#ParsedReport #CompletenessHigh
17-07-2023

Spy, get out: the XDSpy group attacked Russian organizations on behalf of the Ministry of Emergency Situations

https://habr.com/ru/companies/f_a_c_c_t/news/747540

Report completeness: High

Actors/Campaigns:
Xdspy (motivation: cyber_espionage)

Threats:
Confuserex_tool
Antivm
Antidebugging_technique

Victims:
Russian government, military, financial institutions, energy, research and mining companies

Industry:
Energy, Financial, Government, Military

Geo:
Belarusian, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1036, T1020, T1003, T1140

IOCs:
Domain: 3
File: 18
Url: 9
Path: 7
Hash: 16
Coin: 1
Registry: 2
IP: 2

Algorithms:
zip, xor, sha256, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что XDSpy - это таинственная группа кибершпионажа, впервые обнаруженная в 2020 году и нацеленная на преимущественно российские организации с помощью вредоносных электронных писем и полезных нагрузок, и что F.A.C.C.T ведет мониторинг и расследование деятельности этой группы.
-----

XDSpy - таинственная группа кибершпионажа, впервые обнаруженная в 2020 году. Ее цели находятся в основном в России и включают государственные, военные, финансовые учреждения, энергетические, исследовательские и горнодобывающие компании. Группу сложно идентифицировать, и ее происхождение остается неизвестным.

В июле компания F.A.C.C.T. обнаружила вредоносное электронное письмо, разосланное нескольким российским организациям. Письмо было подписано МЧС и содержало список сотрудников компании. Оно содержало гиперссылку на документ Spisok_rabotnikov.pdf, который запускал загрузку вредоносного архива Spisok_rabotnikov.zip. Этот архив содержит дроппер UTask, который используется для декодирования и сохранения файлов полезной нагрузки в каталоге %USERPROFILE%\source\repos\FZdlyPUMslYX. Файлы полезной нагрузки представляют собой динамические библиотеки связей (DLL) в формате PE32 и обфусцированы с помощью инструмента ConfuserEx.

XDSpy.Mainmodule представляет собой исполняемый файл в формате PE32 и является агентом, предназначенным для получения модулей, выполняющих основные вредоносные действия. Он способен получать команды с управляющего сервера lifestyle-star.com:443 (91.235.116.194) и обфусцирован с помощью технологий AntiVM и AntiDebug. Кроме того, он создает записи в реестре, чтобы оставаться в системе.

Предыдущие кампании, проведенные этой группой, были направлены на МИД России в середине марта и на российские организации с поддельными повестками от имени Министерства обороны в октябре 2022 года. F.A.C.C.T. продолжает вести мониторинг XDSpy и исследовать полезную нагрузку XDSpy.Mainmodule, полученную в результате атаки. По мере поступления новой информации исследование будет соответствующим образом дополняться.

#ParsedReport #CompletenessMedium
17-07-2023

Google Firebase Hosting Abused to Deliver Sorillus RAT, Phishing Page

https://www.esentire.com/blog/google-firebase-hosting-abused-to-deliver-sorillus-rat-phishing-page

Report completeness: Medium

Threats:
Sorillus_rat
Adwind_rat
More_eggs

Victims:
Manufacturing customer

Geo:
Emea, Apac, America, Africa

ChatGPT TTPs:
do not use without manual check
T1566.003, T1036, T1543, T1115, T1086, T1574, T1566.002, T1545, T1552, T1486, have more...

IOCs:
File: 4
Path: 1
Domain: 5
Url: 1
IP: 1
Hash: 7

Soft:
telegram, chrome

Algorithms:
zip

Languages:
java, javascript

Platforms:
intel

Links:
https://github.com/KyaniteLeaks/SorillusRAT6.1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что подразделение Threat Response Unit (TRU) выявило фишинговую атаку, использующую облачные сервисы и налоговую тематику для доставки вредоносного ПО.
-----

В июне 2023 года, Центр управления безопасностью получил сигнал о подозрительном коде, записанном в реестр в сети одного из производственных клиентов. По результатам расследования он был идентифицирован как Sorillus RAT - кроссплатформенная коммерческая вредоносная программа на базе Java, предоставляющая различные возможности для кражи информации и удаленного доступа. Она была доставлена жертве с помощью zip-файла с налоговой тематикой (tax-document.zip), содержащего HTML-файл 2022tax-extension.html, в котором находилась Java-полезная нагрузка Tax-document_PDF.jar. Затем он записывал свою копию в %AppData%\Roaming\Microsoft\.tmp\ с расширением .tmp и определял ключ запуска реестра под названием Home для выполнения полезной нагрузки Java при входе пользователя в систему.

В то же время MDR for Endpoint выявил фишинговую атаку, компоненты которой в значительной степени опирались на Firebase Hosting. Она включала в себя HTM-документ invoice.statemtent.htm, отправленный жертве по электронной почте, а также несколько обфусцированных JavaScript-файлов, загруженных с сайтов vinapsminznusx . web . app и wispy-dawn-ea24.porschea50 . workers . dev. Они использовались для динамической визуализации страницы входа в систему Microsoft 0365 с использованием веб-контента, полученного от Microsoft (acctcdn.msftauth.net/images/).

Облачные сервисы могут стать эффективным средством борьбы с репутационными фильтрами безопасности, поскольку они способны наследовать атрибуты доверенной репутации и делают обнаружение угроз по таким характеристикам, как возраст регистрации домена, практически невозможным. Хранение отдельных компонентов кода в разных облачных сервисах (в данном случае Google и Cloudflare) затрудняет обнаружение автоматическими сканерами, поскольку каждому провайдеру раскрывается лишь часть функциональности. Кроме того, это создает избыточность в случае, если один из провайдеров удалит код или учетные записи в отдельности. Приманки на налоговую тематику популярны весной и в начале лета, поскольку они нацелены на продление срока подачи налоговых деклараций после апрельского дедлайна.

#ParsedReport #CompletenessMedium
17-07-2023

Reverse Engineering Walkthrough \| Analyzing A Sample Of Arechclient2

https://www.sentinelone.com/blog/reverse-engineering-walkthrough-analyzing-a-sample-of-arechclient2

Report completeness: Medium

Threats:
Sectop_rat
Junk_code_technique
Process_hollowing_technique
Redline_stealer

ChatGPT TTPs:
do not use without manual check
T1518.003, T1518.005, T1518.002, T1518.004, T1059.003, T1036.005

IOCs:
File: 2
IP: 4
Hash: 3

Soft:
windows defender, visual studio code, net framework, process explorer

Algorithms:
xor, sha1

Functions:
The

Win API:
CreateProcessW, NtResumeThread, NtUnmapViewOfSection

Languages:
autoit

Platforms:
x86, intel

Links:
https://github.com/dr4k0nia
https://gist.github.com/dr4k0nia/447fb1c5c7e8791ee877fd1090a6f5e5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Милли Ним продемонстрировала подход к решению проблем, позволяющий провести реверс-инжиниринг образца вредоносного ПО и определить, что он относится к семейству ArechClient2.
-----

Недавно компания SentinelOne совместно с vx-underground провела первый конкурс Malware Research Challenge. В рамках этого конкурса исследователям было предложено представить свои исследования, которые продемонстрировали бы их талант и позволили бы узнать о них более широкой аудитории. Милли Ним продемонстрировала подход к решению проблем при обратном проектировании образца вредоносного ПО, отметив практические шаги, а также логические рассуждения в ходе исследования.

Образец состоял из двух файлов: исполняемого и a3x-файла. Запуск файла в Windows Sandbox выявил в Windows Defender попадание MSIL:Trojan. Код был обфусцирован и содержал нежелательный код. После деобфускации всех строк были выявлены имена API-функций, такие как NtResumeThread, CreateProcessW и NtUnmapViewOfSection, что позволяет предположить наличие пустоты в процессе.

С помощью x64Dbg была установлена точка останова на NtResumeThread, которая прерывала выполнение после завершения инъекции, но до возобновления потока для выполнения вредоносной программы. Для получения управляемой полезной нагрузки из процесса jsc.exe был использован ExtremeDumper. Конфиг полезной нагрузки раскрывал информацию C2 и основные цели похитителя, такие как браузеры, почтовые клиенты и игровые клиенты типа Steam.

Анализ дампа строк выявил индикаторы, которые могут помочь в атрибуции определенного семейства вредоносных программ. Сетевой захват активного образца ArechClient2, проведенный компанией IronNet Threat Research, показал сходство с образцом. Эти данные указывают на принадлежность образца к семейству ArechClient2.

#ParsedReport #CompletenessLow
17-07-2023

PurpleFox distributed as MS-SQL server

https://asec.ahnlab.com/ko/55302

Report completeness: Low

Threats:
Purplefox

Victims:
Ms-sql server

ChatGPT TTPs:
do not use without manual check
T1035, T1053, T1112, T1547, T1546, T1049, T1545, T1490, T1050

IOCs:
File: 7
Command: 1
Url: 2
Registry: 1
Hash: 2

Soft:
ms-sql

Win Services:
sqlservr, netsvc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Система Endpoint Detection & Response (EDR) компании AhnLab смогла обнаружить вредоносную программу PurpleFox и активно блокировать угрозы со стороны злоумышленников. Вредоносный код был изменен на обычное имя файла и использовал утилиту netsh для добавления политик IPsec для определенных портов. Затем вредоносный код выполнял дополнительные задачи регистрации сервисов для запуска руткита и работы в безопасном режиме, которые также были обнаружены системой EDR компании "АнЛаб".
-----

Центр реагирования на чрезвычайные ситуации в области безопасности компании "АнЛаб" (ASEC) подтвердил наличие вредоносной программы PurpleFox - загрузчика, используемого для загрузки дополнительного вредоносного ПО. Первоначальный способ проникновения, выявленный в данном случае, представлял собой атаку на некорректно управляемый MS-SQL-сервер. Злоумышленник смог выполнить Powershell через процесс sqlservr.exe, связанный с сервером MS-SQL.

Система Endpoint Detection & Response (EDR) компании AhnLab смогла обнаружить начальную стадию проникновения, а также стадии повышения привилегий и поддержания персистентности вредоносной программы PurpleFox. Эта система также способна активно блокировать угрозы со стороны злоумышленников, например, блокировать сайты распространения кода.

В ходе атаки вредоносный код менял имя файла на обычное (sens.dll), чтобы после перезагрузки системы он работал как служба. Предполагается, что злоумышленник использовал эту технику для выполнения запланированных задач по удалению и переименованию определенных файлов. Кроме того, в MSI-пакете используется утилита netsh для добавления политик IPsec для определенных портов. Этот порт используется вредоносным кодом при доступе в сеть и является уязвимым. После изменения ключа реестра и добавления политики порта MSI-пакет пытается перезагрузиться, после чего запускается служба SENS (служба уведомлений о системных событиях) и выполняется вредоносный код.

В этот момент вредоносный код выполняет дополнительные задачи регистрации сервисов для запуска руткита и работы в безопасном режиме. Система AhnLab EDR может обнаружить поведение регистрации сервисов как для руткита, так и для работы в безопасном режиме.

#ParsedReport #CompletenessHigh
17-07-2023

Space Pirates: exploring non-standard techniques, new attack vectors and grouping tools

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-exploring-non-standard-techniques-new-attack-vectors-and-grouping-tools

Report completeness: High

Actors/Campaigns:
Webworm (motivation: cyber_criminal, cyber_espionage)

Threats:
Deed_rat
Voidoor
Plugx_rat
Stowaway_tool
Godzilla_loader
Shadowpad
Mimikatz_tool
Fscan_tool
Procdump_tool
Nbtscan_tool
Krbrelayup_tool
Nmap_tool
Impacket_tool
Regeorg
Trojan.win32.generic.a
Trojan.win32.evasion.a
Revbshell
Rtlshare
Uac_bypass_technique
Gh0st_rat
Process_injection_technique
Zupdax
Dll_sideloading_technique
Chromepass_tool
Credential_dumping_technique

Victims:
Universities, medical institutions, energy companies, security companies, as well as government agencies in russia and serbia

Industry:
Healthcare, Petroleum, Aerospace, Energy, Government, Education

Geo:
Chinese, Serbian, Asian, Antarctica, Russian, Russia, Serbia

CVEs:
CVE-2017-0213 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: True
X-Force: Risk: 7
X-Force: Patch: Official fix
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (*)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, 1703, -)
have more...

TTPs:
Tactics: 11
Technics: 56

IOCs:
IP: 4
File: 12
Path: 7
Hash: 57
Command: 4

Soft:
psexec, windows service, component object model, chrome, outlook, wordpress

Algorithms:
lzw, base64, xor, sha256

Win API:
SHFileOperation, CreateProcess

Win Services:
BITS

Languages:
php, visual_basic

Platforms:
x86, x64

YARA: Found

Links:
https://api.github.com/users/hasdhuahd
https://github.com/kufan/LViewer/blob/master/Client/ZXPortMap.cpp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что "Space Pirates" - это группа киберпреступников, которая действует уже более трех лет и атакует государственные и образовательные учреждения, компании, занимающиеся безопасностью, и различные отрасли промышленности. Для проведения своих операций они используют различные инструменты и технологии, и за последние три года их тактика не претерпела существенных изменений. Однако они расширили географию своих атак и разработали новые инструменты, что привело к резкому увеличению числа атак на российские компании.
-----

В конце 2019 года Экспертный центр безопасности Positive Technologies (PT ESC) обнаружил новую группу киберпреступников под названием "Space Pirates". К 2022 году они действовали уже более трех лет и были выявлены в ходе расследований кибератак. Основными целями группы являются государственные и образовательные учреждения, охранные компании, предприятия авиационной, ракетно-космической и сельскохозяйственной отраслей, военно-промышленного и топливно-энергетического комплекса, а также компании, занимающиеся информационной безопасностью в России и Сербии.

Сетевая инфраструктура Space Pirates использует небольшое количество IP-адресов, на которые указывают DDNS-домены, и часто использует старые адреса сайтов, создавая на них домены более высокого уровня. Для осуществления своих операций Space Pirates используют веб-оболочку Godzilla, обфусцированный туннель Neo-reGeorg, а также бэкдор Deed RAT, который, как считается, является развитием ShadowPad и PlugX.

Кроме того, предполагается, что группа создала вредоносную программу под названием Voidoor, которая используется для взаимодействия с GitHub и voidtools. Жизненный цикл этой вредоносной программы включает в себя генерацию ссылок для доступа к списку жертв, загрузку файлов из репозиториев GitHub, создание задачи в планировщике и т.д. Известно также, что группа использует инструменты, написанные на языке Go и обфусцированные с помощью Garble, а также самописную утилиту, которая отслеживает подключенные носители и собирает с них файлы.

Тактика "Space Pirates" за три года их деятельности практически не изменилась: основными целями по-прежнему остаются шпионаж и кража конфиденциальной информации. Однако группа расширила географию атак и сферу своих интересов. Кроме того, они разработали новые и усовершенствовали старые инструменты, что привело к резкому увеличению числа атак на российские компании. Специалисты PT ESC продолжают отслеживать и реагировать на угрозы, в том числе связанные с "Space Pirates".

#ParsedReport #CompletenessLow
17-07-2023

Charming Kitten hackers use new NokNok malware for macOS

https://www.proofpoint.com/us/newsroom/news/charming-kitten-hackers-use-new-noknok-malware-macos

Report completeness: Low

Actors/Campaigns:
Charming_kitten
Apt42
Irgc

Threats:
Noknok
Gorjolecho
Ghostecho

Victims:
Macos users

Industry:
Government

Geo:
Iranian

ChatGPT TTPs:
do not use without manual check
T1036, T1566, T1086, T1218, T1140, T1064, T1074, T1566, T1036, T1071, have more...

IOCs:
Domain: 1

Soft:
macos, curl

Algorithms:
zip, base64

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа Charming Kitten с мая этого года замечена в использовании нового вредоносного ПО NokNok для атак на системы macOS. Вредоносная ссылка содержит макрос Google Script, который разворачивает бэкдор, позволяющий злоумышленникам выполнять команды на целевой системе. Полезная нагрузка NokNok собирает системную информацию и передает ее на свой командно-контрольный сервер, а также может обладать дополнительным функционалом, связанным со шпионажем. Данная кампания демонстрирует высокую степень возможностей группы Charming Kitten по атаке пользователей macOS.
-----

Исследователи безопасности обнаружили новую кампанию, приписываемую APT-группе Charming Kitten, в которой используется новое вредоносное ПО NokNok, нацеленное на системы macOS. Кампания активна с мая, и злоумышленники используют иную цепочку заражения, чем наблюдалось ранее. Вместо вредоносных документов Word хакеры используют LNK-файлы для развертывания полезной нагрузки. Предполагается, что угрожающая группировка связана с иранским государством, и в сентябре 2022 года правительству США удалось выявить ее членов и предъявить им обвинения.

Злоумышленники начинают с рассылки электронных писем от имени американских экспертов в области ядерной энергетики, предлагая ознакомиться с проектами по внешнеполитической тематике. Заручившись доверием жертвы, хакеры отправляют вредоносную ссылку, содержащую макрос Google Script. Он перенаправляет жертву на URL-адрес Dropbox, содержащий защищенный паролем RAR-архив. После его выполнения на компьютере будет развернут GorjolEcho - простой бэкдор, позволяющий удаленным операторам выполнять команды на целевой системе.

Если хакеры определяют, что жертва использует macOS, они отправляют новую ссылку на library-store.camdvr.org, где размещается ZIP-файл, маскирующийся под приложение RUSI VPN. Этот файл содержит скрипт Apple, который при выполнении подхватывает полезную нагрузку NokNok и создает бэкдор в систему жертвы. NokNok собирает системную информацию, такую как версия ОС, запущенные процессы и установленные приложения. Затем он шифрует и кодирует эти данные в формате base64, после чего передает их на свой командно-контрольный (C2) сервер. Предполагается, что NokNok может обладать более специфическим шпионским функционалом, аналогичным GhostEcho - другому бэкдору с модулями, позволяющими делать скриншоты, выполнять команды и очищать следы заражения.

Последняя кампания демонстрирует высокую степень адаптивности и возможности группы Charming Kitten в отношении пользователей macOS, что свидетельствует о растущей угрозе сложных кампаний вредоносного ПО для этих систем.

#ParsedReport #CompletenessLow
17-07-2023

Spearphishing Campaign Targets Zimbra Webmail Portals of Government Organizations

https://blog.eclecticiq.com/spearphishing-campaign-targets-zimbra-webmail-portals-of-government-organizations

Report completeness: Low

Victims:
Government organizations

Industry:
Government, Education

Geo:
France, Ukrainian, Spanish, Russian, Indonesia, Ukraine, Spain

CVEs:
CVE-2020-35730 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- roundcube webmail (<1.4.10, <1.3.16, <1.2.13)
- fedoraproject fedora (32, 33)
- debian debian linux (9.0)

CVE-2020-12641 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- roundcube webmail (<1.3.11, <1.4.4, <1.2.10)
- opensuse leap (15.1, 15.2)
- opensuse backports sle (15.0)


IOCs:
Domain: 3
Email: 2
IP: 2

Soft:
zimbra, roundcube, wordpress, zimbra collaboration suite

Functions:
escapeXml

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи EclecticIQ выявили кампанию спирфишинга, направленную на правительственные организации с января 2023 года и использующую для кражи учетных данных электронной почты эксплуатируемые почтовые серверы Zimbra и Roundcube. Угрожающие лица применяли такие уловки, как использование VPN-сервисов, Google Firebase, MailChimp, chilipepper.io и webflow.io, чтобы скрыть свою личность, и потенциально использовали уязвимость нулевого дня в Zimbra Collaboration Suite (ZCS).
-----

Исследователи EclecticIQ выявили кампанию spearphishing, направленную на правительственные организации с января 2023 года и использующую эксплуатируемые почтовые серверы Zimbra и Roundcube.

Письма содержали фишинговые заманухи по обслуживанию Zimbra с целью обмана получателей и кражи учетных данных электронной почты.

Угрожающий агент успешно обошел антиспам-фильтры целевых государственных организаций.

Вполне вероятно, что угроза использовала VPN-сервисы для сокрытия своей реальной личности.

Угрожающий агент использовал легитимные веб-сервисы для сбора учетных данных электронной почты.

Угрожающий агент использовал ту же самую замануху Zimbra на испанском языке, чтобы нацелить ее на испаноязычных жертв.

Угрожающий агент мог использовать известные или неизвестные уязвимости в системах Roundcube & Zimbra для получения доступа.

Для обеспечения анонимности угроза использовала VPN-сервис CyberGhost.

Unraveling the Complex Infection Chain: Analysis of the SideCopy APT’s Attack

https://threatmon.io/unraveling-the-complex-infection-chain-analysis-of-the-sidecopy-apts-attack/

#ParsedReport #CompletenessLow
18-07-2023

Uncovering drIBAN fraud operations. Chapter 3: Exploring the drIBAN web inject kit

https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-3

Report completeness: Low

Threats:
Driban_tool
Anatsa
Starslord
Ramnit
Man-in-the-browser_technique
Polymorphism_technique

Victims:
Corporate banking environments

Industry:
Financial

Geo:
Russian

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что DrIBAN - это набор веб-инъекций, позволяющий перехватывать и управлять ответами на запросы из Интернета, и что для защиты от вредоносных действий и сохранения целостности европейского банковского сектора необходимо сотрудничество и единые стратегии защиты.
-----

DrIBAN - это впервые появившийся в 2019 году набор веб-инъекций, написанный преимущественно на JavaScript. Он представляет собой расширение техники захвата форм, которая позволяет перехватывать и управлять веб-ответами для изменения содержимого до его отображения в браузере. Набор состоит из трех основных модулей: Mule configuration, Swap engine и модуль визуализации. Конфигурация Mule содержит денежных мулов, контролируемых агентами угроз (TA), а движок Swap engine извлекает легитимные банковские переводы для перенаправления их мулам. Модуль визуализации заменяет ссылки на банковские счета мулов на легитимные, введенные жертвой. Для уменьшения видимости жертвы ТА используют технику строгой аутентификации клиента (SCA).

Техники уклонения впервые появились в июне 2021 года с помощью полиморфных технологий. Полезная нагрузка ATS подается динамически с сервера Command and Control (C2) через функцию Ramnit AddDrop. В полезных нагрузках веб-инъекций были замечены сообщения-вымогатели, написанные на плохом английском языке. Для внедрения полезной нагрузки в легитимные веб-сессии используются технологии Man-in-the-Browser.

Эта серия статей позволила проиллюстрировать работу современных ТА, восстановить цепочки заражения и повысить осведомленность об этой угрозе. Важно, чтобы европейские организации, включая частный сектор, финансовые учреждения, CERT, правоохранительные органы и другие, эффективно сотрудничали в борьбе с этими развивающимися угрозами. Обмен оперативной информацией об угрозах и надежные меры безопасности, такие как проактивное предотвращение, являются жизненно важными для защиты корпоративных банковских счетов и снижения воздействия сложных кампаний перспективных постоянных угроз (APT). Развивая сотрудничество и реализуя единую стратегию защиты, мы сможем укрепить нашу устойчивость к вредоносным действиям и защитить целостность европейского банковского сектора.

#ParsedReport #CompletenessLow
18-07-2023

The New Release of Danabot Version 3: What You Need to Know

https://flashpoint.io/blog/danabot-version-3-what-you-need-to-know

Report completeness: Low

Threats:
Danabot
Postgrabber_tool
Danatools
Hvnc_tool

ChatGPT TTPs:
do not use without manual check
T1036.003, T1114.001, T1056.001, T1082.001, T1083.001, T1083.002, T1086.001, T1203.001, T1573.001, T1546.001, have more...

Soft:
jabber, mysql

Platforms:
intel