#ParsedReport #CompletenessMedium
14-09-2023
New Python NodeStealer Goes Beyond Facebook Credentials, Now Stealing All Browser Cookies and Login Credentials
https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing-all-browser-cookies-and-login-credentials
Report completeness: Medium
Threats:
Nodestealer
Doorway
Victims:
Facebook business accounts with bogus facebook messages with a malicious file attached
Geo:
America
IOCs:
Domain: 1
Path: 1
File: 6
Url: 9
Hash: 5
Soft:
telegram, chrome, google chrome, microsoft edge, opera
Algorithms:
zip
Languages:
javascript, python
14-09-2023
New Python NodeStealer Goes Beyond Facebook Credentials, Now Stealing All Browser Cookies and Login Credentials
https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing-all-browser-cookies-and-login-credentials
Report completeness: Medium
Threats:
Nodestealer
Doorway
Victims:
Facebook business accounts with bogus facebook messages with a malicious file attached
Geo:
America
IOCs:
Domain: 1
Path: 1
File: 6
Url: 9
Hash: 5
Soft:
telegram, chrome, google chrome, microsoft edge, opera
Algorithms:
zip
Languages:
javascript, python
Netskope
New Python NodeStealer Goes Beyond Facebook Credentials, Now Stealing All Browser Cookies and Login Credentials
Summary Netskope Threat Labs is tracking a campaign that uses malicious Python scripts to steal Facebook users’ credentials and browser data. This
CTT Report Hub
#ParsedReport #CompletenessMedium 14-09-2023 New Python NodeStealer Goes Beyond Facebook Credentials, Now Stealing All Browser Cookies and Login Credentials https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Netskope Threat Labs отслеживает кампанию, которая использует вредоносный файл-вложение для кражи cookies и учетных данных Facebook, а также данных из нескольких браузеров.
-----
Компания Netskope Threat Labs отслеживает кампанию, направленную на бизнес-аккаунты Facebook с помощью фальшивых сообщений, содержащих вложение с вредоносным файлом. Этот вредоносный файл представляет собой новый вариант NodeStealer на базе Python, целью которого является кража cookies и учетных данных Facebook, а также данных из нескольких браузеров. Вредоносный файл представляет собой пакетный файл, который при открытии с кодировкой UTF-8 загружает два zip-файла с вредоносного домена. Эти zip-файлы содержат интерпретатор Python, библиотеки и полезную нагрузку вредоносной программы. Вредоносная программа запускает Powershell для загрузки вредоносного Python-скрипта с именем project.py. Этот скрипт собирает IP-адрес пользователя, код страны, файлы браузера Google Chrome (Login Data, Cookies и Local State), а также файлы cookie с других сайтов. Все собранные файлы затем эксфильтрируются с помощью Telegram.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Netskope Threat Labs отслеживает кампанию, которая использует вредоносный файл-вложение для кражи cookies и учетных данных Facebook, а также данных из нескольких браузеров.
-----
Компания Netskope Threat Labs отслеживает кампанию, направленную на бизнес-аккаунты Facebook с помощью фальшивых сообщений, содержащих вложение с вредоносным файлом. Этот вредоносный файл представляет собой новый вариант NodeStealer на базе Python, целью которого является кража cookies и учетных данных Facebook, а также данных из нескольких браузеров. Вредоносный файл представляет собой пакетный файл, который при открытии с кодировкой UTF-8 загружает два zip-файла с вредоносного домена. Эти zip-файлы содержат интерпретатор Python, библиотеки и полезную нагрузку вредоносной программы. Вредоносная программа запускает Powershell для загрузки вредоносного Python-скрипта с именем project.py. Этот скрипт собирает IP-адрес пользователя, код страны, файлы браузера Google Chrome (Login Data, Cookies и Local State), а также файлы cookie с других сайтов. Все собранные файлы затем эксфильтрируются с помощью Telegram.
#technique
S4UTomato - Escalate Service Account To LocalSystem via Kerberos
https://paper-seebug-org.translate.goog/3034/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
S4UTomato - Escalate Service Account To LocalSystem via Kerberos
https://paper-seebug-org.translate.goog/3034/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
#ParsedReport #CompletenessHigh
15-09-2023
Threat Group Assessment: Turla (aka Pensive Ursa). Additional References
https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment
Report completeness: High
Actors/Campaigns:
Turla (motivation: cyber_espionage)
Tomiris
Threats:
Mispadu
Wildfire
Capibar
Carbon
Agent_btz
Crutch
Turla_silentmoon
Quietcanary
Tinyturla
Uroburos
Kazuar
Kopiluwak
Sunburst
Perseus
Topinambour
Gazer
Dll_hijacking_technique
Process_injection_technique
Victims:
Various government entities, embassies, military organizations, education, research and pharmaceutical companies
Industry:
Financial, Military, Healthcare, Education, Government
Geo:
Asia, Russian, Ukrainian, Ukraine
TTPs:
Tactics: 12
Technics: 0
IOCs:
File: 5
Path: 1
Hash: 39
Url: 13
Domain: 13
IP: 4
Soft:
macos
Algorithms:
sha256, rc4
Languages:
javascript
15-09-2023
Threat Group Assessment: Turla (aka Pensive Ursa). Additional References
https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment
Report completeness: High
Actors/Campaigns:
Turla (motivation: cyber_espionage)
Tomiris
Threats:
Mispadu
Wildfire
Capibar
Carbon
Agent_btz
Crutch
Turla_silentmoon
Quietcanary
Tinyturla
Uroburos
Kazuar
Kopiluwak
Sunburst
Perseus
Topinambour
Gazer
Dll_hijacking_technique
Process_injection_technique
Victims:
Various government entities, embassies, military organizations, education, research and pharmaceutical companies
Industry:
Financial, Military, Healthcare, Education, Government
Geo:
Asia, Russian, Ukrainian, Ukraine
TTPs:
Tactics: 12
Technics: 0
IOCs:
File: 5
Path: 1
Hash: 39
Url: 13
Domain: 13
IP: 4
Soft:
macos
Algorithms:
sha256, rc4
Languages:
javascript
Unit 42
Threat Group Assessment: Turla (aka Pensive Ursa)
A threat assessment of Turla (aka Pensive Ursa) breaks down this Russian-based APT's arsenal and techniques used, covering the top 10 active malware employed.
CTT Report Hub
#ParsedReport #CompletenessHigh 15-09-2023 Threat Group Assessment: Turla (aka Pensive Ursa). Additional References https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment Report completeness: High Actors/Campaigns: Turla (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Pensive Ursa - российская APT-группа, созданная ФСБ и обладающая широким набором вредоносных инструментов и технологий, которые нанесли значительный ущерб организациям всех размеров и отраслей. Для защиты от Pensive Ursa и других APT-групп организациям необходимо уделять приоритетное внимание комплексным стратегиям безопасности и инвестировать в многоуровневые меры защиты.
-----
Группа перспективных постоянных угроз (APT) Pensive Ursa - это российская группа, работающая под руководством ФСБ и известная своими целенаправленными вторжениями и инновационной скрытностью. Группа действует как минимум с 2004 года, атакуя жертв в более чем 45 странах мира, а также в самых разных отраслях, включая государственные структуры, посольства и военные организации, а также образовательные, исследовательские и фармацевтические компании. Эта группа была выбрана в качестве объекта оценки MITRE ATT&CK 2023 года в связи с ее глобальным воздействием.
Мы изучили 10 основных типов вредоносных программ в арсенале Pensive Ursa и проследили их исполнение через призму продукта Cortex XDR компании Palo Alto Networks. К ним относятся Capibar (он же DeliveryCheck, GAMEDAY), Kazuar, Snake, Kopiluwak, QUIETCANARY/Tunnus, Crutch, ComRAT, Carbon, HyperStack и TinyTurla. Для каждого типа вредоносных программ приводится краткое описание и анализ, а также способы обнаружения и предотвращения угроз с помощью Cortex XDR.
Впервые Capibar был замечен в 2022 году и распространялся по электронной почте в виде документов с вредоносными макросами. Он предназначен для персистенции через запланированное задание, которое загружает и запускает полезную нагрузку в памяти. Kazuar предоставляет полный доступ к скомпрометированным системам и обладает мощным набором команд. Snake - наиболее сложный инструмент в наборе инструментов Pensive Ursa, используемый для достижения персистентности и эксфильтрации данных. QUIETCANARY - легкий бэкдор, написанный на .NET, способный выполнять различные команды и применяющий RC4-шифрование для защиты C2-коммуникаций. Вредоносная программа Kopiluwak распространяется в виде многослойной полезной нагрузки на JavaScript и собирает начальную профильную информацию об инфицированной машине. Crutch был обнаружен в декабре 2020 года и представляет собой бэкдор второго уровня, стойкость которого достигается за счет перехвата DLL. ComRAT - один из самых старых бэкдоров Pensive Ursa, впервые обнаруженный в 2007 году и разработанный на языке C++. Carbon - фреймворк с возможностями P2P-коммуникаций, используемый для отправки команд другим зараженным машинам в пораженной сети. HyperStack - бэкдор RPC, впервые обнаруженный в 2018 году и использовавшийся в операциях, направленных против государственных структур в Европе. Наконец, вредоносная программа TinyTurla была впервые обнаружена компанией Talos в 2021 году и устанавливается как служба под названием Windows Time Service.
Оповещения Cortex XDR сопоставляются с системой MITRE ATT&CK и содержат информацию о тактике и технике, связанной с угрозой. Деятельность и арсенал, связанные с "Урсой", вызвали в Cortex XDR многочисленные тревоги, которые были сопоставлены с тактикой и техникой, указанными в MITRE ATT&CK.
Потенциальный ущерб от APT-атаки Pensive Ursa может быть весьма значительным. Последствия не ограничиваются только финансовыми потерями и утечкой данных, но и возможностью проникновения атаки в критически важную инфраструктуру, что может иметь последствия для национальной безопасности и геополитики. Таким образом, каждая организация, независимо от ее размера и отрасли, должна уделять приоритетное внимание комплексным стратегиям безопасности и инвестировать в многоуровневые меры защиты, чтобы противостоять растущей угрозе APT-групп, подобных Pensive Ursa.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Pensive Ursa - российская APT-группа, созданная ФСБ и обладающая широким набором вредоносных инструментов и технологий, которые нанесли значительный ущерб организациям всех размеров и отраслей. Для защиты от Pensive Ursa и других APT-групп организациям необходимо уделять приоритетное внимание комплексным стратегиям безопасности и инвестировать в многоуровневые меры защиты.
-----
Группа перспективных постоянных угроз (APT) Pensive Ursa - это российская группа, работающая под руководством ФСБ и известная своими целенаправленными вторжениями и инновационной скрытностью. Группа действует как минимум с 2004 года, атакуя жертв в более чем 45 странах мира, а также в самых разных отраслях, включая государственные структуры, посольства и военные организации, а также образовательные, исследовательские и фармацевтические компании. Эта группа была выбрана в качестве объекта оценки MITRE ATT&CK 2023 года в связи с ее глобальным воздействием.
Мы изучили 10 основных типов вредоносных программ в арсенале Pensive Ursa и проследили их исполнение через призму продукта Cortex XDR компании Palo Alto Networks. К ним относятся Capibar (он же DeliveryCheck, GAMEDAY), Kazuar, Snake, Kopiluwak, QUIETCANARY/Tunnus, Crutch, ComRAT, Carbon, HyperStack и TinyTurla. Для каждого типа вредоносных программ приводится краткое описание и анализ, а также способы обнаружения и предотвращения угроз с помощью Cortex XDR.
Впервые Capibar был замечен в 2022 году и распространялся по электронной почте в виде документов с вредоносными макросами. Он предназначен для персистенции через запланированное задание, которое загружает и запускает полезную нагрузку в памяти. Kazuar предоставляет полный доступ к скомпрометированным системам и обладает мощным набором команд. Snake - наиболее сложный инструмент в наборе инструментов Pensive Ursa, используемый для достижения персистентности и эксфильтрации данных. QUIETCANARY - легкий бэкдор, написанный на .NET, способный выполнять различные команды и применяющий RC4-шифрование для защиты C2-коммуникаций. Вредоносная программа Kopiluwak распространяется в виде многослойной полезной нагрузки на JavaScript и собирает начальную профильную информацию об инфицированной машине. Crutch был обнаружен в декабре 2020 года и представляет собой бэкдор второго уровня, стойкость которого достигается за счет перехвата DLL. ComRAT - один из самых старых бэкдоров Pensive Ursa, впервые обнаруженный в 2007 году и разработанный на языке C++. Carbon - фреймворк с возможностями P2P-коммуникаций, используемый для отправки команд другим зараженным машинам в пораженной сети. HyperStack - бэкдор RPC, впервые обнаруженный в 2018 году и использовавшийся в операциях, направленных против государственных структур в Европе. Наконец, вредоносная программа TinyTurla была впервые обнаружена компанией Talos в 2021 году и устанавливается как служба под названием Windows Time Service.
Оповещения Cortex XDR сопоставляются с системой MITRE ATT&CK и содержат информацию о тактике и технике, связанной с угрозой. Деятельность и арсенал, связанные с "Урсой", вызвали в Cortex XDR многочисленные тревоги, которые были сопоставлены с тактикой и техникой, указанными в MITRE ATT&CK.
Потенциальный ущерб от APT-атаки Pensive Ursa может быть весьма значительным. Последствия не ограничиваются только финансовыми потерями и утечкой данных, но и возможностью проникновения атаки в критически важную инфраструктуру, что может иметь последствия для национальной безопасности и геополитики. Таким образом, каждая организация, независимо от ее размера и отрасли, должна уделять приоритетное внимание комплексным стратегиям безопасности и инвестировать в многоуровневые меры защиты, чтобы противостоять растущей угрозе APT-групп, подобных Pensive Ursa.
#ParsedReport #CompletenessMedium
15-09-2023
Covert Delivery of Cobalt Strike Beacon via Sophos Phishing Website. Overview
https://cyble.com/blog/covert-delivery-of-cobalt-strike-beacon-via-sophos-phishing-website
Report completeness: Medium
Threats:
Cobalt_strike
Beacon
Typosquatting_technique
Victims:
Sophos
TTPs:
Tactics: 4
Technics: 6
IOCs:
Domain: 1
File: 4
IP: 1
Hash: 1
Soft:
internet explorer
Algorithms:
aes, gzip, sha256, base64, sha1
Functions:
click, AddScript, BeginInvoke
Languages:
javascript
15-09-2023
Covert Delivery of Cobalt Strike Beacon via Sophos Phishing Website. Overview
https://cyble.com/blog/covert-delivery-of-cobalt-strike-beacon-via-sophos-phishing-website
Report completeness: Medium
Threats:
Cobalt_strike
Beacon
Typosquatting_technique
Victims:
Sophos
TTPs:
Tactics: 4
Technics: 6
IOCs:
Domain: 1
File: 4
IP: 1
Hash: 1
Soft:
internet explorer
Algorithms:
aes, gzip, sha256, base64, sha1
Functions:
click, AddScript, BeginInvoke
Languages:
javascript
Cyble
Cobalt Strike Beacon Via Sophos Phishing Website - Cyble
Cyble Research and Intelligence labs analyzes the covert delivery of Cobalt Strike Beacon from a Sophos phishing site. Click here to read more.
CTT Report Hub
#ParsedReport #CompletenessMedium 15-09-2023 Covert Delivery of Cobalt Strike Beacon via Sophos Phishing Website. Overview https://cyble.com/blog/covert-delivery-of-cobalt-strike-beacon-via-sophos-phishing-website Report completeness: Medium Threats: Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Cyble Research & Intelligence Labs (CRIL) обнаружила опечатанный домен Sophos, который запускает загрузку вредоносного загрузчика .Net, содержащего маяк Cobalt Strike. Эта техника повышает уклончивость вредоносной программы, выполняя скрипты без порождения новых процессов и сохранения их на диске, что снижает вероятность обнаружения.
-----
Компания Cyble Research & Intelligence Labs (CRIL) обнаружила опечатанный домен компании Sophos - sopbos . com - с помощью поиска на VirusTotal. Этот фишинговый сайт выдает себя за установку Sophos Home, возможно, с помощью фишингового письма или рекламы, содержащей ссылку. При посещении сайта пользователь инициирует загрузку вредоносного .Net-загрузчика, не требующего никакого взаимодействия с пользователем. Этот загрузчик содержит встроенный сценарий PowerShell, который использует runspace для выполнения и развертывания маяка Cobalt Strike, создающего обратную TCP-оболочку.
JavaScript-код на фишинговом сайте при загрузке инициирует загрузку вредоносной программы. Он декодирует исполняемый файл в Base64-кодировке и сохраняет его в блобе. В зависимости от браузера пользователя он либо напрямую сохраняет или открывает блоб с помощью window.navigator.msSaveOrOpenBlob, либо динамически генерирует элемент якоря и имитирует событие щелчка мыши. Загружаемый файл представляет собой 64-разрядный двоичный файл .Net, использующий runspace для выполнения встроенного кода PowerShell. Этот код расшифровывает и выполняет финальный сценарий PowerShell - маяк Cobalt Strike, который создает обратную оболочку с IP-адресом, закодированным в шестнадцатеричном формате.
Cobalt Strike использовался агентами угроз (АУ) для распространения различных полезных нагрузок, включая программы-вымогатели и троянские программы удаленного доступа (RAT). Однако из-за недоступности C&C-сервера не удалось определить, какую именно полезную нагрузку собирались распространить TA. Несмотря на это, следует отметить, что для выполнения сценариев PowerShell через runspace во вредоносной программе использовался загрузчик .Net. Эта техника повышает уклончивость вредоносной программы, поскольку скрипты выполняются без порождения новых процессов и сохранения на диске, что снижает вероятность их обнаружения.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Cyble Research & Intelligence Labs (CRIL) обнаружила опечатанный домен Sophos, который запускает загрузку вредоносного загрузчика .Net, содержащего маяк Cobalt Strike. Эта техника повышает уклончивость вредоносной программы, выполняя скрипты без порождения новых процессов и сохранения их на диске, что снижает вероятность обнаружения.
-----
Компания Cyble Research & Intelligence Labs (CRIL) обнаружила опечатанный домен компании Sophos - sopbos . com - с помощью поиска на VirusTotal. Этот фишинговый сайт выдает себя за установку Sophos Home, возможно, с помощью фишингового письма или рекламы, содержащей ссылку. При посещении сайта пользователь инициирует загрузку вредоносного .Net-загрузчика, не требующего никакого взаимодействия с пользователем. Этот загрузчик содержит встроенный сценарий PowerShell, который использует runspace для выполнения и развертывания маяка Cobalt Strike, создающего обратную TCP-оболочку.
JavaScript-код на фишинговом сайте при загрузке инициирует загрузку вредоносной программы. Он декодирует исполняемый файл в Base64-кодировке и сохраняет его в блобе. В зависимости от браузера пользователя он либо напрямую сохраняет или открывает блоб с помощью window.navigator.msSaveOrOpenBlob, либо динамически генерирует элемент якоря и имитирует событие щелчка мыши. Загружаемый файл представляет собой 64-разрядный двоичный файл .Net, использующий runspace для выполнения встроенного кода PowerShell. Этот код расшифровывает и выполняет финальный сценарий PowerShell - маяк Cobalt Strike, который создает обратную оболочку с IP-адресом, закодированным в шестнадцатеричном формате.
Cobalt Strike использовался агентами угроз (АУ) для распространения различных полезных нагрузок, включая программы-вымогатели и троянские программы удаленного доступа (RAT). Однако из-за недоступности C&C-сервера не удалось определить, какую именно полезную нагрузку собирались распространить TA. Несмотря на это, следует отметить, что для выполнения сценариев PowerShell через runspace во вредоносной программе использовался загрузчик .Net. Эта техника повышает уклончивость вредоносной программы, поскольку скрипты выполняются без порождения новых процессов и сохранения на диске, что снижает вероятность их обнаружения.
#ParsedReport #CompletenessLow
15-09-2023
Spreading of malicious LNK impersonating the National Tax Service
https://asec.ahnlab.com/ko/57088
Report completeness: Low
Threats:
Quasar_rat
Amadey
Infostealer/bat.generic.s2319
Trojan/bat.runner.sc192407
Geo:
Korean
IOCs:
File: 19
Url: 4
Hash: 7
Algorithms:
zip
15-09-2023
Spreading of malicious LNK impersonating the National Tax Service
https://asec.ahnlab.com/ko/57088
Report completeness: Low
Threats:
Quasar_rat
Amadey
Infostealer/bat.generic.s2319
Trojan/bat.runner.sc192407
Geo:
Korean
IOCs:
File: 19
Url: 4
Hash: 7
Algorithms:
zip
ASEC
국세청을 사칭한 악성 LNK 유포 - ASEC
국세청을 사칭한 악성 LNK 유포 ASEC
#ParsedReport #CompletenessLow
15-09-2023
Why Are You Texting Me? UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety. Cyber Defense Self-Assessment
https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware
Report completeness: Low
Actors/Campaigns:
Unc3944 (motivation: financially_motivated, information_theft)
0ktapus
Threats:
Recordstealer
Anydesk_tool
Meduza
Vidar_stealer
Blackcat
Megasync_tool
Ad_explorer_tool
Adrecon
Pingcastle_tool
Putty_tool
Plink_tool
Impacket_tool
Dwagent_tool
Fleetdeck_tool
Parsec_tool
Remotepc_tool
Rustdesk_tool
Screenconnect_tool
Splashtop_tool
Teamviewer_tool
Tightvnc_tool
Twingate_tool
Mimikatz_tool
Victims:
Organizations in the financial sector and other industries
Industry:
Healthcare, Financial, Telco, Entertainment, Retail, Bp_outsourcing
TTPs:
Tactics: 2
Technics: 0
Soft:
telegram, hashicorp vault, azure active directory, windows defender, microsoft defender, outlook, openssh proxifier, chrome, psexec, pulseway, have more...
Languages:
python
Links:
15-09-2023
Why Are You Texting Me? UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety. Cyber Defense Self-Assessment
https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware
Report completeness: Low
Actors/Campaigns:
Unc3944 (motivation: financially_motivated, information_theft)
0ktapus
Threats:
Recordstealer
Anydesk_tool
Meduza
Vidar_stealer
Blackcat
Megasync_tool
Ad_explorer_tool
Adrecon
Pingcastle_tool
Putty_tool
Plink_tool
Impacket_tool
Dwagent_tool
Fleetdeck_tool
Parsec_tool
Remotepc_tool
Rustdesk_tool
Screenconnect_tool
Splashtop_tool
Teamviewer_tool
Tightvnc_tool
Twingate_tool
Mimikatz_tool
Victims:
Organizations in the financial sector and other industries
Industry:
Healthcare, Financial, Telco, Entertainment, Retail, Bp_outsourcing
TTPs:
Tactics: 2
Technics: 0
Soft:
telegram, hashicorp vault, azure active directory, windows defender, microsoft defender, outlook, openssh proxifier, chrome, psexec, pulseway, have more...
Languages:
python
Links:
https://github.com/NetSPI/MicroBursthttps://github.com/fortra/impacket/blob/master/examples/wmiexec.pyhttps://github.com/fortra/impacket/blob/master/examples/secretsdump.pyhttps://github.com/C-Sto/gosecretsdumpGoogle Cloud Blog
Why Are You Texting Me? UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety | Google…
CTT Report Hub
#ParsedReport #CompletenessLow 15-09-2023 Why Are You Texting Me? UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety. Cyber Defense Self-Assessment https://www.mandiant.com/resources/blog/unc3944-sms-phishing…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что UNC3944 представляет собой финансово мотивированный кластер угроз, использующий социальную инженерию, SMS-фишинг и ransomware для получения доступа к конфиденциальным данным и системам с целью вымогательства. Они определили как минимум три фишинговых набора, которые они используют, и были замечены в использовании общедоступных инструментов для кражи учетных данных и загрузки программного обеспечения с сайтов производителей или репозиториев GitHub. Вполне вероятно, что они продолжат совершенствовать свои методы работы и тактику монетизации.
-----
UNC3944 представляет собой финансово мотивированный кластер угроз, который постоянно использует телефонную социальную инженерию и SMS-фишинг для получения учетных данных. С 2022 года UNC3944 сосредоточилась на получении доступа к учетным данным или системам, используемым для атак с подменой SIM-карт, а в середине 2023 года UNC3944 начала переходить к развертыванию программ-вымогателей в средах жертв. UNC3944 демонстрирует стремление к похищению больших объемов конфиденциальных данных с целью вымогательства и, судя по всему, понимает западную деловую практику, что может быть связано с географическим составом группы.
Для получения первоначального доступа UNC3944 в основном использует социальную инженерию: выдает себя за сотрудников при звонках в службу поддержки, устанавливает вредоносное ПО для кражи учетных данных RECORDSTEALER и использует фишинговые наборы для отправки перехваченных учетных данных в Telegram-каналы, контролируемые оператором. Также были замечены случаи использования неавторизованных федеративных провайдеров идентификационных данных для осуществления атак с использованием "золотого" SAML, создания виртуальных машин Azure с публичными IP-адресами, отключения правил брандмауэра и выполнения полезной нагрузки в виде выкупного ПО.
Компания UNC3944 выявила как минимум три фишинговых набора, используемых ею для проведения своих кампаний. Первый комплект, EIGHTBAIT, предназначен для отправки перехваченных учетных данных в Telegram-канал, контролируемый агентом, и позволяет развернуть AnyDesk на системе жертвы. Второй комплект, судя по всему, был создан на основе веб-страницы, скопированной у целевой организации, и использует типовую тему аутентификации. Третий набор имеет значительное визуальное и структурное сходство со вторым набором.
UNC3944 также использует общедоступные средства кражи учетных данных, копию клиента Vault, модуль PowerShell для CyberArk API, Trufflehog, GitGuardian, MicroBurst, а также различные инфокрады (ULTRAKNOT, VIDAR, ATOMIC).
Вполне вероятно, что UNC3944 продолжит совершенствовать свои профессиональные навыки и может привлекать подпольные сообщества для поддержки, чтобы повысить эффективность своих операций. Мы предполагаем, что в ходе вторжений, связанных с UNC3944, будут использоваться различные инструменты, методы и тактики монетизации, поскольку участники будут находить новых партнеров и переключаться между различными сообществами. UNC3944 часто размещает свои фишинговые наборы на доменах со следующими шаблонами и использует встроенные инструменты/команды, а также загружает общедоступные инструменты и программное обеспечение с сайтов производителей или из репозиториев GitHub.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что UNC3944 представляет собой финансово мотивированный кластер угроз, использующий социальную инженерию, SMS-фишинг и ransomware для получения доступа к конфиденциальным данным и системам с целью вымогательства. Они определили как минимум три фишинговых набора, которые они используют, и были замечены в использовании общедоступных инструментов для кражи учетных данных и загрузки программного обеспечения с сайтов производителей или репозиториев GitHub. Вполне вероятно, что они продолжат совершенствовать свои методы работы и тактику монетизации.
-----
UNC3944 представляет собой финансово мотивированный кластер угроз, который постоянно использует телефонную социальную инженерию и SMS-фишинг для получения учетных данных. С 2022 года UNC3944 сосредоточилась на получении доступа к учетным данным или системам, используемым для атак с подменой SIM-карт, а в середине 2023 года UNC3944 начала переходить к развертыванию программ-вымогателей в средах жертв. UNC3944 демонстрирует стремление к похищению больших объемов конфиденциальных данных с целью вымогательства и, судя по всему, понимает западную деловую практику, что может быть связано с географическим составом группы.
Для получения первоначального доступа UNC3944 в основном использует социальную инженерию: выдает себя за сотрудников при звонках в службу поддержки, устанавливает вредоносное ПО для кражи учетных данных RECORDSTEALER и использует фишинговые наборы для отправки перехваченных учетных данных в Telegram-каналы, контролируемые оператором. Также были замечены случаи использования неавторизованных федеративных провайдеров идентификационных данных для осуществления атак с использованием "золотого" SAML, создания виртуальных машин Azure с публичными IP-адресами, отключения правил брандмауэра и выполнения полезной нагрузки в виде выкупного ПО.
Компания UNC3944 выявила как минимум три фишинговых набора, используемых ею для проведения своих кампаний. Первый комплект, EIGHTBAIT, предназначен для отправки перехваченных учетных данных в Telegram-канал, контролируемый агентом, и позволяет развернуть AnyDesk на системе жертвы. Второй комплект, судя по всему, был создан на основе веб-страницы, скопированной у целевой организации, и использует типовую тему аутентификации. Третий набор имеет значительное визуальное и структурное сходство со вторым набором.
UNC3944 также использует общедоступные средства кражи учетных данных, копию клиента Vault, модуль PowerShell для CyberArk API, Trufflehog, GitGuardian, MicroBurst, а также различные инфокрады (ULTRAKNOT, VIDAR, ATOMIC).
Вполне вероятно, что UNC3944 продолжит совершенствовать свои профессиональные навыки и может привлекать подпольные сообщества для поддержки, чтобы повысить эффективность своих операций. Мы предполагаем, что в ходе вторжений, связанных с UNC3944, будут использоваться различные инструменты, методы и тактики монетизации, поскольку участники будут находить новых партнеров и переключаться между различными сообществами. UNC3944 часто размещает свои фишинговые наборы на доменах со следующими шаблонами и использует встроенные инструменты/команды, а также загружает общедоступные инструменты и программное обеспечение с сайтов производителей или из репозиториев GitHub.
#technique
Hypervisor Detection with SystemHypervisorDetailInformation
https://medium.com/@matterpreter/hypervisor-detection-with-systemhypervisordetailinformation-26e44a57f80e
Hypervisor Detection with SystemHypervisorDetailInformation
https://medium.com/@matterpreter/hypervisor-detection-with-systemhypervisordetailinformation-26e44a57f80e
Medium
Hypervisor Detection with SystemHypervisorDetailInformation
Reversing how Windows gets hypervisor information
#technique
Fully Integrated Adversarial Operations Toolkit (C2, stagers, agents, ephemeral infrastructure, phishing engine, and automation)
https://github.com/malcomvetter/Periscope
Fully Integrated Adversarial Operations Toolkit (C2, stagers, agents, ephemeral infrastructure, phishing engine, and automation)
https://github.com/malcomvetter/Periscope
#ParsedReport #CompletenessMedium
18-09-2023
CapraTube \| Transparent Tribe s CapraRAT Mimics YouTube to Hijack Android Phones
https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones
Report completeness: Medium
Actors/Campaigns:
Transparenttribe
Threats:
Caprarat
Androrat_rat
Crimson_rat
Pupy_rat
Dns_tunneling_technique
Victims:
Military and diplomatic personnel in both india and pakistan, Indian education sector, Spear-phishing targets privy to affairs involving the disputed region of kashmir, Human rights activists working on matters related to pakistan
Industry:
Military, Education
Geo:
Indian, Pakistan, Kashmir, Pakistani, India
ChatGPT TTPs:
T1193, T1197, T1192, T1119
IOCs:
Hash: 3
File: 3
Domain: 4
IP: 3
Soft:
android, windows remote desktop
Algorithms:
sha1
Functions:
check_permissions
Links:
18-09-2023
CapraTube \| Transparent Tribe s CapraRAT Mimics YouTube to Hijack Android Phones
https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones
Report completeness: Medium
Actors/Campaigns:
Transparenttribe
Threats:
Caprarat
Androrat_rat
Crimson_rat
Pupy_rat
Dns_tunneling_technique
Victims:
Military and diplomatic personnel in both india and pakistan, Indian education sector, Spear-phishing targets privy to affairs involving the disputed region of kashmir, Human rights activists working on matters related to pakistan
Industry:
Military, Education
Geo:
Indian, Pakistan, Kashmir, Pakistani, India
ChatGPT TTPs:
do not use without manual checkT1193, T1197, T1192, T1119
IOCs:
Hash: 3
File: 3
Domain: 4
IP: 3
Soft:
android, windows remote desktop
Algorithms:
sha1
Functions:
check_permissions
Links:
https://github.com/karma9874/AndroRAT/tree/masterhttps://github.com/judemanutd/AutoStarterSentinelOne
CapraTube | Transparent Tribe’s CapraRAT Mimics YouTube to Hijack Android Phones
Pakistan-aligned threat actor weaponizes fake YouTube apps on the Android platform to deliver mobile remote access trojan spyware.
CTT Report Hub
#ParsedReport #CompletenessMedium 18-09-2023 CapraTube \| Transparent Tribe s CapraRAT Mimics YouTube to Hijack Android Phones https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания SentinelLabs обнаружила три новых пакета приложений (APK) для Android, связанных с мобильным трояном удаленного доступа CapraRAT компании Transparent Tribe, которые имитируют внешний вид YouTube и распространяются вне Google Play Store. Transparent Tribe - постоянный игрок с предсказуемыми повадками, и их решение создать приложение, похожее на YouTube, является новым дополнением к известной тенденции по оснащению Android-приложений шпионским ПО. Лицам и организациям, связанным с дипломатической, военной или активистской деятельностью в регионах Индии и Пакистана, следует оценить возможности защиты от этого агента и угрозы.
-----
Компания SentinelLabs обнаружила три новых пакета приложений (APK) для Android, связанных с мобильным троянцем удаленного доступа (RAT) CapraRAT компании Transparent Tribe. Эти APK имитируют внешний вид YouTube, хотя их функциональность ниже, чем у легитимного "родного" приложения YouTube для Android. Transparent Tribe - предполагаемый пакистанский агент, известный своими атаками на военных и дипломатических работников в Индии и Пакистане, а в последнее время и на индийский образовательный сектор. С 2018 года они используют CapraRAT - фреймворк для Android, который скрывает функции RAT внутри другого приложения.
CapraRAT - это высокоинвазивный инструмент, позволяющий злоумышленнику контролировать большую часть данных на зараженных им Android-устройствах. Он распространяется в виде APK-файла для Android и, скорее всего, в значительной степени основан на исходном коде AndroRAT. Приложения распространяются вне магазина Google Play Store, используя для установки самостоятельные веб-сайты и социальную инженерию. В 2023 году группа распространяла Android-приложения CapraRAT, замаскированные под службу знакомств, которые вели шпионскую деятельность. Один из недавно выявленных APK обращается к каналу YouTube, принадлежащему Пие Шарма (Piya Sharma), на котором размещено несколько коротких роликов с изображением женщины в различных местах. Этот APK также заимствует имя и внешность человека, что позволяет предположить, что он продолжает использовать методы социальной инженерии, основанные на романтике, чтобы убедить цели установить приложения.
CapraRAT - это комплексная RAT, предоставляющая злоумышленникам возможность сбора данных по запросу и их эксфильтрации. Среди особенностей можно отметить возможность скрывать приложение от глаз пользователя, адрес командно-контрольного сервера, который задается в конфигурационном файле, и синтаксис версии, совпадающий с синтаксисом, используемым для отслеживания Windows-инструмента CrimsonRAT компании Transparent Tribe. Основная функциональность RAT размещается в активности под названием TPSClient.
В результате анализа APK были обнаружены доменные имена и IP-адреса, связанные с Transparent Tribe, в том числе ptzbubble.shop и claudfront.net, зарегистрированные примерно в то же время, что и отчет ESET о приложениях этой группы для Android. Кроме того, IP-адрес 84.46.251.145, на котором расположен ptzbubble.shop, имеет исторические разрешения, связанные с поисками DNS-туннелей Decoy Dog Pupy RAT.
Transparent Tribe - это стойкие агенты с предсказуемыми повадками. Относительно низкая планка оперативной безопасности позволяет быстро выявлять их инструменты. Решение группы создать приложение, похожее на YouTube, является новым дополнением к известной тенденции по оснащению Android-приложений шпионскими программами и их распространению через социальные сети. Лицам и организациям, связанным с дипломатической, военной или активистской деятельностью в регионах Индии и Пакистана, следует оценить возможности защиты от этого агента и угрозы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания SentinelLabs обнаружила три новых пакета приложений (APK) для Android, связанных с мобильным трояном удаленного доступа CapraRAT компании Transparent Tribe, которые имитируют внешний вид YouTube и распространяются вне Google Play Store. Transparent Tribe - постоянный игрок с предсказуемыми повадками, и их решение создать приложение, похожее на YouTube, является новым дополнением к известной тенденции по оснащению Android-приложений шпионским ПО. Лицам и организациям, связанным с дипломатической, военной или активистской деятельностью в регионах Индии и Пакистана, следует оценить возможности защиты от этого агента и угрозы.
-----
Компания SentinelLabs обнаружила три новых пакета приложений (APK) для Android, связанных с мобильным троянцем удаленного доступа (RAT) CapraRAT компании Transparent Tribe. Эти APK имитируют внешний вид YouTube, хотя их функциональность ниже, чем у легитимного "родного" приложения YouTube для Android. Transparent Tribe - предполагаемый пакистанский агент, известный своими атаками на военных и дипломатических работников в Индии и Пакистане, а в последнее время и на индийский образовательный сектор. С 2018 года они используют CapraRAT - фреймворк для Android, который скрывает функции RAT внутри другого приложения.
CapraRAT - это высокоинвазивный инструмент, позволяющий злоумышленнику контролировать большую часть данных на зараженных им Android-устройствах. Он распространяется в виде APK-файла для Android и, скорее всего, в значительной степени основан на исходном коде AndroRAT. Приложения распространяются вне магазина Google Play Store, используя для установки самостоятельные веб-сайты и социальную инженерию. В 2023 году группа распространяла Android-приложения CapraRAT, замаскированные под службу знакомств, которые вели шпионскую деятельность. Один из недавно выявленных APK обращается к каналу YouTube, принадлежащему Пие Шарма (Piya Sharma), на котором размещено несколько коротких роликов с изображением женщины в различных местах. Этот APK также заимствует имя и внешность человека, что позволяет предположить, что он продолжает использовать методы социальной инженерии, основанные на романтике, чтобы убедить цели установить приложения.
CapraRAT - это комплексная RAT, предоставляющая злоумышленникам возможность сбора данных по запросу и их эксфильтрации. Среди особенностей можно отметить возможность скрывать приложение от глаз пользователя, адрес командно-контрольного сервера, который задается в конфигурационном файле, и синтаксис версии, совпадающий с синтаксисом, используемым для отслеживания Windows-инструмента CrimsonRAT компании Transparent Tribe. Основная функциональность RAT размещается в активности под названием TPSClient.
В результате анализа APK были обнаружены доменные имена и IP-адреса, связанные с Transparent Tribe, в том числе ptzbubble.shop и claudfront.net, зарегистрированные примерно в то же время, что и отчет ESET о приложениях этой группы для Android. Кроме того, IP-адрес 84.46.251.145, на котором расположен ptzbubble.shop, имеет исторические разрешения, связанные с поисками DNS-туннелей Decoy Dog Pupy RAT.
Transparent Tribe - это стойкие агенты с предсказуемыми повадками. Относительно низкая планка оперативной безопасности позволяет быстро выявлять их инструменты. Решение группы создать приложение, похожее на YouTube, является новым дополнением к известной тенденции по оснащению Android-приложений шпионскими программами и их распространению через социальные сети. Лицам и организациям, связанным с дипломатической, военной или активистской деятельностью в регионах Индии и Пакистана, следует оценить возможности защиты от этого агента и угрозы.
#ParsedReport #CompletenessMedium
15-09-2023
Agent Tesla s Unique Approach: VBS and Steganography for Delivery and Intrusion
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/agent-teslas-unique-approach-vbs-and-steganography-for-delivery-and-intrusion
Report completeness: Medium
Actors/Campaigns:
Dev-0960
Threats:
Agent_tesla
Steganography_technique
Process_injection_technique
Dll_injection_technique
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1059, T1086, T1106, T1105, T1201, T1071, T1032, T1057, T1077, T1076, have more...
IOCs:
File: 2
Path: 1
Hash: 5
Soft:
net framework, telegram, opera, chromium
Algorithms:
base64
Functions:
Windows, This, Function
Win API:
VirtualAllocEx, CreateProcessA, ReadProcessMemory, GetThreadContext, SetThreadContext, ZwUnmapViewOfSection, WriteProcessMemory, ResumeThread
15-09-2023
Agent Tesla s Unique Approach: VBS and Steganography for Delivery and Intrusion
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/agent-teslas-unique-approach-vbs-and-steganography-for-delivery-and-intrusion
Report completeness: Medium
Actors/Campaigns:
Dev-0960
Threats:
Agent_tesla
Steganography_technique
Process_injection_technique
Dll_injection_technique
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1059, T1086, T1106, T1105, T1201, T1071, T1032, T1057, T1077, T1076, have more...
IOCs:
File: 2
Path: 1
Hash: 5
Soft:
net framework, telegram, opera, chromium
Algorithms:
base64
Functions:
Windows, This, Function
Win API:
VirtualAllocEx, CreateProcessA, ReadProcessMemory, GetThreadContext, SetThreadContext, ZwUnmapViewOfSection, WriteProcessMemory, ResumeThread
McAfee Blog
Agent Tesla's Unique Approach: VBS and Steganography for Delivery and Intrusion | McAfee Blog
Authored by Yashvi Shah Agent Tesla functions as a Remote Access Trojan (RAT) and an information stealer built on the .NET framework. It is capable of
CTT Report Hub
#ParsedReport #CompletenessMedium 15-09-2023 Agent Tesla s Unique Approach: VBS and Steganography for Delivery and Intrusion https://www.mcafee.com/blogs/other-blogs/mcafee-labs/agent-teslas-unique-approach-vbs-and-steganography-for-delivery-and-intrusion…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Agent Tesla - троянец удаленного доступа (RAT) и похититель информации, распространяемый через обманчивые электронные письма и использующий методы обфускации, чтобы избежать обнаружения. Он похищает данные из различных веб-браузеров и почтовых клиентов и выводит их через SMTP-коммуникации.
-----
Agent Tesla - это троянец удаленного доступа (RAT) и похититель информации, построенный на базе фреймворка .NET. Он используется для сбора различных данных с зараженных компьютеров, таких как нажатия клавиш, содержимое буфера обмена и файлы, хранящиеся на диске. Обычно он распространяется через обманчивые электронные письма, маскирующиеся под деловые запросы или обновления о поставках. При открытии вредоносных вложений происходит установка вредоносного ПО, часто скрытая с помощью обфускации. Затем вредоносная программа связывается с командным сервером, извлекает скомпрометированные данные и отправляет их на свой командный сервер по различным каналам, включая HTTP(S), SMTP, FTP или даже через канал Telegram.
Компания McAfee Labs обнаружила разновидность Agent Tesla, распространяемую через файлы VBScript (VBS) и отличающуюся от обычных способов распространения. VBS-файл - это файл сценария, используемый в Windows для автоматизации задач, настройки систем и выполнения различных действий. При эксплуатации злоумышленниками они могут использоваться для доставки вредоносного кода и выполнения опасных действий на компьютере. В данном случае исследуемый VBS-файл выполнял множество команд PowerShell, а затем с помощью стеганографии осуществлял инъекцию процесса в RegAsm.exe.
Для того чтобы избежать обнаружения средствами статического анализа, вредоносная программа использует методы обфускации. После декодирования извлекается DLL-файл .NET и загружается в сборку. Этот вредоносный DLL-файл получает текстовый файл с сервера C2 и сохраняет его в переменной под названием 'text'. Затем с помощью инъекции процесса вредоносный код вставляется в легитимный инструмент Windows под названием RegAsm.exe для кражи данных с целевой системы.
Агент Tesla собирает данные из различных веб-браузеров и почтовых клиентов, такие как учетные данные, содержание сообщений, списки контактов, настройки почтового сервера и вложения. Эти данные передаются по протоколу SMTP с использованием одной скомпрометированной учетной записи электронной почты для упрощения процесса.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Agent Tesla - троянец удаленного доступа (RAT) и похититель информации, распространяемый через обманчивые электронные письма и использующий методы обфускации, чтобы избежать обнаружения. Он похищает данные из различных веб-браузеров и почтовых клиентов и выводит их через SMTP-коммуникации.
-----
Agent Tesla - это троянец удаленного доступа (RAT) и похититель информации, построенный на базе фреймворка .NET. Он используется для сбора различных данных с зараженных компьютеров, таких как нажатия клавиш, содержимое буфера обмена и файлы, хранящиеся на диске. Обычно он распространяется через обманчивые электронные письма, маскирующиеся под деловые запросы или обновления о поставках. При открытии вредоносных вложений происходит установка вредоносного ПО, часто скрытая с помощью обфускации. Затем вредоносная программа связывается с командным сервером, извлекает скомпрометированные данные и отправляет их на свой командный сервер по различным каналам, включая HTTP(S), SMTP, FTP или даже через канал Telegram.
Компания McAfee Labs обнаружила разновидность Agent Tesla, распространяемую через файлы VBScript (VBS) и отличающуюся от обычных способов распространения. VBS-файл - это файл сценария, используемый в Windows для автоматизации задач, настройки систем и выполнения различных действий. При эксплуатации злоумышленниками они могут использоваться для доставки вредоносного кода и выполнения опасных действий на компьютере. В данном случае исследуемый VBS-файл выполнял множество команд PowerShell, а затем с помощью стеганографии осуществлял инъекцию процесса в RegAsm.exe.
Для того чтобы избежать обнаружения средствами статического анализа, вредоносная программа использует методы обфускации. После декодирования извлекается DLL-файл .NET и загружается в сборку. Этот вредоносный DLL-файл получает текстовый файл с сервера C2 и сохраняет его в переменной под названием 'text'. Затем с помощью инъекции процесса вредоносный код вставляется в легитимный инструмент Windows под названием RegAsm.exe для кражи данных с целевой системы.
Агент Tesla собирает данные из различных веб-браузеров и почтовых клиентов, такие как учетные данные, содержание сообщений, списки контактов, настройки почтового сервера и вложения. Эти данные передаются по протоколу SMTP с использованием одной скомпрометированной учетной записи электронной почты для упрощения процесса.