#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что имело место активное использование уязвимостей в устройствах Ivanti Connect Secure VPN, что привело к несанкционированному доступу и потенциальной компрометации данных. Атака была приписана неизвестному китайскому субъекту угроз на уровне национального государства под названием UTA0178. Злоумышленник использовал эксплойты нулевого дня для получения доступа к удаленному выполнению кода и установил веб-оболочки для постоянного доступа. Организации могут обнаружить признаки компрометации, отслеживая сетевой трафик, журналы устройств VPN и используя средство проверки целостности. В случае компрометации необходимы немедленные действия, включая сбор доказательств, сброс паролей, расследование случаев компрометации данных и просмотр журналов и телеметрии.
-----

Активно использовались две уязвимости в устройствах Ivanti Connect Secure VPN.

Уязвимости позволяют выполнять удаленный код без проверки подлинности и размещать веб-оболочки на внутренних и внешних веб-серверах.

Злоумышленник стер логи на устройстве VPN и отключил ведение журнала, чтобы замести следы.

Volexity подозревает использование эксплойтов нулевого дня в атаке, при этом идентифицированы два эксплойта нулевого дня.

Злоумышленник украл данные конфигурации, модифицировал файлы, загрузил удаленные файлы и создал обратный туннель.

Злоумышленник взломал CGI-файл и модифицировал файл JavaScript для сбора учетных данных пользователя с помощью кейлоггинга.

Атака была приписана китайскому исполнителю угроз на уровне национального государства UTA0178.

Злоумышленник использовал сброс памяти и доступ к резервным копиям, чтобы получить учетные данные.

Веб-оболочки были установлены на внешних веб-серверах для постоянного доступа.

Были использованы две вариации webshell с различной функциональностью.

Организации могут обнаружить компрометацию, анализируя сетевой трафик, журналы устройств VPN и используя инструмент проверки целостности.

В случае компрометации необходимы немедленные действия, включая сбор доказательств, сброс паролей и расследование случаев компрометации данных.

#ParsedReport #CompletenessHigh
11-01-2024

Medusa Ransomware Turning Your Files into Stone

https://unit42.paloaltonetworks.com/medusa-ransomware-escalation-new-leak-site

Report completeness: High

Threats:
Medusa_ransomware
Wildfire
Medusalocker
Lolbin_technique
Bitsadmin
Connectwise_rat
Upx_tool
Netscan_tool
Vssadmin_tool
Taskkill

Industry:
Financial, Healthcare, Education

Geo:
America, Africa, Asia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1078, T1486, T1505.003, T1027, T1112, T1140, T1016

IOCs:
File: 21
Domain: 3
Command: 5
Hash: 5

Soft:
Telegram, Microsoft Exchange Server, PsExec, ntrtscan, SQLBrowser, onenote, outlook, thebat, thebat64, wordpad, have more...

Algorithms:
sha256, exhibit, zip, xor, aes-256

Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, mydesktopqos, mydesktopservice, ocautoupds, ocomm, have more...

Languages:
jscript, powershell

Platforms:
x86

Links:
https://github.com/tennc/webshell/blob/master/web-malware-collection-13-06-2012/ASP/cmd.aspx
https://github.com/DosX-dev/ASM-Guard

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в 2023 году наблюдается рост активности программ-вымогателей Medusa с переходом к тактике вымогательства. Исполнители угроз Medusa внедрили сайт утечек под названием блог Medusa, где они раскрывают конфиденциальные данные жертв, которые отказываются выполнять их требования о выкупе. Группа реагирования на инциденты подразделения 42 столкнулась с программой-вымогателем Medusa и раскрыла различные тактики, инструменты и процедуры, используемые группой. В тексте также упоминается, что Palo Alto Networks предлагает защиту от программы-вымогателя Medusa через свои службы безопасности. Программа-вымогатель Medusa - это платформа ransomware-as-a-service (RaaS), которая в первую очередь нацелена на среды Windows и использует методы "жизни за пределами земли". Группа использует множество методов вымогательства и стремится создать бренд путем обмена файлами скомпрометированных организаций. В тексте представлена информация о воздействии, географическом распространении и конкретных методах, используемых злоумышленниками Medusa. В нем подчеркивается необходимость принятия организациями упреждающих и надежных стратегий защиты от этой угрозы.
-----

В 2023 году активность программ-вымогателей Medusa возросла с акцентом на тактику вымогательства.

У исполнителей угроз Medusa есть специальный сайт для утечек информации, который называется блог Medusa.

Группа реагирования на инциденты подразделения 42 столкнулась с вирусом-вымогателем Medusa и обнаружила интересную тактику, используемую группой.

Palo Alto Networks обеспечивает защиту от программ-вымогателей Medusa с помощью облачных служб безопасности Cortex XDR и WildFire.

Программа-вымогатель Medusa в первую очередь нацелена на среду Windows и использует методы "жизни за пределами земли".

Группа использует множество методов вымогательства и стремится создать бренд и репутацию.

Программа-вымогатель Medusa, возможно, затронула 74 организации по всему миру, причем наиболее пострадавшими секторами являются высокие технологии, образование и производство.

Больше всего инцидентов произошло в Соединенных Штатах, за ними следует Европа, с отдельными инцидентами в Африке, Южной Америке и Азии.

Исследователи подразделения 42 обнаружили несколько инструментов и техник, используемых злоумышленниками-вымогателями Medusa во время мероприятий по реагированию на инциденты.

Злоумышленники-вымогатели Medusa используют webshell, PowerShell, ConnectWise и драйверы ядра.

Группа также использует портативную версию Netscan для удаленного обнаружения служб и развертывания двоичного файла программы-вымогателя.

Двоичный файл программы-вымогателя Medusa называется Gaze и использует строковое шифрование и асимметричное шифрование RSA.

Программа-вымогатель переименовывает зашифрованные файлы с расширением .medusa и препятствует восстановлению и судебно-медицинской экспертизе, удаляя саму себя.

Появление программы-вымогателя Medusa в 2022 году и ее известность в 2023 году представляют собой значительное событие в мире программ-вымогателей.

Блог "Медузы" демонстрирует переход группы к многократному вымогательству и прозрачной тактике давления.

Средства защиты организации должны быть проактивными и надежными для защиты от программ-вымогателей Medusa.

#ParsedReport #CompletenessMedium
12-01-2024

WorkersDevBackdoor Delivered via Malvertising

https://www.esentire.com/blog/workersdevbackdoor-delivered-via-malvertising

Report completeness: Medium

Threats:
Workdevbackdoor
Lolbas_technique
Lolbin_technique

Geo:
Emea, Africa, America, Apac

ChatGPT TTPs:
do not use without manual check
T1189, T1204, T1071, T1001, T1056, TA0011, TA0010, T1059, T1086, T1064, have more...

IOCs:
Domain: 3
File: 7
Registry: 1
Path: 2
Url: 1
Hash: 7

Soft:
Windows registry, Unix

Algorithms:
xor, rc4, zip, base64

Functions:
LinkRunPS, ZyKZ

Languages:
powershell

Links:
https://github.com/RussianPanda95/Yara-Rules/tree/main/WorkersDevBackdoor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) выявило вредоносное ПО под названием WorkersDevBackdoor. Это вредоносное ПО распространяется через обманчивую онлайн-рекламу и собирает конфиденциальную информацию, обеспечивая бэкдорный доступ к скомпрометированным системам. Вредоносная программа использует различные методы, такие как загрузка с диска, сценарии PowerShell, пакетные файлы и ключи запуска реестра для сохранения и выполнения. Вредоносная программа взаимодействует с сервером управления, обладает функциями кейлоггера, пытается перемещаться в сторону и может распространять вредоносные файлы на другие хосты. Процесс заражения подчеркивает изощренность злоумышленников и их использование авторитетных платформ, таких как Google Ads. Целевые характеристики вредоносного ПО и его возможности по удалению данных указывают на его потенциал для кражи конфиденциальной информации и контроля сети.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, сосредоточенных на повышении безопасности организации.

TRU выявила вредоносную программу под названием WorkersDevBackdoor в ноябре 2023 года.

Вредоносная программа распространяется через вводящую в заблуждение онлайн-рекламу и собирает конфиденциальную информацию, открывая черный ход к скомпрометированным системам.

Вредоносная программа использует загрузку с диска, облегченную вредоносным установщиком, созданным с помощью NSIS.

Он использует ключи запуска реестра, сценарии PowerShell и пакетные файлы для сохранения и выполнения.

Вредоносная программа взаимодействует с сервером управления (C2), извлекая данные жертвы и фиксируя нажатия клавиш.

Атака использует для распространения авторитетные платформы, такие как Google Ads, что повышает ее эффективность.

Необходимо соблюдать осторожность при загрузке программного обеспечения, даже из, казалось бы, заслуживающих доверия источников.

Сценарий заражения нацелен на определенные системные атрибуты и фокусируется на долгосрочном доступе к скомпрометированным системам.

Вредоносная программа использует скрипты PowerShell и полезные приложения .NET для тактики скрытности и уклонения.

WorkDevBackdoor может регистрировать нажатия клавиш, извлекать заголовки активных окон и передавать данные, указывая на возможности эксфильтрации данных.

Злоумышленники стремятся расширить свое влияние и контроль над сетью за счет боковых перемещений и использования дополнительных инструментов.

#ParsedReport #CompletenessMedium
12-01-2024

Mimo coin miner with Mimus ransomware installed through vulnerability attack

https://asec.ahnlab.com/ko/60279

Report completeness: Medium

Actors/Campaigns:
8220_gang

Threats:
Hezb
Mimus
Log4shell_vuln
Xmrig_miner
Z0miner
Nssm_tool
Mauricrypt
Proxyjacking_technique
Trojan/win32.rl_miner.r363967
Malware/win32.generic.c4280792
Peer2profit_tool
Powershell_shell_tool

CVEs:
CVE-2022-29464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- wso2 identity server analytics (5.5.0, 5.4.1, 5.6.0, 5.4.0)
- wso2 api manager (le4.0.0)
- wso2 identity server (le5.11.0)
- wso2 enterprise integrator (le6.6.0)
- wso2 identity server as key manager (le5.10.0)
have more...
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.18.3, <5.17.6, <5.16.7)
- apache activemq legacy openwire module (<5.15.16, <5.18.3, <5.17.6, <5.16.7)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1486, T1210, T1059.001, T1190, T1027, T1048, T1189, T1203, have more...

IOCs:
Url: 17
File: 18
Coin: 2
Email: 1
Hash: 18
IP: 1

Soft:
Confluence, PaperCut, ActiveMQ, VMware Horizon, Windows Defender

Crypto:
monero, bitcoin

Algorithms:
md5, zip, aes-256, 7zip, base64, aes

Languages:
powershell, php, java, lua

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует злоумышленник, известный как Mimo (или Hezb), который использует различные уязвимости для установки вредоносного ПО. Злоумышленник в первую очередь устанавливает майнер монет под названием Mimo Miner Bot, но также было замечено, что он устанавливает программы-вымогатели Mimus, прокси-программы и вредоносные программы reverse shell. Злоумышленник Mimo нацелился на такие уязвимости, как Log4Shell, WSO2, Atlassian Confluence server и PaperCut. Злоумышленник использует PowerShell с помощью атак на уязвимости для загрузки и выполнения пакетного вредоносного ПО, которое отвечает за отключение защитника Windows и загрузку coin miner. Имеются свидетельства того, что злоумышленник использовал для атак программы-вымогателя с открытым исходным кодом MauriCrypt. Кроме того, злоумышленник использовал прокси-программы и вредоносные программы с обратной оболочкой для получения прибыли.
-----

Аналитический центр безопасности AhnLab (ASEC) идентифицировал злоумышленника-майнера монет под названием Mimo/Hezb.

Mimo/Hezb использует уязвимости для установки вредоносных программ, включая Log4Shell, WSO2, Atlassian Confluence server и PaperCut.

Mimo в первую очередь устанавливает майнер монет XMRig под названием Mimo Miner Bot, но также развертывает программы-вымогатели Mimus, прокси-программы и вредоносные программы reverse shell.

Mimo нацелен на серверы Atlassian Confluence и другие группы вредоносных программ для установки майнеров монет.

Mimo использует PowerShell и пакетное вредоносное ПО для загрузки и запуска вредоносных программ, отключения защитника Windows и установки дополнительных вредоносных программ.

Программа-вымогатель Mimus основана на программе-вымогателе MauriCrypt с открытым исходным кодом.

Злоумышленники Mimo загружают прокси-программы и вредоносную программу reverse shell с одного и того же адреса распространения.

Прокси-программа использует пропускную способность зараженной системы, в то время как вредоносная программа reverse shell предоставляет злоумышленнику контроль над зараженной системой.

Злоумышленники стремятся получать прибыль с помощью программ-вымогателей, майнинга монет и других вредоносных действий.

#ParsedReport #CompletenessLow
12-01-2024

Hundreds of Thousands of Dollars Worth of Solana Cryptocurrency Assets Stolen in Recent CLINKSINK Drainer Campaigns. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/solana-cryptocurrency-stolen-clinksink-drainer-campaigns

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1566, T1106, T1210

IOCs:
Hash: 1
Domain: 1
File: 4

Soft:
Discord, Telegram, outlook

Crypto:
solana

Algorithms:
md5, aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что учетная запись Mandiant в социальных сетях была взломана и использовалась для распространения фишинговых ссылок на средство для сбора криптовалюты под названием CLINKSINK. Средство для сбора криптовалюты CLINKSINK использовалось различными участниками угроз для кражи средств у пользователей криптовалюты Solana. Кампании с участием CLINKSINK проводятся через платформы социальных сетей и Discord, где распространяются фишинговые страницы для привлечения жертв. Вредоносный JavaScript-код CLINKSINK позволяет злоумышленникам подключаться к кошелькам жертв и красть средства. Mandiant выявил несколько кампаний CLINKSINK, связанных с общим оператором drainer-as-a-service (DaaS). Анализ кода показывает, что CLINKSINK является вариантом Chick Drainer, и существуют потенциальные подключения к другим связанным каналам, управляемым тем же участником.
-----

3 января 2024 года учетная запись Mandiant в социальных сетях была скомпрометирована и использовалась для распространения фишинговых ссылок на поставщика криптовалют под названием CLINKSINK. Однако после проведения расследования не было обнаружено доказательств какого-либо компрометации в облачных системах Mandiant или Google, которые привели к компрометации учетной записи. С декабря 2023 года различные злоумышленники использовали CLINKSINK drainer для кражи средств и токенов у пользователей криптовалюты Solana.

Кампании с участием CLINKSINK проводились через платформы социальных сетей, такие как X и Discord, где распространяются фишинговые страницы, чтобы заманить жертв приманками на тему токенов airdrop. Эти поддельные страницы загружают вредоносный JavaScript-код CLINKSINK, который позволяет злоумышленнику подключаться к кошелькам жертв и красть средства. Файл CLINKSINK запутан и специально нацелен на кошелек Phantom Desktop.

При анализе файла CLINKSINK было обнаружено, что он отправляет запрос POST на URL-адрес по адресу ontopothers.com, где в запрос включен оскорбительный термин. Сервер отвечает идентификатором группы чата Telegram, зашифрованным AES, и конфигурацией. Расшифровка ответа выявляет идентификатор группы чата Telegram и конфигурацию, которая включает адреса кошельков Solana, процент распределения украденных средств и сведения о контроле поведения. Жертве предлагается подключить свой кошелек Solana, и в случае успеха вредоносная программа запрашивает данные кошелька с другого URL-адреса по адресу ontopothers.com. Если будут возвращены действительные данные кошелька, жертве будет предложено подписать мошенническую транзакцию.

Mandiant выявил несколько кампаний CLINKSINK, в которых использовались 35 различных идентификаторов партнеров и 42 уникальных адреса кошелька Solana. Считается, что эти кампании связаны с общим оператором drainer-as-a-service (DaaS) из-за совпадения инфраструктуры и адресов Solana. Украденные средства делятся между аффилированным лицом и оператором сервиса на основе процента, полученного от сервиса drainer. В ходе недавних кампаний часть средств была отправлена на адрес предполагаемого оператора DaaS: B8Y1dERnVNoUUXeXA4NaCHiB9htcukMSkfHrFsTMHA7h.

Анализ кода выявил совпадения между CLINKSINK и кодом JavaScript, загруженным на pastebin.pl, что указывает на то, что CLINKSINK является вариантом Chick Drainer. В коде есть ссылки на @ChickDrainer, а телеграм-канал под названием @ChickDrainerLeaked утверждает, что произошла утечка исходного кода Chickdrainer. Этот канал содержит сообщения с техническими индикаторами и функциональностью, совместимыми с CLINKSINK, и делится пересылаемыми сообщениями с канала @RainbowDrainer, предполагая, что ими управляет общий участник.

#ParsedReport #CompletenessLow
12-01-2024

Cyber spies Sticky Werewolf came out of New Year's hibernation

https://habr.com/ru/companies/f_a_c_c_t/news/785472

Report completeness: Low

Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)

Threats:
Darktrack_rat
Ozone
Meta_stealer
Redline_stealer

Victims:
Russian telecommunications company, Russian pharmaceuticals, Federal security service, Government agencies, Financial companies

Industry:
Government, Telco, Healthcare, Financial

Geo:
Russian, Belarus

ChatGPT TTPs:
do not use without manual check
T1444, T1566, T1486

IOCs:
File: 2
Url: 3
Path: 1
IP: 1
Hash: 2

Algorithms:
sha1, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа кибершпионажа под названием Sticky Werewolf провела фишинговую атаку на российские организации во время новогодних праздников. Они нацелились на телекоммуникационную компанию, отправив фишинговые электронные письма, замаскированные под электронные письма Федеральной службы безопасности, с запросом заверенных копий документов. Однако система защиты компании, F.A.C.C.T. Managed XDR, успешно обнаружила и заблокировала эти электронные письма. У Sticky Werewolf есть история нападений на российские организации, использующие аналогичную тактику, и их основным методом атаки являются фишинговые электронные письма, содержащие ссылки на вредоносные файлы. Этот инцидент подчеркивает важность передовых систем кибербезопасности и постоянной бдительности в противодействии развивающимся киберугрозам.
-----

Во время новогодних праздников группа кибершпионажа под названием Sticky Werewolf предприняла атаку на российские организации. В период со 2 по 3 января они отправили около 250 фишинговых электронных писем телекоммуникационной компании. Однако система защиты компании, F.A.C.C.T. Managed XDR, смогла обнаружить и заблокировать эти электронные письма.

Фишинговые электронные письма были созданы так, чтобы они выглядели так, как будто они были от Федеральной службы безопасности, и в них запрашивались заверенные копии документов. В электронных письмах также содержалась ссылка на загрузку вредоносного файла. Этот тип атак не нов для Sticky Werewolf, поскольку ранее они атаковали российские фармацевтические компании в декабре 2023 года, выдавая себя за Министерство по чрезвычайным ситуациям и Министерство строительства.

Sticky Werewolf - группа кибершпионажа, действовавшая с апреля по октябрь 2023 года. За этот период они совершили не менее 30 атак на правительственные учреждения и финансовые компании в России и Беларуси. Их основной метод атаки - фишинговые электронные письма, содержащие ссылки на вредоносные файлы. Они также используют различные хакерские инструменты, такие как Darktrack RAT, Ozone RAT и MetaStealer stealer (который является разновидностью RedLine Stealer).

Стоит отметить, что F.A.C.C.T. Managed XDR успешно перехватила и заблокировала фишинговые электронные письма в ходе этой конкретной атаки. Это подчеркивает важность наличия передовых систем кибербезопасности для защиты от сложных и неизвестных киберугроз. Используя такие системы, организации могут снизить риски, связанные с попытками фишинга, и предотвратить несанкционированный доступ к своим сетям.

Настойчивость Sticky Werewolf в нападении на российские организации подчеркивает постоянную необходимость принятия надежных мер кибербезопасности. Предприятия и правительственные учреждения должны сохранять бдительность и постоянно обновлять свои средства защиты для противодействия этим развивающимся киберугрозам. Информирование сотрудников об опасностях фишинговых электронных писем и внедрение многоуровневых подходов к обеспечению безопасности могут значительно повысить устойчивость организации к подобным атакам.

#ParsedReport #CompletenessLow
12-01-2024

Analysis of an Info Stealer Chapter 1: The Phishing Website. Analysis of an Info Stealer - Chapter 1: The Phishing Website

https://medium.com/@icebre4ker/analysis-of-an-info-stealer-chapter-1-the-phishing-website-80712d21fb3b

Report completeness: Low

Victims:
South korean, indian, chinese mobile users

Geo:
India, Korea, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1192, T1566, T1204, T1512

IOCs:
IP: 4
Url: 6

Soft:
Android, Internet Explorer, WeChat, Chrome, macOS

Functions:
Date

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в Южной Корее проводится фишинговая кампания, целью которой является кража конфиденциальных данных у пользователей Android и iOS. Автор статьи исследует проблему, анализируя фишинговые веб-сайты, используемые в кампании, и обнаруживает методы, используемые для доставки вредоносных приложений. Цель статьи - дать представление о кампании и поделиться запросом, используемым для идентификации связанных фишинговых доменов.
-----

В ноябре 2023 года McAfee опубликовала статью, в которой освещалась проблема поддельных приложений для Android и iOS, крадущих SMS и контакты в Южной Корее. Киберпреступники распространяют вредоносные приложения через фишинговые веб-сайты для получения конфиденциальных данных от пользователей. Автор статьи решил продолжить расследование проблемы после того, как был заинтригован вредоносным приложением для iOS, упомянутым в отчете.

Первоначально автор попытался найти ipa-файлы вредоносного приложения, перечисленные в индикаторах компрометации (IOCs). Они искали на таких платформах, как MalwareBazaar и VirusTotal, но безуспешно. Следовательно, они взяли на себя смелость провести собственное расследование, начав с источника - фишинговых веб-сайтов.

Анализ был сосредоточен на нескольких фишинговых веб-сайтах, нацеленных на пользователей в Южной Корее, Индии и Китае. На этих веб-сайтах были предусмотрены две кнопки для загрузки приложений для Android и iOS. Нажатие кнопки загрузки Android приводило к загрузке файлов .apk, в то время как кнопка загрузки iOS перенаправляла пользователей на веб-страницу.

На веб-странице использовались различные методы, основанные на свойствах браузера пользователя. Для устройств, отличных от iOS, отображался QR-код, поощряющий использование iPhone. Для устройств iOS был показан интерфейс веб-сайта, напоминающий Apple Store. В конце HTML-страницы был обнаружен запутанный код JavaScript. Этот код состоял примерно из 60 функций и строк для статического анализа, включая динамические значения.

Ответное сообщение сервера, полученное в ходе анализа, указывало на успешную операцию на китайском языке. Также был обнаружен файл plist, содержащий основную информацию о вредоносном приложении для iOS. Наконец, чтобы загрузить приложение на устройство iOS, был сделан запрос GET на определенную конечную точку с IP-адресом пользователя и строковым значением.

Целью этой статьи было предоставить подробную информацию о том, как эта фишинговая кампания распространяет вредоносные приложения как для устройств Android, так и для iOS. Кроме того, автор обнаружил другие фишинговые веб-сайты, нацеленные на пользователей в Индии и Китае, что расширило масштабы кампании.

В заключение автор поделился запросом, который они использовали в urlscan.io для идентификации некоторых фишинговых доменов, связанных с кампанией.

#ParsedReport #CompletenessMedium
12-01-2024

UAC-0184: Targeted attacks against Ukrainian servicemen using the topic of recruiting to the 3rd OSHBr and the IDF (CERT-UA#8386)

https://cert.gov.ua/article/6276988

Report completeness: Medium

Actors/Campaigns:
Uac0184

Threats:
Remcos_rat
Reversessh_tool
Azov

Victims:
Servicemen of the armed forces of ukraine

Industry:
Ics, Military

Geo:
Israel, Ukraine, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1195, T1560, T1023, T1064, T1059

IOCs:
File: 72
Email: 1
Hash: 146
IP: 5
Domain: 2

Algorithms:
aes-128-ecb, gzip

Languages:
powershell