#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа расследования инцидентов PT CSIRT компании Positive Technologies обнаружила взлом энергетической компании с помощью трояна Decoy Dog, который использовался в атаках на российские компании и государственные организации группой Hellhounds как минимум с сентября 2022 года. Авторы вредоносной программы приложили немало усилий, чтобы затруднить обнаружение и анализ не только трафика, но и файловой системы, в результате чего Decoy Dog был скомпрометирован как минимум в 20 организациях в Российской Федерации.
-----

В октябре 2023 года группа расследования инцидентов PT CSIRT компании Positive Technologies обнаружила взлом энергетической компании с помощью трояна Decoy Dog. По данным расследования PT CSIRT, эта вредоносная программа активно использовалась в атаках на российские компании и государственные организации как минимум с сентября 2022 года. Команда обнаружила новую модификацию троянского ПО, которую злоумышленники изменили, чтобы усложнить его обнаружение и анализ. Злоумышленники, использовавшие Decoy Dog, были идентифицированы как группа Hellhounds и, как выяснилось, нацелены исключительно на организации в Российской Федерации.

В ходе расследования инцидента команда обнаружила исполняемый файл /usr/bin/dcrond размером 9 КБ. Файл был защищен модифицированной версией упаковщика UPX с измененной сигнатурой 37 13 03 00 вместо UPX! Сначала загрузчик проверяет, находится ли он под отладкой, читая /proc/self/status и проверяя, что TracerPid равен 0. Если TracerPid не равен 0, то он заменяет себя на /bin/sh с помощью системного вызова execve. Убедившись, что он не находится под отладкой, загрузчик пытается прочитать идентификаторы скомпрометированных хостов из файлов по порядку и считывает MD5-хэш из первого файла, существующего в файловой системе. Полученный MD5-хэш загрузчик использует в качестве ключа для расшифровки конфигурации, а затем и основной загрузки, которые зашифрованы криптографическим алгоритмом CLEFIA со 128-битным ключом.

Основная загрузка исследуемого образца располагалась в файловой системе по пути /usr/share/misc/pcie.cache. Это была модифицированная версия Pupy RAT под названием Decoy Dog. Pupy RAT - это кроссплатформенный бэкдор с открытым исходным кодом и широкими возможностями для постэксплойта, написанный преимущественно на языке Python. Pupy RAT может взаимодействовать с командно-контрольным сервером, используя несколько транспортов. Decoy Dog был обновлен с устаревшего Python 2.7 до Python 3.8, а также были добавлены новые транспорты для Decoy Dog: BOSH, lc4, lws4, ws4, dfws4. Также появилась возможность загружать динамический файл конфигурации и сохранять его в зашифрованном виде на диске. Кроме того, появился новый канал подключения (launcher) под названием special. Decoy Dog обеспечивает механизм генерации имен DGA при потере связи по основному каналу управления. Скрипт под названием telemetry запускается при каждом запуске бэкдора и используется для отправки телеметрии (информации о зараженной системе) в социальную сеть mindly.social.

По меньшей мере 20 организаций в Российской Федерации были взломаны с помощью Decoy Dog, а распределение жертв по отраслям выглядит следующим образом: государственные учреждения, информационные технологии, космическая промышленность, энергетика, строительство, образование, транспорт и логистика, розничная торговля, сектор безопасности и телекоммуникации. Группа Hellhounds по-прежнему активно атакует организации в России, хотя ее конечные цели остаются неизвестными. В одном из инцидентов злоумышленники, используя Decoy Dog, вывели из строя ряд сервисов одного из операторов связи в России. Чтобы избежать обнаружения, авторы вредоносной программы приложили немало усилий, чтобы затруднить обнаружение и анализ не только трафика, но и файловой системы.

#ParsedReport #CompletenessMedium
30-11-2023

Unveiling the Persisting Threat: Iranian Mobile Banking Malware Campaign Extends Its Reach

https://www.zimperium.com/blog/unveiling-the-persisting-threat-iranian-mobile-banking-malware-campaign-extends-its-reach

Report completeness: Medium

Threats:
Credential_harvesting_technique

Victims:
Major iranian banks, cryptocurrency wallets

Industry:
Financial

Geo:
Iranian, Iran

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Url: 370
Hash: 247

Soft:
Telegram, Android

Algorithms:
base64

Languages:
php, javascript

Links:
https://github.com/Zimperium/Iranian-banking-malware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания Zimperium обнаружила вредоносную мобильную кампанию, направленную на крупные иранские банки, которая использует фишинговые атаки для кражи банковской информации и данных кредитных карт.-----

В июле 2023 года была обнаружена вредоносная мобильная кампания, направленная на крупные иранские банки. Недавно исследовательская группа Zimperium обнаружила, что кампания не только не прекратила свою активность, но и расширила свои возможности, причем 28 из 245 новых вариантов остались незамеченными для индустрии. Вредоносная программа похищает учетные данные для входа в систему, информацию о кредитных картах, OTP-коды, а также проверяет наличие других приложений. Были найдены доказательства, связывающие этого участника угроз с фишинговыми атаками, направленными на те же банки.

Атака осуществляется путем мониторинга открытых приложений и открытия веб-просмотра с фишинговым URL-адресом при обнаружении приложения из списка целей. Также используются сервисы доступа для наложения экранов с целью сбора учетных данных и информации о кредитных картах. Данные отправляются на командно-контрольный (C&C) сервер с помощью кода javascript, который включает в себя идентификаторы каналов Telegram и токены ботов для распространения информации. В некоторых вариантах C&C-сервер содержит файл README с закодированным в base64 текстом последних URL-адресов фишинговых и C&C-серверов, что позволяет злоумышленникам быстро реагировать на удаление фишинговых сайтов.

Фишинговые сайты, используемые этой вредоносной программой, также проверяют, открыта ли страница на iOS-устройстве, и предлагают веб-сайт, имитирующий iOS-версию приложения. Более того, фишинговые кампании отличаются изощренностью и стараются максимально точно имитировать оригинальные сайты. Данные, украденные этими сайтами, отправляются в два Telegram-канала, один из которых может быть доступен публично.

В отчётах, бывает, есть табличка с TTP и деталями по каждой технике. Может быть попробовать строить mindmap именно по этим данным.
Надо попробовать :)

#technique

Skimming Credit Cards with WebSockets

https://blog.sucuri.net/2023/11/skimming-credit-cards-with-websockets.html

#ParsedReport #CompletenessLow
30-11-2023

Associated Press, ESPN, CBS among top sites serving fake virus alerts

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/associated-press-espn-cbs-among-top-sites-serving-fake-virus-alerts

Report completeness: Low

Victims:
Confiant, the associated press, espn, cbs, blair strater, ad exchanges, malwarebytes users, public reports, smaller websites, top publishers, ap, espn, cbs, other sites, windows malware, mac ones, ios users

IOCs:
Domain: 26
Hash: 13
IP: 1

Soft:
Mastodon, Android

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что ScamClub занимается вредоносной рекламой с 2018 года и в последнее время стоит за известными вредоносными перенаправлениями, используя методы обфускации и уклонения, чтобы затруднить идентификацию. Вредоносная реклама становится все более распространенной на мобильных устройствах, делая пользователей более уязвимыми для мошенничества и вредоносного ПО.
-----

ScamClub - это вредоносный агент, который занимается вредоносной рекламой с 2018 года. Компания Confiant, которая отслеживала деятельность ScamClub на протяжении многих лет, в сентябре выпустила всеобъемлющий отчет, а также пресекла его деятельность. Недавно ScamClub стоял за несколькими очень известными вредоносными перенаправлениями, которые затронули сайты Associated Press, ESPN и CBS, где ничего не подозревающие читатели были автоматически перенаправлены на фальшивое предупреждение о безопасности, связанное с вредоносным филиалом McAfee. Согласно открытым данным, в течение последних нескольких недель несколько рекламных бирж использовались для размещения этой фальшивой антивирусной кампании через торги в режиме реального времени (RTB). Большинство телеметрических данных, полученных от пользователей Malwarebytes, показывают, что вредоносные объявления проскальзывают мимо ведущих издателей.

ScamClub использует методы обфускации и уклонения, чтобы затруднить идентификацию. Например, их JavaScript-файлы используют обфускацию с изменением имен переменных и переместились из облака Google в CDN Azure. Вредоносная реклама процветает на мобильных устройствах, и вероятность того, что пользователей обманом заставят загрузить вредоносное ПО или стать жертвой мошенников, не меньше, если не больше.

#ParsedReport #CompletenessHigh
01-12-2023

New Tool Set Found Used Against Middle East, Africa and the US

https://unit42.paloaltonetworks.com/new-toolset-targets-middle-east-africa-usa

Report completeness: High

Threats:
Wildfire
Raccoon_stealer
Mimikatz_tool
Mimilite_tool
Ntospy_tool
Credential_dumping_technique
Timestomp_technique

Industry:
Government, Education, Retail, Telco

Geo:
Apac, America, Thailand, Emea, Africa, Japan, Egypt

TTPs:
Tactics: 4
Technics: 33

IOCs:
Path: 16
File: 12
Hash: 17
Domain: 9
Registry: 1

Soft:
NET Framework, Visual Studio, Active Directory

Algorithms:
base64, xor, sha256, md5

Languages:
powershell

Platforms:
x86

Links:
https://github.com/gtworek/PSBits/tree/master/PasswordStealing/NPPSpy

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 17, schema: 3, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи выявили серию атак на организации на Ближнем Востоке, в Африке и США, которые были связаны с использованием определенных инструментов и вредоносного ПО. Полученные данные были переданы членам Альянса по борьбе с киберугрозами, чтобы они могли защитить своих клиентов и обезвредить злоумышленников.
-----

Исследователи Unit 42 выявили серию атак на организации на Ближнем Востоке, в Африке и США, которые, судя по всему, связаны между собой. Во время этих атак угрожающие субъекты использовали набор инструментов, которые дают представление об их деятельности. Это исследование проводится с целью помочь организациям укрепить свою безопасность, предоставив рекомендации по обнаружению, предотвращению и пресечению атак.

Одним из инструментов, используемых злоумышленниками, является новый бэкдор под названием Agent Racoon. Это семейство вредоносных программ написано с использованием фреймворка .NET и использует протокол службы доменных имен (DNS) для создания скрытого канала и предоставления различных функций бэкдора. Он используется в многочисленных атаках с 2020 года и присутствует как в некоммерческих, так и в правительственных организациях.

Еще один инструмент, используемый агентом угроз, - Ntospy, DLL-модуль сетевого провайдера, предназначенный для кражи учетных данных пользователей. Он развертывается с использованием временных каталогов C:\Windows\Temp и C:\Temp и задает путь к вредоносному DLL-модулю, указывая на c:\windows\system32\ntoskrnl.dll. Он был скомпилирован с помощью Visual Studio 2019 v16.0.0 build 27508, а агент угроз маскирует вредоносный DLL-компонент с помощью шаблонов бинарных имен Windows.

Злоумышленники также использовали адаптированную версию Mimikatz под названием Mimilite, для запуска которой необходимо ввести пароль через командную строку. Она была найдена по адресу C:\temp\update.exe с хэшем SHA256 3490ba26a75b6fb295256d077e0dbc13e4e32f9fd4e91fb35692dbf64c923c98.

Результаты этого исследования были переданы членам Альянса по борьбе с киберугрозами (CTA), что позволило им внедрить средства защиты для своих клиентов и систематически пресекать действия злоумышленников. Зная об этих инструментах и об угрозах, которые за ними стоят, организации смогут лучше защититься от подобных атак в будущем.

#ParsedReport #CompletenessMedium
01-12-2023

AsyncRAT distributed as a WSF script

https://asec.ahnlab.com/ko/59377

Report completeness: Medium

Threats:
Asyncrat
Uac_bypass_technique
Trojan/vbs.runner.sc194987
Trojan/bat.runner.sc194988
Trojan/bat.runner.sc194985
Trojan/win.injector

ChatGPT TTPs:
do not use without manual check
T1086, T1566, T1218, T1036, T1497

IOCs:
File: 8
Path: 1
Hash: 8
Url: 2
Domain: 3

Soft:
Chrome, Brave-Browser

Wallets:
rabby, electrum, coinomi

Crypto:
binance, bitcoin

Algorithms:
zip, md5

Languages:
powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
code: 6, windows: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AsyncRAT - это вредоносный код, который распространяется через почтовые ссылки в виде WSF-скриптов. Он способен осуществлять утечку информации и выполнять функции бэкдора, поэтому пользователям следует быть бдительными при открытии файлов и внешних ссылок. Для мониторинга и контроля доступа следует использовать продукты безопасности.
-----

Недавно вредоносный код, известный как AsyncRAT, был модифицирован и распространялся по ссылкам электронной почты в виде скриптов WSF (Windows Script File). При открытии скрипт загружает файл .jpg, замаскированный под zip-архив, который содержит внутри файл сценария Visual Basic под названием Error.vbs. Затем этот сценарий выполняется и создает командную строку, которая выполняет файл Error.vbs в виде xml-файла. Затем этот файл запускается с помощью Powershell в обход UAC (User Account Control), и в процессе используются три обфусцированные переменные.

Вредоносный код подтвердил, что это AsyncRAT, способный осуществлять утечку информации и выполнять функции бэкдора. Также было обнаружено, что адрес C2, по которому передаются украденные данные, хранится внутри файла в виде зашифрованной строки. Злоумышленник пытается подключиться к нескольким портам в домене адреса C2.

Этот инцидент подчеркивает, что пользователи должны сохранять бдительность при открытии файлов или внешних ссылок, вложенных в электронные письма, и использовать продукты безопасности для мониторинга и контроля доступа. AsyncRAT является бесфайловой техникой и не создает EXE-файлов, поэтому его трудно обнаружить. Поэтому пользователям следует принять меры по защите от вредоносных агентов.

#ParsedReport #CompletenessMedium
01-12-2023

Kimsuky group (RftRAT, Amadey) uses AutoIt to create malware

https://asec.ahnlab.com/ko/59460

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Rftrat
Amadey
Spear-phishing_technique
Xrat_rat
Appleseed
Pebledash
Hvnc_tool
Metasploit_tool
Meterpreter_tool
Quasar_rat
Uac_bypass_technique
Atmosphere
Mimikatz_tool
Backdoor/win.agent.r626033
Dropper/win.agent.c5542993
Trojan/win.agent.c5430096
Infostealer/win.agent.r622445
Trojan/win.agent.c5485099
Trojan/win.agent.c5479017
Trojan/win.loader.c5479014
Trojan/win.agent.c5465186
Infostealer/win.agent.c5542999
Infostealer/win.agent.c5542997
Trojan/win.agent.c5451959
Trojan/win.agent.prevention
Trojan/win.agent.r589022
Trojan/win.loader.r588248
Trojan/win.agent.c5444839
Trojan/win.stealer.c5441397
Trojan/win.keylogger.c5430090
Malware/win.generic.c5430065
Trojan/win.stealer.r579484
Trojan/win.loader.c5430091
Trojan/win.keylogger.c5430092
Trojan/win.loader.c5430099
Trojan/win.proxy.c5430093
Trojan/win.agent.c5430095

Victims:
National defense, defense industry, media, diplomacy, government agencies, and academic fields

Industry:
Energy, Government

Geo:
Korea, Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 45
Path: 5
Hash: 51
Url: 6
IP: 8

Soft:
Chrome

Algorithms:
rc4, zip, md5

Functions:
WinStationQueryInformationW

Win API:
ExitWindowsEx

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что угрожающая группа Kimsuky активна с 2013 года и нацелена на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные агентства и академические сферы с целью кражи информации и технологий. Они используют фишинговые атаки с использованием вредоносных программ LNK, вредоносных программ с открытым исходным кодом и продаваемых, таких как AppleSeed и PebleDash, а также XRat, кейлоггеров и вредоносных программ для кражи информации. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер.
-----

Угрожающая группа Kimsuky - это поддерживаемая Северной Кореей группа, которая действует с 2013 года. Изначально атаки осуществлялись на исследовательские институты Южной Кореи, связанные с Северной Кореей, а с 2014 года - на энергетические институты Южной Кореи, а с 2017 года - и других стран, помимо Кореи. Атаки направлены на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные учреждения и научные круги. Они осуществляются с помощью фишинговых атак с целью кражи внутренней информации и технологий организации.

В последнее время группа Kimsuky использует вредоносные программы с ярлыками в формате LNK, а не в формате документов Hangul или MS Office. При распаковке обычный файл документа и вредоносный LNK-файл существуют вместе. ASEC отслеживает случаи атак группы Kimsuky с использованием вредоносного ПО LNK и постоянно публикует подтвержденные случаи атак в своем блоге. После проникновения группа Kimsuky устанавливает вредоносные программы для удаленного управления, такие как AppleSeed и PebleDash, которые находятся в открытом доступе или продаются, а также XRat. Кроме того, устанавливаются кейлоггеры и вредоносные программы для кражи информации, целью которых в конечном итоге является кража внутренней информации и технологий организации.

XRat - это вредоносная программа RAT, разработанная в .NET и основанная на QuasarRAT, которая доступна на GitHub. Группа Kimsuky использует его в течение длительного времени, а недавно стало известно, что он используется в атаках в виде зашифрованной полезной нагрузки, а не отдельного исполняемого файла или DLL. Он состоит из вредоносной библиотеки ht.dll, файла данных htsetting.ini, содержащего настройки, и зашифрованной полезной нагрузки. Предполагается, что этот метод направлен на обход продуктов безопасности. Amadey - это загрузчик, который устанавливает дополнительные вредоносные программы с C&C-сервера, а RftRAT - это бэкдор, который может получать и выполнять команды с C&C-сервера. В последнее время группа Kimsuky создает вредоносные программы с использованием Autoit для обхода продуктов безопасности.

Пользователям следует помнить о фишинговых атаках, направленных на отечественных пользователей, и избегать просмотра файлов неизвестного происхождения. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер, до последней версии.

#ParsedReport #CompletenessHigh
02-12-2023

AeroBlade on the Hunt Targeting the U.S. Aerospace Industry

https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry

Report completeness: High

Actors/Campaigns:
Aeroblade (motivation: cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
An aerospace organization in the united states

Industry:
Aerospace

TTPs:
Tactics: 6
Technics: 25

IOCs:
File: 4
Domain: 1
Path: 2
Url: 2
Hash: 3

Soft:
Microsoft Word, Windows Task Scheduler, Task Scheduler

Algorithms:
md5, murmur, aes, sha256

Functions:
GetStdHandle, CreateProces, GetLogicalDeviceStringsW

Win API:
GetCursorPos, GetTickCount, GlobalMemoryStatusEx, GetUserNameA, GetComputerNameA, GetModuleFileNameA, GetAdaptersInfo, CoCreateInstance, GetEnvironmentVariableW, CreatePipe, have more...