#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста - анализ приложения для кражи информации для iOS, которое распространялось через фишинговый веб-сайт. Автор обсуждает различные шаги, предпринятые при анализе, включая удаление файла .ipa для статического анализа, использование инструментов обратного проектирования, таких как Ghidra, для проверки кода и использование таких методов, как анализ сетевого трафика и динамический анализ с помощью таких инструментов, как Frida, Objection и Burp. Автор раскрывает важные функции, конечные точки и серверные подключения, используемые вредоносной программой, предоставляя представление о ее функциональности и потенциальном влиянии на пользовательские данные. В ходе анализа в соответствующих каталогах не было найдено никакой полезной информации. В статье также упоминаются советы по повышению эффективности анализа приложений iOS.
-----

В этой статье автор продолжает свой анализ приложения-похитителя информации для iOS, которое было доставлено через фишинговый веб-сайт. Они упоминают, что изучат всю цепочку атак и дадут несколько советов по повышению эффективности анализа приложений для iOS.

Первым шагом в анализе является выгрузка файла .ipa с помощью frida dump, который позволяет выполнять статический анализ. Затем автор переходит к анализу файла viewer с помощью Ghidra, инструмента обратного проектирования. Они используют скрипт под названием SwiftNameDemangler.py для улучшения читаемости кода и упрощения кода Swift.

Используя функцию поиска ссылок в Ghidra, автор идентифицирует основную функцию вредоносного ПО под названием FUN_1000111e4(void). Эта функция проверяет, имеет ли приложение доступ к контактам пользователя, проверяя, были ли предоставлены необходимые разрешения при запуске приложения. Автор также отмечает наличие URL-адреса для сервера управления (C2), который является https://api.telegraming.pro. Они также упоминают пути, используемые приложением, такие как "getregistertoken" и "getuploadtoken". Библиотека Alamofire используется для обмена данными по протоколу HTTP.

Статический анализ предоставляет обзор функциональности вредоносного ПО, в то время как динамический анализ проводится с использованием таких инструментов, как Frida, Objection и Burp. Приложение предлагает пользователю ввести номер телефона и отображает кнопку с надписью "Открыть альбом", хотя предполагается, что "альбом" может быть ошибкой копирования и вставки.

Во время анализа сетевого трафика автор обнаруживает две важные конечные точки: "/getregistertoken" и "/getuploadtoken". Информация, отправляемая на сервер C2, включает сведения о сети, модель iPhone, номер телефона жертвы и версию iOS. Автор отслеживает методы, начинающиеся с "URLSession" в "Alamofire.SessionDelegate", чтобы собрать больше информации.

Frida генерирует файлы JavaScript в каталоге под названием "__handlers__", которые можно редактировать для генерации выходных данных. Objection используется для извлечения каталогов, связанных с приложением, таких как библиотека, кэши и документы. Однако в ходе анализа в этих каталогах не было обнаружено никакой полезной информации.

#ParsedReport #CompletenessLow
12-01-2024

Thousands of Sites with Popup Builder Compromised by Balada Injector

https://blog.sucuri.net/2024/01/thousands-of-sites-with-popup-builder-compromised-by-balada-injector.html

Report completeness: Low

Threats:
Balada_injector

Geo:
Moldova

ChatGPT TTPs:
do not use without manual check
T1050, T1100, T1584, T1036, T1068, T1059, T1059.001

IOCs:
Domain: 39
Url: 6
File: 3
IP: 4

Soft:
WordPress

Algorithms:
base64

Functions:
WPD_init

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании кибератак, известной как Balada Injector. Кампания нацелена на веб-сайты путем заражения их более старыми версиями плагина Popup Builder. Злоумышленники используют недавно зарегистрированный домен под названием specialcraftbox.com и на данный момент заразили более 6200 сайтов. Атака включает внедрение скрипта в базу данных, попытку установки бэкдора и выполнение различных вредоносных действий. Злоумышленники используют уязвимости, такие как сохраненная уязвимость XSS в плагине Popup Builder, для быстрого заражения уязвимых веб-сайтов. Рекомендуются меры по защите веб-сайтов от заражения вредоносными программами, включая мониторинг на наличие вредоносных администраторов и плагинов, внедрение принципов 2FA и наименьших привилегий для учетных записей администраторов и оперативное удаление бэкдоров веб-сайтов.
-----

Кампания Balada Injector стартовала 13 декабря, заражая веб-сайты старыми версиями плагина Popup Builder. В атаке использовался недавно зарегистрированный домен под названием specialcraftbox.com. На данный момент с помощью инъекции было обнаружено более 6200 сайтов.

Злоумышленники внедряют скрипт в базу данных, а затем пытаются внедрить бэкдор. В этом случае внедренный скрипт проверяет наличие определенных ключевых слов в файлах cookie, связанных с администратором. Если файлы cookie отсутствуют, он загружает последующие скрипты, ответственные за вредоносные перенаправления и мошеннические push-уведомления из hxxps://soft.specialcraftbox.com/KQGrXb?c= + window.местоположение.имя хоста и hxxps://rest.greenfastline.com/vkRJGzsp. Однако, если обнаружены файлы cookie администратора, скрипт добавляет параметр "a=1" к следующему URL-адресу вызова. Этот скрипт использует преимущество загрузки и выполнения администратором сайта для загрузки, установки и активации вредоносного плагина wp-felody.php. URL скомпрометированного сайта затем передается обратно в hxxps://get.specialcraftbox.com/loc/r.php?zd= + window.местоположение.origin.

Основную функциональность бэкдора можно найти в функции WPD_init(). Отправка POST-запроса с параметром "w33=w33" подтверждает наличие бэкдора. Другой набор параметров POST, "q33" и "q34", используются для загрузки и выполнения произвольного PHP-кода. Этот код загружается во временный каталог и удаляется сразу после выполнения. Кроме того, другой уровень бэкдора извлекает код из http://get.specialcraftbox.com/loc/gr.txt, сохраняет его во временном каталоге системы, выполняет его, а затем удаляет с диска.

Операторы Balada зарегистрировали домены specialcraftbox.com и greenfastline.com специально для кампании Popup Builder и использовали брандмауэр CloudFlare, чтобы скрыть свои IP-адреса. Однако 6 января 2024 года CloudFlare заблокировала домен specialcraftbox.com, и он был перенесен на сервер в Молдове. 9 января 2024 года greenfastline.com также пришлось перейти на тот же сервер. Домены, участвующие в перенаправлениях на мошеннические push-уведомления, следуют определенному шаблону, используя поддомены и определенные параметры URL.

Balada Injector использует известные уязвимости, в частности сохраненную уязвимость XSS в плагине Popup Builder. Несмотря на выпуск исправленной версии, более 3000 веб-сайтов все еще были заражены неделями спустя. Злоумышленники имеют возможность идентифицировать уязвимые веб-сайты и заражать тысячи в течение нескольких часов. Чтобы защитить веб-сайты от заражения вредоносными программами, рекомендуется отслеживать наличие вредоносных администраторов WordPress и плагинов, внедрять принципы 2FA и наименьших привилегий для учетных записей администраторов, предотвращать межсайтовое заражение и оперативно удалять бэкдоры веб-сайта. Доступно руководство по безопасности веб-сайта с полезными советами. Денис Синегубко, старший исследователь вредоносных программ в Sucuri, отвечает за исследование возникающих угроз и создание сигнатур для проверки сайта.

#ParsedReport #CompletenessLow
12-01-2024

Modus operandi UAC-0177 (JokerDPR) on the example of one of the cyber attacks (CERT-UA#8290)

https://cert.gov.ua/article/6276799

Report completeness: Low

Actors/Campaigns:
Jokerdpr

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1194, T1568

IOCs:
IP: 3
Domain: 274
File: 3

Soft:
Telegram, Outlook, outlook.outlook

Wallets:
coinbase

Crypto:
binance

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинговые атаки, осуществляемые через электронную почту, являются распространенным методом, используемым киберпреступниками для получения несанкционированного доступа к аккаунтам на популярных сервисах. Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины, CERT-UA, расследовала инцидент, связанный с фишинговыми атаками со стороны подписчиков JokerDPR. Эти атаки включают создание поддельных доменов и веб-страниц, имитирующих законные сервисы, и распространение их по электронной почте. Для борьбы с этими атаками CERT-UA выпустила индикаторы компрометации (IOCS), которые помогают идентифицировать и атрибутировать атаки. Пользователям рекомендуется быть осторожными при взаимодействии с электронными письмами, проверять подлинность, прежде чем переходить по ссылкам или предоставлять конфиденциальную информацию, и применять строгие меры безопасности для защиты от фишинговых атак.
-----

Электронная почта является распространенным методом общения и обмена информацией, но киберпреступники часто используют ее для фишинговых атак.

Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA расследовала инцидент с фишингом, опубликованный в Telegram-канале JokerDPR.

Злоумышленники используют регистраторов доменов Tucows и Namecheap для создания поддельных доменных имен и веб-страниц, имитирующих законные сервисы.

Поддельные ссылки распространяются по электронной почте, часто со взломанных аккаунтов, чтобы обманом заставить людей разгласить конфиденциальную информацию.

CERT-UA выявил индикаторы компрометации (IOCS), которые помогают идентифицировать и приписывать эти атаки.

Пользователи должны быть осторожны при взаимодействии с электронными письмами, запрашивающими конфиденциальную информацию, проверять подлинность, прежде чем переходить по ссылкам или загружать вложения.

Крайне важно иметь современное антивирусное программное обеспечение, проявлять осторожность в общедоступных сетях Wi-Fi и регулярно информировать о методах фишинга и передовых методах кибербезопасности.

Рекомендуется применять строгие меры безопасности, такие как многофакторная аутентификация, шифрование и надежные политики паролей.

Регулярный мониторинг и обновление систем и программного обеспечения помогают поддерживать надежную защиту от киберугроз.

#ParsedReport #CompletenessMedium
12-01-2024

APT28: From initial attack to creating threats to a domain controller in an hour (CERT-UA#8399)

https://cert.gov.ua/article/6276894

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Masepie_tool
Steelhook_stealer
Oceanmap_backdoor
Impacket_tool
Smbexec_tool
Sysupdate

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1189, T1086, T1059, T1005, T1192, T1134, T1550, T1114, T1003, T1136, have more...

IOCs:
File: 10
Hash: 18
IP: 4
Domain: 8
Email: 2
Path: 20
Command: 27

Soft:
OPENSSH

Algorithms:
zip, base64, aes-128-cbc

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что произошла серия кибератак на государственные организации, связанных с распространением вредоносных электронных писем. Эти электронные письма содержат ссылки, ведущие к установке вредоносных программ на компьютеры получателей. Атаки приписываются группе APT28 и включают использование различных вредоносных инструментов и файлов, таких как MASEPIE, OPENSSH, STEELHOOK и OCEANMAP. Целью атак является нацеливание на информационно-коммуникационную систему всей организации, и аналогичные атаки наблюдались в польских организациях. Задействованные вредоносные программы используют различные языки программирования и каналы управления для своей работы, а также используют различные механизмы сохранения для поддержания доступа к скомпрометированным компьютерам.
-----

В период с 15 по 25 декабря 2023 года были обнаружены многочисленные инциденты, связанные с распространением вредоносных электронных писем среди государственных организаций. Эти электронные письма содержали ссылки на предполагаемые "документы", нажатие на которые приводило к повреждению компьютеров получателей в результате установки вредоносных программ. Расследование этих инцидентов показало, что предоставленные ссылки перенаправляли жертв на веб-сайт, где можно было загрузить файл быстрого доступа. При открытии этого файла запускалась команда PowerShell, которая затем загружала и запускала различные вредоносные инструменты и файлы.

Загруженные инструменты включали MASEPIE, который является интерпретатором языка программирования Python, и Client.py файл, классифицированный как MASEPIE. Этот инструмент облегчил функциональность других вредоносных программ, таких как OPENSSH (используется для создания туннеля), скрипты STEELHOOK PowerShell (используются для кражи данных из интернет-браузеров Chrome/Edge) и бэкдор OCEANMAP.

После заражения на скомпрометированных компьютерах были созданы дополнительные инструменты, такие как IMPACKET и SMBEXEC. Эти инструменты позволяли проводить разведку сети и предпринимать попытки бокового перемещения внутри сети. Комбинация методов, тактик, процедур и инструментов, использованных в этих атаках, указывала на причастность группы APT28, известного исполнителя угроз. Цель этих атак, по-видимому, заключается в нацеливании на информационно-коммуникационную систему всей организации, подразумевая, что компрометация любого компьютера в сети может представлять значительную угрозу.

Аналогичные атаки на польские организации также наблюдались, что свидетельствует о более широкой кампании. OCEANMAP, одна из задействованных вредоносных программ, разработана с использованием языка программирования C# и выполняет команды с помощью cmd.exe. Он использует протокол IMAP в качестве канала управления, при этом командные сообщения хранятся в черновиках сообщений в каталогах электронной почты. Бэкдор обеспечивает сохраняемость, создавая .URL-файл с именем "VMSearch.url" в каталоге автозапуска.

MASEPIE, разработанный с использованием Python, фокусируется на загрузке файлов и выполнении команд. Каналом управления служит протокол TCP, а шифрование данных реализовано с использованием алгоритма AES-128-CBC. Сохранение бэкдора поддерживается путем создания раздела реестра и файла LNK с именем "SystemUpdate.lnk" в каталоге автозагрузки.

Кроме того, сценарий STEELHOOK PowerShell используется для кражи данных из интернет-браузеров пользователей. Данные кодируются в base64 и отправляются через HTTP POST-запрос на сервер управления.

#ParsedReport #CompletenessLow
12-01-2024

Stories from the SOC: BlackCat on the prowl

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-blackcat-on-the-prowl

Report completeness: Low

Threats:
Blackcat
Revil
Impacket_tool
Lolbas_technique

Industry:
Healthcare, Entertainment

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1078, T1486, TA0006, TA0040, T1564

IOCs:
File: 5
Command: 2

Algorithms:
aes, xor

Languages:
python, rust

Links:
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с программой-вымогателем BlackCat, которая была нацелена на одного из клиентов Центра управления безопасностью AT&T Managed Detection and Response (MDR). AT&T SOC совместно с AT&T Alien Labs успешно обнаружили и устранили атаку. Программа-вымогатель BlackCat написана на Rust и может работать как в операционных системах Windows, так и Linux. Она использует методы шифрования и дешифрования, боковое перемещение по сети, библиотеку Impacket Python для манипулирования сетевыми протоколами и удаления теневых копий. В тексте также содержатся рекомендации по обнаружению и смягчению последствий такого типа атак.
-----

BlackCat - известная разновидность вредоносного ПО, связанная с вредоносной программой REvil и имеющая связи с российскими операторами.

BlackCat написан на языке Rust, известном своей производительностью и экономичностью.

BlackCat нацелен на различные отрасли, включая здравоохранение и развлечения.

Компания AT&T SOC успешно обнаружила и устранила атаку программы-вымогателя BlackCat на одного из своих клиентов.

Атака включала в себя вход пользователя в сеть клиента с помощью lsass.exe и шифрование нескольких файлов.

AT&T SOC использовала инструмент глубокой видимости SentinelOne для расследования инцидента.

Программа-вымогатель BlackCat написана на Rust и может работать в операционных системах Windows и Linux.

Вредоносная программа использует методы шифрования и дешифрования, чтобы запутать свои строки.

BlackCat использует расшифрованные учетные данные для перемещения по сети и использует библиотеку Impacket Python для манипулирования сетевыми протоколами.

Он создает и запускает службу на удаленном компьютере с помощью двоичного файла программы-вымогателя.

Он удаляет теневые копии Windows и использует утилиты LOLBAS для удаления файлов теневых копий.

Мониторинг новых групп или администраторов, инициирование сброса паролей, проверка установленного программного обеспечения и смена паролей Kerberos - вот рекомендуемые шаги для обнаружения и смягчения последствий атак BlackCat.

Внесение файла-вымогателя в черный список и восстановление зараженных контроллеров домена являются важными шагами.

Скомпрометированные пароли пользователей, полученные из Alien Labs, могут помочь выявить потенциальные нарушения безопасности.

#ParsedReport #CompletenessLow
12-01-2024

Financial Fraud APK Campaign

https://unit42.paloaltonetworks.com/malicious-apks-steal-pii-from-chinese-users

Report completeness: Low

Threats:
Wildfire

Victims:
Chinese android users

Industry:
Financial

Geo:
Japanese, Chinese, Apac, Emea, Japan, China, America

ChatGPT TTPs:
do not use without manual check
T1192, T1371, T1137, T1406, T1003, T1071

IOCs:
Domain: 1
IP: 4
Url: 4
Hash: 5

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе семейства вредоносных файлов Android Package Kit (APK), нацеленных на китайских пользователей. Злоумышленники выдают себя за сотрудников правоохранительных органов и обманом заставляют жертв загружать вредоносное приложение, которое затем запрашивает конфиденциальную личную информацию для опустошения банковских счетов жертв. Метод доставки, по-видимому, является социальной инженерией, и злоумышленники используют тактику, обычно применяемую участниками угроз в Китае. Решения Palo Alto Networks в области кибербезопасности, такие как брандмауэр следующего поколения с облачными службами безопасности, обеспечивают защиту от этого вредоносного APK. В статье подчеркивается важность отказа от загрузки сторонних приложений из ненадежных источников и обмена конфиденциальной информацией с неизвестными источниками. Результаты были переданы Альянсу по борьбе с киберугрозами (CTA), чтобы обеспечить быстрое развертывание средств защиты и сбоев в работе против субъектов киберугроз.
-----

В тексте подчеркивается обнаружение семейства вредоносных файлов Android Package Kit (APK), предназначенных для китайских пользователей. Злоумышленники выдают себя за сотрудников правоохранительных органов и обманом заставляют жертв загружать вредоносное приложение под предлогом расследования их банковских транзакций. После установки приложение запрашивает конфиденциальную личную информацию, включая данные платежной карты, которую злоумышленники затем используют для обналичивания банковских счетов жертв. Активность, связанная с этими вредоносными APK-приложениями, была впервые обнаружена в ноябре 2022 года и резко возросла в сентябре 2023 года.

Образцы вредоносного ПО, вероятно, были получены жертвами из неофициальных сторонних источников, поскольку они не соответствовали официальным стандартам app Store. Методом доставки, скорее всего, была социальная инженерия, аналогичная тактике, используемой злоумышленниками в Китае. Вредоносное приложение под названием "Security Protection" запрашивало разрешение на совершение телефонных звонков и получение SMS-сообщений, эффективно блокируя любые оповещения о финансовом мошенничестве из законных источников.

Чтобы убедить жертв в легитимности приложения, злоумышленники предоставили номер судебного дела и сгенерировали поддельный юридический документ с именем жертвы. Затем они направляли жертв к загрузке полезной нагрузки следующего этапа, утверждая, что это необходимо для расследования их банковских транзакций и источника средств. Приложение поддерживало различные банковские учреждения, чтобы выглядеть более аутентично. Блокировка входящих звонков и сообщений затрудняла финансовым учреждениям контакт с жертвами и увеличивала вероятность того, что жертвы попадутся на удочку мошенников.

Брандмауэр нового поколения Palo Alto Networks с облачными службами безопасности, включая расширенный WildFire, защиту DNS и расширенную фильтрацию URL-адресов, обеспечил защиту от этого вредоносного APK. Песочница WildFire перехватила и предотвратила это конкретное семейство вредоносных программ, в то время как журналы динамического анализа выявили исходящие HTTP-соединения с удаленными конечными точками, связанными с вредоносным ПО. Множественные подключения к этим вредоносным IP-адресам и доменам в течение короткого периода времени служили индикаторами командно-контрольного трафика (C2), способствуя обнаружению и смягчению последствий.

Чтобы защититься от этой угрозы, в статье рекомендуется не загружать сторонние приложения из ненадежных источников и не делиться конфиденциальной информацией с неизвестными источниками. Клиенты Palo Alto Networks лучше защищены благодаря своим продуктам безопасности, которые включают расширенное предотвращение угроз и расширенную фильтрацию URL. Полученные результаты были переданы Альянсу по борьбе с киберугрозами (CTA) для содействия быстрому внедрению средств защиты и сбоев в работе от злоумышленников в киберпространстве.

#ParsedReport #CompletenessLow
12-01-2024

Rimasuta New Variant Switches to ChaCha20 Encryption Algorithm. Timeline

https://blog.xlab.qianxin.com/rimasuta-new-variant-switches-to-chacha20-encryption-en

Report completeness: Low

Threats:
Mirai

ChatGPT TTPs:
do not use without manual check
T1190, T1022, T1094, T1133, T1498, T1095

IOCs:
Hash: 1

Algorithms:
chacha20

Win Services:
bits

Languages:
javascript

Links:
https://github.com/rurban/fast-hash/blob/master/fasthash.c?ref=blog.xlab.qianxin.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ ботнета Rimasuta, разновидности вредоносного ПО Mirai. Ботнет эволюционировал и претерпел значительные изменения в структуре кода и функциональности. Он использует уязвимости, проводит DDoS-атаки и использует уникальные методы распространения. Конечная цель Rimasuta неясна, но, возможно, это создание своей прокси-сети. Пользователям рекомендуется отслеживать исходящий трафик по IP-адресу прокси-сервера Rimasuta и анализировать данные о трафике для домена Tor Rimasuta, чтобы обнаружить заражение. В анализе также обсуждается временная шкала Rimasuta и ее коммуникационный дизайн, включающий SOCKS5 с использованием метода Tor Proxy.
-----

Анализ сосредоточен на эволюции ботнета Rimasuta, который является разновидностью вредоносного ПО Mirai. Первоначально он назывался Mirai_ptea, но позже был изменен на Mirai_ptea_Rimasuta из-за недовольства автора. Было замечено, что ботнет использует уязвимости, проводит DDoS-атаки и использует уникальные методы распространения.

Анализ показывает, что Rimasuta претерпела значительные изменения в структуре кода и функциональности. Компания переработала свой алгоритм шифрования, теперь используя алгоритм ChaCha20, и обновила свой протокол связи Command and Control (C2). Ботнет также внес изменения в свою таблицу строк и включил сбор информации о пользователях в фазу согласования ключей. Конечная цель Rimasuta неясна, но, возможно, это создание своей прокси-сети.

Чтобы обнаружить заражение, пользователям рекомендуется отслеживать исходящий трафик по IP-адресу прокси-сервера Rimasuta и анализировать данные о трафике для домена Tor Rimasuta. Для этой цели приведен пример правила Snort.

В анализе обсуждается временная шкала Rimasuta, отмечается, что она была обнаружена в июне 2021 года и считалась недолговечной сетью зомби. Однако недавно она всплыла на поверхность с изменениями в алгоритмах шифрования, форматах протоколов и других аспектах. Ботнет по-прежнему использует прокси-сервер Tor для связи и использует протокол STUN для сбора информации о пользователях.

Коммуникационный дизайн Rimasuta предполагает непрямую связь с C2 с использованием метода "SOCKS5 с прокси-сервером Tor". Бот подключается к прокси-серверу и запрашивает подключение к случайно выбранному домену Tor из списка Tor. Согласование ключей происходит для шифрования и отправки пользовательской информации с использованием шифрования ChaCha20. C2 может расшифровать полученную информацию.

#ParsedReport #CompletenessHigh
12-01-2024

The Rising Threat of Pikabot

https://www.esentire.com/blog/the-rising-threat-of-pikabot

Report completeness: High

Threats:
Pikabot
Process_hollowing_technique
Anydesk_tool

Victims:
Manufacturing companies, Business service companies

Geo:
Russian, Emea, Africa, America, Apac, Ukrainian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1059.007, T1560.001, T1083, T1005, T1016, T1082, T1055.012, T1012, T1190, have more...

IOCs:
File: 4
Path: 1
Domain: 3
Url: 6
IP: 20
Hash: 2

Soft:
curl, Slack, Zoom

Algorithms:
zip, base64, aes, rc4

Languages:
python, javascript

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/PikaBot/Pikabot\_1-2-2024.yar
https://github.com/esThreatIntelligence/iocs/blob/main/PikaBot/PikaBot-1-2-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4