CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessHigh 21-11-2023 MetaStealer - Redline's Doppelgnger RussianPanda https://russianpanda95.github.io/2023/11/20/MetaStealer-Redline's-Doppelganger Report completeness: High Threats: Meta_stealer Redline_stealer Confuser_tool Confuserex_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что MetaStealer - это недавно выпущенная вредоносная программа-кража по цене 150 долл. в месяц, использующая XOR для расшифровки строк и доступ к реестру Windows для сбора системной информации. Для связи с сервером Command and Control (C2) он использует hxxp://tempuri.org/Contract/MSValue1, а для его обнаружения имеется правило Yara. Кроме того, разработчик активно рекламирует услуги криптовалюты crypter . guru для своих пользователей.
-----

MetaStealer - недавно появившаяся на российских хакерских форумах вредоносная программа для кражи, вобравшая в себя функциональность, код и панель Redline Stealer. Его стоимость составляет 150 долл. в месяц, он автоматически обфусцируется с помощью Confuser Core 1.6.0, в бинарном описании которого содержится текст METRO 2022 Dev. Вредоносная программа использует XOR для расшифровки строк, чтобы извлечь из системы такую информацию, как часовой пояс, идентификатор сборки, имя похитителя, имя пользователя, версия Windows, размер экрана, MD5-хэш и физические диски. Кроме того, он ищет установленные VPN-приложения и веб-браузеры, обращаясь к реестру Windows. Для связи со своим командно-контрольным (C2) сервером он использует hxxp://tempuri.org/Contract/MSValue1, а для его обнаружения имеется правило Yara. Кроме того, разработчик активно рекламирует услуги криптовалюты crypter . guru для своих пользователей.

Чтобы получить доступ к вредоносному ПО, необходимо сначала определить и извлечь строки из бинарного файла .NET. Для этого используется модуль dnlib, который с помощью регулярных выражений определяет строки, закодированные в Base64. После обнаружения строки расшифровываются с помощью XOR, а затем Base64 для декодирования расшифрованных строк.
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 Check Point Research Unraveling the Rug Pull: a Million-Dollar Scam with a Fake Token Factory https://research.checkpoint.com/2023/check-point-research-unraveling-the-rug-pull-a-million-dollar-scam-with-a-fake-token…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Блокчейн-система Check Point Threat Intel выявила и предупредила о попытке кражи миллиона долларов и ведет активный мониторинг доменов, связанных с адресом кошелька мошенника, чтобы защитить пользователей и их средства от злоумышленников.
-----

Блокчейн-система Check Point Threat Intel выявила продолжающуюся аферу, в результате которой было похищено около 1 млн долл. Мошенничество проходило в несколько этапов, включая создание фальшивых токенов, манипулирование пулами ликвидности, имитацию торговых операций и извлечение средств.

Мошенник создавал фальшивые токены, вливал средства в пул токенов, имитировал сделки и раздувал объем, чтобы привлечь покупателей. Мошенник использовал два маршрута для обмена с WETH (покупка) на GROK 2.0 (продажа). Мошенник использовал функцию swapExcatToekensSupportingFeeOnTransferTokens из Uniswap Router (varg0), чтобы 9 раз произвести своп с WETH (varg1) на GROK (varg2). После привлечения достаточного количества покупателей и повышения цены токенов мошенник вывел ликвидность из пула токенов, оставив покупателей токенов без средств.

Исследователи Check Point ведут активный мониторинг доменов, связанных с адресом кошелька выявленного мошенника и ему подобных. Блокчейн-система Check Point Threat Intel продолжает накапливать ценную информацию о возникающих угрозах, помогая защитить пользователей и их средства от злоумышленников.

С помощью своей блокчейн-системы Threat Intel компания Check Point выявила и предупредила о попытке кражи миллиона долларов. Контролируя и отслеживая подозрительную активность, Check Point помогает защитить пользователей и их средства от злоумышленников. Поэтому пользователям необходимо сохранять бдительность и соблюдать осторожность при работе с криптовалютами.
#ParsedReport #CompletenessLow
21-11-2023

Kimsuky targets domestic research institutes by disguising import declarations.

https://asec.ahnlab.com/ko/59209

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Dropper/js.generic
Backdoor/win.nikidoor

ChatGPT TTPs:
do not use without manual check
T1193, T1083, T1012, T1064, T1060, T1053, T1202, T1036, T1071, T1059, have more...

IOCs:
File: 6
Command: 4
Path: 1
Hash: 2
Url: 2

Soft:
curl

Algorithms:
base64
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 Kimsuky targets domestic research institutes by disguising import declarations. https://asec.ahnlab.com/ko/59209 Report completeness: Low Actors/Campaigns: Kimsuky (motivation: information_theft) Threats: Dropper/js.generic…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Атакующая группа Kimsuky распространяет вредоносные файлы JSE, замаскированные под PDF-файлы, которые используются для кражи информации и выполнения команд. Распознать вредоносный дроппер достаточно сложно, поэтому важно не открывать вложения из неизвестных источников.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил, что атакующая группа Kimsuky распространяет вредоносные файлы JSE, замаскированные под декларации об импорте. Злоумышленники используют эти файлы-дропперы для кражи информации и выполнения команд. Файл-дроппер имеет название Import declaration.PDF и представляет собой обычный PDF-файл. Он автоматически выполняется сценарием Powershell, который затем создает файл бэкдора vuVvMKg.i3IO по пути %ProgramData%. Этот файл содержит вредоносный код, который выполняется с помощью rundll32.exe, а затем копируется в пути %ProgramData% и %Public%, где регистрирует расписание работы.

Затем бэкдор проверяет антивирусный статус целевой системы и собирает сетевую информацию с помощью команд wmic и ipconfig. После этого он перехватывает системную информацию, такую как имя хоста, имя пользователя, версия ОС, кодирует и передает результаты выполнения команд на C2-сервер, чтобы избежать обнаружения. Кроме того, он выполняет другие команды в качестве бэкдора и имеет функцию загрузки на C2-сервер с помощью инструмента curl. Поскольку вредоносный дроппер обычно маскируется под PDF-файл, обычным пользователям трудно распознать, что они заражены вредоносным ПО. Поэтому важно не открывать вложения из неизвестных источников.
#ParsedReport #CompletenessLow
21-11-2023

Atomic Stealer distributed to Mac users via fake browser updates

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates

Report completeness: Low

Threats:
Amos_stealer
Clearfake

Victims:
Mac os users

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 4
Hash: 2
IP: 1

Soft:
mac os, google chrome, chrome, macos

Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 Atomic Stealer distributed to Mac users via fake browser updates https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ClearFake - это вредоносная кампания, распространяющая среди пользователей Mac поддельные обновления браузеров и содержащая полезную нагрузку Atomic Stealer, которая позволяет похищать пароли и файлы. Для защиты от этой угрозы пользователям следует использовать средства веб-защиты.
-----

Atomic Stealer, также известный как AMOS, - популярный похититель для Mac OS, который недавно был доставлен жертвам через цепочку поддельных обновлений браузера, отслеживаемую как ClearFake. Это первый случай, когда одна из основных социально-инженерных кампаний, ранее предназначавшаяся для Windows, расширяется в сторону операционных систем.

ClearFake - это новая вредоносная кампания, использующая скомпрометированные веб-сайты для распространения поддельных обновлений браузера и являющаяся одной из самых опасных схем социальной инженерии. Изначально она была обнаружена Рэнди Макуином в августе и с тех пор претерпела несколько модернизаций, включая использование смарт-контрактов для построения механизма перенаправления. 17 ноября исследователь безопасности Анкит Анубхав заметил, что ClearFake распространяется и среди пользователей Mac с соответствующей полезной нагрузкой.

Вредоносное приложение содержит команды для захвата паролей и файлов и отправляет их на командно-контрольный сервер вредоносной программы. Фальшивые обновления браузеров уже много лет являются распространенной темой для пользователей Windows, но впервые они стали постоянно использоваться против пользователей MacOS.

Учитывая популярность таких похитителей, как AMOS, пользователям Mac следует обратить особое внимание на ClearFake. Для защиты пользователям следует использовать средства веб-защиты для блокирования вредоносной инфраструктуры, связанной с этим агентом угроз. Пользователи Malwarebytes уже защищены от Atomic Stealer.
#ParsedReport #CompletenessMedium
21-11-2023

The Platform Matters: A Comparative Study on Linux and Windows Ransomware Attacks

https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks

Report completeness: Medium

Actors/Campaigns:
Vice_society

Threats:
Babuk
Gpcode
Reveton
Maori
Clop
Cylance
Icefire
Blackcat
Esxiargs
Rorschach
Monti
Lockbit
Gwisin
Revil
Ryuk
Emotet
Magnitude
Rig_tool
Lolbin_technique
Quasar_rat
Mirai
Wannacry
Cobalt_strike
Poseidon
Merlin_tool
Trickbot
Hellokitty
Royal_ransomware
Conti
Moneybird
Cryptopp_tool
Petya
Mespinoza
Ransomware.wins

Industry:
Financial

CVEs:
CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)


TTPs:
Tactics: 3
Technics: 0

IOCs:
File: 2

Soft:
esxi, openssl, windows task scheduler, winscp, curl

Wallets:
harmony_wallet

Algorithms:
rc4, sosemanuk, aes, chacha20

Languages:
golang, rust

Platforms:
cross-platform

Links:
https://github.com/vxunderground/MalwareSourceCode/blob/main/Win32/Ransomware/Ransomware.Multi.Babuk.c.rar
https://github.com/MythicAgents/poseidon
https://github.com/MythicAgents/merlin
CTT Report Hub
#ParsedReport #CompletenessMedium 21-11-2023 The Platform Matters: A Comparative Study on Linux and Windows Ransomware Attacks https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что программы-вымогатели представляют собой растущую угрозу для Linux-систем, и Check Point Research провела исследование с целью выявления мотивов, точек входа и методов шифрования, лежащих в основе этих атак. Клиенты Check Point защищены от этих угроз с помощью продуктов Harmony Endpoint и Threat Emulation.
-----

Программы-вымогатели уже более двух десятилетий представляют собой серьезную угрозу для систем Windows, а теперь эта угроза все больше распространяется и на Linux-среды. Компания Check Point Research (CPR) провела исследование некоторых ведущих семейств вымогательского ПО, которые либо непосредственно разрабатывали вымогательское ПО для Linux-систем, либо имели кроссплатформенный код. Наше исследование позволило выявить мотивы, лежащие в основе этих семейств, основные точки проникновения и методы шифрования, используемые этими угрозами.

Атаки Linux ransomware обычно используют уязвимости в открытых сервисах, а для достижения стойкости злоумышленники могут применять веб-оболочки, учетные записи пользователей, перехват учетных данных сервера, задания Cron и демоны. Наиболее распространенными каталогами-мишенями для Linux ransomware являются /home, /root и /opt. Программы для выкупа Windows часто без разбора просматривают все системные диски, в то время как программы для выкупа Linux обычно зависят от параметров или конфигурации, которые задают один или несколько целевых каталогов.

Кроме того, для предотвращения повреждения системы Linux-программы часто избегают таких каталогов, как /boot, /etc и /sys. Перед началом шифрования многие угрозы создают мьютекс-файлы, чтобы избежать одновременного выполнения, которое может привести к повреждению файлов. Кроме того, многие семейства вымогателей генерируют лог-файлы с отладочной информацией во время шифрования. Часто вымогательские программы совместимы с системами ESXi, при этом они могут останавливать работающие виртуальные машины для предотвращения взаимодействия и прекращения работы служб.

Наиболее распространенной криптобиблиотекой, используемой в Linux-программах, является OpenSSL, причем в качестве основного шифра используется AES, а в качестве основного асимметричного - RSA. Это обеспечивает относительное единообразие инструментов для различных угроз.

Клиенты Check Point остаются защищенными от этих угроз с помощью продуктов Harmony Endpoint и Threat Emulation, которые обеспечивают комплексное покрытие тактик атак и типов файлов. По мере развития угрозы вымогательства важно быть в курсе последних событий и сохранять бдительность для защиты от них.
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 PlayCrypt Ransomware-as-a-Service Expands Threat from Script Kiddies and Sophisticated Attackers https://adlumin.com/post/playcrypt-ransomware-as-a-service-expands-threat-from-script-kiddies-and-sophisticated-attackers…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что программное обеспечение Play ransomware продается как услуга, что расширяет его использование преступниками и делает предприятия и органы власти более уязвимыми для атак.
-----

С момента своего появления в 2022 году программа-вымогатель Play, также известная как PlayCrypt, стала причиной многочисленных атак на компании и правительственные организации по всему миру. В последние месяцы компания Adlumin обнаружила новое явление на рынке RaaS (ransomware-as-a-service) - теперь Play продается как услуга, доступная филиалам разного уровня квалификации. Это может привести к значительному увеличению числа атак с использованием успешной программы-рансома Play, связанной с Россией.

Компания Adlumin отследила несколько атак Play ransomware в различных отраслях. Тактика, техника и процедуры (TTP), использованные в этих атаках, а также индикаторы компрометации (IOC) были практически неотличимы друг от друга. Судя по всему, злоумышленники следовали пошаговым инструкциям из "игровых книг", поставляемых вместе с вымогательским ПО. Жертвы этих атак имеют общую характеристику - это небольшие организации, имеющие финансовые возможности для выплаты крупных выкупов.

Приобрести RaaS-комплекты сравнительно просто для тех, кто подключен к TOR, - они могут просматривать объявления о продаже RaaS на форумах или рынках темной сети. Так, в одном из объявлений предлагались наборы для защиты от вымогательства для систем MacOS. В объявлениях предлагалась помощь в настройке по цене от 200 долларов, а в некоторых - даже полная сборка по цене от 300 до 1100 долларов.

Простота внедрения программ-вымогателей, а также прибыльность атак на них сделали этот вид киберпреступности особенно привлекательным для "скриптовых детей". Особенно уязвимы бедные страны, которые служат тренировочной базой для преступных группировок. Предприятиям и властям следует готовиться к растущей волне инцидентов.
#ParsedReport #CompletenessMedium
21-11-2023

Social engineering attacks lure Indian users to install Android banking trojans

https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans

Report completeness: Medium

Threats:
Supply_chain_technique
Spybanker

Victims:
Customers of large financial institutions, indian banking institutions, users of the tiktok android application, users of whatsapp, and users of telegram

Industry:
Government, Financial

Geo:
India, British indian ocean territory

CVEs:
CVE-2022-28799 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tiktok (<23.7.3)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 2
Hash: 2
Url: 2

Soft:
android, microsoft 365 defender, tiktok android, tiktok, microsoft defender for endpoint, whatsapp, telegram

Algorithms:
sha256

Functions:
OnCreate

Platforms:
apple