#ParsedReport #CompletenessHigh
30-11-2023
Rare Wolf hunts for private data using fake 1C:Enterprise invoices
https://bi.zone/expertise/blog/rare-wolf-okhotitsya-za-privatnymi-dannymi-s-pomoshchyu-falshivykh-nakladnykh-1s-predpriyatie
Report completeness: High
Actors/Campaigns:
Rare_wolf
Threats:
Passview_tool
Spear-phishing_technique
Industry:
Financial
Geo:
Russian
TTPs:
Tactics: 9
Technics: 0
IOCs:
Path: 26
File: 22
Registry: 1
Url: 4
Domain: 1
Hash: 6
Soft:
Telegram, cURL, Microsoft Word
Platforms:
intel
30-11-2023
Rare Wolf hunts for private data using fake 1C:Enterprise invoices
https://bi.zone/expertise/blog/rare-wolf-okhotitsya-za-privatnymi-dannymi-s-pomoshchyu-falshivykh-nakladnykh-1s-predpriyatie
Report completeness: High
Actors/Campaigns:
Rare_wolf
Threats:
Passview_tool
Spear-phishing_technique
Industry:
Financial
Geo:
Russian
TTPs:
Tactics: 9
Technics: 0
IOCs:
Path: 26
File: 22
Registry: 1
Url: 4
Domain: 1
Hash: 6
Soft:
Telegram, cURL, Microsoft Word
Platforms:
intel
BI.ZONE
Rare Wolf охотится за приватными данными с помощью фальшивых накладных «1С:Предприятие»
Как злоумышленникам удается отвлечь внимание жертв и оставаться незаметными в инфраструктуре — читайте в новом исследовании
CTT Report Hub
#ParsedReport #CompletenessHigh 30-11-2023 Rare Wolf hunts for private data using fake 1C:Enterprise invoices https://bi.zone/expertise/blog/rare-wolf-okhotitsya-za-privatnymi-dannymi-s-pomoshchyu-falshivykh-nakladnykh-1s-predpriyatie Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Российские организации подвергаются атакам фишинговых писем, которые устанавливают вредоносные программы, крадут конфиденциальные документы и пароли, а также получают доступ к мессенджеру Telegram. Для защиты от этих атак организации могут воспользоваться специализированными сервисами, такими как BI.ZONE CESP.
-----
Новое исследование специалистов BI.ZONE Threat Intelligence выявило кластер активности, действующий как минимум с 2019 года и направленный в первую очередь на соседние страны. Но теперь под ударом оказались и российские организации. Злоумышленники используют фишинговые письма, чтобы установить на целевые устройства легитимный инструмент слежения Mipko Employee Monitor, украсть конфиденциальные документы и пароли, а также получить доступ к мессенджеру Telegram.
Злоумышленники рассылают фишинговые письма с архивами, в которых, по их словам, содержатся счета и электронные ключи "1С:Предприятия". Это делается для того, чтобы отвлечь внимание жертвы от расширения файла, которое содержит исполняемый файл. На самом деле архив представляет собой программу установки Smart Install Maker. Затем злоумышленники создают папку C:\Intel\ и устанавливают для нее атрибуты Hidden, System, Non-indexable. Затем они добавляют ключи реестра для Video Configurations и Mail Configurations и создают файл C:\Intel\rezet.cmd . Это позволит им загружать зашифрованные архивы и исполняемый файл с сервера управления.
Затем злоумышленники с помощью cURL driver.exe распаковывают архивы и собирают пароли из браузеров на взломанном устройстве в текстовый файл password.txt . Затем с помощью утилиты Blat они отправляют полученные учетные данные пользователя злоумышленнику по почте. Получив пароли, злоумышленники удаляют файлы, которые больше не нужны для выполнения. Они удаляют ключ реестра, отвечающий за автозапуск go.exe, а затем проверяют доступность сетевого ресурса www.msftncsi.com/ncsi.txt.
Затем злоумышленники удаляют конфигурацию Mipko Employee Monitor, если она присутствует в системе, и распаковывают все архивные файлы в папку C:\Intel\. Они переносят файл C:\Users\ user \AppData\Local\MPK\S0000.txt V C:\Users\ user \AppData\Local\MPK\S0000 и добавляют ключ Userinit в ветвь реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run для запуска программы Mipko Employee Monitor при старте системы. После запуска программы Mipko Employee Monitor злоумышленники удаляют все временные файлы, которые могут находиться в папке C:\Intel\.
Чтобы защитить свою почту от подобных атак, можно воспользоваться специализированными сервисами, такими как BI.ZONE CESP. Он проверяет каждое письмо и использует более 600 механизмов фильтрации, основанных на машинном обучении, статистическом, сигнатурном и эвристическом анализе. Такая проверка не задерживает доставку защищенных писем.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Российские организации подвергаются атакам фишинговых писем, которые устанавливают вредоносные программы, крадут конфиденциальные документы и пароли, а также получают доступ к мессенджеру Telegram. Для защиты от этих атак организации могут воспользоваться специализированными сервисами, такими как BI.ZONE CESP.
-----
Новое исследование специалистов BI.ZONE Threat Intelligence выявило кластер активности, действующий как минимум с 2019 года и направленный в первую очередь на соседние страны. Но теперь под ударом оказались и российские организации. Злоумышленники используют фишинговые письма, чтобы установить на целевые устройства легитимный инструмент слежения Mipko Employee Monitor, украсть конфиденциальные документы и пароли, а также получить доступ к мессенджеру Telegram.
Злоумышленники рассылают фишинговые письма с архивами, в которых, по их словам, содержатся счета и электронные ключи "1С:Предприятия". Это делается для того, чтобы отвлечь внимание жертвы от расширения файла, которое содержит исполняемый файл. На самом деле архив представляет собой программу установки Smart Install Maker. Затем злоумышленники создают папку C:\Intel\ и устанавливают для нее атрибуты Hidden, System, Non-indexable. Затем они добавляют ключи реестра для Video Configurations и Mail Configurations и создают файл C:\Intel\rezet.cmd . Это позволит им загружать зашифрованные архивы и исполняемый файл с сервера управления.
Затем злоумышленники с помощью cURL driver.exe распаковывают архивы и собирают пароли из браузеров на взломанном устройстве в текстовый файл password.txt . Затем с помощью утилиты Blat они отправляют полученные учетные данные пользователя злоумышленнику по почте. Получив пароли, злоумышленники удаляют файлы, которые больше не нужны для выполнения. Они удаляют ключ реестра, отвечающий за автозапуск go.exe, а затем проверяют доступность сетевого ресурса www.msftncsi.com/ncsi.txt.
Затем злоумышленники удаляют конфигурацию Mipko Employee Monitor, если она присутствует в системе, и распаковывают все архивные файлы в папку C:\Intel\. Они переносят файл C:\Users\ user \AppData\Local\MPK\S0000.txt V C:\Users\ user \AppData\Local\MPK\S0000 и добавляют ключ Userinit в ветвь реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run для запуска программы Mipko Employee Monitor при старте системы. После запуска программы Mipko Employee Monitor злоумышленники удаляют все временные файлы, которые могут находиться в папке C:\Intel\.
Чтобы защитить свою почту от подобных атак, можно воспользоваться специализированными сервисами, такими как BI.ZONE CESP. Он проверяет каждое письмо и использует более 600 механизмов фильтрации, основанных на машинном обучении, статистическом, сигнатурном и эвристическом анализе. Такая проверка не задерживает доставку защищенных писем.
#ParsedReport #CompletenessLow
30-11-2023
Uncovering the Serpent
https://labs.k7computing.com/index.php/uncovering-the-serpent
Report completeness: Low
Threats:
Serpent
Uac_bypass_technique
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 3
Registry: 1
Hash: 2
Soft:
Discord, Chrome, windows registry, windows defender
Functions:
Main
Languages:
aspnet
30-11-2023
Uncovering the Serpent
https://labs.k7computing.com/index.php/uncovering-the-serpent
Report completeness: Low
Threats:
Serpent
Uac_bypass_technique
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 3
Registry: 1
Hash: 2
Soft:
Discord, Chrome, windows registry, windows defender
Functions:
Main
Languages:
aspnet
K7 Labs
Uncovering the “Serpent”
Information Stealers are a pervasive threat and are capable of providing threat actors with a rich source of sensitive data. […]
CTT Report Hub
#ParsedReport #CompletenessLow 30-11-2023 Uncovering the Serpent https://labs.k7computing.com/index.php/uncovering-the-serpent Report completeness: Low Threats: Serpent Uac_bypass_technique TTPs: Tactics: 1 Technics: 0 IOCs: File: 3 Registry: 1 Hash:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Serpent Stealer - это вредоносная программа на базе .NET, способная похищать конфиденциальные данные из популярных онлайн-браузеров и приложений, а также обходить контроль доступа пользователей Windows, отладчики и виртуальные машины, чтобы оставаться незаметной. Пользователям следует приобрести надежный продукт безопасности, чтобы защитить свои устройства от подобных угроз.
-----
Похитители информации представляют собой распространенную угрозу и способны предоставить угрожающим субъектам богатый источник конфиденциальных данных. Недавно мы наткнулись на твит о том, что в темной паутине продается Serpent Stealer. Это вредоносное ПО на базе .NET способно не только получать конфиденциальную информацию из самых популярных онлайн-браузеров и приложений, но и перехватывать пароли. Чтобы оставаться незаметным, похититель обходит контроль доступа пользователей (UAC) Windows, отладчики и виртуальные машины. Данные из браузеров и пароли он добывает с помощью веб-крючков и злоупотребления Discord.
Serpent Stealer - это кража на базе .Net, использующая среду исполнения .NET. Он представляет собой 64-битный переносимый исполняемый двоичный файл. После выполнения крадун сначала определяет, запускается ли он в контролируемой среде, проверяя, есть ли полученное имя пользователя жертвы в его файле Black List Users. Если получено любое из заблокированных имен пользователей, крадун мгновенно использует функцию Sleep и Exit для завершения выполнения.
Убедившись, что вредоносная программа работает не в контролируемой среде, она начинает собирать данные для эксфильтрации. После проверки удаленного IP-адреса машины похититель использует веб-хук для передачи собранных данных на сервер C2. Затем он нацеливается на онлайн-браузеры, такие как Chrome, Brave или Edge, и криптовалютные кошельки, собирая связанные с ними данные. После этого вредоносная программа извлекает учетные данные из пути установки, определяя путь реестра, связанный со Steam, сервисом цифровой дистрибуции видеоигр. И, наконец, запускается программа для кражи файлов, которая ищет определенные расширения из конкретных папок в файловой системе.
Чтобы оставаться незаметным, похититель вызывает один из методов обхода UAC, перечисленных ниже. Fodhelper.exe - известный метод обхода UAC, который ищет определенные несуществующие ключи реестра. В результате хакер может вставить в эти ключи реестра вредоносные команды, которые будут выполняться программой fodhelper.exe с наивысшими привилегиями (привилегия Admin).
Угрожающие субъекты используют в похитителях информации передовые методы скрытности, чтобы стать более уклончивыми. Поскольку информация, похищенная вредоносным ПО, является конфиденциальной, в современном мире необходимо инвестировать в надежный продукт безопасности. Мы в K7 Labs обеспечиваем обнаружение таких видов похитителей и всех новейших угроз. Пользователям рекомендуется использовать надежные средства защиты, такие как K7 Total Security, и постоянно обновлять их, чтобы обезопасить свои устройства.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Serpent Stealer - это вредоносная программа на базе .NET, способная похищать конфиденциальные данные из популярных онлайн-браузеров и приложений, а также обходить контроль доступа пользователей Windows, отладчики и виртуальные машины, чтобы оставаться незаметной. Пользователям следует приобрести надежный продукт безопасности, чтобы защитить свои устройства от подобных угроз.
-----
Похитители информации представляют собой распространенную угрозу и способны предоставить угрожающим субъектам богатый источник конфиденциальных данных. Недавно мы наткнулись на твит о том, что в темной паутине продается Serpent Stealer. Это вредоносное ПО на базе .NET способно не только получать конфиденциальную информацию из самых популярных онлайн-браузеров и приложений, но и перехватывать пароли. Чтобы оставаться незаметным, похититель обходит контроль доступа пользователей (UAC) Windows, отладчики и виртуальные машины. Данные из браузеров и пароли он добывает с помощью веб-крючков и злоупотребления Discord.
Serpent Stealer - это кража на базе .Net, использующая среду исполнения .NET. Он представляет собой 64-битный переносимый исполняемый двоичный файл. После выполнения крадун сначала определяет, запускается ли он в контролируемой среде, проверяя, есть ли полученное имя пользователя жертвы в его файле Black List Users. Если получено любое из заблокированных имен пользователей, крадун мгновенно использует функцию Sleep и Exit для завершения выполнения.
Убедившись, что вредоносная программа работает не в контролируемой среде, она начинает собирать данные для эксфильтрации. После проверки удаленного IP-адреса машины похититель использует веб-хук для передачи собранных данных на сервер C2. Затем он нацеливается на онлайн-браузеры, такие как Chrome, Brave или Edge, и криптовалютные кошельки, собирая связанные с ними данные. После этого вредоносная программа извлекает учетные данные из пути установки, определяя путь реестра, связанный со Steam, сервисом цифровой дистрибуции видеоигр. И, наконец, запускается программа для кражи файлов, которая ищет определенные расширения из конкретных папок в файловой системе.
Чтобы оставаться незаметным, похититель вызывает один из методов обхода UAC, перечисленных ниже. Fodhelper.exe - известный метод обхода UAC, который ищет определенные несуществующие ключи реестра. В результате хакер может вставить в эти ключи реестра вредоносные команды, которые будут выполняться программой fodhelper.exe с наивысшими привилегиями (привилегия Admin).
Угрожающие субъекты используют в похитителях информации передовые методы скрытности, чтобы стать более уклончивыми. Поскольку информация, похищенная вредоносным ПО, является конфиденциальной, в современном мире необходимо инвестировать в надежный продукт безопасности. Мы в K7 Labs обеспечиваем обнаружение таких видов похитителей и всех новейших угроз. Пользователям рекомендуется использовать надежные средства защиты, такие как K7 Total Security, и постоянно обновлять их, чтобы обезопасить свои устройства.
#ParsedReport #CompletenessHigh
30-11-2023
Cisco Talos Intelligence Blog. New SugarGh0st RAT targets Uzbekistan government and South Korea
https://blog.talosintelligence.com/new-sugargh0st-rat
Report completeness: High
Threats:
Sugargh0st_rat
Gh0st_rat
Lolbin_technique
Process_injection_technique
Victims:
Uzbekistan ministry of foreign affairs and users in south korea
Industry:
Financial, Government
Geo:
Korean, Korea, Chinese, Uzbekistan
ChatGPT TTPs:
T1086, T1064, T1036, T1060, T1105, T1082, T1070, T1082, T1083, T1086, have more...
IOCs:
File: 20
Domain: 2
Registry: 2
Command: 1
Path: 2
IP: 2
Hash: 21
Soft:
Component Object Model, ActiveX Data Objects
Algorithms:
xor, base64
Win API:
WSAStartup, SendMessage, DllUnregisterServer
Languages:
jscript, cscript, javascript
Links:
30-11-2023
Cisco Talos Intelligence Blog. New SugarGh0st RAT targets Uzbekistan government and South Korea
https://blog.talosintelligence.com/new-sugargh0st-rat
Report completeness: High
Threats:
Sugargh0st_rat
Gh0st_rat
Lolbin_technique
Process_injection_technique
Victims:
Uzbekistan ministry of foreign affairs and users in south korea
Industry:
Financial, Government
Geo:
Korean, Korea, Chinese, Uzbekistan
ChatGPT TTPs:
do not use without manual checkT1086, T1064, T1036, T1060, T1105, T1082, T1070, T1082, T1083, T1086, have more...
IOCs:
File: 20
Domain: 2
Registry: 2
Command: 1
Path: 2
IP: 2
Hash: 21
Soft:
Component Object Model, ActiveX Data Objects
Algorithms:
xor, base64
Win API:
WSAStartup, SendMessage, DllUnregisterServer
Languages:
jscript, cscript, javascript
Links:
https://github.com/Cisco-Talos/osquery\_queries/blob/master/win\_malware/sugargh0st\_rat\_registry\_key.yamlhttps://github.com/Cisco-Talos/IOCs/tree/main/2023/11/new-sugargh0st-rat.txthttps://github.com/Cisco-Talos/osquery\_queries/blob/master/win\_malware/sugargh0st\_rat\_file\_path.yamlCisco Talos Blog
New SugarGh0st RAT targets Uzbekistan government and South Korea
Cisco Talos recently discovered a malicious campaign that likely started as early as August 2023, delivering a new remote access trojan (RAT) we dubbed “SugarGh0st.”
CTT Report Hub
#ParsedReport #CompletenessHigh 30-11-2023 Cisco Talos Intelligence Blog. New SugarGh0st RAT targets Uzbekistan government and South Korea https://blog.talosintelligence.com/new-sugargh0st-rat Report completeness: High Threats: Sugargh0st_rat Gh0st_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавно специалисты Cisco Talos обнаружили вредоносную кампанию, в ходе которой был обнаружен новый троян удаленного доступа (RAT) под названием SugarGh0st, который, скорее всего, является адаптированным вариантом Gh0st RAT. Кампания нацелена на пользователей в Узбекистане и Южной Корее и использует две различные цепочки заражения для доставки полезной нагрузки. SugarGh0st предназначен для получения полного удаленного контроля над зараженной машиной и может выполнять различные файловые операции, включая поиск, копирование, перемещение и удаление файлов на машине жертвы. По оценке Talos, SugarGh0st RAT является новым модифицированным вариантом Gh0st RAT.
-----
Недавно компания Cisco Talos обнаружила вредоносную кампанию, распространяющую новый троян удаленного доступа (RAT) под названием SugarGh0st.
Кампания, очевидно, началась в августе 2023 года и была нацелена на пользователей Министерства иностранных дел Узбекистана и Южной Кореи.
SugarGh0st предназначен для получения полного удаленного контроля над зараженной машиной, ведения кейлоггинга в режиме реального времени и офлайн, доступа к веб-камере зараженной машины, а также для загрузки и запуска других произвольных двоичных файлов на зараженном хосте.
Talos с высокой степенью уверенности считает, что SugarGh0st RAT - это новый адаптированный вариант Gh0st RAT, с адаптированными командами для облегчения задач удаленного администрирования по указанию C2 и модифицированным протоколом связи на основе сходства структуры команд и строк, используемых в коде.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавно специалисты Cisco Talos обнаружили вредоносную кампанию, в ходе которой был обнаружен новый троян удаленного доступа (RAT) под названием SugarGh0st, который, скорее всего, является адаптированным вариантом Gh0st RAT. Кампания нацелена на пользователей в Узбекистане и Южной Корее и использует две различные цепочки заражения для доставки полезной нагрузки. SugarGh0st предназначен для получения полного удаленного контроля над зараженной машиной и может выполнять различные файловые операции, включая поиск, копирование, перемещение и удаление файлов на машине жертвы. По оценке Talos, SugarGh0st RAT является новым модифицированным вариантом Gh0st RAT.
-----
Недавно компания Cisco Talos обнаружила вредоносную кампанию, распространяющую новый троян удаленного доступа (RAT) под названием SugarGh0st.
Кампания, очевидно, началась в августе 2023 года и была нацелена на пользователей Министерства иностранных дел Узбекистана и Южной Кореи.
SugarGh0st предназначен для получения полного удаленного контроля над зараженной машиной, ведения кейлоггинга в режиме реального времени и офлайн, доступа к веб-камере зараженной машины, а также для загрузки и запуска других произвольных двоичных файлов на зараженном хосте.
Talos с высокой степенью уверенности считает, что SugarGh0st RAT - это новый адаптированный вариант Gh0st RAT, с адаптированными командами для облегчения задач удаленного администрирования по указанию C2 и модифицированным протоколом связи на основе сходства структуры команд и строк, используемых в коде.
#ParsedReport #CompletenessHigh
30-11-2023
Hellhounds: Operation Lahat
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat
Report completeness: High
Actors/Campaigns:
Hellhounds
Lahat
Threats:
Decoy_dog
Upx_tool
Pupy_rat
Dns_tunneling_technique
Fastflux_technique
Victims:
Organizations in the russian federation
Industry:
Telco, Retail, Energy, Education, Logistic, Government
Geo:
Russian, Russia
TTPs:
Tactics: 6
Technics: 13
IOCs:
Domain: 12
File: 5
IP: 3
Hash: 26
Soft:
Android, macOS, Mastodon, webrtc, Systemd
Algorithms:
clefia, md5, aes, rc4
Languages:
java, python
Platforms:
cross-platform, amd64
Links:
30-11-2023
Hellhounds: Operation Lahat
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat
Report completeness: High
Actors/Campaigns:
Hellhounds
Lahat
Threats:
Decoy_dog
Upx_tool
Pupy_rat
Dns_tunneling_technique
Fastflux_technique
Victims:
Organizations in the russian federation
Industry:
Telco, Retail, Energy, Education, Logistic, Government
Geo:
Russian, Russia
TTPs:
Tactics: 6
Technics: 13
IOCs:
Domain: 12
File: 5
IP: 3
Hash: 26
Soft:
Android, macOS, Mastodon, webrtc, Systemd
Algorithms:
clefia, md5, aes, rc4
Languages:
java, python
Platforms:
cross-platform, amd64
Links:
https://github.com/n1nj4sec/pupyptsecurity.com
Блог PT ESC Threat Intelligence
В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах
CTT Report Hub
#ParsedReport #CompletenessHigh 30-11-2023 Hellhounds: Operation Lahat https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/hellhounds-operaciya-lahat Report completeness: High Actors/Campaigns: Hellhounds Lahat Threats: Decoy_dog Upx_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа расследования инцидентов PT CSIRT компании Positive Technologies обнаружила взлом энергетической компании с помощью трояна Decoy Dog, который использовался в атаках на российские компании и государственные организации группой Hellhounds как минимум с сентября 2022 года. Авторы вредоносной программы приложили немало усилий, чтобы затруднить обнаружение и анализ не только трафика, но и файловой системы, в результате чего Decoy Dog был скомпрометирован как минимум в 20 организациях в Российской Федерации.
-----
В октябре 2023 года группа расследования инцидентов PT CSIRT компании Positive Technologies обнаружила взлом энергетической компании с помощью трояна Decoy Dog. По данным расследования PT CSIRT, эта вредоносная программа активно использовалась в атаках на российские компании и государственные организации как минимум с сентября 2022 года. Команда обнаружила новую модификацию троянского ПО, которую злоумышленники изменили, чтобы усложнить его обнаружение и анализ. Злоумышленники, использовавшие Decoy Dog, были идентифицированы как группа Hellhounds и, как выяснилось, нацелены исключительно на организации в Российской Федерации.
В ходе расследования инцидента команда обнаружила исполняемый файл /usr/bin/dcrond размером 9 КБ. Файл был защищен модифицированной версией упаковщика UPX с измененной сигнатурой 37 13 03 00 вместо UPX! Сначала загрузчик проверяет, находится ли он под отладкой, читая /proc/self/status и проверяя, что TracerPid равен 0. Если TracerPid не равен 0, то он заменяет себя на /bin/sh с помощью системного вызова execve. Убедившись, что он не находится под отладкой, загрузчик пытается прочитать идентификаторы скомпрометированных хостов из файлов по порядку и считывает MD5-хэш из первого файла, существующего в файловой системе. Полученный MD5-хэш загрузчик использует в качестве ключа для расшифровки конфигурации, а затем и основной загрузки, которые зашифрованы криптографическим алгоритмом CLEFIA со 128-битным ключом.
Основная загрузка исследуемого образца располагалась в файловой системе по пути /usr/share/misc/pcie.cache. Это была модифицированная версия Pupy RAT под названием Decoy Dog. Pupy RAT - это кроссплатформенный бэкдор с открытым исходным кодом и широкими возможностями для постэксплойта, написанный преимущественно на языке Python. Pupy RAT может взаимодействовать с командно-контрольным сервером, используя несколько транспортов. Decoy Dog был обновлен с устаревшего Python 2.7 до Python 3.8, а также были добавлены новые транспорты для Decoy Dog: BOSH, lc4, lws4, ws4, dfws4. Также появилась возможность загружать динамический файл конфигурации и сохранять его в зашифрованном виде на диске. Кроме того, появился новый канал подключения (launcher) под названием special. Decoy Dog обеспечивает механизм генерации имен DGA при потере связи по основному каналу управления. Скрипт под названием telemetry запускается при каждом запуске бэкдора и используется для отправки телеметрии (информации о зараженной системе) в социальную сеть mindly.social.
По меньшей мере 20 организаций в Российской Федерации были взломаны с помощью Decoy Dog, а распределение жертв по отраслям выглядит следующим образом: государственные учреждения, информационные технологии, космическая промышленность, энергетика, строительство, образование, транспорт и логистика, розничная торговля, сектор безопасности и телекоммуникации. Группа Hellhounds по-прежнему активно атакует организации в России, хотя ее конечные цели остаются неизвестными. В одном из инцидентов злоумышленники, используя Decoy Dog, вывели из строя ряд сервисов одного из операторов связи в России. Чтобы избежать обнаружения, авторы вредоносной программы приложили немало усилий, чтобы затруднить обнаружение и анализ не только трафика, но и файловой системы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа расследования инцидентов PT CSIRT компании Positive Technologies обнаружила взлом энергетической компании с помощью трояна Decoy Dog, который использовался в атаках на российские компании и государственные организации группой Hellhounds как минимум с сентября 2022 года. Авторы вредоносной программы приложили немало усилий, чтобы затруднить обнаружение и анализ не только трафика, но и файловой системы, в результате чего Decoy Dog был скомпрометирован как минимум в 20 организациях в Российской Федерации.
-----
В октябре 2023 года группа расследования инцидентов PT CSIRT компании Positive Technologies обнаружила взлом энергетической компании с помощью трояна Decoy Dog. По данным расследования PT CSIRT, эта вредоносная программа активно использовалась в атаках на российские компании и государственные организации как минимум с сентября 2022 года. Команда обнаружила новую модификацию троянского ПО, которую злоумышленники изменили, чтобы усложнить его обнаружение и анализ. Злоумышленники, использовавшие Decoy Dog, были идентифицированы как группа Hellhounds и, как выяснилось, нацелены исключительно на организации в Российской Федерации.
В ходе расследования инцидента команда обнаружила исполняемый файл /usr/bin/dcrond размером 9 КБ. Файл был защищен модифицированной версией упаковщика UPX с измененной сигнатурой 37 13 03 00 вместо UPX! Сначала загрузчик проверяет, находится ли он под отладкой, читая /proc/self/status и проверяя, что TracerPid равен 0. Если TracerPid не равен 0, то он заменяет себя на /bin/sh с помощью системного вызова execve. Убедившись, что он не находится под отладкой, загрузчик пытается прочитать идентификаторы скомпрометированных хостов из файлов по порядку и считывает MD5-хэш из первого файла, существующего в файловой системе. Полученный MD5-хэш загрузчик использует в качестве ключа для расшифровки конфигурации, а затем и основной загрузки, которые зашифрованы криптографическим алгоритмом CLEFIA со 128-битным ключом.
Основная загрузка исследуемого образца располагалась в файловой системе по пути /usr/share/misc/pcie.cache. Это была модифицированная версия Pupy RAT под названием Decoy Dog. Pupy RAT - это кроссплатформенный бэкдор с открытым исходным кодом и широкими возможностями для постэксплойта, написанный преимущественно на языке Python. Pupy RAT может взаимодействовать с командно-контрольным сервером, используя несколько транспортов. Decoy Dog был обновлен с устаревшего Python 2.7 до Python 3.8, а также были добавлены новые транспорты для Decoy Dog: BOSH, lc4, lws4, ws4, dfws4. Также появилась возможность загружать динамический файл конфигурации и сохранять его в зашифрованном виде на диске. Кроме того, появился новый канал подключения (launcher) под названием special. Decoy Dog обеспечивает механизм генерации имен DGA при потере связи по основному каналу управления. Скрипт под названием telemetry запускается при каждом запуске бэкдора и используется для отправки телеметрии (информации о зараженной системе) в социальную сеть mindly.social.
По меньшей мере 20 организаций в Российской Федерации были взломаны с помощью Decoy Dog, а распределение жертв по отраслям выглядит следующим образом: государственные учреждения, информационные технологии, космическая промышленность, энергетика, строительство, образование, транспорт и логистика, розничная торговля, сектор безопасности и телекоммуникации. Группа Hellhounds по-прежнему активно атакует организации в России, хотя ее конечные цели остаются неизвестными. В одном из инцидентов злоумышленники, используя Decoy Dog, вывели из строя ряд сервисов одного из операторов связи в России. Чтобы избежать обнаружения, авторы вредоносной программы приложили немало усилий, чтобы затруднить обнаружение и анализ не только трафика, но и файловой системы.
#ParsedReport #CompletenessMedium
30-11-2023
Unveiling the Persisting Threat: Iranian Mobile Banking Malware Campaign Extends Its Reach
https://www.zimperium.com/blog/unveiling-the-persisting-threat-iranian-mobile-banking-malware-campaign-extends-its-reach
Report completeness: Medium
Threats:
Credential_harvesting_technique
Victims:
Major iranian banks, cryptocurrency wallets
Industry:
Financial
Geo:
Iranian, Iran
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Url: 370
Hash: 247
Soft:
Telegram, Android
Algorithms:
base64
Languages:
php, javascript
Links:
30-11-2023
Unveiling the Persisting Threat: Iranian Mobile Banking Malware Campaign Extends Its Reach
https://www.zimperium.com/blog/unveiling-the-persisting-threat-iranian-mobile-banking-malware-campaign-extends-its-reach
Report completeness: Medium
Threats:
Credential_harvesting_technique
Victims:
Major iranian banks, cryptocurrency wallets
Industry:
Financial
Geo:
Iranian, Iran
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Url: 370
Hash: 247
Soft:
Telegram, Android
Algorithms:
base64
Languages:
php, javascript
Links:
https://github.com/Zimperium/Iranian-banking-malwareZimperium
Iranian Mobile Banking Malware Campaign Threat Continues | Zimperium
true
CTT Report Hub
#ParsedReport #CompletenessMedium 30-11-2023 Unveiling the Persisting Threat: Iranian Mobile Banking Malware Campaign Extends Its Reach https://www.zimperium.com/blog/unveiling-the-persisting-threat-iranian-mobile-banking-malware-campaign-extends-its-reach…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавно компания Zimperium обнаружила вредоносную мобильную кампанию, направленную на крупные иранские банки, которая использует фишинговые атаки для кражи банковской информации и данных кредитных карт.-----
В июле 2023 года была обнаружена вредоносная мобильная кампания, направленная на крупные иранские банки. Недавно исследовательская группа Zimperium обнаружила, что кампания не только не прекратила свою активность, но и расширила свои возможности, причем 28 из 245 новых вариантов остались незамеченными для индустрии. Вредоносная программа похищает учетные данные для входа в систему, информацию о кредитных картах, OTP-коды, а также проверяет наличие других приложений. Были найдены доказательства, связывающие этого участника угроз с фишинговыми атаками, направленными на те же банки.
Атака осуществляется путем мониторинга открытых приложений и открытия веб-просмотра с фишинговым URL-адресом при обнаружении приложения из списка целей. Также используются сервисы доступа для наложения экранов с целью сбора учетных данных и информации о кредитных картах. Данные отправляются на командно-контрольный (C&C) сервер с помощью кода javascript, который включает в себя идентификаторы каналов Telegram и токены ботов для распространения информации. В некоторых вариантах C&C-сервер содержит файл README с закодированным в base64 текстом последних URL-адресов фишинговых и C&C-серверов, что позволяет злоумышленникам быстро реагировать на удаление фишинговых сайтов.
Фишинговые сайты, используемые этой вредоносной программой, также проверяют, открыта ли страница на iOS-устройстве, и предлагают веб-сайт, имитирующий iOS-версию приложения. Более того, фишинговые кампании отличаются изощренностью и стараются максимально точно имитировать оригинальные сайты. Данные, украденные этими сайтами, отправляются в два Telegram-канала, один из которых может быть доступен публично.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавно компания Zimperium обнаружила вредоносную мобильную кампанию, направленную на крупные иранские банки, которая использует фишинговые атаки для кражи банковской информации и данных кредитных карт.-----
В июле 2023 года была обнаружена вредоносная мобильная кампания, направленная на крупные иранские банки. Недавно исследовательская группа Zimperium обнаружила, что кампания не только не прекратила свою активность, но и расширила свои возможности, причем 28 из 245 новых вариантов остались незамеченными для индустрии. Вредоносная программа похищает учетные данные для входа в систему, информацию о кредитных картах, OTP-коды, а также проверяет наличие других приложений. Были найдены доказательства, связывающие этого участника угроз с фишинговыми атаками, направленными на те же банки.
Атака осуществляется путем мониторинга открытых приложений и открытия веб-просмотра с фишинговым URL-адресом при обнаружении приложения из списка целей. Также используются сервисы доступа для наложения экранов с целью сбора учетных данных и информации о кредитных картах. Данные отправляются на командно-контрольный (C&C) сервер с помощью кода javascript, который включает в себя идентификаторы каналов Telegram и токены ботов для распространения информации. В некоторых вариантах C&C-сервер содержит файл README с закодированным в base64 текстом последних URL-адресов фишинговых и C&C-серверов, что позволяет злоумышленникам быстро реагировать на удаление фишинговых сайтов.
Фишинговые сайты, используемые этой вредоносной программой, также проверяют, открыта ли страница на iOS-устройстве, и предлагают веб-сайт, имитирующий iOS-версию приложения. Более того, фишинговые кампании отличаются изощренностью и стараются максимально точно имитировать оригинальные сайты. Данные, украденные этими сайтами, отправляются в два Telegram-канала, один из которых может быть доступен публично.
В отчётах, бывает, есть табличка с TTP и деталями по каждой технике. Может быть попробовать строить mindmap именно по этим данным.
Надо попробовать :)
Надо попробовать :)
🔥2
#technique
Skimming Credit Cards with WebSockets
https://blog.sucuri.net/2023/11/skimming-credit-cards-with-websockets.html
Skimming Credit Cards with WebSockets
https://blog.sucuri.net/2023/11/skimming-credit-cards-with-websockets.html
Sucuri Blog
Skimming Credit Cards with WebSockets
Explore the growing trend of card skimming attacks during the holiday season and how bad actors are using WebSockets for obfuscation. We decode the complexity of the skimmer code and provide preventative measures for ecommerce websites.
#ParsedReport #CompletenessLow
30-11-2023
Associated Press, ESPN, CBS among top sites serving fake virus alerts
https://www.malwarebytes.com/blog/threat-intelligence/2023/11/associated-press-espn-cbs-among-top-sites-serving-fake-virus-alerts
Report completeness: Low
Victims:
Confiant, the associated press, espn, cbs, blair strater, ad exchanges, malwarebytes users, public reports, smaller websites, top publishers, ap, espn, cbs, other sites, windows malware, mac ones, ios users
IOCs:
Domain: 26
Hash: 13
IP: 1
Soft:
Mastodon, Android
Languages:
javascript
Platforms:
apple
30-11-2023
Associated Press, ESPN, CBS among top sites serving fake virus alerts
https://www.malwarebytes.com/blog/threat-intelligence/2023/11/associated-press-espn-cbs-among-top-sites-serving-fake-virus-alerts
Report completeness: Low
Victims:
Confiant, the associated press, espn, cbs, blair strater, ad exchanges, malwarebytes users, public reports, smaller websites, top publishers, ap, espn, cbs, other sites, windows malware, mac ones, ios users
IOCs:
Domain: 26
Hash: 13
IP: 1
Soft:
Mastodon, Android
Languages:
javascript
Platforms:
apple
Malwarebytes
Associated Press, ESPN, CBS among top sites serving fake virus alerts
A fake antivirus alert may suddenly hijack your screen while browsing. This latest malvertising campaign hit top publishers.
CTT Report Hub
#ParsedReport #CompletenessLow 30-11-2023 Associated Press, ESPN, CBS among top sites serving fake virus alerts https://www.malwarebytes.com/blog/threat-intelligence/2023/11/associated-press-espn-cbs-among-top-sites-serving-fake-virus-alerts Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что ScamClub занимается вредоносной рекламой с 2018 года и в последнее время стоит за известными вредоносными перенаправлениями, используя методы обфускации и уклонения, чтобы затруднить идентификацию. Вредоносная реклама становится все более распространенной на мобильных устройствах, делая пользователей более уязвимыми для мошенничества и вредоносного ПО.
-----
ScamClub - это вредоносный агент, который занимается вредоносной рекламой с 2018 года. Компания Confiant, которая отслеживала деятельность ScamClub на протяжении многих лет, в сентябре выпустила всеобъемлющий отчет, а также пресекла его деятельность. Недавно ScamClub стоял за несколькими очень известными вредоносными перенаправлениями, которые затронули сайты Associated Press, ESPN и CBS, где ничего не подозревающие читатели были автоматически перенаправлены на фальшивое предупреждение о безопасности, связанное с вредоносным филиалом McAfee. Согласно открытым данным, в течение последних нескольких недель несколько рекламных бирж использовались для размещения этой фальшивой антивирусной кампании через торги в режиме реального времени (RTB). Большинство телеметрических данных, полученных от пользователей Malwarebytes, показывают, что вредоносные объявления проскальзывают мимо ведущих издателей.
ScamClub использует методы обфускации и уклонения, чтобы затруднить идентификацию. Например, их JavaScript-файлы используют обфускацию с изменением имен переменных и переместились из облака Google в CDN Azure. Вредоносная реклама процветает на мобильных устройствах, и вероятность того, что пользователей обманом заставят загрузить вредоносное ПО или стать жертвой мошенников, не меньше, если не больше.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея текста заключается в том, что ScamClub занимается вредоносной рекламой с 2018 года и в последнее время стоит за известными вредоносными перенаправлениями, используя методы обфускации и уклонения, чтобы затруднить идентификацию. Вредоносная реклама становится все более распространенной на мобильных устройствах, делая пользователей более уязвимыми для мошенничества и вредоносного ПО.
-----
ScamClub - это вредоносный агент, который занимается вредоносной рекламой с 2018 года. Компания Confiant, которая отслеживала деятельность ScamClub на протяжении многих лет, в сентябре выпустила всеобъемлющий отчет, а также пресекла его деятельность. Недавно ScamClub стоял за несколькими очень известными вредоносными перенаправлениями, которые затронули сайты Associated Press, ESPN и CBS, где ничего не подозревающие читатели были автоматически перенаправлены на фальшивое предупреждение о безопасности, связанное с вредоносным филиалом McAfee. Согласно открытым данным, в течение последних нескольких недель несколько рекламных бирж использовались для размещения этой фальшивой антивирусной кампании через торги в режиме реального времени (RTB). Большинство телеметрических данных, полученных от пользователей Malwarebytes, показывают, что вредоносные объявления проскальзывают мимо ведущих издателей.
ScamClub использует методы обфускации и уклонения, чтобы затруднить идентификацию. Например, их JavaScript-файлы используют обфускацию с изменением имен переменных и переместились из облака Google в CDN Azure. Вредоносная реклама процветает на мобильных устройствах, и вероятность того, что пользователей обманом заставят загрузить вредоносное ПО или стать жертвой мошенников, не меньше, если не больше.