CTT Report Hub
#ParsedReport #CompletenessHigh 20-11-2023 WinRAR CVE-2023-38831 Vulnerability Draws Attention from APTs. Sign up here: https://www.uptycs.com/blog/cve-2023-38831-winrar-zero-day Report completeness: High Actors/Campaigns: Ghostwriter Sandworm Leviathan…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Многие угрозы используют уязвимость CVE-2023-38831 WinRAR для проведения кампаний кибершпионажа с использованием фишинговых писем, вредоносного JavaScript-кода, C2-серверов, BAT- и CMD-файлов, сценариев PowerShell, а также различных типов вредоносного ПО. Рекомендуется обновить последнюю версию WinRAR и проявлять бдительность при открытии писем с вложениями.
-----
Уязвимость (CVE-2023-38831), затрагивающая версии WinRAR, предшествующие 6.23, была обнаружена в апреле 2023 года.
Группы постоянных угроз (APT) по всему миру эксплуатируют эту уязвимость, встраивая вредоносные исполняемые файлы в ZIP-архивы широко распространенных типов файлов, таких как PDF-файлы и JPG-файлы.
Были развернуты различные семейства вредоносных программ, каждая из которых нацелена на определенные отрасли и страны.
Обновление до последней версии WinRAR - лучший способ защиты от эксплуатации уязвимости CVE-2023-38831 WinRAR.
В фишинговых письмах распространяются вредоносные RAR-архивы с эксплойтом CVE-2023-38831, а для передачи конечной полезной нагрузки используются вредоносный JavaScript-код и C2-серверы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Многие угрозы используют уязвимость CVE-2023-38831 WinRAR для проведения кампаний кибершпионажа с использованием фишинговых писем, вредоносного JavaScript-кода, C2-серверов, BAT- и CMD-файлов, сценариев PowerShell, а также различных типов вредоносного ПО. Рекомендуется обновить последнюю версию WinRAR и проявлять бдительность при открытии писем с вложениями.
-----
Уязвимость (CVE-2023-38831), затрагивающая версии WinRAR, предшествующие 6.23, была обнаружена в апреле 2023 года.
Группы постоянных угроз (APT) по всему миру эксплуатируют эту уязвимость, встраивая вредоносные исполняемые файлы в ZIP-архивы широко распространенных типов файлов, таких как PDF-файлы и JPG-файлы.
Были развернуты различные семейства вредоносных программ, каждая из которых нацелена на определенные отрасли и страны.
Обновление до последней версии WinRAR - лучший способ защиты от эксплуатации уязвимости CVE-2023-38831 WinRAR.
В фишинговых письмах распространяются вредоносные RAR-архивы с эксплойтом CVE-2023-38831, а для передачи конечной полезной нагрузки используются вредоносный JavaScript-код и C2-серверы.
#ParsedReport #CompletenessLow
21-11-2023
XWorm Malware: Exploring C&C Communication
https://any.run/cybersecurity-blog/xworm-malware-communication-analysis
Report completeness: Low
Threats:
Xworm_rat
TTPs:
Tactics: 5
Technics: 11
IOCs:
File: 1
IP: 1
Hash: 3
Soft:
chromium, discord, telegram, windows defender, net framework
Wallets:
metamask
Algorithms:
aes-ecb
Links:
21-11-2023
XWorm Malware: Exploring C&C Communication
https://any.run/cybersecurity-blog/xworm-malware-communication-analysis
Report completeness: Low
Threats:
Xworm_rat
TTPs:
Tactics: 5
Technics: 11
IOCs:
File: 1
IP: 1
Hash: 3
Soft:
chromium, discord, telegram, windows defender, net framework
Wallets:
metamask
Algorithms:
aes-ecb
Links:
https://gist.github.com/0xToxin/01a35dfc5edcd9d6885f6185ca9b4c4eANY.RUN's Cybersecurity Blog
XWorm Malware: Exploring C&C Communication - ANY.RUN's Cybersecurity Blog
Explore XWorm's communication encryption, uncover decryption methods, and see the data and commands the malware transmits.
CTT Report Hub
#ParsedReport #CompletenessLow 21-11-2023 XWorm Malware: Exploring C&C Communication https://any.run/cybersecurity-blog/xworm-malware-communication-analysis Report completeness: Low Threats: Xworm_rat TTPs: Tactics: 5 Technics: 11 IOCs: File: 1 IP: 1…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: XWorm - это вредоносная программа Remote Access Trojan (RAT), предназначенная для операционных систем Windows и способная выполнять широкий спектр вредоносных действий, таких как кража данных и отключение Защитника Windows.
-----
XWorm - это троянская программа удаленного доступа (RAT), специально предназначенная для операционных систем Windows. Он предоставляет оператору обширный набор так называемых плагинов, предназначенных для заражения пользователей при успешном подключении. Эта вредоносная программа активна уже достаточно давно, о чем свидетельствует еженедельная аналитика загрузок ANY.RUN. При первом запуске на компьютере жертвы XWorm инициирует соединение с удаленным сервером, при этом используется шифрование AES-ECB (без подкладок). Ключом шифрования является MD5-хэш конфигурационной переменной, расшифрованной в процессе работы вредоносной программы. После отправки необходимой информации на сервер и добавления клиента в панель заражения злоумышленник может использовать на клиенте широкий спектр плагинов.
Структура кода бинарного файла XWorm показывает, что в процессе его выполнения происходит обращение к семи основным классам: AlgorithmAES, ClientSocket, Helper, Messages, Xlogger, Uninstaller и Main. AlgorithmAES отвечает за расшифровку данных, ClientSocket управляет установкой соединения с удаленным сервером, Helper содержит множество функций, вызываемых другими классами, Messages обрабатывает данные, полученные от сервера, Xlogger выполняет функцию кейлоггера, Uninstaller обеспечивает удаление бинарного файла, а Main является основным классом.
В разделе "Угрозы" анализа ANY.RUN были обнаружены многочисленные вредоносные действия во время выполнения вредоносной программы, в том числе идентификация команд-запросов XWorm для sendPlugin и savePlugin, а также обнаружение DLL на базе .NET, которая представляет собой обширный инфопохититель с несколькими возможностями кражи. Среди них - отключение или завершение работы Windows Defender, исключение пути из сканирования Windows Defender, установка фреймворка .NET и отключение экрана.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: XWorm - это вредоносная программа Remote Access Trojan (RAT), предназначенная для операционных систем Windows и способная выполнять широкий спектр вредоносных действий, таких как кража данных и отключение Защитника Windows.
-----
XWorm - это троянская программа удаленного доступа (RAT), специально предназначенная для операционных систем Windows. Он предоставляет оператору обширный набор так называемых плагинов, предназначенных для заражения пользователей при успешном подключении. Эта вредоносная программа активна уже достаточно давно, о чем свидетельствует еженедельная аналитика загрузок ANY.RUN. При первом запуске на компьютере жертвы XWorm инициирует соединение с удаленным сервером, при этом используется шифрование AES-ECB (без подкладок). Ключом шифрования является MD5-хэш конфигурационной переменной, расшифрованной в процессе работы вредоносной программы. После отправки необходимой информации на сервер и добавления клиента в панель заражения злоумышленник может использовать на клиенте широкий спектр плагинов.
Структура кода бинарного файла XWorm показывает, что в процессе его выполнения происходит обращение к семи основным классам: AlgorithmAES, ClientSocket, Helper, Messages, Xlogger, Uninstaller и Main. AlgorithmAES отвечает за расшифровку данных, ClientSocket управляет установкой соединения с удаленным сервером, Helper содержит множество функций, вызываемых другими классами, Messages обрабатывает данные, полученные от сервера, Xlogger выполняет функцию кейлоггера, Uninstaller обеспечивает удаление бинарного файла, а Main является основным классом.
В разделе "Угрозы" анализа ANY.RUN были обнаружены многочисленные вредоносные действия во время выполнения вредоносной программы, в том числе идентификация команд-запросов XWorm для sendPlugin и savePlugin, а также обнаружение DLL на базе .NET, которая представляет собой обширный инфопохититель с несколькими возможностями кражи. Среди них - отключение или завершение работы Windows Defender, исключение пути из сканирования Windows Defender, установка фреймворка .NET и отключение экрана.
#ParsedReport #CompletenessMedium
21-11-2023
THREAT ALERT: INC Ransomware
https://www.cybereason.com/blog/threat-alert-inc-ransomware
Report completeness: Medium
Threats:
Inc_ransomware
Lockbit
Supply_chain_technique
Megasync_tool
Victims:
Private sector businesses, government organization and charity association
Industry:
Government, Military
Geo:
Singapore
TTPs:
Tactics: 3
Technics: 9
IOCs:
Hash: 1
Soft:
psexec
Algorithms:
sha256
21-11-2023
THREAT ALERT: INC Ransomware
https://www.cybereason.com/blog/threat-alert-inc-ransomware
Report completeness: Medium
Threats:
Inc_ransomware
Lockbit
Supply_chain_technique
Megasync_tool
Victims:
Private sector businesses, government organization and charity association
Industry:
Government, Military
Geo:
Singapore
TTPs:
Tactics: 3
Technics: 9
IOCs:
Hash: 1
Soft:
psexec
Algorithms:
sha256
Cybereason
THREAT ALERT: INC Ransomware
Cybereason issues Threat Alerts to inform customers of emerging impacting threats, including new ransomware actors such as the emergent group INC Ransom. Cybereason Threat Alerts summarize these threats and provide practical recommendations for protecting…
CTT Report Hub
#ParsedReport #CompletenessMedium 21-11-2023 THREAT ALERT: INC Ransomware https://www.cybereason.com/blog/threat-alert-inc-ransomware Report completeness: Medium Threats: Inc_ransomware Lockbit Supply_chain_technique Megasync_tool Victims: Private sector…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что группа INC Ransom - это новая группировка вымогателей, которая нацелена на частные предприятия, правительственные организации и благотворительные общества и использует тактику двойного и тройного вымогательства, а также разнообразные инструменты и методы для осуществления своих атак.
-----
Команда исследователей безопасности Cybereason недавно выпустила предупреждение об угрозе, связанной с новой группой вымогателей INC Ransom. Эта группа известна тем, что атакует предприятия частного сектора, правительственные организации и благотворительные общества в США и Европе. Группа использует тактику двойного и тройного вымогательства, публикуя пакеты доказательств с данными жертв, чтобы побудить их заплатить.
INC Ransom использует скомпрометированные учетные данные для получения доступа и развертывания ransomware. Для эксфильтрации используется инструмент MegaSync, а пользовательский интерфейс блога утечки имеет светлый и темный варианты, поле для обратной связи и ссылку на аккаунт в Twitter. Кроме того, для ускорения шифрования группа использует частичное шифрование в сочетании с многопоточным подходом.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что группа INC Ransom - это новая группировка вымогателей, которая нацелена на частные предприятия, правительственные организации и благотворительные общества и использует тактику двойного и тройного вымогательства, а также разнообразные инструменты и методы для осуществления своих атак.
-----
Команда исследователей безопасности Cybereason недавно выпустила предупреждение об угрозе, связанной с новой группой вымогателей INC Ransom. Эта группа известна тем, что атакует предприятия частного сектора, правительственные организации и благотворительные общества в США и Европе. Группа использует тактику двойного и тройного вымогательства, публикуя пакеты доказательств с данными жертв, чтобы побудить их заплатить.
INC Ransom использует скомпрометированные учетные данные для получения доступа и развертывания ransomware. Для эксфильтрации используется инструмент MegaSync, а пользовательский интерфейс блога утечки имеет светлый и темный варианты, поле для обратной связи и ссылку на аккаунт в Twitter. Кроме того, для ускорения шифрования группа использует частичное шифрование в сочетании с многопоточным подходом.
#ParsedReport #CompletenessHigh
21-11-2023
Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors
https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters
Report completeness: High
Actors/Campaigns:
Contagious_interview
Wagemole (motivation: cyber_espionage, financially_motivated)
Dream_job
Lazarus
Threats:
Beavertail
Wildfire
Invisibleferret
Supply_chain_technique
Tron
Anydesk_tool
Victims:
Software developers, us companies, global markets including africa
Industry:
E-commerce, Government
Geo:
North korea, Korean, South africa, Dprk, Japanese
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Path: 2
Hash: 54
Domain: 1
IP: 9
Soft:
macos, node.js, visual studio code, chrome, microsoft edge
Wallets:
coinbase, coin98, metamask, ronin_wallet
Crypto:
binance, solana
Algorithms:
base64, xor, sha256
Languages:
python, javascript
Platforms:
cross-platform
Links:
21-11-2023
Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors
https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters
Report completeness: High
Actors/Campaigns:
Contagious_interview
Wagemole (motivation: cyber_espionage, financially_motivated)
Dream_job
Lazarus
Threats:
Beavertail
Wildfire
Invisibleferret
Supply_chain_technique
Tron
Anydesk_tool
Victims:
Software developers, us companies, global markets including africa
Industry:
E-commerce, Government
Geo:
North korea, Korean, South africa, Dprk, Japanese
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Path: 2
Hash: 54
Domain: 1
IP: 9
Soft:
macos, node.js, visual studio code, chrome, microsoft edge
Wallets:
coinbase, coin98, metamask, ronin_wallet
Crypto:
binance, solana
Algorithms:
base64, xor, sha256
Languages:
python, javascript
Platforms:
cross-platform
Links:
https://docs.github.com/en/get-started/quickstart/hello-world#introductionhttps://docs.github.com/en/repositories/creating-and-managing-repositories/about-repositorieshttps://github.com/git-insights/git-insightshttps://docs.github.com/en/repositories/creating-and-managing-repositories/cloning-a-repositoryhttps://docs.github.com/en/issues/tracking-your-work-with-issues/about-issuesUnit 42
Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors
Two ongoing campaigns bear hallmarks of North Korean state-sponsored threat actors, posing in job-seeking roles to distribute malware or conduct espionage.
CTT Report Hub
#ParsedReport #CompletenessHigh 21-11-2023 Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исследователи Unit 42 обнаружили две отдельные кампании, направленные на разработчиков программного обеспечения, связанных с северокорейскими государственными угрозами. Первая кампания, Contagious Interview, скорее всего, предназначена для кражи криптовалюты и использования скомпрометированных объектов в качестве плацдармов для дополнительных атак. Вторая кампания, Wagemole, направлена на американские компании и может быть использована как для получения финансовой выгоды, так и для шпионажа. Угрожающие субъекты, стоящие за этими кампаниями, создали инфраструктуру, вызывающую доверие у предполагаемых жертв.
-----
Недавно исследователи Unit 42 обнаружили две отдельные кампании, связанные с северокорейскими государственными угрозами.
Первая кампания - Contagious Interview, вероятно, предназначена для кражи криптовалюты и использования скомпрометированных целей в качестве плацдармов для дополнительных атак.
Вторая кампания - Wagemole, нацеленная на американские компании и имеющая потенциал как для получения финансовой выгоды, так и для шпионажа.
Подразделение 42 обнаружило два новых семейства вредоносных программ - BeaverTail и InvisibleFerret, которые могут работать в операционных системах Windows, Linux и macOS.
Впервые подозрительная активность была обнаружена еще в марте 2023 года, а инфраструктура для этой кампании была создана уже в декабре 2022 года.
Тактика, использованная в этой кампании, соответствует ранее зафиксированной активности северокорейских угроз.
Угрожающие лица выбирают разработчиков программного обеспечения, выдавая себя за потенциального работодателя через анонимные или неясные объявления на платформах поиска работы.
Жертв убеждают загрузить и установить пакет на базе NPM, размещенный на GitHub, который содержит вредоносный JavaScript.
GitHub привлекателен для многих разработчиков, поскольку его базовый вариант обслуживания является бесплатным, а также привлекателен для злоумышленников.
BeaverTail распространяется в виде JavaScript в пакетах NPM и может нацеливаться на криптовалютные кошельки и информацию о кредитных картах, хранящуюся в веб-браузере жертвы.
InvisibleFerret - это недавно обнаруженная вредоносная программа, написанная на языке Python и содержащая различные компоненты с такими функциями, как снятие отпечатков пальцев, удаленное управление, кейлоггинг, эксфильтрация данных и кража браузера.
Wagemole ориентирована на широкий круг американских компаний и рынков фриланс-работы, а также на глобальные рынки, включая Африку.
Угрожающий агент, стоящий за Wagemole, поддерживал несколько учетных записей для электронной почты, сайтов фрилансеров, репозиториев исходного кода и платформ агентств по трудоустройству.
Тактика, использованная в этой кампании, соответствует ранее зафиксированной активности северокорейских угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исследователи Unit 42 обнаружили две отдельные кампании, направленные на разработчиков программного обеспечения, связанных с северокорейскими государственными угрозами. Первая кампания, Contagious Interview, скорее всего, предназначена для кражи криптовалюты и использования скомпрометированных объектов в качестве плацдармов для дополнительных атак. Вторая кампания, Wagemole, направлена на американские компании и может быть использована как для получения финансовой выгоды, так и для шпионажа. Угрожающие субъекты, стоящие за этими кампаниями, создали инфраструктуру, вызывающую доверие у предполагаемых жертв.
-----
Недавно исследователи Unit 42 обнаружили две отдельные кампании, связанные с северокорейскими государственными угрозами.
Первая кампания - Contagious Interview, вероятно, предназначена для кражи криптовалюты и использования скомпрометированных целей в качестве плацдармов для дополнительных атак.
Вторая кампания - Wagemole, нацеленная на американские компании и имеющая потенциал как для получения финансовой выгоды, так и для шпионажа.
Подразделение 42 обнаружило два новых семейства вредоносных программ - BeaverTail и InvisibleFerret, которые могут работать в операционных системах Windows, Linux и macOS.
Впервые подозрительная активность была обнаружена еще в марте 2023 года, а инфраструктура для этой кампании была создана уже в декабре 2022 года.
Тактика, использованная в этой кампании, соответствует ранее зафиксированной активности северокорейских угроз.
Угрожающие лица выбирают разработчиков программного обеспечения, выдавая себя за потенциального работодателя через анонимные или неясные объявления на платформах поиска работы.
Жертв убеждают загрузить и установить пакет на базе NPM, размещенный на GitHub, который содержит вредоносный JavaScript.
GitHub привлекателен для многих разработчиков, поскольку его базовый вариант обслуживания является бесплатным, а также привлекателен для злоумышленников.
BeaverTail распространяется в виде JavaScript в пакетах NPM и может нацеливаться на криптовалютные кошельки и информацию о кредитных картах, хранящуюся в веб-браузере жертвы.
InvisibleFerret - это недавно обнаруженная вредоносная программа, написанная на языке Python и содержащая различные компоненты с такими функциями, как снятие отпечатков пальцев, удаленное управление, кейлоггинг, эксфильтрация данных и кража браузера.
Wagemole ориентирована на широкий круг американских компаний и рынков фриланс-работы, а также на глобальные рынки, включая Африку.
Угрожающий агент, стоящий за Wagemole, поддерживал несколько учетных записей для электронной почты, сайтов фрилансеров, репозиториев исходного кода и платформ агентств по трудоустройству.
Тактика, использованная в этой кампании, соответствует ранее зафиксированной активности северокорейских угроз.
👍1
#ParsedReport #CompletenessMedium
23-11-2023
New Persian Remote World Selling a Suite of Malicious Tools
https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools
Report completeness: Medium
Threats:
Persian_rat
Persian_loader
Uac_bypass_technique
Industry:
Financial
TTPs:
Tactics: 8
Technics: 10
IOCs:
Command: 4
File: 1
Hash: 5
Soft:
telegram, mozilla firefox, google chrome, microsoft edge, chrome
Algorithms:
sha1, sha256
Win API:
CreateMutexW, AdjustTokenPrivileges, SeShutdownPrivilege, SeDebugPrivilege
Platforms:
x86
23-11-2023
New Persian Remote World Selling a Suite of Malicious Tools
https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools
Report completeness: Medium
Threats:
Persian_rat
Persian_loader
Uac_bypass_technique
Industry:
Financial
TTPs:
Tactics: 8
Technics: 10
IOCs:
Command: 4
File: 1
Hash: 5
Soft:
telegram, mozilla firefox, google chrome, microsoft edge, chrome
Algorithms:
sha1, sha256
Win API:
CreateMutexW, AdjustTokenPrivileges, SeShutdownPrivilege, SeDebugPrivilege
Platforms:
x86
Cyble
New Persian Remote World Offers Malicious Tools - Cyble
CRIL analyzes a new website - Persian Remote World - selling malicious software, including RATs and Malware loaders, for monetary gain. Click here to learn more!
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 New Persian Remote World Selling a Suite of Malicious Tools https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools Report completeness: Medium Threats: Persian_rat Persian_loader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CRIL выявил сайт Persian Remote World, занимающийся продажей вредоносных инструментов, таких как троянские программы удаленного доступа (RAT), загрузчики и криптеры, которые могут быть использованы для удаленного выполнения команд, утечки данных и манипулирования системными настройками зараженных систем.
-----
Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила сайт Persian Remote World, занимающийся продажей различных вредоносных инструментов. Среди этих инструментов - троянские программы удаленного доступа (RAT), загрузчики и криптеры, предлагаемые по различным моделям подписки и по разным ценам. CRIL обнаружил новый загрузчик вредоносных программ - Persian Loader, представленный на VirusTotal. Этот загрузчик включает в себя как панель сборщика, так и панель управления клиентами, демонстрирует активный список жертв и предлагает функции для выполнения файлов на скомпрометированных системах. Кроме того, Persian Remote World продает инструмент Persian Security, созданный Persian Remote World, который представляет собой криптер, способный шифровать и обфусцировать исполняемые файлы для предотвращения их обнаружения и анализа. На сайте, где размещен Persian Crypter, также имеется ссылка на Telegram-канал, созданный 18 октября.
На сайте VirusTotal CRIL также обнаружил образец вредоносной программы Persian RAT с хэшем sha256 43403eeb7b8ea5705c727a0fff8d714ea3e27449b6b9ba0edd12c666848e2492 и размером файла 3,75 МБ. При выполнении РАТ Persian создает мьютекс с именем Persian через API CreateMutexW(), а затем активирует привилегии SeShutdownPrivilege и SeDebugPrivilege через API AdjustTokenPrivileges(). Это облегчает выполнение различных вредоносных операций, и после дальнейшего статического анализа были выявлены многочисленные вредоносные возможности.
Persian RAT содержит функцию, позволяющую субъектам угроз (TA) манипулировать брандмауэрами систем жертв, используя команды netsh для управления брандмауэром. Кроме того, она содержит программу, предназначенную для перехвата нажатий клавиш жертвы и передачи их TA, а также программу для кражи cookies с систем жертвы, нацеленную на определенные браузеры. Кроме того, он нацелен на различные игры и приложения, установленные на системе жертвы, сканируя и извлекая важные файлы из соответствующих директорий. Persian RAT также содержит множество встроенных команд, относящихся к контролю учетных записей пользователей (UAC), манипуляциям с брандмауэром, работе с вымогателями, захвату экрана и взаимодействию с банковскими сайтами. Кроме того, некоторые интересные жестко закодированные строки в бинарном файле указывают на то, что RAT нацелен на несколько финансовых организаций.
Вредоносные инструменты, доступные в Persian Remote World, представляют значительную угрозу для потенциальных жертв. Угрозы могут удаленно выполнять команды, осуществлять утечку данных и манипулировать системными настройками на зараженных системах, а постоянный характер RAT делает их особенно опасными, поскольку они могут работать незамеченными в течение длительного времени. Persian Loader позволяет исполнять другие исполняемые файлы на системе жертвы, используя TCP-сокеты для облегчения выполнения полезной нагрузки второго этапа в зараженных системах. Инструмент для создания и управления Persian Loader, а именно Persian X Loader 5.0, был бесплатно размещен на их канале в Telegram. С его помощью TA может создавать бинарные файлы вредоносного загрузчика, добавляя в конструктор IP-адрес и порт сервера-слушателя, а также управлять уже развернутыми загрузчиками, запущенными на системах жертв.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CRIL выявил сайт Persian Remote World, занимающийся продажей вредоносных инструментов, таких как троянские программы удаленного доступа (RAT), загрузчики и криптеры, которые могут быть использованы для удаленного выполнения команд, утечки данных и манипулирования системными настройками зараженных систем.
-----
Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила сайт Persian Remote World, занимающийся продажей различных вредоносных инструментов. Среди этих инструментов - троянские программы удаленного доступа (RAT), загрузчики и криптеры, предлагаемые по различным моделям подписки и по разным ценам. CRIL обнаружил новый загрузчик вредоносных программ - Persian Loader, представленный на VirusTotal. Этот загрузчик включает в себя как панель сборщика, так и панель управления клиентами, демонстрирует активный список жертв и предлагает функции для выполнения файлов на скомпрометированных системах. Кроме того, Persian Remote World продает инструмент Persian Security, созданный Persian Remote World, который представляет собой криптер, способный шифровать и обфусцировать исполняемые файлы для предотвращения их обнаружения и анализа. На сайте, где размещен Persian Crypter, также имеется ссылка на Telegram-канал, созданный 18 октября.
На сайте VirusTotal CRIL также обнаружил образец вредоносной программы Persian RAT с хэшем sha256 43403eeb7b8ea5705c727a0fff8d714ea3e27449b6b9ba0edd12c666848e2492 и размером файла 3,75 МБ. При выполнении РАТ Persian создает мьютекс с именем Persian через API CreateMutexW(), а затем активирует привилегии SeShutdownPrivilege и SeDebugPrivilege через API AdjustTokenPrivileges(). Это облегчает выполнение различных вредоносных операций, и после дальнейшего статического анализа были выявлены многочисленные вредоносные возможности.
Persian RAT содержит функцию, позволяющую субъектам угроз (TA) манипулировать брандмауэрами систем жертв, используя команды netsh для управления брандмауэром. Кроме того, она содержит программу, предназначенную для перехвата нажатий клавиш жертвы и передачи их TA, а также программу для кражи cookies с систем жертвы, нацеленную на определенные браузеры. Кроме того, он нацелен на различные игры и приложения, установленные на системе жертвы, сканируя и извлекая важные файлы из соответствующих директорий. Persian RAT также содержит множество встроенных команд, относящихся к контролю учетных записей пользователей (UAC), манипуляциям с брандмауэром, работе с вымогателями, захвату экрана и взаимодействию с банковскими сайтами. Кроме того, некоторые интересные жестко закодированные строки в бинарном файле указывают на то, что RAT нацелен на несколько финансовых организаций.
Вредоносные инструменты, доступные в Persian Remote World, представляют значительную угрозу для потенциальных жертв. Угрозы могут удаленно выполнять команды, осуществлять утечку данных и манипулировать системными настройками на зараженных системах, а постоянный характер RAT делает их особенно опасными, поскольку они могут работать незамеченными в течение длительного времени. Persian Loader позволяет исполнять другие исполняемые файлы на системе жертвы, используя TCP-сокеты для облегчения выполнения полезной нагрузки второго этапа в зараженных системах. Инструмент для создания и управления Persian Loader, а именно Persian X Loader 5.0, был бесплатно размещен на их канале в Telegram. С его помощью TA может создавать бинарные файлы вредоносного загрузчика, добавляя в конструктор IP-адрес и порт сервера-слушателя, а также управлять уже развернутыми загрузчиками, запущенными на системах жертв.
#ParsedReport #CompletenessLow
23-11-2023
Unveiling the Deceptive Dance: Phobos Ransomware Masquerading As VX-Underground
https://blog.qualys.com/vulnerabilities-threat-research/2023/11/23/unveiling-the-deceptive-dance-phobos-ransomware-masquerading-as-vx-underground
Report completeness: Low
Threats:
Phobos
Dharma
Upx_tool
TTPs:
Tactics: 5
Technics: 12
IOCs:
File: 39
Hash: 1
Command: 3
Soft:
sqlagent, sqlbrowser, dbsnmp, encsvc, onenote, outlook, powerpnt, thebat, thebat64, wordpad, have more...
Win API:
GetLocaleInfoW
Win Services:
sqlagent, sqlbrowser, sqlservr, sqlwriter, ocssd, dbsnmp, synctime, agntsvc, mydesktopqos, isqlplussvc, have more...
23-11-2023
Unveiling the Deceptive Dance: Phobos Ransomware Masquerading As VX-Underground
https://blog.qualys.com/vulnerabilities-threat-research/2023/11/23/unveiling-the-deceptive-dance-phobos-ransomware-masquerading-as-vx-underground
Report completeness: Low
Threats:
Phobos
Dharma
Upx_tool
TTPs:
Tactics: 5
Technics: 12
IOCs:
File: 39
Hash: 1
Command: 3
Soft:
sqlagent, sqlbrowser, dbsnmp, encsvc, onenote, outlook, powerpnt, thebat, thebat64, wordpad, have more...
Win API:
GetLocaleInfoW
Win Services:
sqlagent, sqlbrowser, sqlservr, sqlwriter, ocssd, dbsnmp, synctime, agntsvc, mydesktopqos, isqlplussvc, have more...
Qualys Security Blog
Unveiling the Deceptive Dance: Phobos Ransomware Masquerading As VX-Underground | Qualys Security Blog
During a recent hunt, Qualys Threat Research has come across a ransomware family known as Phobos, impersonating VX-Underground. Phobos ransomware has been knocking on our door since early 2019 and is…
CTT Report Hub
#ParsedReport #CompletenessLow 23-11-2023 Unveiling the Deceptive Dance: Phobos Ransomware Masquerading As VX-Underground https://blog.qualys.com/vulnerabilities-threat-research/2023/11/23/unveiling-the-deceptive-dance-phobos-ransomware-masquerading-as-vx…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Phobos ransomware - это разновидность вредоносного ПО семейства Dharma, распространяющаяся через украденные RDP-соединения и маскирующаяся под легитимное ПО, поэтому пользователям важно принять превентивные меры, чтобы не стать ее жертвой.
-----
Компания Qualys Threat Research недавно обнаружила семейство программ-вымогателей под названием Phobos, которое выдает себя за VX-Underground. Эта программа, предположительно, является разновидностью вредоносного ПО семейства Dharma и чаще всего распространяется через украденные соединения по протоколу удаленного рабочего стола (RDP). Обычно образец распространяется под маскировочным названием легитимного программного комплекса Recuva, что затрудняет его идентификацию и отличие от обычного ПО. Анализ образца показывает, что он скомпилирован для 32-битных архитектур и упакован с помощью UPX Packer.
Перед началом работы Phobos обязательно уничтожает список определенных процессов, чтобы не допустить восстановления системы. Затем он начинает шифровать файлы на машине жертвы, добавляя к ним расширение .VXUG, чтобы выдать себя за VX-Underground. Кроме того, для сохранения стойкости ransomware копирует исполняемый файл в каталог Startup и добавляет ключ реестра Run. По завершении процесса шифрования на экран вываливаются две записки с выкупом - hta- и txt-файл, которые вводят жертву в состояние паники.
Чтобы не стать жертвой Phobos ransomware, пользователям важно принять превентивные меры. В частности, следует избегать вредоносных писем и ссылок, усилить пароли и использовать двухфакторную аутентификацию, а также регулярно сохранять резервные копии данных в безопасных местах. Кроме того, обнаружению и предотвращению заражения способствует регулярное обновление программного обеспечения, отключение ненужных служб и регулярное сканирование систем с помощью антивирусного ПО.
Phobos ransomware - это опасная вредоносная программа, которая может привести к катастрофическим последствиям, если ее не уничтожить. Поэтому важно знать, как она распространяется и какие меры профилактики можно предпринять. Приняв необходимые меры предосторожности, пользователи смогут обезопасить себя от этого вредоносного семейства ransomware.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Phobos ransomware - это разновидность вредоносного ПО семейства Dharma, распространяющаяся через украденные RDP-соединения и маскирующаяся под легитимное ПО, поэтому пользователям важно принять превентивные меры, чтобы не стать ее жертвой.
-----
Компания Qualys Threat Research недавно обнаружила семейство программ-вымогателей под названием Phobos, которое выдает себя за VX-Underground. Эта программа, предположительно, является разновидностью вредоносного ПО семейства Dharma и чаще всего распространяется через украденные соединения по протоколу удаленного рабочего стола (RDP). Обычно образец распространяется под маскировочным названием легитимного программного комплекса Recuva, что затрудняет его идентификацию и отличие от обычного ПО. Анализ образца показывает, что он скомпилирован для 32-битных архитектур и упакован с помощью UPX Packer.
Перед началом работы Phobos обязательно уничтожает список определенных процессов, чтобы не допустить восстановления системы. Затем он начинает шифровать файлы на машине жертвы, добавляя к ним расширение .VXUG, чтобы выдать себя за VX-Underground. Кроме того, для сохранения стойкости ransomware копирует исполняемый файл в каталог Startup и добавляет ключ реестра Run. По завершении процесса шифрования на экран вываливаются две записки с выкупом - hta- и txt-файл, которые вводят жертву в состояние паники.
Чтобы не стать жертвой Phobos ransomware, пользователям важно принять превентивные меры. В частности, следует избегать вредоносных писем и ссылок, усилить пароли и использовать двухфакторную аутентификацию, а также регулярно сохранять резервные копии данных в безопасных местах. Кроме того, обнаружению и предотвращению заражения способствует регулярное обновление программного обеспечения, отключение ненужных служб и регулярное сканирование систем с помощью антивирусного ПО.
Phobos ransomware - это опасная вредоносная программа, которая может привести к катастрофическим последствиям, если ее не уничтожить. Поэтому важно знать, как она распространяется и какие меры профилактики можно предпринять. Приняв необходимые меры предосторожности, пользователи смогут обезопасить себя от этого вредоносного семейства ransomware.
#ParsedReport #CompletenessMedium
22-11-2023
Social engineering attacks lure Indian users to install Android banking trojans
https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans
Report completeness: Medium
Threats:
Supply_chain_technique
Spybanker
Victims:
Indian banking institutions, users, customers of indian banking institutions
Industry:
Government, Financial
Geo:
India, British indian ocean territory
CVEs:
CVE-2022-28799 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tiktok (<23.7.3)
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 2
Hash: 2
Url: 2
Soft:
android, microsoft 365 defender, tiktok android, tiktok, microsoft defender for endpoint, whatsapp, telegram
Algorithms:
sha256
Functions:
OnCreate
Platforms:
apple
22-11-2023
Social engineering attacks lure Indian users to install Android banking trojans
https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans
Report completeness: Medium
Threats:
Supply_chain_technique
Spybanker
Victims:
Indian banking institutions, users, customers of indian banking institutions
Industry:
Government, Financial
Geo:
India, British indian ocean territory
CVEs:
CVE-2022-28799 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tiktok (<23.7.3)
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 2
Hash: 2
Url: 2
Soft:
android, microsoft 365 defender, tiktok android, tiktok, microsoft defender for endpoint, whatsapp, telegram
Algorithms:
sha256
Functions:
OnCreate
Platforms:
apple
Microsoft Security Blog
Social engineering attacks lure Indian users to install Android banking trojans | Microsoft Security Blog
Mobile banking trojan campaigns targeting users in India impersonate legitimate orgs and steal users’ information for financial fraud scams.