CTT Report Hub
#ParsedReport #CompletenessLow 04-12-2023 It's Turtles All The Way Down. Analyzing the newly discovered Turtle ransomware. https://objective-see.org/blog/blog_0x76.html Report completeness: Low Threats: Turtle_ransomware Geo: Spain, Chinese IOCs: File:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавно компания Austin оповестила сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS, и Apple внедрила различные средства защиты от атак вымогательского ПО. Пользователям следует принять меры по защите своих систем и знать о новейших методах анализа вредоносного ПО для Mac, чтобы оставаться в безопасности.
-----
Недавно Остин предупредил сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS. 24 антивирусных системы отметили его как вредоносный и идентифицировали как Other:Malware-gen, Trojan.Generic или Possible Threat. Вредоносная программа была написана на языке Go и называлась TURTLERANS (она же Turtle Ransomware) или TurmiRansom. Процесс шифрования заключался в чтении файла в память, шифровании его с помощью AES (в режиме CTR), переименовании файла и последующей перезаписи оригинального содержимого зашифрованными данными. Он шифрует только файлы с расширениями .doc, .docx или .txt.
Apple реализовала несколько мер защиты от атак вымогателей. Защита целостности системы (SIP) и системные тома, доступные только для чтения, предназначены для защиты файлов уровня ОС, а прозрачный контроль согласия (TCC) используется для защиты пользовательских файлов в защищенных каталогах. RansomWhere? - это устаревший инструмент для общего обнаружения действий Turtle Ransomware.
Хотя на данный момент эта вредоносная программа не представляет серьезной угрозы для пользователей macOS, она доказывает, что авторы вымогательских программ продолжают атаковать эту платформу. Чтобы оставаться в безопасности, пользователям следует принять меры по защите своих систем и быть в курсе последних технологий анализа вредоносного ПО для Mac.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавно компания Austin оповестила сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS, и Apple внедрила различные средства защиты от атак вымогательского ПО. Пользователям следует принять меры по защите своих систем и знать о новейших методах анализа вредоносного ПО для Mac, чтобы оставаться в безопасности.
-----
Недавно Остин предупредил сообщество специалистов по безопасности о новом образце вымогательского ПО, нацеленного на macOS. 24 антивирусных системы отметили его как вредоносный и идентифицировали как Other:Malware-gen, Trojan.Generic или Possible Threat. Вредоносная программа была написана на языке Go и называлась TURTLERANS (она же Turtle Ransomware) или TurmiRansom. Процесс шифрования заключался в чтении файла в память, шифровании его с помощью AES (в режиме CTR), переименовании файла и последующей перезаписи оригинального содержимого зашифрованными данными. Он шифрует только файлы с расширениями .doc, .docx или .txt.
Apple реализовала несколько мер защиты от атак вымогателей. Защита целостности системы (SIP) и системные тома, доступные только для чтения, предназначены для защиты файлов уровня ОС, а прозрачный контроль согласия (TCC) используется для защиты пользовательских файлов в защищенных каталогах. RansomWhere? - это устаревший инструмент для общего обнаружения действий Turtle Ransomware.
Хотя на данный момент эта вредоносная программа не представляет серьезной угрозы для пользователей macOS, она доказывает, что авторы вымогательских программ продолжают атаковать эту платформу. Чтобы оставаться в безопасности, пользователям следует принять меры по защите своих систем и быть в курсе последних технологий анализа вредоносного ПО для Mac.
#ParsedReport #CompletenessLow
05-12-2023
Crypto Deception Unveiled: Check Point Research Reports Manipulation of Pool Liquidity Skyrockets Token Price by 22,000%.
https://research.checkpoint.com/2023/crypto-deception-unveiled-check-point-research-reports-manipulation-of-pool-liquidity-skyrockets-token-price-by-22000
Report completeness: Low
Victims:
Token holders
Industry:
Financial
IOCs:
Coin: 5
Crypto:
ethereum
Languages:
swift
Platforms:
intel
05-12-2023
Crypto Deception Unveiled: Check Point Research Reports Manipulation of Pool Liquidity Skyrockets Token Price by 22,000%.
https://research.checkpoint.com/2023/crypto-deception-unveiled-check-point-research-reports-manipulation-of-pool-liquidity-skyrockets-token-price-by-22000
Report completeness: Low
Victims:
Token holders
Industry:
Financial
IOCs:
Coin: 5
Crypto:
ethereum
Languages:
swift
Platforms:
intel
Check Point Research
Crypto Deception Unveiled: Check Point Research Reports Manipulation of Pool Liquidity Skyrockets Token Price by 22,000%. - Check…
By Oded Vanunu, Dikla Barda, Roman Zaikin Unmasking Deceptive Tactics: A recent investigation by Check Point Research exposes a troubling trend in the cryptocurrency landscape. Deceptive actors are manipulating pool liquidity, sending token prices soaring…
CTT Report Hub
#ParsedReport #CompletenessLow 05-12-2023 Crypto Deception Unveiled: Check Point Research Reports Manipulation of Pool Liquidity Skyrockets Token Price by 22,000%. https://research.checkpoint.com/2023/crypto-deception-unveiled-check-point-research-reports…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавнее ограбление на $80 000 в сфере децентрализованных финансов подчеркивает уязвимость пулов ликвидности перед сложными схемами манипулирования и важность бдительности в криптовалютном пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька мошенника, и предоставляет информацию, чтобы помочь инвесторам безопасно ориентироваться в криптовалютном пространстве.
-----
Становится все более очевидным, что децентрализованное финансовое пространство уязвимо для сложных схем манипулирования. Недавно было раскрыто ограбление на сумму 80 000 долларов, в ходе которого мошенник использовал пул ликвидности для кражи у ничего не подозревающих держателей токенов. Это произошло после того, как была раскрыта еще одна афера на миллион долларов, в которой использовалась поддельная фабрика токенов.
Мошенник, стоящий за этим последним инцидентом, разместил контрактный токен WIZ и связанный с ним адрес пары пула ликвидности. Затем мошенник создал вредоносный контракт, содержащий бэкдор, который позволил ему манипулировать ценой токена WIZ и украсть $80 000.
Эта схема манипулирования подчеркивает восприимчивость пулов ликвидности к мошенническим действиям. Мошенники смогли использовать бэкдоры и эксплойты для манипулирования ценами на токены, что подчеркивает важность бдительности в децентрализованном финансовом пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька выявленного мошенника, а также аналогичные случаи. С помощью своей блокчейн-системы Threat Intel они накапливают ценную информацию о возникающих угрозах, и эти данные будут переданы инвесторам, чтобы помочь им безопасно ориентироваться в криптовалютном пространстве и защитить себя от потенциальных ловушек.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавнее ограбление на $80 000 в сфере децентрализованных финансов подчеркивает уязвимость пулов ликвидности перед сложными схемами манипулирования и важность бдительности в криптовалютном пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька мошенника, и предоставляет информацию, чтобы помочь инвесторам безопасно ориентироваться в криптовалютном пространстве.
-----
Становится все более очевидным, что децентрализованное финансовое пространство уязвимо для сложных схем манипулирования. Недавно было раскрыто ограбление на сумму 80 000 долларов, в ходе которого мошенник использовал пул ликвидности для кражи у ничего не подозревающих держателей токенов. Это произошло после того, как была раскрыта еще одна афера на миллион долларов, в которой использовалась поддельная фабрика токенов.
Мошенник, стоящий за этим последним инцидентом, разместил контрактный токен WIZ и связанный с ним адрес пары пула ликвидности. Затем мошенник создал вредоносный контракт, содержащий бэкдор, который позволил ему манипулировать ценой токена WIZ и украсть $80 000.
Эта схема манипулирования подчеркивает восприимчивость пулов ликвидности к мошенническим действиям. Мошенники смогли использовать бэкдоры и эксплойты для манипулирования ценами на токены, что подчеркивает важность бдительности в децентрализованном финансовом пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька выявленного мошенника, а также аналогичные случаи. С помощью своей блокчейн-системы Threat Intel они накапливают ценную информацию о возникающих угрозах, и эти данные будут переданы инвесторам, чтобы помочь им безопасно ориентироваться в криптовалютном пространстве и защитить себя от потенциальных ловушек.
#ParsedReport #CompletenessLow
05-12-2023
BlueNoroff: new Trojan attacking macOS users
https://securelist.com/bluenoroff-new-macos-malware/111290
Report completeness: Low
Actors/Campaigns:
Bluenoroff (motivation: cyber_criminal)
Threats:
Rustbucket
Applescript
Industry:
Financial
IOCs:
Hash: 9
Url: 3
Soft:
macOS
Algorithms:
xor, zip
Languages:
swift
Platforms:
apple, intel
05-12-2023
BlueNoroff: new Trojan attacking macOS users
https://securelist.com/bluenoroff-new-macos-malware/111290
Report completeness: Low
Actors/Campaigns:
Bluenoroff (motivation: cyber_criminal)
Threats:
Rustbucket
Applescript
Industry:
Financial
IOCs:
Hash: 9
Url: 3
Soft:
macOS
Algorithms:
xor, zip
Languages:
swift
Platforms:
apple, intel
Securelist
New BlueNoroff loader for macOS
BlueNoroff has been attacking macOS users with a new loader that delivers unknown malware to the system.
CTT Report Hub
#ParsedReport #CompletenessLow 05-12-2023 BlueNoroff: new Trojan attacking macOS users https://securelist.com/bluenoroff-new-macos-malware/111290 Report completeness: Low Actors/Campaigns: Bluenoroff (motivation: cyber_criminal) Threats: Rustbucket Applescript…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Обнаружен новый вариант вредоносного загрузчика, предположительно связанный с APT-кампанией RustBucket. Загрузчик написан на языке Swift и называется EdoneViewer. Он предназначен для сбора и отправки системной информации на C&C-сервер и может быть обнаружен большинством антивирусных решений.
-----
Недавно был обнаружен новый вариант вредоносного загрузчика, предположительно связанный с продолжающейся кампанией RustBucket, проводимой APT-бандой BlueNoroff. Угрожающие субъекты в первую очередь нацелены на финансовые организации и частных лиц с криптовалютными интересами.
Последний вредоносный загрузчик был обнаружен в ZIP-архиве, содержащем PDF-файл под названием "Криптоактивы и их риски для финансовой стабильности". Судя по метаданным из архива, приложение было создано 21 октября 2023 года. Вредоносный загрузчик написан на языке Swift и называется EdoneViewer. Это файл универсального формата, содержащий версии для кремниевых чипов Intel и Apple.
После выполнения загрузчик расшифровывает зашифрованную по XOR полезную нагрузку. Во время этого процесса загрузчик выводит на терминал несвязанные сообщения, пытаясь обмануть аналитиков. Расшифрованная полезная нагрузка имеет формат AppleScript, загружает PDF-файл, сохраняет его в определенном месте и открывает. Этот PDF-файл является доброкачественной приманкой. Затем полезная нагрузка отправляет POST-запрос на сервер и сохраняет ответ в скрытом файле с именем ".pw", расположенном в определенной директории. Файл .pw - это троянец, который собирает и отправляет системную информацию на C&C-сервер, расположенный по адресу hxxp://on-global.xyz. Данные отправляются циклически каждую минуту, но во время нашего анализа с сервера не поступало никаких команд, поэтому содержание следующего этапа атаки остается неизвестным.
К счастью, теперь троян обнаруживается большинством антивирусных решений. Важно, чтобы все пользователи знали об этом вредоносном загрузчике и его потенциальных последствиях, а также принимали меры предосторожности против него.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Обнаружен новый вариант вредоносного загрузчика, предположительно связанный с APT-кампанией RustBucket. Загрузчик написан на языке Swift и называется EdoneViewer. Он предназначен для сбора и отправки системной информации на C&C-сервер и может быть обнаружен большинством антивирусных решений.
-----
Недавно был обнаружен новый вариант вредоносного загрузчика, предположительно связанный с продолжающейся кампанией RustBucket, проводимой APT-бандой BlueNoroff. Угрожающие субъекты в первую очередь нацелены на финансовые организации и частных лиц с криптовалютными интересами.
Последний вредоносный загрузчик был обнаружен в ZIP-архиве, содержащем PDF-файл под названием "Криптоактивы и их риски для финансовой стабильности". Судя по метаданным из архива, приложение было создано 21 октября 2023 года. Вредоносный загрузчик написан на языке Swift и называется EdoneViewer. Это файл универсального формата, содержащий версии для кремниевых чипов Intel и Apple.
После выполнения загрузчик расшифровывает зашифрованную по XOR полезную нагрузку. Во время этого процесса загрузчик выводит на терминал несвязанные сообщения, пытаясь обмануть аналитиков. Расшифрованная полезная нагрузка имеет формат AppleScript, загружает PDF-файл, сохраняет его в определенном месте и открывает. Этот PDF-файл является доброкачественной приманкой. Затем полезная нагрузка отправляет POST-запрос на сервер и сохраняет ответ в скрытом файле с именем ".pw", расположенном в определенной директории. Файл .pw - это троянец, который собирает и отправляет системную информацию на C&C-сервер, расположенный по адресу hxxp://on-global.xyz. Данные отправляются циклически каждую минуту, но во время нашего анализа с сервера не поступало никаких команд, поэтому содержание следующего этапа атаки остается неизвестным.
К счастью, теперь троян обнаруживается большинством антивирусных решений. Важно, чтобы все пользователи знали об этом вредоносном загрузчике и его потенциальных последствиях, а также принимали меры предосторожности против него.
#ParsedReport #CompletenessMedium
05-12-2023
TA422 s Dedicated Exploitation Loop - the Same Week After Week
https://www.proofpoint.com/us/blog/threat-insight/ta422s-dedicated-exploitation-loop-same-week-after-week
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Forest_blizzard
Threats:
Beacon
Victims:
Government, aerospace, education, finance, manufacturing, and technology sector targets
Industry:
Education, Financial, Aerospace, Military, Government
Geo:
Israeli, America, Ukrainian, Russian, Palestinian
CVEs:
CVE-2023-32231 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- vasion printerlogic client (<25.0.0.818)
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
IOCs:
Domain: 6
File: 3
Url: 1
Hash: 17
Soft:
Microsoft Outlook, Mockbin, InfinityFree, Outlook
Algorithms:
sha256, zip, base64
Languages:
powershell, php
05-12-2023
TA422 s Dedicated Exploitation Loop - the Same Week After Week
https://www.proofpoint.com/us/blog/threat-insight/ta422s-dedicated-exploitation-loop-same-week-after-week
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Forest_blizzard
Threats:
Beacon
Victims:
Government, aerospace, education, finance, manufacturing, and technology sector targets
Industry:
Education, Financial, Aerospace, Military, Government
Geo:
Israeli, America, Ukrainian, Russian, Palestinian
CVEs:
CVE-2023-32231 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- vasion printerlogic client (<25.0.0.818)
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
IOCs:
Domain: 6
File: 3
Url: 1
Hash: 17
Soft:
Microsoft Outlook, Mockbin, InfinityFree, Outlook
Algorithms:
sha256, zip, base64
Languages:
powershell, php
Proofpoint
TA422’s Dedicated Exploitation Loop—the Same Week After Week | Proofpoint US
Key takeaways Since March 2023, Proofpoint researchers have observed regular TA422 (APT28) phishing activity, in which the threat actor leveraged patched vulnerabilities to send, at
CTT Report Hub
#ParsedReport #CompletenessMedium 05-12-2023 TA422 s Dedicated Exploitation Loop - the Same Week After Week https://www.proofpoint.com/us/blog/threat-insight/ta422s-dedicated-exploitation-loop-same-week-after-week Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: TA422 - вредоносный агент, который с марта 2023 года активно атакует различные отрасли промышленности, используя исправленные уязвимости CVE-2023-22397 и CVE-2023-38831, а также используя Mockbin и InfinityFree для перенаправления URL. Организациям важно постоянно обновлять и исправлять свои системы, чтобы предотвратить возможные вредоносные действия со стороны TA422 или других угроз.
-----
Самые важные факты из текста:.
TA422 - это вредоносный агент, который с марта 2023 года активно атакует предприятия правительственного, аэрокосмического, образовательного, финансового, производственного и технологического секторов.
Угрожающий агент использовал такие исправленные уязвимости, как CVE-2023-22397 и CVE-2023-38831, чтобы получить первоначальный доступ к этим целям.
TA422 использовал Mockbin и InfinityFree для перенаправления URL-адресов, чтобы заманить жертв на вредоносные ссылки.
Исследователи Proofpoint полагают, что TA422 продолжит использовать эти исправленные уязвимости в надежде эксплуатировать уязвимые цели.
Организациям важно постоянно обновлять и исправлять свои системы, чтобы предотвратить возможные вредоносные действия со стороны TA422 или других субъектов угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: TA422 - вредоносный агент, который с марта 2023 года активно атакует различные отрасли промышленности, используя исправленные уязвимости CVE-2023-22397 и CVE-2023-38831, а также используя Mockbin и InfinityFree для перенаправления URL. Организациям важно постоянно обновлять и исправлять свои системы, чтобы предотвратить возможные вредоносные действия со стороны TA422 или других угроз.
-----
Самые важные факты из текста:.
TA422 - это вредоносный агент, который с марта 2023 года активно атакует предприятия правительственного, аэрокосмического, образовательного, финансового, производственного и технологического секторов.
Угрожающий агент использовал такие исправленные уязвимости, как CVE-2023-22397 и CVE-2023-38831, чтобы получить первоначальный доступ к этим целям.
TA422 использовал Mockbin и InfinityFree для перенаправления URL-адресов, чтобы заманить жертв на вредоносные ссылки.
Исследователи Proofpoint полагают, что TA422 продолжит использовать эти исправленные уязвимости в надежде эксплуатировать уязвимые цели.
Организациям важно постоянно обновлять и исправлять свои системы, чтобы предотвратить возможные вредоносные действия со стороны TA422 или других субъектов угроз.
Obfuscation and AI Content in the Russian Influence Network “Doppelgänger” Signals Evolving Tactics
https://go.recordedfuture.com/hubfs/reports/ta-2023-1205.pdf
https://go.recordedfuture.com/hubfs/reports/ta-2023-1205.pdf
#ParsedReport #CompletenessLow
06-12-2023
New macOS Trojan-Proxy piggybacking on cracked software
https://securelist.com/trojan-proxy-for-macos/111325
Report completeness: Low
Threats:
Trojan-proxy
Victims:
Users looking for a cracked app, websites, companies and individuals
ChatGPT TTPs:
T1366.001, T1018, T1560, T1490.002
IOCs:
Hash: 45
Domain: 1
File: 32
Soft:
macOS, Android
Algorithms:
md5
Platforms:
apple
06-12-2023
New macOS Trojan-Proxy piggybacking on cracked software
https://securelist.com/trojan-proxy-for-macos/111325
Report completeness: Low
Threats:
Trojan-proxy
Victims:
Users looking for a cracked app, websites, companies and individuals
ChatGPT TTPs:
do not use without manual checkT1366.001, T1018, T1560, T1490.002
IOCs:
Hash: 45
Domain: 1
File: 32
Soft:
macOS, Android
Algorithms:
md5
Platforms:
apple
Securelist
Analysis of a new macOS Trojan-Proxy
A new macOS Trojan-Proxy is riding on cracked versions of legitimate software; it relies on DNS-over-HTTPS to obtain a C&C (command and control) address.
CTT Report Hub
#ParsedReport #CompletenessLow 06-12-2023 New macOS Trojan-Proxy piggybacking on cracked software https://securelist.com/trojan-proxy-for-macos/111325 Report completeness: Low Threats: Trojan-proxy Victims: Users looking for a cracked app, websites, companies…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: С помощью взломанного программного обеспечения на устройства жертв проникают вредоносные программы, которые могут использоваться в злонамеренных целях, например для создания прокси-серверов или совершения преступных действий. Важно знать об опасностях, связанных с загрузкой нелегального программного обеспечения, и принимать необходимые меры предосторожности, чтобы защитить себя.
-----
Незаконно распространяемое программное обеспечение уже давно используется для проноса вредоносных программ на устройства жертв, поскольку пользователи иногда готовы загружать взломанные приложения с сомнительных сайтов, чтобы получить необходимые инструменты, не платя за них. Недавно в нескольких взломанных приложениях был обнаружен троянец-прокси, который может быть использован злоумышленниками для получения прибыли путем создания сети прокси-серверов или для совершения преступных действий.
Троянец-прокси, известный как WindowServer, представляет собой бинарный файл универсального формата, который был загружен на VirusTotal, но не был отмечен как вредоносный ни одним производителем антивирусного ПО. Он пытается получить IP-адрес C&C-сервера с помощью DNS-over-HTTPS (DoH), чтобы скрыть запрос от мониторинга трафика. Были обнаружены различные версии троянца, причем последняя версия не имеет обновления или проверки версии. Все версии пишут логи в log.txt и dbg.dmp, не очищая их после завершения работы и не предоставляя операторам никаких средств для их анализа.
Кроме того, были обнаружены другие образцы для Android и Windows, подключающиеся к тому же C&C-серверу, которые также скрываются во взломанном ПО и выступают в роли троянцев-прокси. Они могут использоваться для тех же целей, что и WindowServer, например для получения денег или совершения преступных действий. В конечном счете, важно знать об опасностях, связанных с загрузкой нелегального программного обеспечения, и принимать необходимые меры предосторожности, чтобы защитить себя от этих угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: С помощью взломанного программного обеспечения на устройства жертв проникают вредоносные программы, которые могут использоваться в злонамеренных целях, например для создания прокси-серверов или совершения преступных действий. Важно знать об опасностях, связанных с загрузкой нелегального программного обеспечения, и принимать необходимые меры предосторожности, чтобы защитить себя.
-----
Незаконно распространяемое программное обеспечение уже давно используется для проноса вредоносных программ на устройства жертв, поскольку пользователи иногда готовы загружать взломанные приложения с сомнительных сайтов, чтобы получить необходимые инструменты, не платя за них. Недавно в нескольких взломанных приложениях был обнаружен троянец-прокси, который может быть использован злоумышленниками для получения прибыли путем создания сети прокси-серверов или для совершения преступных действий.
Троянец-прокси, известный как WindowServer, представляет собой бинарный файл универсального формата, который был загружен на VirusTotal, но не был отмечен как вредоносный ни одним производителем антивирусного ПО. Он пытается получить IP-адрес C&C-сервера с помощью DNS-over-HTTPS (DoH), чтобы скрыть запрос от мониторинга трафика. Были обнаружены различные версии троянца, причем последняя версия не имеет обновления или проверки версии. Все версии пишут логи в log.txt и dbg.dmp, не очищая их после завершения работы и не предоставляя операторам никаких средств для их анализа.
Кроме того, были обнаружены другие образцы для Android и Windows, подключающиеся к тому же C&C-серверу, которые также скрываются во взломанном ПО и выступают в роли троянцев-прокси. Они могут использоваться для тех же целей, что и WindowServer, например для получения денег или совершения преступных действий. В конечном счете, важно знать об опасностях, связанных с загрузкой нелегального программного обеспечения, и принимать необходимые меры предосторожности, чтобы защитить себя от этих угроз.
#ParsedReport #CompletenessLow
06-12-2023
Distribution of phishing emails disguised as content related to personal information leakage (Konni)
https://asec.ahnlab.com/ko/59625
Report completeness: Low
Actors/Campaigns:
Kimsuky
IOCs:
File: 5
Path: 1
Hash: 6
Url: 1
Soft:
task scheduler
Algorithms:
md5
Languages:
powershell
06-12-2023
Distribution of phishing emails disguised as content related to personal information leakage (Konni)
https://asec.ahnlab.com/ko/59625
Report completeness: Low
Actors/Campaigns:
Kimsuky
IOCs:
File: 5
Path: 1
Hash: 6
Url: 1
Soft:
task scheduler
Algorithms:
md5
Languages:
powershell
ASEC BLOG
개인정보 유출 관련 내용으로 위장한 피싱 메일 유포 (Konni) - ASEC BLOG
AhnLab Security Emergency response Center(ASEC)은 최근 Konni 공격 그룹에 의해 개인정보 유출 관련 자료를 위장한 악성 exe 파일이 개인을 대상으로 유포되고 있음을 확인하였다. C2가 닫혀있어 최종 행위는 확인하지 못하였지만 공격자에게 난독화된 명령을 받아 xml 형식으로 실행하는 백도어형 악성코드이다. 악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다.…
CTT Report Hub
#ParsedReport #CompletenessLow 06-12-2023 Distribution of phishing emails disguised as content related to personal information leakage (Konni) https://asec.ahnlab.com/ko/59625 Report completeness: Low Actors/Campaigns: Kimsuky IOCs: File: 5 Path: 1 Hash:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) подтвердил факт распространения вредоносного exe-файла атакующей группой Konni, замаскированного под данные, связанные с утечкой личной информации. Этот вредоносный exe-файл способен выполнять различные дополнительные атаки в зависимости от инструкций злоумышленника. Для предотвращения заражения пользователям следует помнить о рисках, связанных с открытием файлов из ненадежных источников, и воздерживаться от этого, а также установить актуальное антивирусное программное обеспечение.
-----
Центр реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) недавно подтвердил, что вредоносные exe-файлы распространяются группой атак Konni, маскируясь под данные, связанные с утечкой личной информации. После выполнения вредоносный exe-файл создает планировщик задач, запускающий файл WindowsHotfixUpdate.jse, который получает команды от C2-сервера злоумышленника. Эти команды обфусцированы, но jse-файл с именем Lomd02.png расшифровывает их и загружает в формате xml. В результате вредоносный exe-файл способен выполнять различные дополнительные атаки в зависимости от инструкций злоумышленника.
Из-за особенностей этого типа вредоносных программ обычным пользователям сложно обнаружить заражение, поскольку вредоносный exe-файл обычно поставляется вместе с файлом документа-приманки. Поэтому следует проявлять осторожность при получении вложений из неизвестных источников.
Хотя точное действие вредоносного exe-файла невозможно подтвердить из-за закрытого сервера C2, предполагается, что это вредоносная программа типа "бэкдор", то есть злоумышленник может получить доступ к зараженному устройству и взять его под контроль. Он также может быть использован для шпионажа за жертвой, кражи конфиденциальных данных или проведения дальнейших атак. Чтобы предотвратить заражение, пользователи должны знать о рисках, связанных с открытием файлов из ненадежных источников, и воздерживаться от этого. Кроме того, необходимо установить актуальное антивирусное программное обеспечение, которое позволит обнаружить любую вредоносную активность на устройстве.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) подтвердил факт распространения вредоносного exe-файла атакующей группой Konni, замаскированного под данные, связанные с утечкой личной информации. Этот вредоносный exe-файл способен выполнять различные дополнительные атаки в зависимости от инструкций злоумышленника. Для предотвращения заражения пользователям следует помнить о рисках, связанных с открытием файлов из ненадежных источников, и воздерживаться от этого, а также установить актуальное антивирусное программное обеспечение.
-----
Центр реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) недавно подтвердил, что вредоносные exe-файлы распространяются группой атак Konni, маскируясь под данные, связанные с утечкой личной информации. После выполнения вредоносный exe-файл создает планировщик задач, запускающий файл WindowsHotfixUpdate.jse, который получает команды от C2-сервера злоумышленника. Эти команды обфусцированы, но jse-файл с именем Lomd02.png расшифровывает их и загружает в формате xml. В результате вредоносный exe-файл способен выполнять различные дополнительные атаки в зависимости от инструкций злоумышленника.
Из-за особенностей этого типа вредоносных программ обычным пользователям сложно обнаружить заражение, поскольку вредоносный exe-файл обычно поставляется вместе с файлом документа-приманки. Поэтому следует проявлять осторожность при получении вложений из неизвестных источников.
Хотя точное действие вредоносного exe-файла невозможно подтвердить из-за закрытого сервера C2, предполагается, что это вредоносная программа типа "бэкдор", то есть злоумышленник может получить доступ к зараженному устройству и взять его под контроль. Он также может быть использован для шпионажа за жертвой, кражи конфиденциальных данных или проведения дальнейших атак. Чтобы предотвратить заражение, пользователи должны знать о рисках, связанных с открытием файлов из ненадежных источников, и воздерживаться от этого. Кроме того, необходимо установить актуальное антивирусное программное обеспечение, которое позволит обнаружить любую вредоносную активность на устройстве.
#ParsedReport #CompletenessMedium
06-12-2023
Recent DarkGate Activity & Trends
https://www.zscaler.com/blogs/security-research/recent-darkgate-activity-trends
Report completeness: Medium
Actors/Campaigns:
Shathak
Threats:
Darkgate
Qakbot
Victims:
Technology sector
Industry:
Foodtech
TTPs:
Tactics: 7
Technics: 16
IOCs:
File: 7
Hash: 21
Domain: 72
IP: 10
Algorithms:
zip
Languages:
autoit
06-12-2023
Recent DarkGate Activity & Trends
https://www.zscaler.com/blogs/security-research/recent-darkgate-activity-trends
Report completeness: Medium
Actors/Campaigns:
Shathak
Threats:
Darkgate
Qakbot
Victims:
Technology sector
Industry:
Foodtech
TTPs:
Tactics: 7
Technics: 16
IOCs:
File: 7
Hash: 21
Domain: 72
IP: 10
Algorithms:
zip
Languages:
autoit
Zscaler
Recent DarkGate Activity & Trends | Zscaler
Learn about DarkGate global activity and trends between June 2023 and October 2023