CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 New Persian Remote World Selling a Suite of Malicious Tools https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools Report completeness: Medium Threats: Persian_rat Persian_loader…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CRIL выявил сайт Persian Remote World, занимающийся продажей вредоносных инструментов, таких как троянские программы удаленного доступа (RAT), загрузчики и криптеры, которые могут быть использованы для удаленного выполнения команд, утечки данных и манипулирования системными настройками зараженных систем.
-----
Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила сайт Persian Remote World, занимающийся продажей различных вредоносных инструментов. Среди этих инструментов - троянские программы удаленного доступа (RAT), загрузчики и криптеры, предлагаемые по различным моделям подписки и по разным ценам. CRIL обнаружил новый загрузчик вредоносных программ - Persian Loader, представленный на VirusTotal. Этот загрузчик включает в себя как панель сборщика, так и панель управления клиентами, демонстрирует активный список жертв и предлагает функции для выполнения файлов на скомпрометированных системах. Кроме того, Persian Remote World продает инструмент Persian Security, созданный Persian Remote World, который представляет собой криптер, способный шифровать и обфусцировать исполняемые файлы для предотвращения их обнаружения и анализа. На сайте, где размещен Persian Crypter, также имеется ссылка на Telegram-канал, созданный 18 октября.
На сайте VirusTotal CRIL также обнаружил образец вредоносной программы Persian RAT с хэшем sha256 43403eeb7b8ea5705c727a0fff8d714ea3e27449b6b9ba0edd12c666848e2492 и размером файла 3,75 МБ. При выполнении РАТ Persian создает мьютекс с именем Persian через API CreateMutexW(), а затем активирует привилегии SeShutdownPrivilege и SeDebugPrivilege через API AdjustTokenPrivileges(). Это облегчает выполнение различных вредоносных операций, и после дальнейшего статического анализа были выявлены многочисленные вредоносные возможности.
Persian RAT содержит функцию, позволяющую субъектам угроз (TA) манипулировать брандмауэрами систем жертв, используя команды netsh для управления брандмауэром. Кроме того, она содержит программу, предназначенную для перехвата нажатий клавиш жертвы и передачи их TA, а также программу для кражи cookies с систем жертвы, нацеленную на определенные браузеры. Кроме того, он нацелен на различные игры и приложения, установленные на системе жертвы, сканируя и извлекая важные файлы из соответствующих директорий. Persian RAT также содержит множество встроенных команд, относящихся к контролю учетных записей пользователей (UAC), манипуляциям с брандмауэром, работе с вымогателями, захвату экрана и взаимодействию с банковскими сайтами. Кроме того, некоторые интересные жестко закодированные строки в бинарном файле указывают на то, что RAT нацелен на несколько финансовых организаций.
Вредоносные инструменты, доступные в Persian Remote World, представляют значительную угрозу для потенциальных жертв. Угрозы могут удаленно выполнять команды, осуществлять утечку данных и манипулировать системными настройками на зараженных системах, а постоянный характер RAT делает их особенно опасными, поскольку они могут работать незамеченными в течение длительного времени. Persian Loader позволяет исполнять другие исполняемые файлы на системе жертвы, используя TCP-сокеты для облегчения выполнения полезной нагрузки второго этапа в зараженных системах. Инструмент для создания и управления Persian Loader, а именно Persian X Loader 5.0, был бесплатно размещен на их канале в Telegram. С его помощью TA может создавать бинарные файлы вредоносного загрузчика, добавляя в конструктор IP-адрес и порт сервера-слушателя, а также управлять уже развернутыми загрузчиками, запущенными на системах жертв.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CRIL выявил сайт Persian Remote World, занимающийся продажей вредоносных инструментов, таких как троянские программы удаленного доступа (RAT), загрузчики и криптеры, которые могут быть использованы для удаленного выполнения команд, утечки данных и манипулирования системными настройками зараженных систем.
-----
Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила сайт Persian Remote World, занимающийся продажей различных вредоносных инструментов. Среди этих инструментов - троянские программы удаленного доступа (RAT), загрузчики и криптеры, предлагаемые по различным моделям подписки и по разным ценам. CRIL обнаружил новый загрузчик вредоносных программ - Persian Loader, представленный на VirusTotal. Этот загрузчик включает в себя как панель сборщика, так и панель управления клиентами, демонстрирует активный список жертв и предлагает функции для выполнения файлов на скомпрометированных системах. Кроме того, Persian Remote World продает инструмент Persian Security, созданный Persian Remote World, который представляет собой криптер, способный шифровать и обфусцировать исполняемые файлы для предотвращения их обнаружения и анализа. На сайте, где размещен Persian Crypter, также имеется ссылка на Telegram-канал, созданный 18 октября.
На сайте VirusTotal CRIL также обнаружил образец вредоносной программы Persian RAT с хэшем sha256 43403eeb7b8ea5705c727a0fff8d714ea3e27449b6b9ba0edd12c666848e2492 и размером файла 3,75 МБ. При выполнении РАТ Persian создает мьютекс с именем Persian через API CreateMutexW(), а затем активирует привилегии SeShutdownPrivilege и SeDebugPrivilege через API AdjustTokenPrivileges(). Это облегчает выполнение различных вредоносных операций, и после дальнейшего статического анализа были выявлены многочисленные вредоносные возможности.
Persian RAT содержит функцию, позволяющую субъектам угроз (TA) манипулировать брандмауэрами систем жертв, используя команды netsh для управления брандмауэром. Кроме того, она содержит программу, предназначенную для перехвата нажатий клавиш жертвы и передачи их TA, а также программу для кражи cookies с систем жертвы, нацеленную на определенные браузеры. Кроме того, он нацелен на различные игры и приложения, установленные на системе жертвы, сканируя и извлекая важные файлы из соответствующих директорий. Persian RAT также содержит множество встроенных команд, относящихся к контролю учетных записей пользователей (UAC), манипуляциям с брандмауэром, работе с вымогателями, захвату экрана и взаимодействию с банковскими сайтами. Кроме того, некоторые интересные жестко закодированные строки в бинарном файле указывают на то, что RAT нацелен на несколько финансовых организаций.
Вредоносные инструменты, доступные в Persian Remote World, представляют значительную угрозу для потенциальных жертв. Угрозы могут удаленно выполнять команды, осуществлять утечку данных и манипулировать системными настройками на зараженных системах, а постоянный характер RAT делает их особенно опасными, поскольку они могут работать незамеченными в течение длительного времени. Persian Loader позволяет исполнять другие исполняемые файлы на системе жертвы, используя TCP-сокеты для облегчения выполнения полезной нагрузки второго этапа в зараженных системах. Инструмент для создания и управления Persian Loader, а именно Persian X Loader 5.0, был бесплатно размещен на их канале в Telegram. С его помощью TA может создавать бинарные файлы вредоносного загрузчика, добавляя в конструктор IP-адрес и порт сервера-слушателя, а также управлять уже развернутыми загрузчиками, запущенными на системах жертв.
#ParsedReport #CompletenessLow
23-11-2023
Unveiling the Deceptive Dance: Phobos Ransomware Masquerading As VX-Underground
https://blog.qualys.com/vulnerabilities-threat-research/2023/11/23/unveiling-the-deceptive-dance-phobos-ransomware-masquerading-as-vx-underground
Report completeness: Low
Threats:
Phobos
Dharma
Upx_tool
TTPs:
Tactics: 5
Technics: 12
IOCs:
File: 39
Hash: 1
Command: 3
Soft:
sqlagent, sqlbrowser, dbsnmp, encsvc, onenote, outlook, powerpnt, thebat, thebat64, wordpad, have more...
Win API:
GetLocaleInfoW
Win Services:
sqlagent, sqlbrowser, sqlservr, sqlwriter, ocssd, dbsnmp, synctime, agntsvc, mydesktopqos, isqlplussvc, have more...
23-11-2023
Unveiling the Deceptive Dance: Phobos Ransomware Masquerading As VX-Underground
https://blog.qualys.com/vulnerabilities-threat-research/2023/11/23/unveiling-the-deceptive-dance-phobos-ransomware-masquerading-as-vx-underground
Report completeness: Low
Threats:
Phobos
Dharma
Upx_tool
TTPs:
Tactics: 5
Technics: 12
IOCs:
File: 39
Hash: 1
Command: 3
Soft:
sqlagent, sqlbrowser, dbsnmp, encsvc, onenote, outlook, powerpnt, thebat, thebat64, wordpad, have more...
Win API:
GetLocaleInfoW
Win Services:
sqlagent, sqlbrowser, sqlservr, sqlwriter, ocssd, dbsnmp, synctime, agntsvc, mydesktopqos, isqlplussvc, have more...
Qualys Security Blog
Unveiling the Deceptive Dance: Phobos Ransomware Masquerading As VX-Underground | Qualys Security Blog
During a recent hunt, Qualys Threat Research has come across a ransomware family known as Phobos, impersonating VX-Underground. Phobos ransomware has been knocking on our door since early 2019 and is…
CTT Report Hub
#ParsedReport #CompletenessLow 23-11-2023 Unveiling the Deceptive Dance: Phobos Ransomware Masquerading As VX-Underground https://blog.qualys.com/vulnerabilities-threat-research/2023/11/23/unveiling-the-deceptive-dance-phobos-ransomware-masquerading-as-vx…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Phobos ransomware - это разновидность вредоносного ПО семейства Dharma, распространяющаяся через украденные RDP-соединения и маскирующаяся под легитимное ПО, поэтому пользователям важно принять превентивные меры, чтобы не стать ее жертвой.
-----
Компания Qualys Threat Research недавно обнаружила семейство программ-вымогателей под названием Phobos, которое выдает себя за VX-Underground. Эта программа, предположительно, является разновидностью вредоносного ПО семейства Dharma и чаще всего распространяется через украденные соединения по протоколу удаленного рабочего стола (RDP). Обычно образец распространяется под маскировочным названием легитимного программного комплекса Recuva, что затрудняет его идентификацию и отличие от обычного ПО. Анализ образца показывает, что он скомпилирован для 32-битных архитектур и упакован с помощью UPX Packer.
Перед началом работы Phobos обязательно уничтожает список определенных процессов, чтобы не допустить восстановления системы. Затем он начинает шифровать файлы на машине жертвы, добавляя к ним расширение .VXUG, чтобы выдать себя за VX-Underground. Кроме того, для сохранения стойкости ransomware копирует исполняемый файл в каталог Startup и добавляет ключ реестра Run. По завершении процесса шифрования на экран вываливаются две записки с выкупом - hta- и txt-файл, которые вводят жертву в состояние паники.
Чтобы не стать жертвой Phobos ransomware, пользователям важно принять превентивные меры. В частности, следует избегать вредоносных писем и ссылок, усилить пароли и использовать двухфакторную аутентификацию, а также регулярно сохранять резервные копии данных в безопасных местах. Кроме того, обнаружению и предотвращению заражения способствует регулярное обновление программного обеспечения, отключение ненужных служб и регулярное сканирование систем с помощью антивирусного ПО.
Phobos ransomware - это опасная вредоносная программа, которая может привести к катастрофическим последствиям, если ее не уничтожить. Поэтому важно знать, как она распространяется и какие меры профилактики можно предпринять. Приняв необходимые меры предосторожности, пользователи смогут обезопасить себя от этого вредоносного семейства ransomware.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Phobos ransomware - это разновидность вредоносного ПО семейства Dharma, распространяющаяся через украденные RDP-соединения и маскирующаяся под легитимное ПО, поэтому пользователям важно принять превентивные меры, чтобы не стать ее жертвой.
-----
Компания Qualys Threat Research недавно обнаружила семейство программ-вымогателей под названием Phobos, которое выдает себя за VX-Underground. Эта программа, предположительно, является разновидностью вредоносного ПО семейства Dharma и чаще всего распространяется через украденные соединения по протоколу удаленного рабочего стола (RDP). Обычно образец распространяется под маскировочным названием легитимного программного комплекса Recuva, что затрудняет его идентификацию и отличие от обычного ПО. Анализ образца показывает, что он скомпилирован для 32-битных архитектур и упакован с помощью UPX Packer.
Перед началом работы Phobos обязательно уничтожает список определенных процессов, чтобы не допустить восстановления системы. Затем он начинает шифровать файлы на машине жертвы, добавляя к ним расширение .VXUG, чтобы выдать себя за VX-Underground. Кроме того, для сохранения стойкости ransomware копирует исполняемый файл в каталог Startup и добавляет ключ реестра Run. По завершении процесса шифрования на экран вываливаются две записки с выкупом - hta- и txt-файл, которые вводят жертву в состояние паники.
Чтобы не стать жертвой Phobos ransomware, пользователям важно принять превентивные меры. В частности, следует избегать вредоносных писем и ссылок, усилить пароли и использовать двухфакторную аутентификацию, а также регулярно сохранять резервные копии данных в безопасных местах. Кроме того, обнаружению и предотвращению заражения способствует регулярное обновление программного обеспечения, отключение ненужных служб и регулярное сканирование систем с помощью антивирусного ПО.
Phobos ransomware - это опасная вредоносная программа, которая может привести к катастрофическим последствиям, если ее не уничтожить. Поэтому важно знать, как она распространяется и какие меры профилактики можно предпринять. Приняв необходимые меры предосторожности, пользователи смогут обезопасить себя от этого вредоносного семейства ransomware.
#ParsedReport #CompletenessMedium
22-11-2023
Social engineering attacks lure Indian users to install Android banking trojans
https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans
Report completeness: Medium
Threats:
Supply_chain_technique
Spybanker
Victims:
Indian banking institutions, users, customers of indian banking institutions
Industry:
Government, Financial
Geo:
India, British indian ocean territory
CVEs:
CVE-2022-28799 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tiktok (<23.7.3)
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 2
Hash: 2
Url: 2
Soft:
android, microsoft 365 defender, tiktok android, tiktok, microsoft defender for endpoint, whatsapp, telegram
Algorithms:
sha256
Functions:
OnCreate
Platforms:
apple
22-11-2023
Social engineering attacks lure Indian users to install Android banking trojans
https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans
Report completeness: Medium
Threats:
Supply_chain_technique
Spybanker
Victims:
Indian banking institutions, users, customers of indian banking institutions
Industry:
Government, Financial
Geo:
India, British indian ocean territory
CVEs:
CVE-2022-28799 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tiktok (<23.7.3)
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 2
Hash: 2
Url: 2
Soft:
android, microsoft 365 defender, tiktok android, tiktok, microsoft defender for endpoint, whatsapp, telegram
Algorithms:
sha256
Functions:
OnCreate
Platforms:
apple
Microsoft Security Blog
Social engineering attacks lure Indian users to install Android banking trojans | Microsoft Security Blog
Mobile banking trojan campaigns targeting users in India impersonate legitimate orgs and steal users’ information for financial fraud scams.
CTT Report Hub
#ParsedReport #CompletenessMedium 22-11-2023 Social engineering attacks lure Indian users to install Android banking trojans https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что недавно корпорация Microsoft обнаружила вредоносное приложение для получения вознаграждений за услуги мобильного банкинга, предназначенное для индийских банковских учреждений и являющееся примером вредоносного ПО для мошенничества с оплатой счетов. Microsoft повышает осведомленность об этой угрозе и дает советы по предотвращению заражения устройств пользователей вредоносными приложениями.
-----
Недавно компания Microsoft обнаружила поддельное приложение для получения вознаграждений за работу с мобильными банками, предназначенное для клиентов индийских банковских учреждений и обладающее возможностями RAT.
Злоумышленники рассылают вредоносные сообщения через социальные сети, такие как WhatsApp и Telegram, предлагая пользователям установить мошенническое приложение на свое мобильное устройство.
Установленное приложение выдавало себя за легитимный банк, расположенный в Индии, и, маскируясь под официальное приложение банка Know Your Customer (KYC), обманывало пользователей, заставляя их предоставлять конфиденциальную информацию.
Вредоносное приложение запрашивало у пользователей два опасных разрешения: Send_SMS и Receive_SMS.
Microsoft повышает осведомленность об этой угрозе и призывает к разработке стратегий проактивной защиты для предотвращения подобных угроз.
Индийские банки, государственные службы и другие организации проводят кампании по повышению уровня безопасности, информируя пользователей об угрозах, связанных с троянами для мобильного банкинга.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что недавно корпорация Microsoft обнаружила вредоносное приложение для получения вознаграждений за услуги мобильного банкинга, предназначенное для индийских банковских учреждений и являющееся примером вредоносного ПО для мошенничества с оплатой счетов. Microsoft повышает осведомленность об этой угрозе и дает советы по предотвращению заражения устройств пользователей вредоносными приложениями.
-----
Недавно компания Microsoft обнаружила поддельное приложение для получения вознаграждений за работу с мобильными банками, предназначенное для клиентов индийских банковских учреждений и обладающее возможностями RAT.
Злоумышленники рассылают вредоносные сообщения через социальные сети, такие как WhatsApp и Telegram, предлагая пользователям установить мошенническое приложение на свое мобильное устройство.
Установленное приложение выдавало себя за легитимный банк, расположенный в Индии, и, маскируясь под официальное приложение банка Know Your Customer (KYC), обманывало пользователей, заставляя их предоставлять конфиденциальную информацию.
Вредоносное приложение запрашивало у пользователей два опасных разрешения: Send_SMS и Receive_SMS.
Microsoft повышает осведомленность об этой угрозе и призывает к разработке стратегий проактивной защиты для предотвращения подобных угроз.
Индийские банки, государственные службы и другие организации проводят кампании по повышению уровня безопасности, информируя пользователей об угрозах, связанных с троянами для мобильного банкинга.
#ParsedReport #CompletenessMedium
23-11-2023
ParaSiteSnatcher: How Malicious Chrome Extensions Target Brazil
https://www.trendmicro.com/en_us/research/23/k/parasitesnatcher-how-malicious-chrome-extensions-target-brazil-.html
Report completeness: Medium
Threats:
Parasitesnatcher
Junk_code_technique
Victims:
Users in latin america, particularly brazil
Industry:
Financial
Geo:
Brazil, Brasil, American samoa, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1562.001, T1059.004, T1543.001, T1036.003, T1486, T1071.001
IOCs:
Path: 1
Url: 8
File: 13
Domain: 4
Hash: 35
Soft:
chrome, google chrome, microsoft edge, opera
Algorithms:
sha256
Functions:
down, timerMonitor, getCookies, navigate, setFocusTab, addlog, analyzeRequest, setCommandRetorno, updateCmd, postSession, have more...
Languages:
javascript
23-11-2023
ParaSiteSnatcher: How Malicious Chrome Extensions Target Brazil
https://www.trendmicro.com/en_us/research/23/k/parasitesnatcher-how-malicious-chrome-extensions-target-brazil-.html
Report completeness: Medium
Threats:
Parasitesnatcher
Junk_code_technique
Victims:
Users in latin america, particularly brazil
Industry:
Financial
Geo:
Brazil, Brasil, American samoa, Brazilian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1562.001, T1059.004, T1543.001, T1036.003, T1486, T1071.001
IOCs:
Path: 1
Url: 8
File: 13
Domain: 4
Hash: 35
Soft:
chrome, google chrome, microsoft edge, opera
Algorithms:
sha256
Functions:
down, timerMonitor, getCookies, navigate, setFocusTab, addlog, analyzeRequest, setCommandRetorno, updateCmd, postSession, have more...
Languages:
javascript
Trend Micro
ParaSiteSnatcher How Malicious Chrome Extensions Target Brazil
We detail the modular framework of malicious Chrome extensions that consist of various highly obfuscated components that leverage Google Chrome API to monitor, intercept, and exfiltrate victim data.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 ParaSiteSnatcher: How Malicious Chrome Extensions Target Brazil https://www.trendmicro.com/en_us/research/23/k/parasitesnatcher-how-malicious-chrome-extensions-target-brazil-.html Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: ParaSiteSnatcher - это вредоносное расширение для Chrome, которое осуществляет утечку данных с банковских и налоговых сайтов и загружается с помощью VBScript-загрузчика. Для обеспечения персистентности оно использует службу Windows Management Instrumentation, а для связи с C&C-сервером злоумышленника использует API Chrome sendMessage. Он также совместим с другими браузерами на базе Chromium, поэтому пользователям следует проявлять бдительность при предоставлении разрешений расширениям и использовании веб-браузеров.
-----
Обнаружено вредоносное расширение для Chrome под названием ParaSiteSnatcher, предназначенное для пользователей из Латинской Америки, в частности Бразилии.
ParaSiteSnatcher загружается через VBScript-загрузчик, размещенный на Dropbox и Google Cloud и состоящий из трех различных вариантов.
Вредоносная программа использует службу Windows Management Instrumentation (WMI) для получения информации об операционной системе, после чего загружает и сохраняет вредоносные модули расширения ParaSiteSnatcher в каталоге %APPDATA%\%USERNAME% инфицированной системы.
Вредоносное расширение Chrome периодически отслеживает определенные формы и элементы на веб-странице и каждые две секунды устанавливает слушателей событий на определенные кнопки.
Она позволяет осуществлять эксфильтрацию данных с URL-адресов, связанных с Banco do Brasil и Caixa Econmica Federal (Caixa), инициировать и манипулировать транзакциями в PIX, эксфильтрировать бразильские идентификационные номера налогоплательщиков как для физических, так и для юридических лиц, а также отслеживать взаимодействие пользователей на нескольких вкладках.
Вредоносное расширение Chrome содержит JSON-ключ permissions, который содержит определенные ключевые слова API WebExtension, которые расширение запрашивает для использования.
Расширение совместимо с такими браузерами на базе Chromium, как Microsoft Edge, Brave и Opera, а также потенциально может быть совместимо с Firefox и Safari.
Использование вредоносных расширений Google Chrome подчеркивает важность бдительности при предоставлении разрешений расширениям и при использовании веб-браузеров.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: ParaSiteSnatcher - это вредоносное расширение для Chrome, которое осуществляет утечку данных с банковских и налоговых сайтов и загружается с помощью VBScript-загрузчика. Для обеспечения персистентности оно использует службу Windows Management Instrumentation, а для связи с C&C-сервером злоумышленника использует API Chrome sendMessage. Он также совместим с другими браузерами на базе Chromium, поэтому пользователям следует проявлять бдительность при предоставлении разрешений расширениям и использовании веб-браузеров.
-----
Обнаружено вредоносное расширение для Chrome под названием ParaSiteSnatcher, предназначенное для пользователей из Латинской Америки, в частности Бразилии.
ParaSiteSnatcher загружается через VBScript-загрузчик, размещенный на Dropbox и Google Cloud и состоящий из трех различных вариантов.
Вредоносная программа использует службу Windows Management Instrumentation (WMI) для получения информации об операционной системе, после чего загружает и сохраняет вредоносные модули расширения ParaSiteSnatcher в каталоге %APPDATA%\%USERNAME% инфицированной системы.
Вредоносное расширение Chrome периодически отслеживает определенные формы и элементы на веб-странице и каждые две секунды устанавливает слушателей событий на определенные кнопки.
Она позволяет осуществлять эксфильтрацию данных с URL-адресов, связанных с Banco do Brasil и Caixa Econmica Federal (Caixa), инициировать и манипулировать транзакциями в PIX, эксфильтрировать бразильские идентификационные номера налогоплательщиков как для физических, так и для юридических лиц, а также отслеживать взаимодействие пользователей на нескольких вкладках.
Вредоносное расширение Chrome содержит JSON-ключ permissions, который содержит определенные ключевые слова API WebExtension, которые расширение запрашивает для использования.
Расширение совместимо с такими браузерами на базе Chromium, как Microsoft Edge, Brave и Opera, а также потенциально может быть совместимо с Firefox и Safari.
Использование вредоносных расширений Google Chrome подчеркивает важность бдительности при предоставлении разрешений расширениям и при использовании веб-браузеров.
#ParsedReport #CompletenessMedium
23-11-2023
Stealthy WailingCrab Malware misuses MQTT Messaging Protocol
https://securityintelligence.com/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol
Report completeness: Medium
Actors/Campaigns:
Ta544
Red_delta
Threats:
Wikiloader
Gozi
Mqsttang
Dll_hijacking_technique
Industry:
Iot, Transport
Geo:
Sydney, Italy
ChatGPT TTPs:
T1201, T1090, T1090, T1117, T1053, T1218, T1573, T1036, T1084
IOCs:
Domain: 1
Hash: 3
File: 6
Path: 1
Url: 1
Soft:
discord, wordpress
Algorithms:
aes-256, base64, cbc, aes, xor
Win API:
DllRegisterServer
Languages:
php, jscript
23-11-2023
Stealthy WailingCrab Malware misuses MQTT Messaging Protocol
https://securityintelligence.com/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol
Report completeness: Medium
Actors/Campaigns:
Ta544
Red_delta
Threats:
Wikiloader
Gozi
Mqsttang
Dll_hijacking_technique
Industry:
Iot, Transport
Geo:
Sydney, Italy
ChatGPT TTPs:
do not use without manual checkT1201, T1090, T1090, T1117, T1053, T1218, T1573, T1036, T1084
IOCs:
Domain: 1
Hash: 3
File: 6
Path: 1
Url: 1
Soft:
discord, wordpress
Algorithms:
aes-256, base64, cbc, aes, xor
Win API:
DllRegisterServer
Languages:
php, jscript
Security Intelligence
Stealthy WailingCrab Malware misuses MQTT Messaging Protocol
IBM X-Force researchers have been tracking developments in the WailingCrab malware family, also known as a WikiLoader. Learn about the teams' discoveries here.
#ParsedReport #CompletenessMedium
22-11-2023
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: financially_motivated, cyber_espionage)
Threats:
Supply_chain_technique
Lambload
Geo:
Canada, Taiwan, North korea, Korean, Japan
ChatGPT TTPs:
T1497, T1496, T1090, T1071
IOCs:
File: 6
Hash: 5
Url: 8
Soft:
microsoft defender, microsoft defender for endpoint, internet explorer
Algorithms:
sha256, sha2
Languages:
python
Links:
22-11-2023
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: financially_motivated, cyber_espionage)
Threats:
Supply_chain_technique
Lambload
Geo:
Canada, Taiwan, North korea, Korean, Japan
ChatGPT TTPs:
do not use without manual checkT1497, T1496, T1090, T1071
IOCs:
File: 6
Hash: 5
Url: 8
Soft:
microsoft defender, microsoft defender for endpoint, internet explorer
Algorithms:
sha256, sha2
Languages:
python
Links:
https://docs.github.com/en/site-policy/acceptable-use-policies/github-active-malware-or-exploitsMicrosoft News
Diamond Sleet supply chain compromise distributes a modified CyberLink installer
Microsoft has uncovered a supply chain attack by Diamond Sleet involving a malicious variant of an application developed by CyberLink Corp.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-11-2023 Stealthy WailingCrab Malware misuses MQTT Messaging Protocol https://securityintelligence.com/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol Report completeness: Medium Actors/Campaigns: Ta544 Red_delta…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WailingCrab - это сложное семейство вредоносных программ, распространяемых через спам-кампании по электронной почте и использующих для связи со своим C2-сервером протокол MQTT. Он состоит из трех компонентов: инжектора, загрузчика/загрузчика и бэкдора. Компонент-инжектор внедряет вредоносный код в легитимный DLL-файл, а компонент-загрузчик/загрузчик загружает компонент-бэкдор. Компонент backdoor отвечает за установку persistence и beaconing на C2, а также использует сторонний брокер для скрытия адреса сервера C2.
-----
WailingCrab - семейство вредоносных программ, отслеживаемое исследователями IBM X-Force с декабря 2022 года.
Он распространяется через спам-кампании по электронной почте с помощью вложений в формате .PDF, содержащих вредоносные URL-адреса.
Инжекторный компонент WailingCrab отвечает за загрузку компонента backdoor.
Он создает хэш имени файла процесса до тех пор, пока не найдет тот, который совпадает с целевым хэшем.
WailingCrab расшифровывает свой компонент третьей ступени с помощью XOR и записывает расшифрованное содержимое полезной нагрузки в выделенную область памяти.
Третий компонент WailingCrab представляет собой загрузчик (Downloader/Loader), который отвечает за загрузку компонента Backdoor.
Затем выполняется код бэкдора.
WailingCrab создает подключ с произвольным именем в реестре Run и добавляет в него путь к файлу скопированного и произвольно переименованного файла printfilterpipelinesvc.exe.
Связь между компонентом бэкдора WailingCrab и C2 осуществляется по протоколу MQTT.
WailingCrab использует сторонний брокер broker.emqx.io, который позволяет скрывать истинный адрес C2-сервера.
WailingCrab регистрируется в C2, публикуя сообщение в теме, названной так же, как и строка ID кампании, найденная в загрузчике WailingCrab.
Случайно сгенерированная 16-значная строка используется в качестве имени темы, специфичной для клиента, для связи C2 и бэкдора.
Бэкдор загружает полезную нагрузку с URL-адреса, декодирует ее с помощью base64, а затем расшифровывает с помощью алгоритма XOR.
Бэкдор переподключается к MQTT-клиенту, используя новое случайно сгенерированное имя.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WailingCrab - это сложное семейство вредоносных программ, распространяемых через спам-кампании по электронной почте и использующих для связи со своим C2-сервером протокол MQTT. Он состоит из трех компонентов: инжектора, загрузчика/загрузчика и бэкдора. Компонент-инжектор внедряет вредоносный код в легитимный DLL-файл, а компонент-загрузчик/загрузчик загружает компонент-бэкдор. Компонент backdoor отвечает за установку persistence и beaconing на C2, а также использует сторонний брокер для скрытия адреса сервера C2.
-----
WailingCrab - семейство вредоносных программ, отслеживаемое исследователями IBM X-Force с декабря 2022 года.
Он распространяется через спам-кампании по электронной почте с помощью вложений в формате .PDF, содержащих вредоносные URL-адреса.
Инжекторный компонент WailingCrab отвечает за загрузку компонента backdoor.
Он создает хэш имени файла процесса до тех пор, пока не найдет тот, который совпадает с целевым хэшем.
WailingCrab расшифровывает свой компонент третьей ступени с помощью XOR и записывает расшифрованное содержимое полезной нагрузки в выделенную область памяти.
Третий компонент WailingCrab представляет собой загрузчик (Downloader/Loader), который отвечает за загрузку компонента Backdoor.
Затем выполняется код бэкдора.
WailingCrab создает подключ с произвольным именем в реестре Run и добавляет в него путь к файлу скопированного и произвольно переименованного файла printfilterpipelinesvc.exe.
Связь между компонентом бэкдора WailingCrab и C2 осуществляется по протоколу MQTT.
WailingCrab использует сторонний брокер broker.emqx.io, который позволяет скрывать истинный адрес C2-сервера.
WailingCrab регистрируется в C2, публикуя сообщение в теме, названной так же, как и строка ID кампании, найденная в загрузчике WailingCrab.
Случайно сгенерированная 16-значная строка используется в качестве имени темы, специфичной для клиента, для связи C2 и бэкдора.
Бэкдор загружает полезную нагрузку с URL-адреса, декодирует ее с помощью base64, а затем расшифровывает с помощью алгоритма XOR.
Бэкдор переподключается к MQTT-клиенту, используя новое случайно сгенерированное имя.
CTT Report Hub
#ParsedReport #CompletenessMedium 22-11-2023 Diamond Sleet supply chain compromise distributes a modified CyberLink installer https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Специалисты Microsoft Threat Intelligence выявили атаку на цепочки поставок, осуществленную северокорейским агентом Diamond Sleet. Microsoft предоставила аналитические данные, информацию о защите и рекомендованные действия для предотвращения, смягчения или реагирования на угрозы, обнаруженные в средах заказчиков.
-----
Специалисты Microsoft Threat Intelligence обнаружили атаку на цепочки поставок, осуществленную северокорейской компанией Diamond Sleet (ранее ZINC). Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код. Вредоносная активность была замечена более чем на 100 устройствах в разных странах, включая Японию, Тайвань, Канаду и США. Microsoft добавила сертификат CyberLink Corp., используемый для подписи вредоносного файла, в список запрещенных сертификатов и обнаружила вредоносное приложение и полезную нагрузку как LambLoad.
Diamond Sleet - группа угроз, известная тем, что атакует СМИ, оборонную промышленность и ИТ-индустрию по всему миру с целью шпионажа, кражи персональных и корпоративных данных, получения финансовой выгоды и разрушения корпоративных сетей. Они были замечены в использовании разнообразных пользовательских вредоносных программ, характерных только для этой группы, в том числе с использованием уязвимостей N-day. Их деятельность пересекается с деятельностью других компаний, занимающихся вопросами безопасности, таких как Temp.Hermit и Labyrinth Chollima.
Впервые вредоносный файл был замечен 20 октября 2023 года. Он пытается обратиться по одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet. Вредоносный код проверяет наличие определенных имен процессов, связанных с FireEye, CrowdStrike и Tanium. Если эти критерии не соблюдены, вредоносный код отказывается от дальнейшего выполнения.
Антивирус Microsoft Defender обнаруживает вредоносные компоненты как Trojan:Win32/LambLoad. Для получения актуальной информации об участнике угрозы, вредоносной активности и методах работы клиенты Microsoft могут использовать отчеты, доступные в продуктах Microsoft. Microsoft Defender for Endpoint обнаруживает эту активность как группу активности Diamond Sleet.
Корпорация Microsoft продолжает расследование деятельности угрожающей группы Diamond Sleet, включая полный масштаб атаки на цепочки поставок. Корпорация Microsoft предоставила разведданные, информацию о защите и рекомендованные действия по предотвращению, смягчению последствий или реагированию на соответствующие угрозы, обнаруженные в средах заказчиков.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Специалисты Microsoft Threat Intelligence выявили атаку на цепочки поставок, осуществленную северокорейским агентом Diamond Sleet. Microsoft предоставила аналитические данные, информацию о защите и рекомендованные действия для предотвращения, смягчения или реагирования на угрозы, обнаруженные в средах заказчиков.
-----
Специалисты Microsoft Threat Intelligence обнаружили атаку на цепочки поставок, осуществленную северокорейской компанией Diamond Sleet (ранее ZINC). Вредоносный файл представляет собой легитимный установщик приложения CyberLink, который был модифицирован и содержит вредоносный код. Вредоносная активность была замечена более чем на 100 устройствах в разных странах, включая Японию, Тайвань, Канаду и США. Microsoft добавила сертификат CyberLink Corp., используемый для подписи вредоносного файла, в список запрещенных сертификатов и обнаружила вредоносное приложение и полезную нагрузку как LambLoad.
Diamond Sleet - группа угроз, известная тем, что атакует СМИ, оборонную промышленность и ИТ-индустрию по всему миру с целью шпионажа, кражи персональных и корпоративных данных, получения финансовой выгоды и разрушения корпоративных сетей. Они были замечены в использовании разнообразных пользовательских вредоносных программ, характерных только для этой группы, в том числе с использованием уязвимостей N-day. Их деятельность пересекается с деятельностью других компаний, занимающихся вопросами безопасности, таких как Temp.Hermit и Labyrinth Chollima.
Впервые вредоносный файл был замечен 20 октября 2023 года. Он пытается обратиться по одному из трех URL-адресов для загрузки полезной нагрузки второго этапа, встроенной в файл, маскирующийся под PNG-файл. Оба домена являются легитимными, но были скомпрометированы программой Diamond Sleet. Вредоносный код проверяет наличие определенных имен процессов, связанных с FireEye, CrowdStrike и Tanium. Если эти критерии не соблюдены, вредоносный код отказывается от дальнейшего выполнения.
Антивирус Microsoft Defender обнаруживает вредоносные компоненты как Trojan:Win32/LambLoad. Для получения актуальной информации об участнике угрозы, вредоносной активности и методах работы клиенты Microsoft могут использовать отчеты, доступные в продуктах Microsoft. Microsoft Defender for Endpoint обнаруживает эту активность как группу активности Diamond Sleet.
Корпорация Microsoft продолжает расследование деятельности угрожающей группы Diamond Sleet, включая полный масштаб атаки на цепочки поставок. Корпорация Microsoft предоставила разведданные, информацию о защите и рекомендованные действия по предотвращению, смягчению последствий или реагированию на соответствующие угрозы, обнаруженные в средах заказчиков.
#ParsedReport #CompletenessLow
22-11-2023
Beneath the Surface: How Hackers Turn NetSupport Against Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users
Report completeness: Low
Threats:
Netsupportmanager_rat
Bitsadmin
Geo:
Canada
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1064, T1086, T1140, T1057, T1036, T1112, T1045, T1543
IOCs:
File: 5
Command: 1
Path: 22
IP: 1
Hash: 4
Soft:
windows registry
Algorithms:
zip, base64, xor
Languages:
java, javascript
Platforms:
x86
22-11-2023
Beneath the Surface: How Hackers Turn NetSupport Against Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users
Report completeness: Low
Threats:
Netsupportmanager_rat
Bitsadmin
Geo:
Canada
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1064, T1086, T1140, T1057, T1036, T1112, T1045, T1543
IOCs:
File: 5
Command: 1
Path: 22
IP: 1
Hash: 4
Soft:
windows registry
Algorithms:
zip, base64, xor
Languages:
java, javascript
Platforms:
x86
McAfee Blog
Beneath the Surface: How Hackers Turn NetSupport Against Users | McAfee Blog
NetSupport malware variants have been a persistent threat, demonstrating adaptability and evolving infection techniques. In this technical analysis, we