CTT Report Hub
#ParsedReport #CompletenessHigh 28-11-2023 Empty heading. IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations https://www.crowdstrike.com/blog/imperial-kitten-deploys-novel-malware-families Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Imperial Kitten - это APT-группа, происходящая из Ирана и действующая с 2017 года, нацеленная на различные отрасли. Она использует различные тактики, техники и процедуры для получения доступа к целевым системам и распространения во взломанных сетях. Известно, что группа использует такие семейства вредоносных программ, как IMAPLoader, StandardKeyboard и аналитический сервис Matomo. Ранее ее жертвами становились организации в израильском морском, транспортном и технологическом секторах.
-----
Imperial Kitten - группа постоянных угроз (advanced persistent threat, APT), происходящая из Ирана и действующая как минимум с 2017 года. Ее целью были различные отрасли промышленности, включая оборонную, технологическую, телекоммуникационную, морскую, энергетическую, консалтинговую и профессиональную. В период с начала 2022 по 2023 год Imperial Kitten проводила операции по стратегической веб-компрометации (SWC), нацеленные на организации в секторах транспорта, логистики и технологий.
Для получения доступа к целевым системам Imperial Kitten использует различные тактики, техники и процедуры (TTP), такие как публичные инструменты сканирования, однодневные эксплойты, SQL-инъекции и украденные учетные данные виртуальной частной сети (VPN). Группа также использует тактику латерального перемещения, например PAExec и кражу учетных данных, для распространения во взломанных сетях. Для эксфильтрации данных используется пользовательское вредоносное ПО с открытым исходным кодом.
Известно, что IMPERIAL KITTEN использует вредоносное семейство IMAPLoader, которое использует электронную почту для командования и управления (C2). Похожий образец под названием StandardKeyboard также использует электронную почту для C2 и сохраняется в качестве службы Windows. Еще одно родственное семейство вредоносных программ использует приманку от компании логистического сектора и использует Discord для C2. Эта группа была замечена в использовании фишинговых операций для доставки вредоносных документов Microsoft Excel, которые после активации извлекают файлы, используемые для обеспечения персистентности через ключ Run в реестре. Эта полезная нагрузка представляет собой простую обратную оболочку, которая подключается к жестко заданному IP-адресу на TCP-порту 6443. Кроме того, сообщается, что IMPERIAL KITTEN использует аналитический сервис Matomo и пользовательский скрипт для составления профиля пользователей.
IMPERIAL KITTEN ранее атаковала организации в израильском морском, транспортном и технологическом секторах. В некоторых случаях группа напрямую передавала жертвам вредоносное ПО из SWC. Вероятно, противник также нацеливается на поставщиков ИТ-услуг, чтобы выявить и получить доступ к объектам, представляющим основной интерес для утечки данных.
CrowdStrike Intelligence в настоящее время приписывает эту активность IMPERIAL KITTEN с умеренной уверенностью, основываясь на продолжении использования инфраструктуры SWC, о которой сообщалось ранее, совпадениях между IMAPLoader и семейством вредоносных программ SUGARDUMP, о которых сообщается в отчетах, и постоянной нацеленности на израильские организации в транспортном, морском и технологическом секторах. Инфраструктура, недавно связанная с инструментарием IMPERIAL KITTEN, приписывается группе с низкой степенью уверенности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Imperial Kitten - это APT-группа, происходящая из Ирана и действующая с 2017 года, нацеленная на различные отрасли. Она использует различные тактики, техники и процедуры для получения доступа к целевым системам и распространения во взломанных сетях. Известно, что группа использует такие семейства вредоносных программ, как IMAPLoader, StandardKeyboard и аналитический сервис Matomo. Ранее ее жертвами становились организации в израильском морском, транспортном и технологическом секторах.
-----
Imperial Kitten - группа постоянных угроз (advanced persistent threat, APT), происходящая из Ирана и действующая как минимум с 2017 года. Ее целью были различные отрасли промышленности, включая оборонную, технологическую, телекоммуникационную, морскую, энергетическую, консалтинговую и профессиональную. В период с начала 2022 по 2023 год Imperial Kitten проводила операции по стратегической веб-компрометации (SWC), нацеленные на организации в секторах транспорта, логистики и технологий.
Для получения доступа к целевым системам Imperial Kitten использует различные тактики, техники и процедуры (TTP), такие как публичные инструменты сканирования, однодневные эксплойты, SQL-инъекции и украденные учетные данные виртуальной частной сети (VPN). Группа также использует тактику латерального перемещения, например PAExec и кражу учетных данных, для распространения во взломанных сетях. Для эксфильтрации данных используется пользовательское вредоносное ПО с открытым исходным кодом.
Известно, что IMPERIAL KITTEN использует вредоносное семейство IMAPLoader, которое использует электронную почту для командования и управления (C2). Похожий образец под названием StandardKeyboard также использует электронную почту для C2 и сохраняется в качестве службы Windows. Еще одно родственное семейство вредоносных программ использует приманку от компании логистического сектора и использует Discord для C2. Эта группа была замечена в использовании фишинговых операций для доставки вредоносных документов Microsoft Excel, которые после активации извлекают файлы, используемые для обеспечения персистентности через ключ Run в реестре. Эта полезная нагрузка представляет собой простую обратную оболочку, которая подключается к жестко заданному IP-адресу на TCP-порту 6443. Кроме того, сообщается, что IMPERIAL KITTEN использует аналитический сервис Matomo и пользовательский скрипт для составления профиля пользователей.
IMPERIAL KITTEN ранее атаковала организации в израильском морском, транспортном и технологическом секторах. В некоторых случаях группа напрямую передавала жертвам вредоносное ПО из SWC. Вероятно, противник также нацеливается на поставщиков ИТ-услуг, чтобы выявить и получить доступ к объектам, представляющим основной интерес для утечки данных.
CrowdStrike Intelligence в настоящее время приписывает эту активность IMPERIAL KITTEN с умеренной уверенностью, основываясь на продолжении использования инфраструктуры SWC, о которой сообщалось ранее, совпадениях между IMAPLoader и семейством вредоносных программ SUGARDUMP, о которых сообщается в отчетах, и постоянной нацеленности на израильские организации в транспортном, морском и технологическом секторах. Инфраструктура, недавно связанная с инструментарием IMPERIAL KITTEN, приписывается группе с низкой степенью уверенности.
#technique
Some ideas for Webshell obfuscation and anti-virus protection
https://mp-weixin-qq-com.translate.goog/s/FkoCj27vOA30ZNiLJN7Bgg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Some ideas for Webshell obfuscation and anti-virus protection
https://mp-weixin-qq-com.translate.goog/s/FkoCj27vOA30ZNiLJN7Bgg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
#ParsedReport #CompletenessLow
29-11-2023
F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate
https://habr.com/ru/companies/f_a_c_c_t/news/775038
Report completeness: Low
Actors/Campaigns:
C0met (motivation: politically_motivated, cyber_criminal, financially_motivated)
Cobalt
Threats:
Darkgate
Facefish
Systembc
Cobalt_strike
Cobint
Lockbit
Babuk
Anydesk_tool
Industry:
Government, Semiconductor_industry, Financial
Geo:
Russian
ChatGPT TTPs:
T1490, T1486, T1482, T1484, T1496
IOCs:
IP: 12
Domain: 9
Soft:
Telegram
29-11-2023
F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate
https://habr.com/ru/companies/f_a_c_c_t/news/775038
Report completeness: Low
Actors/Campaigns:
C0met (motivation: politically_motivated, cyber_criminal, financially_motivated)
Cobalt
Threats:
Darkgate
Facefish
Systembc
Cobalt_strike
Cobint
Lockbit
Babuk
Anydesk_tool
Industry:
Government, Semiconductor_industry, Financial
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1490, T1486, T1482, T1484, T1496
IOCs:
IP: 12
Domain: 9
Soft:
Telegram
Хабр
Эксперты F.A.C.C.T. раскрыли сетевую инфраструктуру преступного синдиката Comet (Shadow)/Twelve
Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксируют новые атаки преступного синдиката Comet (ранее Shadow) / Twelve и их сообщников на российские компании. Фактически перед...
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 F.A.C.C.T. experts uncovered the network infrastructure of the Comet (Shadow)/Twelve crime syndicate https://habr.com/ru/companies/f_a_c_c_t/news/775038 Report completeness: Low Actors/Campaigns: C0met (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve, который занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Они требуют выкуп за расшифровку данных и имеют связи с преступной группировкой Cobalt. F.A.C.C.T. оказывает помощь жертвам их вредоносной деятельности, помогая им реагировать на инциденты и минимизировать риски.
-----
Лаборатория цифровой криминалистики F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve. Эта группировка известна тем, что занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Похитив данные, они требуют выкуп за их расшифровку. В группу входят бывшие члены преступной группировки Cobalt. Компания Positive Technologies выявила связь между политическими мотивами "Двенадцати" и финансовыми мотивами "Кометы".
Известно, что Comet (ранее Shadow)/Twelve использует вредоносное ПО из нескольких семейств, включая LockBit 3 (Black) и Babuk ransomware, созданное на основе данных, которые стали достоянием общественности. Они также используют такие утилиты, как Ngrok и Anydesk, чтобы сохранить доступ к ИТ-периметру жертвы. Эксперты F.A.C.C.T. рекомендуют обращаться в свою группу реагирования на инциденты при обнаружении любой активности с использованием ресурсов преступного синдиката или нелегальной деятельности с помощью программ NGROK или Anydesk.
В ходе типичной атаки Comet (ранее Shadow) сначала похищает конфиденциальные данные из инфраструктуры жертвы, затем шифрует их и требует выкуп за их расшифровку. По данным экспертов F.A.C.C.T., максимальная сумма выкупа, которую требовали злоумышленники в 2023 году, составляла 3,5 миллиона долларов. Группа Twelve, напротив, похищает данные из инфраструктуры жертвы, затем необратимо шифрует и удаляет их, после чего публикует украденную информацию в открытых источниках и использует ее для каскадных атак на контрагентов жертвы.
После исследования, проведенного F.A.C.C.T., был сделан вывод, что Shadow и Twelve в конечном итоге являются одной хакерской группой, с общими инструментами, методами и, в некоторых случаях, общей сетевой инфраструктурой. В результате группа Shadow подверглась ребрендингу и переименовалась в Comet (C0met). F.A.C.C.T. оказывает помощь жертвам вредоносной деятельности группы Comet (ранее Shadow) / Twelve, помогая им реагировать на инциденты и минимизировать потенциальные риски.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve, который занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Они требуют выкуп за расшифровку данных и имеют связи с преступной группировкой Cobalt. F.A.C.C.T. оказывает помощь жертвам их вредоносной деятельности, помогая им реагировать на инциденты и минимизировать риски.
-----
Лаборатория цифровой криминалистики F.A.C.C.T. отслеживает деятельность опасного преступного синдиката, известного как Comet (ранее Shadow) или Twelve. Эта группировка известна тем, что занимается киберсаботажем и разрушением инфраструктуры по политическим мотивам. Похитив данные, они требуют выкуп за их расшифровку. В группу входят бывшие члены преступной группировки Cobalt. Компания Positive Technologies выявила связь между политическими мотивами "Двенадцати" и финансовыми мотивами "Кометы".
Известно, что Comet (ранее Shadow)/Twelve использует вредоносное ПО из нескольких семейств, включая LockBit 3 (Black) и Babuk ransomware, созданное на основе данных, которые стали достоянием общественности. Они также используют такие утилиты, как Ngrok и Anydesk, чтобы сохранить доступ к ИТ-периметру жертвы. Эксперты F.A.C.C.T. рекомендуют обращаться в свою группу реагирования на инциденты при обнаружении любой активности с использованием ресурсов преступного синдиката или нелегальной деятельности с помощью программ NGROK или Anydesk.
В ходе типичной атаки Comet (ранее Shadow) сначала похищает конфиденциальные данные из инфраструктуры жертвы, затем шифрует их и требует выкуп за их расшифровку. По данным экспертов F.A.C.C.T., максимальная сумма выкупа, которую требовали злоумышленники в 2023 году, составляла 3,5 миллиона долларов. Группа Twelve, напротив, похищает данные из инфраструктуры жертвы, затем необратимо шифрует и удаляет их, после чего публикует украденную информацию в открытых источниках и использует ее для каскадных атак на контрагентов жертвы.
После исследования, проведенного F.A.C.C.T., был сделан вывод, что Shadow и Twelve в конечном итоге являются одной хакерской группой, с общими инструментами, методами и, в некоторых случаях, общей сетевой инфраструктурой. В результате группа Shadow подверглась ребрендингу и переименовалась в Comet (C0met). F.A.C.C.T. оказывает помощь жертвам вредоносной деятельности группы Comet (ранее Shadow) / Twelve, помогая им реагировать на инциденты и минимизировать потенциальные риски.
#ParsedReport #CompletenessLow
29-11-2023
THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware
https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware
Report completeness: Low
Threats:
Djvu_ransomware
Victims:
Users downloading freeware from untrusted sources
Industry:
Military, Government
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
29-11-2023
THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware
https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware
Report completeness: Low
Threats:
Djvu_ransomware
Victims:
Users downloading freeware from untrusted sources
Industry:
Military, Government
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Cybereason
THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware
The Cybereason Security Services Team is investigating incidents that involve variants of the DJvu ransomware delivered via loader payloads masquerading as freeware or cracked software.
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 THREAT ALERT: DJvu Variant Delivered by Loader Masquerading as Freeware https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware Report completeness: Low Threats: Djvu_ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Cybereason обнаружила вариант вымогательского ПО DJvu, доставляемый с помощью загрузчиков, маскирующихся под бесплатное или взломанное программное обеспечение, а также другие штаммы вредоносного ПО в атаках с использованием этого варианта. Важно, чтобы пользователи знали о рисках и принимали меры для защиты от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защитить себя.
-----
Оповещения об угрозах Cybereason создаются для информирования клиентов о появляющихся угрозах. В последнее время Cybereason наблюдает разновидность вымогательского ПО DJvu, которую для удобства называют Xaro. Этот вариант распространяется через полезные нагрузки-загрузчики, которые маскируются под бесплатное или взломанное программное обеспечение. Когда эта вредоносная полезная нагрузка загружается и запускается, она запускает различные вредоносные программы, включая вариант Xaro. Этот вариант DJvu добавляет расширение .xaro к пораженным файлам и помещает записку с выкупом в файл _readme.txt.
Помимо варианта Xaro, в атаках с использованием этого варианта были замечены и другие штаммы вредоносного ПО. В их число входят различные инфопохитители, загрузчики и загрузчики, что позволяет предположить, что угрожающий агент стремится дважды вымогать деньги у жертв и еще больше компрометировать их компьютеры.
Команда исследователей безопасности в Cybereason отвечает за создание и управление основным контентом безопасности, включая логику обнаружения и предотвращения для своих продуктов. Эта команда состоит из высококлассных исследователей в области безопасности, которые сотрудничают с крупными предприятиями, правительствами и военными, разрабатывая средства защиты, способные обнаруживать и пресекать современные кибератаки.
Этот инцидент иллюстрирует риски, возникающие при загрузке бесплатного программного обеспечения из ненадежных источников. Важно, чтобы пользователи знали об этих рисках и принимали меры по защите от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защититься от этого типа атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Cybereason обнаружила вариант вымогательского ПО DJvu, доставляемый с помощью загрузчиков, маскирующихся под бесплатное или взломанное программное обеспечение, а также другие штаммы вредоносного ПО в атаках с использованием этого варианта. Важно, чтобы пользователи знали о рисках и принимали меры для защиты от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защитить себя.
-----
Оповещения об угрозах Cybereason создаются для информирования клиентов о появляющихся угрозах. В последнее время Cybereason наблюдает разновидность вымогательского ПО DJvu, которую для удобства называют Xaro. Этот вариант распространяется через полезные нагрузки-загрузчики, которые маскируются под бесплатное или взломанное программное обеспечение. Когда эта вредоносная полезная нагрузка загружается и запускается, она запускает различные вредоносные программы, включая вариант Xaro. Этот вариант DJvu добавляет расширение .xaro к пораженным файлам и помещает записку с выкупом в файл _readme.txt.
Помимо варианта Xaro, в атаках с использованием этого варианта были замечены и другие штаммы вредоносного ПО. В их число входят различные инфопохитители, загрузчики и загрузчики, что позволяет предположить, что угрожающий агент стремится дважды вымогать деньги у жертв и еще больше компрометировать их компьютеры.
Команда исследователей безопасности в Cybereason отвечает за создание и управление основным контентом безопасности, включая логику обнаружения и предотвращения для своих продуктов. Эта команда состоит из высококлассных исследователей в области безопасности, которые сотрудничают с крупными предприятиями, правительствами и военными, разрабатывая средства защиты, способные обнаруживать и пресекать современные кибератаки.
Этот инцидент иллюстрирует риски, возникающие при загрузке бесплатного программного обеспечения из ненадежных источников. Важно, чтобы пользователи знали об этих рисках и принимали меры по защите от атак. В оповещении Cybereason Threat Alert содержится полезная информация, которая поможет пользователям защититься от этого типа атак.
#ParsedReport #CompletenessLow
29-11-2023
Malware analysis report: Stealc stealer - part 2
https://mssplab.github.io/threat-hunting/2023/11/23/malware-analysis-stealc-2.html
Report completeness: Low
Threats:
Stealc
Plymouth_actor
ChatGPT TTPs:
T1113, T1083, T1081, T1105, T1518, T1082
IOCs:
File: 1
Soft:
Opera, chrome
Algorithms:
aes, base64
Functions:
sub_0x403D5F, mw_Download_1
Win API:
CryptUnprotectData, BCryptOpenAlgorithmProvider, BCryptSetProperty, BCryptGenerateSymmetricKey
Links:
29-11-2023
Malware analysis report: Stealc stealer - part 2
https://mssplab.github.io/threat-hunting/2023/11/23/malware-analysis-stealc-2.html
Report completeness: Low
Threats:
Stealc
Plymouth_actor
ChatGPT TTPs:
do not use without manual checkT1113, T1083, T1081, T1105, T1518, T1082
IOCs:
File: 1
Soft:
Opera, chrome
Algorithms:
aes, base64
Functions:
sub_0x403D5F, mw_Download_1
Win API:
CryptUnprotectData, BCryptOpenAlgorithmProvider, BCryptSetProperty, BCryptGenerateSymmetricKey
Links:
https://github.com/FarghlyMal/Decryptors-and-Extractors/tree/main/Stealc%20StealerMSSP Research Lab
Malware analysis report: Stealc stealer - part 2
We continue to publish our analysis report of Stealc, an information stealer promoted by its supposed developer Plymouth on Russian-language underground forums and sold as malware as a service since January 9, 2023.
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 Malware analysis report: Stealc stealer - part 2 https://mssplab.github.io/threat-hunting/2023/11/23/malware-analysis-stealc-2.html Report completeness: Low Threats: Stealc Plymouth_actor ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Stealc - это похититель информации, который активно продвигается и продается на русскоязычных подпольных форумах с 9 января 2023 года. В данном аналитическом отчете рассматривается его система эксфильтрации информации и логика работы загрузчика.
-----
Stealc - это похититель информации, который активно продвигается и продается на русскоязычных подпольных форумах с 9 января 2023 года. В данном аналитическом отчете рассматривается его система эксфильтрации информации и логика работы загрузчика.
Первый шаг, который делает Stealc, - это запрашивает у сервера C2 конфигурацию, которая будет использоваться для обеспечения скрытного поведения. Эта конфигурация представляет собой поток шестнадцатеричных значений, который служит ссылкой на ID жертвы, полученный ранее. Этот идентификатор отправляется жертве в первом пакете и используется многократно на протяжении всех туннелей связи.
В дополнение к этой конфигурации Stealc также попросит сервер C2 предоставить ему плагины, которые будут использоваться для поиска расширений браузера в его базе данных. Эти плагины хранятся так же, как и конфигурация.
После получения конфигурации и плагинов Stealc начнет собирать данные о системе и аппаратном обеспечении жертвы. Эти данные хранятся в формате, понятном серверу C2, и перед передачей кодируются base64.
После сбора информации о системе Stealc загружает Sqlite3 Dll, которая используется для выполнения запросов, чтобы получить данные из данных приложения Chrome. Для этого он получает путь к браузеру из C2 и использует API для получения данных из баз данных Chrome.
В заключение отметим, что в этом аналитическом отчете мы подробно рассмотрели системную информацию Stealc и логику работы загрузчика. Мы надеемся, что этот пост повысит осведомленность об этой интересной технике вредоносного ПО и добавит ценное оружие в арсенал специалистов по борьбе с вредоносными программами.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Stealc - это похититель информации, который активно продвигается и продается на русскоязычных подпольных форумах с 9 января 2023 года. В данном аналитическом отчете рассматривается его система эксфильтрации информации и логика работы загрузчика.
-----
Stealc - это похититель информации, который активно продвигается и продается на русскоязычных подпольных форумах с 9 января 2023 года. В данном аналитическом отчете рассматривается его система эксфильтрации информации и логика работы загрузчика.
Первый шаг, который делает Stealc, - это запрашивает у сервера C2 конфигурацию, которая будет использоваться для обеспечения скрытного поведения. Эта конфигурация представляет собой поток шестнадцатеричных значений, который служит ссылкой на ID жертвы, полученный ранее. Этот идентификатор отправляется жертве в первом пакете и используется многократно на протяжении всех туннелей связи.
В дополнение к этой конфигурации Stealc также попросит сервер C2 предоставить ему плагины, которые будут использоваться для поиска расширений браузера в его базе данных. Эти плагины хранятся так же, как и конфигурация.
После получения конфигурации и плагинов Stealc начнет собирать данные о системе и аппаратном обеспечении жертвы. Эти данные хранятся в формате, понятном серверу C2, и перед передачей кодируются base64.
После сбора информации о системе Stealc загружает Sqlite3 Dll, которая используется для выполнения запросов, чтобы получить данные из данных приложения Chrome. Для этого он получает путь к браузеру из C2 и использует API для получения данных из баз данных Chrome.
В заключение отметим, что в этом аналитическом отчете мы подробно рассмотрели системную информацию Stealc и логику работы загрузчика. Мы надеемся, что этот пост повысит осведомленность об этой интересной технике вредоносного ПО и добавит ценное оружие в арсенал специалистов по борьбе с вредоносными программами.
#ParsedReport #CompletenessLow
29-11-2023
Analysis of complex attacks targeting Syrian soldiers
https://mp-weixin-qq-com.translate.goog/s/gonBByC1GlfPLzn3Ecs3tw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Caracal_kitten
Silencerlion
Bladehawk
Snowleopard
Vajraeleph
Threats:
Spymax
Spynote_rat
Victims:
Syrian soldiers
Industry:
Ngo, Military
Geo:
Syrian, Syria
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.001, T1566.002, T1555.003, T1083.005, T1113.003
IOCs:
IP: 1
Hash: 2
Soft:
WeChat, Android
Platforms:
cross-platform
29-11-2023
Analysis of complex attacks targeting Syrian soldiers
https://mp-weixin-qq-com.translate.goog/s/gonBByC1GlfPLzn3Ecs3tw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Caracal_kitten
Silencerlion
Bladehawk
Snowleopard
Vajraeleph
Threats:
Spymax
Spynote_rat
Victims:
Syrian soldiers
Industry:
Ngo, Military
Geo:
Syrian, Syria
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.001, T1566.002, T1555.003, T1083.005, T1113.003
IOCs:
IP: 1
Hash: 2
Soft:
WeChat, Android
Platforms:
cross-platform
微信公众平台
针对叙利亚军人的复合式攻击活动分析
近日,奇安信病毒响应中心移动安全团队监测到一款伪装成叙利亚发展信托基金应用的恶意软件。经过分析,发现其为针对叙利亚军人的钓鱼和木马复合式攻击,会窃取受害者隐私信息和社交账号信息。
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2023 Analysis of complex attacks targeting Syrian soldiers https://mp-weixin-qq-com.translate.goog/s/gonBByC1GlfPLzn3Ecs3tw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что фишинговая и троянская атака, направленная на сирийских солдат, была недавно обнаружена командой мобильной безопасности QiAnXin Virus Response Center. Атака замаскирована под приложение Сирийского трастового фонда развития и разработана с помощью Android RAT-инструмента SpyMax. Ее сложно проанализировать и отследить, и она может угрожать жизни и имуществу жертв и их семей. Команда мобильной безопасности Qianxin Virus Response Center предоставила рекомендации по защите от такого рода атак.
-----
Команда мобильной безопасности QiAnXin Virus Response Center обнаружила вредоносную программу, замаскированную под приложение Syrian Development Trust Fund, предназначенное для сирийских солдат.
Вредоносная программа представляет собой комбинированную фишинговую атаку и троянский конь, который похищает частную информацию жертвы и данные ее социальных аккаунтов.
Вредоносная программа была разработана с использованием известного Android RAT-инструмента SpyMax.
Фишинговая страница замаскирована логотипом Сирийского трастового фонда развития и контентом с официального сайта.
SpyMax - популярный инструмент мониторинга на Android, обладающий широким набором функций.
Анализ сетевых активов, использованных в атаке, показал, что основные управляющие адреса поступают с платформы portmap.
Злоумышленник воспользовался услугами облачного сервера, чтобы снизить свои расходы и лучше скрыться.
Команда мобильной безопасности Qianxin Virus Response Center советует людям своевременно обновлять системы и приложения, загружать приложения только из обычных магазинов приложений и не устанавливать приложения из ненадежных источников.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что фишинговая и троянская атака, направленная на сирийских солдат, была недавно обнаружена командой мобильной безопасности QiAnXin Virus Response Center. Атака замаскирована под приложение Сирийского трастового фонда развития и разработана с помощью Android RAT-инструмента SpyMax. Ее сложно проанализировать и отследить, и она может угрожать жизни и имуществу жертв и их семей. Команда мобильной безопасности Qianxin Virus Response Center предоставила рекомендации по защите от такого рода атак.
-----
Команда мобильной безопасности QiAnXin Virus Response Center обнаружила вредоносную программу, замаскированную под приложение Syrian Development Trust Fund, предназначенное для сирийских солдат.
Вредоносная программа представляет собой комбинированную фишинговую атаку и троянский конь, который похищает частную информацию жертвы и данные ее социальных аккаунтов.
Вредоносная программа была разработана с использованием известного Android RAT-инструмента SpyMax.
Фишинговая страница замаскирована логотипом Сирийского трастового фонда развития и контентом с официального сайта.
SpyMax - популярный инструмент мониторинга на Android, обладающий широким набором функций.
Анализ сетевых активов, использованных в атаке, показал, что основные управляющие адреса поступают с платформы portmap.
Злоумышленник воспользовался услугами облачного сервера, чтобы снизить свои расходы и лучше скрыться.
Команда мобильной безопасности Qianxin Virus Response Center советует людям своевременно обновлять системы и приложения, загружать приложения только из обычных магазинов приложений и не устанавливать приложения из ненадежных источников.
#ParsedReport #CompletenessMedium
29-11-2023
Uncovering the new Java-Based SAW RAT s Infiltration Strategy via LNK files
https://cyble.com/blog/uncovering-the-new-java-based-saw-rats-infiltration-strategy-via-lnk-files
Report completeness: Medium
Threats:
Saw_rat
Industry:
Financial
TTPs:
Tactics: 5
Technics: 7
IOCs:
File: 7
Path: 2
Command: 1
IP: 1
Hash: 3
Algorithms:
sha256, md5, sha1, zip, base64
Functions:
show, start, run, connect, doHeartBeat
Languages:
java, javascript
29-11-2023
Uncovering the new Java-Based SAW RAT s Infiltration Strategy via LNK files
https://cyble.com/blog/uncovering-the-new-java-based-saw-rats-infiltration-strategy-via-lnk-files
Report completeness: Medium
Threats:
Saw_rat
Industry:
Financial
TTPs:
Tactics: 5
Technics: 7
IOCs:
File: 7
Path: 2
Command: 1
IP: 1
Hash: 3
Algorithms:
sha256, md5, sha1, zip, base64
Functions:
show, start, run, connect, doHeartBeat
Languages:
java, javascript
Cyble
Uncovering The New Java-Based SAW RAT’s Infiltration Strategy Via LNK Files - Cyble
On November 22nd, CRIL came across a ZIP archive file on VirusTotal. Upon analysis, it was observed that the ZIP file contains a shortcut file (.lnk) with an
CTT Report Hub
#ParsedReport #CompletenessMedium 29-11-2023 Uncovering the new Java-Based SAW RAT s Infiltration Strategy via LNK files https://cyble.com/blog/uncovering-the-new-java-based-saw-rats-infiltration-strategy-via-lnk-files Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что CRIL обнаружила нового троянца удаленного доступа (RAT) на базе Java, встроенного в архивный файл ZIP, который, как предполагается, распространяется через спам-письма. RAT предназначен для выполнения различных вредоносных операций, и CRIL предоставляет обновления и оперативную информацию, чтобы помочь защитить пользователей от этих угроз.
-----
Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила на VirusTotal нового троянца удаленного доступа (RAT) на базе Java, встроенного в архивный файл ZIP. Файл содержал ярлык (.lnk) с иконкой Adobe, который запускал JavaScript для инициирования выполнения вредоносного JAR, получившего название Saw RAT. Эта RAT предназначена для подключения к удаленному серверу, что позволяет серверу отдавать различные команды системе жертвы. Эти команды могут охватывать целый ряд функций, включая сбор системной информации, передачу файлов, просмотр каталогов и выполнение произвольных команд.
Источник вредоносного ZIP-архива неизвестен, хотя предполагается, что он мог быть распространен через спам-письма, поскольку содержащийся в архиве PDF-файл с заманухой требует ввода пароля для его открытия. После выполнения файла .lnk запускается операция командной строки, которая копирует архив .zip с рабочего стола или из папки "Загрузки" в папку %temp%. Оттуда он извлекает скопированный zip-файл и инициирует выполнение файла JavaScript jp.js, расположенного по пути %temp%\files\a. Затем JavaScript открывает PDF-файл и начинает выполнение JAR-файла с помощью команды Shell.Run.
Saw RAT скрытно выполняет различные операции, отвечая на команды, поступающие с сервера. Эти функции включают сбор системной информации, передачу файлов, просмотр каталогов и выполнение произвольных команд. Однако во время анализа CRIL командно-контрольный (C&C) сервер был неактивен, поэтому никаких действий со стороны злоумышленника не наблюдалось.
Троянские программы представляют значительный риск как для отдельных пользователей, так и для организаций, создавая серьезные угрозы для конфиденциальности, безопасности данных и общей целостности компьютерных систем. Чтобы уменьшить эти угрозы, CRIL постоянно отслеживает новейшие штаммы фишинговых и вредоносных программ, своевременно публикуя в блоге оперативную информацию, которая поможет защитить пользователей от этих атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что CRIL обнаружила нового троянца удаленного доступа (RAT) на базе Java, встроенного в архивный файл ZIP, который, как предполагается, распространяется через спам-письма. RAT предназначен для выполнения различных вредоносных операций, и CRIL предоставляет обновления и оперативную информацию, чтобы помочь защитить пользователей от этих угроз.
-----
Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила на VirusTotal нового троянца удаленного доступа (RAT) на базе Java, встроенного в архивный файл ZIP. Файл содержал ярлык (.lnk) с иконкой Adobe, который запускал JavaScript для инициирования выполнения вредоносного JAR, получившего название Saw RAT. Эта RAT предназначена для подключения к удаленному серверу, что позволяет серверу отдавать различные команды системе жертвы. Эти команды могут охватывать целый ряд функций, включая сбор системной информации, передачу файлов, просмотр каталогов и выполнение произвольных команд.
Источник вредоносного ZIP-архива неизвестен, хотя предполагается, что он мог быть распространен через спам-письма, поскольку содержащийся в архиве PDF-файл с заманухой требует ввода пароля для его открытия. После выполнения файла .lnk запускается операция командной строки, которая копирует архив .zip с рабочего стола или из папки "Загрузки" в папку %temp%. Оттуда он извлекает скопированный zip-файл и инициирует выполнение файла JavaScript jp.js, расположенного по пути %temp%\files\a. Затем JavaScript открывает PDF-файл и начинает выполнение JAR-файла с помощью команды Shell.Run.
Saw RAT скрытно выполняет различные операции, отвечая на команды, поступающие с сервера. Эти функции включают сбор системной информации, передачу файлов, просмотр каталогов и выполнение произвольных команд. Однако во время анализа CRIL командно-контрольный (C&C) сервер был неактивен, поэтому никаких действий со стороны злоумышленника не наблюдалось.
Троянские программы представляют значительный риск как для отдельных пользователей, так и для организаций, создавая серьезные угрозы для конфиденциальности, безопасности данных и общей целостности компьютерных систем. Чтобы уменьшить эти угрозы, CRIL постоянно отслеживает новейшие штаммы фишинговых и вредоносных программ, своевременно публикуя в блоге оперативную информацию, которая поможет защитить пользователей от этих атак.
#ParsedReport #CompletenessMedium
29-11-2023
Emerging MaaS Operator Sordeal Releases Nova Infostealer
https://www.cyfirma.com/outofband/emerging-maas-operator-sordeal-releases-nova-infostealer
Report completeness: Medium
Actors/Campaigns:
Sordeal
Threats:
Nova_stealer
Credential_harvesting_technique
Geo:
Russian
ChatGPT TTPs:
T1053, T1117, T1060
IOCs:
File: 5
Url: 1
Hash: 1
Registry: 1
Soft:
Discord, Node.js, Telegram, Microsoft Visual C++, Windows Registry, Chrome, WinSCP
Algorithms:
exhibit, zip, md5
Functions:
DllCall
Languages:
powershell, java, javascript, autoit
29-11-2023
Emerging MaaS Operator Sordeal Releases Nova Infostealer
https://www.cyfirma.com/outofband/emerging-maas-operator-sordeal-releases-nova-infostealer
Report completeness: Medium
Actors/Campaigns:
Sordeal
Threats:
Nova_stealer
Credential_harvesting_technique
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1053, T1117, T1060
IOCs:
File: 5
Url: 1
Hash: 1
Registry: 1
Soft:
Discord, Node.js, Telegram, Microsoft Visual C++, Windows Registry, Chrome, WinSCP
Algorithms:
exhibit, zip, md5
Functions:
DllCall
Languages:
powershell, java, javascript, autoit
CYFIRMA
Nova Infostealer Malware | Sordeal Stealer | Cyfirma
The report highlights a surge in malicious activities by Malware-as-a-service (MaaS) operators Sordeal – particularly with their new malware ‘Nova’.