаков того, что Big Head широко распространен.