#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DuckTail - это вьетнамские киберпреступники, которые используют Google Translate для общения с потенциальными жертвами через вредоносные ссылки в LinkedIn. Они используют различные облачные сервисы для размещения и распространения вредоносной полезной нагрузки, злоупотребляют сокращателем URL-адресов Rebrandly, используют прокси-сервисы по месту жительства, а также продают украденные аккаунты в социальных сетях на подпольных рынках.
-----

В ходе нашего расследования деятельности группы угроз DuckTail мы получили обширную информацию о тактике, технике и процедурах ее работы. Группой DuckTail управляют в основном вьетнамские киберпреступники, которые используют Google Translate для общения с потенциальными жертвами через LinkedIn. Угрозы нацелены на личные, бизнес- и рекламные аккаунты на таких платформах, как TikTok, Facebook, LinkedIn и Google, и используют социальную инженерию для заражения устройств. Вредоносная полезная нагрузка обычно представляет собой исполняемые файлы .NET, но в некоторых случаях она поставляется в виде надстроек Excel или расширений для браузеров. Вредоносная программа похищает сессионные cookies браузеров и, как правило, распространяется через вредоносные ссылки на LinkedIn.

Для размещения и распространения полезной нагрузки угрозы также используют различные облачные сервисы, включая iCloud, Google Drive, Dropbox, Transfer.sh и OneDrive. Они также используют платформу управления проектами Trello, загружая архивы в виде вложений в карточки Trello и предоставляя жертвам прямую ссылку на скачивание. Кроме того, известны случаи использования Rebrandly, сервиса сокращения URL-адресов, для придания загрузкам более легитимного вида.

Мы также заметили, что для получения доступа к взломанным учетным записям и уклонения от обнаружения угрожающие лица используют прокси-сервисы по месту жительства. Кроме того, для того чтобы остаться незамеченными, они используют "шифрованные уведомления" в Facebook. Кроме того, известны случаи, когда злоумышленники предпринимали дополнительные меры для продления жизни скомпрометированного рекламного аккаунта, например, меняли пароль и адрес электронной почты аккаунта Facebook во время захвата. Они также удаляют следы, очищая электронную почту LinkedIn.

Угрозы DuckTail являются активными продавцами на подпольном рынке краденых учетных записей в социальных сетях, где цены на них определяются исходя из их предполагаемой ценности. В зависимости от свойств учетной записи она может быть от очень ценной до практически бесполезной для покупателей. Возможно, некоторые из этих аккаунтов были приобретены на подпольных рынках. Цена низкосортного аккаунта составляет около 350 000 вьетнамских донгов (\~15 долл. США), а высококачественный аккаунт продается за 8 000 000 вьетнамских донгов (\~340 долл. США).

#ParsedReport #CompletenessLow
31-08-2023

New hierarchy, heightened threat: Classiscam s sustained global campaign

https://www.group-ib.com/blog/classiscam-2023

Report completeness: Low

Threats:
Classiscam

Victims:
Internet users in 79 countries, impersonating 251 unique brands from various sectors and industries

Industry:
E-commerce, Retail, Financial

Geo:
Australia, Apac, Italy, Germany, Cambodia, Russia, Iceland, Africa, Canada, Poland, Israel, France, Belgium, Spain, Luxembourg, Albania, Czech, Asia-pacific, Singapore, Libya, Thailand, Denmark, Romania

Soft:
telegram

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 5, chart: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Classiscam - это автоматизированная программа мошенничества как услуга, которая становится все более изощренной и широко распространенной, приносит доход в размере 64,5 млн. долл. и нацелена на пользователей Интернета в 79 странах.
-----

Classiscam - это автоматизированная мошенническая программа, запущенная в 2019 году, которая становится все более изощренной и широко распространенной. Исследователи Group-IB обнаружили 1 366 отдельных групп Classiscam в Telegram в период с первого полугодия 2020 года по первое полугодие 2023 года, что позволило получить доход в размере 64,5 млн долл. Эти группы были нацелены на интернет-пользователей в 79 странах и выдавали себя за 251 уникальный бренд из различных отраслей. Наиболее активным регионом для атак была Европа (62,2% от общего числа атак); наибольшая стоимость атак была зафиксирована в Германии - 26,5%, далее следуют Польша (21,9%), Испания (19,8%), Италия (13,0%) и Румыния (5,5%). Наибольшие средние денежные потери на одну транзакцию были зафиксированы в Великобритании - 865 долл.

Фишинговые операции стали автоматизированными, для создания новой схемы используются специализированные роли и инструменты. Мошенники используют приемы социальной инженерии, направляя потенциальных жертв на автоматически генерируемые фишинговые сайты. Иерархия пирамид для групп Classiscam расширилась и теперь включает в себя различные специализированные задачи. На фишинговые веб-страницы добавляется проверка баланса, позволяющая определить, сколько денег находится на банковском счете жертвы. В некоторых странах на фишинговые страницы добавляются фальшивые страницы входа в местные банки. Похитители информации используются для сбора паролей от учетных записей браузера и передачи их оператору.

#ParsedReport #CompletenessLow
31-08-2023

Cisco Talos Intelligence Blog. SapphireStealer: Open-source information stealer enables credential and data theft

https://blog.talosintelligence.com/sapphirestealer-goes-open-source

Report completeness: Low

Threats:
Sapphirestealer
Fud-loader
Dcrat
Njrat
Darkcomet_rat
Agent_tesla

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1565.001, T1195, T1036, T1059, T1064, T1086

IOCs:
File: 5
Url: 1
Path: 3

Soft:
discord, telegram, chrome, opera, google chrome, chromium, orbitum, kometa, microsoft edge, torch, have more...

Links:
https://github.com/0day2/SapphireStealer/
https://github.com/Cisco-Talos/IOCs/tree/main/2023/08
https://github.com/Cisco-Talos/osquery\_queries/blob/master/win\_malware/sapphirestealer\_path.yaml
https://github.com/0day2/FUD-Loader

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SapphireStealer - это похититель информации с открытым исходным кодом, который используется угрожающими субъектами для утечки конфиденциальной информации и учетных данных из целевых систем. Кодовая база была усовершенствована и модифицирована различными угрожающими субъектами, что привело к созданию нескольких вариантов. Неопытные угрозы все чаще используют открытые кодовые базы вредоносных программ для проведения атак на похитителей информации, которые могут нанести серьезный ущерб корпоративным средам.
-----

SapphireStealer - это программа для кражи информации с открытым исходным кодом, которая с момента своего появления в декабре 2022 года все чаще встречается в открытых репозиториях вредоносного ПО. Он используется различными субъектами для утечки конфиденциальной информации из целевых систем, которая затем может быть перепродана другим угрожающим субъектам для дальнейших вредоносных действий, таких как шпионаж или вымогательство/вымогательство. SapphireStealer обычно поставляется в рамках многоступенчатого процесса заражения, причем для доставки полезной нагрузки жертвам угрозы используют загрузчик FUD-Loader с открытым исходным кодом.

Похитители информации становятся все более популярными среди угроз, поскольку предлагают простой способ получения и распространения конфиденциальной информации и данных, связанных с учетными записями. SapphireStealer предназначен для кражи различных баз данных и файлов учетных данных браузеров. Его кодовая база была усовершенствована и модифицирована различными участниками угроз, что привело к созданию нескольких вариантов. Эти варианты имеют различные расширения файлов, предназначенных для сбора данных, и были оптимизированы и рефакторингованы для повышения эффективности.

В некоторых случаях угрожающие лица не соблюдали оперативные меры безопасности, оставляя после себя личные учетные записи и доменные имена, связанные с деятельностью вредоносного ПО. Это свидетельствует о растущей тенденции использования неопытными угрозами легкодоступных кодовых баз вредоносных программ с открытым исходным кодом для проведения атак с целью хищения информации, которые могут нанести серьезный ущерб корпоративным средам.

#ParsedReport #CompletenessHigh
31-08-2023

Decrypting Key Group Ransomware: Emerging Financially Motivated Cyber Crime Gang

https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang

Report completeness: High

Actors/Campaigns:
Key_wolf

Threats:
Keygroup_ransomware
Njrat
Chaos_ransomware
Lolbin_technique
Vssadmin_tool
Lolbas_technique

Industry:
E-commerce

Geo:
Ukraine, Russian, Russia

IOCs:
Domain: 3
Command: 1
IP: 1
Hash: 7
File: 13

Soft:
telegram, bcdedit, chatgpt

Algorithms:
cbc, base64, sha256, aes, pbkdf2

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Семейство программ-вымогателей Key Group - это малоискушенные, но опасные агенты угроз, ориентированные в первую очередь на получение финансовой выгоды путем продажи PII или первоначального доступа к скомпрометированным устройствам и получения выкупа. Они используют различные методы для поиска и заражения жертв и уклонения от обнаружения.
-----

Семейство программ-вымогателей Key Group было впервые обнаружено 6 января 2023 года и с тех пор не прекращало своей активности. По мнению исследователей EclecticIQ, эта группа представляет собой преимущественно русскоязычную, финансово мотивированную группу угроз, которая использует канал Telegram для переговоров о выкупе. Кроме того, у них есть закрытый канал, предназначенный только для приглашенных, для обмена информацией, такой как доксинг и наступательные инструменты. Вероятно, с 29 июня 2023 года группа использует NjRAT, инструмент удаленного администрирования (RAT), для удаленного доступа к устройствам жертв.

Программа использует CBC-режим Advanced Encryption Standard (AES) для шифрования файлов и передачи персональной информации (PII) с устройств жертв злоумышленникам. Зашифрованные файлы получают расширение .keygroup777tg. По оценке аналитиков EclecticIQ, программа Key Group ransomware может быть отнесена к категории угроз низкого уровня сложности. Это связано с тем, что в образцах ransomware были обнаружены многочисленные криптографические ошибки, которые позволили создать инструмент дешифрования 03.08.2023.

Участники Key Group используют darkweb-площадку Dark Store для обмена взломанными учетными записями в социальных сетях, частными VPN-сервисами и учетными записями электронной почты. Владелец группы действует под псевдонимом DARKZEUS. В предыдущих версиях вымогательского ПО Key Group для защиты российских жертв использовался конструктор вымогательского ПО Chaos 4.0.

Программа использует AES-шифрование, реализованное на языке C# с помощью класса RijndaelManaged. Он кодирует пароль в виде байтов UTF-8, а затем хэширует их по алгоритму SHA-256. Зашифрованные байты записываются в новый файл в том же каталоге с кодированным именем и расширением .keygroup777tg. Для шифрования данных используется статический ключ N0dQM0I1JCM=.

Программа Key Group ransomware отправляет злоумышленникам метаданные, связанные с сетью, используя сокращатель URL-адресов yip.su, перенаправляющий на сайт iplogger.org. Они включают отпечаток браузера, IP-адрес, геолокацию и дату заражения жертвы. Для удаления службы теневого копирования тома (Volume Shadow Copy Service, VSS) и предотвращения восстановления данных группировка также использует двоичные файлы (live-off-the-land binaries, LOLBINS). Кроме того, они могут отключать обновления от различных антивирусных решений путем модификации файла hosts.

Семейство программ-вымогателей Key Group - это малоискушенные, но опасные угрозы, ориентированные в первую очередь на получение финансовой выгоды путем продажи PII или первоначального доступа к скомпрометированным устройствам и получения выкупа. Группа использует различные методы для поиска и заражения жертв и ускользания от обнаружения. Частным лицам и организациям важно принять необходимые меры предосторожности для защиты своих данных и систем от такого рода атак.

#rstcloud

Добавили в фид источник с хэшами уязвимых драйверов.
Такие драйвера подвержены lolbins, BYOVD-атакам

Как использовать:

Самое простое - поставить на мониторинг по событиям от NGFW, или EDR. Если по сети пролетит такой драйвер (появится на хосте), то это повод насторожиться и повнимательнее посмотреть откуда, кто и как решил затащить этот драйвер в инфру.

Чуть сложнее - поискать на машинках файлы с данными хэшами, чтобы понять где в инфре есть потенциально уязвимые машины.

З.ы. На винде можно настроить блокировку уязвимых драйверов
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/design/microsoft-recommended-driver-block-rules#steps-to-download-and-apply-the-vulnerable-driver-blocklist-binary

#ParsedReport #CompletenessLow
01-09-2023

Backdoor LNK : RedEyes(ScarCruft)

https://asec.ahnlab.com/ko/56526

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dropper/lnk.generic.s2241
Trojan/bat.psexec.s2247

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1193, T1064, T1204

IOCs:
File: 9
Path: 2
Registry: 1
Command: 1
Url: 5
Hash: 3

Soft:
psexec

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленниками распространяются вредоносные LNK- и CHM-файлы, которые при исполнении могут выполнять различные вредоносные действия. Для защиты от подобных угроз пользователям следует избегать выполнения больших LNK-файлов неизвестного происхождения и проявлять повышенную осторожность при загрузке любых подозрительных файлов.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил факт распространения вредоносного кода в виде LNK-файлов. Эти вредоносные файлы, загружаемые с именами REPORT.ZIP, KB_20230531.rar, attachment.rar и hanacard_20230610.rar, содержат ранее идентифицированные вредоносные CHM-файлы. После выполнения эти файлы запускают дополнительный скрипт с определенного URL через процесс mshta и получают команды с сервера злоумышленника. Затем этот код вредоносного скрипта выполняется в папке %Temp% с помощью команды PowerShell, в результате чего создается как обычный документ 'Status Survey.xlsx', так и вредоносный скрипт 'PMmVvG56FLC9y.bat'.

Учитывая различия между командами, приведенными в табл. 1, и ранее идентифицированными командами, можно предположить, что злоумышленник постоянно модифицирует код скрипта. Это означает, что наряду с уже подтвержденными функциями могут выполняться и другие вредоносные действия. Для защиты от этих угроз пользователям следует быть предельно внимательными при работе с файлами, имеющими неизвестного создателя и размер более 10 МБ.

Таким образом, злоумышленники распространяют вредоносные LNK- и CHM-файлы, при выполнении которых с определенного URL через процесс mshta запускается дополнительный скрипт, получающий команды с сервера злоумышленника. Затем эти вредоносные скрипты могут выполнять различные вредоносные действия, например, создавать в папке %Temp% обычные документы и вредоносные скрипты. Для защиты от подобных угроз пользователям следует избегать выполнения больших LNK-файлов неизвестного происхождения и проявлять повышенную осторожность при загрузке любых подозрительных файлов.

#ParsedReport #CompletenessMedium
01-09-2023

New MaaS Prysmax Launches Fully Undetectable Infostealer

https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer

Report completeness: Medium

Threats:
Prysmax

Industry:
Government

Geo:
Spain

TTPs:
Tactics: 1
Technics: 0

IOCs:
Command: 14
Path: 2
Registry: 5
Hash: 5
Domain: 2

Soft:
telegram, pyinstaller, windows defender, windows firewall, discord

Algorithms:
sha256

Languages:
python

SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Prysmax - это новая вредоносная программа, предназначенная для извлечения конфиденциальных данных и обхода традиционных сигнатурных методов обнаружения, используемых антивирусными решениями, что делает ее практически полностью необнаружимой. Кроме того, он использует различные технологии для обеспечения устойчивости и анонимной утечки данных. Предполагается, что разработчик Prysmax действует из Испании.
-----

Исследователи компании CYFIRMA недавно обнаружили новую вредоносную программу-как-сервис под названием Prysmax. Этот инфопохититель на языке python предназначен для извлечения конфиденциальных данных, таких как криптокошельки, пароли и cookies, из широкого спектра сервисов. Особую опасность Prysmax придает его способность обходить традиционные сигнатурные методы обнаружения, используемые антивирусными решениями. Благодаря этому вредоносная программа практически не обнаруживается более чем 95% защитных решений.

Вредоносная программа предназначена для отключения Windows Defender, манипулирования ассоциациями файлов и выполнения параллельно с легитимными процессами .exe, что позволяет максимально расширить сферу ее влияния. Кроме того, он использует PowerShell для скрытой утечки данных и обмена информацией. Все это делает Prysmax трудно обнаруживаемым и удаляемым даже при использовании самых современных средств кибербезопасности.

Для обеспечения устойчивости вредоносная программа добавляет запись в систему запуска пользователя, используя специальный ключ реестра, и манипулирует критическими сетевыми сервисами через изменения в реестре. Кроме того, вредонос анонимно пересылает файлы на съемные носители, а в качестве C2 использует бота Discord.

Судя по имеющимся артефактам, предполагается, что разработчик Prysmax stealer действует из Испании. Вредоносная программа имеет 0-2 обнаружения на VT, что свидетельствует о высокой вероятности остаться незамеченной, если жертва полагается на сигнатурные обнаружения.

#ParsedReport #CompletenessLow
01-09-2023

Threat Actors orchestrate cyber-attacks on vulnerable Ivanti products

https://cyble.com/blog/threat-actors-orchestrate-cyber-attacks-on-vulnerable-ivanti-products

Report completeness: Low

Victims:
Government agencies, big corporations, ivanti endpoint manager mobile, ivanti sentry

Industry:
Government

Geo:
Germany, Norwegian

CVEs:
CVE-2023-35081 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager mobile (<11.8.1.2, <11.9.1.2, <11.10.0.3)

CVE-2023-35078 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager mobile (le11.10)

CVE-2023-38035 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ivanti mobileiron sentry (le9.18.0)


TTPs:
Tactics: 6
Technics: 11

IOCs:
IP: 1

Soft:
ivanti epmm, ivanti sentry, moveit, papercut

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники использовали уязвимости в программном обеспечении Ivanti для атаки на государственные учреждения, и что эти уязвимости могут быть использованы для кражи данных, которые могут быть проданы в темной паутине и на киберпреступных форумах.
-----

Норвежская организация по безопасности и обслуживанию (DSS) 24 июля 2023 г. сообщила, что 12 государственных учреждений подверглись атаке из-за неизвестных уязвимостей в программном обеспечении одного из их поставщиков. Позднее Норвежское управление национальной безопасности (NSM) подтвердило, что злоумышленники использовали CVE-2023-35078 для нарушения безопасности. Ivanti выпустила исправление для этой уязвимости, но вскоре после этого выпустила еще одно исправление для уязвимости обхода пути в Ivanti EPMM (CVE-2023-35081). По заявлению производителя, CVE-2023-35078 затронула то же ограниченное число клиентов, что и CVE-2023-35081, что свидетельствует о том, что эксплуатация CVE-2023-35078 в сочетании с CVE-2023-35081 сделала продукты Ivanti более уязвимыми.

На одном из киберпреступных форумов CRIL был замечен угрожающий субъект, предположительно продающий эксплойты нулевого дня для CVE-2023-35081, а в сети Cyble Global Sensor Intelligence (CGSI) стали фиксироваться попытки эксплуатации Ivanti EPMM (CVE-2023-35078) и Ivanti Sentry (CVE-2023-38035). В случае CVE-2023-35078 злоумышленники отправляли GET-запросы к конечной точке /mifs/aad/api/v2/admins/users, пытаясь получить конфиденциальную информацию, например, персональные данные (PII). В случае CVE-2023-38035 POST-запрос отправлялся на конечную точку mics/services/MICSLogService. По данным CGSI, атаки были направлены на уязвимые активы Ivanti в США и Германии - странах с наибольшей подверженностью Ivanti Assets по данным онлайн-сканеров.

В последнее время все более распространенным явлением становится эксплуатация уязвимых Интернет-ресурсов, яркими примерами которой являются уязвимости MoveIT и PaperCut. В зависимости от степени использования этих приложений/программ в организации злоумышленники могут осуществлять атаки с целью выкупа, эксфильтрации данных или установки веб-оболочек. Эксплуатация Ivanti Endpoint Manager Mobile (EPMM) и Ivanti Sentry особенно привлекательна для злоумышленников, поскольку они связаны с возможностями управления мобильными устройствами (MDM) и унифицированного управления конечными точками (UEM). Эти уязвимые приложения представляют собой выгодные цели для злоумышленников, позволяющие похищать данные, которые затем могут быть проданы в "темной паутине" и на киберпреступных форумах.

#ParsedReport #CompletenessMedium
01-09-2023

BadBazaar espionage tool targets Android users via trojanized Signal and Telegram apps. MITRE ATT&CK techniques

https://www.welivesecurity.com/en/eset-research/badbazaar-espionage-tool-targets-android-users-trojanized-signal-telegram-apps

Report completeness: Medium

Actors/Campaigns:
Gref
Playful_taurus

Threats:
Badbazaar
Aitm_technique
Doubleagent
Xslcmd
Silkbean
Carbonsteal
Goldeneagle

Victims:
Android users, uyghurs and other turkic ethnic minorities

Geo:
Ukraine, Netherlands, Singapore, Australia, Hungary, China, Poland, Yemen, Germany, Congo, Spain, Chinese, Denmark, Brazil, Portugal, Lithuania

TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 15
Hash: 6
IP: 18
File: 2

Soft:
android, telegram

Algorithms:
sha1

Links:
https://github.com/signalapp/Signal-Android

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5, chats: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GREF распространяла вредоносные приложения через Google Play Store, Samsung Galaxy Store, альтернативные магазины приложений и специализированные сайты. Эти приложения относятся к семейству вредоносных программ BadBazaar и используются для утечки информации об устройстве, списках контактов, журналах вызовов, списке установленных приложений, а также для шпионажа за сообщениями Signal. Пользователям важно быть бдительными и загружать только официальные версии приложений из легальных источников.
-----

Исследователи компании ESET обнаружили две активные кампании, направленные на пользователей Android и приписываемые китайской APT-группе GREF. Вредоносный код, обнаруженный в этих приложениях, относится к семейству вредоносных программ BadBazaar, которое использовалось для атак на уйгуров и другие тюркские этнические меньшинства. Оба приложения, Signal Plus Messenger и FlyGram, были созданы одним и тем же разработчиком, имеют одинаковые вредоносные функции, а в описаниях приложений в обоих магазинах содержится ссылка на один и тот же сайт разработчика. Вредоносное приложение Signal Plus Messenger было загружено в Google Play 7 июля 2022 года и успело установиться более сотни раз. Вредоносное приложение FlyGram было загружено в Google Play около 4 июня 2020 года и успело получить более 5 тыс. установок.

Вредоносные приложения распространялись на устройствах в Австралии, Бразилии, Венгрии, Германии, Гонконге, Дании, Демократической Республике Конго, Испании, Йемене, Литве, Нидерландах, Польше, Португалии, Сингапуре, США, Украине. Ссылка на FlyGram в магазине Google Play была опубликована в уйгурской группе Telegram. Приложение FlyGram также доступно для загрузки со специализированного сайта.

Ранее компания Lookout приписывала BadBazaar китайской группировке APT15. Исследователи ESET не располагают достаточными доказательствами связи между GREF и APT15, но считают, что могут с высокой степенью уверенности отнести Signal Plus Messenger и FlyGram к семейству вредоносных программ BadBazaar. Вредоносные приложения содержат код, проверяющий, является ли оператор устройства китайцем, что является уникальным для семейства BadBazaar.

Signal Plus Messenger и FlyGram - несколько иные варианты BadBazaar, ориентированные на утечку пользовательских данных и шпионаж. Signal Plus Messenger отправляет на C&C-сервер различные данные об устройстве, такие как IMEI, номер телефона, MAC-адрес и т.д. Он также может шпионить за сообщениями Signal, используя функцию link device. FlyGram отправляет на C&C-сервер базовую информацию об устройстве, такую как IMEI-номер, MAC-адрес, имя оператора, язык устройства и часовой пояс. Кроме того, FlyGram может пересылать информацию с устройства, включая внутренние файлы Telegram. Программа имеет функцию облачной синхронизации, позволяющую создавать резервные копии и восстанавливать контакты, фотографии профиля, группы и каналы Telegram.

Единственный способ не стать жертвой вредоносного приложения для обмена сообщениями - загружать только официальные версии с официальных каналов. Для обнаружения несанкционированных подключений к учетной записи Signal пользователи могут проверить меню "Связанные устройства". GREF распространяла вредоносные приложения через официальный магазин Google Play, Samsung Galaxy Store, альтернативные магазины приложений и специализированные сайты.

Основной целью BadBazaar является утечка информации с устройства, списка контактов, журналов вызовов, списка установленных приложений, а также шпионаж за сообщениями Signal путем тайного подключения приложения Signal Plus Messenger к устройству злоумышленника. В итоге пользователям важно быть бдительными и следить за тем, чтобы загружать легитимные приложения из официальных источников.

#rstcloud

Помните, мы все грозились научить ChatGPT детектить TTP в отчетах.
Так вот, в TRAM эту задачку, вроде бы, решили через BERT. Будем тестить.

З.ы. Там еще есть нотебук Jupyter для дообучения модели. Текущая F1 модели 0.882

https://medium.com/mitre-engenuity/our-tram-large-language-model-automates-ttp-identification-in-cti-reports-5bc0a30d4567

Тем временем draft RFC по IOC в августе добрался до релиза
https://www.rfc-editor.org/info/rfc9424