#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в последнее время были проведены кампании по распространению вредоносного ПО, нацеленные на пользователей Mac, в частности, через вредоносную рекламу и скомпрометированные веб-сайты. В центре внимания этих кампаний находится вредоносная программа под названием Atomic Stealer (AMOS), которая постоянно обновляется и имеет высокую арендную плату в размере 3000 долларов в месяц. Разработчики Atomic Stealer внесли обновления, позволяющие избежать обнаружения, такие как шифрование полезной нагрузки и скрытие определенных строк, используемых для обнаружения. Вредоносное ПО распространяется через программные взломы и вредоносную рекламу, а недавняя кампания по вредоносной рекламе нацелена на пользователей Mac. Вредоносная программа запрашивает у пользователей системный пароль, что позволяет ей собирать пароли и конфиденциальные файлы. Разработчики также уделяют особое внимание краже файлов cookie браузера для несанкционированного доступа к учетным записям. Соответствующие стороны были уведомлены о вредоносной рекламе и инфраструктуре, связанной с Atomic Stealer.
-----

В прошлом году было проведено множество кампаний по распространению вредоносных программ, нацеленных на пользователей Mac с помощью вредоносной рекламы и скомпрометированных веб-сайтов. Одна из популярных распространяемых вредоносных программ называется Atomic Stealer (AMOS). Разработчики этого stealer постоянно обновляли его и добавляли новые функции, чтобы оправдать его высокую арендную плату в размере 3000 долларов в месяц.

Примерно в декабре 2023 года Atomic Stealer был обновлен с помощью шифрования полезной нагрузки, чтобы избежать обнаружения. Некоторые образцы обновленной версии были найдены на VirusTotal, после чего в январе 2024 года была замечена кампания по вредоносной рекламе. Цель этого поста в блоге - рассмотреть последние изменения в Atomic Stealer и его распространение с помощью вредоносной рекламы в поисковой системе Google.

В декабре разработчики Atomic Stealer предложили специальную праздничную скидку на свой Telegram-канал, снизив стоимость подписки до 2000 долларов до 31 декабря. Примерно 17 декабря код Atomic Stealer был изменен, чтобы скрыть определенные строки, которые ранее использовались для обнаружения и идентификации его сервера управления.

Существует два основных канала распространения Atomic Stealer: программные взломы и вредоносная реклама. Клиенты, использующие программные взломы, потенциально имели ранний доступ к обновленной версии Atomic Stealer. Во время праздничных каникул активность недобросовестной рекламы снизилась, включая кампании, проводимые с помощью поисковой рекламы Google. Однако 8 января была выявлена вредоносная рекламная кампания, нацеленная на пользователей Mac с обновленной версией Atomic Stealer, использующая аналогичную тактику, наблюдавшуюся в предыдущих кампаниях по распространению FakeBat.

Вредоносный файл DMG, связанный с Atomic Stealer, содержит инструкции для пользователей по открытию файла и предлагает им ввести свой системный пароль. Это позволяет Atomic Stealer собирать пароли и другие конфиденциальные файлы в обход ограничений доступа. Код Atomic Stealer был запутан, что затрудняет идентификацию определенных строк, раскрывающих природу полезной нагрузки и сервера управления.

Кража файлов cookie браузера также находится в центре внимания разработчиков Atomic Stealer, поскольку это может обеспечить несанкционированный доступ к учетным записям с помощью токенов сеанса, что может быть более ценным, чем просто кража паролей. Разработчики анонсировали функцию файлов cookie в канун Рождества.

О вредоносной рекламе и инфраструктуре, связанных с Atomic Stealer, было сообщено соответствующим сторонам для устранения последствий.

#ParsedReport #CompletenessLow
12-01-2024

Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

Report completeness: Low

Industry:
Government

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.1
X-Force: Patch: Official fix

CVE-2023-46805 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1078, T1208, T1106, T1059, T1005, T1203, T1071, T1043, T1022, T1041, have more...

IOCs:
File: 5
Url: 1
Domain: 1
Hash: 4

Algorithms:
md5, rc4, sha256, base64, aes

Functions:
accept, btoa

Win API:
decompress

Languages:
perl, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что устройства Ivanti Connect Secure VPN и Policy Secure подвержены влиянию двух уязвимостей: CVE-2023-46805 и CVE-2024-21887. Эти уязвимости, которые могут привести к обходу аутентификации и внедрению команд, активно эксплуатировались злоумышленником, известным как UNC5221, с декабря 2023 года. Ivanti сотрудничает с различными сторонами для устранения уязвимостей и предоставляет меры по смягчению последствий и информацию, чтобы помочь пострадавшим пользователям. Компания Mandiant выявила несколько семейств вредоносных программ, связанных с эксплуатацией устройств Ivanti, включая ZIPLINE, THINSPOOL, LIGHTWIRE, WIREFIRE и WARPWIRE. Эти семейства вредоносных программ обеспечивают доступ через черный ход, внедрение веб-оболочки, выполнение команд и сбор учетных данных. Источник угрозы, стоящий за этими действиями, не был идентифицирован, но нацеливание на уязвимости нулевого дня в пограничной инфраструктуре предполагает шпионаж в качестве мотивации.
-----

Важные факты из текста:.

Компания Ivanti раскрыла две уязвимости, CVE-2023-46805 и CVE-2024-21887, влияющие на их устройства Connect Secure VPN и Policy Secure.

Эти уязвимости могут привести к обходу аутентификации и внедрению команд, создавая риск для сетей-жертв.

Уязвимости активно эксплуатировались с декабря 2023 года злоумышленником, известным как UNC5221, подозреваемым в шпионской деятельности.

Ivanti сотрудничает с Mandiant, пострадавшими клиентами, правительственными партнерами и Volexity для устранения уязвимостей.

Компания Ivanti опубликовала меры по смягчению последствий и запись в блоге, чтобы помочь пользователям определить, были ли затронуты их системы, и в настоящее время разрабатываются исправления.

Компания Mandiant выявила пять семейств вредоносных программ, связанных с эксплуатацией устройств Ivanti, включая ZIPLINE, THINSPOOL, LIGHTWIRE, WIREFIRE и WARPWIRE.

ZIPLINE - это пассивный бэкдор, который перехватывает сетевой трафик и выполняет вредоносные функции на основе определенных критериев.

THINSPOOL - это дроппер, который внедряет веб-оболочку LIGHTWIRE в легальные файлы, пытаясь избежать обнаружения средством проверки целостности Ivanti.

LIGHTWIRE - это веб-оболочка, которая выполняет произвольные команды путем перехвата запросов и интерпретации декодированного зашифрованного текста как Perl-кода.

WIREFIRE - это веб-оболочка, которая служит троянским компонентом, позволяющим загружать файлы и выполнять произвольные команды.

WARPWIRE - это средство сбора учетных данных, встроенное в законный файл, предназначенное для использования с незашифрованными именами пользователей и паролями, отправляемыми через HTTP GET-запросы.

Конкретная группа исполнителей угроз, ответственная за эти действия, пока не определена.

Участники шпионажа обычно используют уязвимости нулевого дня в пограничной инфраструктуре для своих операций.

Использование скомпрометированных, не поддерживаемых Cyberoam VPN-устройств предполагает, что эта кампания мотивирована шпионажем.

#technique

"Bob the Smuggler": A tool that leverages HTML Smuggling Attack and allows you to create HTML files with embedded 7z/zip archives. The tool would compress your binary (EXE/DLL) into 7z/zip file format, then XOR encrypt the archive and then hides inside PNG/GIF image file format (Image Polyglots).

https://github.com/TheCyb3rAlpha/BobTheSmuggler

#technique
Интересная работа.
Обратите внимание на авторов. Мое субъективное ощущение, что от китайских спецов появляется очень много статей по атакам на ИИ.

https://arxiv.org/html/2312.14197v1

#ParsedReport #CompletenessLow
15-01-2024

Shiz. New variant of Shiz virus emerges, multiple ways to fight against stealing information

https://mp-weixin-qq-com.translate.goog/s/LCRwbXWkzoEMReD-5YsnFg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Threats:
Shiz
Dns_hijacking_technique

Victims:
Foreign user groups

ChatGPT TTPs:
do not use without manual check
T1110, T1497, T1027, T1055, T1001, T1179, T1213

IOCs:
File: 3

Soft:
Tinder, WeChat, Windows Firewall

Win API:
DnsQuery_A, GetClipboardData, HttpSendRequestW

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 21, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый вариант вируса Shiz, нацеленный на иностранные группы пользователей и способный красть конфиденциальную информацию. Вирус применяет контрмеры, чтобы избежать обнаружения антивирусным программным обеспечением, и использует алгоритм генерации доменных имен для генерации динамических доменных имен, что затрудняет системам защиты блокирование связи с его сервером управления. Вредоносная программа внедряет вредоносные модули в системные процессы, скрываясь внутри различных процессов и выполняя вредоносные действия, такие как перехват DNS и кража данных.
-----

Недавно система анализа угроз Tinder выявила новый вариант вируса Shiz, который быстро распространяется. Этот конкретный вариант нацелен на иностранные группы пользователей и способен красть конфиденциальную информацию с зараженных компьютеров. Кроме того, он может выполнять различные вредоносные операции, включая перехват посещения пользователем веб-сайта антивирусного программного обеспечения и перенаправление его на веб-сайт Google.

При активации вирус Shiz использует контрмеры для обнаружения сред виртуальных машин и антивирусного программного обеспечения. Он использует различные тактики, такие как выполнение шеллкода блоками и методы обфускации, такие как PUSH RET, чтобы затруднить антивирусному программному обеспечению его обнаружение и борьбу с ним. После успешного выполнения вирус внедряет вредоносные модули в системные процессы для выполнения вредоносных действий, таких как кража данных, скриншоты и перехват DNS.

Процесс выполнения вируса включает расшифровку и выполнение шеллкода несколькими последовательными блоками. Каждый блок шифруется после выполнения, а следующий блок расшифровывается и выполняется впоследствии. Основная цель шеллкода - получить внутренние модули из ресурсов, расшифровать их и загрузить в память. Как только модуль выполняет операции инициализации, шелл-код вводится в системные процессы для выполнения.

Примечательной особенностью этого варианта Shiz является использование DGA (алгоритма генерации доменных имен) для генерации динамических доменных имен. Этот механизм позволяет вредоносному ПО обходить системы защиты, полагающиеся на статические черные списки. Традиционным методам защиты, основанным на сигнатурах, может быть сложно оперативно реагировать на динамически генерируемые доменные имена, что дает вредоносному ПО возможность взаимодействовать со своим сервером управления (C&C), даже если некоторые доменные имена занесены в черный список. В ходе анализа не было обнаружено уцелевших серверов C&C.

Вредоносный модуль, внедренный вирусом, может скрываться внутри различных процессов и выполнять вредоносный код. Если он идентифицирует процесс с именем "svchost.exe", он выполняет перехват DNS, подключая функции, связанные с DNS. Это позволяет вредоносному ПО перехватывать сетевой трафик и манипулировать им. Модуль также может загружать файлы подписей и другую конфиденциальную информацию на сервер C&C, одновременно записывая и загружая учетные данные для входа и указанные данные веб-сайта. Функция "HttpSendRequestW" используется в качестве примера в предоставленном фрагменте кода.

#ParsedReport #CompletenessLow
15-01-2024

The Many Faces of Undetected macOS InfoStealers \| KeySteal, Atomic & CherryPie Continue to Adapt

https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt

Report completeness: Low

Threats:
Keysteal
Amos_stealer
Meta_stealer
Realst
Applescript
Jaskago

Victims:
Macos users, Enterprise macos users

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1027, T1497, TA0006, T1005, T1558, T1003

IOCs:
Hash: 13
Domain: 1
IP: 1

Soft:
macOS, ChatGPT, Gatekeeper, sudo

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что число инфокрадов, нацеленных на macOS, растет, причем наблюдаются такие варианты, как KeySteal, Atomic Stealer и CherryPie. Несмотря на обновления Apple своей базы данных сигнатур XProtect, этим инфокрадам удалось обойти известные сигнатуры. В статье подробно рассказывается об эволюции этих инфокрадов и их способности избегать обнаружения механизмами статического обнаружения сигнатур. В нем также упоминаются конкретные характеристики и методы распространения каждого infostealer. Клиенты, использующие SentinelOne, упомянуты как защищенные от этих угроз, что подчеркивает текущие проблемы, с которыми сталкиваются пользователи macOS enterprise при работе с эволюционирующими и уклончивыми вариантами вредоносных программ.
-----

Число инфокрадов, нацеленных на macOS, таких как Atomic Stealer, macOS MetaStealer и RealStealer, растет.

Apple знает об этой проблеме и обновила свою базу данных сигнатур XProtect.

Однако несколько инфокрадов нашли способы обойти известные сигнатуры.

Вредоносное ПО KeySteal претерпело значительные изменения с тех пор, как оно было впервые обнаружено в 2021 году, и больше не обнаруживается XProtect.

KeySteal распространяется различными способами и появляется под разными именами и форматами файлов.

Последние версии KeySteal имеют низкие показатели обнаружения и содержат жестко закодированные адреса серверов управления.

Atomic Stealer претерпел изменения, и наблюдаются различные версии вредоносного ПО.

Самые последние версии Atomic Stealer плохо обнаруживаются в VirusTotal и включают логику, предотвращающую обнаружение жертвами, аналитиками и "песочницами".

Первоначальное распространение Atomic Stealer, скорее всего, будет осуществляться через торренты или платформы социальных сетей, ориентированные на игры.

macOS CherryPie, также известный как Gary Stealer или JaskaGo, недавно был добавлен в XProtect, но столкнулся с трудностями при обнаружении на VirusTotal.

CherryPie - это кроссплатформенный похититель, ориентированный как на Windows, так и на macOS и включающий в себя логику антианализа и обнаружения виртуальных машин.

Клиенты, использующие SentinelOne, защищены от KeySteal, Atomic InfoStealer и CherryPie/Garry Stealer.

Эти информационные материалы подчеркивают текущие проблемы, с которыми сталкиваются пользователи macOS enterprise, несмотря на усилия Apple по обновлению своей базы данных сигнатур.

#ParsedReport #CompletenessLow
15-01-2024

Analyzing APT28s OCEANMAP Backdoor & Exploring its C2 Server Artifacts. Analyzing APT28 s OCEANMAP Backdoor & Exploring its C2 Server Artifacts

https://medium.com/@knight0x07/analyzing-apt28s-oceanmap-backdoor-exploring-its-c2-server-artifacts-db2c3cb4556b

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)

Threats:
Oceanmap
Taskkill

Victims:
State organizations

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1547.001, T1095, T1083, T1059, T1213, T1114, T1105, T1003, T1059.001, have more...

IOCs:
File: 10
Path: 6
Command: 2

Algorithms:
base64

Functions:
execute, connect, Login, change, normal, ReplaceBytes, change_time, run, create, OCEANMAP, have more...

Win API:
readfile

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератака на государственные организации в Украине была приписана российской группе кибершпионажа APT28. В атаке использовался новый бэкдор под названием OCEANMAP, целью которого было поддержание постоянства, связь с сервером командования и контроля и выполнение команд. Злоумышленники, стоящие за APT28, активно тестировали бэкдор на своих собственных компьютерах, что свидетельствует об их расширенных возможностях в проведении кибершпионажа.
-----

28 декабря 2023 года Команда реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) опубликовала рекомендацию относительно кибератаки на государственные организации, приписав ее российской группе кибершпионажа APT28, также известной как Fancy Bear. В атаке использовался новый бэкдор под названием OCEANMAP, который был написан на C#. Целью этого бэкдора было поддержание постоянства путем завершения других экземпляров самого себя, удаления определенных двоичных файлов и создания копии двоичного файла. Он установил связь с сервером командования и контроля (C2) по протоколу IMAP на порту 143 с использованием TcpClient. В случае неудачных попыток входа в систему он пробовал разные наборы учетных данных.

Дальнейший анализ показал, что злоумышленники, стоящие за APT28, протестировали бэкдор OCEANMAP на своих собственных компьютерах. Артефакты с сервера C2 показали выходные данные выполнения команд и списки каталогов с конкретными путями в их системах. Кроме того, бэкдор мог удаленно обновлять свою конфигурацию, получая команды с сервера C2. Измененный двоичный файл будет взаимодействовать с обновленным сервером C2 и учетными данными электронной почты, обеспечивая стандартную длину конфигурации во время обновлений.

Для получения команд бэкдор OCEANMAP использовал метод readfile() и подключился к серверу C2 с помощью методов connect() и login(), используя указанные конфигурации сервера и учетных данных. Затем он выполнял поиск по определенным ключевым словам в темах сообщений и извлекал соответствующую команду, закодированную в base64, из тела сообщения. После декодирования и выполнения команд сообщения были удалены. Этот процесс выполнялся в рамках бесконечного цикла, при этом бэкдор переходил в спящий режим на основе значения sleep, указанного в конфигурации.

Таким образом, бэкдор OCEANMAP использовал различные методы для поддержания постоянства, связи с сервером C2 и выполнения команд. Злоумышленники, стоящие за APT28, активно тестировали бэкдор на своих компьютерах, и у бэкдора была возможность удаленно обновлять свою конфигурацию. Эти выводы подчеркивают расширенные возможности и операции APT28 в проведении кибершпионажной деятельности.

#ParsedReport #CompletenessHigh
15-01-2024

Sneaky Azorult Back in Action and Goes Undetected

https://cyble.com/blog/sneaky-azorult-back-in-action-and-goes-undetected

Report completeness: High

Threats:
Azorult

Geo:
Ukrainian, Russian, Asia, Azerbaijani, Belarusian

TTPs:
Tactics: 5
Technics: 6

IOCs:
Command: 4
Path: 2
Url: 9
File: 8
Domain: 1
IP: 1
Hash: 18

Soft:
task scheduler, Hyper-V, Active Directory, Electrum-LTC, Mozilla Firefox, Google Chrome, Microsoft Edge, Opera, Authy, Discord, have more...

Wallets:
electrum, electron_cash, jaxx, guarda_wallet, mymonero, wassabi, blockstreamgreen, bitpay, daedalus, trezor, have more...

Crypto:
ethereum, monero

Algorithms:
xor, sha256, curve25519, zip, base64, sha1, aes, md5

Functions:
EnumDisplayDevices, ShellExecute, checkVal, putBaseCfg, systeminfo, cryptowallets

Win API:
VirtualAlloc, CreateThread, WaitForSingleObject, GetUserDefaultLangID, CryptGenRandom

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, code: 12, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа Azorult представляет собой угрозу кражи информации, которая в настоящее время развертывается в рамках текущей кампании. Вредоносная программа использует запутанные сценарии PowerShell и выполнение на основе памяти, чтобы избежать обнаружения. Он может служить загрузчиком для других семейств вредоносных программ и широко используется в фишинговых кампаниях по электронной почте. Вредоносное ПО нацелено на конфиденциальные данные, включая историю посещенных страниц, учетные данные для входа, файлы cookie и информацию о криптовалюте. Оно также захватывает скриншоты зараженной системы и отправляет собранные артефакты на удаленный сервер. Доступность вредоносного ПО на подпольных форумах подчеркивает постоянную опасность, которую оно представляет для скомпрометированных систем.
-----

Вредоносная программа Azorult - это угроза кражи информации, впервые выявленная в 2016 году.

Он собирает такие данные, как история посещенных страниц, учетные данные для входа в систему, файлы cookie и сведения о криптовалюте.

Azorult может служить загрузчиком для других семейств вредоносных программ.

Продолжается кампания, нацеленная на ничего не подозревающих пользователей.

Кампания начинается с zip-файла, содержащего вредоносный ярлык, замаскированный под PDF-документ.

Различные этапы включают запутанные сценарии PowerShell, пакетные файлы, удаленные серверы и внедрение шелл-кода.

Все действия выполняются в памяти компьютера, чтобы избежать обнаружения и избежать следов на диске.

Azorult широко использовался в фишинговых кампаниях по электронной почте и доступен для продажи на подпольных российских форумах.

Он нацелен на крипто-кошельки, браузеры и различные приложения для сбора конфиденциальных данных.

Собранные артефакты отправляются на удаленный сервер с помощью шифрования и сжатия.

Azorult использует криптографию с эллиптической кривой Curve25519 для генерации ключей и безопасной связи.

Он может быть родом из Восточной Европы или Центральной Азии, основываясь на языковых показателях в коде.

Вредоносная программа значительно снижает вероятность обнаружения, поскольку не сохраняет файлы на диске.

Продолжающаяся кампания Azorult представляет постоянную угрозу, поскольку крадет конфиденциальные данные и способствует распространению дополнительных вредоносных программ.