#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи EclecticIQ выявили кампанию спирфишинга, направленную на правительственные организации с января 2023 года и использующую для кражи учетных данных электронной почты эксплуатируемые почтовые серверы Zimbra и Roundcube. Угрожающие лица применяли такие уловки, как использование VPN-сервисов, Google Firebase, MailChimp, chilipepper.io и webflow.io, чтобы скрыть свою личность, и потенциально использовали уязвимость нулевого дня в Zimbra Collaboration Suite (ZCS).
-----

Исследователи EclecticIQ выявили кампанию spearphishing, направленную на правительственные организации с января 2023 года и использующую эксплуатируемые почтовые серверы Zimbra и Roundcube.

Письма содержали фишинговые заманухи по обслуживанию Zimbra с целью обмана получателей и кражи учетных данных электронной почты.

Угрожающий агент успешно обошел антиспам-фильтры целевых государственных организаций.

Вполне вероятно, что угроза использовала VPN-сервисы для сокрытия своей реальной личности.

Угрожающий агент использовал легитимные веб-сервисы для сбора учетных данных электронной почты.

Угрожающий агент использовал ту же самую замануху Zimbra на испанском языке, чтобы нацелить ее на испаноязычных жертв.

Угрожающий агент мог использовать известные или неизвестные уязвимости в системах Roundcube & Zimbra для получения доступа.

Для обеспечения анонимности угроза использовала VPN-сервис CyberGhost.

Unraveling the Complex Infection Chain: Analysis of the SideCopy APT’s Attack

https://threatmon.io/unraveling-the-complex-infection-chain-analysis-of-the-sidecopy-apts-attack/

#ParsedReport #CompletenessLow
18-07-2023

Uncovering drIBAN fraud operations. Chapter 3: Exploring the drIBAN web inject kit

https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter-3

Report completeness: Low

Threats:
Driban_tool
Anatsa
Starslord
Ramnit
Man-in-the-browser_technique
Polymorphism_technique

Victims:
Corporate banking environments

Industry:
Financial

Geo:
Russian

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что DrIBAN - это набор веб-инъекций, позволяющий перехватывать и управлять ответами на запросы из Интернета, и что для защиты от вредоносных действий и сохранения целостности европейского банковского сектора необходимо сотрудничество и единые стратегии защиты.
-----

DrIBAN - это впервые появившийся в 2019 году набор веб-инъекций, написанный преимущественно на JavaScript. Он представляет собой расширение техники захвата форм, которая позволяет перехватывать и управлять веб-ответами для изменения содержимого до его отображения в браузере. Набор состоит из трех основных модулей: Mule configuration, Swap engine и модуль визуализации. Конфигурация Mule содержит денежных мулов, контролируемых агентами угроз (TA), а движок Swap engine извлекает легитимные банковские переводы для перенаправления их мулам. Модуль визуализации заменяет ссылки на банковские счета мулов на легитимные, введенные жертвой. Для уменьшения видимости жертвы ТА используют технику строгой аутентификации клиента (SCA).

Техники уклонения впервые появились в июне 2021 года с помощью полиморфных технологий. Полезная нагрузка ATS подается динамически с сервера Command and Control (C2) через функцию Ramnit AddDrop. В полезных нагрузках веб-инъекций были замечены сообщения-вымогатели, написанные на плохом английском языке. Для внедрения полезной нагрузки в легитимные веб-сессии используются технологии Man-in-the-Browser.

Эта серия статей позволила проиллюстрировать работу современных ТА, восстановить цепочки заражения и повысить осведомленность об этой угрозе. Важно, чтобы европейские организации, включая частный сектор, финансовые учреждения, CERT, правоохранительные органы и другие, эффективно сотрудничали в борьбе с этими развивающимися угрозами. Обмен оперативной информацией об угрозах и надежные меры безопасности, такие как проактивное предотвращение, являются жизненно важными для защиты корпоративных банковских счетов и снижения воздействия сложных кампаний перспективных постоянных угроз (APT). Развивая сотрудничество и реализуя единую стратегию защиты, мы сможем укрепить нашу устойчивость к вредоносным действиям и защитить целостность европейского банковского сектора.

#ParsedReport #CompletenessLow
18-07-2023

The New Release of Danabot Version 3: What You Need to Know

https://flashpoint.io/blog/danabot-version-3-what-you-need-to-know

Report completeness: Low

Threats:
Danabot
Postgrabber_tool
Danatools
Hvnc_tool

ChatGPT TTPs:
do not use without manual check
T1036.003, T1114.001, T1056.001, T1082.001, T1083.001, T1083.002, T1086.001, T1203.001, T1573.001, T1546.001, have more...

Soft:
jabber, mysql

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Danabot версии 3 является более доступным и привлекательным для угроз набором вредоносных программ, что повышает риск атак с использованием Danabot, и аналитики Flashpoint отслеживают угрозы на предмет использования ботов Danabot версии 3 в дикой природе.
-----

Аналитики компании Flashpoint отслеживают недавно выпущенную DBot v.3 - третью версию известного пакета вредоносных программ Danabot. Эта версия нацелена на сохранение и извлечение полезной информации, которая впоследствии может быть монетизирована, и использует социальную инженерию в почтовых угрозах для сбора информации от своих жертв. Бот оснащен вредоносными программами-крадунами, функциями "обнюхивания" буфера обмена, кейлоггинга, захвата файлов и кошельков, постграббером, инструментом захвата форм, троянами удаленного доступа (RAT), HTML-инъекциями, перенаправлением и блокировкой веб-запросов, Tor fallback для восстановления командно-контрольного (C2) прокси, а также интеграцией Jabber для получения уведомлений. Наряду с этим OnlineServer - портативное исполняемое (PE) приложение, выполняющее роль панели для RAT-функционала Danabot и позволяющее взаимодействовать с API Danabot, выдавать терминальные команды на системы жертв, предоставлять жертвам удаленный доступ через скрытые виртуальные сетевые вычисления, создавать ботов, упаковывать и криптовать ботов, строить прокси-цепочки для C2-связи ботов, а также задействовать API для работы с криптовалютой и базой данных.

Наиболее важными изменениями по сравнению с DanaTools (версия 2) и DBot v.3 являются реструктуризация цен и улучшение поддержки клиентов. С выходом DBot v.3 субъекты угроз получили большую гибкость в выборе необходимых им инструментов благодаря новым структурам подписки, таким как использование stealer, stealer plus HVNC, stealer и PostGrabber, stealer, Postgrabber и HVNC, stealer, PostGrabber, HVNC, API, персональный сервер и персональная поддержка, а также демо-версия stealer, HVNC и PostGrabber. Кроме того, на сайте Danabot Tor появились инструкции по установке и настройке панели, а также видеодемонстрации и варианты генерации ботов, что делает его более доступным и привлекательным для субъектов угроз. В настоящее время аналитики Flashpoint отслеживают угрозы на предмет использования ботов Danabot версии 3 в реальных условиях.

Danabot версии 3 предназначен для работы с браузерами, FTP-, SSH- и почтовыми клиентами, а также для сбора данных при копировании информации между приложениями. Кроме того, в состав бота входят кейлоггер, граббер кошельков, постграббер, HTML-инъекции, перенаправление и блокирование веб-запросов, Tor fallback для восстановления C2-прокси и интеграция с Jabber для получения уведомлений. Бот способен настраиваться под нужды пользователя, позволяя ему выбирать необходимые инструменты через структуру подписки. Кроме того, на сайте Danabot Tor можно найти инструкции по установке и настройке панели, а также видеодемонстрации и варианты генерации бота.

Аналитики компании Flashpoint активно отслеживают угрозы на предмет использования ботов Danabot версии 3 в природе. Реструктуризация и снижение барьера входа делают DBot v.3 более доступным и привлекательным для угроз, а значит, повышают риск атак с использованием Danabot. Чтобы узнать о последних обновлениях, связанных с DBot v.3, а также о других растущих вредоносных угрозах, рекомендуем подписаться на бесплатную пробную версию.

#ParsedReport #CompletenessMedium
18-07-2023

Possible Supply-Chain Attack Targeting Pakistani Government Delivers Shadowpad

https://www.trendmicro.com/en_us/research/23/g/supply-chain-attack-targeting-pakistani-government-delivers-shad.html

Report completeness: Medium

Actors/Campaigns:
Axiom
Earth_lusca
Tonto_team
Calypso
Webworm
Driftingcloud

Threats:
Supply_chain_technique
Shadowpad
Dll_sideloading_technique
Dead_drop_technique
Mitm_technique
Deed_rat
Trojan.win64.poppingbee.zbjf
Backdoor.win64.poppingbee.zajf
Trojan.win64.poppingbee.a

Victims:
Pakistan government entity, Pakistani public sector bank, Pakistani telecommunications provider

Industry:
Government, Telco, Financial

Geo:
Pakistani, Pakistan, Afghanistan, Chinese

IOCs:
File: 9
Domain: 2
IP: 1
Url: 2
Hash: 18

Algorithms:
aes-cbc, xor

Win API:
CryptDeriveKey

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно мы обнаружили атаку на пакистанскую правительственную организацию, в ходе которой модифицированная версия приложения "Электронный офис" использовалась для доставки образца Shadowpad. Угрожающий агент имел доступ к последней версии Shadowpad, что позволяет предположить его связь с китайской группой угроз. Кроме того, угрожающий субъект подготовился к атаке, тщательно выбрав адрес C&C, чтобы он не выделялся на фоне легитимного сетевого трафика.
-----

Недавно мы обнаружили модифицированный установщик приложения E-Office, используемого правительством Пакистана, в образце Shadowpad, что говорит о возможной атаке по цепочке поставок. Поскольку файл MSI-установщика не был подписан, неясно, получил ли угрожающий агент легитимный инсталлятор и модифицировал его, добавив вредоносные файлы, или же пользователи были привлечены к запуску этой троянизированной версии с помощью атак социальной инженерии. В настоящее время пакистанское государственное учреждение, о котором идет речь, проводит детальный криминалистический анализ своих систем для расследования этого инцидента.

Shadowpad - передовое семейство вредоносных программ, обнаруженное в 2017 году в результате атаки по цепочке поставок на популярное программное обеспечение для управления серверами, приписываемой APT41, а с 2019 года распространяемое несколькими китайскими угрозами, такими как Earth Akhlut или Earth Lusca. E-Office - приложение, призванное помочь государственным ведомствам перейти на безбумажный режим работы и поставляемое только государственным организациям.

Анализ вредоносного MSI-инсталлятора выявил наличие Telerik.Windows.Data.Validation.dll, 64-битного не-DLL PE-исполняемого файла, который является легитимным файлом applaunch.exe, подписанным Microsoft. Известно, что этот файл используется различными субъектами угроз для боковой загрузки вредоносных файлов с именем mscoree.dll. Mscoree.dll - это вредоносная DLL, которая расшифровывает и загружает файл mscoree.dll.dat, являющийся полезной нагрузкой Shadowpad.

В нашей телеметрии обнаружены три цели, расположенные в Пакистане: две из них - представители государственного/общественного сектора и одна - телекоммуникационного оператора. В двух случаях образец Shadowpad попал на жертву после выполнения инсталлятора E-Office с обратной загрузкой. Для третьей жертвы вектор заражения пока неизвестен. Мы не нашли достаточных доказательств, чтобы приписать эту атаку известному угрожающему субъекту, хотя выявили один дроппер, с высокой степенью вероятности принадлежащий угрожающему субъекту Calypso, еще один образец вредоносного ПО, вероятно, являющийся вариантом Shadowpad, с низкой степенью вероятности принадлежащий угрожающему субъекту Calypso, семейство вредоносных программ, принадлежащее угрожающему субъекту DriftingCloud, и полезную нагрузку, приписываемую Bronze University.

Эта атака демонстрирует возможности очень способного угрожающего субъекта, которому удалось получить и модифицировать инсталлятор правительственного приложения для компрометации чувствительных целей. Тот факт, что угрожающий агент имеет доступ к последней версии Shadowpad, потенциально связывает его с группой китайских угрожающих агентов. Кроме того, угрожающий агент тщательно выбрал один из своих C&C-адресов, чтобы он не выделялся на фоне легитимного сетевого трафика, что еще раз свидетельствует о его подготовительных возможностях. Учитывая постоянные обновления Shadowpad, мы ожидаем, что в будущем появится еще больше угроз, использующих эту версию.

#ParsedReport #CompletenessMedium
18-07-2023

FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware

https://symantec-enterprise-blogs.security.com/threat-intelligence/syssphinx-fin8-backdoor

Report completeness: Medium

Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Hornworm (motivation: financially_motivated)
Carbanak (motivation: financially_motivated)
Blackmatter (motivation: financially_motivated)

Threats:
Sardonic
Blackcat
Lolbin_technique
Ragnar_locker
Viking
Carbon
Badhatch_tool
Impacket_tool
Confuserex_tool
Polymorphism_technique

Victims:
Organizations in the hospitality, retail, entertainment, insurance, technology, chemicals, and finance sectors

Industry:
Financial, Chemical, Healthcare, Entertainment, Retail

IOCs:
Command: 5
File: 5
Url: 1
Hash: 23
IP: 1
Domain: 4

Soft:
psexec

Algorithms:
sha256, rc4

Functions:
Symantec, GetComputerName

Win API:
QueueUserAPC

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Syssphinx - это финансово мотивированная киберпреступная группа, действующая с 2016 г. и замеченная в развертывании угроз ransomware, а также в совершенствовании своих инструментов и тактик, чтобы избежать обнаружения.
-----

Syssphinx (она же FIN8) - финансово мотивированная киберпреступная группа, действующая как минимум с января 2016 года. Она известна тем, что атакует организации в сфере гостиничного бизнеса, розничной торговли, развлечений, страхования, технологий, химической промышленности и финансов и использует так называемую тактику "жизни на земле", применяя встроенные инструменты и интерфейсы, такие как PowerShell и WMI, а также злоупотребляя легитимными сервисами для маскировки своей деятельности. Социальная инженерия и spear-phishing - два предпочтительных для группы метода первоначальной компрометации. Изначально специализировавшаяся на атаках на точки продаж (POS), Syssphinx в последнее время стала использовать в своих атаках и угрозы вымогательства.

В июне 2021 года было замечено, что Syssphinx развернула программу-рансомер Ragnar Locker на машинах, скомпрометированных в начале года в одной из финансовых компаний США. В январе 2022 года с Syssphinx было связано семейство программ-вымогателей, известное под названием White Rabbit, а в декабре 2022 года группа попыталась развернуть программу-вымогатель Noberus. Оператором Noberus является финансово мотивированная киберпреступная группа, которую Symantec называет Coreid (также известная как Blackmatter, Carbon Spider, FIN7).

Команда Syssphinx также была замечена в использовании варианта бэкдора Sardonic для доставки программы Noberus ransomware. Анализ бэкдора показал, что он является частью фреймворка Sardonic, ранее использовавшегося группой и проанализированного в отчете Bitdefender за 2021 год. Однако, судя по всему, большинство функций бэкдора были изменены, чтобы придать ему новый вид.

Сценарий PowerShell, используемый Syssphinx, может удалить себя, проверить архитектуру текущего процесса и выбрать 32- или 64-битную версию закодированного .NET Loader в зависимости от ситуации, декодировать двоичный файл .NET Loader и загрузить его в текущий процесс, а также запустить основную функциональность .NET Loader, где инжектор и бэкдор расшифровываются и управление передается инжектору.

Инжектор выполнен в виде шеллкода, точка входа которого показана на рис. 3. Подпрограмма decrypt_dwords, показанная на рисунке 3, расшифровывает несколько слов и открывает короткий фрагмент кода. Цель инжектора - запустить бэкдор во вновь созданном процессе WmiPrvSE.exe, который он пытается запустить в сессии-0 (best effort), используя токен, украденный из процесса lsass.exe.

Бэкдор выполнен в виде шелл-кода, и его точка входа выглядит аналогично точке входа инжектора, за исключением полиморфизма. Образец допускает одновременный запуск до 10 интерактивных процессов. Бэкдор поддерживает три различных формата для расширения своей функциональности: PE DLL-плагины, шеллкод-плагины и шеллкод с другим соглашением о передаче аргументов. Бэкдор взаимодействует со своим командно-контрольным сервером (C&C), обмениваясь сообщениями переменного размера с помощью определенной структуры.

Syssphinx продемонстрировала свое стремление извлечь максимальную прибыль из организаций-жертв, расширив сферу своей деятельности с POS-атак до развертывания программ-вымогателей. Группа также продолжает разрабатывать и совершенствовать свои инструменты и тактику, чтобы избежать обнаружения. Описанные в данном отчете инструменты и тактики подчеркивают, что эта высококвалифицированная финансовая угроза по-прежнему представляет серьезную опасность для организаций.

#ParsedReport #CompletenessMedium
17-07-2023

Analysis of Storm-0558 techniques for unauthorized email access

https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access

Report completeness: Medium

Actors/Campaigns:
Storm-0558 (motivation: cyber_espionage)
Apt31

Threats:
Credential_harvesting_technique
Chinachopper

Victims:
Us and european diplomatic, economic, and legislative governing bodies, and individuals connected to taiwan and uyghur geopolitical interests

Industry:
Telco, Government

Geo:
Chinese, China, Taiwan

IOCs:
IP: 38
Hash: 3

Soft:
outlook, azure active directory, azure ad, softether

Algorithms:
sha1

Functions:
GetAccessTokenForResource, GetAccessTokenForResourceAPI, REST, OWA, GetConversationItems, GetAccessTokensForResource

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и заблокировала вредоносную кампанию китайского угрожающего агента Storm-0558, направленную на дипломатические, экономические и законодательные органы США и Европы, а также на лиц, связанных с тайваньскими и уйгурскими геополитическими интересами.
-----

Недавно, 11 июля 2023 г., компания Microsoft опубликовала два блога, в которых подробно описала вредоносную кампанию, проводимую китайским агентом угроз Storm-0558. Угроза направлена на дипломатические, экономические и законодательные органы США и Европы, а также на лиц, связанных с геополитическими интересами Тайваня и Уйгурского полуострова. Специалисты Microsoft Threat Intelligence с умеренной уверенностью считают, что Storm-0558 - это китайский угрожающий агент, преследующий свои цели с помощью сбора учетных данных, фишинговых кампаний и атак на токены OAuth.

16 июня 2023 года компания Microsoft получила уведомление об аномальном доступе к данным Exchange Online, приписываемом злоумышленнику Storm-0558. Действующее лицо получало доступ к данным Exchange Online с помощью Outlook Web Access (OWA), подделывая токены аутентификации с использованием приобретенного корпоративного ключа подписи Azure AD. Дальнейший анализ показал, что в действительности злоумышленник подделывал токены Azure AD с помощью приобретенного потребительского ключа подписи учетной записи Microsoft (MSA) из-за ошибки проверки в коде Microsoft.

В ответ на это компания Microsoft предприняла меры по блокированию соответствующих злоупотреблений, аннулировала все ключи MSA, активные до инцидента, обновила свои системы, аннулировала все ранее активные ключи и выпустила новые ключи. Корпорация Microsoft увидела, что Storm-0558 перешел на другие методы, и не наблюдала никакой активности агентов, связанной с ключами, после аннулирования приобретенного агентом ключа подписи MSA. Microsoft продолжает изучать другие способы получения ключа и добавлять дополнительные меры защиты.

В ходе расследования Microsoft выявила несколько отличительных возможностей Storm-0558, которые способствуют применению угрожающим агентом методов вторжения. Эти возможности включают набор сценариев PowerShell и Python для выполнения вызовов REST API к службе OWA Exchange Store, маршрутизацию веб-запросов через прокси-сервер Tor или несколько жестко закодированных прокси-серверов SOCKS5, а также использование выделенной инфраструктуры под управлением прокси-программного обеспечения SoftEther.

Текущий мониторинг показал, что все действия агентов, связанные с этим инцидентом, были заблокированы. Microsoft продолжит отслеживать активность Storm-0558 и обеспечивать защиту наших клиентов. Корпорация Microsoft успешно заблокировала эту кампанию Storm-0558 и уведомила об этом затронутых клиентов. Корпорация Microsoft выявила основную причину, установила постоянное отслеживание кампании, пресекла вредоносную деятельность, обеспечила защиту среды, уведомила всех затронутых клиентов и скоординировала свои действия с различными государственными структурами.

#ParsedReport #CompletenessLow
19-07-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/07/dangerouspassword_dev.html

Report completeness: Low

Actors/Campaigns:
Cryptocore
Snatchcrypto

Threats:
Vmprotect_tool
Pythonhttpbackdoor
Jokerspy

Victims:
Developers of cryptocurrency exchange businesses

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.004, T1036, T1140, T1105, T1086, T1218, T1064, T1078, T1070, have more...

IOCs:
File: 6
Domain: 4
Hash: 19

Soft:
macos, node.js, task scheduler, mac os

Algorithms:
base64

Languages:
python, javascript

Links:
https://github.com/mnooner256/pyqrcode

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: JPCERT/CC выявил атаку, связанную с группой DangerousPassword, которая была направлена на разработчиков криптовалютных бирж с использованием вредоносного кода, вставленного в модуль Python, и двух других типов вредоносного ПО. Для защиты от такого рода атак разработчикам ПО следует использовать только фреймворки и внешние модули, полученные из легитимных репозиториев.
-----

JPCERT/CC, совместное предприятие Японской группы реагирования на чрезвычайные ситуации в компьютерной сфере и Координационного центра кибербезопасности, подтвердило факт атаки в мае 2023 года, направленной на разработчиков криптовалютных бирж. Предполагается, что эта атака была связана с целевой группой DangerousPassword и затрагивала среды Windows, macOS и Linux.

Атака начинается с вставки вредоносного кода в файл builder.py в модуле Python. Он выполняет дополнительные вредоносные программы и способен работать в средах Windows, macOS и Linux. Кроме того, он загружает и исполняет MSI-файлы из внешнего источника, отправляет на C2-сервер информацию об имени пользователя, ОС и процессах зараженных устройств в формате BASE64, а также сбрасывает DLL-файл devobj.dll.

JPCERT/CC также выявил еще два типа вредоносных программ, связанных с этой атакой. Первый - PythonHTTPBackdoor, содержащий простые команды, а второй - вредоносное ПО для Node.js под названием request.js. Обе эти программы имеют функции обнаружения среды ОС и нацелены на разработчиков, использующих строки, связанные с git.

Атака группы DangerousPassword уникальна тем, что она нацелена на среду разработчиков с различными платформами. Для защиты от этого типа атак разработчикам ПО следует использовать только фреймворки и внешние модули, полученные из легитимных репозиториев. JPCERT/CC также предоставляет информацию о C2 и хэш-значениях вредоносных программ, упомянутых в данном отчете.

#ParsedReport #CompletenessMedium
19-07-2023

FakeSG enters the 'FakeUpdates' arena to deliver NetSupport RAT

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/socgholish-copycat-delivers-netsupport-rat

Report completeness: Medium

Threats:
Netsupportmanager_rat
Fakesg
Socgholish_loader
Cobalt_strike
Mimikatz_tool
Scriptzzbn
Solarmarker

TTPs:
Tactics: 4
Technics: 13

IOCs:
Domain: 3
File: 6
IP: 3
Path: 1
Registry: 1

Soft:
wordpress, mastodon

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: FakeSG - это вредоносная кампания, использующая поддельные обновления браузеров для загрузки NetSupport RAT, которая затем используется для получения удаленного доступа и доставки дополнительной полезной нагрузки. От других кампаний она отличается тем, что использует различные уровни обфускации и методы доставки. Кроме того, она используется для кражи учетных данных, которые могут быть перепроданы и использованы для атак с целью получения выкупа.
-----

Поддельные обновления браузера - распространенная тактика, используемая авторами вредоносных программ для того, чтобы обманом заставить пользователей загрузить вредоносные файлы. Последняя кампания, использующая эту приманку, называется FakeSG и использует взломанные WordPress-сайты для отображения пользовательской целевой страницы, имитирующей браузер пользователя. После щелчка на фальшивом обновлении пользователю предлагается загрузить пакет в формате zip, содержащий NetSupport RAT, который используется для получения удаленного доступа и доставки дополнительной полезной нагрузки.

Кампания FakeSG отличается от своего предшественника SocGholish тем, что в ней используются различные уровни обфускации и технологии доставки, а также более современный исходный код шаблона. Кроме того, участники угрозы размещают файлы NetSupport RAT на том же скомпрометированном сайте WordPress, который ранее использовался для загрузки интернет-ярлыка. После успешного заражения происходит обратный вызов командно-контрольного сервера RAT.

Среди других кампаний, использовавших поддельные обновления браузеров, можно назвать Domen toolkit и sczriptzzbn, обе из которых распространяли SolarMarker, приводящий к появлению NetSupport RAT. Авторы вредоносных программ часто используют эти брокеры первоначального доступа для сбора информации и выполнения дополнительных действий с интересующими их жертвами. Украденные учетные данные могут быть перепроданы другим угрожающим субъектам, которые могут использовать их для организации атак с целью получения выкупа.

#ParsedReport #CompletenessLow
19-07-2023

Job Scams Using Bioscience Lures Target Universities

https://www.proofpoint.com/us/blog/threat-insight/job-scams-using-bioscience-lures-target-universities

Report completeness: Low

Victims:
University students, especially those who are currently job hunting

Industry:
Biotechnology, Financial, Transport, Healthcare, Education

Geo:
America

IOCs:
Email: 3
Domain: 29

Crypto:
bitcoin

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Proofpoint выявила серию кампаний, использующих поддельные предложения о работе, направленных на студентов университетов Северной Америки с конечной целью проведения мошеннических операций с авансовыми платежами.
-----

Компания Proofpoint выявила серию кампаний с использованием мошеннических предложений о работе, направленных на студентов университетов в Северной Америке. Активность началась еще в марте 2023 года и продолжалась до июня 2023 года. Электронные сообщения поступали от различных организаций, большинство из которых были связаны с биологическими науками, здравоохранением и биотехнологиями, а также от некоторых не связанных с ними организаций. Угрожающий агент создавал поддельные домены, которые якобы принадлежали легитимным компаниям, обычно добавляя к доменному имени слово "карьера". Поддельные организации, как правило, относились к сфере бионаук, здравоохранения, биотехнологий и смежных отраслей. Адреса электронной почты, как правило, выдавали себя за реальных сотрудников компаний, которые пытались подделать.

Университеты часто становятся мишенью для мошенничества с трудоустройством, поскольку студенты, скорее всего, более открыты для гибкой и удаленной работы, иностранные студенты могут не распознать признаки мошенничества по электронной почте так же хорошо, как носители английского языка, а растущая инфляция и стоимость обучения бьет по финансам студентов, делая обещание быстрых денег более привлекательным. Конечной целью этих кампаний, скорее всего, было мошенничество с авансовыми платежами (AFF). В некоторых случаях актер также может просить криптовалютные платежи для покрытия расходов на доставку товаров, которые они должны были приобрести.

Компания Proofpoint обнаружила в тех же кампаниях и другие темы, схожие по тактике, технике и процедурам. Исходя из наблюдаемых полезных нагрузок, виктимологии, объема кампаний и сообщений, компания Proofpoint с высокой степенью уверенности считает, что это кластер киберпреступной деятельности, имеющий финансовую мотивацию. Как правило, эта деятельность направлена на студентов вузов, особенно тех, кто находится в поиске работы.