#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что ScamClub занимается вредоносной рекламой с 2018 года и в последнее время стоит за известными вредоносными перенаправлениями, используя методы обфускации и уклонения, чтобы затруднить идентификацию. Вредоносная реклама становится все более распространенной на мобильных устройствах, делая пользователей более уязвимыми для мошенничества и вредоносного ПО.
-----

ScamClub - это вредоносный агент, который занимается вредоносной рекламой с 2018 года. Компания Confiant, которая отслеживала деятельность ScamClub на протяжении многих лет, в сентябре выпустила всеобъемлющий отчет, а также пресекла его деятельность. Недавно ScamClub стоял за несколькими очень известными вредоносными перенаправлениями, которые затронули сайты Associated Press, ESPN и CBS, где ничего не подозревающие читатели были автоматически перенаправлены на фальшивое предупреждение о безопасности, связанное с вредоносным филиалом McAfee. Согласно открытым данным, в течение последних нескольких недель несколько рекламных бирж использовались для размещения этой фальшивой антивирусной кампании через торги в режиме реального времени (RTB). Большинство телеметрических данных, полученных от пользователей Malwarebytes, показывают, что вредоносные объявления проскальзывают мимо ведущих издателей.

ScamClub использует методы обфускации и уклонения, чтобы затруднить идентификацию. Например, их JavaScript-файлы используют обфускацию с изменением имен переменных и переместились из облака Google в CDN Azure. Вредоносная реклама процветает на мобильных устройствах, и вероятность того, что пользователей обманом заставят загрузить вредоносное ПО или стать жертвой мошенников, не меньше, если не больше.

#ParsedReport #CompletenessHigh
01-12-2023

New Tool Set Found Used Against Middle East, Africa and the US

https://unit42.paloaltonetworks.com/new-toolset-targets-middle-east-africa-usa

Report completeness: High

Threats:
Wildfire
Raccoon_stealer
Mimikatz_tool
Mimilite_tool
Ntospy_tool
Credential_dumping_technique
Timestomp_technique

Industry:
Government, Education, Retail, Telco

Geo:
Apac, America, Thailand, Emea, Africa, Japan, Egypt

TTPs:
Tactics: 4
Technics: 33

IOCs:
Path: 16
File: 12
Hash: 17
Domain: 9
Registry: 1

Soft:
NET Framework, Visual Studio, Active Directory

Algorithms:
base64, xor, sha256, md5

Languages:
powershell

Platforms:
x86

Links:
https://github.com/gtworek/PSBits/tree/master/PasswordStealing/NPPSpy

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 17, schema: 3, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи выявили серию атак на организации на Ближнем Востоке, в Африке и США, которые были связаны с использованием определенных инструментов и вредоносного ПО. Полученные данные были переданы членам Альянса по борьбе с киберугрозами, чтобы они могли защитить своих клиентов и обезвредить злоумышленников.
-----

Исследователи Unit 42 выявили серию атак на организации на Ближнем Востоке, в Африке и США, которые, судя по всему, связаны между собой. Во время этих атак угрожающие субъекты использовали набор инструментов, которые дают представление об их деятельности. Это исследование проводится с целью помочь организациям укрепить свою безопасность, предоставив рекомендации по обнаружению, предотвращению и пресечению атак.

Одним из инструментов, используемых злоумышленниками, является новый бэкдор под названием Agent Racoon. Это семейство вредоносных программ написано с использованием фреймворка .NET и использует протокол службы доменных имен (DNS) для создания скрытого канала и предоставления различных функций бэкдора. Он используется в многочисленных атаках с 2020 года и присутствует как в некоммерческих, так и в правительственных организациях.

Еще один инструмент, используемый агентом угроз, - Ntospy, DLL-модуль сетевого провайдера, предназначенный для кражи учетных данных пользователей. Он развертывается с использованием временных каталогов C:\Windows\Temp и C:\Temp и задает путь к вредоносному DLL-модулю, указывая на c:\windows\system32\ntoskrnl.dll. Он был скомпилирован с помощью Visual Studio 2019 v16.0.0 build 27508, а агент угроз маскирует вредоносный DLL-компонент с помощью шаблонов бинарных имен Windows.

Злоумышленники также использовали адаптированную версию Mimikatz под названием Mimilite, для запуска которой необходимо ввести пароль через командную строку. Она была найдена по адресу C:\temp\update.exe с хэшем SHA256 3490ba26a75b6fb295256d077e0dbc13e4e32f9fd4e91fb35692dbf64c923c98.

Результаты этого исследования были переданы членам Альянса по борьбе с киберугрозами (CTA), что позволило им внедрить средства защиты для своих клиентов и систематически пресекать действия злоумышленников. Зная об этих инструментах и об угрозах, которые за ними стоят, организации смогут лучше защититься от подобных атак в будущем.

#ParsedReport #CompletenessMedium
01-12-2023

AsyncRAT distributed as a WSF script

https://asec.ahnlab.com/ko/59377

Report completeness: Medium

Threats:
Asyncrat
Uac_bypass_technique
Trojan/vbs.runner.sc194987
Trojan/bat.runner.sc194988
Trojan/bat.runner.sc194985
Trojan/win.injector

ChatGPT TTPs:
do not use without manual check
T1086, T1566, T1218, T1036, T1497

IOCs:
File: 8
Path: 1
Hash: 8
Url: 2
Domain: 3

Soft:
Chrome, Brave-Browser

Wallets:
rabby, electrum, coinomi

Crypto:
binance, bitcoin

Algorithms:
zip, md5

Languages:
powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
code: 6, windows: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AsyncRAT - это вредоносный код, который распространяется через почтовые ссылки в виде WSF-скриптов. Он способен осуществлять утечку информации и выполнять функции бэкдора, поэтому пользователям следует быть бдительными при открытии файлов и внешних ссылок. Для мониторинга и контроля доступа следует использовать продукты безопасности.
-----

Недавно вредоносный код, известный как AsyncRAT, был модифицирован и распространялся по ссылкам электронной почты в виде скриптов WSF (Windows Script File). При открытии скрипт загружает файл .jpg, замаскированный под zip-архив, который содержит внутри файл сценария Visual Basic под названием Error.vbs. Затем этот сценарий выполняется и создает командную строку, которая выполняет файл Error.vbs в виде xml-файла. Затем этот файл запускается с помощью Powershell в обход UAC (User Account Control), и в процессе используются три обфусцированные переменные.

Вредоносный код подтвердил, что это AsyncRAT, способный осуществлять утечку информации и выполнять функции бэкдора. Также было обнаружено, что адрес C2, по которому передаются украденные данные, хранится внутри файла в виде зашифрованной строки. Злоумышленник пытается подключиться к нескольким портам в домене адреса C2.

Этот инцидент подчеркивает, что пользователи должны сохранять бдительность при открытии файлов или внешних ссылок, вложенных в электронные письма, и использовать продукты безопасности для мониторинга и контроля доступа. AsyncRAT является бесфайловой техникой и не создает EXE-файлов, поэтому его трудно обнаружить. Поэтому пользователям следует принять меры по защите от вредоносных агентов.

#ParsedReport #CompletenessMedium
01-12-2023

Kimsuky group (RftRAT, Amadey) uses AutoIt to create malware

https://asec.ahnlab.com/ko/59460

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Rftrat
Amadey
Spear-phishing_technique
Xrat_rat
Appleseed
Pebledash
Hvnc_tool
Metasploit_tool
Meterpreter_tool
Quasar_rat
Uac_bypass_technique
Atmosphere
Mimikatz_tool
Backdoor/win.agent.r626033
Dropper/win.agent.c5542993
Trojan/win.agent.c5430096
Infostealer/win.agent.r622445
Trojan/win.agent.c5485099
Trojan/win.agent.c5479017
Trojan/win.loader.c5479014
Trojan/win.agent.c5465186
Infostealer/win.agent.c5542999
Infostealer/win.agent.c5542997
Trojan/win.agent.c5451959
Trojan/win.agent.prevention
Trojan/win.agent.r589022
Trojan/win.loader.r588248
Trojan/win.agent.c5444839
Trojan/win.stealer.c5441397
Trojan/win.keylogger.c5430090
Malware/win.generic.c5430065
Trojan/win.stealer.r579484
Trojan/win.loader.c5430091
Trojan/win.keylogger.c5430092
Trojan/win.loader.c5430099
Trojan/win.proxy.c5430093
Trojan/win.agent.c5430095

Victims:
National defense, defense industry, media, diplomacy, government agencies, and academic fields

Industry:
Energy, Government

Geo:
Korea, Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 45
Path: 5
Hash: 51
Url: 6
IP: 8

Soft:
Chrome

Algorithms:
rc4, zip, md5

Functions:
WinStationQueryInformationW

Win API:
ExitWindowsEx

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что угрожающая группа Kimsuky активна с 2013 года и нацелена на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные агентства и академические сферы с целью кражи информации и технологий. Они используют фишинговые атаки с использованием вредоносных программ LNK, вредоносных программ с открытым исходным кодом и продаваемых, таких как AppleSeed и PebleDash, а также XRat, кейлоггеров и вредоносных программ для кражи информации. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер.
-----

Угрожающая группа Kimsuky - это поддерживаемая Северной Кореей группа, которая действует с 2013 года. Изначально атаки осуществлялись на исследовательские институты Южной Кореи, связанные с Северной Кореей, а с 2014 года - на энергетические институты Южной Кореи, а с 2017 года - и других стран, помимо Кореи. Атаки направлены на национальную оборону, оборонную промышленность, СМИ, дипломатию, правительственные учреждения и научные круги. Они осуществляются с помощью фишинговых атак с целью кражи внутренней информации и технологий организации.

В последнее время группа Kimsuky использует вредоносные программы с ярлыками в формате LNK, а не в формате документов Hangul или MS Office. При распаковке обычный файл документа и вредоносный LNK-файл существуют вместе. ASEC отслеживает случаи атак группы Kimsuky с использованием вредоносного ПО LNK и постоянно публикует подтвержденные случаи атак в своем блоге. После проникновения группа Kimsuky устанавливает вредоносные программы для удаленного управления, такие как AppleSeed и PebleDash, которые находятся в открытом доступе или продаются, а также XRat. Кроме того, устанавливаются кейлоггеры и вредоносные программы для кражи информации, целью которых в конечном итоге является кража внутренней информации и технологий организации.

XRat - это вредоносная программа RAT, разработанная в .NET и основанная на QuasarRAT, которая доступна на GitHub. Группа Kimsuky использует его в течение длительного времени, а недавно стало известно, что он используется в атаках в виде зашифрованной полезной нагрузки, а не отдельного исполняемого файла или DLL. Он состоит из вредоносной библиотеки ht.dll, файла данных htsetting.ini, содержащего настройки, и зашифрованной полезной нагрузки. Предполагается, что этот метод направлен на обход продуктов безопасности. Amadey - это загрузчик, который устанавливает дополнительные вредоносные программы с C&C-сервера, а RftRAT - это бэкдор, который может получать и выполнять команды с C&C-сервера. В последнее время группа Kimsuky создает вредоносные программы с использованием Autoit для обхода продуктов безопасности.

Пользователям следует помнить о фишинговых атаках, направленных на отечественных пользователей, и избегать просмотра файлов неизвестного происхождения. Чтобы предотвратить заражение, пользователям следует обновить последние патчи и V3 для таких программ, как ОС и интернет-браузер, до последней версии.

#ParsedReport #CompletenessHigh
02-12-2023

AeroBlade on the Hunt Targeting the U.S. Aerospace Industry

https://blogs.blackberry.com/en/2023/11/aeroblade-on-the-hunt-targeting-us-aerospace-industry

Report completeness: High

Actors/Campaigns:
Aeroblade (motivation: cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
An aerospace organization in the united states

Industry:
Aerospace

TTPs:
Tactics: 6
Technics: 25

IOCs:
File: 4
Domain: 1
Path: 2
Url: 2
Hash: 3

Soft:
Microsoft Word, Windows Task Scheduler, Task Scheduler

Algorithms:
md5, murmur, aes, sha256

Functions:
GetStdHandle, CreateProces, GetLogicalDeviceStringsW

Win API:
GetCursorPos, GetTickCount, GlobalMemoryStatusEx, GetUserNameA, GetComputerNameA, GetModuleFileNameA, GetAdaptersInfo, CoCreateInstance, GetEnvironmentVariableW, CreatePipe, have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 3, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что был обнаружен новый угрожающий агент AeroBlade, нацеленный на аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была очень целенаправленной и сложной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.
-----

Специалисты BlackBerry Threat Research and Intelligence недавно обнаружили нового агента угроз, которого они назвали AeroBlade. Этот агент атаковал аэрокосмическую организацию в США с целью осуществления коммерческого и конкурентного кибершпионажа. Атака была проведена в два этапа. На первом этапе с помощью фишинговых писем рассылался вредоносный документ Microsoft Word, содержащий встроенную технику удаленной инъекции шаблонов и вредоносный макрокод VBA. После его активации загружался файл второго этапа под названием redacted .dotm, который, в свою очередь, выполнял файл "item3.xml", создавая обратную оболочку, подключающуюся к " redacted . redacted . com " через порт 443.

В полезной нагрузке также присутствует статическая конфигурация, содержащая информацию о сервере C2, а также методы защиты от разборки, хеширование API, пользовательское кодирование и множественные проверки. Полезная нагрузка также собирает системную информацию с зараженной машины и устанавливает сохранение при перезагрузке системы. Затем она отправляет всю собранную информацию, а также список каталогов, найденных на зараженной машине, на сервер C2.

В середине 2022 года были обнаружены два образца, направленные на одну и ту же аэрокосмическую компанию в США, и оба они указывали на один и тот же IP-адрес сервера C2. Это указывает на то, что угрожающий субъект, скорее всего, тестировал свой метод перед тем, как начать полноценную атаку в 2023 году. В целом атака выглядит очень целенаправленной и изощренной, а использование методов защиты от разборки и специального кодирования затрудняет ее обнаружение и анализ.

#ParsedReport #CompletenessHigh
01-12-2023

DanaBot Stealer : A Multistage MaaS Malware Re-emerges with Reduced Detectability

https://www.cyfirma.com/outofband/danabot-stealer-a-multistage-maas-malware-re-emerges-with-reduced-detectability

Report completeness: High

Threats:
Danabot
Rms_tool
Process_hollowing_technique
Runpe_tool
Credential_stealing_technique

Industry:
Financial, Government

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1082, T1057, T1055, T1045, T1036.003, T1090, T1053, T1041, have more...

IOCs:
Path: 2
File: 6
IP: 2
Domain: 1

Soft:
Discord, Windows shell, Windows registry

Algorithms:
zip

Win Services:
WebClient

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DanaBot - это очень опасный тип вредоносного ПО, распространяемый через фишинговые письма и разворачиваемый в несколько этапов из различных источников, чтобы избежать обнаружения. Он способен похищать конфиденциальные данные и предлагается в качестве платформы "вредоносное ПО как услуга" (MaaS). Для защиты от DanaBot необходимо быть осторожным с подозрительными ссылками, укреплять безопасность системы и использовать актуальное антивирусное программное обеспечение.
-----

DanaBot - это вредоносное ПО как услуга (MaaS), которое проникает в компьютеры, чтобы украсть ценную информацию для монетизации.

DanaBot распространяется с помощью сложных фишинговых писем и через сеть доставки контента (CDN) Discord.

DanaBot способен похищать учетные данные из веб-браузеров, данные FTP, данные почтовых клиентов, данные пользователей системы, данные VPN-клиентов, данные программ управления файлами, данные приложений для удаленного подключения и многое другое.

Чтобы защититься от DanaBot Stealer, следует с осторожностью относиться к подозрительным ссылкам и вложениям электронной почты, а также применять меры безопасности.

#technique

GhostDriver is a Rust-built AV killer tool using BYOVD.

https://github.com/BlackSnufkin/GhostDriver

#technique

TRAP; RESET; POISON; - Taking over a country Kaminsky style

A technical deep dive on how to poison the DNS name resolution of an entire country!

https://sec-consult.com/blog/detail/taking-over-a-country-kaminsky-style/