#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в Южной Корее проводится фишинговая кампания, целью которой является кража конфиденциальных данных у пользователей Android и iOS. Автор статьи исследует проблему, анализируя фишинговые веб-сайты, используемые в кампании, и обнаруживает методы, используемые для доставки вредоносных приложений. Цель статьи - дать представление о кампании и поделиться запросом, используемым для идентификации связанных фишинговых доменов.
-----

В ноябре 2023 года McAfee опубликовала статью, в которой освещалась проблема поддельных приложений для Android и iOS, крадущих SMS и контакты в Южной Корее. Киберпреступники распространяют вредоносные приложения через фишинговые веб-сайты для получения конфиденциальных данных от пользователей. Автор статьи решил продолжить расследование проблемы после того, как был заинтригован вредоносным приложением для iOS, упомянутым в отчете.

Первоначально автор попытался найти ipa-файлы вредоносного приложения, перечисленные в индикаторах компрометации (IOCs). Они искали на таких платформах, как MalwareBazaar и VirusTotal, но безуспешно. Следовательно, они взяли на себя смелость провести собственное расследование, начав с источника - фишинговых веб-сайтов.

Анализ был сосредоточен на нескольких фишинговых веб-сайтах, нацеленных на пользователей в Южной Корее, Индии и Китае. На этих веб-сайтах были предусмотрены две кнопки для загрузки приложений для Android и iOS. Нажатие кнопки загрузки Android приводило к загрузке файлов .apk, в то время как кнопка загрузки iOS перенаправляла пользователей на веб-страницу.

На веб-странице использовались различные методы, основанные на свойствах браузера пользователя. Для устройств, отличных от iOS, отображался QR-код, поощряющий использование iPhone. Для устройств iOS был показан интерфейс веб-сайта, напоминающий Apple Store. В конце HTML-страницы был обнаружен запутанный код JavaScript. Этот код состоял примерно из 60 функций и строк для статического анализа, включая динамические значения.

Ответное сообщение сервера, полученное в ходе анализа, указывало на успешную операцию на китайском языке. Также был обнаружен файл plist, содержащий основную информацию о вредоносном приложении для iOS. Наконец, чтобы загрузить приложение на устройство iOS, был сделан запрос GET на определенную конечную точку с IP-адресом пользователя и строковым значением.

Целью этой статьи было предоставить подробную информацию о том, как эта фишинговая кампания распространяет вредоносные приложения как для устройств Android, так и для iOS. Кроме того, автор обнаружил другие фишинговые веб-сайты, нацеленные на пользователей в Индии и Китае, что расширило масштабы кампании.

В заключение автор поделился запросом, который они использовали в urlscan.io для идентификации некоторых фишинговых доменов, связанных с кампанией.

#ParsedReport #CompletenessMedium
12-01-2024

UAC-0184: Targeted attacks against Ukrainian servicemen using the topic of recruiting to the 3rd OSHBr and the IDF (CERT-UA#8386)

https://cert.gov.ua/article/6276988

Report completeness: Medium

Actors/Campaigns:
Uac0184

Threats:
Remcos_rat
Reversessh_tool
Azov

Victims:
Servicemen of the armed forces of ukraine

Industry:
Ics, Military

Geo:
Israel, Ukraine, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1195, T1560, T1023, T1064, T1059

IOCs:
File: 72
Email: 1
Hash: 146
IP: 5
Domain: 2

Algorithms:
aes-128-ecb, gzip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Группа экстренного реагирования Украины по кибербезопасности (CERT-UA) расследует серию кибератак, направленных против украинских военнослужащих. Злоумышленники распространяют архивы, содержащие файлы LNK, которые при запуске запускают цепочку вредоносных программ, предоставляющих несанкционированный удаленный доступ к целевым компьютерам. В атаках используются скрытые команды, код VBScript и сценарии PowerShell для загрузки и выполнения вредоносных файлов и поддельных документов, содержащих термины военного характера. Эти атаки, идентифицированные как UAC-0184, отличаются от других аналогичных киберугроз, и пользователям рекомендуется сообщать о любых подозрительных действиях, чтобы уменьшить потенциальный ущерб.
-----

Группа экстренного реагирования по кибербезопасности Украины (CERT-UA) предприняла действия по расследованию серии кибератак, направленных против украинских военнослужащих. Эти атаки маскируются под попытки вербовки в 3-ю отдельную штурмовую бригаду и Армию обороны Израиля (IDF). Было обнаружено, что неизвестные лица планируют распространять архивы, содержащие файлы LNK. Когда эти файлы будут запущены, они запустят цепочку вредоносных программ, состоящую из REMCOSRAT и REVERSESSH, предоставляя злоумышленникам несанкционированный удаленный доступ к целевым компьютерам.

Файлы LNK обычно содержат скрытую команду, которая загружает и выполняет HTA-файл с помощью mshta.exe. HTA-файл содержит запутанный программный код. Код VBScript в HTA-файле затем инициирует команду PowerShell для расшифровки (с использованием AES-128-ECB), распаковки (с использованием GZIP) и выполнения другого сценария PowerShell. Этот последующий скрипт отвечает за загрузку и выполнение файлов вредоносного ПО, а также документа-приманки в формате PDF или DOCX.

Содержание этих документов-приманок важно для военных, поскольку они включают такие термины, как "опрос заключенного", "геолокация", "кодовые команды" и "позывные". Стоит отметить, что, хотя в этих атаках могут использоваться общедоступные инструменты, специфические характеристики отличают их от других подобных киберугроз. Этому конкретному кластеру угроз присвоен идентификатор UAC-0184.

Пользователям настоятельно рекомендуется сохранять бдительность и сообщать о любой подозрительной активности на своих компьютерах или в промышленных системах управления (ICS) Вооруженных Сил Украины в Центр кибербезопасности ITS (подразделение A0334) по электронной почте. Немедленное сообщение имеет важное значение для уменьшения потенциального ущерба.

#ParsedReport #CompletenessLow
12-01-2024

Analysis of an Info Stealer Chapter 2: The iOS App. Analysis of an Info Stealer - Chapter 2: The iOS App

https://medium.com/@icebre4ker/analysis-of-an-info-stealer-chapter-2-the-ios-app-0529e7b45405

Report completeness: Low

Victims:
Iphone users

ChatGPT TTPs:
do not use without manual check
T1566, T1558, T1213, T1105, T1046

IOCs:
File: 4
Hash: 2
Url: 1

Soft:
Android, Telegram, macOS

Algorithms:
md5

Languages:
javascript, swift

Links:
https://github.com/LaurieWired/iOS\_Reverse\_Engineering/blob/main/SwiftNameDemangler.py
https://github.com/sensepost/objection
https://github.com/Alamofire/Alamofire
https://github.com/AloneMonkey/frida-ios-dump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста - анализ приложения для кражи информации для iOS, которое распространялось через фишинговый веб-сайт. Автор обсуждает различные шаги, предпринятые при анализе, включая удаление файла .ipa для статического анализа, использование инструментов обратного проектирования, таких как Ghidra, для проверки кода и использование таких методов, как анализ сетевого трафика и динамический анализ с помощью таких инструментов, как Frida, Objection и Burp. Автор раскрывает важные функции, конечные точки и серверные подключения, используемые вредоносной программой, предоставляя представление о ее функциональности и потенциальном влиянии на пользовательские данные. В ходе анализа в соответствующих каталогах не было найдено никакой полезной информации. В статье также упоминаются советы по повышению эффективности анализа приложений iOS.
-----

В этой статье автор продолжает свой анализ приложения-похитителя информации для iOS, которое было доставлено через фишинговый веб-сайт. Они упоминают, что изучат всю цепочку атак и дадут несколько советов по повышению эффективности анализа приложений для iOS.

Первым шагом в анализе является выгрузка файла .ipa с помощью frida dump, который позволяет выполнять статический анализ. Затем автор переходит к анализу файла viewer с помощью Ghidra, инструмента обратного проектирования. Они используют скрипт под названием SwiftNameDemangler.py для улучшения читаемости кода и упрощения кода Swift.

Используя функцию поиска ссылок в Ghidra, автор идентифицирует основную функцию вредоносного ПО под названием FUN_1000111e4(void). Эта функция проверяет, имеет ли приложение доступ к контактам пользователя, проверяя, были ли предоставлены необходимые разрешения при запуске приложения. Автор также отмечает наличие URL-адреса для сервера управления (C2), который является https://api.telegraming.pro. Они также упоминают пути, используемые приложением, такие как "getregistertoken" и "getuploadtoken". Библиотека Alamofire используется для обмена данными по протоколу HTTP.

Статический анализ предоставляет обзор функциональности вредоносного ПО, в то время как динамический анализ проводится с использованием таких инструментов, как Frida, Objection и Burp. Приложение предлагает пользователю ввести номер телефона и отображает кнопку с надписью "Открыть альбом", хотя предполагается, что "альбом" может быть ошибкой копирования и вставки.

Во время анализа сетевого трафика автор обнаруживает две важные конечные точки: "/getregistertoken" и "/getuploadtoken". Информация, отправляемая на сервер C2, включает сведения о сети, модель iPhone, номер телефона жертвы и версию iOS. Автор отслеживает методы, начинающиеся с "URLSession" в "Alamofire.SessionDelegate", чтобы собрать больше информации.

Frida генерирует файлы JavaScript в каталоге под названием "__handlers__", которые можно редактировать для генерации выходных данных. Objection используется для извлечения каталогов, связанных с приложением, таких как библиотека, кэши и документы. Однако в ходе анализа в этих каталогах не было обнаружено никакой полезной информации.

#ParsedReport #CompletenessLow
12-01-2024

Thousands of Sites with Popup Builder Compromised by Balada Injector

https://blog.sucuri.net/2024/01/thousands-of-sites-with-popup-builder-compromised-by-balada-injector.html

Report completeness: Low

Threats:
Balada_injector

Geo:
Moldova

ChatGPT TTPs:
do not use without manual check
T1050, T1100, T1584, T1036, T1068, T1059, T1059.001

IOCs:
Domain: 39
Url: 6
File: 3
IP: 4

Soft:
WordPress

Algorithms:
base64

Functions:
WPD_init

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании кибератак, известной как Balada Injector. Кампания нацелена на веб-сайты путем заражения их более старыми версиями плагина Popup Builder. Злоумышленники используют недавно зарегистрированный домен под названием specialcraftbox.com и на данный момент заразили более 6200 сайтов. Атака включает внедрение скрипта в базу данных, попытку установки бэкдора и выполнение различных вредоносных действий. Злоумышленники используют уязвимости, такие как сохраненная уязвимость XSS в плагине Popup Builder, для быстрого заражения уязвимых веб-сайтов. Рекомендуются меры по защите веб-сайтов от заражения вредоносными программами, включая мониторинг на наличие вредоносных администраторов и плагинов, внедрение принципов 2FA и наименьших привилегий для учетных записей администраторов и оперативное удаление бэкдоров веб-сайтов.
-----

Кампания Balada Injector стартовала 13 декабря, заражая веб-сайты старыми версиями плагина Popup Builder. В атаке использовался недавно зарегистрированный домен под названием specialcraftbox.com. На данный момент с помощью инъекции было обнаружено более 6200 сайтов.

Злоумышленники внедряют скрипт в базу данных, а затем пытаются внедрить бэкдор. В этом случае внедренный скрипт проверяет наличие определенных ключевых слов в файлах cookie, связанных с администратором. Если файлы cookie отсутствуют, он загружает последующие скрипты, ответственные за вредоносные перенаправления и мошеннические push-уведомления из hxxps://soft.specialcraftbox.com/KQGrXb?c= + window.местоположение.имя хоста и hxxps://rest.greenfastline.com/vkRJGzsp. Однако, если обнаружены файлы cookie администратора, скрипт добавляет параметр "a=1" к следующему URL-адресу вызова. Этот скрипт использует преимущество загрузки и выполнения администратором сайта для загрузки, установки и активации вредоносного плагина wp-felody.php. URL скомпрометированного сайта затем передается обратно в hxxps://get.specialcraftbox.com/loc/r.php?zd= + window.местоположение.origin.

Основную функциональность бэкдора можно найти в функции WPD_init(). Отправка POST-запроса с параметром "w33=w33" подтверждает наличие бэкдора. Другой набор параметров POST, "q33" и "q34", используются для загрузки и выполнения произвольного PHP-кода. Этот код загружается во временный каталог и удаляется сразу после выполнения. Кроме того, другой уровень бэкдора извлекает код из http://get.specialcraftbox.com/loc/gr.txt, сохраняет его во временном каталоге системы, выполняет его, а затем удаляет с диска.

Операторы Balada зарегистрировали домены specialcraftbox.com и greenfastline.com специально для кампании Popup Builder и использовали брандмауэр CloudFlare, чтобы скрыть свои IP-адреса. Однако 6 января 2024 года CloudFlare заблокировала домен specialcraftbox.com, и он был перенесен на сервер в Молдове. 9 января 2024 года greenfastline.com также пришлось перейти на тот же сервер. Домены, участвующие в перенаправлениях на мошеннические push-уведомления, следуют определенному шаблону, используя поддомены и определенные параметры URL.

Balada Injector использует известные уязвимости, в частности сохраненную уязвимость XSS в плагине Popup Builder. Несмотря на выпуск исправленной версии, более 3000 веб-сайтов все еще были заражены неделями спустя. Злоумышленники имеют возможность идентифицировать уязвимые веб-сайты и заражать тысячи в течение нескольких часов. Чтобы защитить веб-сайты от заражения вредоносными программами, рекомендуется отслеживать наличие вредоносных администраторов WordPress и плагинов, внедрять принципы 2FA и наименьших привилегий для учетных записей администраторов, предотвращать межсайтовое заражение и оперативно удалять бэкдоры веб-сайта. Доступно руководство по безопасности веб-сайта с полезными советами. Денис Синегубко, старший исследователь вредоносных программ в Sucuri, отвечает за исследование возникающих угроз и создание сигнатур для проверки сайта.

#ParsedReport #CompletenessLow
12-01-2024

Modus operandi UAC-0177 (JokerDPR) on the example of one of the cyber attacks (CERT-UA#8290)

https://cert.gov.ua/article/6276799

Report completeness: Low

Actors/Campaigns:
Jokerdpr

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1194, T1568

IOCs:
IP: 3
Domain: 274
File: 3

Soft:
Telegram, Outlook, outlook.outlook

Wallets:
coinbase

Crypto:
binance

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинговые атаки, осуществляемые через электронную почту, являются распространенным методом, используемым киберпреступниками для получения несанкционированного доступа к аккаунтам на популярных сервисах. Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, расследовала инцидент, связанный с фишинговыми атаками со стороны подписчиков JokerDPR. Эти атаки включают создание поддельных доменов и веб-страниц, имитирующих законные сервисы, и распространение их по электронной почте. Для борьбы с этими атаками CERT-UA выпустила индикаторы компрометации (IOCS), которые помогают идентифицировать и атрибутировать атаки. Пользователям рекомендуется быть осторожными при взаимодействии с электронными письмами, проверять подлинность, прежде чем переходить по ссылкам или предоставлять конфиденциальную информацию, и применять строгие меры безопасности для защиты от фишинговых атак.
-----

Электронная почта является распространенным методом общения и обмена информацией, но киберпреступники часто используют ее для фишинговых атак.

Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA расследовала инцидент с фишингом, опубликованный в Telegram-канале JokerDPR.

Злоумышленники используют регистраторов доменов Tucows и Namecheap для создания поддельных доменных имен и веб-страниц, имитирующих законные сервисы.

Поддельные ссылки распространяются по электронной почте, часто со взломанных аккаунтов, чтобы обманом заставить людей разгласить конфиденциальную информацию.

CERT-UA выявил индикаторы компрометации (IOCS), которые помогают идентифицировать и приписывать эти атаки.

Пользователи должны быть осторожны при взаимодействии с электронными письмами, запрашивающими конфиденциальную информацию, проверять подлинность, прежде чем переходить по ссылкам или загружать вложения.

Крайне важно иметь современное антивирусное программное обеспечение, проявлять осторожность в общедоступных сетях Wi-Fi и регулярно информировать о методах фишинга и передовых методах кибербезопасности.

Рекомендуется применять строгие меры безопасности, такие как многофакторная аутентификация, шифрование и надежные политики паролей.

Регулярный мониторинг и обновление систем и программного обеспечения помогают поддерживать надежную защиту от киберугроз.

#ParsedReport #CompletenessMedium
12-01-2024

APT28: From initial attack to creating threats to a domain controller in an hour (CERT-UA#8399)

https://cert.gov.ua/article/6276894

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Masepie_tool
Steelhook_stealer
Oceanmap_backdoor
Impacket_tool
Smbexec_tool
Sysupdate

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1189, T1086, T1059, T1005, T1192, T1134, T1550, T1114, T1003, T1136, have more...

IOCs:
File: 10
Hash: 18
IP: 4
Domain: 8
Email: 2
Path: 20
Command: 27

Soft:
OPENSSH

Algorithms:
zip, base64, aes-128-cbc

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что произошла серия кибератак на государственные организации, связанных с распространением вредоносных электронных писем. Эти электронные письма содержат ссылки, ведущие к установке вредоносных программ на компьютеры получателей. Атаки приписываются группе APT28 и включают использование различных вредоносных инструментов и файлов, таких как MASEPIE, OPENSSH, STEELHOOK и OCEANMAP. Целью атак является нацеливание на информационно-коммуникационную систему всей организации, и аналогичные атаки наблюдались в польских организациях. Задействованные вредоносные программы используют различные языки программирования и каналы управления для своей работы, а также используют различные механизмы сохранения для поддержания доступа к скомпрометированным компьютерам.
-----

В период с 15 по 25 декабря 2023 года были обнаружены многочисленные инциденты, связанные с распространением вредоносных электронных писем среди государственных организаций. Эти электронные письма содержали ссылки на предполагаемые "документы", нажатие на которые приводило к повреждению компьютеров получателей в результате установки вредоносных программ. Расследование этих инцидентов показало, что предоставленные ссылки перенаправляли жертв на веб-сайт, где можно было загрузить файл быстрого доступа. При открытии этого файла запускалась команда PowerShell, которая затем загружала и запускала различные вредоносные инструменты и файлы.

Загруженные инструменты включали MASEPIE, который является интерпретатором языка программирования Python, и Client.py файл, классифицированный как MASEPIE. Этот инструмент облегчил функциональность других вредоносных программ, таких как OPENSSH (используется для создания туннеля), скрипты STEELHOOK PowerShell (используются для кражи данных из интернет-браузеров Chrome/Edge) и бэкдор OCEANMAP.

После заражения на скомпрометированных компьютерах были созданы дополнительные инструменты, такие как IMPACKET и SMBEXEC. Эти инструменты позволяли проводить разведку сети и предпринимать попытки бокового перемещения внутри сети. Комбинация методов, тактик, процедур и инструментов, использованных в этих атаках, указывала на причастность группы APT28, известного исполнителя угроз. Цель этих атак, по-видимому, заключается в нацеливании на информационно-коммуникационную систему всей организации, подразумевая, что компрометация любого компьютера в сети может представлять значительную угрозу.

Аналогичные атаки на польские организации также наблюдались, что свидетельствует о более широкой кампании. OCEANMAP, одна из задействованных вредоносных программ, разработана с использованием языка программирования C# и выполняет команды с помощью cmd.exe. Он использует протокол IMAP в качестве канала управления, при этом командные сообщения хранятся в черновиках сообщений в каталогах электронной почты. Бэкдор обеспечивает сохраняемость, создавая .URL-файл с именем "VMSearch.url" в каталоге автозапуска.

MASEPIE, разработанный с использованием Python, фокусируется на загрузке файлов и выполнении команд. Каналом управления служит протокол TCP, а шифрование данных реализовано с использованием алгоритма AES-128-CBC. Сохранение бэкдора поддерживается путем создания раздела реестра и файла LNK с именем "SystemUpdate.lnk" в каталоге автозагрузки.

Кроме того, сценарий STEELHOOK PowerShell используется для кражи данных из интернет-браузеров пользователей. Данные кодируются в base64 и отправляются через HTTP POST-запрос на сервер управления.

#ParsedReport #CompletenessLow
12-01-2024

Stories from the SOC: BlackCat on the prowl

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-blackcat-on-the-prowl

Report completeness: Low

Threats:
Blackcat
Revil
Impacket_tool
Lolbas_technique

Industry:
Healthcare, Entertainment

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1078, T1486, TA0006, TA0040, T1564

IOCs:
File: 5
Command: 2

Algorithms:
aes, xor

Languages:
python, rust

Links:
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с программой-вымогателем BlackCat, которая была нацелена на одного из клиентов Центра управления безопасностью AT&T Managed Detection and Response (MDR). AT&T SOC совместно с AT&T Alien Labs успешно обнаружили и устранили атаку. Программа-вымогатель BlackCat написана на Rust и может работать как в операционных системах Windows, так и Linux. Она использует методы шифрования и дешифрования, боковое перемещение по сети, библиотеку Impacket Python для манипулирования сетевыми протоколами и удаления теневых копий. В тексте также содержатся рекомендации по обнаружению и смягчению последствий такого типа атак.
-----

BlackCat - известная разновидность вредоносного ПО, связанная с вредоносной программой REvil и имеющая связи с российскими операторами.

BlackCat написан на языке Rust, известном своей производительностью и экономичностью.

BlackCat нацелен на различные отрасли, включая здравоохранение и развлечения.

Компания AT&T SOC успешно обнаружила и устранила атаку программы-вымогателя BlackCat на одного из своих клиентов.

Атака включала в себя вход пользователя в сеть клиента с помощью lsass.exe и шифрование нескольких файлов.

AT&T SOC использовала инструмент глубокой видимости SentinelOne для расследования инцидента.

Программа-вымогатель BlackCat написана на Rust и может работать в операционных системах Windows и Linux.

Вредоносная программа использует методы шифрования и дешифрования, чтобы запутать свои строки.

BlackCat использует расшифрованные учетные данные для перемещения по сети и использует библиотеку Impacket Python для манипулирования сетевыми протоколами.

Он создает и запускает службу на удаленном компьютере с помощью двоичного файла программы-вымогателя.

Он удаляет теневые копии Windows и использует утилиты LOLBAS для удаления файлов теневых копий.

Мониторинг новых групп или администраторов, инициирование сброса паролей, проверка установленного программного обеспечения и смена паролей Kerberos - вот рекомендуемые шаги для обнаружения и смягчения последствий атак BlackCat.

Внесение файла-вымогателя в черный список и восстановление зараженных контроллеров домена являются важными шагами.

Скомпрометированные пароли пользователей, полученные из Alien Labs, могут помочь выявить потенциальные нарушения безопасности.

#ParsedReport #CompletenessLow
12-01-2024

Financial Fraud APK Campaign

https://unit42.paloaltonetworks.com/malicious-apks-steal-pii-from-chinese-users

Report completeness: Low

Threats:
Wildfire

Victims:
Chinese android users

Industry:
Financial

Geo:
Japanese, Chinese, Apac, Emea, Japan, China, America

ChatGPT TTPs:
do not use without manual check
T1192, T1371, T1137, T1406, T1003, T1071

IOCs:
Domain: 1
IP: 4
Url: 4
Hash: 5

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4