#ParsedReport #CompletenessHigh
30-08-2023

Diving Deep into UNC4841 Operations Following Barracuda ESG Zero-Day Remediation (CVE-2023-2868). Cyber Defense Self-Assessment

https://www.mandiant.com/resources/blog/unc4841-post-barracuda-zero-day-remediation

Report completeness: High

Actors/Campaigns:
Unc4841 (motivation: cyber_espionage)
Ghostemperor (motivation: cyber_espionage)
Famoussparrow (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)

Threats:
Skipjack
Depthcharge
Foxtrot
Timestomp_technique
Reptile
Fscan_tool
Seaspy
Saltwater
Seaside
Unc2286
Castletap
Driedmoat
Whirlpool
Seaspray

Victims:
U.s. and foreign government entities, High tech and information technology providers, Government and technology organizations, Government or government related organizations, Public and private sectors worldwide, Asean ministry of foreign affairs, Foreign trade offices, Academic research organizations in taiwan and hong kong, Religious based organizations, Local government, have more...

Industry:
Education, Telco, Biotechnology, Government, Aerospace, Healthcare

Geo:
Asia, American, Macau, Americas, Australian, Chinese, Taiwan, China

CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- barracuda email security gateway 300 firmware (le9.2.0.006)
- barracuda email security gateway 400 firmware (le9.2.0.006)
- barracuda email security gateway 600 firmware (le9.2.0.006)
- barracuda email security gateway 800 firmware (le9.2.0.006)
- barracuda email security gateway 900 firmware (le9.2.0.006)
have more...

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
IP: 66
Domain: 10
Hash: 119

Soft:
openssl, mysql, outlook, active directory

Algorithms:
aes-256, aes, xor, aes-256-cbc, base64

Languages:
lua

YARA: Found

Links:
https://github.com/f0rb1dd3n/Reptile/blob/1e17bc82ea8e4f9b4eaf15619ed6bcd283ad0e17/userland/include/config.h#L11C1-L11C34
https://github.com/f0rb1dd3n/Reptile/blob/1e17bc82ea8e4f9b4eaf15619ed6bcd283ad0e17/userland/shell.c

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 13, chart: 2, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Mandiant определила UNC4841 как хорошо обеспеченного ресурсами агента, использующего целый ряд вредоносных программ и инструментов для атак на различные организации в поддержку Китайской Народной Республики. Они рекомендуют клиентам Barracuda, подвергшимся воздействию, продолжать поиск активности UNC4841 и благодарят различные агентства за партнерство, сотрудничество и помощь.
-----

Компания Mandiant выявила продолжающуюся с октября 2022 года по июнь 2023 года кампанию по эксплуатации CVE-2023-2868 с помощью UNC4841.

Компания Barracuda опубликовала информацию о мерах по устранению последствий и уведомление общественности 23 мая 2023 года.

UNC4841 - это хорошо обеспеченный ресурсами агент, использующий ряд вредоносных программ и специально разработанных инструментов для проведения шпионских операций.

Mandiant наблюдала, как UNC4841 проводил внутреннюю разведку и действия по перемещению в сторону небольшого числа объектов-жертв.

Компания Mandiant с высокой степенью достоверности установила, что UNC4841 ведет шпионскую деятельность в поддержку Китайской Народной Республики.

Компания Mandiant предполагает, что UNC4841 будет и в будущем продолжать огибать устройства.

#ParsedReport #CompletenessHigh
30-08-2023

Earth Estries Targets Government, Tech for Cyberespionage

https://www.trendmicro.com/en_us/research/23/h/earth-estries-targets-government-tech-for-cyberespionage.html

Report completeness: High

Actors/Campaigns:
Earth_estries (motivation: cyber_espionage, cyber_criminal)
Famoussparrow (motivation: cyber_espionage)
Axiom

Threats:
Cobalt_strike
Zingdoor
Upx_tool
Dll_sideloading_technique
Trillclient
Hemigate
Meterpreter_tool
Plugx_rat
Iobit_tool
Lolbin_technique
Dns_tunneling_technique
Beacon

Victims:
Government and technology organizations in various countries

Industry:
Iot, Government

Geo:
Canada, India, Malaysia, Africa, Germany, Singapore, Taiwan, Philippines

ChatGPT TTPs:
do not use without manual check
T1105, T1036, T1090, T1086, T1135, T1218, T1045, T1078, T1074, T1107, have more...

IOCs:
File: 54
Hash: 29
Url: 2
Path: 4
Email: 2
Domain: 35
IP: 2

Soft:
curl, windows defender, windows service

Algorithms:
rc4, xor, sha256

#ParsedReport #ExtractedSchema

Classified images:
table: 3, code: 5, windows: 15, schema: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Earth Estries - сложная кибершпионская группа, действующая с 2020 года и использующая передовые технологии для атак на правительственные и технологические организации. Имеющиеся данные указывают на возможную связь между Earth Estries и FamousSparrow, которые используют оппортунистическую тактику для использования устаревших версий легитимных файлов. Организациям следует пересмотреть свои системы и усилить существующие меры безопасности, чтобы защитить себя от этой изощренной хакерской группы.
-----

Earth Estries - сложная кибершпионская группа, действующая с 2020 года и атакующая государственные и технологические организации в различных странах с помощью передовых технологий. Они были замечены в развертывании многочисленных бэкдоров и хакерских инструментов, использовании Zingdoor и атак на понижение уровня PowerShell, а также новых комбинаций боковой загрузки DLL для уклонения от обнаружения. Имеющиеся данные указывают на возможную связь между Earth Estries и FamousSparrow, поскольку IP-адреса и темы технического форматирования указывают на тесную связь между ними.

Известно, что после успешного заражения внутреннего сервера Earth Estries компрометирует существующие учетные записи с административными привилегиями. Для распространения бэкдоров и хакерских инструментов на других машинах в окружении жертвы они используют Server Message Block (SMB) и командную строку WMI (WMIC). Собранные данные из указанной папки архивируются в конце каждого раунда операций. После завершения работы они очищают имеющийся бэкдор и развертывают новую порцию вредоносного ПО для следующего раунда.

Одним из вредоносных инструментов, используемых Earth Estries, является Zingdoor - HTTP-бэкдор, написанный на языке Go, упакованный с помощью UPX и сильно обфусцированный с помощью собственного движка обфускатора. TrillClient - это пользовательская программа для кражи данных из браузера, написанная на языке Go, а HemiGate - это бэкдор, используемый Earth Estries, который исполняется через боковую загрузку DLL и связывается со своим C&C-сервером по порту 443. Для скрытия своего IP-адреса Earth Estries использует CDN-сервис Fastly, который также применяется другими группами, связанными с APT41, такими как Earth Longzhi и GroupCC. Наибольшее количество информации из публичных репозиториев и от сообщества специалистов по анализу угроз было получено от Smartlinkcorp.net, а сервер Cobalt Strike был размещен на ns2.smartlinkcorp.net.

Earth Estries использует оппортунистическую тактику, пользуясь устаревшими версиями легитимных файлов, которые часто игнорируются продуктами безопасности. Поэтому важно внедрить контроль версий и базовые линии приложений, чтобы обнаружить аномалии и не дать злоумышленникам закрепиться в корпоративной среде. Для отслеживания кампании было замечено, что Earth Estries использует ping для проверки доступности удаленного сервера перед обращением к нему.

Организациям в указанных странах следует проверить свои системы на предмет возможных вторжений и несанкционированного обмена трафиком, а также усилить существующие меры безопасности. Trend Vision One предоставляет командам безопасности и аналитикам единую платформу для мониторинга и отслеживания угроз. Понимание методов, используемых Earth Estries, поможет организациям усовершенствовать свои меры безопасности и защититься от этой изощренной хакерской группы.

#ParsedReport #CompletenessLow
31-08-2023

Tracking fileless malware distributed through spam mail

https://asec.ahnlab.com/ko/56438

Report completeness: Low

Threats:
Agent_tesla
Remcos_rat
Limerat
Trojan/win.generic.r526355

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1086, T1106, T1566, T1497

IOCs:
File: 5
Url: 2
Hash: 2

Algorithms:
base64

#ParsedReport #CompletenessMedium
31-08-2023

Analysis of Andariel s New Attack Activities

https://asec.ahnlab.com/en/56405

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Kimsuky

Threats:
Blackremote_rat
Nukesped_rat
Volgmer
Andardoor
Tiger_rat
Andarloader
Durianbeacon
Watering_hole_technique
Supply_chain_technique
Andarat
Phandoor
Rifdoor
Magicrat
Goatrat
Kisa
Carbon
Dotfuscator_tool
Log4shell_vuln
Mimikatz_tool
Backdoor/win.agent.r562183
Backdoor/win.andargodoor.c5405584
Backdoor/win.goat.c5472627
Backdoor/win.goat.c5472628
Backdoor/win.goat.c5472629
Infostealer/win.agent.c5472631
Trojan/win.agent.c5393280
Trojan/win.agent.c5451550
Trojan/win.andarinodoor.c5382101
Trojan/win.andarinodoor.c5382103
Trojan/win32.rl_mimikatz.r366782
Infostealer/mdp.behavior.m1965

Victims:
Korean corporations and organizations, korean universities, ict companies, electronic device manufacturers, shipbuilding industry, and the manufacturing industry

Industry:
Energy, Education, Logistic

Geo:
Korean, Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 1
File: 10
Hash: 27
Command: 1
Path: 5
Url: 13

Soft:
nnorix agent ab, goat rat …. 2, innorix agent, innorix, vmware horizon, internet explorer, chrome

Algorithms:
xor

Win Services:
netsvc

Languages:
php, rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Угрожающая группа Andariel - активный участник атак на корейские корпорации и организации с 2008 года, использующий различные вредоносные технологии, такие как spear phishing, watering hole, атаки на цепочки поставок, а также вредоносные программы TigerRAT, Black RAT и NukeSped. В феврале и марте 2023 года они распространяли вредоносное ПО в различных отраслях, включая национальную оборону, политические организации, университеты и ИКТ-компании. Также были созданы штаммы infostealer и DurianBeacon.
-----

Угрожающая группа Andariel атакует корейские корпорации и организации с 2008 года.

Основными целевыми отраслями являются отрасли, связанные с национальной безопасностью, такие как национальная оборона, политические организации, судостроение, энергетика и связь.

На начальном этапе компрометации группа использует фишинг (spear phishing), атаки типа "водяная яма" (watering hole) и атаки по цепочке поставок.

Группа известна созданием и использованием вредоносных программ различных типов, включая TigerRAT, Black RAT и NukeSped.

В марте 2023 года группа распространяла вредоносное ПО в ходе атак на предприятия оборонной промышленности Кореи и производителя электронных устройств.

Злоумышленники применяли атаки типа "spear phishing" и использовали в качестве целей одни и те же отрасли и сектора экономики.

#ParsedReport #CompletenessLow
31-08-2023

Ransomware Roundup - Rhysida

https://www.fortinet.com/blog/threat-research/ransomware-roundup-rhysida

Report completeness: Low

Threats:
Rhysida
Cobalt_strike

Industry:
Government, Healthcare, Education

Geo:
Asia, Apac, Africa, America, Pacific

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 10
File: 1

Crypto:
bitcoin

Algorithms:
chacha20, sha2

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhysida - это новый вариант Ransomware-as-a-Service, который атакует организации по всему миру и шифрует файлы с помощью алгоритма ChaCha. Она требует выкуп в размере 10 биткойнов, а наибольший объем похищенных данных составил 1,6 ТБ у одного из европейских правительственных учреждений.
-----

Компания FortiGuard Labs внимательно следит за развитием Rhysida ransomware - нового варианта рандомного ПО, использующего модель Ransomware-as-a-Service (RaaS). В мае 2023 года Rhysida была передана в общедоступный сервис сканирования файлов, а в августе 2023 года Координационный центр кибербезопасности сектора здравоохранения (HC3) выпустил предупреждение о Rhysida.

В качестве вектора заражения угрозы Rhysida используют фишинговые атаки, а Cobalt Strike - для латерального перемещения в сети жертвы и доставки полезной нагрузки. На сегодняшний день жертвами этой программы-вымогателя стали организации по всему миру, причем на образовательный сектор пришлось более 30% пострадавших. Наибольший объем похищенных данных составил 1,6 ТБ у одного из европейских государственных учреждений.

Программа шифрует файлы по алгоритму ChaCha, добавляя к ним расширение .rhysida. Кроме того, в PDF-файле под названием CriticalBreachDetected.pdf содержится записка с адресом TOR-сайта Rhysida, на котором жертвам предлагается договориться о выплате выкупа. Согласно анализу FortiGuard Labs, последнее требование составляло 10 биткойнов.

#ParsedReport #CompletenessMedium
31-08-2023

From Hidden Bee to Rhadamanthys The Evolution of Custom Executable Formats

https://research.checkpoint.com/2023/from-hidden-bee-to-rhadamanthys-the-evolution-of-custom-executable-formats

Report completeness: Medium

Threats:
Hidden_bee
Rhadamanthys
Heavens_gate_technique
Steganography_technique
Underminerek_tool
Procmon_tool
Ollydbg_tool
Process_hacker_tool
De4dot_tool
Amsi_bypass_technique
Infostealer.wins

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1218.001, T1036.003

IOCs:
File: 57
Hash: 41
Registry: 1
Path: 3

Soft:
telegram, windump, keepass

Wallets:
dashcore, harmony_wallet

Algorithms:
rc4, xor, base64, sha1, sha256

Win API:
RtlAddFunctionTable, ZwQueryInformationProcess, RtlDispatchException, HeapFree, HeapDestroy, LocalAlloc, LocalFree, VirtualAlloc, VirtualProtect, GetProcAddress, have more...

Languages:
lua

Platforms:
amd64

Links:
https://github.com/hasherezade/libpeconv
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/ns\_exe.cpp
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/rs\_exe.cpp
https://github.com/hasherezade/hidden\_bee\_tools/tree/master/bee\_lvl2\_converter
https://github.com/hasherezade/tiny\_tracer
https://gist.github.com/hasherezade/3a9417377cacd893c580bdffb85292c1
https://github.com/hasherezade/pe-bear
https://github.com/hasherezade/libpeconv/blob/master/tests/test\_case7/main.cpp
https://github.com/hasherezade/mal\_unpack
https://github.com/hasherezade/pe-sieve
https://github.com/hasherezade/hidden\_bee\_tools/tree/master/rdx\_converter
https://github.com/hasherezade/bee\_parser/tree/master/bee\_lvl2\_converter
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/hs\_exe.cpp
https://gist.github.com/hasherezade/1aeace26a02b9eb0f50b05eea3b67949
https://github.com/LordNoteworthy/al-khaser
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/xs\_exe.cpp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhadamanthys - это относительно новый крадущий модуль, в котором реализованы многие возможности, приемы обфускации и пользовательские форматы исполняемых файлов из Hidden Bee. Он также вызывает различные проверки среды и поддерживает до 100 скриптов. Системы Threat Emulation и Behavioral Guard компании Check Point имеют сигнатуры для обнаружения и защиты клиентов от угроз, описанных в данном исследовании.
-----

Rhadamanthys - это относительно новый стейлер, впервые появившийся в сентябре 2022 года. Он был написан King Crete и имеет очень богатый набор функций и хорошо отлаженный многоступенчатый дизайн. Rhadamanthys обладает некоторыми функциями обфускации, а основные модули поставляются в пользовательских исполняемых форматах. Анализ пользовательских исполняемых форматов Rhadamanthys и Hidden Bee выявил значительное совпадение в дизайне и реализации. В обоих случаях используются собственные исполняемые форматы, схожие виртуальные файловые системы, одинаковые пути к некоторым компонентам, повторно используемые функции, схожее применение стеганографии и использование LUA-скриптов.

Формат NE от Hidden Bee имеет некоторые функции, которые встречаются и в Rhadamanthys. Формат NS является прямым предшественником форматов, используемых в Rhadamanthys. В Rhadamanthys используются форматы RS и HS, которые имеют общие элементы с форматом NS из Hidden Bee. Формат HS наиболее близок к формату NS от Hidden Bee. Форматы RS, HS и XS имеют сходство с форматом PE, но при этом обладают и своими уникальными особенностями. Например, форматы RS и HS имеют собственную таблицу перемещений, а форматы XS используют альтернативный способ различения 32- и 64-разрядных версий.

Rhadamanthys также вызывает различные проверки среды, чтобы обойти "песочницы" и другие контролируемые среды. При успешном прохождении проверок устанавливается соединение с C2. Вредоносная программа поддерживает до 100 скриптов, но в проанализированных случаях использовалось только 60. KeePassHax.dll - исполняемый файл .NET, отвечающий за сброс учетных данных KeePass и их отправку на C2.

Hidden Bee и Rhadamanthys используют общую область памяти, доступ к которой осуществляется разными процессами через именованное отображение. Они также используют одинаковые пути для своих компонентов, например /bin/amd64/preload и /bin/amd4/coredll.bin . Виртуальные файловые системы, используемые Rhadamanthys, являются следующим шагом в эволюции тех, что применяются в Hidden Bee, с той же магией !Rex . Авторы обоих семейств вредоносных программ также используют Heaven's Gate - не документированную официально технику, позволяющую переключать интерпретацию кода с 32-битного на 64-битный.

Очевидно, что автор Rhadamanthys движется в направлении расширения возможностей настройки и постоянно совершенствует продукт, а также внедряет полученные методики и PoC. Защиты Threat Emulation и Behavioral Guard компании Check Point разработали и развернули сигнатуры для обнаружения и защиты клиентов от угроз, описанных в данном исследовании. Стоит следить за развитием пользовательских форматов, поскольку их преобразование в PE значительно упрощает и ускоряет процесс анализа.

#ParsedReport #CompletenessMedium
31-08-2023

VMConnect supply chain attack continues, evidence points to North Korea

https://www.reversinglabs.com/blog/vmconnect-supply-chain-campaign-continues

Report completeness: Medium

Actors/Campaigns:
Vmconnect
Lazarus
Cryptocore
Iconburst

Threats:
Supply_chain_technique
Sentinelsneak
Typosquatting_technique
Pythonhttpbackdoor
Jokerspy
Qrlog

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1036.004, T1105, T1090.001, T1036.003, T1027, T1071.001

IOCs:
File: 2
Domain: 1
IP: 1
Hash: 14

Soft:
macos, node.js

Algorithms:
xor, base64

Languages:
python, java

YARA: Found

Links:
https://github.com/MauroEldritch

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию в цепочке поставок, связанную с северокорейской Lazarus Group, в которой использовались опечатки и другие методы самозванства. Для предотвращения подобных атак организациям следует вкладывать средства в обучение и проведение информационных кампаний.
-----

В августе 2021 года компания ReversingLabs выявила вредоносную кампанию, в рамках которой в репозитории открытых исходных кодов PyPI было размещено два десятка вредоносных пакетов Python. Пакеты были разработаны для имитации популярных инструментов Python с открытым исходным кодом, таких как vConnector, eth-tester и базы данных. Впоследствии ReversingLabs обнаружила еще три вредоносных Python-пакета, которые, как предполагается, являются продолжением этой кампании и называются tablediter, request-plus и requestspro. Хотя команде не удалось получить копии вредоносного ПО Stage 2, использовавшегося в этой кампании, анализ вредоносных пакетов и их полезной нагрузки выявил связи с предыдущими кампаниями, приписываемыми северокорейской подгруппе Lazarus Group, Labyrinth Chollima.

Вредоносные пакеты использовали такие приемы обхода, как опечатки и другие способы выдачи себя за другого. Злоумышленники модифицировали файл __init__.py для запуска потока, выполняющего функцию из файла cookies.py. Файл cookies.py был модифицирован и содержал несколько вредоносных функций для сбора информации о зараженной машине и отправки ее обратно на C2-сервер. C2-сервер, связанный с кампанией, по умолчанию не предоставлял дополнительных команд, что затрудняет оценку всего масштаба кампании.

Сходство кода VMConnect с другими известными вредоносными кампаниями, а также общая инфраструктура C2 позволяют предположить связь с северокорейской Lazarus Group. В отчете JPCERT в качестве возможных образцов вредоносного ПО второго этапа, загруженных в рамках этой кампании, названы образцы, нацеленные на среды Windows, macOS и Linux с установленными операционными системами Python и Node.js, в том числе PythonHTTPBackdoor, JokerSpy и QRLog. Организациям следует вкладывать средства в обучение и информационные кампании, чтобы разработчики не попадали под опечатки и другие атаки, а также инвестировать в инструменты и процессы для оценки кода на наличие подозрительных или вредоносных индикаторов.

#ParsedReport #CompletenessMedium
30-08-2023

A Look Into DuckTail

https://www.zscaler.com/blogs/security-research/look-ducktail

Report completeness: Medium

Threats:
Ducktail_stealer
Timestomp_technique

Victims:
Facebook, tiktok business accounts, google ad accounts, linkedin accounts

Industry:
Financial

Geo:
Turkey, Vietnam, Vietnamese, American

TTPs:
Tactics: 1
Technics: 7

IOCs:
Domain: 58
File: 5

Soft:
tiktok, telegram, chatgpt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DuckTail - это вьетнамские киберпреступники, которые используют Google Translate для общения с потенциальными жертвами через вредоносные ссылки в LinkedIn. Они используют различные облачные сервисы для размещения и распространения вредоносной полезной нагрузки, злоупотребляют сокращателем URL-адресов Rebrandly, используют прокси-сервисы по месту жительства, а также продают украденные аккаунты в социальных сетях на подпольных рынках.
-----

В ходе нашего расследования деятельности группы угроз DuckTail мы получили обширную информацию о тактике, технике и процедурах ее работы. Группой DuckTail управляют в основном вьетнамские киберпреступники, которые используют Google Translate для общения с потенциальными жертвами через LinkedIn. Угрозы нацелены на личные, бизнес- и рекламные аккаунты на таких платформах, как TikTok, Facebook, LinkedIn и Google, и используют социальную инженерию для заражения устройств. Вредоносная полезная нагрузка обычно представляет собой исполняемые файлы .NET, но в некоторых случаях она поставляется в виде надстроек Excel или расширений для браузеров. Вредоносная программа похищает сессионные cookies браузеров и, как правило, распространяется через вредоносные ссылки на LinkedIn.

Для размещения и распространения полезной нагрузки угрозы также используют различные облачные сервисы, включая iCloud, Google Drive, Dropbox, Transfer.sh и OneDrive. Они также используют платформу управления проектами Trello, загружая архивы в виде вложений в карточки Trello и предоставляя жертвам прямую ссылку на скачивание. Кроме того, известны случаи использования Rebrandly, сервиса сокращения URL-адресов, для придания загрузкам более легитимного вида.

Мы также заметили, что для получения доступа к взломанным учетным записям и уклонения от обнаружения угрожающие лица используют прокси-сервисы по месту жительства. Кроме того, для того чтобы остаться незамеченными, они используют "шифрованные уведомления" в Facebook. Кроме того, известны случаи, когда злоумышленники предпринимали дополнительные меры для продления жизни скомпрометированного рекламного аккаунта, например, меняли пароль и адрес электронной почты аккаунта Facebook во время захвата. Они также удаляют следы, очищая электронную почту LinkedIn.

Угрозы DuckTail являются активными продавцами на подпольном рынке краденых учетных записей в социальных сетях, где цены на них определяются исходя из их предполагаемой ценности. В зависимости от свойств учетной записи она может быть от очень ценной до практически бесполезной для покупателей. Возможно, некоторые из этих аккаунтов были приобретены на подпольных рынках. Цена низкосортного аккаунта составляет около 350 000 вьетнамских донгов (\~15 долл. США), а высококачественный аккаунт продается за 8 000 000 вьетнамских донгов (\~340 долл. США).

#ParsedReport #CompletenessLow
31-08-2023

New hierarchy, heightened threat: Classiscam s sustained global campaign

https://www.group-ib.com/blog/classiscam-2023

Report completeness: Low

Threats:
Classiscam

Victims:
Internet users in 79 countries, impersonating 251 unique brands from various sectors and industries

Industry:
E-commerce, Retail, Financial

Geo:
Australia, Apac, Italy, Germany, Cambodia, Russia, Iceland, Africa, Canada, Poland, Israel, France, Belgium, Spain, Luxembourg, Albania, Czech, Asia-pacific, Singapore, Libya, Thailand, Denmark, Romania

Soft:
telegram

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 5, chart: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Classiscam - это автоматизированная программа мошенничества как услуга, которая становится все более изощренной и широко распространенной, приносит доход в размере 64,5 млн. долл. и нацелена на пользователей Интернета в 79 странах.
-----

Classiscam - это автоматизированная мошенническая программа, запущенная в 2019 году, которая становится все более изощренной и широко распространенной. Исследователи Group-IB обнаружили 1 366 отдельных групп Classiscam в Telegram в период с первого полугодия 2020 года по первое полугодие 2023 года, что позволило получить доход в размере 64,5 млн долл. Эти группы были нацелены на интернет-пользователей в 79 странах и выдавали себя за 251 уникальный бренд из различных отраслей. Наиболее активным регионом для атак была Европа (62,2% от общего числа атак); наибольшая стоимость атак была зафиксирована в Германии - 26,5%, далее следуют Польша (21,9%), Испания (19,8%), Италия (13,0%) и Румыния (5,5%). Наибольшие средние денежные потери на одну транзакцию были зафиксированы в Великобритании - 865 долл.

Фишинговые операции стали автоматизированными, для создания новой схемы используются специализированные роли и инструменты. Мошенники используют приемы социальной инженерии, направляя потенциальных жертв на автоматически генерируемые фишинговые сайты. Иерархия пирамид для групп Classiscam расширилась и теперь включает в себя различные специализированные задачи. На фишинговые веб-страницы добавляется проверка баланса, позволяющая определить, сколько денег находится на банковском счете жертвы. В некоторых странах на фишинговые страницы добавляются фальшивые страницы входа в местные банки. Похитители информации используются для сбора паролей от учетных записей браузера и передачи их оператору.

#ParsedReport #CompletenessLow
31-08-2023

Cisco Talos Intelligence Blog. SapphireStealer: Open-source information stealer enables credential and data theft

https://blog.talosintelligence.com/sapphirestealer-goes-open-source

Report completeness: Low

Threats:
Sapphirestealer
Fud-loader
Dcrat
Njrat
Darkcomet_rat
Agent_tesla

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1565.001, T1195, T1036, T1059, T1064, T1086

IOCs:
File: 5
Url: 1
Path: 3

Soft:
discord, telegram, chrome, opera, google chrome, chromium, orbitum, kometa, microsoft edge, torch, have more...

Links:
https://github.com/0day2/SapphireStealer/
https://github.com/Cisco-Talos/IOCs/tree/main/2023/08
https://github.com/Cisco-Talos/osquery\_queries/blob/master/win\_malware/sapphirestealer\_path.yaml
https://github.com/0day2/FUD-Loader