#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания Zimperium обнаружила вредоносную мобильную кампанию, направленную на крупные иранские банки, которая использует фишинговые атаки для кражи банковской информации и данных кредитных карт.-----

В июле 2023 года была обнаружена вредоносная мобильная кампания, направленная на крупные иранские банки. Недавно исследовательская группа Zimperium обнаружила, что кампания не только не прекратила свою активность, но и расширила свои возможности, причем 28 из 245 новых вариантов остались незамеченными для индустрии. Вредоносная программа похищает учетные данные для входа в систему, информацию о кредитных картах, OTP-коды, а также проверяет наличие других приложений. Были найдены доказательства, связывающие этого участника угроз с фишинговыми атаками, направленными на те же банки.

Атака осуществляется путем мониторинга открытых приложений и открытия веб-просмотра с фишинговым URL-адресом при обнаружении приложения из списка целей. Также используются сервисы доступа для наложения экранов с целью сбора учетных данных и информации о кредитных картах. Данные отправляются на командно-контрольный (C&C) сервер с помощью кода javascript, который включает в себя идентификаторы каналов Telegram и токены ботов для распространения информации. В некоторых вариантах C&C-сервер содержит файл README с закодированным в base64 текстом последних URL-адресов фишинговых и C&C-серверов, что позволяет злоумышленникам быстро реагировать на удаление фишинговых сайтов.

Фишинговые сайты, используемые этой вредоносной программой, также проверяют, открыта ли страница на iOS-устройстве, и предлагают веб-сайт, имитирующий iOS-версию приложения. Более того, фишинговые кампании отличаются изощренностью и стараются максимально точно имитировать оригинальные сайты. Данные, украденные этими сайтами, отправляются в два Telegram-канала, один из которых может быть доступен публично.

В отчётах, бывает, есть табличка с TTP и деталями по каждой технике. Может быть попробовать строить mindmap именно по этим данным.
Надо попробовать :)

#technique

Skimming Credit Cards with WebSockets

https://blog.sucuri.net/2023/11/skimming-credit-cards-with-websockets.html

#ParsedReport #CompletenessLow
30-11-2023

Associated Press, ESPN, CBS among top sites serving fake virus alerts

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/associated-press-espn-cbs-among-top-sites-serving-fake-virus-alerts

Report completeness: Low

Victims:
Confiant, the associated press, espn, cbs, blair strater, ad exchanges, malwarebytes users, public reports, smaller websites, top publishers, ap, espn, cbs, other sites, windows malware, mac ones, ios users

IOCs:
Domain: 26
Hash: 13
IP: 1

Soft:
Mastodon, Android

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что ScamClub занимается вредоносной рекламой с 2018 года и в последнее время стоит за известными вредоносными перенаправлениями, используя методы обфускации и уклонения, чтобы затруднить идентификацию. Вредоносная реклама становится все более распространенной на мобильных устройствах, делая пользователей более уязвимыми для мошенничества и вредоносного ПО.
-----

ScamClub - это вредоносный агент, который занимается вредоносной рекламой с 2018 года. Компания Confiant, которая отслеживала деятельность ScamClub на протяжении многих лет, в сентябре выпустила всеобъемлющий отчет, а также пресекла его деятельность. Недавно ScamClub стоял за несколькими очень известными вредоносными перенаправлениями, которые затронули сайты Associated Press, ESPN и CBS, где ничего не подозревающие читатели были автоматически перенаправлены на фальшивое предупреждение о безопасности, связанное с вредоносным филиалом McAfee. Согласно открытым данным, в течение последних нескольких недель несколько рекламных бирж использовались для размещения этой фальшивой антивирусной кампании через торги в режиме реального времени (RTB). Большинство телеметрических данных, полученных от пользователей Malwarebytes, показывают, что вредоносные объявления проскальзывают мимо ведущих издателей.

ScamClub использует методы обфускации и уклонения, чтобы затруднить идентификацию. Например, их JavaScript-файлы используют обфускацию с изменением имен переменных и переместились из облака Google в CDN Azure. Вредоносная реклама процветает на мобильных устройствах, и вероятность того, что пользователей обманом заставят загрузить вредоносное ПО или стать жертвой мошенников, не меньше, если не больше.

#ParsedReport #CompletenessHigh
01-12-2023

New Tool Set Found Used Against Middle East, Africa and the US

https://unit42.paloaltonetworks.com/new-toolset-targets-middle-east-africa-usa

Report completeness: High

Threats:
Wildfire
Raccoon_stealer
Mimikatz_tool
Mimilite_tool
Ntospy_tool
Credential_dumping_technique
Timestomp_technique

Industry:
Government, Education, Retail, Telco

Geo:
Apac, America, Thailand, Emea, Africa, Japan, Egypt

TTPs:
Tactics: 4
Technics: 33

IOCs:
Path: 16
File: 12
Hash: 17
Domain: 9
Registry: 1

Soft:
NET Framework, Visual Studio, Active Directory

Algorithms:
base64, xor, sha256, md5

Languages:
powershell

Platforms:
x86

Links:
https://github.com/gtworek/PSBits/tree/master/PasswordStealing/NPPSpy

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 17, schema: 3, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи выявили серию атак на организации на Ближнем Востоке, в Африке и США, которые были связаны с использованием определенных инструментов и вредоносного ПО. Полученные данные были переданы членам Альянса по борьбе с киберугрозами, чтобы они могли защитить своих клиентов и обезвредить злоумышленников.
-----

Исследователи Unit 42 выявили серию атак на организации на Ближнем Востоке, в Африке и США, которые, судя по всему, связаны между собой. Во время этих атак угрожающие субъекты использовали набор инструментов, которые дают представление об их деятельности. Это исследование проводится с целью помочь организациям укрепить свою безопасность, предоставив рекомендации по обнаружению, предотвращению и пресечению атак.

Одним из инструментов, используемых злоумышленниками, является новый бэкдор под названием Agent Racoon. Это семейство вредоносных программ написано с использованием фреймворка .NET и использует протокол службы доменных имен (DNS) для создания скрытого канала и предоставления различных функций бэкдора. Он используется в многочисленных атаках с 2020 года и присутствует как в некоммерческих, так и в правительственных организациях.

Еще один инструмент, используемый агентом угроз, - Ntospy, DLL-модуль сетевого провайдера, предназначенный для кражи учетных данных пользователей. Он развертывается с использованием временных каталогов C:\Windows\Temp и C:\Temp и задает путь к вредоносному DLL-модулю, указывая на c:\windows\system32\ntoskrnl.dll. Он был скомпилирован с помощью Visual Studio 2019 v16.0.0 build 27508, а агент угроз маскирует вредоносный DLL-компонент с помощью шаблонов бинарных имен Windows.

Злоумышленники также использовали адаптированную версию Mimikatz под названием Mimilite, для запуска которой необходимо ввести пароль через командную строку. Она была найдена по адресу C:\temp\update.exe с хэшем SHA256 3490ba26a75b6fb295256d077e0dbc13e4e32f9fd4e91fb35692dbf64c923c98.

Результаты этого исследования были переданы членам Альянса по борьбе с киберугрозами (CTA), что позволило им внедрить средства защиты для своих клиентов и систематически пресекать действия злоумышленников. Зная об этих инструментах и об угрозах, которые за ними стоят, организации смогут лучше защититься от подобных атак в будущем.

#ParsedReport #CompletenessMedium
01-12-2023

AsyncRAT distributed as a WSF script

https://asec.ahnlab.com/ko/59377

Report completeness: Medium

Threats:
Asyncrat
Uac_bypass_technique
Trojan/vbs.runner.sc194987
Trojan/bat.runner.sc194988
Trojan/bat.runner.sc194985
Trojan/win.injector

ChatGPT TTPs:
do not use without manual check
T1086, T1566, T1218, T1036, T1497

IOCs:
File: 8
Path: 1
Hash: 8
Url: 2
Domain: 3

Soft:
Chrome, Brave-Browser

Wallets:
rabby, electrum, coinomi

Crypto:
binance, bitcoin

Algorithms:
zip, md5

Languages:
powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
code: 6, windows: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AsyncRAT - это вредоносный код, который распространяется через почтовые ссылки в виде WSF-скриптов. Он способен осуществлять утечку информации и выполнять функции бэкдора, поэтому пользователям следует быть бдительными при открытии файлов и внешних ссылок. Для мониторинга и контроля доступа следует использовать продукты безопасности.
-----

Недавно вредоносный код, известный как AsyncRAT, был модифицирован и распространялся по ссылкам электронной почты в виде скриптов WSF (Windows Script File). При открытии скрипт загружает файл .jpg, замаскированный под zip-архив, который содержит внутри файл сценария Visual Basic под названием Error.vbs. Затем этот сценарий выполняется и создает командную строку, которая выполняет файл Error.vbs в виде xml-файла. Затем этот файл запускается с помощью Powershell в обход UAC (User Account Control), и в процессе используются три обфусцированные переменные.

Вредоносный код подтвердил, что это AsyncRAT, способный осуществлять утечку информации и выполнять функции бэкдора. Также было обнаружено, что адрес C2, по которому передаются украденные данные, хранится внутри файла в виде зашифрованной строки. Злоумышленник пытается подключиться к нескольким портам в домене адреса C2.

Этот инцидент подчеркивает, что пользователи должны сохранять бдительность при открытии файлов или внешних ссылок, вложенных в электронные письма, и использовать продукты безопасности для мониторинга и контроля доступа. AsyncRAT является бесфайловой техникой и не создает EXE-файлов, поэтому его трудно обнаружить. Поэтому пользователям следует принять меры по защите от вредоносных агентов.

#ParsedReport #CompletenessMedium
01-12-2023

Kimsuky group (RftRAT, Amadey) uses AutoIt to create malware

https://asec.ahnlab.com/ko/59460

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Rftrat
Amadey
Spear-phishing_technique
Xrat_rat
Appleseed
Pebledash
Hvnc_tool
Metasploit_tool
Meterpreter_tool
Quasar_rat
Uac_bypass_technique
Atmosphere
Mimikatz_tool
Backdoor/win.agent.r626033
Dropper/win.agent.c5542993
Trojan/win.agent.c5430096
Infostealer/win.agent.r622445
Trojan/win.agent.c5485099
Trojan/win.agent.c5479017
Trojan/win.loader.c5479014
Trojan/win.agent.c5465186
Infostealer/win.agent.c5542999
Infostealer/win.agent.c5542997
Trojan/win.agent.c5451959
Trojan/win.agent.prevention
Trojan/win.agent.r589022
Trojan/win.loader.r588248
Trojan/win.agent.c5444839
Trojan/win.stealer.c5441397
Trojan/win.keylogger.c5430090
Malware/win.generic.c5430065
Trojan/win.stealer.r579484
Trojan/win.loader.c5430091
Trojan/win.keylogger.c5430092
Trojan/win.loader.c5430099
Trojan/win.proxy.c5430093
Trojan/win.agent.c5430095

Victims:
National defense, defense industry, media, diplomacy, government agencies, and academic fields

Industry:
Energy, Government

Geo:
Korea, Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 45
Path: 5
Hash: 51
Url: 6
IP: 8

Soft:
Chrome

Algorithms:
rc4, zip, md5

Functions:
WinStationQueryInformationW

Win API:
ExitWindowsEx

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что угрожающая группа Kimsuky активна с 2013 года и нацелена на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные агентства и академические сферы с целью кражи информации и технологий. Они используют фишинговые атаки с использованием вредоносных программ LNK, вредоносных программ с открытым исходным кодом и продаваемых, таких как AppleSeed и PebleDash, а также XRat, кейлоггеров и вредоносных программ для кражи информации. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер.
-----

Угрожающая группа Kimsuky - это поддерживаемая Северной Кореей группа, которая действует с 2013 года. Изначально атаки осуществлялись на исследовательские институты Южной Кореи, связанные с Северной Кореей, а с 2014 года - на энергетические институты Южной Кореи, а с 2017 года - и других стран, помимо Кореи. Атаки направлены на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные учреждения и научные круги. Они осуществляются с помощью фишинговых атак с целью кражи внутренней информации и технологий организации.

В последнее время группа Kimsuky использует вредоносные программы с ярлыками в формате LNK, а не в формате документов Hangul или MS Office. При распаковке обычный файл документа и вредоносный LNK-файл существуют вместе. ASEC отслеживает случаи атак группы Kimsuky с использованием вредоносного ПО LNK и постоянно публикует подтвержденные случаи атак в своем блоге. После проникновения группа Kimsuky устанавливает вредоносные программы для удаленного управления, такие как AppleSeed и PebleDash, которые находятся в открытом доступе или продаются, а также XRat. Кроме того, устанавливаются кейлоггеры и вредоносные программы для кражи информации, целью которых в конечном итоге является кража внутренней информации и технологий организации.

XRat - это вредоносная программа RAT, разработанная в .NET и основанная на QuasarRAT, которая доступна на GitHub. Группа Kimsuky использует его в течение длительного времени, а недавно стало известно, что он используется в атаках в виде зашифрованной полезной нагрузки, а не отдельного исполняемого файла или DLL. Он состоит из вредоносной библиотеки ht.dll, файла данных htsetting.ini, содержащего настройки, и зашифрованной полезной нагрузки. Предполагается, что этот метод направлен на обход продуктов безопасности. Amadey - это загрузчик, который устанавливает дополнительные вредоносные программы с C&C-сервера, а RftRAT - это бэкдор, который может получать и выполнять команды с C&C-сервера. В последнее время группа Kimsuky создает вредоносные программы с использованием Autoit для обхода продуктов безопасности.

Пользователям следует помнить о фишинговых атаках, направленных на отечественных пользователей, и избегать просмотра файлов неизвестного происхождения. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер, до последней версии.

#ParsedReport #CompletenessHigh
02-12-2023

AeroBlade on the Hunt Targeting the U.S. Aerospace Industry

https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry

Report completeness: High

Actors/Campaigns:
Aeroblade (motivation: cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
An aerospace organization in the united states

Industry:
Aerospace

TTPs:
Tactics: 6
Technics: 25

IOCs:
File: 4
Domain: 1
Path: 2
Url: 2
Hash: 3

Soft:
Microsoft Word, Windows Task Scheduler, Task Scheduler

Algorithms:
md5, murmur, aes, sha256

Functions:
GetStdHandle, CreateProces, GetLogicalDeviceStringsW

Win API:
GetCursorPos, GetTickCount, GlobalMemoryStatusEx, GetUserNameA, GetComputerNameA, GetModuleFileNameA, GetAdaptersInfo, CoCreateInstance, GetEnvironmentVariableW, CreatePipe, have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 3, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что был обнаружен новый угрожающий агент AeroBlade, нацеленный на аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была очень целенаправленной и сложной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.
-----

Специалисты BlackBerry Threat Research and Intelligence недавно обнаружили нового агента угроз, которого они назвали AeroBlade. Этот агент атаковал аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была проведена в два этапа. На первом этапе с помощью фишинговых писем рассылался вредоносный документ Microsoft Word, содержащий встроенную технику удаленной инъекции шаблонов и вредоносный макрокод VBA. После его активации загружался файл второго этапа под названием redacted .dotm, который, в свою очередь, выполнял файл "item3.xml", создавая обратную оболочку, подключающуюся к " redacted . redacted . com " через порт 443.

В полезной нагрузке также присутствует статическая конфигурация, содержащая информацию о сервере C2, а также методы защиты от разборки, хеширование API, пользовательское кодирование и множественные проверки. Полезная нагрузка также собирает системную информацию с зараженной машины и устанавливает сохранение при перезагрузке системы. Затем она отправляет всю собранную информацию, а также список каталогов, найденных на зараженной машине, на сервер C2.

В середине 2022 года были обнаружены два образца, направленные на одну и ту же аэрокосмическую компанию в США, и оба они указывали на один и тот же IP-адрес сервера C2. Это указывает на то, что угрожающий субъект, скорее всего, тестировал свой метод перед тем, как начать полноценную атаку в 2023 году. В целом атака выглядит очень целенаправленной и изощренной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.