#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Qilin ransomware - это высокотехнологичный и настраиваемый Linux-шифровальщик, предназначенный для серверов Linux, FreeBSD и VMware ESXi, и представляющий значительную угрозу для корпоративных сетей.
-----

Qilin ransomware - один из самых продвинутых и настраиваемых Linux-шифровальщиков на сегодняшний день. Она предназначена для серверов Linux, FreeBSD и VMware ESXi и ориентирована на шифрование виртуальных машин и удаление их моментальных снимков. При выполнении программа сначала завершает работу всех виртуальных машин и удаляет их снимки, а затем шифрует все обнаруженные виртуальные машины. Затем создается записка с именем _RECOVER.txt, содержащая ссылки на Tor-переговорный сайт банды вымогателей и учетные данные, необходимые для доступа к странице чата жертвы.

Qilin ransomware была запущена в августе 2022 года под названием "Agenda". Однако к сентябрю она провела ребрендинг под названием Qilin. С тех пор количество жертв постоянно увеличивалось, а активность возросла к концу 2023 года.

Как правило, Qilin проникает в сети компаний и похищает данные, распространяясь на другие системы. Собрав данные и получив учетные данные администратора сервера, они развертывают программу-вымогатель, чтобы зашифровать все устройства в сети. Благодаря своему уникальному шифровальщику, программы-вымогатели Qilin представляют собой серьезную угрозу для корпоративных сетей.

#ParsedReport #CompletenessLow
04-12-2023

The Lumma Stealer InfoStealer: The Details

https://cyberint.com/blog/research/the-lumma-stealer-infostealer-the-details

Report completeness: Low

Threats:
Lumma_stealer
Supply_chain_technique

Industry:
Financial

TTPs:
Tactics: 9
Technics: 22

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Lumma Stealer - это вредоносная программа, которая продается в "темной паутине" для незаконного получения конфиденциальных данных со взломанных устройств, и частные лица и организации должны предпринять необходимые шаги, чтобы защитить себя от рисков, связанных с ней.
-----

Lumma Stealer - это вредоносная программа, которая в последние месяцы становится все более распространенной. Впервые она была обнаружена в августе 2022 года и в настоящее время является трендом на форумах "темной паутины". Lumma Stealer специально разработан для незаконного получения конфиденциальных данных со взломанных устройств. Он продается через официальный магазин Lumma при содействии угрожающего актера Shamel.

После установки Lumma Stealer может атаковать веб-браузеры, криптовалютные кошельки, расширения 2FA и сервисы обмена мгновенными сообщениями вроде Telegram для извлечения ценных данных. Он также может внедрять дополнительные вредоносные программы и выполнять дополнительные команды с помощью своего модуля Loader. Lumma Stealer постоянно обновляется и совершенствуется, чтобы избежать обнаружения.

Lumma Stealer может распространяться различными способами, такими как загрузка с диска, поддельные обновления программного обеспечения, спам по электронной почте и сообщения, а также пакетные загрузки. Это может привести к серьезным последствиям для пострадавших, включая кражу конфиденциальных данных, таких как личные данные, учетные данные для входа в систему, финансовая информация и другие важные данные. Похищенная информация может быть использована для кражи личных данных или несанкционированного доступа к учетной записи. Lumma Stealer также может создавать бэкдоры и отключать защитное программное обеспечение, что может еще больше подорвать безопасность системы. Кроме того, если вредоносная программа проникнет в систему организации и скомпрометирует конфиденциальную информацию клиентов, это может нанести серьезный ущерб ее репутации и привести к снижению деловой активности и авторитета.

Как частным лицам, так и организациям важно знать о рисках, связанных с Lumma Stealer, и принять необходимые меры для защиты. Необходимо внедрять решения безопасности для обнаружения и предотвращения вредоносных действий, а пользователям следует сохранять бдительность и проявлять осторожность при работе с онлайн-контентом. Настоятельно рекомендуем обратиться в компанию, занимающуюся анализом угроз, чтобы узнать больше о способах защиты предприятий от программ-вымогателей и других угроз.

#ParsedReport #CompletenessHigh
04-12-2023

TrickMo s Return: Banking Trojan Resurgence With New Features

https://cyble.com/blog/trickmos-return-banking-trojan-resurgence-with-new-features

Report completeness: High

Threats:
Trickmo
Jsonpacker_tool
Trickbot
Hydra
Ermac
Sova
Mirai

Industry:
Financial, Foodtech

Geo:
Germany, Canada

TTPs:
Tactics: 5
Technics: 5

IOCs:
Hash: 6
Url: 3
IP: 1
File: 8

Soft:
Android, Google Chrome, Zoom, outlook, Microsoft Outlook

Wallets:
metamask, coinbase

Crypto:
bitcoin, kucoin, binance

Algorithms:
exhibit, sha1, zip, sha256, md5

Functions:
DeleteAll, SetSmsApp, GetAllPhotos, GetPhoto, SetClickerConfig, SetVars, ReadSms, GetAllVideos, GetVideo, ReadCalls, have more...

Win API:
LoadModule

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банковский троянец TrickMo постоянно развивается с момента своего обнаружения в 2019 году. В последнем варианте он обладает такими расширенными возможностями, как оверлейные методы внедрения, функции кликера и возможность захвата содержимого экрана. Кроме того, вредоносная программа включает в себя команду VNC, что говорит о том, что угрожающий агент планирует внедрить новые функции в ближайшем будущем, подчеркивая необходимость принятия проактивных мер перед лицом развивающихся киберугроз.
-----

Банковский троян TrickMo был впервые обнаружен в сентябре 2019 года.

Самый последний вариант TrickMo, обнаруженный в сентябре 2023 года, обладает расширенными функциональными возможностями, такими как техника внедрения оверлея, функция кликера и возможность захвата содержимого экрана.

TrickMo устанавливает соединение с C&C-сервером и передает различные данные, такие как список установленных приложений, информация об устройстве, статус доступности и статус разрешения.

Вредоносная программа получает от сервера инструкцию предложить пользователям включить службу доступности.

TrickMo может автоматически выполнять действия на зараженном устройстве без ведома жертвы, используя функцию кликера.

Вредоносная программа получает команды с C&C-сервера, включая идентификационный номер команды, сообщение и описание кнопки.

Вредоносная программа может получить команду 11 (RequestInfo), которая содержит URL-адрес оверлея.

С момента своего первого открытия в 2019 году TrickMo продемонстрировал удивительную устойчивость и способность к адаптации.

Возрождение TrickMo в сентябре 2023 года - наглядный пример постоянных проблем в сфере мобильной безопасности.

#ParsedReport #CompletenessLow
04-12-2023

It's Turtles All The Way Down. Analyzing the newly discovered Turtle ransomware.

https://objective-see.org/blog/blog_0x76.html

Report completeness: Low

Threats:
Turtle_ransomware

Geo:
Spain, Chinese

IOCs:
File: 15
Hash: 1

Soft:
macOS, Gatekeeper, ChatGPT

Algorithms:
aes, zip

Languages:
python

Platforms:
intel, arm, apple

Links:
https://github.com/objective-see/Malware/raw/main/Turtle.zip
https://github.com/Objective-see/Ransomwhere

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания Austin оповестила сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS, и Apple внедрила различные средства защиты от атак вымогательского ПО. Пользователям следует принять меры по защите своих систем и знать о новейших методах анализа вредоносного ПО для Mac, чтобы оставаться в безопасности.
-----

Недавно Остин предупредил сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS. 24 антивирусных системы отметили его как вредоносный и идентифицировали как Other:Malware-gen, Trojan.Generic или Possible Threat. Вредоносная программа была написана на языке Go и называлась TURTLERANS (она же Turtle Ransomware) или TurmiRansom. Процесс шифрования заключался в чтении файла в память, шифровании его с помощью AES (в режиме CTR), переименовании файла и последующей перезаписи оригинального содержимого зашифрованными данными. Он шифрует только файлы с расширениями .doc, .docx или .txt.

Apple реализовала несколько мер защиты от атак вымогателей. Защита целостности системы (SIP) и системные тома, доступные только для чтения, предназначены для защиты файлов уровня ОС, а прозрачный контроль согласия (TCC) используется для защиты пользовательских файлов в защищенных каталогах. RansomWhere? - это устаревший инструмент для общего обнаружения действий Turtle Ransomware.

Хотя на данный момент эта вредоносная программа не представляет серьезной угрозы для пользователей macOS, она доказывает, что авторы вымогательских программ продолжают атаковать эту платформу. Чтобы оставаться в безопасности, пользователям следует принять меры по защите своих систем и быть в курсе последних технологий анализа вредоносного ПО для Mac.

#technique

Targeting abuse of ESC7 in AD CS

https://mp-weixin-qq-com.translate.goog/s/TqW3ONBdcUFijg4keSiO1g?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
05-12-2023

Crypto Deception Unveiled: Check Point Research Reports Manipulation of Pool Liquidity Skyrockets Token Price by 22,000%.

https://research.checkpoint.com/2023/crypto-deception-unveiled-check-point-research-reports-manipulation-of-pool-liquidity-skyrockets-token-price-by-22000

Report completeness: Low

Victims:
Token holders

Industry:
Financial

IOCs:
Coin: 5

Crypto:
ethereum

Languages:
swift

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавнее ограбление на $80 000 в сфере децентрализованных финансов подчеркивает уязвимость пулов ликвидности перед сложными схемами манипулирования и важность бдительности в криптовалютном пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька мошенника, и предоставляет информацию, чтобы помочь инвесторам безопасно ориентироваться в криптовалютном пространстве.
-----

Становится все более очевидным, что децентрализованное финансовое пространство уязвимо для сложных схем манипулирования. Недавно было раскрыто ограбление на сумму 80 000 долларов, в ходе которого мошенник использовал пул ликвидности для кражи у ничего не подозревающих держателей токенов. Это произошло после того, как была раскрыта еще одна афера на миллион долларов, в которой использовалась поддельная фабрика токенов.

Мошенник, стоящий за этим последним инцидентом, разместил контрактный токен WIZ и связанный с ним адрес пары пула ликвидности. Затем мошенник создал вредоносный контракт, содержащий бэкдор, который позволил ему манипулировать ценой токена WIZ и украсть $80 000.

Эта схема манипулирования подчеркивает восприимчивость пулов ликвидности к мошенническим действиям. Мошенники смогли использовать бэкдоры и эксплойты для манипулирования ценами на токены, что подчеркивает важность бдительности в децентрализованном финансовом пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька выявленного мошенника, а также аналогичные случаи. С помощью своей блокчейн-системы Threat Intel они накапливают ценную информацию о возникающих угрозах, и эти данные будут переданы инвесторам, чтобы помочь им безопасно ориентироваться в криптовалютном пространстве и защитить себя от потенциальных ловушек.

#ParsedReport #CompletenessLow
05-12-2023

BlueNoroff: new Trojan attacking macOS users

https://securelist.com/bluenoroff-new-macos-malware/111290

Report completeness: Low

Actors/Campaigns:
Bluenoroff (motivation: cyber_criminal)

Threats:
Rustbucket
Applescript

Industry:
Financial

IOCs:
Hash: 9
Url: 3

Soft:
macOS

Algorithms:
xor, zip

Languages:
swift

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Обнаружен новый вариант вредоносного загрузчика, предположительно связанный с APT-кампанией RustBucket. Загрузчик написан на языке Swift и называется EdoneViewer. Он предназначен для сбора и отправки системной информации на C&C-сервер и может быть обнаружен большинством антивирусных решений.
-----

Недавно был обнаружен новый вариант вредоносного загрузчика, предположительно связанный с продолжающейся кампанией RustBucket, проводимой APT-бандой BlueNoroff. Угрожающие субъекты в первую очередь нацелены на финансовые организации и частных лиц с криптовалютными интересами.

Последний вредоносный загрузчик был обнаружен в ZIP-архиве, содержащем PDF-файл под названием "Криптоактивы и их риски для финансовой стабильности". Судя по метаданным из архива, приложение было создано 21 октября 2023 года. Вредоносный загрузчик написан на языке Swift и называется EdoneViewer. Это файл универсального формата, содержащий версии для кремниевых чипов Intel и Apple.

После выполнения загрузчик расшифровывает зашифрованную по XOR полезную нагрузку. Во время этого процесса загрузчик выводит на терминал несвязанные сообщения, пытаясь обмануть аналитиков. Расшифрованная полезная нагрузка имеет формат AppleScript, загружает PDF-файл, сохраняет его в определенном месте и открывает. Этот PDF-файл является доброкачественной приманкой. Затем полезная нагрузка отправляет POST-запрос на сервер и сохраняет ответ в скрытом файле с именем ".pw", расположенном в определенной директории. Файл .pw - это троянец, который собирает и отправляет системную информацию на C&C-сервер, расположенный по адресу hxxp://on-global.xyz. Данные отправляются циклически каждую минуту, но во время нашего анализа с сервера не поступало никаких команд, поэтому содержание следующего этапа атаки остается неизвестным.

К счастью, теперь троян обнаруживается большинством антивирусных решений. Важно, чтобы все пользователи знали об этом вредоносном загрузчике и его потенциальных последствиях, а также принимали меры предосторожности против него.

#ParsedReport #CompletenessMedium
05-12-2023

TA422 s Dedicated Exploitation Loop - the Same Week After Week

https://www.proofpoint.com/us/blog/threat-insight/ta422s-dedicated-exploitation-loop-same-week-after-week

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Forest_blizzard

Threats:
Beacon

Victims:
Government, aerospace, education, finance, manufacturing, and technology sector targets

Industry:
Education, Financial, Aerospace, Military, Government

Geo:
Israeli, America, Ukrainian, Russian, Palestinian

CVEs:
CVE-2023-32231 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- vasion printerlogic client (<25.0.0.818)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


IOCs:
Domain: 6
File: 3
Url: 1
Hash: 17

Soft:
Microsoft Outlook, Mockbin, InfinityFree, Outlook

Algorithms:
sha256, zip, base64

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4