#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MetaStealer - популярная вредоносная программа, используемая преступниками для кражи криптовалютных кошельков, учетных данных и других предметов. Она распространялась в основном через вредоносный спам и взломанное программное обеспечение, но недавно была использована в кампании по вредоносной рекламе. Разработчики внесли изменения во вредоносную программу, а Google был предупрежден о вредоносной рекламе. Вполне вероятно, что преступники будут и дальше распространять это вредоносное ПО.
-----

MetaStealer - популярное вредоносное ПО, впервые выпущенное в 2022 году и основанное на коде RedLine. Он становится все более популярным среди преступников, так как используется в качестве инструмента для кражи криптовалютных кошельков, учетных данных и других предметов, которые можно монетизировать. MetaStealer распространялся в основном через вредоносный спам и взломанное программное обеспечение, но недавно он был использован в кампании по вредоносной рекламе.

Разработчики MetaStealer совершенствуют свой продукт и внесли такие изменения, как избавление от PowerShell и перекомпиляция вредоносной DLL. Как видно из активности сетевого трафика, обе полезные нагрузки, по-видимому, относятся к ветви MetaStealer 3.x.

Вполне вероятно, что преступники будут и дальше распространять это вредоносное ПО, поскольку оно часто используется для получения начального доступа для исполнителей программ-вымогателей. Компания Google была предупреждена о вредоносной рекламе, и инфраструктура, на которой она размещена, была заблокирована.

#ParsedReport #CompletenessLow
19-12-2023

Threat Actors Exploit CVE-2017-11882 To Deliver Agent Tesla

https://www.zscaler.com/blogs/security-research/threat-actors-exploit-cve-2017-11882-deliver-agent-tesla

Report completeness: Low

Threats:
Agent_tesla
Steganography_technique

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


IOCs:
File: 2
Hash: 90

Soft:
Microsoft Office, Microsoft Excel, Telegram, Chromium, Iridium Browser, CentBrowser, SeaMonkey, Vivaldi, Amigo, 7Star, have more...

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организациям необходимо быть в курсе последних событий на арене киберугроз, чтобы защитить свои цифровые активы от вредоносных программ, таких как Agent Tesla, которая может похищать данные и отправлять их боту Telegram, контролируемому субъектом угрозы.
-----

Agent Tesla - это мощный кейлоггер, который присутствует на рынке угроз с 2014 года. Недавно специалисты Zscaler ThreatLabz обнаружили вредоносную кампанию, использующую уязвимость CVE-2017-11882 XLAM, обнаруженную в редакторе уравнений Microsoft Office, для распространения Agent Tesla. Угрожающие лица используют такие слова, как orders и invoices, в спам-сообщениях, содержащих вредоносные вложения, которые используют уязвимость, позволяя загружать дополнительные файлы под видом законных операций.

Затем полезная нагрузка внедряется в процесс RegAsm, и Agent Tesla начинает свою вредоносную деятельность. Agent Tesla крадет данные из почтовых клиентов и FTP-приложений, внедряет хуки клавиатуры и буфера обмена, а также использует оконные хуки. Он также может извлекать сохраненные пароли из различных веб-браузеров, регистрировать элементы буфера обмена и делать скриншоты. Похищенные данные затем отправляются боту Telegram, контролируемому угрозой.

Для защиты своих цифровых активов организациям необходимо быть в курсе последних событий в сфере киберугроз. По мере развития угроз должны меняться и меры безопасности для защиты от них. Agent Tesla - лишь одна из многих вредоносных программ, и организациям необходимо предпринять необходимые шаги, чтобы обеспечить безопасность своих сетей.

#ParsedReport #CompletenessLow
20-12-2023

Dark Web Profile: Cyber Toufan Al-aqsa

https://socradar.io/dark-web-profile-cyber-toufan-al-aqsa

Report completeness: Low

Actors/Campaigns:
Cyber_toufan

Victims:
Israeli companies and organizations including security firms, government agencies, and commercial entities

Industry:
E-commerce, Foodtech, Government

Geo:
Iranian, Iran, Israel, Israeli

TTPs:
Tactics: 4
Technics: 4

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что "Кибер Туфан" - это таинственная группа, которая быстро приобрела известность благодаря серии агрессивных кибератак, оказывающих геополитическое и психологическое воздействие, и организациям необходимо использовать передовые решения безопасности для эффективной борьбы с этими угрозами.
-----

Cyber Toufan, таинственная группа, появившаяся в цифровой тени 16 ноября 2023 года, быстро приобрела известность благодаря серии агрессивных кибератак на израильские организации. Эксперты по кибербезопасности и разведка указывают на возможную иранскую поддержку, учитывая стиль группы, цели и геополитическую подоплеку ее атак. Операции "Кибер Туфана" включают в себя масштабные взломы данных и извлечение конфиденциальной информации, затрагивая как организации, так и частных лиц. Они выбирают стратегические цели, фокусируясь на израильских компаниях и организациях, обладающих значительной ценностью или секретной информацией, включая охранные фирмы, правительственные учреждения и коммерческие структуры. Они также ведут психологическую войну, используя свои кибератаки для политических заявлений и распространения пропаганды.

Сообщается, что Cyber Toufan может координировать свои действия с другими хакерскими группами и участвовать в более крупных коллективных операциях, что свидетельствует об уровне организации и сотрудничества, необычном для независимых хакерских групп. Общее число утечек документов достигло более 100, а в число известных жертв вошли известный израильский поставщик систем водоснабжения Bermad, а также OSEM (компания по производству продуктов питания), H&O (бренд одежды) и Hagarin (бренд электронной коммерции).

Деятельность Cyber Toufan вызвала подозрения в государственном спонсорстве, причем многие признаки указывают на Иран. Эти предположения подкрепляются анализами экспертов по кибербезопасности, например, из Check Point Software, которые отмечают сходство тактики Cyber Toufan и других связанных с Ираном группировок. Международный институт по борьбе с терроризмом (ICT) также дает представление об этой предполагаемой связи.

Кибератаки, осуществленные Cyber Toufan, имеют далеко идущие последствия, как с точки зрения кибербезопасности, так и с точки зрения геополитики. С геополитической точки зрения, предполагаемое государственное спонсорство Cyber Toufan добавляет новый уровень сложности в международные отношения, особенно на Ближнем Востоке. Это свидетельствует о растущем использовании кибервойны в качестве инструмента в более широких геополитических стратегиях. С психологической точки зрения, использование "Кибер Туфаном" кибератак в пропагандистских целях оказывает психологическое воздействие, сея страх и неуверенность, что является неотъемлемой частью современной тактики ведения войны.

Чтобы эффективно бороться с этими угрозами, организациям необходимо использовать передовые решения в области безопасности. Мониторинг темного интернета от SOCRadar необходим для всестороннего мониторинга деятельности в темном и глубоком интернете, обеспечивая раннее предупреждение и оперативную информацию для предотвращения или смягчения киберугроз со стороны таких групп, как Cyber Toufan. Организации могут лучше защитить себя на этом развивающемся поле кибернетической битвы, сохраняя бдительность и используя передовые решения безопасности.

#ParsedReport #CompletenessMedium
20-12-2023

Operation HamsaUpdate: A Sophisticated Campaign Delivering Wipers Puts Israeli Infrastructure at Risk

https://intezer.com/blog/research/stealth-wiper-israeli-infrastructure

Report completeness: Medium

Actors/Campaigns:
Hamsaupdate

Threats:
Hatef
Hamsa
Handala
Process_hacker_tool

Victims:
Israeli customers

Geo:
Israel, Russia, Palestinian, Israeli, Chelyabinsk

IOCs:
Hash: 13
File: 5
IP: 1

Soft:
BIG-IP, Telegram, Ubuntu, Debian, Windows Media Player

Algorithms:
base64, zip, rc4, lznt1

Functions:
DeleteDrirectorys

Win API:
RtlDecompressFragment

Languages:
autoit, delphi

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Национальное киберуправление Израиля выпустило срочное предупреждение о чрезвычайно изощренной фишинговой кампании, в которой используются убедительные электронные письма и сложные методы социальной инженерии. Вредоносный код состоит из многоступенчатого загрузчика, включая чистильщик, который нацелен на системы Windows и Linux. Эта кампания подчеркивает необходимость применения надежных защитных стратегий и глубокого понимания принципов цифровой безопасности.
-----

19 декабря Национальное киберуправление Израиля выпустило срочное предупреждение о чрезвычайно изощренной фишинговой кампании, получившей название Operation HamsaUpdate. В этой кампании используются убедительно написанные письма на иврите и сложные методы социальной инженерии, чтобы заставить жертв выполнить вредоносный код на своих серверах. Используемое вредоносное ПО представляет собой wiper, который нацелен на системы Windows и Linux. Чтобы помочь в выявлении и борьбе с этой угрозой, Национальное киберуправление Израиля обнародовало соответствующие индикаторы компрометации, в том числе варианты вредоносной программы-чистильщика под названиями Hatef (Windows) и Hamsa (Linux).

Электронное письмо, используемое для атаки, тщательно составлено для использования недавней уязвимости, обнаруженной в платформе BIG-IP компании F5 - передовом контроллере доставки приложений. Оно предупреждает адресата о потенциальной угрозе для его организации и призывает его принять немедленные меры. Злоумышленники демонстрируют продвинутый уровень тактики, манипулируя целями, чтобы те неосознанно поставили под угрозу свою собственную сетевую безопасность.

Вредоносный код состоит из многоступенчатого загрузчика, включающего вторую ступень, написанную на Delphi. Этот загрузчик инициирует выполнение инжектора AutoIt под названием Handala. Полезная нагрузка ресурса отличается в зависимости от варианта: один из них извлекает исполняемый файл программы-чистильщика - Hatef.exe, а другой содержит два ресурса: Hatef.exe и Handala.exe. Программа-чистильщик проводит проверку, чтобы убедиться, что она является единственным экземпляром, запущенным в системе, а затем приступает к затиранию ключевых системных путей на всех подключенных дисках. Кроме того, она отправляет разведывательную информацию в канал Telegram.

Инжектор Handala запускает обфусцированный скрипт для обнаружения активного защитного ПО и отключает его. Затем он создает новый раздел, отформатированный с использованием файловой системы XFS, полностью удаляя остатки данных. Затем внедренный шелл-код связывается с сервером C2 по HTTPS и внедряется в процесс Windows Media Player.

Эта кампания свидетельствует о постоянно меняющемся ландшафте кибервойны и подчеркивает необходимость надежных оборонительных стратегий и глубокого понимания тонкостей цифровой безопасности.

#ParsedReport #CompletenessMedium
21-12-2023

BattleRoyal, DarkGate Cluster Spreads via Email and Fake Browser Updates

https://www.proofpoint.com/us/blog/threat-insight/battleroyal-darkgate-cluster-spreads-email-and-fake-browser-updates

Report completeness: Medium

Actors/Campaigns:
Battleroyal (motivation: cyber_criminal)
Rogueraticate

Threats:
Darkgate
Steganography_technique
Netsupportmanager_rat

Geo:
Usa, Canada

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...

IOCs:
File: 2
Url: 7
Hash: 7
IP: 1
Domain: 2

Soft:
Microsoft Teams, curl

Algorithms:
zip, sha256

Functions:
Proofpoint

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Кластер BattleRoyal - особенно интересный угрожающий агент, который использовал множество методов распространения вредоносных программ DarkGate и NetSupport, включая электронную почту, Microsoft Teams, Skype, вредоносную рекламу, поддельные обновления и файлы .URL. Они также использовали стеганографию .css, двойные файлы .URL, различные системы доставки трафика и цепочки атак, что свидетельствует о постепенной эволюции их тактики и техники.
-----

Вновь выявленный кластер активности, который компания Proofpoint называет BattleRoyal, представляет собой особенно интересного участника угроз, который был замечен в категории троянов удаленного доступа (RAT) и загрузчиков летом и осенью 2023 года. Эта группа использовала множество методов для распространения вредоносного ПО DarkGate, таких как электронная почта, Microsoft Teams, Skype, вредоносная реклама и поддельные обновления. В частности, они использовали уязвимость Windows SmartScreen (CVE-2023-36025) через файлы .URL, чтобы обойти защиту SmartScreen. Недавно в своих кампаниях они перешли от DarkGate к NetSupport, легитимному инструменту удаленного доступа.

Аналитики Proofpoint заметили, что эта группа использует различные системы доставки трафика и цепочки атак, включая электронную почту, 404 TDS, Keitaro TDS, .URL, .VBS, shell-команды, AutoIT/AutoIT Script и DarkGate. Они также были замечены в использовании стеганографии .css для сокрытия вредоносного кода и двойных файлов .URL вместо одного. Все это говорит о постепенной эволюции их тактики и техники, указывая на то, что угрожающий субъект хорошо ориентируется в киберпреступном ландшафте.

Кластер BattleRoyal отличается использованием нескольких цепочек атак для доставки вредоносного ПО, а также применением нескольких видов социальной инженерии для того, чтобы заставить пользователей установить конечную полезную нагрузку. DarkGate может использоваться для кражи информации и загрузки дополнительных вредоносных программ, а NetSupport позволяет угрозам получить контроль над зараженным узлом, установить дополнительные вредоносные программы и обеспечить боковое перемещение по всей скомпрометированной среде. Учитывая рост популярности и внимания к DarkGate, будет интересно посмотреть, продолжит ли группа менять полезную нагрузку или будет придерживаться NetSupport в будущем.

#ParsedReport #CompletenessLow
21-12-2023

Threat actors misuse OAuth applications to automate financially driven attacks

https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks

Report completeness: Low

Actors/Campaigns:
Storm-1283
Storm-1286

Threats:
Bec_technique
Password_spray_technique
Aitm_technique

Industry:
Financial

Geo:
Poland, Australia, France, Brazil, Canada, Japan, Korea

ChatGPT TTPs:
do not use without manual check
T1212, T1112, T1078, T1543, T1110, T1135, T1036, T1545, T1547, T1078, have more...

IOCs:
File: 2

Soft:
Microsoft Defender, Office 365, Microsoft 365 Defender, Microsoft Outlook, Microsoft Exchange

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие субъекты используют приложения OAuth для развертывания виртуальных машин, создания постоянства и рассылки спама. Microsoft отследила несколько атак с использованием приложений OAuth, которые привели к тому, что организации понесли большие расходы на вычисления. Microsoft удалила вредоносные приложения OAuth и продолжает отслеживать злоумышленников.
-----

OAuth - это открытый стандарт для аутентификации и авторизации на основе токенов.

Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках.

Компания Microsoft отследила ряд атак, связанных с использованием приложений OAuth для вредоносных действий, таких как развертывание виртуальных машин для добычи криптовалюты, создание постоянства после компрометации деловой электронной почты (BEC) и рассылка спама.

Microsoft заметила, что угрожающий агент Storm-1283 использовал скомпрометированную учетную запись пользователя для создания приложения OAuth и развертывания виртуальных машин для криптомайнинга.

Компания Microsoft заметила, что угрожающий субъект использует приложения OAuth для поддержания постоянства и запуска фишинговой активности по электронной почте.

Microsoft также заметила, что угрожающий агент Storm-1286 запускает атаки с распылением паролей для компрометации учетных записей пользователей без включенного MFA.

#ParsedReport #CompletenessLow
21-12-2023

Bandook - A Persistent Threat That Keeps Evolving

https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving

Report completeness: Low

Threats:
Bandok
Avemaria_rat

ChatGPT TTPs:
do not use without manual check
T1059, T1064, T1204, T1218, T1543.003, T1546.001, T1546.002, T1550.004, T1552.004, T1567.001, have more...

IOCs:
File: 8
Hash: 7
Path: 2
Registry: 2
Command: 1
IP: 2

Soft:
Microsoft Edge, Chrome, Internet Explorer

Algorithms:
aes

Functions:
Bandook, in

Languages:
python

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1, table: 1, dump: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4