#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) выявило вредоносное ПО под названием WorkersDevBackdoor. Это вредоносное ПО распространяется через обманчивую онлайн-рекламу и собирает конфиденциальную информацию, обеспечивая бэкдорный доступ к скомпрометированным системам. Вредоносная программа использует различные методы, такие как загрузка с диска, сценарии PowerShell, пакетные файлы и ключи запуска реестра для сохранения и выполнения. Вредоносная программа взаимодействует с сервером управления, обладает функциями кейлоггера, пытается перемещаться в сторону и может распространять вредоносные файлы на другие хосты. Процесс заражения подчеркивает изощренность злоумышленников и их использование авторитетных платформ, таких как Google Ads. Целевые характеристики вредоносного ПО и его возможности по удалению данных указывают на его потенциал для кражи конфиденциальной информации и контроля сети.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда охотников за угрозами и исследователей, сосредоточенных на повышении безопасности организации.

TRU выявила вредоносную программу под названием WorkersDevBackdoor в ноябре 2023 года.

Вредоносная программа распространяется через вводящую в заблуждение онлайн-рекламу и собирает конфиденциальную информацию, открывая черный ход к скомпрометированным системам.

Вредоносная программа использует загрузку с диска, облегченную вредоносным установщиком, созданным с помощью NSIS.

Он использует ключи запуска реестра, сценарии PowerShell и пакетные файлы для сохранения и выполнения.

Вредоносная программа взаимодействует с сервером управления (C2), извлекая данные жертвы и фиксируя нажатия клавиш.

Атака использует для распространения авторитетные платформы, такие как Google Ads, что повышает ее эффективность.

Необходимо соблюдать осторожность при загрузке программного обеспечения, даже из, казалось бы, заслуживающих доверия источников.

Сценарий заражения нацелен на определенные системные атрибуты и фокусируется на долгосрочном доступе к скомпрометированным системам.

Вредоносная программа использует скрипты PowerShell и полезные приложения .NET для тактики скрытности и уклонения.

WorkDevBackdoor может регистрировать нажатия клавиш, извлекать заголовки активных окон и передавать данные, указывая на возможности эксфильтрации данных.

Злоумышленники стремятся расширить свое влияние и контроль над сетью за счет боковых перемещений и использования дополнительных инструментов.

#ParsedReport #CompletenessMedium
12-01-2024

Mimo coin miner with Mimus ransomware installed through vulnerability attack

https://asec.ahnlab.com/ko/60279

Report completeness: Medium

Actors/Campaigns:
8220_gang

Threats:
Hezb
Mimus
Log4shell_vuln
Xmrig_miner
Z0miner
Nssm_tool
Mauricrypt
Proxyjacking_technique
Trojan/win32.rl_miner.r363967
Malware/win32.generic.c4280792
Peer2profit_tool
Powershell_shell_tool

CVEs:
CVE-2022-29464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- wso2 identity server analytics (5.5.0, 5.4.1, 5.6.0, 5.4.0)
- wso2 api manager (le4.0.0)
- wso2 identity server (le5.11.0)
- wso2 enterprise integrator (le6.6.0)
- wso2 identity server as key manager (le5.10.0)
have more...
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.18.3, <5.17.6, <5.16.7)
- apache activemq legacy openwire module (<5.15.16, <5.18.3, <5.17.6, <5.16.7)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1486, T1210, T1059.001, T1190, T1027, T1048, T1189, T1203, have more...

IOCs:
Url: 17
File: 18
Coin: 2
Email: 1
Hash: 18
IP: 1

Soft:
Confluence, PaperCut, ActiveMQ, VMware Horizon, Windows Defender

Crypto:
monero, bitcoin

Algorithms:
md5, zip, aes-256, 7zip, base64, aes

Languages:
powershell, php, java, lua

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует злоумышленник, известный как Mimo (или Hezb), который использует различные уязвимости для установки вредоносного ПО. Злоумышленник в первую очередь устанавливает майнер монет под названием Mimo Miner Bot, но также было замечено, что он устанавливает программы-вымогатели Mimus, прокси-программы и вредоносные программы reverse shell. Злоумышленник Mimo нацелился на такие уязвимости, как Log4Shell, WSO2, Atlassian Confluence server и PaperCut. Злоумышленник использует PowerShell с помощью атак на уязвимости для загрузки и выполнения пакетного вредоносного ПО, которое отвечает за отключение защитника Windows и загрузку coin miner. Имеются свидетельства того, что злоумышленник использовал для атак программы-вымогателя с открытым исходным кодом MauriCrypt. Кроме того, злоумышленник использовал прокси-программы и вредоносные программы с обратной оболочкой для получения прибыли.
-----

Аналитический центр безопасности AhnLab (ASEC) идентифицировал злоумышленника-майнера монет под названием Mimo/Hezb.

Mimo/Hezb использует уязвимости для установки вредоносных программ, включая Log4Shell, WSO2, Atlassian Confluence server и PaperCut.

Mimo в первую очередь устанавливает майнер монет XMRig под названием Mimo Miner Bot, но также развертывает программы-вымогатели Mimus, прокси-программы и вредоносные программы reverse shell.

Mimo нацелен на серверы Atlassian Confluence и другие группы вредоносных программ для установки майнеров монет.

Mimo использует PowerShell и пакетное вредоносное ПО для загрузки и запуска вредоносных программ, отключения защитника Windows и установки дополнительных вредоносных программ.

Программа-вымогатель Mimus основана на программе-вымогателе MauriCrypt с открытым исходным кодом.

Злоумышленники Mimo загружают прокси-программы и вредоносную программу reverse shell с одного и того же адреса распространения.

Прокси-программа использует пропускную способность зараженной системы, в то время как вредоносная программа reverse shell предоставляет злоумышленнику контроль над зараженной системой.

Злоумышленники стремятся получать прибыль с помощью программ-вымогателей, майнинга монет и других вредоносных действий.

#ParsedReport #CompletenessLow
12-01-2024

Hundreds of Thousands of Dollars Worth of Solana Cryptocurrency Assets Stolen in Recent CLINKSINK Drainer Campaigns. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/solana-cryptocurrency-stolen-clinksink-drainer-campaigns

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1566, T1106, T1210

IOCs:
Hash: 1
Domain: 1
File: 4

Soft:
Discord, Telegram, outlook

Crypto:
solana

Algorithms:
md5, aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что учетная запись Mandiant в социальных сетях была взломана и использовалась для распространения фишинговых ссылок на средство для сбора криптовалюты под названием CLINKSINK. Средство для сбора криптовалюты CLINKSINK использовалось различными участниками угроз для кражи средств у пользователей криптовалюты Solana. Кампании с участием CLINKSINK проводятся через платформы социальных сетей и Discord, где распространяются фишинговые страницы для привлечения жертв. Вредоносный JavaScript-код CLINKSINK позволяет злоумышленникам подключаться к кошелькам жертв и красть средства. Mandiant выявил несколько кампаний CLINKSINK, связанных с общим оператором drainer-as-a-service (DaaS). Анализ кода показывает, что CLINKSINK является вариантом Chick Drainer, и существуют потенциальные подключения к другим связанным каналам, управляемым тем же участником.
-----

3 января 2024 года учетная запись Mandiant в социальных сетях была скомпрометирована и использовалась для распространения фишинговых ссылок на поставщика криптовалют под названием CLINKSINK. Однако после проведения расследования не было обнаружено доказательств какого-либо компрометации в облачных системах Mandiant или Google, которые привели к компрометации учетной записи. С декабря 2023 года различные злоумышленники использовали CLINKSINK drainer для кражи средств и токенов у пользователей криптовалюты Solana.

Кампании с участием CLINKSINK проводились через платформы социальных сетей, такие как X и Discord, где распространяются фишинговые страницы, чтобы заманить жертв приманками на тему токенов airdrop. Эти поддельные страницы загружают вредоносный JavaScript-код CLINKSINK, который позволяет злоумышленнику подключаться к кошелькам жертв и красть средства. Файл CLINKSINK запутан и специально нацелен на кошелек Phantom Desktop.

При анализе файла CLINKSINK было обнаружено, что он отправляет запрос POST на URL-адрес по адресу ontopothers.com, где в запрос включен оскорбительный термин. Сервер отвечает идентификатором группы чата Telegram, зашифрованным AES, и конфигурацией. Расшифровка ответа выявляет идентификатор группы чата Telegram и конфигурацию, которая включает адреса кошельков Solana, процент распределения украденных средств и сведения о контроле поведения. Жертве предлагается подключить свой кошелек Solana, и в случае успеха вредоносная программа запрашивает данные кошелька с другого URL-адреса по адресу ontopothers.com. Если будут возвращены действительные данные кошелька, жертве будет предложено подписать мошенническую транзакцию.

Mandiant выявил несколько кампаний CLINKSINK, в которых использовались 35 различных идентификаторов партнеров и 42 уникальных адреса кошелька Solana. Считается, что эти кампании связаны с общим оператором drainer-as-a-service (DaaS) из-за совпадения инфраструктуры и адресов Solana. Украденные средства делятся между аффилированным лицом и оператором сервиса на основе процента, полученного от сервиса drainer. В ходе недавних кампаний часть средств была отправлена на адрес предполагаемого оператора DaaS: B8Y1dERnVNoUUXeXA4NaCHiB9htcukMSkfHrFsTMHA7h.

Анализ кода выявил совпадения между CLINKSINK и кодом JavaScript, загруженным на pastebin.pl, что указывает на то, что CLINKSINK является вариантом Chick Drainer. В коде есть ссылки на @ChickDrainer, а телеграм-канал под названием @ChickDrainerLeaked утверждает, что произошла утечка исходного кода Chickdrainer. Этот канал содержит сообщения с техническими индикаторами и функциональностью, совместимыми с CLINKSINK, и делится пересылаемыми сообщениями с канала @RainbowDrainer, предполагая, что ими управляет общий участник.

#ParsedReport #CompletenessLow
12-01-2024

Cyber spies Sticky Werewolf came out of New Year's hibernation

https://habr.com/ru/companies/f_a_c_c_t/news/785472

Report completeness: Low

Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)

Threats:
Darktrack_rat
Ozone
Meta_stealer
Redline_stealer

Victims:
Russian telecommunications company, Russian pharmaceuticals, Federal security service, Government agencies, Financial companies

Industry:
Government, Telco, Healthcare, Financial

Geo:
Russian, Belarus

ChatGPT TTPs:
do not use without manual check
T1444, T1566, T1486

IOCs:
File: 2
Url: 3
Path: 1
IP: 1
Hash: 2

Algorithms:
sha1, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа кибершпионажа под названием Sticky Werewolf провела фишинговую атаку на российские организации во время новогодних праздников. Они нацелились на телекоммуникационную компанию, отправив фишинговые электронные письма, замаскированные под электронные письма Федеральной службы безопасности, с запросом заверенных копий документов. Однако система защиты компании, F.A.C.C.T. Managed XDR, успешно обнаружила и заблокировала эти электронные письма. У Sticky Werewolf есть история нападений на российские организации, использующие аналогичную тактику, и их основным методом атаки являются фишинговые электронные письма, содержащие ссылки на вредоносные файлы. Этот инцидент подчеркивает важность передовых систем кибербезопасности и постоянной бдительности в противодействии развивающимся киберугрозам.
-----

Во время новогодних праздников группа кибершпионажа под названием Sticky Werewolf предприняла атаку на российские организации. В период со 2 по 3 января они отправили около 250 фишинговых электронных писем телекоммуникационной компании. Однако система защиты компании, F.A.C.C.T. Managed XDR, смогла обнаружить и заблокировать эти электронные письма.

Фишинговые электронные письма были созданы так, чтобы они выглядели так, как будто они были от Федеральной службы безопасности, и в них запрашивались заверенные копии документов. В электронных письмах также содержалась ссылка на загрузку вредоносного файла. Этот тип атак не нов для Sticky Werewolf, поскольку ранее они атаковали российские фармацевтические компании в декабре 2023 года, выдавая себя за Министерство по чрезвычайным ситуациям и Министерство строительства.

Sticky Werewolf - группа кибершпионажа, действовавшая с апреля по октябрь 2023 года. За этот период они совершили не менее 30 атак на правительственные учреждения и финансовые компании в России и Беларуси. Их основной метод атаки - фишинговые электронные письма, содержащие ссылки на вредоносные файлы. Они также используют различные хакерские инструменты, такие как Darktrack RAT, Ozone RAT и MetaStealer stealer (который является разновидностью RedLine Stealer).

Стоит отметить, что F.A.C.C.T. Managed XDR успешно перехватила и заблокировала фишинговые электронные письма в ходе этой конкретной атаки. Это подчеркивает важность наличия передовых систем кибербезопасности для защиты от сложных и неизвестных киберугроз. Используя такие системы, организации могут снизить риски, связанные с попытками фишинга, и предотвратить несанкционированный доступ к своим сетям.

Настойчивость Sticky Werewolf в нападении на российские организации подчеркивает постоянную необходимость принятия надежных мер кибербезопасности. Предприятия и правительственные учреждения должны сохранять бдительность и постоянно обновлять свои средства защиты для противодействия этим развивающимся киберугрозам. Информирование сотрудников об опасностях фишинговых электронных писем и внедрение многоуровневых подходов к обеспечению безопасности могут значительно повысить устойчивость организации к подобным атакам.

#ParsedReport #CompletenessLow
12-01-2024

Analysis of an Info Stealer Chapter 1: The Phishing Website. Analysis of an Info Stealer - Chapter 1: The Phishing Website

https://medium.com/@icebre4ker/analysis-of-an-info-stealer-chapter-1-the-phishing-website-80712d21fb3b

Report completeness: Low

Victims:
South korean, indian, chinese mobile users

Geo:
India, Korea, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1192, T1566, T1204, T1512

IOCs:
IP: 4
Url: 6

Soft:
Android, Internet Explorer, WeChat, Chrome, macOS

Functions:
Date

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в Южной Корее проводится фишинговая кампания, целью которой является кража конфиденциальных данных у пользователей Android и iOS. Автор статьи исследует проблему, анализируя фишинговые веб-сайты, используемые в кампании, и обнаруживает методы, используемые для доставки вредоносных приложений. Цель статьи - дать представление о кампании и поделиться запросом, используемым для идентификации связанных фишинговых доменов.
-----

В ноябре 2023 года McAfee опубликовала статью, в которой освещалась проблема поддельных приложений для Android и iOS, крадущих SMS и контакты в Южной Корее. Киберпреступники распространяют вредоносные приложения через фишинговые веб-сайты для получения конфиденциальных данных от пользователей. Автор статьи решил продолжить расследование проблемы после того, как был заинтригован вредоносным приложением для iOS, упомянутым в отчете.

Первоначально автор попытался найти ipa-файлы вредоносного приложения, перечисленные в индикаторах компрометации (IOCs). Они искали на таких платформах, как MalwareBazaar и VirusTotal, но безуспешно. Следовательно, они взяли на себя смелость провести собственное расследование, начав с источника - фишинговых веб-сайтов.

Анализ был сосредоточен на нескольких фишинговых веб-сайтах, нацеленных на пользователей в Южной Корее, Индии и Китае. На этих веб-сайтах были предусмотрены две кнопки для загрузки приложений для Android и iOS. Нажатие кнопки загрузки Android приводило к загрузке файлов .apk, в то время как кнопка загрузки iOS перенаправляла пользователей на веб-страницу.

На веб-странице использовались различные методы, основанные на свойствах браузера пользователя. Для устройств, отличных от iOS, отображался QR-код, поощряющий использование iPhone. Для устройств iOS был показан интерфейс веб-сайта, напоминающий Apple Store. В конце HTML-страницы был обнаружен запутанный код JavaScript. Этот код состоял примерно из 60 функций и строк для статического анализа, включая динамические значения.

Ответное сообщение сервера, полученное в ходе анализа, указывало на успешную операцию на китайском языке. Также был обнаружен файл plist, содержащий основную информацию о вредоносном приложении для iOS. Наконец, чтобы загрузить приложение на устройство iOS, был сделан запрос GET на определенную конечную точку с IP-адресом пользователя и строковым значением.

Целью этой статьи было предоставить подробную информацию о том, как эта фишинговая кампания распространяет вредоносные приложения как для устройств Android, так и для iOS. Кроме того, автор обнаружил другие фишинговые веб-сайты, нацеленные на пользователей в Индии и Китае, что расширило масштабы кампании.

В заключение автор поделился запросом, который они использовали в urlscan.io для идентификации некоторых фишинговых доменов, связанных с кампанией.

#ParsedReport #CompletenessMedium
12-01-2024

UAC-0184: Targeted attacks against Ukrainian servicemen using the topic of recruiting to the 3rd OSHBr and the IDF (CERT-UA#8386)

https://cert.gov.ua/article/6276988

Report completeness: Medium

Actors/Campaigns:
Uac0184

Threats:
Remcos_rat
Reversessh_tool
Azov

Victims:
Servicemen of the armed forces of ukraine

Industry:
Ics, Military

Geo:
Israel, Ukraine, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1195, T1560, T1023, T1064, T1059

IOCs:
File: 72
Email: 1
Hash: 146
IP: 5
Domain: 2

Algorithms:
aes-128-ecb, gzip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Группа экстренного реагирования Украины по кибербезопасности (CERT-UA) расследует серию кибератак, направленных против украинских военнослужащих. Злоумышленники распространяют архивы, содержащие файлы LNK, которые при запуске запускают цепочку вредоносных программ, предоставляющих несанкционированный удаленный доступ к целевым компьютерам. В атаках используются скрытые команды, код VBScript и сценарии PowerShell для загрузки и выполнения вредоносных файлов и поддельных документов, содержащих термины военного характера. Эти атаки, идентифицированные как UAC-0184, отличаются от других аналогичных киберугроз, и пользователям рекомендуется сообщать о любых подозрительных действиях, чтобы уменьшить потенциальный ущерб.
-----

Группа экстренного реагирования по кибербезопасности Украины (CERT-UA) предприняла действия по расследованию серии кибератак, направленных против украинских военнослужащих. Эти атаки маскируются под попытки вербовки в 3-ю отдельную штурмовую бригаду и Армию обороны Израиля (IDF). Было обнаружено, что неизвестные лица планируют распространять архивы, содержащие файлы LNK. Когда эти файлы будут запущены, они запустят цепочку вредоносных программ, состоящую из REMCOSRAT и REVERSESSH, предоставляя злоумышленникам несанкционированный удаленный доступ к целевым компьютерам.

Файлы LNK обычно содержат скрытую команду, которая загружает и выполняет HTA-файл с помощью mshta.exe. HTA-файл содержит запутанный программный код. Код VBScript в HTA-файле затем инициирует команду PowerShell для расшифровки (с использованием AES-128-ECB), распаковки (с использованием GZIP) и выполнения другого сценария PowerShell. Этот последующий скрипт отвечает за загрузку и выполнение файлов вредоносного ПО, а также документа-приманки в формате PDF или DOCX.

Содержание этих документов-приманок важно для военных, поскольку они включают такие термины, как "опрос заключенного", "геолокация", "кодовые команды" и "позывные". Стоит отметить, что, хотя в этих атаках могут использоваться общедоступные инструменты, специфические характеристики отличают их от других подобных киберугроз. Этому конкретному кластеру угроз присвоен идентификатор UAC-0184.

Пользователям настоятельно рекомендуется сохранять бдительность и сообщать о любой подозрительной активности на своих компьютерах или в промышленных системах управления (ICS) Вооруженных Сил Украины в Центр кибербезопасности ITS (подразделение A0334) по электронной почте. Немедленное сообщение имеет важное значение для уменьшения потенциального ущерба.

#ParsedReport #CompletenessLow
12-01-2024

Analysis of an Info Stealer Chapter 2: The iOS App. Analysis of an Info Stealer - Chapter 2: The iOS App

https://medium.com/@icebre4ker/analysis-of-an-info-stealer-chapter-2-the-ios-app-0529e7b45405

Report completeness: Low

Victims:
Iphone users

ChatGPT TTPs:
do not use without manual check
T1566, T1558, T1213, T1105, T1046

IOCs:
File: 4
Hash: 2
Url: 1

Soft:
Android, Telegram, macOS

Algorithms:
md5

Languages:
javascript, swift

Links:
https://github.com/LaurieWired/iOS\_Reverse\_Engineering/blob/main/SwiftNameDemangler.py
https://github.com/sensepost/objection
https://github.com/Alamofire/Alamofire
https://github.com/AloneMonkey/frida-ios-dump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста - анализ приложения для кражи информации для iOS, которое распространялось через фишинговый веб-сайт. Автор обсуждает различные шаги, предпринятые при анализе, включая удаление файла .ipa для статического анализа, использование инструментов обратного проектирования, таких как Ghidra, для проверки кода и использование таких методов, как анализ сетевого трафика и динамический анализ с помощью таких инструментов, как Frida, Objection и Burp. Автор раскрывает важные функции, конечные точки и серверные подключения, используемые вредоносной программой, предоставляя представление о ее функциональности и потенциальном влиянии на пользовательские данные. В ходе анализа в соответствующих каталогах не было найдено никакой полезной информации. В статье также упоминаются советы по повышению эффективности анализа приложений iOS.
-----

В этой статье автор продолжает свой анализ приложения-похитителя информации для iOS, которое было доставлено через фишинговый веб-сайт. Они упоминают, что изучат всю цепочку атак и дадут несколько советов по повышению эффективности анализа приложений для iOS.

Первым шагом в анализе является выгрузка файла .ipa с помощью frida dump, который позволяет выполнять статический анализ. Затем автор переходит к анализу файла viewer с помощью Ghidra, инструмента обратного проектирования. Они используют скрипт под названием SwiftNameDemangler.py для улучшения читаемости кода и упрощения кода Swift.

Используя функцию поиска ссылок в Ghidra, автор идентифицирует основную функцию вредоносного ПО под названием FUN_1000111e4(void). Эта функция проверяет, имеет ли приложение доступ к контактам пользователя, проверяя, были ли предоставлены необходимые разрешения при запуске приложения. Автор также отмечает наличие URL-адреса для сервера управления (C2), который является https://api.telegraming.pro. Они также упоминают пути, используемые приложением, такие как "getregistertoken" и "getuploadtoken". Библиотека Alamofire используется для обмена данными по протоколу HTTP.

Статический анализ предоставляет обзор функциональности вредоносного ПО, в то время как динамический анализ проводится с использованием таких инструментов, как Frida, Objection и Burp. Приложение предлагает пользователю ввести номер телефона и отображает кнопку с надписью "Открыть альбом", хотя предполагается, что "альбом" может быть ошибкой копирования и вставки.

Во время анализа сетевого трафика автор обнаруживает две важные конечные точки: "/getregistertoken" и "/getuploadtoken". Информация, отправляемая на сервер C2, включает сведения о сети, модель iPhone, номер телефона жертвы и версию iOS. Автор отслеживает методы, начинающиеся с "URLSession" в "Alamofire.SessionDelegate", чтобы собрать больше информации.

Frida генерирует файлы JavaScript в каталоге под названием "__handlers__", которые можно редактировать для генерации выходных данных. Objection используется для извлечения каталогов, связанных с приложением, таких как библиотека, кэши и документы. Однако в ходе анализа в этих каталогах не было обнаружено никакой полезной информации.

#ParsedReport #CompletenessLow
12-01-2024

Thousands of Sites with Popup Builder Compromised by Balada Injector

https://blog.sucuri.net/2024/01/thousands-of-sites-with-popup-builder-compromised-by-balada-injector.html

Report completeness: Low

Threats:
Balada_injector

Geo:
Moldova

ChatGPT TTPs:
do not use without manual check
T1050, T1100, T1584, T1036, T1068, T1059, T1059.001

IOCs:
Domain: 39
Url: 6
File: 3
IP: 4

Soft:
WordPress

Algorithms:
base64

Functions:
WPD_init

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4