#ParsedReport #CompletenessLow
16-06-2023

Kimsuky spreading CHM malware using various topics

https://asec.ahnlab.com/ko/53426

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/bat.runner
Trojan/vbs.runner
Infostealer/bat.generic
Infostealer/vbs.generic

Industry:
Education, Financial

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1192, T1059, T1558, T1064, T1041

IOCs:
File: 21
Path: 2
Registry: 1
Url: 4
Hash: 10

Softs:
curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky нацеливается на конкретных пользователей с помощью вредоносных программ, замаскированных под справочные окна, используя украденную личную информацию для создания финансовых транзакций между двумя пользователями. Затем вредоносные файлы загружаются и выполняются с помощью команд curl и expand.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) отслеживал деятельность вредоносной APT-группы Kimsuky в течение мая. В этом месяце было подтверждено, что они распространяют вредоносное ПО с помощью CHM-файлов, отклоняясь от своего обычного метода работы с файлами документов. Вредоносное ПО маскируется под окна помощи и нацелено на конкретных пользователей, используя их личную информацию для создания таких тем, как монеты, налогообложение и контракты.

Группа Kimsuky использует украденную личную информацию пользователей для создания финансовой транзакции между двумя конкретными пользователями (Рисунок 2). Это делается для того, чтобы обмануть пользователей, заставив их поверить, что они просматривают легитимное окно справки. Затем вредоносные команды выполняются через объект ярлыка, который вызывает oeirituttbb.vbs, Runner, выполняющий созданный файл oeirituttvv.bat. Файл oeirituttvv.bat загружает дополнительные вредоносные файлы через curl, которые затем распаковываются и выполняются с помощью команды expand. В зависимости от цели атаки, тип загружаемого вредоносного файла может быть разным.

#ParsedReport #CompletenessLow
16-06-2023

DoNot APT Elevates its Tactics by Deploying Malicious Android Apps on Google Play Store

https://www.cyfirma.com/outofband/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store

Report completeness: Low

Actors/Campaigns:
Donot
Sidewinder

Threats:
Cobalt_strike

Victims:
Individuals in the pakistan region

Geo:
Pakistan, Asian, Asia, Kashmir

TTPs:
Tactics: 3
Technics: 4

IOCs:
File: 2
Coin: 1
Domain: 3
IP: 1

Softs:
android, telegram, whatsapp

Algorithms:
cbc, sha256, aes

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 4, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно CYFIRMA обнаружила вредоносные приложения для Android, размещенные в Google Play Store под подозрительным аккаунтом. Атака была мотивирована сбором информации с помощью полезной нагрузки stager и ее использованием для атаки на втором этапе. Угрожающий субъект нацелился на жертв в Пакистане с помощью атаки с использованием копьеметания и воспользовался доверием людей к Google Play Store.
-----

Команда CYFIRMA недавно обнаружила подозрительные приложения для Android, размещенные в Google Play Store под учетной записью SecurITY Industry. После проведения тщательного анализа образцов, с умеренным уровнем уверенности, они связали аккаунт с печально известной группой Advanced Persistent Threat Group; DoNot. Технический анализ показывает, что мотивом атаки является сбор информации через полезную нагрузку stager и использование собранной информации для второго этапа атаки с использованием вредоносного ПО с более разрушительными функциями.

Угроза использовала законные библиотеки Android, чтобы заставить приложение действовать злонамеренно, получать контакты и точное местоположение жертв. Для вредоносной деятельности использовались опасные разрешения. Снимок кода показал использование библиотеки Android Room для хранения данных, а также клиентской библиотеки Retrofit HTTP для взаимодействия с официальным сайтом iKHfaa VPN, выполнения задачи командования и контроля, получения местоположения и контактов устройства. Кроме того, был захвачен HTTP-запрос, отправляющий данные на appnsure.com:9090 в формате Json с использованием ключа авторизации.

Единственная доступная информация о жертвах, на которых была направлена эта вредоносная программа, заключается в том, что они находились в Пакистане. Мы полагаем, что угрожающая сторона использовала атаку с помощью копьеметания в мессенджерах Telegram или WhatsApp, чтобы заманить жертв на установку приложения через магазин Google Play. Это первый случай, когда APT использовала Google Play Store для размещения вредоносных приложений в обход проверок безопасности. Следовательно, последствия будут значительными, если передовые постоянные угрозы (APT) возьмут эту стратегию на вооружение.

По результатам технических исследований становится ясно, что целью угрожающего субъекта был сбор информации для второго этапа атаки с использованием вредоносного ПО с расширенными возможностями. Получив доступ к спискам контактов и местоположению жертв, угрожающий агент может разработать стратегию будущих атак и использовать жертв в своих целях. Эта стратегия использует доверие людей к магазину Google Play, поскольку редко кто подозревает его в размещении вредоносных приложений.

#ParsedReport #CompletenessLow
16-06-2023

Analysis of BAT file extension ransomware attacking MS-SQL servers (Mallox)

https://asec.ahnlab.com/ko/54278

Report completeness: Low

Threats:
Targetcompany
Remcos_rat
Process_hollowing_technique

Victims:
Ms-sql servers

IOCs:
File: 5
Hash: 1
Url: 1

Softs:
ms-sql

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 4, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Mallox ransomware с расширением файла BAT распространяется на неправильно управляемых серверах MS-SQL. Чтобы защитить серверы MS-SQL от этих атак, важно правильно управлять учетными записями и предотвращать атаки методом грубой силы и по словарю, устанавливать последние исправления безопасности, использовать решение безопасности, способное обнаруживать безфайловые вредоносные программы, и создать безопасную среду.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил, что программа-рансомвар Mallox с расширением файла BAT распространяется на неправильно управляемых серверах MS-SQL. Файл BAT, бесфайловый тип, используется так же, как и файлы EXE, причем powershell и sqlps являются двумя основными формами распространения. На рисунке 1 показан ASD-журнал адреса загрузки, идентифицированного как Tst.bat в содержимом обнаружения. На рисунке 2 показано, как файл BAT был загружен в рамках подробного журнала. На рисунке 3 показан процесс загрузки и выполнения программы Mallox ransomware, обнаруженной продуктом EDR. На рисунке видно, что основные действия расписаны кратко. Если щелкнуть процесс на левом экране, появится журнал с указанием причины обнаружения и предпринятых действий.

Аналогично атакующему, выполнение команды загрузки вредоносного кода осуществлялось с помощью процесса PowerShell с использованием CMD. Адрес распространения и путь хранения злоумышленника показаны подробно. На рисунке 5 показан обычный файл PowerShell с произвольным именем файла, созданный на рисунке 4, выполняемый вместе с произвольной закодированной командой сценария. Затем выполняется Process Hollowing - техника инъекции - данных, которые являются основным телом Mallox ransomware, в MSbuild.exe, обычный процесс Windows. Кроме того, по тому же пути создается и выполняется файл killer.bat.

Рисунок 7 - экран обнаружения поведения вымогательского ПО MSBuild.exe, выполненного после Process Hollowing. Видно, что отображается зашифрованное содержимое файла-приманки, а также история команд по удалению теневых копий тома. Также записывается все содержимое зашифрованных файлов документов. На рисунке 8 показана команда, выполненная для блокирования восстановления с помощью функций Windows, и можно убедиться, что все они записаны.

Вредоносные коды, направленные на неправильно управляемые серверы баз данных MS-SQL, включают исполняемые файлы, но также стали обнаруживаться и неисполняемые файлы без файлов (NON-PE). Атаки на серверы баз данных MS-SQL обычно включают перебор и словарные атаки на системы, которые ненадлежащим образом управляют учетной информацией. В случае с сервером MS-SQL, он часто устанавливается вместе в процессе установки ERP и бизнес-решений, в дополнение к форме, непосредственно встроенной в качестве сервера баз данных.

Чтобы защитить серверы MS-SQL от этих атак, важно правильно управлять учетными записями и предотвращать атаки методом грубой силы и по словарю. Также важно устанавливать последние исправления безопасности и использовать решение безопасности, способное обнаруживать безфайловые вредоносные программы. Кроме того, создание безопасной среды для серверов MS-SQL путем разделения сети и контроля доступа поможет снизить риск атак.

#ParsedReport #CompletenessLow
16-06-2023

The Latest on Clop Ransomware and the MOVEit Vulnerability

https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability

Report completeness: Low

Threats:
Clop
Supply_chain_technique

Victims:
Zellis uk, us federal agencies, government contractors, multiple companies

Industry:
Aerospace, Government, Retail, Education, Telco, Financial, Healthcare, Transport, Petroleum

Softs:
moveit

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что банда Clop Ransomware - это вредоносная киберпреступная организация, которая использует уязвимость нулевого дня в системе MOVEit Transfer для получения доступа к растущему списку компаний, и в ответ на это ФБР и CISA выпустили совместный совет по кибербезопасности. Компания Flashpoint внимательно следит за блогом Clop ransomware и предоставляет инструменты и ресурсы, чтобы помочь организациям предотвращать подобные атаки и реагировать на них.
-----

Clop Ransomware - это вредоносная киберпреступная организация, которая использует уязвимость MOVEit для получения доступа к растущему списку компаний. По состоянию на 13 июня на их сайте утечки данных было указано 64 организации почти из всех основных отраслей, включая правительства и финансовые учреждения. Они также публично пригрозили опубликовать любые имеющиеся у них данные, связанные с несоблюдением требований или переговорами со стороны тех, на кого была направлена массовая утечка данных из инструмента Progress Software MOVEit Transfer.

Clop начал использовать уязвимость нулевого дня 27 мая, а 5 июня компания Zellis UK, поставщик решений для расчета заработной платы и управления персоналом, подтвердила, что они были скомпрометированы. Это привело к тому, что цепочка других организаций в их цепочке поставок также была затронута. После этого ФБР и CISA 7 июня выпустили совместный совет по кибербезопасности (CSA) с известными тактиками, методами и процедурами группы Clop ransomware, списком индикаторов компрометации (IOC) и рекомендованными мерами по смягчению последствий для пострадавших сторон.

Flashpoint продолжает следить за новостями в блоге Clop ransomware и других источниках о жертвах уязвимости нулевого дня MOVEit Transfer. Для минимизации ущерба в случае атаки ransomware организациям следует подготовить хорошо отработанный план реагирования на инциденты. Flashpoint предоставляет инструменты, позволяющие командам безопасности предотвращать атаки ransomware и реагировать на них.

Банда Clop Ransomware - это вредоносная киберпреступная организация, которая неуклонно получает доступ ко все большему числу компаний и организаций по всему миру. Они использовали уязвимость нулевого дня в системе MOVEit Transfer, о которой стало известно 5 июня, и с тех пор угрожают жертвам публикацией их данных в случае невыполнения требований или отказа от переговоров. В ответ на это ФБР и CISA выпустили совместную консультацию по кибербезопасности с известными тактиками и МОК вымогательского ПО Clop, а также рекомендованными мерами по смягчению последствий.

Flashpoint продолжает внимательно следить за блогом Clop ransomware и другими источниками для получения дальнейших обновлений и жертв уязвимости нулевого дня MOVEit Transfer. Чтобы минимизировать ущерб в случае атаки ransomware, организациям следует иметь план реагирования на инциденты. Flashpoint предоставляет инструменты и ресурсы, помогающие организациям предотвращать такие атаки и реагировать на них.

#ParsedReport #CompletenessHigh
16-06-2023

Mystic Stealer: The New Kid on the Block. Appendix

https://inquest.net/blog/2023/06/15/mystic-stealer-new-kid-block

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Mystic_stealer
Polymorphism_technique
Arkei_stealer
Sandbox_evasion_technique
Advobfuscator_tool
Neutrino_pos

Industry:
Government, Petroleum, Financial

Geo:
Latvian, Bulgarian, Germany, China, Russian, Russia, France, Indian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1555.006, T1078, T1082, T1083, T1090, T1102, T1203, T1204, T1486, have more...

IOCs:
File: 10
Email: 1
Domain: 3
Url: 8
IP: 9
Coin: 7
Hash: 6

Softs:
telegram, hyper-v, virtualbox, django, opera, k-meleon, icecat, mozilla firefox, icedragon, cyberfox, have more...

Wallets:
dashcore, tronlink, binancechain, yoroi, nifty, math_wallet, coinbase, guarda_wallet, equal_wallet, jaxx, have more...

Crypto:
bitcoin, multiversx, ethereum, polkadot, binance, dogecoin, litecoin, bitcoingold

Algorithms:
xor, rc4

Languages:
php, python

Links:
https://github.com/andrivet/ADVobfuscator
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_nameservers.txt
https://github.com/a0rtega/pafish/blob/master/pafish/cpu.c
https://github.com/montysecurity/C2-Tracker/blob/main/data/Mystic%20Stealer%20IPs.txt
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domain\_whois.txt
https://github.com/Microv/MysticStealer\_HashResolver
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/c2s.txt
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domains.txt
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/import\_hash.py
https://github.com/phish-report/IOK/blob/main/indicators/mystic-stealer-88b6ef2f.yml
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/decrypt\_c2s.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mystic Stealer - это сложная вредоносная программа для кражи информации, которая пользуется значительным спросом благодаря своей способности собирать учетные данные из различных источников. Она реализована на языке C для клиента и Python для панели управления и использует функции антианализа и уклонения от защиты. Его можно арендовать на подпольных форумах по цене 150 долларов США в месяц, поэтому важно принять меры по защите от этой и других вредоносных программ.
-----

Mystic Stealer - это новая вредоносная программа для кражи информации, которая впервые была разрекламирована в апреле 2023 года. Она пользуется значительным спросом благодаря своей способности собирать учетные данные из самых разных источников, включая 40 веб-браузеров, 70 расширений для браузеров, а также популярные криптовалютные кошельки, Steam и Telegram. Mystic Stealer реализован на языке C для клиента и Python для панели управления и взаимодействует со своими командно-контрольными серверами с помощью пользовательского бинарного протокола по TCP.

Mystic Stealer собирает системную информацию, историю и данные автозаполнения, закладки, куки и сохраненные учетные данные из 40 веб-браузеров, а также учетные данные Steam и Telegram и данные, связанные с криптовалютными кошельками. Он также способен делать скриншоты и загружать дополнительные полезные программы. Mystic Stealer содержит функции антианализа и уклонения от защиты, такие как истечение срока действия бинарных файлов, антивиртуализация, импорт Windows API по хэшу, зашифрованный бинарный пользовательский протокол и обфускация полиморфных строк.

Разработчик предоставляет веб-панель управления администратором, которая работает вне диапазона на отдельном открытом служебном порту, не используемом вредоносной программой для C2-коммуникаций. Разработчики используют веб-фреймворк Python Django для панели управления, что является некоторой редкостью при разработке вредоносных программ. Комплект пользовательского интерфейса панели управления, по-видимому, основан на Datta Able для Django, хотя связи между этим проектом и Mystic Stealer нет.

Mystic Stealer был выставлен на аренду по цене $150 в месяц на различных подпольных форумах, включая WWH (WWH-Club) и BHF (Best Hack Forums). Продавец также ведет аккаунт в Telegram под именем @mysticstealer и канал t.me/+ZjiasReCKmo2N2Rk (Новости Mystic Stealer).

Угонщик был связан с несколькими IP-адресами хостинга серверов в различных географических регионах, включая, но не ограничиваясь регистрацией во Франции, Германии, России, США и Китае. Многие из сайтов недавно ушли в офлайн, а вышестоящая CDN сообщила о сбоях в соединении, поэтому возможно, что эти домены являются частью службы распределения трафика или внешнего прокси-сервера и службы трафика. Существует кластер серверов C2, помеченный как "Grand" на основе артефактов WHOIS - некоторые домены в этом кластере имеют высокие показатели репутации в различных наборах данных. Доступны записи WHOIS репрезентативных доменов из этого набора.

Для обнаружения начального обмена ключами соединения C2 были разработаны сигнатуры Suricata. Они обнаруживают начальный обмен ключами соединения C2 и предупреждают, когда размер пакета составляет 4 байта, содержащих постоянное значение. Для обеспечения дополнительной безопасности рекомендуется соблюдать надлежащую гигиену электронной почты. Сюда входят различные технологии гигиены электронной почты, анализ которых позволяет получить мгновенный отчет о состоянии безопасности компании.

Mystic Stealer - это сложная угроза, способная нанести широкомасштабный ущерб. Поэтому важно сохранять бдительность и принимать меры по защите от этой и других вредоносных программ.

#ParsedReport #CompletenessLow
16-06-2023

Ransomware Roundup - Big Head

https://www.fortinet.com/blog/threat-research/fortiguard-labs-ransomware-roundup-big-head

Report completeness: Low

Threats:
Big_head

Industry:
Financial

Geo:
Turkey, Spain, France

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Hash: 11

Softs:
microsoft word, telegram

Crypto:
bitcoin

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория FortiGuard Labs обнаружила два новых варианта ransomware, Big Head и еще один, вероятно, используемый одним и тем же злоумышленником, и предоставила читателям краткую информацию о развивающемся ландшафте ransomware и решениях Fortinet для защиты от них.
-----

Лаборатория FortiGuard Labs недавно обнаружила два новых варианта ransomware, Big Head и еще один, вероятно, используемый одним и тем же злоумышленником. Оба варианта предназначены для вымогательства денег у жертв путем шифрования их файлов. Big Head имеет как минимум три варианта, один из которых отображает поддельный экран обновления Windows. Вариант B отображает записку с требованием выкупа на обоях рабочего стола зараженной машины и требует выкуп в размере одного биткойна. Биткойн-кошелек злоумышленника зафиксировал две транзакции в прошлом.

Большинство образцов Big Head было получено из США, в то время как другой вариант ransomware был получен из США, Испании, Франции и Турции. На момент проведения данного исследования нет никаких признаков того, что Big Head широко распространен.

#ParsedReport #CompletenessMedium
16-06-2023

New Malware Campaign Targets LetsVPN Users

https://blog.cyble.com/2023/06/16/new-malware-campaign-targets-letsvpn-users

Report completeness: Medium

Threats:
Krbanker
Farfli
Beacon
Process_injection_technique

Victims:
Letsvpn users

Industry:
Financial

TTPs:
Tactics: 5
Technics: 12

IOCs:
Domain: 6
Url: 6
File: 1
Hash: 5

Softs:
letsvpn

Algorithms:
exhibit, sha1, sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрозы используют поддельные фишинговые сайты для распространения вредоносных программ, таких как банковский троян BlackMoon и вредоносная программа Farfli Backdoor. Важно, чтобы пользователи проявляли осторожность при встрече с фишинговыми сайтами и проверяли источник, прежде чем загружать какие-либо приложения. Такие компании, как CRIL, отслеживают фишинговые кампании и вредоносные атаки, чтобы информировать пользователей.
-----

Субъекты угроз, или ТА, все чаще используют поддельные фишинговые сайты для распространения вредоносного ПО. Последним примером этого является обнаружение множества фишинговых сайтов, направленных на LetsVPN, VPN-приложение, разработанное компанией LetsGo Network. Эти мошеннические сайты выглядят так же, как и законный сайт LetsVPN, чтобы обманом заставить пользователей загрузить вредоносную полезную нагрузку.

Банковский троян BlackMoon - одна из таких вредоносных полезных нагрузок, которая маскируется под легитимное VPN-приложение и распространяется через вредоносные электронные письма, наборы эксплойтов или скомпрометированные веб-сайты. Он обладает такими возможностями, как перехват клавиатуры, веб-инъекции, удаленный доступ и перехват учетных записей, и работает незаметно в фоновом режиме.

Также было установлено, что фишинговые сайты распространяют вредоносную программу Farfli Backdoor. Эта вредоносная программа способна создавать несанкционированную точку доступа на взломанном компьютере, предоставлять удаленный доступ к управлению, загружать дополнительные вредоносные файлы, записывать нажатия клавиш, собирать конфиденциальные данные и связываться с сервером C&C.

Учитывая возросшую популярность VPN, субъекты угроз начали атаковать пользователей с помощью этих приложений, выдавая себя за законные веб-сайты и распространяя различные виды вредоносного ПО. Для защиты от таких угроз пользователям важно проявлять осторожность при встрече с фишинговыми сайтами и проверять источник перед загрузкой любого приложения. Такие компании, как CRIL, постоянно отслеживают фишинговые кампании и вредоносные атаки, информируя пользователей о последних событиях.

#ParsedReport #CompletenessLow
16-06-2023

Malicious code disguised as a Hangul document file (Kimsuky)

https://asec.ahnlab.com/ko/54473

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Dropper/win.agent.c5441936
Powershell_keylogger_tool

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1036, T1064, T1027, T1036

IOCs:
File: 3
Url: 5
Hash: 5

Softs:
onenote

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносных кодов, распространяемых в виде исполняемых файлов. Важно знать о таких угрозах и принимать меры предосторожности для защиты личной информации и данных. Пользователи должны использовать надежные антивирусные и защитные программы, быть в курсе последних новостей и обновлений в области безопасности, а также сообщать о любых подозрительных действиях в соответствующие органы.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносного кода, распространяемого в виде исполняемых файлов. Считается, что он создан одной и той же группой атаки (Kimsuky) из-за сходства вредоносного кода и кода сценария для выполнения с ранее проанализированным кодом. Вредоносный код обычно распространяется в сжатом файле, который содержит замаскированный исполняемый файл (personal information leak history.hwp.exe), а также файл readme.txt. Файл readme.txt содержит фразу, побуждающую пользователя выполнить вредоносный файл. Вредоносный EXE-файл замаскирован иконкой корейского документа, а имя его файла вставлено с большим количеством пробелов, так что расширение не отображается должным образом.

При выполнении вредоносного EXE-файла создается окно сообщения, содержащее такие северокорейские слова, как "ohyu (ошибка)" и "was done (was)". Это делается для того, чтобы пользователю было трудно заметить вредоносную активность. Поскольку вредоносный код продолжает распространяться, пользователи должны соблюдать особую осторожность при выполнении почтовых вложений и избегать выполнения файлов, распространяемых неизвестными пользователями. Также следует проверять расширение файлов перед их выполнением.

Важно знать о таких угрозах, как вредоносный код, чтобы защитить личную информацию и данные от посягательств. Лучший способ предотвратить вредоносные действия - использовать надежные антивирусные и защитные программы. Кроме того, пользователи должны быть в курсе последних новостей и обновлений в области безопасности и сообщать о любых подозрительных действиях в соответствующие органы.

#ParsedReport #CompletenessMedium
16-06-2023

Android GravityRAT goes after WhatsApp backups

https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups

Report completeness: Medium

Actors/Campaigns:
Spacecobra

Threats:
Gravity_rat
Httrack_tool

Victims:
Android user in india

Geo:
Ukraine, India, Pakistan

TTPs:
Tactics: 7
Technics: 7

IOCs:
Domain: 8
Url: 4
IP: 6
Hash: 3

Softs:
android, whatsapp, macos, omemo, android jabber, wordpress

Functions:
DeleteAllFiles, DeleteAllContacts, DeleteAllCallLogs

Links:
https://github.com/froghorn82/omemo-im

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1