#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавнее ограбление на $80 000 в сфере децентрализованных финансов подчеркивает уязвимость пулов ликвидности перед сложными схемами манипулирования и важность бдительности в криптовалютном пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька мошенника, и предоставляет информацию, чтобы помочь инвесторам безопасно ориентироваться в криптовалютном пространстве.
-----

Становится все более очевидным, что децентрализованное финансовое пространство уязвимо для сложных схем манипулирования. Недавно было раскрыто ограбление на сумму 80 000 долларов, в ходе которого мошенник использовал пул ликвидности для кражи у ничего не подозревающих держателей токенов. Это произошло после того, как была раскрыта еще одна афера на миллион долларов, в которой использовалась поддельная фабрика токенов.

Мошенник, стоящий за этим последним инцидентом, разместил контрактный токен WIZ и связанный с ним адрес пары пула ликвидности. Затем мошенник создал вредоносный контракт, содержащий бэкдор, который позволил ему манипулировать ценой токена WIZ и украсть $80 000.

Эта схема манипулирования подчеркивает восприимчивость пулов ликвидности к мошенническим действиям. Мошенники смогли использовать бэкдоры и эксплойты для манипулирования ценами на токены, что подчеркивает важность бдительности в децентрализованном финансовом пространстве. Check Point Research активно отслеживает домены, связанные с адресом кошелька выявленного мошенника, а также аналогичные случаи. С помощью своей блокчейн-системы Threat Intel они накапливают ценную информацию о возникающих угрозах, и эти данные будут переданы инвесторам, чтобы помочь им безопасно ориентироваться в криптовалютном пространстве и защитить себя от потенциальных ловушек.

#ParsedReport #CompletenessLow
05-12-2023

BlueNoroff: new Trojan attacking macOS users

https://securelist.com/bluenoroff-new-macos-malware/111290

Report completeness: Low

Actors/Campaigns:
Bluenoroff (motivation: cyber_criminal)

Threats:
Rustbucket
Applescript

Industry:
Financial

IOCs:
Hash: 9
Url: 3

Soft:
macOS

Algorithms:
xor, zip

Languages:
swift

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Обнаружен новый вариант вредоносного загрузчика, предположительно связанный с APT-кампанией RustBucket. Загрузчик написан на языке Swift и называется EdoneViewer. Он предназначен для сбора и отправки системной информации на C&C-сервер и может быть обнаружен большинством антивирусных решений.
-----

Недавно был обнаружен новый вариант вредоносного загрузчика, предположительно связанный с продолжающейся кампанией RustBucket, проводимой APT-бандой BlueNoroff. Угрожающие субъекты в первую очередь нацелены на финансовые организации и частных лиц с криптовалютными интересами.

Последний вредоносный загрузчик был обнаружен в ZIP-архиве, содержащем PDF-файл под названием "Криптоактивы и их риски для финансовой стабильности". Судя по метаданным из архива, приложение было создано 21 октября 2023 года. Вредоносный загрузчик написан на языке Swift и называется EdoneViewer. Это файл универсального формата, содержащий версии для кремниевых чипов Intel и Apple.

После выполнения загрузчик расшифровывает зашифрованную по XOR полезную нагрузку. Во время этого процесса загрузчик выводит на терминал несвязанные сообщения, пытаясь обмануть аналитиков. Расшифрованная полезная нагрузка имеет формат AppleScript, загружает PDF-файл, сохраняет его в определенном месте и открывает. Этот PDF-файл является доброкачественной приманкой. Затем полезная нагрузка отправляет POST-запрос на сервер и сохраняет ответ в скрытом файле с именем ".pw", расположенном в определенной директории. Файл .pw - это троянец, который собирает и отправляет системную информацию на C&C-сервер, расположенный по адресу hxxp://on-global.xyz. Данные отправляются циклически каждую минуту, но во время нашего анализа с сервера не поступало никаких команд, поэтому содержание следующего этапа атаки остается неизвестным.

К счастью, теперь троян обнаруживается большинством антивирусных решений. Важно, чтобы все пользователи знали об этом вредоносном загрузчике и его потенциальных последствиях, а также принимали меры предосторожности против него.

#ParsedReport #CompletenessMedium
05-12-2023

TA422 s Dedicated Exploitation Loop - the Same Week After Week

https://www.proofpoint.com/us/blog/threat-insight/ta422s-dedicated-exploitation-loop-same-week-after-week

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Forest_blizzard

Threats:
Beacon

Victims:
Government, aerospace, education, finance, manufacturing, and technology sector targets

Industry:
Education, Financial, Aerospace, Military, Government

Geo:
Israeli, America, Ukrainian, Russian, Palestinian

CVEs:
CVE-2023-32231 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- vasion printerlogic client (<25.0.0.818)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


IOCs:
Domain: 6
File: 3
Url: 1
Hash: 17

Soft:
Microsoft Outlook, Mockbin, InfinityFree, Outlook

Algorithms:
sha256, zip, base64

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA422 - вредоносный агент, который с марта 2023 года активно атакует различные отрасли промышленности, используя исправленные уязвимости CVE-2023-22397 и CVE-2023-38831, а также используя Mockbin и InfinityFree для перенаправления URL. Организациям важно постоянно обновлять и исправлять свои системы, чтобы предотвратить возможные вредоносные действия со стороны TA422 или других угроз.
-----

Самые важные факты из текста:.

TA422 - это вредоносный агент, который с марта 2023 года активно атакует предприятия правительственного, аэрокосмического, образовательного, финансового, производственного и технологического секторов.

Угрожающий агент использовал такие исправленные уязвимости, как CVE-2023-22397 и CVE-2023-38831, чтобы получить первоначальный доступ к этим целям.

TA422 использовал Mockbin и InfinityFree для перенаправления URL-адресов, чтобы заманить жертв на вредоносные ссылки.

Исследователи Proofpoint полагают, что TA422 продолжит использовать эти исправленные уязвимости в надежде эксплуатировать уязвимые цели.

Организациям важно постоянно обновлять и исправлять свои системы, чтобы предотвратить возможные вредоносные действия со стороны TA422 или других субъектов угроз.

Obfuscation and AI Content in the Russian Influence Network “Doppelgänger” Signals Evolving Tactics

https://go.recordedfuture.com/hubfs/reports/ta-2023-1205.pdf

#ParsedReport #CompletenessLow
06-12-2023

New macOS Trojan-Proxy piggybacking on cracked software

https://securelist.com/trojan-proxy-for-macos/111325

Report completeness: Low

Threats:
Trojan-proxy

Victims:
Users looking for a cracked app, websites, companies and individuals

ChatGPT TTPs:
do not use without manual check
T1366.001, T1018, T1560, T1490.002

IOCs:
Hash: 45
Domain: 1
File: 32

Soft:
macOS, Android

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С помощью взломанного программного обеспечения на устройства жертв проникают вредоносные программы, которые могут использоваться в злонамеренных целях, например для создания прокси-серверов или совершения преступных действий. Важно знать об опасностях, связанных с загрузкой нелегального программного обеспечения, и принимать необходимые меры предосторожности, чтобы защитить себя.
-----

Незаконно распространяемое программное обеспечение уже давно используется для проноса вредоносных программ на устройства жертв, поскольку пользователи иногда готовы загружать взломанные приложения с сомнительных сайтов, чтобы получить необходимые инструменты, не платя за них. Недавно в нескольких взломанных приложениях был обнаружен троянец-прокси, который может быть использован злоумышленниками для получения прибыли путем создания сети прокси-серверов или для совершения преступных действий.

Троянец-прокси, известный как WindowServer, представляет собой бинарный файл универсального формата, который был загружен на VirusTotal, но не был отмечен как вредоносный ни одним производителем антивирусного ПО. Он пытается получить IP-адрес C&C-сервера с помощью DNS-over-HTTPS (DoH), чтобы скрыть запрос от мониторинга трафика. Были обнаружены различные версии троянца, причем последняя версия не имеет обновления или проверки версии. Все версии пишут логи в log.txt и dbg.dmp, не очищая их после завершения работы и не предоставляя операторам никаких средств для их анализа.

Кроме того, были обнаружены другие образцы для Android и Windows, подключающиеся к тому же C&C-серверу, которые также скрываются во взломанном ПО и выступают в роли троянцев-прокси. Они могут использоваться для тех же целей, что и WindowServer, например для получения денег или совершения преступных действий. В конечном счете, важно знать об опасностях, связанных с загрузкой нелегального программного обеспечения, и принимать необходимые меры предосторожности, чтобы защитить себя от этих угроз.

#ParsedReport #CompletenessLow
06-12-2023

Distribution of phishing emails disguised as content related to personal information leakage (Konni)

https://asec.ahnlab.com/ko/59625

Report completeness: Low

Actors/Campaigns:
Kimsuky

IOCs:
File: 5
Path: 1
Hash: 6
Url: 1

Soft:
task scheduler

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) подтвердил факт распространения вредоносного exe-файла атакующей группой Konni, замаскированного под данные, связанные с утечкой личной информации. Этот вредоносный exe-файл способен выполнять различные дополнительные атаки в зависимости от инструкций злоумышленника. Для предотвращения заражения пользователям следует помнить о рисках, связанных с открытием файлов из ненадежных источников, и воздерживаться от этого, а также установить актуальное антивирусное программное обеспечение.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) недавно подтвердил, что вредоносные exe-файлы распространяются группой атак Konni, маскируясь под данные, связанные с утечкой личной информации. После выполнения вредоносный exe-файл создает планировщик задач, запускающий файл WindowsHotfixUpdate.jse, который получает команды от C2-сервера злоумышленника. Эти команды обфусцированы, но jse-файл с именем Lomd02.png расшифровывает их и загружает в формате xml. В результате вредоносный exe-файл способен выполнять различные дополнительные атаки в зависимости от инструкций злоумышленника.

Из-за особенностей этого типа вредоносных программ обычным пользователям сложно обнаружить заражение, поскольку вредоносный exe-файл обычно поставляется вместе с файлом документа-приманки. Поэтому следует проявлять осторожность при получении вложений из неизвестных источников.

Хотя точное действие вредоносного exe-файла невозможно подтвердить из-за закрытого сервера C2, предполагается, что это вредоносная программа типа "бэкдор", то есть злоумышленник может получить доступ к зараженному устройству и взять его под контроль. Он также может быть использован для шпионажа за жертвой, кражи конфиденциальных данных или проведения дальнейших атак. Чтобы предотвратить заражение, пользователи должны знать о рисках, связанных с открытием файлов из ненадежных источников, и воздерживаться от этого. Кроме того, необходимо установить актуальное антивирусное программное обеспечение, которое позволит обнаружить любую вредоносную активность на устройстве.

#ParsedReport #CompletenessMedium
06-12-2023

Recent DarkGate Activity & Trends

https://www.zscaler.com/blogs/security-research/recent-darkgate-activity-trends

Report completeness: Medium

Actors/Campaigns:
Shathak

Threats:
Darkgate
Qakbot

Victims:
Technology sector

Industry:
Foodtech

TTPs:
Tactics: 7
Technics: 16

IOCs:
File: 7
Hash: 21
Domain: 72
IP: 10

Algorithms:
zip

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
07-12-2023

IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a

Report completeness: Medium

Actors/Campaigns:
Irgc
0ktapus
Cyberav3nger
Cyber_avengers
Cyber_av3ngers
Soldiers_of_solomon

Threats:
Rhysida
Crucio

Industry:
Energy, Foodtech, Government, Healthcare, Transport, Military

Geo:
Iranian, Israeli, Israel, Iran

TTPs:
Tactics: 1
Technics: 1

IOCs:
Hash: 3
IP: 2

Soft:
Telegram

Algorithms:
sha256, md5, sha1

Links:
https://github.com/cisagov/Decider/

#ParsedReport #CompletenessLow
07-12-2023

DarkGate Rises: New version of DarkGate malware hunts like a Duck but bites like a RAT

https://labs.withsecure.com/publications/darkgate-rises.html

Report completeness: Low

Threats:
Darkgate
Process_injection_technique
Ducktail_stealer
Seo_poisoning_technique
Anydesk_tool
Usb_rubber_ducky_tool
Cobalt_strike
Credential_stealing_technique
Hiddenvnc_tool
Motw_bypass_technique
Havoc
Poshc2_tool
Dll_injection_technique
Process_hacker_tool

ChatGPT TTPs:
do not use without manual check
T1055.001, T1140, T1543.003, T1562.002, T1596.001, T1599.001, T1599.003, T1620, T1626.001, T1636.004, have more...

IOCs:
Path: 1
File: 1

Soft:
curl, Pidgin, PSExec, Internet Explorer, Telegram

Algorithms:
zip

Win API:
VirtualProtect, CreateToolhelp32Snapshot, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, LoadLibraryA

Languages:
delphi, autoit

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection/blob/master/inject/src/LoadLibraryR.c#L210-L222

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа обнаружения и реагирования WithSecure (DRT) использовала многоуровневый подход для обнаружения сложной, многоступенчатой угрозы новой версии DarkGate, которая оказалась гораздо более изощренной, чем другие примеры. DarkGate обладает всеми необходимыми условиями для долгосрочного удаленного доступа к взломанному узлу и может привести к доминированию в домене, если ее не обнаружить.
-----

4 августа 2023 года команда обнаружения и реагирования WithSecure (DRT) получила предупреждение об инъекции поддельного процесса с необычными характеристиками памяти на хосте, принадлежащем клиенту WithSecure Countercept MDR. После некоторого расследования DRT определила, что вредоносная программа не была ранее замечена на других клиентах. Это конкретное вредоносное ПО имело сходство с известным похитителем информации DUCKTAIL, однако оно оказалось гораздо более сложным, чем другие примеры.

Последующие расследования показали, что эта вредоносная программа была новой версией DarkGate, продававшейся в то время на двух известных киберпреступных форумах. Вектор заражения был определен как фишинг через LinkedIn. Было установлено, что вредоносная программа использует скриптовый язык AutoIT3, позволяющий выполнять произвольные функции в любой DLL. Среди его возможностей - прокси-сервер SOCKS5, кража учетных данных, скрытый VNC и повышение привилегий.

DRT использовала многоуровневый подход для обнаружения сложной, многоступенчатой угрозы DarkGate, уделяя больше внимания поведению злоумышленника, чем простым атомарным индикаторам, таким как имена процессов или хэши файлов. Этот подход включал в себя изучение нескольких обнаружений, которые были особенно эффективны в данном случае, таких как наличие Mark of The Web (MoTW), который предоставляет полезные метаданные о вредоносном файле, включая URL-адрес происхождения и идентификатор зоны Internet Explorer. Также были рассмотрены такие методы, как SEO poisoning, которые могут быть использованы для точного отслеживания инфраструктуры злоумышленников и осуществления блокировки для упреждающей защиты сетей клиентов.

Кроме того, DRT изучила аномалии в памяти, по которым можно определить наличие отражающей загрузки - техника, часто используемая в "красных командах", но редко встречающаяся в товарных вредоносных программах, таких как DarkGate. Также была изучена активность curl, использовавшаяся для загрузки файла .au3. Выходя за пределы того, что представлено на первый взгляд, и оценивая сигнатурную информацию бинарного файла, можно было точно определить поведение загрузки полезной нагрузки в нескольких приманках и цепочках заражения.

DarkGate значительно отличается от обычных полезных нагрузок второго и третьего этапов, поскольку в первую очередь представляет собой RAT и содержит все необходимые условия для долгосрочного удаленного доступа к взломанному узлу. В отличие от DuckTail, он не предназначен специально для доступа к учетным данным браузера, а способен повышать привилегии, перемещаться в сторону и, в конечном счете, занимать доминирующее положение в домене, если его не обнаружат. С тех пор отдел WithSecure MDR DRT ведет проактивный поиск угроз для обнаружения прошлых и текущих заражений DarkGate.