#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа Clipper - это вредоносная программа, которая нацелена на пользователей криптовалют с целью обманом лишить их цифровых активов. Она сопровождается дополнительными вредоносными программами, такими как Coinminer, loaders и stealers, и CRIL будет продолжать отслеживать последние фишинговые или вредоносные штаммы в природе, чтобы защитить пользователей от этих опасных атак.
-----

Вредоносная программа Clipper - это вредоносная программа, направленная на пользователей криптовалют с целью обмана их цифровых активов. Она действует путем перехвата криптовалютных транзакций и замены адреса кошелька жертвы на адрес угрожающих субъектов. Для достижения своей цели вредоносная программа Clipper использует целый ряд методов, таких как мониторинг активности буфера обмена, применение методов анти-анализа и использование каналов Telegram для командно-контрольной связи. Atlas Clipper, Keyzetsu Clipper и KWN Clipper - вот некоторые из различных вариантов вредоносной программы Clipper, обнаруженных в последнее время.

Atlas Clipper стоит 50 долларов и может хранить семь адресов криптокошельков. Он использует мьютекс, чтобы гарантировать, что на машине жертвы будет запущен только один экземпляр вредоносной программы. Для работы с буфером обмена он также использует функции OpenClipboard(), GetClipboardData(), IsClipboardFormatAvailable() и SetClipboardData(). Keyzetsu Clipper может хранить и управлять более чем 12 адресами криптовалютных кошельков и использует канал Telegram для установления связи с ТА. Он извлекает информацию о целевых криптовалютах и связанных с ними регулярных выражениях. Наконец, клиппер KWN использует функции OpenClipboard(), GetClipboardData(), IsClipboardFormatAvailable() и SetClipboardData() для выполнения операций клиппера и отправляет информацию о жертве своему Telegram-боту.

Рост числа вредоносных программ Clipper представляет значительную угрозу для лиц, занимающихся криптовалютной деятельностью, поскольку они нацелены на перехват их транзакций и перенаправление средств на кошельки злоумышленников. Более того, вредоносное ПО Clipper часто сопровождается дополнительными вредоносными программами, такими как Coinminer, loaders и stealers, что еще больше подчеркивает необходимость усиления мер безопасности. Чтобы защитить пользователей от этих опасных атак, CRIL продолжит отслеживать последние фишинговые или вредоносные программы в природе и предоставлять оперативную информацию в блогах.

#ParsedReport #CompletenessMedium
03-07-2023

APT Profile: FIN7

https://socradar.io/apt-profile-fin7

Report completeness: Medium

Actors/Campaigns:
Carbanak (motivation: information_theft, cyber_criminal, financially_motivated, cyber_espionage)
Pinchy_spider
Darkside (motivation: cyber_criminal)
Blackmatter
Blackcat
Magecart (motivation: financially_motivated)

Threats:
Carbon
Bateleur
Pillowmint
Jssloader
Revil
Blackbasta
Blackcat
Clop
Badusb_technique
Lizar
Powertrash_tool
Kerberoasting_technique

Industry:
Petroleum, Financial, Energy, Healthcare, Education, Government, Telco, E-commerce, Retail

Geo:
Asia, Russian, American, Mexican

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 1
Technics: 31

IOCs:
File: 1

Soft:
microsoft word, microsoft office, outlook, directx, microsoft excel, telegram, windows service

Languages:
jscript, javascript, visual_basic

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: FIN7 - это сложная и финансово мотивированная киберпреступная группа, которая действует с 2013 года и похитила миллионы долларов у множества предприятий по всему миру. Они используют различные инструменты и техники для бокового перемещения в сети и сместили акцент с финансовых учреждений на атаки на крупные корпорации с целью получения выкупа. Несмотря на усилия правоохранительных органов и организаций по кибербезопасности, FIN7 остается значительной угрозой для глобальной кибербезопасности.
-----

FIN7 - это сложная и финансово мотивированная киберпреступная группа, действующая с 2013 года. Предполагается, что группировка является российской, а ее методы работы сочетают в себе множество инновационных вредоносных программ, целевые кампании spear-phishing и неумолимое упорство, что делает ее грозным противником. Они похитили миллионы долларов у бесчисленных компаний по всему миру, используя уязвимости и сея страх в отраслях. Основной целью FIN7 является утечка данных, часто включающая конфиденциальную финансовую информацию, например, данные кредитных карт.

FIN7 использует различные инструменты и техники для бокового перемещения в сети. Например, они используют CVE-2017-11882 для эксплуатации уязвимостей в системе получателя. Они также известны использованием пользовательских инструментов, таких как бэкдор Carbanak и вредоносное ПО POS. Чтобы получить доступ к системе, они часто выдают себя за поставщика или клиента.

В 2020 году FIN7 переключила свое внимание с финансовых учреждений на атаки с использованием выкупа на крупные корпорации, используя для своей первой кампании BGH ransomware REvil от PINCHY SPIDER. Они разработали Darkside ransomware, которая следует методу двойного вымогательства и может использоваться в качестве RaaS. После прекращения работы Darkside, FIN7 продолжила свою деятельность, используя различные инструменты и методы, включая BlackMatter, новую программу RaaS. FIN7 была связана с развертыванием программ Black Basta, BlackCat (ALPHV) и Clop Ransomware.

FIN7 имеет широкий спектр целей в различных отраслях, в основном фокусируясь на розничной торговле, ресторанном бизнесе и гостиничном бизнесе. Их жертвами обычно становятся крупные предприятия, иногда даже транснациональные корпорации. Страны, на которые нацеливается FIN7, могут быть выбраны на основании нескольких факторов, таких как возможность получения финансовой выгоды, наличие подходящих целей или ситуация с регулированием и киберзащитой в этих странах.

Кроме того, FIN7 был связан с несколькими другими группами угроз, в частности, с группой Carbanak (также известной как Anunak) и Magecart Group 5. Последние результаты исследований также связывают FIN7 с атаками Clop ransomware.

FIN7 продолжает осуществлять сложные и масштабные кибератаки. Например, в июне 2021 года они атаковали юридическую фирму с помощью поддельной жалобы, которая, как оказалось, принадлежала Brown-Forman Inc., а в 2020 году они рассылали физические письма якобы от Best Buy с подарочной картой на 50 долларов и USB-накопителем. В недавнем отчете говорится о том, что FIN7 атаковала серверы Veeam, используя уязвимость (CVE-2023-27532) в программном обеспечении Veeam Backup & Replication.

Несмотря на значительные усилия правоохранительных органов и организаций по кибербезопасности, FIN7 продолжает представлять значительную угрозу для глобальной кибербезопасности. Их способность адаптироваться и упорство делают их грозным противником. Организации должны укреплять свои защитные механизмы, чтобы защитить себя от угрозы, исходящей от FIN7.

#ParsedReport #CompletenessMedium
03-07-2023

Neo_Net \| The Kingpin of Spanish eCrime

https://www.sentinelone.com/blog/neo_net-the-kingpin-of-spanish-ecrime

Report completeness: Medium

Actors/Campaigns:
Leviathan

Threats:
Neo_net_actor
Lizar
Nevada_ransomware

Victims:
Clients of prominent banks, santander, bbva, caixabank, crédit agricole, ing, deutsche bank, national bank of greece, sparkasse, santander uk, bawag p.s.k., ing, bancoestado, scotiabank, banco ripley, banco de chile, banco falabella, banco de crédito e inversiones, ita corpbanca, bancolombia, banco de venezuela, bbva, banco pichincha, zinli, prosperity bank, greater nevada credit union, commbank

Industry:
Financial

Geo:
Mexico, Australia, Spain, Peru, Greece, France, Netherlands, Chilean, Panama, Chile, Colombia, Austria, Ita, Usa, Venezuela, Germany, Ecuador, Spanish, Pol, Deutsche, Poland

TTPs:

IOCs:
Domain: 6
Hash: 38

Soft:
android, telegram

Languages:
php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Neo_Net - успешный субъект киберпреступной угрозы, ответственный за многоступенчатую стратегию атаки, которая привела к краже более 350 000 евро и компрометации личной идентифицируемой информации (PII) тысяч жертв. Данное исследование подчеркивает необходимость бдительности и надежных мер безопасности для защиты учетных данных онлайн-банкинга и PII.
-----

Компании SentinelOne и vx-underground недавно провели первый конкурс Malware Research Challenge, в ходе которого был проведен глубокий анализ киберпреступного агента, известного как Neo_Net. В период с июня 2021 года по апрель 2023 года Neo_Net отвечал за весьма успешную кампанию по борьбе с электронной преступностью, направленную на клиентов известных банков по всему миру, в основном в Испании и Чили. Благодаря многоступенчатой стратегии атаки и целенаправленному использованию фишинговых SMS-сообщений, фишинговых панелей, троянов для Android и программного обеспечения Smishing, Neo_Net удалось похитить более 350 000 евро с банковских счетов жертв и скомпрометировать значительный объем персонально идентифицируемой информации (PII).

Neo_Net является организатором публичного профиля на GitHub, аккаунта в Telegram и платформы Ankarex Smishing-as-a-Service, которая нацелена на девять стран и предлагает на канале Ankarex лиды на продажу, включая имена жертв, адреса электронной почты, IBAN и номера телефонов. Neo_Net был связан с форумом macosfera.com, испаноязычным ИТ-форумом, где его адреса электронной почты были обнаружены в связи с несколькими созданными им фишинговыми панелями, направленными на испанские банки и другие учреждения. В настоящее время он проживает в Мексике и общается преимущественно на испанском языке.

Несмотря на использование в основном несложных инструментов и методов, Neo_Net и его аффилированные лица сумели успешно похитить сотни тысяч евро и скомпрометировать PII тысяч жертв по всему миру. Успех их кампаний может быть объяснен узконаправленным характером их операций: они часто фокусируются на одном банке и копируют свои сообщения, выдавая себя за агентов банка. Кроме того, из-за простоты SMS-шпионского ПО его трудно обнаружить, поскольку оно требует только разрешения на отправку и просмотр SMS-сообщений. Neo_Net также был замечен в повторном использовании скомпрометированной PII для получения дальнейшей прибыли.

Это комплексное исследование глобальной кампании киберпреступности Neo_Net подчеркивает необходимость оставаться бдительными и осведомленными о злоумышленниках и их тактике. Важно использовать надежные меры безопасности, такие как механизмы многофакторной аутентификации (MFA), а также дополнительные меры предосторожности для защиты учетных данных онлайн-банкинга и PII.

#ParsedReport #CompletenessMedium
03-07-2023

Chinese Threat Actors Targeting Europe in SmugX Campaign

https://research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign

Report completeness: Medium

Actors/Campaigns:
Smugx
Red_delta
Camaro_dragon

Threats:
Html_smuggling_technique
Plugx_rat
Dll_sideloading_technique

Victims:
Foreign affairs ministries and embassies in europe

Industry:
Government

Geo:
Hungary, China, Budapest, Chinese, Swedish, France

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1007, T1135

IOCs:
File: 9
Url: 1
IP: 5
Path: 5
Hash: 41
Domain: 2

Wallets:
harmony_wallet

Algorithms:
zip, rc4, xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Check Point Research обнаружила целенаправленную кампанию китайских угроз, использующих технику HTML Smuggling для распространения вредоносного ПО PlugX. Эта кампания имеет общие черты с деятельностью других китайских APT-акторов.-----

Компания Check Point Research недавно обнаружила целевую кампанию, проводимую китайским агентом угроз, направленную на правительственные организации в Европе. Кампания использует технику HTML Smuggling, которая используется для скрытия вредоносной полезной нагрузки внутри HTML-документов, что позволяет обойти сетевые меры обнаружения. После сложной цепочки заражения, включающей архивы или MSI-файлы, атаки внедряют PlugX - имплантат, обычно ассоциируемый с китайскими угрозами. Эта кампания называется SmugX и пересекается с ранее зарегистрированной деятельностью китайских APT-акторов RedDelta и Mustang Panda. Нет достаточных доказательств, чтобы связать эту кампанию непосредственно с Camaro Dragon.

Эта кампания использует несколько цепочек заражения, в которых применяется техника HTML Smuggling, что приводит к развертыванию полезной нагрузки PlugX. Большинство документов содержали дипломатический контент, непосредственно связанный с Китаем, например, письмо из посольства Сербии в Будапеште, документ с изложением приоритетов шведского председательства в Совете Европейского Союза, приглашение на дипломатическую конференцию, выпущенное Министерством иностранных дел Венгрии, и статью о двух китайских адвокатах по правам человека, приговоренных к более чем десятилетнему тюремному заключению.

Злоумышленники также использовали технику удаленного изображения для доступа к URL-адресу, содержащему изображение с одним пикселем. Эта техника, называемая отслеживанием пикселей, обычно используется в качестве разведывательного инструмента. При запросе удаленного изображения сервер злоумышленников регистрирует запрос, получая такую информацию, как IP-адрес, агент пользователя, а иногда и время доступа.

Две основные цепочки заражения происходят из HTML-файла, который сохраняет второй этап в папку Download в соответствии с настройками браузера жертвы. Второй этап может быть разным: в одной цепочке используется ZIP-архив, содержащий вредоносный LNK-файл, а в другой - JavaScript для загрузки MSI-файла с удаленного сервера. В первом сценарии HTML проносит ZIP-архив, содержащий вредоносный LNK-файл, который запускает PowerShell. PowerShell извлекает сжатый архив, встроенный в lnk-файл, и сохраняет его в каталоге %temp%. Архив содержит три файла: Легитимный исполняемый файл, используемый для боковой загрузки полезной нагрузки, вредоносная DLL, загружаемая боком, и полезная нагрузка PlugX. Во втором сценарии HTML Smuggling загружает файл JavaScript, который при выполнении загружает и исполняет MSI-файл с сервера злоумышленника.

PlugX - это инструмент удаленного доступа с модульной структурой, которая позволяет ему выполнять такие вредоносные действия, как кража файлов, захват экрана, регистрация нажатий клавиш и выполнение команд. Для обеспечения живучести полезная нагрузка PlugX копирует легитимную программу и DLL и сохраняет их в скрытом каталоге. Устойчивость вредоносной программы достигается путем добавления легитимной программы в ключ реестра Run. Агент угрозы отправил пакетный сценарий, чтобы стереть все следы своей деятельности.

Кампания SmugX имеет значительное сходство с деятельностью, приписываемой другими поставщиками безопасности RedDelta или Mustang Panda. К ним относятся инфраструктура, пути, целевая направленность и тактика заманивания, используемая в кампании. Вредоносная программа PlugX также практически не изменилась по сравнению с предыдущими появлениями, хотя один новый аспект был замечен - это использование RC4-шифрования полезной нагрузки, что является отходом от ранее использовавшегося XOR-шифрования.

#rstcloud
Twitter немного прифигел с изменениями в политике лицензирования своего API.
Пришлось теперь покупать подписку за 100 баксов в мес. Сейчас переписываем наш коннектор, т.к. наш прошлый подход требует подписки за 4200 баксов в мес., а для нас это пока существенная сумма :(

June's Cyber Battleground: Decoding Ransomware and APT Attacks in Europe

https://threatmon.io/wp-content/uploads/2023/07/junes-cyber-battleground-decoding-ransomware-and-apt-attacks-in-europe.pdf

#technique

A keystroke logger targeting the Remote Desktop Protocol (RDP) related processes, It utilizes a low-level keyboard input hook, allowing it to record keystrokes in certain contexts (like in mstsc.exe and CredentialUIBroker.exe)

https://github.com/TheD1rkMtr/TakeMyRDP

#technique

A command-line tool for reconnaissance and targeted write operations on Confluence and Jira instances.

https://github.com/werdhaihai/AtlasReaper

#technique

Tomcat backdoor based on CS blog

https://github.com/HackingLZ/TomcatBackdoorPoC

#technique

(Currently) Fully Undetected same-process native/.NET assembly shellcode injector based on RecycledGate by thefLink, which is also based on HellsGate + HalosGate + TartarusGate to ensure undetectable native syscalls even if one technique fails.

https://github.com/florylsk/RecycledInjector

#ParsedReport #CompletenessLow
04-07-2023

APT Profile: Turla

https://socradar.io/apt-profile-turla

Report completeness: Low

Actors/Campaigns:
Turla (motivation: cyber_espionage, financially_motivated, hacktivism, cyber_criminal)
Tomiris (motivation: cyber_espionage)
Dalbit (motivation: cyber_espionage)
Oilrig

Threats:
Uroburos
Watering_hole_technique
Andromeda
Kopiluwak
Quietcanary
Agent_btz
Tunnussched
Gazer
Carbon
Turla_silentmoon
Kazuar
Maze
Witchcoven
Neuron
Nautilus
Bondupdater
Topinambour
Rocketman
Process_injection_technique

Victims:
Government entities, militaries, embassies, education, high-tech, pharmaceuticals, retail, countries in europe, asia, middle east, france, romania, kazakhstan, poland, tajikistan, austria, russia, united states, saudi arabia, germany, india, armenia, belarus, netherlands, iran, uzbekistan, iraq

Industry:
Energy, Retail, Military, Education, Government, Healthcare

Geo:
Tajikistan, France, Austria, Uzbekistan, Russian, Iraq, Ukraine, Iranian, Belarus, Asia, Netherlands, Armenia, Kazakhstan, Russia, Iran, Germany, India, Romania, Poland

CVEs:
CVE-2013-3346 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- adobe acrobat (9.5.1, 9.3.3, 10.1, 9.4.2, 9.2, 9.3.4, 11.0.1, 9.5, 9.1, 10.1.5, 9.5.4, 10.0, 9.4.3, 9.5.3, 10.1.6, 10.0.3, 9.4.4, 11.0.2, 9.0, 10.1.1, 9.4.5, 9.4.1, 9.4.6, 9.3.2, 9.1.1, 9.3, 10.0.1, 9.1.3, 9.3.1, 10.1.2, 10.1.4, 11.0, 9.4.7, 9.1.2, 10.0.2, 10.1.3, 9.4, 9.5.2)
- adobe acrobat reader (11.0.2, 10.1, 10.0, 10.1.1, 9.5.1, 10.1.2, 10.1.3, 9.4.3, 10.0.3, 9.2, 10.1.6, 9.5.4, 9.1, 9.4.6, 10.1.5, 9.1.3, 9.5.3, 9.1.2, 9.3.3, 9.4.2, 9.1.1, 9.4.5, 11.0.1, 11.0.3, 9.3.4, 9.3, 9.0, 9.4, 9.3.2, 9.5, 9.5.2, 10.1.4, 10.0.1, 9.4.7, 9.4.4, 9.3.1, 10.0.2, 9.4.1, 11.0)

CVE-2013-5065 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- microsoft windows xp (*)
- microsoft windows 2003 server (*)


TTPs:
Tactics: 1
Technics: 49

IOCs:
File: 1

Soft:
winlogon

Languages:
visual_basic, python, javascript, java

#ParsedReport #ExtractedSchema

Classified images:
schema: 12, chart: 2, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Turla - это группа передовых постоянных угроз (APT) с многолетней историей проведения кампаний кибершпионажа против широкого круга жертв в различных отраслях. Группа известна своей скрытностью и адаптивностью, она использует различные техники и инструменты для получения доступа к целевым системам. Turla в основном нацелена на организации в Украине, но ее жертвы находятся по всему миру, и группа была связана с несколькими громкими кампаниями кибершпионажа. Совпадающие характеристики Turla и Tomiris, другой APT-группы, сбили с толку исследователей кибербезопасности, и Turla остается активной и грозной угрозой.
-----

Turla - это передовая постоянная угроза (APT) из России, которая действует с конца 1990-х годов и считается одним из самых ранних примеров кибершпионажа. Ориентируясь в первую очередь на правительственные организации, военные и посольства, Turla имеет долгую историю проведения кампаний кибершпионажа против широкого круга жертв в различных отраслях, таких как высокие технологии, фармацевтика и розничная торговля. Группа известна своей скрытностью и адаптивностью, она часто меняет свою тактику, чтобы избежать обнаружения и сохранить устойчивость в целевых сетях.

Для получения первоначального доступа к целевым системам Turla использует спирфишинг, атаки "водяных дыр" и распространение вредоносного ПО по USB. Группа также захватывает просроченные домены, связанные с финансово мотивированным вредоносным ПО, и использует спутниковую связь для управления своим вредоносным ПО и утечки данных. Инструменты Turla включают вредоносные программы, разработанные на заказ, и общедоступные инструменты, такие как Agent.btz, ComRAT, KopiLuwak, TunnusSched, Gazer, Carbon, Hyperstack и Kazuar, которые используют уязвимости в Microsoft Windows, Adobe Flash и Oracle Java.

Turla в основном нацелена на организации в Украине, но ее жертвы находятся по всему миру, с особым вниманием к странам Европы, Азии и Ближнего Востока. Группа связана с несколькими громкими кампаниями кибершпионажа, включая Moonlight Maze, Agent.btz, Epic Turla, Witchcoven и RUAG Espionage Incident.

Национальный центр кибербезопасности Великобритании (NCSC) раскрыл в 2019 году, что Turla взяла под контроль инструменты Neuron и Nautilus, которые, как считалось ранее, были связаны с Turla, и в основном использовала их против целей, расположенных на Ближнем Востоке. Они также раскрыли, что Turla использовала иранские веб-оболочки и применяла панели управления PoisonFrog C2, изначально связанные с COBALT GYPSY (APT34), для распространения своего вредоносного ПО.

Пересекающиеся характеристики Turla и Tomiris, другой APT-группы, сбили с толку исследователей кибербезопасности. Аналитики Касперского обнаружили, что Tomiris стояла за некоторыми атаками, которые ранее приписывались Turla. В качестве возможной операции под ложным флагом или оппортунистического хода, призванного посеять смуту, Tomiris была замечена в использовании вредоносных инструментов Turla, что вызвало предположения о сотрудничестве или обмене информацией между этими группами.

Turla остается активной и грозной угрозой в мире кибершпионажа, имея за плечами долгую историю успешных кампаний против дорогостоящих целей. Адаптивность, скрытность и настойчивость этой группы делают ее опасным противником, который, вероятно, продолжит атаковать организации по всему миру.

#ParsedReport #CompletenessLow
04-07-2023

Hunting Ducks A Threat Hunters Take on Ducktail Stealer. Triage of the Loader

https://www.nextron-systems.com/2023/06/29/hunting-ducks-a-threat-hunters-take-on-ducktail-stealer

Report completeness: Low

Threats:
Ducktail_stealer

Victims:
Marketing companies

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1140, T1189, T1486, T1560, T1573, T1588, T1598

IOCs:
File: 5
Hash: 2

Soft:
net core, telegram, microsoft onedrive

Algorithms:
zip, aes

YARA: Found

Links:
https://github.com/icsharpcode/ILSpy
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_ducktail\_compromised\_certs\_jun23.yar

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DuckTail Stealer - это вредоносная программа, направленная на маркетинговые компании, распространяемая по электронной почте в виде поддельных маркетинговых кампаний и предложений о найме на работу. Она предназначена для проникновения в компании, имеющие доступ к рекламным аккаунтам в Интернете, и распространения вредоносной рекламы. Она быстро развивается, часто меняя свои загрузчики и сертификаты.
-----

DuckTail Stealer - известная вредоносная программа, направленная в первую очередь на маркетинговые компании. Она распространяется по электронной почте в виде поддельных маркетинговых кампаний и предложений о найме, со ссылками на ZIP-архивы, содержащие безобидные изображения, видео и поддельные документы. Документы, однако, на самом деле являются исполняемыми файлами, которые загружают вредоносную программу DuckTail. Эти файлы обычно представляют собой автономные двоичные файлы .NET apphost, которые имеют большой размер и могут быть запущены даже на машинах без установленной соответствующей среды выполнения. Кроме того, они часто используют сертификаты с кодовой подписью и вьетнамскими именами, а также используют API Telegram для утечки украденных данных.

Полезная нагрузка зашифрована AES и сжата, и ее можно определить с помощью SmartAssembly. Также полезную нагрузку можно обнаружить с помощью правил Yara. Кроме того, было замечено, что злоумышленники, стоящие за DuckTail, используют для размещения вредоносных архивов легитимные облачные сервисы хранения данных, такие как Google Drive, OneDrive и iCloud.

Основная цель DuckTail - проникновение в компании, имеющие доступ к рекламным аккаунтам в Интернете. Для этого он фокусируется на учетных записях Facebook Business, собирает с них дополнительную информацию и изменяет их данные. DuckTail также подозревается в распространении вредоносной рекламы через законные аккаунты Facebook.

Правила Valhalla охватывают загрузчики .NET, полезные нагрузки stealer, сценарии PowerShell и другие инструменты, используемые DuckTail, а тактика, используемая злоумышленниками, не претерпела значительных изменений с момента ее обнаружения. Однако DuckTail быстро развивается, меняя свои загрузчики и сертификаты часто в течение нескольких недель.

#ParsedReport #CompletenessMedium
04-07-2023

The suspected Maha grass organization uses the WarHawk backdoor variant Spyder to spy on many countries

https://mp-weixin-qq-com.translate.goog/s/ewGyvlmWUD45XTVsoxeVpg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: cyber_espionage)
Sidewinder

Threats:
Spyder
Warhawk
Remcos_rat

Victims:
China, Pakistan, Nepal police, Bangladesh air force

Industry:
Energy, Military, Education, Government

Geo:
China, Nepal, Bangladesh, Asian, Pakistan, Asia

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 2
Url: 16
File: 12
Hash: 9
IP: 2

Soft:
wechat, android

Algorithms:
xor, base64

Functions:
GetComputerNameExW, GetUserNameW, GetNativeSystemInfo, CreateInterfaace

Win API:
CreateMutexA, ComputerNameExW, UserNameW, NativeSystemInfo

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Maha Grass (APT-Q-36) - это южноазиатская APT-организация, ведущая деятельность по кибершпионажу против стран азиатского региона с 2009 года. Недавно Центром разведки угроз QiAnXin была обнаружена партия вредоносных образцов, связанных с Maha Grass. Они содержат бэкдор Spyder, имеющий много общего с ранее раскрытым бэкдором WarHawk, и легкий бэкдор, написанный на языке C#. QiAnXin Threat Intelligence Center рекомендует пользователям остерегаться фишинговых атак и принимать необходимые меры безопасности для защиты своих данных.
-----

Maha Grass, также известная как Patchwork, White Elephant, Hangover, Dropping Elephant и т.д., является южноазиатской организацией APT (Advanced Persistent Threat) с внутренним номером отслеживания APT-Q-36. Она активна с 2009 года и ведет деятельность по кибершпионажу против стран азиатского региона, нацеливаясь на организации в области государственного управления, вооруженных сил, электроэнергетики, промышленности, научных исследований и образования, дипломатии и экономики. Недавно Центр разведки угроз QiAnXin обнаружил партию вредоносных образцов, связанных с Maha Grass, в ходе ежедневного процесса отслеживания и анализа образцов.

Вредоносный образец маскируется под иконки документов, таких как Word, Excel и PDF, и может быть разделен на два типа. Первый тип, или оригинальная версия, был обнаружен в апреле, а второй тип, или новая версия, - в июне. Обе версии образца содержат информацию C2, но данные о конфигурации немного отличаются. Среди целей образца - Китай, Пакистан, полиция Непала и ВВС Бангладеш.

Бэкдор Spyder, используемый злоумышленниками, имеет много общего с ранее раскрытым бэкдором WarHawk, а судя по цифровому сертификату ранних образцов и связанным с ними образцам троянского коня Remcos, бэкдор Spyder, скорее всего, находится в руках Mahacao. Функции, поддерживаемые бэкдором, включают загрузку и выполнение последующих полезных нагрузок, выполнение команд, сбор и возврат информации о файлах и загрузку файлов. Он собирает информацию о зараженном устройстве, включая hwid (Machine GUID) в качестве идентификатора жертвы в коммуникации C2. После выбора определенной команды он отправляет "hwid=%s&deploy=%d&bakmout=1" на C2. Он также будет многократно взаимодействовать с C2, загружать и запускать последующие полезные нагрузки, и процесс взаимодействия подробно описан в тексте.

Кроме того, мы обнаружили еще один легкий бэкдор, написанный на C#, с одного из IP-адресов, используемых злоумышленниками. Этот бэкдор очень прост и, скорее всего, использовался в сочетании с другими вредоносными программами во время атаки.

Центр анализа угроз QiAnXin предупреждает пользователей о необходимости остерегаться фишинговых атак, не открывать ссылки из неизвестных источников, размещенные в социальных сетях, не нажимать и не выполнять вложения электронной почты из неизвестных источников, не запускать неизвестные файлы с преувеличенными названиями и не устанавливать приложения из неофициальных источников. Важно своевременно создавать резервные копии важных файлов, обновлять и устанавливать патчи.