#ParsedReport #CompletenessMedium
28-08-2023

NPM Package Masquerading as Email Validator Contains C2 and Sophisticated Data Exfiltration. The attack chain

https://blog.phylum.io/npm-emails-validator-package-malware

Report completeness: Medium

Threats:
Cobalt_strike
Dnscat2_tool
Mettle
Beacon
Meterpreter_tool
Metasploit_tool
Supply_chain_technique

Victims:
Javascript developers

Geo:
French

IOCs:
File: 6
Domain: 2
Hash: 12

Soft:
docker, node.js, macos, android

Algorithms:
base64, pbkdf2

Functions:
w, resolveTxt

Languages:
javascript

Links:
https://github.com/marketplace/phylum-io
https://github.com/rapid7/metasploit-framework
https://github.com/rapid7/mettle
https://github.com/iagox86/dnscat2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Этот последний инцидент знаменует собой еще одну сложную атаку на разработчиков JavaScript, в которой для утечки конфиденциальных данных используются записи DNS TXT, расшифровка и выполнение двоичных файлов. Хакерам, специалистам по исследованию данных и инженерам важно сохранять бдительность.
-----

Утром 24 августа автоматическая система обнаружения рисков компании Phylum выявила подозрительный пакет, опубликованный на npm под названием emails-helper. При более глубоком исследовании выяснилось, что этот пакет является частью сложной атаки с использованием Base64-кодированных и зашифрованных двоичных файлов. Ключи шифрования извлекаются из TXT-записи DNS, размещенной на удаленном сервере. Кроме того, с этого же сервера извлекается URL-адрес в шестнадцатеричной кодировке, который затем передается порожденным двоичным файлам. Конечный результат - развертывание мощных средств тестирования на проникновение, таких как dnscat2, mettle и Cobalt Strike Beacon.

Когда пользователь выполняет команду "npm install" для пакета, предустановочный хук в файле package.json немедленно запускает init.js. Этот минифицированный, обфусцированный и очень сложный кусок кода затем передает ключи шифрования и URL-адрес сервера C2 с удаленного сервера. Он также извлекает чувствительную информацию о машине и файлах и кодирует их. Затем происходит утечка данных через HTTP или DNS. Затем пакет декодирует и расшифровывает поставляемые с ним двоичные файлы и запускает соответствующий двоичный файл как можно тише, после чего завершает работу.

Этот последний инцидент знаменует собой очередную сложную атаку на цепочки поставок, направленную на разработчиков JavaScript. Обычно подобные атаки дают некоторые подсказки о конкретных разработчиках или организациях, против которых они направлены. Однако в данном случае такие индикаторы отсутствуют. Вредоносный пакет под названием "emails-helper", судя по всему, имеет удивительно общий и широкий охват, особенно если учесть его методы эксфильтрации данных и использование таких мощных инструментов, как dnscat2, mettle или Cobalt Strike Beacon.

Эта атака особенно сложна, поскольку предполагает получение ключей шифрования и URL-адресов C2-серверов через TXT-записи DNS, а затем расшифровку и выполнение двоичного файла "на лету". Подобные атаки представляют огромную угрозу для разработчиков, поэтому хакерам, специалистам по изучению данных и инженерам, отвечающим за выявление и уничтожение злоумышленников в цепочке поставок ПО, важно сохранять бдительность.

#ParsedReport #CompletenessMedium
25-08-2023

Adversary On The Defense: ANTIBOT.PW

https://inquest.net/blog/adversary-on-the-defense-antibot-pw

Report completeness: Medium

Threats:
Antibot
Cloaking_technique
Killbot
Phisher
Sendinbox_tool
Indoxploit_tool

Industry:
Financial

Geo:
Indonesian, Indonesia

ChatGPT TTPs:
do not use without manual check
T1572, T1133, T1543

IOCs:
Url: 4
Domain: 4
Hash: 2
File: 3
Email: 1
IP: 7

Functions:
get_client_ip

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/radenvodka/antibot
https://github.com/radenvodka

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antibot - скрипт фильтрации веб-трафика, призванный отличать реальных пользователей от ботов, связанных с сервисами ANTIBOT.PW и Killbot, которые связаны с подпольными поставщиками программного обеспечения/сервисов, специализирующимися на фишинге и банковском мошенничестве. Разработчиком SendInbox и Antibot является Эка Сиахван (Eka Syahwan), генеральный директор (CEO) компании CilegonTech.
-----

Antibot - это скрипт фильтрации веб-трафика, предназначенный для отличия реальных пользователей от ботов. Изначально он был создан как простой PHP-скрипт для установки пользователем на веб-сервер и впервые появился в 2019 году. Он связан с сервисами ANTIBOT.PW и Killbot - двумя сервисами, ориентированными на злоупотребления, которые предлагают функции, полезные в контексте рассылки спама, перенаправления фишинговых URL, проверки фишинговых отправлений, проверки IP-адресов клиентов и кардинга. Antibot был замечен в исходном содержимом активных фишинговых страниц и связан с подпольными поставщиками программного обеспечения и услуг, специализирующимися на фишинге и банковском мошенничестве.

ANTIBOT.PW представляет собой платформу с веб-интерфейсом API и предлагается как коммерческий продукт, а также как более совершенный вариант сервиса под названием Killbot. Оператор ANTIBOT.PW и Killbot имеет опыт тесного взаимодействия с недобросовестными сообществами и разрабатывает программное обеспечение, способствующее преступной фишинговой и мошеннической деятельности в этих сообществах. Об этом свидетельствуют интеграция и партнерство с другими известными фишинговыми наборами и сервисами, такими как HijaIyh.

Регистрации доменов ANTIBOT.PW и Killbot были отмечены в апреле (KILLBOT.ORG) и июле (KILLBOT.PW). Хранилище файлов для Killbot размещено по адресу files.killbot.org, а скрипты этих двух сервисов практически идентичны. Для интеграции сервиса Killbot в фишинговые страницы используется клиентский контент, а отфильтрованные клиенты перенаправляются на легитимные сайты.

В 2018 году компания Deep End Research опубликовала анализ активности спам- и фишинговых кампаний в Индонезии, направленных на Apple, PayPal и другие ведущие бренды. Исследователи выявили связь между Экой Сяхван и этой индонезийской экосистемой спама и фишинга. Сиахван является разработчиком SendInbox и Antibot, причем до того, как эти программные проекты были удалены из сети, они размещались на его аккаунте @radenvodka на GitHub. Он является генеральным директором (CEO) компании CilegonTech и ранее вел блоги по адресам http://www.ekasyahwan.com/ и http://blog.antibot.pw/, а также личный блог RadenVodka по адресу https://radenvodka-id.blogspot.com/.

#ParsedReport #CompletenessLow
28-08-2023

Revisting BLISTER: New development of the BLISTER loader

https://www.elastic.co/security-labs/revisiting-blister-new-developments-of-the-blister-loader

Report completeness: Low

Threats:
Blister
Socgholish_loader
Mythic
Imminentmonitor_rat
Smuggling_technique
Process_injection_technique
Process_hollowing_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1140, T1059, T1086, T1082, T1033, T1053, T1064, T1035, T1071, have more...

IOCs:
File: 1
Hash: 1

Algorithms:
zip, xor, sha256

Win API:
GetComputerNameExW

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/indicators/blister
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_windows\_error\_manager\_reporting\_masquerading.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_windows\_error\_manager.toml
https://github.com/its-a-feature/Mythic
https://github.com/elastic/detection-rules/blob/ef432d0907548abf7699fa5d86150dc6b4133125/rules\_building\_block/defense\_evasion\_masquerading\_vlc\_dll.toml
https://github.com/elastic/labs-releases/tree/main/tools/blister
https://github.com/hasherezade/tiny\_tracer
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Blister.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_operation\_via\_direct\_syscall.toml
https://github.com/ionescu007/HookingNirvana/blob/master/Esoteric%20Hooks.pdf
https://github.com/elastic/detection-rules/blob/main/rules/windows/persistence\_evasion\_registry\_startup\_shell\_folder\_modified.toml

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BLISTER - это семейство вредоносных программ, которое за последние два года продемонстрировало высокую стойкость и адаптивность, получая обновления и набирая обороты. Его авторы добавляют новые функции и приемы для обхода обнаружения, такие как встраивание вредоносного кода в легитимные приложения и использование шифрования для защиты вредоносной программы. Кроме того, BLISTER использует различные методы защиты от отладки и обнаружения, а компания Elastic Security Labs выпустила экстрактор полезной нагрузки для детектирования последних вариантов BLISTER.
-----

Недавняя эволюция семейства вредоносных программ-загрузчиков BLISTER является примером упорства и адаптивности злоумышленников. Обнаруженный лабораторией Elastic Security Labs в 2021 году, BLISTER спустя два года продолжает получать обновления и набирать обороты в качестве новой угрозы. Об этом свидетельствует недавняя цепочка заражений, описанная специалистами подразделения 42 компании Palo Alto, которая распространяет BLISTER и внедряет полезную нагрузку из MYTHIC, открытого фреймворка Command and Control (C2).

Компания Elastic Security Labs обнаружила в природе множество новых вариантов BLISTER, и анализ этих образцов выявил ряд изменений. Авторы вредоносного ПО добавили новые функциональные возможности и тестируют различные методы обхода обнаружения, такие как встраивание вредоносного кода в другие легитимные приложения и использование шифрования для защиты вредоносного кода. В последних вариантах BLISTER также замечено использование библиотеки VLC Media Player для контрабанды вредоносного кода.

Кроме того, в BLISTER применен другой алгоритм хэширования, используемый в ядре и загрузчике, что может помочь обойти антивирусные продукты, использующие сигнатуры YARA. Кроме того, в BLISTER добавлена функция подбора ключей, позволяющая точно нацеливаться на сети жертв и снижающая уязвимость в средах VM/sandbox, а также возможность выполнения исключительно на выделенных машинах. После извлечения блока конфигурационных данных вредоносная программа извлекает доменное имя машины с помощью Windows API GetComputerNameExW и сравнивает полученный хэш с хэшем, присутствующим в ее конфигурации.

Кроме того, обновлена функциональность BLISTER по борьбе с отладкой по времени: в конфигурацию введено поле, позволяющее настраивать таймер сна. Наконец, BLISTER теперь может отсоединять все текущие инструменты процесса, что позволяет обойти механизмы обнаружения системных вызовов на пользовательском уровне, на которых основаны некоторые решения EDR. Для детектирования последних вариантов BLISTER и получения новых сведений компания Elastic Security Labs разработала эффективный экстрактор полезной нагрузки, доступный широкой публике.

#ParsedReport #CompletenessHigh
24-08-2023

Scarabs colon-izing vulnerable servers

https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers

Report completeness: High

Actors/Campaigns:
Cosmicbeetle

Threats:
Scarab
Spacecolon
Schacktool
Scinstaller_tool
Scservice_tool
Scransom
Zerologon_vuln
Impacket_tool
Clipbanker
Scpatcher_tool
Vega_locker
Zeppelin
Cobian_rat
Mimikatz_tool
Filecoder
Delshad
Credential_dumping_technique
Mamba
Metasploit_tool
Netscan_tool
Nlbrute_tool
Nmap_tool
Radmin_tool

Industry:
Financial, Entertainment

Geo:
Mexico, Polish, Poland, Turkish, Ukraine, Turkey, Thailand, Israel, Brazil

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-33764 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.9
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2008 (-)
- microsoft windows server 2012 (-)
- microsoft windows server 2019 (-)


TTPs:
Tactics: 12
Technics: 36

IOCs:
File: 20
Coin: 4
Path: 2
Hash: 15
Domain: 11
IP: 12

Soft:
windows explorer, windows file explorer, credssp, windows service, indows defender, s defender, chrome, google chrome, windows defender, sysinternals, have more...

Algorithms:
zip, aes-128, aes-cbc, 7zip, base64, aes

Functions:
GetTickCount

Win API:
MessageBox, etTickCount AP

Languages:
delphi, visual_basic, python, java

Platforms:
x64, x86

Links:
https://github.com/DavidXanatos/DiskCryptor
https://github.com/mRemoteNG/mRemoteNG
https://github.com/lab52io/StopDefender
https://github.com/fortra/impacket

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Spacecolon - это набор инструментов, используемый компанией CosmicBeetle для развертывания на уязвимых серверах программ-вымогателей Scarab и вредоносных программ ClipBanker. Он постоянно совершенствуется, и в настоящее время CosmicBeetle разрабатывает новую программу-вымогатель под названием ScRansom. Для предотвращения подобных атак необходимо поддерживать системы в безопасном и актуальном состоянии.
-----

Spacecolon - это набор инструментов, используемый CosmicBeetle, активным участником угроз, для развертывания программы Scarab ransomware на уязвимых серверах. Spacecolon был впервые замечен в мае 2020 года и состоит из трех компонентов Delphi: ScHackTool, ScInstaller и ScService. Для получения доступа к целевым системам операторы CosmicBeetle, скорее всего, используют уязвимость ZeroLogon или грубый перебор учетных данных RDP. Жертвы CosmicBeetle разбросаны по всему миру, и среди них нет четкой схемы целевой аудитории.

Scarab - это написанная на Delphi программа-вымогатель, содержащая заметные пересечения в коде с семействами Buran и VegaLocker. Он опирается на встроенную конфигурацию, которая определяет расширение файлов для шифрования, имена файлов, список расширений файлов для шифрования и сообщение о выкупе. Кроме того, Scarab использует ClipBanker, который отслеживает содержимое буфера обмена и изменяет содержимое, которое, по его мнению, может быть адресом криптовалютного кошелька, на контролируемый злоумышленником. По данным телеметрии ESET, некоторые цели были скомпрометированы с помощью перебора RDP, а другие - с помощью уязвимости ZeroLogon. Также возможно, что CosmicBeetle использует уязвимость в FortiOS для получения начального доступа.

ScHackTool - основной компонент Spacecolon, используемый его операторами. Он сильно зависит от графического интерфейса и позволяет загружать и исполнять дополнительные инструменты на скомпрометированной машине по требованию. ScHackTool использует изящный прием против эмуляции, маскируясь под сообщение об ошибке. ScInstaller - небольшой Delphi-инструмент, используемый для установки ScService, который выступает в роли простого бэкдора. ScService взаимодействует с C&C-сервером по протоколу TCP на порту 443. Протокол очень прост, и ScService может выполнять произвольные команды и исполняемые файлы, открывать и закрывать SSH-туннель, получать информацию о машине и обновлять INI-файл. В марте 2023 года ScService претерпел заметные изменения в развитии.

Spacecolon находится в стадии разработки, а CosmicBeetle - в процессе создания новой программы-вымогателя ScRansom. В этом блоге мы рассмотрели Spacecolon, его компоненты, операторов и используемые им методы. Хотя CosmicBeetle не выбирает цели, он использует в своих интересах серверы, на которых отсутствуют критические обновления безопасности. Spacecolon представляет собой опасную угрозу, и для предотвращения атак необходимо поддерживать системы в безопасном и актуальном состоянии.

#technique

Fastjson2 Blacklist Bypass and Exploitation

https://paper-seebug-org.translate.goog/3017/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique

DebugAmsi is another way to bypass AMSI through the Windows process debugger mechanism.

https://github.com/MzHmO/DebugAmsi

#ParsedReport #CompletenessMedium
29-08-2023

Peeling Back the Layers of RemcosRat Malware

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/peeling-back-the-layers-of-remcosrat-malware

Report completeness: Medium

Threats:
Remcos_rat
Pe_injection_technique
Syk_crypter
Process_injection_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1086, T1117, T1218, T1045, T1140, T1056, T1035, T1053, T1082, T1083, have more...

IOCs:
Command: 1
File: 6
IP: 1
Hash: 5

Soft:
windows defender, microsoft visual c++

Algorithms:
rc4, zip, base64, xor

Functions:
GetDelegateForFunctionPointer

Win API:
GetThreadContext, SetThreadContext, ReadProcessMemory, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты McAfee Labs наблюдали вредоносную кампанию Remcos RAT, в ходе которой сильно обфусцированные VBS-файлы доставлялись по фишинговым письмам с вложениями ZIP/RAR. Этот сложный троянец удаленного доступа (RAT) использовал различные методы обфускации и защиты от отладки, чтобы избежать обнаружения, и специалисты McAfee Labs успешно распаковали вредоносную полезную нагрузку. McAfee предлагает надежное программное обеспечение для обнаружения и защиты от угроз, подобных RemcosRat.
-----

Специалисты McAfee Labs обнаружили вредоносную кампанию Remcos RAT, в рамках которой сильно обфусцированные VBS-файлы доставлялись по фишинговым письмам с вложениями ZIP/RAR. Этот сложный троянец удаленного доступа (RAT) предоставляет злоумышленнику черный доступ к зараженной системе и собирает различную конфиденциальную информацию. Для того чтобы избежать обнаружения, Remcos использует различные методы обфускации и защиты от отладки.

Логика деобфускации сначала ищет любые переменные, содержащие mdR, в данном случае это MaximumDriveCount. Путем выделения символов из определенных позиций (3, 11, 2) выявляется строка iex (Invoke-Expression). Вредоносная программа обфусцирует команду, чтобы избежать статического обнаружения. Для выполнения расшифрованных DLL в памяти вредоносная программа использует отражающую загрузку кода. Это подразумевает внедрение и выполнение расшифрованного кода в одном и том же процессе с использованием параметра load в функции NewLateBinding.LateGet().

Расшифрованная DLL dGXsvRf.dll - это троянец SykCrypter, который использует ресурс SYKSBIKO, содержащий зашифрованную полезную нагрузку. SykCrypter расшифровывает конечную полезную нагрузку и множество строк, связанных с определением наличия антивирусного ПО, методами персистенции и антиотладочными методами. Для расшифровки данных используется простая операция XOR с ключом 170 и текущим индексом. Кроме того, вредоносная программа сбрасывает свою копию в папку %appdata% с помощью команды cmd. Для сохранения перезагрузки системы вредоносная программа создает в папке Documents файл быстрого доступа с расширением .pif, а также создает запись в реестре Run key.

SykCrypter DLL расшифровывает и загружает файл .NET и вызывает свою функцию GetDelegateForFunctionPointer, создавая делегирование всем API из kernel32 и NTDll.dll с помощью одного и того же метода. Он загружает GetThreadContext, SetThreadContext, ReadProcessMemory, VirtualAllocEx, NtUnmapViewOfSection и другие. Конфигурационный файл Remcos присутствует в RCData SETTINGS, который зашифрован алгоритмом RC4. Он содержит информацию о C2 (IP-адрес и номер порта), мьютекс, созданный вредоносной программой, и другие сведения о конфигурации. Эта вредоносная программа способна собирать информацию из различных приложений, таких как браузеры, почтовые клиенты, криптовалютные кошельки и т.д. Кроме того, она обеспечивает удаленный доступ для злоумышленника и может выступать в качестве дроппера для других вредоносных программ.

Специалисты McAfee Labs успешно распаковали вредоносную кампанию Remcos RAT и обнаружили, как она загружает и исполняет сценарии VBS и PowerShell, разворачивает различные уровни и загружает конечную полезную нагрузку Remcos для удаленного доступа. Компания McAfee стремится предоставить своим клиентам надежную и эффективную защиту от угроз, которая обнаруживает и защищает от таких угроз, как RemcosRat и многих других семейств. Наше программное обеспечение для обеспечения безопасности использует комбинацию сигнатур, машинного обучения, анализа угроз и поведенческих методов обнаружения для выявления и пресечения угроз, чтобы обеспечить вашу безопасность.

#ParsedReport #CompletenessLow
29-08-2023

Compromised OpenCart Payment Module Steals Credit Card Information

https://blog.sucuri.net/2023/08/opencart-payment-module-steals-credit-card-information.html

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Opencart website

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1503, T1132, T1140

Soft:
opencart, oscommerce, wordpress

Crypto:
bitcoin

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Magecart - это разновидность веб-вредоносного ПО, предназначенного для кражи данных кредитных карт со взломанных сайтов электронной коммерции. Обычно она представлена в виде вариантов на базе JavaScript или PHP, причем варианты на базе PHP сложнее обнаружить. В данном случае речь шла о PHP-инфекции, которая подделала легитимный платежный шлюз, и похищенные данные были зашифрованы и помещены в фиктивный каталог кэша, связанный с криптовалютным платежным шлюзом.
-----

Magecart - это разновидность вредоносного ПО, предназначенного для кражи данных кредитных карт со взломанных сайтов электронной коммерции. Впервые она появилась в 2015 году и была нацелена на сайты, созданные на платформе Magento, но с тех пор получила распространение и на другие платформы, такие как OSCommerce, WordPress/WooCommerce и OpenCart. В 2021 году количество заражений Magecart, обнаруженных SiteCheck в средах WooCommerce WordPress, превысило количество заражений Magento.

Варианты Magecart могут иметь две формы: JavaScript или PHP. Варианты, основанные на JavaScript, обычно легче обнаружить, и их можно заблокировать с помощью плагина для браузера, блокирующего сценарии. Варианты на базе PHP обнаружить сложнее, поскольку они могут быть скрыты в внутреннем коде сайта, что затрудняет доступ к ним исследователей.

В данном случае мы исследовали PHP-инфекцию, которая вмешалась в работу легитимного платежного шлюза. Мы начали с изучения страницы оформления заказа, поскольку подобные вредоносные программы обычно загружаются только после того, как товар помещен в корзину. Затем мы установили временной интервал начала хищения, используя отчеты компаний, обслуживающих кредитные карты. Это позволило нам определить источник скиммера, который находился в одном из ключевых файлов, отвечающих за обработку платежной информации.

Вредоносная программа собирала все обычные данные, такие как имена, адреса и платежные реквизиты. Однако вместо того, чтобы передать похищенные данные на сторонний сервер, злоумышленники решили зашифровать их и сбросить в фиктивный каталог кэша, связанный с криптовалютным платежным шлюзом Plisio. Возможно, это была попытка придать заражению более аутентичный вид.

#ParsedReport #CompletenessLow
29-08-2023

Stealthy Android Malware MMRat Carries Out Bank Fraud Via Fake App Stores. Distribution analysis

https://www.trendmicro.com/en_us/research/23/h/mmrat-carries-out-bank-fraud-via-fake-app-stores.html

Report completeness: Low

Threats:
Mmrat
Gigabud_rat
Vultur
Strat_rat

Victims:
Mobile users in southeast asia

Industry:
Financial, Government

Geo:
Asia, Vietnamese

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 1
Hash: 52

Soft:
android, wechat

Platforms:
apple

Links:
https://github.com/pedroSG94/rtmp-rtsp-stream-client-java/tree/master

#ParsedReport #ExtractedSchema

Classified images:
code: 24, windows: 14, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MMRat - новый банковский троян для Android, ориентированный на пользователей мобильных устройств в Юго-Восточной Азии. Для осуществления банковского мошенничества он использует специализированный C&C-протокол, фишинговые сайты, а также ряд технологий, таких как кейлоггинг, захват экрана и удаленное управление устройством. Кроме того, он способен удалять себя после выполнения поставленных задач, что затрудняет отслеживание его деятельности.
-----

Новый банковский троян для Android, получивший название MMRat, с конца июня 2023 года атакует пользователей мобильных устройств в Юго-Восточной Азии.

Он способен перехватывать пользовательский ввод и содержимое экрана, а также дистанционно управлять устройствами-жертвами.

MMRat маскируется под официальное государственное приложение или приложение для знакомств, а затем представляет жертвам фишинговый сайт.

Он злоупотребляет сервисом Accessibility для предоставления себе прав и перехвата пользовательского ввода и действий.

Кроме того, он использует API MediaProjection для записи экрана жертвы и передачи содержимого на удаленный сервер.

Для осуществления банковского мошенничества он выполняет несколько шагов по обходу пользователя, после чего удаляет себя, получив C&C-команду UNINSTALL_APP.

#ParsedReport #CompletenessMedium
29-08-2023

New Remo Android Banking Trojan Targets Over 50 Banking Applications And Crypto Wallets

https://cyble.com/blog/new-remo-android-banking-trojan-targets-over-50-banking-applications-and-crypto-wallets

Report completeness: Medium

Threats:
Roamer
Omni

Victims:
Banking and cryptocurrency wallet applications in thailand, vietnam, and indonesia

Industry:
Retail, Financial

Geo:
Chinese, India, Vietnam, Asia, Indonesia, China, Thailand

TTPs:
Tactics: 5
Technics: 4

IOCs:
File: 17
Url: 12
Hash: 7

Soft:
android

Wallets:
metamask, tokenpocket

Crypto:
binance

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что троян Remo Banking Trojan представляет собой сложную киберпреступную угрозу, направленную на приложения для банковских операций и криптовалютных кошельков в Юго-Восточной Азии, и что пользователи и организации должны принять меры по защите от этой и других возникающих угроз.
-----

Киберпреступность - это растущая проблема, поскольку злоумышленники постоянно находят новые способы использования технологий в своих корыстных целях. В июне 2023 года компания Cyble Research and Intelligence Labs (CRIL) обнаружила мошенничество с добычей криптовалют, распространявшее троянца Remo Android Banking Trojan, который был нацелен на банковские приложения во Вьетнаме и Индии. Дальнейший анализ вредоносного ПО выявил возможного китайского угрожающего актора (TA), стоящего за этой деятельностью. Вредоносный APK распространялся через фишинговые сайты и после установки устанавливал соединение с C&C-сервером, позволяющим ему осуществлять свою вредоносную деятельность.

Вредоносная программа была нацелена на более чем 50 банковских приложений и криптовалютных кошельков в Таиланде, Вьетнаме и Индонезии, обеспечивая утечку конфиденциальной информации из этих приложений. Злоумышленник использовал сервис Accessibility для выполнения действий банковского троянца, предотвращения деинсталляции и предоставления автоматических разрешений, а также перехватывал весь видимый текст на текущем экране из целевых приложений и передавал его на C&C-сервер. Кроме того, сервис отслеживал редактирование текстовых полей в целевых приложениях и передавал любую введенную конфиденциальную информацию, а также похищал все контакты, сохраненные на зараженном устройстве, и отправлял их на C&C-сервер.

Банковский троянец Remo представляет собой сложную угрозу, использующую различные методы обхода обнаружения, включая сильные методы обфускации и собственные процессы шифрования и дешифрования. Для кражи конфиденциальной информации из банковских приложений и криптовалютных кошельков он также использует фишинг, кейлоггинг и эксплуатацию сервисов доступа. Использование поддельной платформы Binance подчеркивает растущую изобретательность и находчивость киберпреступников в разработке мощных и опасных угроз.

Учитывая, что вредоносная программа была ориентирована на Юго-Восточную Азию, предположение о ее китайском происхождении, хотя и является спекулятивным, позволяет говорить о причастности к ней ТА с высоким уровнем сложности. В связи с этим пользователям необходимо сохранять бдительность при работе с веб-сайтами и загрузке приложений, а также соблюдать осторожность при вводе личной или конфиденциальной информации. Организациям также необходимо быть в курсе возникающих угроз, а также иметь надежные средства защиты от них.

#ParsedReport #CompletenessLow
29-08-2023

FortiGuard AI Detects Malicious Packages Hidden in the Python Package Index

https://www.fortinet.com/blog/threat-research/fortiguard-ai-detects-malicious-packages-in-pypi

Report completeness: Low

Threats:
Supply_chain_technique

IOCs:
Email: 1
Hash: 6
Url: 3

Soft:
discord

Languages:
python

#ParsedReport #CompletenessHigh
28-08-2023

HTML Smuggling Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware

Report completeness: High

Actors/Campaigns:
Shathak
Wizard_spider

Threats:
Smuggling_technique
Nokoyawa
Icedid
Cobalt_strike
Adfind_tool
Nltest_tool
Beacon
Sessiongopher_tool
Netscan_tool
Meterpreter_tool
Process_injection_technique

Industry:
Financial

Geo:
Bulgaria

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 6
File: 14
Command: 4
Path: 9
Domain: 3
Hash: 16

Soft:
active directory, psexec, windows file explorer, openssl, softperfect network scanner, whatsapp

Algorithms:
gzip, zip, base64

Win API:
DllRegisterServer, CreateRemoteThread

Languages:
php

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
https://github.com/ufrisk/MemProcFS
https://github.com/Arvanaghi/SessionGopher/blob/master/SessionGopher.ps1