#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Sophos X-Ops предупреждает представителей гостиничного бизнеса о кампании по краже паролей, направленной на отели по всему миру с использованием социальной инженерии и вредоносной полезной нагрузки, которая обычно представляет собой разновидности Redline Stealer или Vidar Stealer. Отелям следует принять меры по защите от этой атаки и внедрить дополнительные меры безопасности.
-----

Sophos X-Ops предупреждает представителей гостиничного бизнеса о том, что кампания по краже паролей с помощью вредоносного ПО использует социальную инженерию для атак на отели по всему миру. Угрожающий агент рассылает электронные письма, выдавая их за жалобы на проблемы с обслуживанием или запросы информации, в надежде завоевать доверие получателя. После того как представитель отеля отвечает на первоначальный запрос, в ответ приходит вредоносная полезная нагрузка, замаскированная под документацию или доказательства и упакованная в защищенный паролем архивный файл.

Вредоносная полезная нагрузка обычно представляет собой сжатые архивы Zip или Rar, в которых используется список паролей. В письмах содержатся жалобы на то, что гости заразились различными заболеваниями, получили аллергическую реакцию на чистящие средства, отравились в отеле и т. д., а также просьбы о размещении или помощи гостям с ограниченной подвижностью или доступом к технике. Архивы составлены таким образом, чтобы затруднить сканирование или обнаружение вредоносного содержимого, а сама вредоносная программа обладает характеристиками, которые также помогают ей избежать немедленного обнаружения.

Большинство образцов представляют собой варианты Redline Stealer или Vidar Stealer. Код вредоносной программы прикрепляется к концу больших файлов с помощью команд перехода и подключается к URL-адресу в сервисе обмена зашифрованными сообщениями Telegram для управления. Он отправляет телеметрию на сервер C2, включая информацию об учетной записи и скриншоты рабочего стола, но не сохраняется на хост-машине. Sophos X-Ops обнаружила более 50 уникальных образцов из облачного хранилища, которые практически не были обнаружены в Virustotal, но были обнаружены продуктами Sophos для защиты конечных точек как Troj/Agent-BKJE. Для блокирования попыток эксфильтрации используется Creds_2D.

Вредоносные атаки особенно актуальны в напряженный сезон праздничных поездок в конце года, поэтому отели должны знать об этой угрозе и принять необходимые меры для защиты своих гостей и данных. Отели должны убедиться, что их персонал обучен тому, как распознавать подозрительные электронные письма и ссылки, а также принять соответствующие меры безопасности для обнаружения и защиты от вредоносного контента. Кроме того, им следует рассмотреть возможность внедрения дополнительных мер безопасности, таких как двухфакторная аутентификация, для защиты учетных записей пользователей.

#ParsedReport #CompletenessLow
19-12-2023

Behind the Scenes: JaskaGO s Coordinated Strike on macOS and Windows

https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows

Report completeness: Low

Threats:
Jaskago

Victims:
Windows and macos users

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 6
Hash: 17

Soft:
macOS, Anyconnect, VirtualBox, Chrome, Windows Terminal, Gatekeeper, Windows Service

Algorithms:
sha256

Languages:
powershell, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: JaskaGO - это сложный штамм вредоносного ПО, основанный на языке программирования Go и представляющий серьезную угрозу для операционных систем Windows и macOS, использующий такие стратегии, как обман, антивирусная тактика и механизмы персистенции для утечки конфиденциальной информации от ничего не подозревающих жертв.
-----

Обнаруженный недавно JaskaGO, сложный штамм вредоносного ПО для кражи данных на языке программирования Go, представляет серьезную угрозу для операционных систем Windows и macOS. Вредоносная программа оснащена обширным набором команд, поступающих с командно-контрольного сервера (C&C), и отлично справляется с похищением ценной информации, такой как учетные данные браузера, данные криптовалютного кошелька и другие конфиденциальные файлы пользователя. Простота, эффективность и кросс-платформенные возможности Go делают его привлекательным выбором для авторов вредоносных программ, стремящихся создать универсальные и сложные угрозы.

Исторически сложилось так, что пользователи macOS считали свои системы неуязвимыми для вредоносного ПО из-за относительной редкости угроз, направленных на macOS, по сравнению с другими платформами. Однако JaskaGO служит ярким напоминанием о том, что и пользователи Windows, и пользователи macOS постоянно подвергаются риску атак вредоносного ПО. Использование им имен файлов, напоминающих такие известные приложения, как Capcut_Installer_Intel_M1.dmg и Anyconnect.exe, говорит о распространенной стратегии распространения вредоносных программ под видом легального ПО на веб-страницах пиратских приложений.

При первом запуске вредоносная программа выдает обманчивое окно с сообщением об ошибке, утверждая, что файл отсутствует. Это стратегически рассчитано на то, чтобы ввести пользователя в заблуждение и заставить его поверить, что вредоносный код не удалось запустить. Затем вредоносная программа проводит тщательную проверку, чтобы определить, работает ли она на виртуальной машине (ВМ). Если обнаружение ВМ не удалось, JaskaGO приступает к сбору информации о жертве и устанавливает соединение с командным пунктом для дальнейших действий. Среди возможных команд - создание устойчивости вредоносной программы, кража функций, таких как сбор информации с зараженного устройства и передача ее на сервер, пинг командно-контрольного пункта, выполнение команд оболочки, вывод предупреждающих сообщений, получение списка запущенных процессов, выполнение файлов на диске или в памяти, запись в буфер обмена, выполнение случайных задач, загрузка и выполнение дополнительной полезной нагрузки, а также инициирование процесса на выход (self) или удаление себя.

JaskaGO также оснащен функцией эксфильтрации данных, которая сохраняет полученные данные в специально созданной папке и отправляет их агенту угроз. В Windows вредоносная программа устанавливает постоянство с помощью создания служб и профилей Windows Terminal. В macOS вредоносная программа использует многоступенчатый процесс для обеспечения постоянства, включая выполнение от имени root, отключение Gatekeeper, создание LaunchDaemon и LaunchAgent.

JaskaGO является ярким примером эволюционирующего ландшафта угроз, подчеркивая общую уязвимость систем Windows и macOS. Используя сложную тактику борьбы с виртуальными машинами, JaskaGO обходит автоматический анализ, что делает его сложной задачей для обнаружения. Механизмы сохранения вируса свидетельствуют о его решительных усилиях по внедрению в системы, а возможности кражи превращают вредоносную программу в опасную угрозу, вытягивающую конфиденциальную информацию из ничего не подозревающих жертв. Поэтому пользователям следует сохранять бдительность и принимать меры предосторожности для защиты от этой и других вредоносных программ.

#ParsedReport #CompletenessMedium
19-12-2023

Seedworm: Iranian Hackers Target Telecoms Orgs in North and East Africa

https://symantec-enterprise-blogs.security.com/threat-intelligence/iran-apt-seedworm-africa-telecoms

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Muddyc2go
Venom_proxy_tool
Simplehelp_tool
Lolbin_technique
Impacket_tool
Revsocks
Anydesk_tool

Victims:
Organizations operating in the telecommunications sector in egypt, sudan, and tanzania

Industry:
Telco

Geo:
Tanzania, Iranian, Egypt, African, Israel, Africa, Iran, Sudan

IOCs:
File: 2
Command: 2
IP: 8
Registry: 1
Hash: 4

Soft:
Windows registry

Languages:
powershell, java

Platforms:
cross-platform

Links:
https://github.com/emilarner/revsocks
https://github.com/Dliv3/Venom/blob/master/README-en.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Seedworm - иранская шпионская группа, действующая с 2017 года и нацеленная на телекоммуникационные организации в Африке. Они разработали собственные инструменты и продолжают использовать PowerShell и инструменты, связанные с PowerShell.
-----

Иранская шпионская группа Seedworm (она же Muddywater) действует с 2017 года и, как полагают, является подчиненной частью Министерства разведки и безопасности Ирана (MOIS). Группа атаковала организации во многих странах, уделяя особое внимание тем, кто работает в телекоммуникационном секторе в Египте, Судане и Танзании. В ноябре 2023 года исследователи из команды Threat Hunter Team компании Symantec обнаружили доказательства активности Seedworm, включая использование инфраструктуры MuddyC2Go, инструмента удаленного доступа SimpleHelp, Venom Proxy и пользовательского кейлоггера.

Впервые о фреймворке MuddyC2Go было написано в 2020 году, и он заменил предыдущую C&C-инфраструктуру PhonyC2. Он считывает URL-адрес команды и управления из значения реестра Windows и выполняет команду PowerShell для связи со своим C&C-сервером. Серверы размещены в компании Stark Industries, которая известна своей вредоносной активностью. MuddyC2Go использовался в атаках, начиная с 2020 года.

Помимо вышеперечисленных инструментов, Seedworm также использует такие "живые" инструменты, как Jabswitch.exe, Impacket WMIExec hacktool, Revsocks tool, AnyDesk, JumpCloud remote access software и Windows Scripting Files (WSF). Злоумышленники использовали WMI для запуска программы установки SimpleHelp в сети жертвы.

Деятельность Seedworm указывает на то, что они заинтересованы в телекоммуникационных организациях, особенно в африканских. Группа способна разрабатывать собственные инструменты и продолжает активно использовать PowerShell и инструменты, связанные с PowerShell. Эта деятельность представляет стратегический интерес для иранских угроз, и Seedworm продолжает активно действовать.

Интересный проект по определению TTP по описанию.
Заявляется F1 Score = 0.64, против 0.28 у ChatGPT 3.5
https://github.com/Qihoo360/Luwak/tree/master

Вот преза
https://github.com/onhexgroup/Conferences/blob/main/Black%20Hat%20Asia%202023%20slides/AS-23-Wu-When-Knowledge-Graph-Meets-TTPs-Highly-Automated-and-Adaptive-Executable-TTP-Intelligence-for-Security-Evaluation.pdf

Будем тестить.

Черт, опять подстава :) Тут моделька обучена на 89 TTP.
А я то думал...

Если BERT-модель используется в TRAM-решении, то здесь взяли ERNIE 2.0.
Я не настоящий сварщик, но вроде как ERNIE 2.0 точнее BERT на ряде задач, включая задачу классификации.

#ParsedReport #CompletenessLow
20-12-2023

Shielding Against Android Phishing in Indian Banking

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/shielding-against-android-phishing-in-indian-banking

Report completeness: Low

Victims:
Users of mobile banking applications in india

Industry:
Financial

Geo:
Indian, India

IOCs:
Hash: 38

Soft:
Android, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что в Индии растет число фишинговых атак. Android/Banker.AFX - это вредоносный код, замаскированный под инструмент проверки, который собирает личную и финансовую информацию.-----

Мобильный банкинг произвел революцию в обращении с финансами, но он также открыл двери для фишинга на Android. Android/Banker.AFX - это вредоносный код, скрытый под видом инструмента проверки, который собирает личную и финансовую информацию и перехватывает SMS-сообщения, чтобы украсть средства банковского счета. McAfee Mobile Security предлагает защиту от этого типа банковского трояна, а также от других угроз безопасности.

В Индии растет число фишинговых атак, поскольку киберпреступники создают обманчивые сообщения и подсказки, чтобы заставить пользователей предпринять немедленные действия, которые кажутся безобидными, но имеют далеко идущие последствия. Вредоносная программа маскируется под инструмент проверки, предлагая пользователю загрузить пакет для Android (APK), чтобы завершить процесс "Знай своего клиента" (KYC). Если пользователь загружает пакет, вредоносная программа собирает конфиденциальную информацию о пользователе, например данные кредитной карты, и передает ее злоумышленникам с помощью Firebase - легального сервиса, которым также злоупотребляют преступники.

Вредоносная программа также требует обычных разрешений, таких как RECEIVE_SMS, которые следует предоставлять только приложениям, связанным с обменом сообщениями, которым вы доверяете. За последние 30 дней McAfee предотвратила более 360 заражений устройств Android/Banker.AXF!ML. Индия подчеркивает серьезную угрозу, которую представляет собой эта банковская вредоносная программа в цифровом ландшафте страны, при этом несколько заражений было обнаружено и в других странах мира, возможно, от индийских пользователей SBI, проживающих в других странах.

#ParsedReport #CompletenessMedium
20-12-2023

A Look at the Nim-based Campaign Using Microsoft Word Docs to Impersonate the Nepali Government

https://www.netskope.com/blog/a-look-at-the-nim-based-campaign-using-microsoft-word-docs-to-impersonate-the-nepali-government

Report completeness: Medium

Threats:
Dark_power_ransomware
Menorah

Industry:
Government

Geo:
Nepal

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1045, T1547.001

IOCs:
File: 13
Path: 2
Command: 1
Domain: 4
Url: 1
Hash: 12

Soft:
Microsoft Word

Algorithms:
md5, sha1, sha256, zip, base64

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, code: 8, schema: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносное ПО, написанное на необычных языках программирования, становится все более популярным среди угроз, поскольку дает такие преимущества, как уклонение от обнаружения с помощью сигнатур и препятствование анализу со стороны аналитиков вредоносного ПО. Netskope Threat Labs проанализировала вредоносный бэкдор, написанный на языке Nim, а Netskope Advanced Threat Protection обеспечивает проактивную защиту от образцов вредоносных документов Office "нулевого дня" и APT.
-----

Вредоносное ПО, написанное на необычных языках программирования, становится все более популярным среди угрожающих субъектов благодаря преимуществам, которые оно дает, например, уклонению от сигнатурного обнаружения и затруднению анализа со стороны аналитиков, не знакомых с языком. Недавно специалисты Netskope Threat Labs проанализировали вредоносный бэкдор, написанный на Nim - относительно новом языке программирования. Вредоносный документ Word был отправлен в виде вложения в электронное письмо, в котором утверждалось, что он исходит от представителя правительства Непала, отправляющего информацию о мерах безопасности. После активации макроса в документе появляется бэкдор Nim под названием conhost.exe, который запускается с теми же привилегиями, что и текущий пользователь, вошедший в систему. Чтобы избежать обнаружения, бэкдор выполняет фоновую проверку перед подключением к своему командно-контрольному серверу и завершает работу, если запущен какой-либо из известных инструментов анализа. Кроме того, перед отправкой на вредоносный сервер он шифрует имя хоста с помощью функции bakery. Netskope Advanced Threat Protection обеспечивает проактивную защиту от образцов вредоносных документов Office "нулевого дня" и APT с помощью механизмов статического анализа и "облачной песочницы". Злоумышленники продолжают использовать редкие языки программирования, поскольку их сложнее обнаружить и проанализировать, и Netskope Threat Labs будет продолжать отслеживать использование непопулярных языков программирования.

#ParsedReport #CompletenessHigh
19-12-2023

Fog of cyber war: spies from Cloud Atlas attack Russian companies under the guise of supporting SVO participants

https://www.facct.ru/blog/cloud-atlas

Report completeness: High

Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
Russian agro-industrial enterprise and a state-owned research company

Industry:
Military, Financial

Geo:
Slovenia, Azerbaijan, Belarus, Moscow, Russia, Russian, Turkey

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 9
Technics: 21

IOCs:
Email: 2
File: 9
Path: 13
Registry: 2
Url: 14
Domain: 2
Hash: 40
IP: 1

Soft:
Microsoft Office, Component Object Model, Telegram, Viber, WhatsApp

Algorithms:
sha256, md5, xor, sha1

Languages:
visual_basic

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, chats: 1, schema: 2, dump: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что шпионская группа Cloud Atlas активно атакует промышленные предприятия и государственные компании, используя вредоносные вложения в электронных письмах, и что существует система проактивного поиска и защиты от сложных и неизвестных киберугроз, которая может обеспечить защиту от целого ряда киберрисков.
-----

Эксперты F.A.C.C.T. недавно проанализировали новые атаки шпионской группы Cloud Atlas, проправительственной APT, ориентированной на кибершпионаж и кражу конфиденциальной информации. Она действует с 2014 года и в основном нацелена на промышленные предприятия и государственные компании в России, Беларуси, Азербайджане, Турции и Словении. Основной вектор атак, используемый группировкой, - целевые электронные письма с вредоносными вложениями.

В ходе последней кампании с адресов antonowadebora@yandex.ru и mil.dip@mail.ru были отправлены два письма, в которых использовались актуальные темы - поддержка участников СВО и постановка на воинский учет. В первом письме злоумышленники утверждали, что представляют Московскую городскую организацию Общероссийского профсоюза работников государственных учреждений, и предлагали организовать сбор открыток и поздравлений для участников СВО и их семей. Контакты, указанные в письме, были реальными и могли быть найдены в открытом доступе.

Во втором письме злоумышленники представлялись Ассоциацией учебных центров и рассказывали об изменениях в законодательстве, касающихся введения воинского учета и резервирования граждан в запас. Вредоносное вложение в этом письме представляло собой RTF-файл, содержащий эксплойт для уязвимости CVE-2017-11882. В случае ее использования запускался шеллкод, предназначенный для загрузки и выполнения HTA-файла по ссылке. Адрес ссылки хранился в теле шеллкода, зашифрованный однобайтовым ключом (0x16).

Используя COM-объект, злоумышленники получили значение параметра USERDOMAIN из ключа реестра HKCU\Volatile Environment и проверили наличие VBS-скрипта khaki.xml:khaki.vbs в запуске. Затем они отправили GET-запрос на получение следующего этапа по ссылке hxxps://avito-service.net/service/37.html/bersim, используя определенный User-Agent. Проверив размер полученного файла, они отправили данные для чтения через POST-запрос по той же ссылке, открыли файлы в режиме записи, чтобы очистить их содержимое, а затем выполнили VBS-код с временными задержками 118150 мс (\~118 сек), 52905 мс (\~53 сек), 2183361 мс + случайное целое число (от \~36 мин).

Наконец, исследователи выявили другие вредоносные документы, связанные с доменом network-list .com, используя граф исследования сетевой инфраструктуры.

Учитывая успешный опыт блокирования атак группы Cloud Atlas, система проактивного поиска и защиты от сложных и неизвестных киберугроз обеспечивает защиту от широкого спектра киберрисков, включая ransomware, банковские трояны, шпионские программы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных, как внутри, так и за пределами защищаемого периметра.