#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи CYFIRMA обнаружили нового оператора вредоносного ПО как услуги (MaaS), известного под именем EVLF DEV, который отвечает за разработку двух троянцев удаленного доступа (RAT). Для создания видимости легитимности этот агент угроз использует интернет-магазин на поверхности Интернета, а для сохранения анонимности - криптовалюту. Кроме того, исследовательская группа выявила дополнительные сведения о EVLF DEV, такие как настоящее имя, имена пользователей, IP-адрес и адрес электронной почты.
-----

Исследовательская группа CYFIRMA обнаружила нового оператора вредоносного ПО как услуги (MaaS) под псевдонимом EVLF DEV. Этот оператор отвечает за разработку CypherRAT и CraxsRAT - двух троянских программ удаленного доступа (RAT), которые были приобретены по пожизненной лицензии более чем 100 различными участниками угроз. Замысел этих RAT состоит в том, чтобы позволить злоумышленнику удаленно управлять устройством жертвы и выполнять действия в режиме реального времени, например, получать доступ к камере, местоположению и микрофону устройства.

В последние годы MaaS набирает популярность благодаря удобству для злоумышленников, желающих начать свою деятельность без необходимости изучать разработку вредоносных программ самостоятельно. Компания EVLF создала для CraxsRAT интернет-магазин на поверхности Интернета, чтобы показаться заинтересованным угрожающим субъектам легитимным. Однако некоторые из них начали бесплатно распространять взломанные версии RAT в сообществе "черных шляп". С ростом доступности этих RAT значительно увеличилось и число активных пользователей. Для сохранения анонимности все операции по покупке осуществляются в криптовалюте. Угрожающий агент действует из Сирии.

Исследователям CYFIRMA удалось установить более подробную информацию о человеке, ответственном за EVLF, а именно: настоящее имя, имена пользователей, используемые на различных платформах и в социальных сетях, IP-адрес и адрес электронной почты. Кроме того, исследовательская группа получила CraxsRAT, одну из самых опасных покупных Android-РАТ, доступных в настоящее время для субъектов угроз. В ходе анализа было обнаружено, что код пакета для Android, генерируемого сборщиком CraxsRAT, сильно обфусцирован, поставляется в различных вариантах сборок и предоставляет угрожающим субъектам возможности для установки вредоносных приложений. Вредоносное приложение также использует коммуникационный сервер, закодированный с помощью алгоритма base64, и обладает возможностью управления записью экрана телефона жертвы.

EVLF имеет более 10 тыс. подписчиков на канале и как минимум в течение последних 3 лет использует известный криптокошелек для вывода доходов, полученных от продажи CypherRAT и CraxsRAT. Чтобы заручиться поддержкой сообщества "черных шляп", угрожающий агент предоставил доказательства, связанные с предоставлением KYC после маскировки PII.

#ParsedReport #CompletenessMedium
18-08-2023

Mass-spreading campaign targeting Zimbra users

https://www.welivesecurity.com/en/eset-research/mass-spreading-campaign-targeting-zimbra-users

Report completeness: Medium

Actors/Campaigns:
Winter_vivern
Temp_heretic

Victims:
Users of the zimbra collaboration email server, small and medium businesses, governmental entities

Industry:
Military, Government

Geo:
Polish, Poland, Italian, Ecuador, Ukraine, Italy

CVEs:
CVE-2022-27926 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0)

CVE-2022-24682 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (8.8.15)


TTPs:
Tactics: 6
Technics: 7

IOCs:
Email: 1
Domain: 6
IP: 7
Url: 7

Soft:
zimbra

Languages:
php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что в настоящее время ведется фишинговая кампания, направленная на пользователей почтового сервера Zimbra Collaboration, и организациям, использующим это программное обеспечение, следует принять меры по обеспечению своей безопасности.
-----

В апреле 2023 года исследователи ESET обнаружили массовое распространение фишинговой кампании, направленной на пользователей почтового сервера Zimbra Collaboration. Судя по всему, кампания продолжается, и ее объектами стали в основном предприятия малого и среднего бизнеса, а также государственные организации в Польше, Эквадоре и Италии. Злоумышленники подменяют поле From: в письмах, представляясь администратором почтового сервера, и отправляют HTTPS POST-запросы на контролируемый ими сервер для сбора учетных данных пользователей. Также была замечена рассылка последующих волн фишинговых писем с учетных записей Zimbra ранее атакованных легальных компаний.

Предыдущие кампании использовали уязвимости в программном обеспечении Zimbra Collaboration, и эта кампания показывает, насколько эффективным может быть такой способ, несмотря на отсутствие технических изысков. Злоумышленник использует тот факт, что HTML-вложения содержат легитимный код, а единственным отличительным элементом является ссылка, указывающая на вредоносный хост. Таким образом, обойти репутационные политики защиты от спама гораздо проще, чем при использовании фишинговых технологий, когда вредоносная ссылка размещается непосредственно в теле письма.

Популярность Zimbra Collaboration среди организаций, которые, как ожидается, имеют меньшие ИТ-бюджеты, означает, что она, скорее всего, останется привлекательной целью для злоумышленников. Организациям, использующим это программное обеспечение, важно помнить об этом и предпринимать соответствующие шаги для обеспечения своей безопасности. Это включает в себя регулярное обновление, мониторинг подозрительной активности и обучение пользователей тому, как обнаруживать и сообщать о возможных фишинговых сообщениях.

#ParsedReport #CompletenessLow
18-08-2023

EvilProxy phishing campaign targets 120,000 Microsoft 365 users

https://www.proofpoint.com/us/newsroom/news/evilproxy-phishing-campaign-targets-120000-microsoft-365-users

Report completeness: Low

Threats:
Evilproxy_tool

Industry:
Financial

Geo:
Turkish, Turkey

Languages:
php

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: EvilProxy - это фишинговая платформа как услуга, которая становится все более популярной среди злоумышленников и способна осуществлять качественные фишинговые атаки в больших масштабах с целью кражи аутентификационных cookie. Организациям необходимо защищаться от этой угрозы, повышая уровень осведомленности о безопасности и внедряя такие меры защиты, как физические ключи на основе FIDO. Кроме того, целью злоумышленников были пользователи с турецкими IP-адресами, что может свидетельствовать о том, что операция базируется в Турции.
-----

EvilProxy - это фишинговая платформа, которая становится все более популярной среди злоумышленников, желающих атаковать учетные записи, защищенные MFA. Впервые о ней было сообщено Resecurity в сентябре 2022 года, и она обещала возможность атаковать учетные записи Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy и PyPI. В марте 2023 года исследователи в области кибербезопасности обнаружили масштабную кампанию, использующую EvilProxy для рассылки фишинговых писем, выдающих себя за популярные бренды, такие как Adobe, DocuSign и Concur.

Фишинговые письма перенаправляют жертв на вредоносный сайт, который осуществляет обратное проксирование страницы входа в Microsoft 365, где также используется тема организации для создания видимости подлинности. Это позволяет EvilProxy похищать аутентификационные cookies после того, как пользователь войдет в свою учетную запись. Кроме того, злоумышленники используют специальную кодировку электронной почты пользователя, чтобы скрыть ее от средств автоматического сканирования. Они также взламывают легитимные сайты, чтобы загрузить на них свой PHP-код для декодирования адреса электронной почты целевого пользователя. Кроме того, злоумышленники избирательно подходили к выбору случаев, когда переходили к этапу захвата учетной записи, отдавая предпочтение "VIP-целям" и игнорируя тех, кто находился ниже по иерархии.

Фишинговые комплекты с обратным прокси представляют собой растущую угрозу, способную обеспечить высококачественный фишинг в больших масштабах, обходя при этом меры безопасности и защиту учетных записей. Для защиты от этой угрозы организациям необходимо повышать осведомленность о безопасности, ужесточать правила фильтрации электронной почты и внедрять физические ключи на основе FIDO. Наконец, исследователи заметили, что злоумышленники атаковали пользователей с турецкими IP-адресами, что может свидетельствовать о том, что операция базируется в Турции.

#technique

TSSHOCK: New Key Extraction Attacks on Threshold Signature Scheme (TSS)

https://www.verichains.io/tsshock/

#technique

Windows Driver Exploit Development — irec.sys

https://blog.dru1d.ninja/windows-driver-exploit-development-irec-sys-a5eb45093945

#technique

Methods to Backdoor an AWS Account

https://mystic0x1.github.io/posts/methods-to-backdoor-an-aws-account/

#technique

A POC of a new “threadless” process injection technique that works by utilizing the concept of DLL Notification Callbacks in local and remote processes.

https://github.com/ShorSec/DllNotificationInjection

#ParsedReport #CompletenessLow
21-08-2023

APT-C-35. 1. Affected situation

https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493204&idx=1&sn=7b3a65de0d06a466942bf4381d00861a&chksm=f9c1d55dceb65c4b39c51ba64c37a0d9e70984e0e7eda2d1ba03fc3c509135184d94062e92fd&scene=17&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Donot
Manlinghua

Threats:
Beacon

Victims:
Government agencies in the kashmir region and other fields

Industry:
Government

Geo:
Bangladesh, Kashmir

ChatGPT TTPs:
do not use without manual check
T1140, T1566, T1071, T1543, T1036, T1045, T1064, T1546

IOCs:
Hash: 7
File: 1

Soft:
android, whatsapp

Algorithms:
aes, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Организация APT-C-35 (belly brainworm), также известная как Donot, представляет собой организацию, осуществляющую атаки в рамках Advanced Persistent Threat (APT), которые были направлены на правительственные учреждения и другие организации в регионе Кашмир. Жертвы этих атак в основном находились в Бангладеш и Шри-Ланке в период с июня 2022 года по февраль 2023 года. Организация способна атаковать платформы Windows и Android, используя фишинговые сайты, социальные сети и файлы документов в качестве приманки для побуждения пользователей к загрузке вредоносных компонентов.-----

Организация APT-C-35 (belly brainworm), также известная как Donot, - это APT-атака, направленная на правительственные учреждения и другие организации в регионе Кашмир. Организация способна атаковать как платформы Windows, так и Android. Жертвы этих атак находились в основном в Бангладеш и Шри-Ланке в период с июня 2022 года по февраль 2023 года.

Для атак на платформу Android организация Brainworm обычно использовала фишинговые сайты и социальные сети для проведения сетевых атак. Однако в этот раз был применен новый способ доставки, заключающийся в использовании файлов документов в качестве приманки, побуждающей пользователей открывать и загружать вредоносные компоненты или образцы атак в Интернете. Файл-приманка был замаскирован под PDF-документ с именем "draft". При открытии документа пользователю сразу выводится окно с предложением установить плагин для его просмотра. После нажатия кнопки загрузки браузер откроет указанный URL. Сервер злоумышленника оценивает тип платформы запрашивающего URL. Если это не платформа Android, то будет возвращена страница ошибки. Если это платформа Android, то будет загружена маскирующаяся программа под названием PluginL26.9.22.apk (разные версии загружались в разное время). Этот Android RAT предназначен для организации Brainworm.

Вредоносные функции последнего образца атаки организации Brain Worm и более ранних образцов атаки полностью совпадают. Эти функции включают в себя команды записи, загрузки контактов, записей звонков, SMS и другие вредоносные действия.

#ParsedReport #CompletenessHigh
21-08-2023

Cuba Ransomware Deploys New Tools: Targets Critical Infrastructure Sector in the U.S. and IT Integrator in Latin America

https://blogs.blackberry.com/en/2023/08/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa-and-it-integrator-in-latin-america

Report completeness: High

Actors/Campaigns:
Carbanak

Threats:
Cuba
Cobalt_strike
Bughatch
Burntcigar_tool
Metasploit_tool
Lolbin_technique
Colddraw
Byovd_technique
Meduza
Lockbit
Zerologon_vuln
Nltest_tool
Hancitor
Beacon

Victims:
U.s.-based critical infrastructure company and a systems integrator from latin america

Industry:
E-commerce, Financial

Geo:
America, Russian

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 7
Technics: 28

IOCs:
File: 7
Command: 2
Hash: 9

Soft:
process explorer, active directory, psexec

Algorithms:
sha256, crc-64

Win API:
DeviceIoControl

YARA: Found

Links:
https://github.com/rapid7/metasploit-framework/blob/master/modules/payloads/singles/windows/dns\_txt\_query\_exec.rb

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что угрожающая группа Cuba ransomware продолжает атаковать организации в критически важных секторах, таких как критическая инфраструктура, используя основной набор ТТП, часто перерабатывая сетевую инфраструктуру и используя легкодоступные компоненты для обновления своего инструментария. Предполагается, что угроза Cuba ransomware является русскоязычной и финансово мотивированной.
-----

Программа Cuba ransomware действует с 2019 года и требует выплаты выкупа в размере до 145 млн долл.

Кубинский угрожающий агент использует комбинацию собственных и готовых инструментов, включая фреймворки BUGHATCH, BURNTCIGAR, Metasploit и Cobalt Strike, а также многочисленные двоичные файлы "живой земли" (LOLBINS).

Целями этой группы злоумышленников стали компания, занимающаяся разработкой критически важных объектов инфраструктуры в США и системный интегратор в Латинской Америке.

Операторы программ-вымогателей Cuba, скорее всего, являются русскоязычными и в основном нацелены на западные, демократические, англоязычные страны.

Недавно они перешли к использованию эксплойта для уязвимости Veeam CVE-2023-27532.

#ParsedReport #CompletenessMedium
21-08-2023

StealC Delivered via Deceptive Google Sheets

https://www.esentire.com/blog/stealc-delivered-via-deceptive-google-sheets

Report completeness: Medium

Threats:
Stealc
Raccoon_stealer
Vidar_stealer
Redline_stealer
Rustypita
Antivm
Truebot

Geo:
Africa, America, Emea, Apac, Russian

ChatGPT TTPs:
do not use without manual check
T1566.003, T1485, T1140

IOCs:
File: 7
Url: 5
Hash: 4
Domain: 1
Registry: 1
IP: 2

Soft:
chrome, virtualbox

Algorithms:
base64, rc4

Languages:
javascript, rust

Links:
https://gist.github.com/mokoshalb/26cb857983b867d3510d5292c8f2e6cd

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В начале августа 2023 года в наш SOC поступило сообщение о краже учетных данных. Источником заражения стала вредоносная реклама, обнаруженная при поиске загрузки Google Sheets. Эта вредоносная страница содержала загрузчик вредоносной программы StealC infostealer.
-----

В начале августа 2023 года в наш SOC поступило сообщение о краже учетных данных. Источником заражения стала вредоносная реклама, обнаруженная при поиске загрузки Google Sheets. Эта вредоносная страница содержала загрузчик вредоносной программы StealC infostealer.

StealC написан на языке C и распространялся с помощью вредоносной страницы, выдающей фальшивое предупреждение о необходимости загрузить обновление системы безопасности. Конфигурация получает зашифрованный файл с сайта update-vinc.in.net, расшифровывает его и внедряет в процесс csc.exe. Загруженная полезная нагрузка компилируется с помощью Rust. StealC содержит обфусцированные base64-кодированные строки, зашифрованные по алгоритму RC4.

Наша команда кибер-аналитиков SOC провела расследование и подтвердила, что активность была вредоносной. В соответствии с политикой компании они изолировали затронутые узлы для локализации инцидента. Был обнаружен еще один вредоносный сайт, использующий аналогичный набор целевых страниц и выдающий себя за бизнес-профиль Google. IP-адрес C2 указывает на наличие вредоносной программы TrueBot (94.142.138.61).

Распространенным способом распространения вредоносных программ, таких как похитители информации и загрузчики, являются "попутные" загрузки. Для защиты организаций от современных и новых угроз TRU стратегически организовано в межфункциональные группы, что позволяет им получать передовую информацию об угрозах и невероятные знания в области кибербезопасности. Они получили признание за поиск угроз, оригинальные исследования и разработку контента.

#ParsedReport #CompletenessLow
21-08-2023

XLoader s Latest Trick \| New macOS Variant Disguised as Signed OfficeNote App

https://www.sentinelone.com/blog/xloaders-latest-trick-new-macos-variant-disguised-as-signed-officenote-app

Report completeness: Low

Threats:
Formbook

Victims:
Macos users and businesses

IOCs:
File: 2
Hash: 4

Soft:
macos, chrome

Algorithms:
exhibit

Languages:
java

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 3, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: XLoader - это вредоносная программа-вымогатель и ботнет для пользователей macOS, маскирующаяся под офисное приложение OfficeNote и пытающаяся похитить секреты из буфера обмена пользователя. Для защиты от XLoader и подобных угроз ИТ-отделам и службам безопасности следует развернуть надежное стороннее решение безопасности.
-----

XLoader - это вредоносный инфопоисковик и ботнет, существующий с 2015 года. В 2021 году был обнаружен первый вариант этой вредоносной программы для macOS. Он распространялся как Java-программа и был нацелен только на среды с установленной Java. Недавно XLoader был замечен вновь, но на этот раз он был написан на языках программирования C и Objective C и подписан подписью разработчика Apple. Этот новый вариант маскировался под офисное приложение OfficeNote.

Вредоносная программа распространялась через стандартный образ диска Apple и была подписана MAIT JAKHU (54YDV8NU9C). Подпись была отозвана компанией Apple, однако на момент написания статьи XProtect не имел сигнатуры, предотвращающей выполнение вредоносной программы. Он рекламировался на криминальных форумах по сравнительно высокой цене, по сравнению с Windows-вариантами.

При выполнении вредоносного приложения OfficeNote оно выдавало сообщение об ошибке, одновременно сбрасывало полезную нагрузку и устанавливало агент персистентности. Полезная нагрузка помещалась в домашний каталог пользователя и создавала скрытый каталог и минимальное приложение. Кроме того, в папку User's Library был помещен LaunchAgent, чтобы двоичный файл мог отличить свой первый запуск от последующих.

Помимо попытки похитить секреты из буфера обмена пользователя с помощью API Apple, вредоносная программа также пыталась обойти анализ с помощью ручных или автоматизированных решений. Кроме того, он совершил 169 DNS-запросов и 203 HTTP-запроса к подозрительным или вредоносным IP-адресам.

XLoader представляет собой постоянную угрозу для пользователей macOS и предприятий. Маскируясь под офисное приложение, он нацелен на пользователей в рабочей среде и надеется похитить секреты браузера и буфера обмена, которые могут быть использованы или проданы другим угрожающим субъектам для дальнейшей компрометации. Для защиты от XLoader и других подобных угроз ИТ-отделам и службам безопасности следует внедрить надежное стороннее решение безопасности.

#ParsedReport #CompletenessLow
21-08-2023

Malvertisers up their game against researchers

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/malvertisers-up-the-game-against-researchers

Report completeness: Low

Threats:
Cloaking_technique

Geo:
Russia

IOCs:
Domain: 1
IP: 1

Soft:
virtualbox

Algorithms:
base64

Languages:
python, javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие организации используют современные методы маскировки, чтобы затруднить обнаружение вредоносной рекламы, что может привести к загрузке вредоносного ПО при нажатии на нее. Компании, занимающиеся разработкой систем безопасности, предпринимают меры по защите клиентов путем сбора оперативной информации и обновления средств защиты.
-----

Вредоносные рекламные объявления становится все труднее распознать благодаря более совершенным методам маскировки, используемым участниками угроз. Такие объявления обычно появляются на страницах результатов поиска поисковых систем и при нажатии на них могут привести к загрузке вредоносного ПО. Доменное имя вредоносной рекламы в данном случае - advnced-lp-scanner . com, зарегистрированное 30 июля 2023 года и размещенное на сервере в России. Возможно, злоумышленник еще не переключил страницу на вредоносную версию, либо время суток не совпадает с тем, когда злоумышленник производит переключение.

Вредоносная реклама имеет Base64-кодированный JavaScript, загруженный перед всем остальным на странице, что может быть затруднительно для исследователей, поскольку многие используемые инструменты написаны на языке Python и не проходят проверку. Кроме того, виртуальные машины, такие как VMware или VirtualBox, также могут быть обнаружены с помощью API WEBGL_debug_renderer_info. Если JavaScript-код проходит проверку, то потенциальная жертва перенаправляется на целевую страницу, с которой можно загрузить полезную нагрузку вредоносной программы.

Угрожающие организации используют более эффективную фильтрацию перед перенаправлением потенциальных жертв, чтобы их вредоносная реклама и инфраструктура дольше оставались в сети. Это не только затрудняет защитникам выявление инцидента и сообщение о нем, но и затягивает принятие мер по его пресечению. На проверку информации платформой может уйти несколько часов, в течение которых люди будут кликать на рекламу и загружать вредоносное ПО. Для защиты клиентов собранная информация передается в продукты, такие как Malwarebytes, и доставляется в виде обновлений для защиты веб-сайтов и вредоносных программ.