CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 Kimsuky targets domestic research institutes by disguising import declarations. https://asec.ahnlab.com/ko/59209 Report completeness: Low Actors/Campaigns: Kimsuky (motivation: information_theft) Threats: Dropper/js.generic…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Атакующая группа Kimsuky распространяет вредоносные файлы JSE, замаскированные под PDF-файлы, которые используются для кражи информации и выполнения команд. Распознать вредоносный дроппер достаточно сложно, поэтому важно не открывать вложения из неизвестных источников.
-----
Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил, что атакующая группа Kimsuky распространяет вредоносные файлы JSE, замаскированные под декларации об импорте. Злоумышленники используют эти файлы-дропперы для кражи информации и выполнения команд. Файл-дроппер имеет название Import declaration.PDF и представляет собой обычный PDF-файл. Он автоматически выполняется сценарием Powershell, который затем создает файл бэкдора vuVvMKg.i3IO по пути %ProgramData%. Этот файл содержит вредоносный код, который выполняется с помощью rundll32.exe, а затем копируется в пути %ProgramData% и %Public%, где регистрирует расписание работы.
Затем бэкдор проверяет антивирусный статус целевой системы и собирает сетевую информацию с помощью команд wmic и ipconfig. После этого он перехватывает системную информацию, такую как имя хоста, имя пользователя, версия ОС, кодирует и передает результаты выполнения команд на C2-сервер, чтобы избежать обнаружения. Кроме того, он выполняет другие команды в качестве бэкдора и имеет функцию загрузки на C2-сервер с помощью инструмента curl. Поскольку вредоносный дроппер обычно маскируется под PDF-файл, обычным пользователям трудно распознать, что они заражены вредоносным ПО. Поэтому важно не открывать вложения из неизвестных источников.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Атакующая группа Kimsuky распространяет вредоносные файлы JSE, замаскированные под PDF-файлы, которые используются для кражи информации и выполнения команд. Распознать вредоносный дроппер достаточно сложно, поэтому важно не открывать вложения из неизвестных источников.
-----
Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил, что атакующая группа Kimsuky распространяет вредоносные файлы JSE, замаскированные под декларации об импорте. Злоумышленники используют эти файлы-дропперы для кражи информации и выполнения команд. Файл-дроппер имеет название Import declaration.PDF и представляет собой обычный PDF-файл. Он автоматически выполняется сценарием Powershell, который затем создает файл бэкдора vuVvMKg.i3IO по пути %ProgramData%. Этот файл содержит вредоносный код, который выполняется с помощью rundll32.exe, а затем копируется в пути %ProgramData% и %Public%, где регистрирует расписание работы.
Затем бэкдор проверяет антивирусный статус целевой системы и собирает сетевую информацию с помощью команд wmic и ipconfig. После этого он перехватывает системную информацию, такую как имя хоста, имя пользователя, версия ОС, кодирует и передает результаты выполнения команд на C2-сервер, чтобы избежать обнаружения. Кроме того, он выполняет другие команды в качестве бэкдора и имеет функцию загрузки на C2-сервер с помощью инструмента curl. Поскольку вредоносный дроппер обычно маскируется под PDF-файл, обычным пользователям трудно распознать, что они заражены вредоносным ПО. Поэтому важно не открывать вложения из неизвестных источников.
#ParsedReport #CompletenessLow
21-11-2023
Atomic Stealer distributed to Mac users via fake browser updates
https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates
Report completeness: Low
Threats:
Amos_stealer
Clearfake
Victims:
Mac os users
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
Hash: 2
IP: 1
Soft:
mac os, google chrome, chrome, macos
Platforms:
apple
21-11-2023
Atomic Stealer distributed to Mac users via fake browser updates
https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates
Report completeness: Low
Threats:
Amos_stealer
Clearfake
Victims:
Mac os users
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
Hash: 2
IP: 1
Soft:
mac os, google chrome, chrome, macos
Platforms:
apple
Malwarebytes
Atomic Stealer distributed to Mac users via fake browser updates
Compromised websites are being used to redirect to fake browser updates and deliver malware onto Mac users.
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 Atomic Stealer distributed to Mac users via fake browser updates https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: ClearFake - это вредоносная кампания, распространяющая среди пользователей Mac поддельные обновления браузеров и содержащая полезную нагрузку Atomic Stealer, которая позволяет похищать пароли и файлы. Для защиты от этой угрозы пользователям следует использовать средства веб-защиты.
-----
Atomic Stealer, также известный как AMOS, - популярный похититель для Mac OS, который недавно был доставлен жертвам через цепочку поддельных обновлений браузера, отслеживаемую как ClearFake. Это первый случай, когда одна из основных социально-инженерных кампаний, ранее предназначавшаяся для Windows, расширяется в сторону операционных систем.
ClearFake - это новая вредоносная кампания, использующая скомпрометированные веб-сайты для распространения поддельных обновлений браузера и являющаяся одной из самых опасных схем социальной инженерии. Изначально она была обнаружена Рэнди Макуином в августе и с тех пор претерпела несколько модернизаций, включая использование смарт-контрактов для построения механизма перенаправления. 17 ноября исследователь безопасности Анкит Анубхав заметил, что ClearFake распространяется и среди пользователей Mac с соответствующей полезной нагрузкой.
Вредоносное приложение содержит команды для захвата паролей и файлов и отправляет их на командно-контрольный сервер вредоносной программы. Фальшивые обновления браузеров уже много лет являются распространенной темой для пользователей Windows, но впервые они стали постоянно использоваться против пользователей MacOS.
Учитывая популярность таких похитителей, как AMOS, пользователям Mac следует обратить особое внимание на ClearFake. Для защиты пользователям следует использовать средства веб-защиты для блокирования вредоносной инфраструктуры, связанной с этим агентом угроз. Пользователи Malwarebytes уже защищены от Atomic Stealer.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: ClearFake - это вредоносная кампания, распространяющая среди пользователей Mac поддельные обновления браузеров и содержащая полезную нагрузку Atomic Stealer, которая позволяет похищать пароли и файлы. Для защиты от этой угрозы пользователям следует использовать средства веб-защиты.
-----
Atomic Stealer, также известный как AMOS, - популярный похититель для Mac OS, который недавно был доставлен жертвам через цепочку поддельных обновлений браузера, отслеживаемую как ClearFake. Это первый случай, когда одна из основных социально-инженерных кампаний, ранее предназначавшаяся для Windows, расширяется в сторону операционных систем.
ClearFake - это новая вредоносная кампания, использующая скомпрометированные веб-сайты для распространения поддельных обновлений браузера и являющаяся одной из самых опасных схем социальной инженерии. Изначально она была обнаружена Рэнди Макуином в августе и с тех пор претерпела несколько модернизаций, включая использование смарт-контрактов для построения механизма перенаправления. 17 ноября исследователь безопасности Анкит Анубхав заметил, что ClearFake распространяется и среди пользователей Mac с соответствующей полезной нагрузкой.
Вредоносное приложение содержит команды для захвата паролей и файлов и отправляет их на командно-контрольный сервер вредоносной программы. Фальшивые обновления браузеров уже много лет являются распространенной темой для пользователей Windows, но впервые они стали постоянно использоваться против пользователей MacOS.
Учитывая популярность таких похитителей, как AMOS, пользователям Mac следует обратить особое внимание на ClearFake. Для защиты пользователям следует использовать средства веб-защиты для блокирования вредоносной инфраструктуры, связанной с этим агентом угроз. Пользователи Malwarebytes уже защищены от Atomic Stealer.
#ParsedReport #CompletenessMedium
21-11-2023
The Platform Matters: A Comparative Study on Linux and Windows Ransomware Attacks
https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks
Report completeness: Medium
Actors/Campaigns:
Vice_society
Threats:
Babuk
Gpcode
Reveton
Maori
Clop
Cylance
Icefire
Blackcat
Esxiargs
Rorschach
Monti
Lockbit
Gwisin
Revil
Ryuk
Emotet
Magnitude
Rig_tool
Lolbin_technique
Quasar_rat
Mirai
Wannacry
Cobalt_strike
Poseidon
Merlin_tool
Trickbot
Hellokitty
Royal_ransomware
Conti
Moneybird
Cryptopp_tool
Petya
Mespinoza
Ransomware.wins
Industry:
Financial
CVEs:
CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)
TTPs:
Tactics: 3
Technics: 0
IOCs:
File: 2
Soft:
esxi, openssl, windows task scheduler, winscp, curl
Wallets:
harmony_wallet
Algorithms:
rc4, sosemanuk, aes, chacha20
Languages:
golang, rust
Platforms:
cross-platform
Links:
21-11-2023
The Platform Matters: A Comparative Study on Linux and Windows Ransomware Attacks
https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks
Report completeness: Medium
Actors/Campaigns:
Vice_society
Threats:
Babuk
Gpcode
Reveton
Maori
Clop
Cylance
Icefire
Blackcat
Esxiargs
Rorschach
Monti
Lockbit
Gwisin
Revil
Ryuk
Emotet
Magnitude
Rig_tool
Lolbin_technique
Quasar_rat
Mirai
Wannacry
Cobalt_strike
Poseidon
Merlin_tool
Trickbot
Hellokitty
Royal_ransomware
Conti
Moneybird
Cryptopp_tool
Petya
Mespinoza
Ransomware.wins
Industry:
Financial
CVEs:
CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)
TTPs:
Tactics: 3
Technics: 0
IOCs:
File: 2
Soft:
esxi, openssl, windows task scheduler, winscp, curl
Wallets:
harmony_wallet
Algorithms:
rc4, sosemanuk, aes, chacha20
Languages:
golang, rust
Platforms:
cross-platform
Links:
https://github.com/vxunderground/MalwareSourceCode/blob/main/Win32/Ransomware/Ransomware.Multi.Babuk.c.rarhttps://github.com/MythicAgents/poseidonhttps://github.com/MythicAgents/merlinCheck Point Research
The Platform Matters: A Comparative Study on Linux and Windows Ransomware Attacks - Check Point Research
Research by: Marc Salinas Fernandez Key Points Introduction During the last few months, we conducted a study of some of the top ransomware families (12 in total) that either directly developed ransomware for Linux systems or were developed in languages with…
CTT Report Hub
#ParsedReport #CompletenessMedium 21-11-2023 The Platform Matters: A Comparative Study on Linux and Windows Ransomware Attacks https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что программы-вымогатели представляют собой растущую угрозу для Linux-систем, и Check Point Research провела исследование с целью выявления мотивов, точек входа и методов шифрования, лежащих в основе этих атак. Клиенты Check Point защищены от этих угроз с помощью продуктов Harmony Endpoint и Threat Emulation.
-----
Программы-вымогатели уже более двух десятилетий представляют собой серьезную угрозу для систем Windows, а теперь эта угроза все больше распространяется и на Linux-среды. Компания Check Point Research (CPR) провела исследование некоторых ведущих семейств вымогательского ПО, которые либо непосредственно разрабатывали вымогательское ПО для Linux-систем, либо имели кроссплатформенный код. Наше исследование позволило выявить мотивы, лежащие в основе этих семейств, основные точки проникновения и методы шифрования, используемые этими угрозами.
Атаки Linux ransomware обычно используют уязвимости в открытых сервисах, а для достижения стойкости злоумышленники могут применять веб-оболочки, учетные записи пользователей, перехват учетных данных сервера, задания Cron и демоны. Наиболее распространенными каталогами-мишенями для Linux ransomware являются /home, /root и /opt. Программы для выкупа Windows часто без разбора просматривают все системные диски, в то время как программы для выкупа Linux обычно зависят от параметров или конфигурации, которые задают один или несколько целевых каталогов.
Кроме того, для предотвращения повреждения системы Linux-программы часто избегают таких каталогов, как /boot, /etc и /sys. Перед началом шифрования многие угрозы создают мьютекс-файлы, чтобы избежать одновременного выполнения, которое может привести к повреждению файлов. Кроме того, многие семейства вымогателей генерируют лог-файлы с отладочной информацией во время шифрования. Часто вымогательские программы совместимы с системами ESXi, при этом они могут останавливать работающие виртуальные машины для предотвращения взаимодействия и прекращения работы служб.
Наиболее распространенной криптобиблиотекой, используемой в Linux-программах, является OpenSSL, причем в качестве основного шифра используется AES, а в качестве основного асимметричного - RSA. Это обеспечивает относительное единообразие инструментов для различных угроз.
Клиенты Check Point остаются защищенными от этих угроз с помощью продуктов Harmony Endpoint и Threat Emulation, которые обеспечивают комплексное покрытие тактик атак и типов файлов. По мере развития угрозы вымогательства важно быть в курсе последних событий и сохранять бдительность для защиты от них.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что программы-вымогатели представляют собой растущую угрозу для Linux-систем, и Check Point Research провела исследование с целью выявления мотивов, точек входа и методов шифрования, лежащих в основе этих атак. Клиенты Check Point защищены от этих угроз с помощью продуктов Harmony Endpoint и Threat Emulation.
-----
Программы-вымогатели уже более двух десятилетий представляют собой серьезную угрозу для систем Windows, а теперь эта угроза все больше распространяется и на Linux-среды. Компания Check Point Research (CPR) провела исследование некоторых ведущих семейств вымогательского ПО, которые либо непосредственно разрабатывали вымогательское ПО для Linux-систем, либо имели кроссплатформенный код. Наше исследование позволило выявить мотивы, лежащие в основе этих семейств, основные точки проникновения и методы шифрования, используемые этими угрозами.
Атаки Linux ransomware обычно используют уязвимости в открытых сервисах, а для достижения стойкости злоумышленники могут применять веб-оболочки, учетные записи пользователей, перехват учетных данных сервера, задания Cron и демоны. Наиболее распространенными каталогами-мишенями для Linux ransomware являются /home, /root и /opt. Программы для выкупа Windows часто без разбора просматривают все системные диски, в то время как программы для выкупа Linux обычно зависят от параметров или конфигурации, которые задают один или несколько целевых каталогов.
Кроме того, для предотвращения повреждения системы Linux-программы часто избегают таких каталогов, как /boot, /etc и /sys. Перед началом шифрования многие угрозы создают мьютекс-файлы, чтобы избежать одновременного выполнения, которое может привести к повреждению файлов. Кроме того, многие семейства вымогателей генерируют лог-файлы с отладочной информацией во время шифрования. Часто вымогательские программы совместимы с системами ESXi, при этом они могут останавливать работающие виртуальные машины для предотвращения взаимодействия и прекращения работы служб.
Наиболее распространенной криптобиблиотекой, используемой в Linux-программах, является OpenSSL, причем в качестве основного шифра используется AES, а в качестве основного асимметричного - RSA. Это обеспечивает относительное единообразие инструментов для различных угроз.
Клиенты Check Point остаются защищенными от этих угроз с помощью продуктов Harmony Endpoint и Threat Emulation, которые обеспечивают комплексное покрытие тактик атак и типов файлов. По мере развития угрозы вымогательства важно быть в курсе последних событий и сохранять бдительность для защиты от них.
#ParsedReport #CompletenessLow
21-11-2023
PlayCrypt Ransomware-as-a-Service Expands Threat from Script Kiddies and Sophisticated Attackers
https://adlumin.com/post/playcrypt-ransomware-as-a-service-expands-threat-from-script-kiddies-and-sophisticated-attackers
Report completeness: Low
Threats:
Playcrypt
Industry:
Government, Financial
Geo:
American samoa, Russian federation
IOCs:
File: 1
Soft:
macos
Crypto:
bitcoin, monero
21-11-2023
PlayCrypt Ransomware-as-a-Service Expands Threat from Script Kiddies and Sophisticated Attackers
https://adlumin.com/post/playcrypt-ransomware-as-a-service-expands-threat-from-script-kiddies-and-sophisticated-attackers
Report completeness: Low
Threats:
Playcrypt
Industry:
Government, Financial
Geo:
American samoa, Russian federation
IOCs:
File: 1
Soft:
macos
Crypto:
bitcoin, monero
Adlumin Cybersecurity
PlayCrypt Ransomware-as-a-Service Expands Threat from Script Kiddies and Sophisticated Attackers
Adlumin uncovered evidence that Play ransomware (also known as PlayCrypt) is now being sold “as a service.” Play ransomware has been responsible for attacks on companies and government organizations worldwide since it was first discovered in 2022. Read our…
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 PlayCrypt Ransomware-as-a-Service Expands Threat from Script Kiddies and Sophisticated Attackers https://adlumin.com/post/playcrypt-ransomware-as-a-service-expands-threat-from-script-kiddies-and-sophisticated-attackers…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что программное обеспечение Play ransomware продается как услуга, что расширяет его использование преступниками и делает предприятия и органы власти более уязвимыми для атак.
-----
С момента своего появления в 2022 году программа-вымогатель Play, также известная как PlayCrypt, стала причиной многочисленных атак на компании и правительственные организации по всему миру. В последние месяцы компания Adlumin обнаружила новое явление на рынке RaaS (ransomware-as-a-service) - теперь Play продается как услуга, доступная филиалам разного уровня квалификации. Это может привести к значительному увеличению числа атак с использованием успешной программы-рансома Play, связанной с Россией.
Компания Adlumin отследила несколько атак Play ransomware в различных отраслях. Тактика, техника и процедуры (TTP), использованные в этих атаках, а также индикаторы компрометации (IOC) были практически неотличимы друг от друга. Судя по всему, злоумышленники следовали пошаговым инструкциям из "игровых книг", поставляемых вместе с вымогательским ПО. Жертвы этих атак имеют общую характеристику - это небольшие организации, имеющие финансовые возможности для выплаты крупных выкупов.
Приобрести RaaS-комплекты сравнительно просто для тех, кто подключен к TOR, - они могут просматривать объявления о продаже RaaS на форумах или рынках темной сети. Так, в одном из объявлений предлагались наборы для защиты от вымогательства для систем MacOS. В объявлениях предлагалась помощь в настройке по цене от 200 долларов, а в некоторых - даже полная сборка по цене от 300 до 1100 долларов.
Простота внедрения программ-вымогателей, а также прибыльность атак на них сделали этот вид киберпреступности особенно привлекательным для "скриптовых детей". Особенно уязвимы бедные страны, которые служат тренировочной базой для преступных группировок. Предприятиям и властям следует готовиться к растущей волне инцидентов.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что программное обеспечение Play ransomware продается как услуга, что расширяет его использование преступниками и делает предприятия и органы власти более уязвимыми для атак.
-----
С момента своего появления в 2022 году программа-вымогатель Play, также известная как PlayCrypt, стала причиной многочисленных атак на компании и правительственные организации по всему миру. В последние месяцы компания Adlumin обнаружила новое явление на рынке RaaS (ransomware-as-a-service) - теперь Play продается как услуга, доступная филиалам разного уровня квалификации. Это может привести к значительному увеличению числа атак с использованием успешной программы-рансома Play, связанной с Россией.
Компания Adlumin отследила несколько атак Play ransomware в различных отраслях. Тактика, техника и процедуры (TTP), использованные в этих атаках, а также индикаторы компрометации (IOC) были практически неотличимы друг от друга. Судя по всему, злоумышленники следовали пошаговым инструкциям из "игровых книг", поставляемых вместе с вымогательским ПО. Жертвы этих атак имеют общую характеристику - это небольшие организации, имеющие финансовые возможности для выплаты крупных выкупов.
Приобрести RaaS-комплекты сравнительно просто для тех, кто подключен к TOR, - они могут просматривать объявления о продаже RaaS на форумах или рынках темной сети. Так, в одном из объявлений предлагались наборы для защиты от вымогательства для систем MacOS. В объявлениях предлагалась помощь в настройке по цене от 200 долларов, а в некоторых - даже полная сборка по цене от 300 до 1100 долларов.
Простота внедрения программ-вымогателей, а также прибыльность атак на них сделали этот вид киберпреступности особенно привлекательным для "скриптовых детей". Особенно уязвимы бедные страны, которые служат тренировочной базой для преступных группировок. Предприятиям и властям следует готовиться к растущей волне инцидентов.
#ParsedReport #CompletenessMedium
21-11-2023
Social engineering attacks lure Indian users to install Android banking trojans
https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans
Report completeness: Medium
Threats:
Supply_chain_technique
Spybanker
Victims:
Customers of large financial institutions, indian banking institutions, users of the tiktok android application, users of whatsapp, and users of telegram
Industry:
Government, Financial
Geo:
India, British indian ocean territory
CVEs:
CVE-2022-28799 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tiktok (<23.7.3)
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 2
Hash: 2
Url: 2
Soft:
android, microsoft 365 defender, tiktok android, tiktok, microsoft defender for endpoint, whatsapp, telegram
Algorithms:
sha256
Functions:
OnCreate
Platforms:
apple
21-11-2023
Social engineering attacks lure Indian users to install Android banking trojans
https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans
Report completeness: Medium
Threats:
Supply_chain_technique
Spybanker
Victims:
Customers of large financial institutions, indian banking institutions, users of the tiktok android application, users of whatsapp, and users of telegram
Industry:
Government, Financial
Geo:
India, British indian ocean territory
CVEs:
CVE-2022-28799 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tiktok (<23.7.3)
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 2
Hash: 2
Url: 2
Soft:
android, microsoft 365 defender, tiktok android, tiktok, microsoft defender for endpoint, whatsapp, telegram
Algorithms:
sha256
Functions:
OnCreate
Platforms:
apple
Microsoft Security Blog
Social engineering attacks lure Indian users to install Android banking trojans | Microsoft Security Blog
Mobile banking trojan campaigns targeting users in India impersonate legitimate orgs and steal users’ information for financial fraud scams.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-11-2023 Social engineering attacks lure Indian users to install Android banking trojans https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Microsoft обнаружила уязвимость высокой степени серьезности в приложении TikTok для Android, а также распространила поддельное приложение для получения вознаграждений от мобильного банка, ориентированное на клиентов индийских банковских учреждений. Вредоносные программы для мошенничества с оплатой услуг являются одним из наиболее распространенных видов вредоносного ПО для Android и продолжают развиваться, что делает клиентов крупных финансовых учреждений особенно уязвимыми. Для предотвращения подобных угроз пользователям следует устанавливать приложения только из надежных источников, не переходить по неизвестным ссылкам, использовать решения для обеспечения безопасности мобильных устройств и отключать функцию "Установить неизвестные приложения" на Android-устройствах.
-----
Компания Microsoft обнаружила уязвимость высокой степени серьезности в приложении TikTok для Android, которая могла позволить злоумышленникам одним щелчком мыши скомпрометировать учетные записи пользователей.
В сети появилось поддельное приложение для получения вознаграждения за пользование мобильным банком, ориентированное на клиентов индийских банковских учреждений.
Вредоносные программы для борьбы с платным мошенничеством - один из самых распространенных видов вредоносного ПО для Android, который продолжает развиваться, делая особенно уязвимыми клиентов крупных финансовых учреждений.
Компания Microsoft сообщила о фишинговой кампании в WhatsApp, в результате которой был обнаружен банковский троян.
Вредоносное приложение запрашивало у пользователей два разрешения на выполнение: Send_SMS и Receive_SMS.
Вредоносное приложение отправляло эту информацию на командно-контрольный сервер (C2), а также на жестко закодированный номер телефона злоумышленника, используемый в SMS-функциях.
Незнакомые установленные приложения, повышенный расход данных или разряд батареи, несанкционированные операции или изменение настроек учетной записи, сбои в работе устройства, низкая производительность, неожиданные всплывающие окна и другие необычные действия приложений могут свидетельствовать о возможном заражении банковским трояном.
Для предотвращения подобных угроз пользователям следует устанавливать приложения только из надежных источников, не переходить по неизвестным ссылкам, использовать решения для защиты мобильных устройств и отключать функцию "Установить неизвестные приложения" на Android-устройствах.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Microsoft обнаружила уязвимость высокой степени серьезности в приложении TikTok для Android, а также распространила поддельное приложение для получения вознаграждений от мобильного банка, ориентированное на клиентов индийских банковских учреждений. Вредоносные программы для мошенничества с оплатой услуг являются одним из наиболее распространенных видов вредоносного ПО для Android и продолжают развиваться, что делает клиентов крупных финансовых учреждений особенно уязвимыми. Для предотвращения подобных угроз пользователям следует устанавливать приложения только из надежных источников, не переходить по неизвестным ссылкам, использовать решения для обеспечения безопасности мобильных устройств и отключать функцию "Установить неизвестные приложения" на Android-устройствах.
-----
Компания Microsoft обнаружила уязвимость высокой степени серьезности в приложении TikTok для Android, которая могла позволить злоумышленникам одним щелчком мыши скомпрометировать учетные записи пользователей.
В сети появилось поддельное приложение для получения вознаграждения за пользование мобильным банком, ориентированное на клиентов индийских банковских учреждений.
Вредоносные программы для борьбы с платным мошенничеством - один из самых распространенных видов вредоносного ПО для Android, который продолжает развиваться, делая особенно уязвимыми клиентов крупных финансовых учреждений.
Компания Microsoft сообщила о фишинговой кампании в WhatsApp, в результате которой был обнаружен банковский троян.
Вредоносное приложение запрашивало у пользователей два разрешения на выполнение: Send_SMS и Receive_SMS.
Вредоносное приложение отправляло эту информацию на командно-контрольный сервер (C2), а также на жестко закодированный номер телефона злоумышленника, используемый в SMS-функциях.
Незнакомые установленные приложения, повышенный расход данных или разряд батареи, несанкционированные операции или изменение настроек учетной записи, сбои в работе устройства, низкая производительность, неожиданные всплывающие окна и другие необычные действия приложений могут свидетельствовать о возможном заражении банковским трояном.
Для предотвращения подобных угроз пользователям следует устанавливать приложения только из надежных источников, не переходить по неизвестным ссылкам, использовать решения для защиты мобильных устройств и отключать функцию "Установить неизвестные приложения" на Android-устройствах.
#ParsedReport #CompletenessLow
21-11-2023
Confirming the distribution of malicious code using the sale of personal information as bait
https://asec.ahnlab.com/ko/59217
Report completeness: Low
Threats:
Trojan/vbs.runner
Trojan/win.agent.c426491
Asyncrat
Dropper/win.generic.c5499482
ChatGPT TTPs:
T1159, T1117, T1241, T1027, T1064
IOCs:
File: 6
Hash: 5
Algorithms:
base64
21-11-2023
Confirming the distribution of malicious code using the sale of personal information as bait
https://asec.ahnlab.com/ko/59217
Report completeness: Low
Threats:
Trojan/vbs.runner
Trojan/win.agent.c426491
Asyncrat
Dropper/win.generic.c5499482
ChatGPT TTPs:
do not use without manual checkT1159, T1117, T1241, T1027, T1064
IOCs:
File: 6
Hash: 5
Algorithms:
base64
ASEC BLOG
개인정보 판매를 미끼로한 악성코드 유포 정황 확인 - ASEC BLOG
AhnLab Security Emergency response Center(ASEC)은 개인정보 판매를 미끼로 하는 악성코드 유포 정황을 확인했다. 이와 같은 공격 방법은 사회공학적 해킹에 속한다. ASEC에서 최근 확인된 사회공학적 해킹을 통한 악성코드 유포 정황을 소개한다. [그림 1]은 공격자가 유포지로 사용한 홈페이지 내용이다. 다수의 파일들이 존재한다. 대부분 개인정보를 갖고 있는 파일이며, 파일 내용은 ‘리딩’, ‘비상장’, ‘단타’, ‘중장기’…
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 Confirming the distribution of malicious code using the sale of personal information as bait https://asec.ahnlab.com/ko/59217 Report completeness: Low Threats: Trojan/vbs.runner Trojan/win.agent.c426491 Asyncrat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносные программы распространяются с помощью социальной инженерии, которая заключается в использовании личной информации для того, чтобы обманом заставить человека загрузить и запустить вредоносный код. Следует опасаться групповых комнат, предоставляющих несанкционированную информацию об инвестициях, и проявлять осторожность при загрузке файлов и переходе по подозрительным ссылкам.
-----
Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил факт распространения вредоносного ПО с использованием техники атаки, известной как взлом с помощью социальной инженерии. Этот вид взлома предполагает использование личной информации в качестве приманки для того, чтобы склонить человека к загрузке и запуску вредоносного кода.
В данном конкретном случае злоумышленник получил более 8500 файлов, содержащих персональные данные, такие как имена, номера телефонов, суммы инвестиций и кредитная информация. Вредоносный код был замаскирован под продажу, и люди загружали и запускали скрипт и файл с персональными данными, показанный на рис. 6.
После выполнения вредоносного кода он не отображался как скрипт, что затрудняло обнаружение заражения вредоносным кодом. Вредоносный код также содержал инструмент удаленного доступа (RAT) с функциями автоматического выполнения, выполнения скриптов, загрузки дополнительных файлов, выполнения загруженных файлов через обычный процесс Regsvcs.exe и выполнения обратных соединений.
Подобные атаки служат напоминанием о том, что людям следует опасаться групповых комнат, предоставляющих несанкционированную инвестиционную информацию. Собранная без разбора личная информация не шифруется и не хранится, поэтому при утечке она может быть использована для распространения вредоносного кода. Следует соблюдать осторожность при загрузке любых типов файлов и переходе по подозрительным ссылкам.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносные программы распространяются с помощью социальной инженерии, которая заключается в использовании личной информации для того, чтобы обманом заставить человека загрузить и запустить вредоносный код. Следует опасаться групповых комнат, предоставляющих несанкционированную информацию об инвестициях, и проявлять осторожность при загрузке файлов и переходе по подозрительным ссылкам.
-----
Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил факт распространения вредоносного ПО с использованием техники атаки, известной как взлом с помощью социальной инженерии. Этот вид взлома предполагает использование личной информации в качестве приманки для того, чтобы склонить человека к загрузке и запуску вредоносного кода.
В данном конкретном случае злоумышленник получил более 8500 файлов, содержащих персональные данные, такие как имена, номера телефонов, суммы инвестиций и кредитная информация. Вредоносный код был замаскирован под продажу, и люди загружали и запускали скрипт и файл с персональными данными, показанный на рис. 6.
После выполнения вредоносного кода он не отображался как скрипт, что затрудняло обнаружение заражения вредоносным кодом. Вредоносный код также содержал инструмент удаленного доступа (RAT) с функциями автоматического выполнения, выполнения скриптов, загрузки дополнительных файлов, выполнения загруженных файлов через обычный процесс Regsvcs.exe и выполнения обратных соединений.
Подобные атаки служат напоминанием о том, что людям следует опасаться групповых комнат, предоставляющих несанкционированную инвестиционную информацию. Собранная без разбора личная информация не шифруется и не хранится, поэтому при утечке она может быть использована для распространения вредоносного кода. Следует соблюдать осторожность при загрузке любых типов файлов и переходе по подозрительным ссылкам.
#ParsedReport #CompletenessHigh
20-11-2023
WinRAR CVE-2023-38831 Vulnerability Draws Attention from APTs. Sign up here:
https://www.uptycs.com/blog/cve-2023-38831-winrar-zero-day
Report completeness: High
Actors/Campaigns:
Ghostwriter
Sandworm
Leviathan
Kimsuky (motivation: cyber_espionage, gaining_prominence)
Evilnum
Fancy_bear
Darkpink
Sidecopy
Duke
Threats:
Darkme
Agent_tesla
Picassoloader
Rhadamanthys
Cloudeye
Remcos_rat
Cobalt_strike
Iconicloader
Telepowerbot
Ironjaw
Islandstager
Boxrat
Whitesnake_stealer
White_snake
Bumblebee
Mythic_c2
Njrat
Dll_sideloading_technique
Uac_bypass_technique
Lolbin_technique
Macstealer
Meduza
Industry:
Energy, Financial, Government
Geo:
North-korean, British indian ocean territory, China, Chinese, Ukrainian, Russian federation, Vietnam, Guinea, Malaysia, Pakistan, India, Ukraine, North korea
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
TTPs:
Tactics: 10
Technics: 17
IOCs:
File: 8
Domain: 3
Url: 2
Hash: 19
IP: 2
Soft:
keepass
Algorithms:
xor, zip
Win API:
GetSystemWow64DirectoryW
Languages:
javascript, visual_basic
Platforms:
intel
20-11-2023
WinRAR CVE-2023-38831 Vulnerability Draws Attention from APTs. Sign up here:
https://www.uptycs.com/blog/cve-2023-38831-winrar-zero-day
Report completeness: High
Actors/Campaigns:
Ghostwriter
Sandworm
Leviathan
Kimsuky (motivation: cyber_espionage, gaining_prominence)
Evilnum
Fancy_bear
Darkpink
Sidecopy
Duke
Threats:
Darkme
Agent_tesla
Picassoloader
Rhadamanthys
Cloudeye
Remcos_rat
Cobalt_strike
Iconicloader
Telepowerbot
Ironjaw
Islandstager
Boxrat
Whitesnake_stealer
White_snake
Bumblebee
Mythic_c2
Njrat
Dll_sideloading_technique
Uac_bypass_technique
Lolbin_technique
Macstealer
Meduza
Industry:
Energy, Financial, Government
Geo:
North-korean, British indian ocean territory, China, Chinese, Ukrainian, Russian federation, Vietnam, Guinea, Malaysia, Pakistan, India, Ukraine, North korea
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
TTPs:
Tactics: 10
Technics: 17
IOCs:
File: 8
Domain: 3
Url: 2
Hash: 19
IP: 2
Soft:
keepass
Algorithms:
xor, zip
Win API:
GetSystemWow64DirectoryW
Languages:
javascript, visual_basic
Platforms:
intel
Uptycs
WinRAR CVE-2023-38831 Vulnerability: Malware Exploits & APT Attacks
WinRAR Zero-Day Vulnerability (CVE-2023-38831): APT groups exploit file extension handling flaws to execute malicious unauthorized code.