#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что фишинговая и троянская атака, направленная на сирийских солдат, была недавно обнаружена командой мобильной безопасности QiAnXin Virus Response Center. Атака замаскирована под приложение Сирийского трастового фонда развития и разработана с помощью Android RAT-инструмента SpyMax. Ее сложно проанализировать и отследить, и она может угрожать жизни и имуществу жертв и их семей. Команда мобильной безопасности Qianxin Virus Response Center предоставила рекомендации по защите от такого рода атак.
-----

Команда мобильной безопасности QiAnXin Virus Response Center обнаружила вредоносную программу, замаскированную под приложение Syrian Development Trust Fund, предназначенное для сирийских солдат.

Вредоносная программа представляет собой комбинированную фишинговую атаку и троянский конь, который похищает частную информацию жертвы и данные ее социальных аккаунтов.

Вредоносная программа была разработана с использованием известного Android RAT-инструмента SpyMax.

Фишинговая страница замаскирована логотипом Сирийского трастового фонда развития и контентом с официального сайта.

SpyMax - популярный инструмент мониторинга на Android, обладающий широким набором функций.

Анализ сетевых активов, использованных в атаке, показал, что основные управляющие адреса поступают с платформы portmap.

Злоумышленник воспользовался услугами облачного сервера, чтобы снизить свои расходы и лучше скрыться.

Команда мобильной безопасности Qianxin Virus Response Center советует людям своевременно обновлять системы и приложения, загружать приложения только из обычных магазинов приложений и не устанавливать приложения из ненадежных источников.

#ParsedReport #CompletenessMedium
29-11-2023

Uncovering the new Java-Based SAW RAT s Infiltration Strategy via LNK files

https://cyble.com/blog/uncovering-the-new-java-based-saw-rats-infiltration-strategy-via-lnk-files

Report completeness: Medium

Threats:
Saw_rat

Industry:
Financial

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 7
Path: 2
Command: 1
IP: 1
Hash: 3

Algorithms:
sha256, md5, sha1, zip, base64

Functions:
show, start, run, connect, doHeartBeat

Languages:
java, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что CRIL обнаружила нового троянца удаленного доступа (RAT) на базе Java, встроенного в архивный файл ZIP, который, как предполагается, распространяется через спам-письма. RAT предназначен для выполнения различных вредоносных операций, и CRIL предоставляет обновления и оперативную информацию, чтобы помочь защитить пользователей от этих угроз.
-----

Компания Cyble Research and Intelligence Labs (CRIL) недавно обнаружила на VirusTotal нового троянца удаленного доступа (RAT) на базе Java, встроенного в архивный файл ZIP. Файл содержал ярлык (.lnk) с иконкой Adobe, который запускал JavaScript для инициирования выполнения вредоносного JAR, получившего название Saw RAT. Эта RAT предназначена для подключения к удаленному серверу, что позволяет серверу отдавать различные команды системе жертвы. Эти команды могут охватывать целый ряд функций, включая сбор системной информации, передачу файлов, просмотр каталогов и выполнение произвольных команд.

Источник вредоносного ZIP-архива неизвестен, хотя предполагается, что он мог быть распространен через спам-письма, поскольку содержащийся в архиве PDF-файл с заманухой требует ввода пароля для его открытия. После выполнения файла .lnk запускается операция командной строки, которая копирует архив .zip с рабочего стола или из папки "Загрузки" в папку %temp%. Оттуда он извлекает скопированный zip-файл и инициирует выполнение файла JavaScript jp.js, расположенного по пути %temp%\files\a. Затем JavaScript открывает PDF-файл и начинает выполнение JAR-файла с помощью команды Shell.Run.

Saw RAT скрытно выполняет различные операции, отвечая на команды, поступающие с сервера. Эти функции включают сбор системной информации, передачу файлов, просмотр каталогов и выполнение произвольных команд. Однако во время анализа CRIL командно-контрольный (C&C) сервер был неактивен, поэтому никаких действий со стороны злоумышленника не наблюдалось.

Троянские программы представляют значительный риск как для отдельных пользователей, так и для организаций, создавая серьезные угрозы для конфиденциальности, безопасности данных и общей целостности компьютерных систем. Чтобы уменьшить эти угрозы, CRIL постоянно отслеживает новейшие штаммы фишинговых и вредоносных программ, своевременно публикуя в блоге оперативную информацию, которая поможет защитить пользователей от этих атак.

#ParsedReport #CompletenessMedium
29-11-2023

Emerging MaaS Operator Sordeal Releases Nova Infostealer

https://www.cyfirma.com/outofband/emerging-maas-operator-sordeal-releases-nova-infostealer

Report completeness: Medium

Actors/Campaigns:
Sordeal

Threats:
Nova_stealer
Credential_harvesting_technique

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1053, T1117, T1060

IOCs:
File: 5
Url: 1
Hash: 1
Registry: 1

Soft:
Discord, Node.js, Telegram, Microsoft Visual C++, Windows Registry, Chrome, WinSCP

Algorithms:
exhibit, zip, md5

Functions:
DllCall

Languages:
powershell, java, javascript, autoit

#ParsedReport #ExtractedSchema

Classified images:
table: 7, windows: 9, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Nova - это сложный оператор вредоносного ПО как услуги (MaaS), разработанный и распространяемый компанией Sordeal, и организациям необходимо предпринять проактивные шаги для противодействия угрозе, исходящей от этого вредоносного ПО.
-----

Компания Sordeal, оператор системы "вредоносное ПО как услуга" (MaaS), активно разрабатывает и распространяет свою новую вредоносную программу Nova как минимум с сентября 2023 года. Эта вредоносная программа рассчитана на постоянную работу, способна собирать учетные данные из браузеров и приложений, а недавно была замечена в инъекциях Discord и атаках на криптовалютные кошельки. В этом отчете мы рассмотрим поведение и возможности полной версии инфопохитителя, известного как Nova.

Разработчики Nova применили целый ряд методов защиты от криминалистов, включая обширный сбор информации о системе и модификацию реестра, а также отключение журналов на уровне ядра для обеспечения скрытности. Для вызова API-интерфейсов Windows вредоносная программа использует JavaScript, фреймворк Electron с открытым исходным кодом и утилиту AutoIT. Вредонос также нацелен на ICQ, мессенджер, широко используемый в русскоязычных странах.

Для распространения вредоносного кода операторы MaaS использовали социальную инженерию, фишинг и рекламные кампании. В начале ноября 2023 года операторы опубликовали на своем Telegram-канале сообщение о запуске Malicord, бесплатной версии своего похитителя информации. Хранилище было удалено через две недели, что указывает на то, что оно могло быть двойным, чтобы собрать копию логов похитителя.

Образец Nova упакован криптером на базе NSIS (Nullsoft Scriptable Install System), который помещает app-64.7z во временную директорию, распаковывает архив и запускает на выполнение файл внутри архива под названием win32snapshot.exe. Вредоносная программа пытается загрузить недостающие DLL-библиотеки и создает процессы в приостановленном режиме для внедрения кода. Кроме того, он использует wmic для сбора различной системной информации, включая размер логического диска, общий объем физической памяти, информацию о процессоре и UUID, а также проверяет IP-адрес машины в режиме онлайн, что потенциально может использоваться для создания отпечатков пальцев. Для обеспечения устойчивости вредоносная программа помещает Update.exe (переименованную версию win32snapshot.exe) в папку запуска.

Кроме того, Nova нацелена на несколько браузеров, включая Edge, Chrome и Firefox, и использует reg.exe для сбора информации, связанной с WinSCP, такой как сохраненные сессии и пароли. Он также злоупотребляет встроенной в Windows утилитой Data Protection Application Programming Interface (DPAPI) для дешифровки данных. Помимо инъекций в Discord, операторы MaaS также работают над добавлением возможностей, которые позволят вредоносной программе внедрять вредоносный код в криптовалютные кошельки, такие как Exodus и Atomic.

Учитывая высокий уровень изощренности операторов MaaS, стоящих за Nova, организации должны предпринять упреждающие шаги для противодействия угрозе, исходящей от этого вредоносного ПО. Это включает в себя расширение возможностей обнаружения угроз и укрепление защиты браузера, кражу учетных данных и потенциальные вторжения в криптовалютные кошельки. Постоянная бдительность и обмен оперативной информацией необходимы для снижения рисков, связанных с Nova и подобными новыми угрозами.

Мои пять копеек о DecoyDog

Коллеги из Позитива опубликовали статью о PupyRat|DecoyDog. Как всегда, хорошая работа. Но так как я в основном про сетевые индикаторы и в кодах понимаю плохо, то попробую рассказать про то, как это выглядит с моей стороны.

Во-первых, я очень рад, что вообще об этом написали, так как это реальный бич. К сожалению, указанные 20 заражений только в России за этот год можно смело умножить на десять. И госов там большинство. Так же есть еще одно наблюдение. Полагаю, за использованием PupyRat|DecoyDog стоит более одной группы. Одна из них, вероятно, работает только по России, другая массовая и Россия там одна из многих.

Теперь по индикаторам.

Как верно замечено, код переписывают, и структура доменных имен меняется. В начале использовались не безызвестные имена типа - mieqn6i9.emw5gze2f2qgvsubobzv2r3btslq9999.waqxbubt6dtq9999.allowlisted[.net Эта тема потихоньку отмирает, но ряд доменов до сих пор активны, хотя и формат уже не обязательно содержит четыре девятки.

Из «массовых» сейчас активны следующие домены:

•  allowlisted[.net
•  rcsmf100[.net
•  claudfront[.net

Почему массовых? По нашим наблюдениям активных заражений около 4,5 тысяч, 90% это США. В Китае и России единицы.

Активные домены из списка ниже относятся к тем, кто, видимо, работает только по России. Активных заражений, использующих эти домены, несколько десятков.
• c.glb-ru[.info
• hsdps[.cc
• nsdps[.cc
• cbox4.ignorelist[.com
• beacon.net.eu[.org

Новые версии DecoyDog уходят от DNS туннелей и начинают использовать DGA домены. Генерация завязана на дату. Отдельный привет здесь передаю товарищам, считающим эту технологию устаревшей 😀 Для выявления доменов мы используем некоторые статистический методы, так как они не зависят от алгоритмов генерации и выявляют подавляющее большинство DGA доменов. Прелесть такого подхода в том, что мы можем отличить два вроде бы схожих домена. Например, 8b4b510ddcfc55a9.dynamic-dns[.net и ab6b7189dc7c85a6.dynamic-dns[.net – первый DecoyDog, а второй нет.

Ниже домены, используемые DecoyDog в последние дни:

2023-11-24      3d3cbbe82e67d1d4.dynamic-dns[.net
2023-11-25      bc2b58c092804fd1.dynamic-dns[.net
2023-11-26      8b4b510ddcfc55a9.dynamic-dns[.net
2023-11-27      8351093a9350ed35.dynamic-dns[.net
2023-11-28      e30c92a2e00a98d4.dynamic-dns[.net
2023-11-29      780f20709d81c7df.dynamic-dns[.net
2023-11-30      54ab11658e7a0208.dynamic-dns[.net

Активных заражений этой версией несколько десятков, также наблюдается обновление версий на зараженных клиентах.

В силу высокой активности этой заразы в России со временем настрою здесь публикацию обновлений этих DGA доменов

#ParsedReport #CompletenessHigh
30-11-2023

Rare Wolf hunts for private data using fake 1C:Enterprise invoices

https://bi.zone/expertise/blog/rare-wolf-okhotitsya-za-privatnymi-dannymi-s-pomoshchyu-falshivykh-nakladnykh-1s-predpriyatie

Report completeness: High

Actors/Campaigns:
Rare_wolf

Threats:
Passview_tool
Spear-phishing_technique

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 9
Technics: 0

IOCs:
Path: 26
File: 22
Registry: 1
Url: 4
Domain: 1
Hash: 6

Soft:
Telegram, cURL, Microsoft Word

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Российские организации подвергаются атакам фишинговых писем, которые устанавливают вредоносные программы, крадут конфиденциальные документы и пароли, а также получают доступ к мессенджеру Telegram. Для защиты от этих атак организации могут воспользоваться специализированными сервисами, такими как BI.ZONE CESP.
-----

Новое исследование специалистов BI.ZONE Threat Intelligence выявило кластер активности, действующий как минимум с 2019 года и направленный в первую очередь на соседние страны. Но теперь под ударом оказались и российские организации. Злоумышленники используют фишинговые письма, чтобы установить на целевые устройства легитимный инструмент слежения Mipko Employee Monitor, украсть конфиденциальные документы и пароли, а также получить доступ к мессенджеру Telegram.

Злоумышленники рассылают фишинговые письма с архивами, в которых, по их словам, содержатся счета и электронные ключи "1С:Предприятия". Это делается для того, чтобы отвлечь внимание жертвы от расширения файла, которое содержит исполняемый файл. На самом деле архив представляет собой программу установки Smart Install Maker. Затем злоумышленники создают папку C:\Intel\ и устанавливают для нее атрибуты Hidden, System, Non-indexable. Затем они добавляют ключи реестра для Video Configurations и Mail Configurations и создают файл C:\Intel\rezet.cmd . Это позволит им загружать зашифрованные архивы и исполняемый файл с сервера управления.

Затем злоумышленники с помощью cURL driver.exe распаковывают архивы и собирают пароли из браузеров на взломанном устройстве в текстовый файл password.txt . Затем с помощью утилиты Blat они отправляют полученные учетные данные пользователя злоумышленнику по почте. Получив пароли, злоумышленники удаляют файлы, которые больше не нужны для выполнения. Они удаляют ключ реестра, отвечающий за автозапуск go.exe, а затем проверяют доступность сетевого ресурса www.msftncsi.com/ncsi.txt.

Затем злоумышленники удаляют конфигурацию Mipko Employee Monitor, если она присутствует в системе, и распаковывают все архивные файлы в папку C:\Intel\. Они переносят файл C:\Users\ user \AppData\Local\MPK\S0000.txt V C:\Users\ user \AppData\Local\MPK\S0000 и добавляют ключ Userinit в ветвь реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run для запуска программы Mipko Employee Monitor при старте системы. После запуска программы Mipko Employee Monitor злоумышленники удаляют все временные файлы, которые могут находиться в папке C:\Intel\.

Чтобы защитить свою почту от подобных атак, можно воспользоваться специализированными сервисами, такими как BI.ZONE CESP. Он проверяет каждое письмо и использует более 600 механизмов фильтрации, основанных на машинном обучении, статистическом, сигнатурном и эвристическом анализе. Такая проверка не задерживает доставку защищенных писем.

#ParsedReport #CompletenessLow
30-11-2023

Uncovering the Serpent

https://labs.k7computing.com/index.php/uncovering-the-serpent

Report completeness: Low

Threats:
Serpent
Uac_bypass_technique

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Registry: 1
Hash: 2

Soft:
Discord, Chrome, windows registry, windows defender

Functions:
Main

Languages:
aspnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Serpent Stealer - это вредоносная программа на базе .NET, способная похищать конфиденциальные данные из популярных онлайн-браузеров и приложений, а также обходить контроль доступа пользователей Windows, отладчики и виртуальные машины, чтобы оставаться незаметной. Пользователям следует приобрести надежный продукт безопасности, чтобы защитить свои устройства от подобных угроз.
-----

Похитители информации представляют собой распространенную угрозу и способны предоставить угрожающим субъектам богатый источник конфиденциальных данных. Недавно мы наткнулись на твит о том, что в темной паутине продается Serpent Stealer. Это вредоносное ПО на базе .NET способно не только получать конфиденциальную информацию из самых популярных онлайн-браузеров и приложений, но и перехватывать пароли. Чтобы оставаться незаметным, похититель обходит контроль доступа пользователей (UAC) Windows, отладчики и виртуальные машины. Данные из браузеров и пароли он добывает с помощью веб-крючков и злоупотребления Discord.

Serpent Stealer - это кража на базе .Net, использующая среду исполнения .NET. Он представляет собой 64-битный переносимый исполняемый двоичный файл. После выполнения крадун сначала определяет, запускается ли он в контролируемой среде, проверяя, есть ли полученное имя пользователя жертвы в его файле Black List Users. Если получено любое из заблокированных имен пользователей, крадун мгновенно использует функцию Sleep и Exit для завершения выполнения.

Убедившись, что вредоносная программа работает не в контролируемой среде, она начинает собирать данные для эксфильтрации. После проверки удаленного IP-адреса машины похититель использует веб-хук для передачи собранных данных на сервер C2. Затем он нацеливается на онлайн-браузеры, такие как Chrome, Brave или Edge, и криптовалютные кошельки, собирая связанные с ними данные. После этого вредоносная программа извлекает учетные данные из пути установки, определяя путь реестра, связанный со Steam, сервисом цифровой дистрибуции видеоигр. И, наконец, запускается программа для кражи файлов, которая ищет определенные расширения из конкретных папок в файловой системе.

Чтобы оставаться незаметным, похититель вызывает один из методов обхода UAC, перечисленных ниже. Fodhelper.exe - известный метод обхода UAC, который ищет определенные несуществующие ключи реестра. В результате хакер может вставить в эти ключи реестра вредоносные команды, которые будут выполняться программой fodhelper.exe с наивысшими привилегиями (привилегия Admin).

Угрожающие субъекты используют в похитителях информации передовые методы скрытности, чтобы стать более уклончивыми. Поскольку информация, похищенная вредоносным ПО, является конфиденциальной, в современном мире необходимо инвестировать в надежный продукт безопасности. Мы в K7 Labs обеспечиваем обнаружение таких видов похитителей и всех новейших угроз. Пользователям рекомендуется использовать надежные средства защиты, такие как K7 Total Security, и постоянно обновлять их, чтобы обезопасить свои устройства.

#ParsedReport #CompletenessHigh
30-11-2023

Cisco Talos Intelligence Blog. New SugarGh0st RAT targets Uzbekistan government and South Korea

https://blog.talosintelligence.com/new-sugargh0st-rat

Report completeness: High

Threats:
Sugargh0st_rat
Gh0st_rat
Lolbin_technique
Process_injection_technique

Victims:
Uzbekistan ministry of foreign affairs and users in south korea

Industry:
Financial, Government

Geo:
Korean, Korea, Chinese, Uzbekistan

ChatGPT TTPs:
do not use without manual check
T1086, T1064, T1036, T1060, T1105, T1082, T1070, T1082, T1083, T1086, have more...

IOCs:
File: 20
Domain: 2
Registry: 2
Command: 1
Path: 2
IP: 2
Hash: 21

Soft:
Component Object Model, ActiveX Data Objects

Algorithms:
xor, base64

Win API:
WSAStartup, SendMessage, DllUnregisterServer

Languages:
jscript, cscript, javascript

Links:
https://github.com/Cisco-Talos/osquery\_queries/blob/master/win\_malware/sugargh0st\_rat\_registry\_key.yaml
https://github.com/Cisco-Talos/IOCs/tree/main/2023/11/new-sugargh0st-rat.txt
https://github.com/Cisco-Talos/osquery\_queries/blob/master/win\_malware/sugargh0st\_rat\_file\_path.yaml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно специалисты Cisco Talos обнаружили вредоносную кампанию, в ходе которой был обнаружен новый троян удаленного доступа (RAT) под названием SugarGh0st, который, скорее всего, является адаптированным вариантом Gh0st RAT. Кампания нацелена на пользователей в Узбекистане и Южной Корее и использует две различные цепочки заражения для доставки полезной нагрузки. SugarGh0st предназначен для получения полного удаленного контроля над зараженной машиной и может выполнять различные файловые операции, включая поиск, копирование, перемещение и удаление файлов на машине жертвы. По оценке Talos, SugarGh0st RAT является новым модифицированным вариантом Gh0st RAT.
-----

Недавно компания Cisco Talos обнаружила вредоносную кампанию, распространяющую новый троян удаленного доступа (RAT) под названием SugarGh0st.

Кампания, очевидно, началась в августе 2023 года и была нацелена на пользователей Министерства иностранных дел Узбекистана и Южной Кореи.

SugarGh0st предназначен для получения полного удаленного контроля над зараженной машиной, ведения кейлоггинга в режиме реального времени и офлайн, доступа к веб-камере зараженной машины, а также для загрузки и запуска других произвольных двоичных файлов на зараженном хосте.

Talos с высокой степенью уверенности считает, что SugarGh0st RAT - это новый адаптированный вариант Gh0st RAT, с адаптированными командами для облегчения задач удаленного администрирования по указанию C2 и модифицированным протоколом связи на основе сходства структуры команд и строк, используемых в коде.

#ParsedReport #CompletenessHigh
30-11-2023

Hellhounds: Operation Lahat

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat

Report completeness: High

Actors/Campaigns:
Hellhounds
Lahat

Threats:
Decoy_dog
Upx_tool
Pupy_rat
Dns_tunneling_technique
Fastflux_technique

Victims:
Organizations in the russian federation

Industry:
Telco, Retail, Energy, Education, Logistic, Government

Geo:
Russian, Russia

TTPs:
Tactics: 6
Technics: 13

IOCs:
Domain: 12
File: 5
IP: 3
Hash: 26

Soft:
Android, macOS, Mastodon, webrtc, Systemd

Algorithms:
clefia, md5, aes, rc4

Languages:
java, python

Platforms:
cross-platform, amd64

Links:
https://github.com/n1nj4sec/pupy