CTT Report Hub
3.41K subscribers
9.66K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 21-11-2023 Social engineering attacks lure Indian users to install Android banking trojans https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Microsoft обнаружила уязвимость высокой степени серьезности в приложении TikTok для Android, а также распространила поддельное приложение для получения вознаграждений от мобильного банка, ориентированное на клиентов индийских банковских учреждений. Вредоносные программы для мошенничества с оплатой услуг являются одним из наиболее распространенных видов вредоносного ПО для Android и продолжают развиваться, что делает клиентов крупных финансовых учреждений особенно уязвимыми. Для предотвращения подобных угроз пользователям следует устанавливать приложения только из надежных источников, не переходить по неизвестным ссылкам, использовать решения для обеспечения безопасности мобильных устройств и отключать функцию "Установить неизвестные приложения" на Android-устройствах.
-----

Компания Microsoft обнаружила уязвимость высокой степени серьезности в приложении TikTok для Android, которая могла позволить злоумышленникам одним щелчком мыши скомпрометировать учетные записи пользователей.

В сети появилось поддельное приложение для получения вознаграждения за пользование мобильным банком, ориентированное на клиентов индийских банковских учреждений.

Вредоносные программы для борьбы с платным мошенничеством - один из самых распространенных видов вредоносного ПО для Android, который продолжает развиваться, делая особенно уязвимыми клиентов крупных финансовых учреждений.

Компания Microsoft сообщила о фишинговой кампании в WhatsApp, в результате которой был обнаружен банковский троян.

Вредоносное приложение запрашивало у пользователей два разрешения на выполнение: Send_SMS и Receive_SMS.

Вредоносное приложение отправляло эту информацию на командно-контрольный сервер (C2), а также на жестко закодированный номер телефона злоумышленника, используемый в SMS-функциях.

Незнакомые установленные приложения, повышенный расход данных или разряд батареи, несанкционированные операции или изменение настроек учетной записи, сбои в работе устройства, низкая производительность, неожиданные всплывающие окна и другие необычные действия приложений могут свидетельствовать о возможном заражении банковским трояном.

Для предотвращения подобных угроз пользователям следует устанавливать приложения только из надежных источников, не переходить по неизвестным ссылкам, использовать решения для защиты мобильных устройств и отключать функцию "Установить неизвестные приложения" на Android-устройствах.
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 Confirming the distribution of malicious code using the sale of personal information as bait https://asec.ahnlab.com/ko/59217 Report completeness: Low Threats: Trojan/vbs.runner Trojan/win.agent.c426491 Asyncrat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы распространяются с помощью социальной инженерии, которая заключается в использовании личной информации для того, чтобы обманом заставить человека загрузить и запустить вредоносный код. Следует опасаться групповых комнат, предоставляющих несанкционированную информацию об инвестициях, и проявлять осторожность при загрузке файлов и переходе по подозрительным ссылкам.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил факт распространения вредоносного ПО с использованием техники атаки, известной как взлом с помощью социальной инженерии. Этот вид взлома предполагает использование личной информации в качестве приманки для того, чтобы склонить человека к загрузке и запуску вредоносного кода.

В данном конкретном случае злоумышленник получил более 8500 файлов, содержащих персональные данные, такие как имена, номера телефонов, суммы инвестиций и кредитная информация. Вредоносный код был замаскирован под продажу, и люди загружали и запускали скрипт и файл с персональными данными, показанный на рис. 6.

После выполнения вредоносного кода он не отображался как скрипт, что затрудняло обнаружение заражения вредоносным кодом. Вредоносный код также содержал инструмент удаленного доступа (RAT) с функциями автоматического выполнения, выполнения скриптов, загрузки дополнительных файлов, выполнения загруженных файлов через обычный процесс Regsvcs.exe и выполнения обратных соединений.

Подобные атаки служат напоминанием о том, что людям следует опасаться групповых комнат, предоставляющих несанкционированную инвестиционную информацию. Собранная без разбора личная информация не шифруется и не хранится, поэтому при утечке она может быть использована для распространения вредоносного кода. Следует соблюдать осторожность при загрузке любых типов файлов и переходе по подозрительным ссылкам.
#ParsedReport #CompletenessHigh
20-11-2023

WinRAR CVE-2023-38831 Vulnerability Draws Attention from APTs. Sign up here:

https://www.uptycs.com/blog/cve-2023-38831-winrar-zero-day

Report completeness: High

Actors/Campaigns:
Ghostwriter
Sandworm
Leviathan
Kimsuky (motivation: cyber_espionage, gaining_prominence)
Evilnum
Fancy_bear
Darkpink
Sidecopy
Duke

Threats:
Darkme
Agent_tesla
Picassoloader
Rhadamanthys
Cloudeye
Remcos_rat
Cobalt_strike
Iconicloader
Telepowerbot
Ironjaw
Islandstager
Boxrat
Whitesnake_stealer
White_snake
Bumblebee
Mythic_c2
Njrat
Dll_sideloading_technique
Uac_bypass_technique
Lolbin_technique
Macstealer
Meduza

Industry:
Energy, Financial, Government

Geo:
North-korean, British indian ocean territory, China, Chinese, Ukrainian, Russian federation, Vietnam, Guinea, Malaysia, Pakistan, India, Ukraine, North korea

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 10
Technics: 17

IOCs:
File: 8
Domain: 3
Url: 2
Hash: 19
IP: 2

Soft:
keepass

Algorithms:
xor, zip

Win API:
GetSystemWow64DirectoryW

Languages:
javascript, visual_basic

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessHigh 20-11-2023 WinRAR CVE-2023-38831 Vulnerability Draws Attention from APTs. Sign up here: https://www.uptycs.com/blog/cve-2023-38831-winrar-zero-day Report completeness: High Actors/Campaigns: Ghostwriter Sandworm Leviathan…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Многие угрозы используют уязвимость CVE-2023-38831 WinRAR для проведения кампаний кибершпионажа с использованием фишинговых писем, вредоносного JavaScript-кода, C2-серверов, BAT- и CMD-файлов, сценариев PowerShell, а также различных типов вредоносного ПО. Рекомендуется обновить последнюю версию WinRAR и проявлять бдительность при открытии писем с вложениями.
-----

Уязвимость (CVE-2023-38831), затрагивающая версии WinRAR, предшествующие 6.23, была обнаружена в апреле 2023 года.

Группы постоянных угроз (APT) по всему миру эксплуатируют эту уязвимость, встраивая вредоносные исполняемые файлы в ZIP-архивы широко распространенных типов файлов, таких как PDF-файлы и JPG-файлы.

Были развернуты различные семейства вредоносных программ, каждая из которых нацелена на определенные отрасли и страны.

Обновление до последней версии WinRAR - лучший способ защиты от эксплуатации уязвимости CVE-2023-38831 WinRAR.

В фишинговых письмах распространяются вредоносные RAR-архивы с эксплойтом CVE-2023-38831, а для передачи конечной полезной нагрузки используются вредоносный JavaScript-код и C2-серверы.
#ParsedReport #CompletenessLow
21-11-2023

XWorm Malware: Exploring C&C Communication

https://any.run/cybersecurity-blog/xworm-malware-communication-analysis

Report completeness: Low

Threats:
Xworm_rat

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 1
IP: 1
Hash: 3

Soft:
chromium, discord, telegram, windows defender, net framework

Wallets:
metamask

Algorithms:
aes-ecb

Links:
https://gist.github.com/0xToxin/01a35dfc5edcd9d6885f6185ca9b4c4e
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 XWorm Malware: Exploring C&C Communication https://any.run/cybersecurity-blog/xworm-malware-communication-analysis Report completeness: Low Threats: Xworm_rat TTPs: Tactics: 5 Technics: 11 IOCs: File: 1 IP: 1…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: XWorm - это вредоносная программа Remote Access Trojan (RAT), предназначенная для операционных систем Windows и способная выполнять широкий спектр вредоносных действий, таких как кража данных и отключение Защитника Windows.
-----

XWorm - это троянская программа удаленного доступа (RAT), специально предназначенная для операционных систем Windows. Он предоставляет оператору обширный набор так называемых плагинов, предназначенных для заражения пользователей при успешном подключении. Эта вредоносная программа активна уже достаточно давно, о чем свидетельствует еженедельная аналитика загрузок ANY.RUN. При первом запуске на компьютере жертвы XWorm инициирует соединение с удаленным сервером, при этом используется шифрование AES-ECB (без подкладок). Ключом шифрования является MD5-хэш конфигурационной переменной, расшифрованной в процессе работы вредоносной программы. После отправки необходимой информации на сервер и добавления клиента в панель заражения злоумышленник может использовать на клиенте широкий спектр плагинов.

Структура кода бинарного файла XWorm показывает, что в процессе его выполнения происходит обращение к семи основным классам: AlgorithmAES, ClientSocket, Helper, Messages, Xlogger, Uninstaller и Main. AlgorithmAES отвечает за расшифровку данных, ClientSocket управляет установкой соединения с удаленным сервером, Helper содержит множество функций, вызываемых другими классами, Messages обрабатывает данные, полученные от сервера, Xlogger выполняет функцию кейлоггера, Uninstaller обеспечивает удаление бинарного файла, а Main является основным классом.

В разделе "Угрозы" анализа ANY.RUN были обнаружены многочисленные вредоносные действия во время выполнения вредоносной программы, в том числе идентификация команд-запросов XWorm для sendPlugin и savePlugin, а также обнаружение DLL на базе .NET, которая представляет собой обширный инфопохититель с несколькими возможностями кражи. Среди них - отключение или завершение работы Windows Defender, исключение пути из сканирования Windows Defender, установка фреймворка .NET и отключение экрана.
#ParsedReport #CompletenessMedium
21-11-2023

THREAT ALERT: INC Ransomware

https://www.cybereason.com/blog/threat-alert-inc-ransomware

Report completeness: Medium

Threats:
Inc_ransomware
Lockbit
Supply_chain_technique
Megasync_tool

Victims:
Private sector businesses, government organization and charity association

Industry:
Government, Military

Geo:
Singapore

TTPs:
Tactics: 3
Technics: 9

IOCs:
Hash: 1

Soft:
psexec

Algorithms:
sha256
CTT Report Hub
#ParsedReport #CompletenessMedium 21-11-2023 THREAT ALERT: INC Ransomware https://www.cybereason.com/blog/threat-alert-inc-ransomware Report completeness: Medium Threats: Inc_ransomware Lockbit Supply_chain_technique Megasync_tool Victims: Private sector…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что группа INC Ransom - это новая группировка вымогателей, которая нацелена на частные предприятия, правительственные организации и благотворительные общества и использует тактику двойного и тройного вымогательства, а также разнообразные инструменты и методы для осуществления своих атак.
-----

Команда исследователей безопасности Cybereason недавно выпустила предупреждение об угрозе, связанной с новой группой вымогателей INC Ransom. Эта группа известна тем, что атакует предприятия частного сектора, правительственные организации и благотворительные общества в США и Европе. Группа использует тактику двойного и тройного вымогательства, публикуя пакеты доказательств с данными жертв, чтобы побудить их заплатить.

INC Ransom использует скомпрометированные учетные данные для получения доступа и развертывания ransomware. Для эксфильтрации используется инструмент MegaSync, а пользовательский интерфейс блога утечки имеет светлый и темный варианты, поле для обратной связи и ссылку на аккаунт в Twitter. Кроме того, для ускорения шифрования группа использует частичное шифрование в сочетании с многопоточным подходом.
#ParsedReport #CompletenessHigh
21-11-2023

Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors

https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters

Report completeness: High

Actors/Campaigns:
Contagious_interview
Wagemole (motivation: cyber_espionage, financially_motivated)
Dream_job
Lazarus

Threats:
Beavertail
Wildfire
Invisibleferret
Supply_chain_technique
Tron
Anydesk_tool

Victims:
Software developers, us companies, global markets including africa

Industry:
E-commerce, Government

Geo:
North korea, Korean, South africa, Dprk, Japanese

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Path: 2
Hash: 54
Domain: 1
IP: 9

Soft:
macos, node.js, visual studio code, chrome, microsoft edge

Wallets:
coinbase, coin98, metamask, ronin_wallet

Crypto:
binance, solana

Algorithms:
base64, xor, sha256

Languages:
python, javascript

Platforms:
cross-platform

Links:
https://docs.github.com/en/get-started/quickstart/hello-world#introduction
https://docs.github.com/en/repositories/creating-and-managing-repositories/about-repositories
https://github.com/git-insights/git-insights
https://docs.github.com/en/repositories/creating-and-managing-repositories/cloning-a-repository
https://docs.github.com/en/issues/tracking-your-work-with-issues/about-issues
CTT Report Hub
#ParsedReport #CompletenessHigh 21-11-2023 Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи Unit 42 обнаружили две отдельные кампании, направленные на разработчиков программного обеспечения, связанных с северокорейскими государственными угрозами. Первая кампания, Contagious Interview, скорее всего, предназначена для кражи криптовалюты и использования скомпрометированных объектов в качестве плацдармов для дополнительных атак. Вторая кампания, Wagemole, направлена на американские компании и может быть использована как для получения финансовой выгоды, так и для шпионажа. Угрожающие субъекты, стоящие за этими кампаниями, создали инфраструктуру, вызывающую доверие у предполагаемых жертв.
-----

Недавно исследователи Unit 42 обнаружили две отдельные кампании, связанные с северокорейскими государственными угрозами.

Первая кампания - Contagious Interview, вероятно, предназначена для кражи криптовалюты и использования скомпрометированных целей в качестве плацдармов для дополнительных атак.

Вторая кампания - Wagemole, нацеленная на американские компании и имеющая потенциал как для получения финансовой выгоды, так и для шпионажа.

Подразделение 42 обнаружило два новых семейства вредоносных программ - BeaverTail и InvisibleFerret, которые могут работать в операционных системах Windows, Linux и macOS.

Впервые подозрительная активность была обнаружена еще в марте 2023 года, а инфраструктура для этой кампании была создана уже в декабре 2022 года.

Тактика, использованная в этой кампании, соответствует ранее зафиксированной активности северокорейских угроз.

Угрожающие лица выбирают разработчиков программного обеспечения, выдавая себя за потенциального работодателя через анонимные или неясные объявления на платформах поиска работы.

Жертв убеждают загрузить и установить пакет на базе NPM, размещенный на GitHub, который содержит вредоносный JavaScript.

GitHub привлекателен для многих разработчиков, поскольку его базовый вариант обслуживания является бесплатным, а также привлекателен для злоумышленников.

BeaverTail распространяется в виде JavaScript в пакетах NPM и может нацеливаться на криптовалютные кошельки и информацию о кредитных картах, хранящуюся в веб-браузере жертвы.

InvisibleFerret - это недавно обнаруженная вредоносная программа, написанная на языке Python и содержащая различные компоненты с такими функциями, как снятие отпечатков пальцев, удаленное управление, кейлоггинг, эксфильтрация данных и кража браузера.

Wagemole ориентирована на широкий круг американских компаний и рынков фриланс-работы, а также на глобальные рынки, включая Африку.

Угрожающий агент, стоящий за Wagemole, поддерживал несколько учетных записей для электронной почты, сайтов фрилансеров, репозиториев исходного кода и платформ агентств по трудоустройству.

Тактика, использованная в этой кампании, соответствует ранее зафиксированной активности северокорейских угроз.
👍1
#ParsedReport #CompletenessMedium
23-11-2023

New Persian Remote World Selling a Suite of Malicious Tools

https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools

Report completeness: Medium

Threats:
Persian_rat
Persian_loader
Uac_bypass_technique

Industry:
Financial

TTPs:
Tactics: 8
Technics: 10

IOCs:
Command: 4
File: 1
Hash: 5

Soft:
telegram, mozilla firefox, google chrome, microsoft edge, chrome

Algorithms:
sha1, sha256

Win API:
CreateMutexW, AdjustTokenPrivileges, SeShutdownPrivilege, SeDebugPrivilege

Platforms:
x86