#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участились целенаправленные вредоносные атаки на украинское правительство и компании с использованием вредоносного ПО SmokeLoader. Атаки включают отправку электронных писем с содержанием на украинском языке, замаскированных под информацию, связанную со счетом, чтобы побудить получателей открыть вложенные файлы. Как только файл открыт, SmokeLoader запускает и загружает дополнительные модули или вредоносное ПО с сервера управления. Вредоносное ПО потенциально может привести к развертыванию программы-вымогателя Lockbit. Для украинских организаций крайне важно внедрять надежные меры кибербезопасности, включая осторожность с вложениями электронной почты, обновление решений для защиты от вредоносных программ, обучение персонала методам фишинга и внедрение мер сетевой безопасности для обнаружения и предотвращения несанкционированных подключений к серверам C&C. Мониторинг ненормального поведения и оперативное расследование подозрительных действий также важны для минимизации потенциального ущерба.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил об увеличении числа целенаправленных вредоносных атак на украинское правительство и компании. Атаки связаны с распространением вредоносного ПО SmokeLoader, целью которого является проникновение в различные секторы, включая Министерство юстиции, государственные учреждения, страховые, медицинские, строительные и производственные компании. Метод распространения предполагает отправку электронных писем с содержанием на украинском языке, замаскированных под информацию, связанную со счетом, с предложением получателям открыть вложенные файлы.

Вложение к электронному письму представляет собой сжатый файл 7z, содержащий другой сжатый ZIP-файл. Внутри ZIP-файла злоумышленники спрятали исполняемый файл в формате SFX, замаскировав его под расширение PDF. Когда получатель нажимает на прикрепленный файл, запускается файл SFX, генерирующий поддельный PDF-файл для обмана пользователей. Тем временем также создается файл BAT, который отвечает за запуск вредоносной программы SmokeLoader.

SmokeLoader - это вредоносная программа типа загрузчика, которая устанавливает соединение с сервером управления (C&C). Затем она загружает дополнительные модули или вредоносное ПО на основе инструкций, полученных с сервера. После выполнения SmokeLoader внедряется в процесс explorer.exe и выполняет вредоносные действия.

Первым шагом работы вредоносной программы является саморепликация. Она копирует себя в путь %AppData% с именем "ewuabsi", применяя атрибуты скрытых и системных файлов, чтобы избежать обнаружения. После этого он пытается установить соединение со следующим сервером C&C. Это соединение позволяет злоумышленнику загружать различные другие вредоносные коды, потенциально включая программу-вымогатель Lockbit.

Эта волна атак SmokeLoader указывает на сохраняющуюся угрозу украинским организациям и подчеркивает необходимость принятия надежных мер кибербезопасности. Пользователям рекомендуется соблюдать осторожность при открытии вложений электронной почты, особенно тех, которые, по-видимому, связаны со счетами-фактурами или написаны на украинском языке, поскольку это может быть признаком попытки фишинга или распространения вредоносного ПО. Решения для защиты от вредоносных программ, регулярные обновления и обучение персонала методам фишинга могут помочь снизить риски, связанные с такими атаками.

Кроме того, организациям следует внедрять меры сетевой безопасности для обнаружения и предотвращения несанкционированных подключений к серверам C&C. Мониторинг любого ненормального поведения в процессе explorer.exe и оперативное расследование любых подозрительных действий имеют решающее значение для минимизации потенциального ущерба или несанкционированного доступа к конфиденциальным данным.

#ParsedReport #CompletenessMedium
16-01-2024

A Full Analysis of the Pure Malware Family: Unique and Growing Threat. Pure: overview of the malware family

https://any.run/cybersecurity-blog/pure-malware-family-analysis

Report completeness: Medium

Threats:
Purecoder_actor
Purecryptor
Purelogs
Hvnc_tool
Quasar_rat
Costura_tool
Pureminer
Xmrig_miner

Industry:
Financial

TTPs:
Tactics: 4
Technics: 6

IOCs:
Hash: 11
File: 3
Command: 2
Path: 4
IP: 3
Domain: 2

Soft:
Telegram, Task Scheduler

Crypto:
bitcoin

Algorithms:
sha1, cbc, md5, sha256, aes, xor, gzip, 3des

Win API:
CheckRemoteDebuggerPresent

#ParsedReport #ExtractedSchema

Classified images:
code: 18, schema: 3, dump: 7, windows: 9, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что семейство вредоносных программ Pure, включающее PureCrypter, PureLogs и вариант майнера, распространяется и используется во вредоносных целях, несмотря на заявления о том, что это образовательное программное обеспечение. Вредоносное ПО продается через Telegram-бота, и пользователи должны совершать платежи в криптовалюте, используя биткоин-кошельки, которые, вероятно, являются частью биткоин-микшера. Вредоносное ПО использует методы обфускации, чтобы скрыть себя от антивирусных программ и анализа. Вредоносная программа PureLogs - это многофункциональный похититель, который предполагает кражу данных, в то время как вариант miner предполагает передачу и прием зашифрованных данных с сервера C2. Популярность и распространение вредоносного ПО Pure быстро растут.
-----

Распространение продуктов PureCoder началось в марте 2021 года и используется во вредоносных целях, несмотря на заявления об образовательных целях. Вредоносное ПО Pure продается через Telegram-бота, что делает его более автоматизированным и анонимным. Пользователи должны совершать криптовалютные платежи в биткоинах, используя биткоин-кошельки, которые, вероятно, являются частью биткоин-микшера. Активность в этих кошельках началась в период с 19 по 26 мая 2023 года, и на одном кошельке уже было 250 транзакций на сумму 32 000 долларов. Семейство Pure malware существует уже несколько лет, пользуется популярностью и содержит в себе различные типы вредоносных программ.

Статья посвящена анализу двух конкретных типов чистого вредоносного ПО: PureCrypter и PureLogs. PureCrypter - это шифровальщик, который запутывает и шифрует данные, чтобы скрыть вредоносное ПО от антивирусных программ и анализа. Он имеет два этапа: поэтапный и безэтапный. Полезная нагрузка. Расшифрованные ресурсы содержат библиотеки, такие как Protobuf-net и Costura, которые формируют конфигурацию со сжатым вредоносным ПО. Затем вредоносное ПО запускается с параметрами из конфигурации в новом процессе. Интерфейс разработчика PureCrypter включает функции для защиты от отладки и удаления. Он проверяет наличие прав администратора и добавляет весь диск C: в список исключений антивируса. PureLogs, еще одна вредоносная программа семейства Pure, является многофункциональным похитителем, который занимается кражей данных. Его иногда путают с ZGRat, но у него разные схемы сетевого трафика.

PureLogs часто распространяется загрузчиком, защищенным NET Reactor protector. Он загружает библиотеку PureLogs с сервера C2 для целей кражи данных. Как и PureCrypter, PureLogs имеет методы запутывания, которые усложняют его анализ. Также упоминается вариант майнера из семейства Pure. Этот майнер напоминает PureCrypter и PureLogs по структуре кода. Он предполагает передачу и прием данных с сервера C2, при этом данные шифруются с использованием 3DES. Вредоносная программа также содержит исполняемый файл, ответственный за выполнение команд с сервера C2, и упоминает майнер XMRIG.

Таким образом, семейство вредоносных программ Pure быстро распространяется и часто маскируется под легальное программное обеспечение в образовательных целях. Однако анализ кода выявляет его вредоносный умысел. Распространение вредоносного ПО Pure расширилось с помощью Telegram-бота, что указывает на масштабируемость. Ожидается, что в ближайшем будущем популярность Pure возрастет. В целом, этот анализ дает представление о поведении и методах обнаружения различных типов вредоносных программ семейства Pure.

#ParsedReport #CompletenessLow
16-01-2024

Case Study. Technical Analysis

https://russianpanda95.github.io/2024/01/15/Atomic-Stealer-AMOS

Report completeness: Low

Threats:
Amos_stealer

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1056, T1558, T1064, T1214, T1213

IOCs:
Hash: 3
IP: 2
File: 2
Coin: 4

Soft:
MacOS, Telegram, Chrome, Vivaldi, Opera, OperaGX, Microsoft Edge, Google Chrome, OS API, ome, have more...

Wallets:
metamask, electrum, coinomi

Crypto:
binance

Algorithms:
xor, md5, pbkdf2, zip

Functions:
pass, GetUserPassword, dotask, GrabChromium, keychain, systeminfo, FileGrabber, GrabFirefox, ColdWallets

Languages:
python

Platforms:
apple

Links:
https://github.com/RussianPanda95/IDAPython/blob/main/Atomic%20Stealer/idapython\_amos\_stealer\_string\_decrypt.py
https://github.com/thanatoskira/OSXChromeDecrypt/blob/master/ChromePasswords.py
https://github.com/RussianPanda95/Yara-Rules/blob/main/AtomicStealer/Atomic\_Stealer.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание и анализ Atomic Stealer, вредоносной программы-похитителя, нацеленной на устройства macOS. В тексте подробно рассказывается о ее обнаружении, функциональности, изменениях в последней версии, методах шифрования, способах передачи украденных данных и усилиях по минимизации обнаружения. В нем также упоминается участие людей по имени Эдвард Краудер и @cod3nym в исследовании аспектов macOS и внедрении функции дешифрования.
-----

Atomic Stealer - это вредоносная программа-похититель, которая специально нацелена на устройства macOS. Впервые она была обнаружена в марте 2023 года во время хакерских действий России. Последняя версия Atomic Stealer, известная как AMOS (Atomic Stealer), шифрует все строки, в отличие от предыдущих версий, в которых были строки с открытым текстом.

Предыдущие версии AMOS включали различные функции, такие как защита от виртуальных машин и сбор информации об оборудовании на устройствах Mac путем выполнения команды "system_profiler SPHardwareDataType". При обнаружении виртуальной машины VMware или Apple программа завершает работу. В противном случае собранная информация сохраняется в "/Sysinfo.txt". Кроме того, вводится действительный пароль и записывается в файл "/Users/run//пароль введен".

В последней версии AMOS генерирует путь, используя числовое значение, основанное на текущем времени и генераторе случайных чисел. Он использует утилиту командной строки "ditto" для сжатия полученных журналов и отправки их на сервер управления. Имя файла архива совпадает с ранее сгенерированным числовым значением. Журналы передаются на сервер C2 посредством POST-запроса к конечной точке "/sendlog".

Строки в новой версии AMOS шифруются с использованием операций XOR. Однако воспроизведение алгоритма дешифрования с C на Python оказалось трудным делом, пока @cod3nym не помог с решением, включающим использование ctypes. Программа stealer включает в себя сжатие Miniz и функцию "mz_zip_writer_add_mem" для архивации извлеченных журналов. Журналы отправляются в виде ZIP-архива на сервер C2 через порт 80, используя жестко закодированный UUID "7bc8f87e-c842-47c7-8f05-10e2be357888". Вместо использования "/sendlog" в качестве конечной точки, новая версия использует "/p2p" для отправки POST-запросов. Функция "passnet" извлекает pbkdf2 из Chrome, и в stealer она упоминается как "masterpass-chrome".

Последняя версия AMOS направлена на минимизацию своего присутствия на зараженных машинах. Это достигается за счет исключения записи ZIP-архива на диск и устранения жестко закодированных строк виртуальной машины. Однако в новой версии в одном из адресов кошелька присутствует типографская ошибка, где "acmacodkjbdgmoleeebolmdjonilkdbch" должно быть "acmacodkjbdgmoleeebolmdjonilkdbch". Эдвард Краудер и @cod3nym признательны за их вклад в разработку запросов для macOS и реализацию функции дешифрования на Python, соответственно.

#cyberthreattech

Недельный марафон по упражнениям с Retrieval Augmented Generation (RAG) для подкидывания ИИ доп. контекста для ответа считаю завершенным.
С моим уровнем познаний в ИИ считаю, что получилось сносно.
Основные моменты:
1. TI-отчетов много и текста в них тоже много.
2. Для ответа на вопрос нужно вносить в контекст информацию сразу из множества отчетов.
3. Размер «памяти» ИИ ограничен, а разовый контекст ограничен еще сильнее (я использовал gpt-3.5 turbo, а там 4096 токена на все).
4. Необходимо правильно выбирать инструменты, чтобы последовательно «поджимать» размер отчетов и аккуратно вгружать их память модели (tree summary и т.д.).
5. Необходимо качественно индексировать таким образом, чтобы на ваш запрос к модели выдавались наиболее релевантные документы, т.к. загрузить в память модели все отчеты просто невозможно.
6. Проблема поиска релевантных документов не решается простым поиском близких векторов по ебеддингу, необходим гибридный поиск с подключением семантики. Он тоже не всегда хорошо работает на коротких запросах типа: «Какая инфраструктура у Группировки1?».
7. Для поиска релевантных неплохо показала себя техника с генерацией доп. запросов через тот же ИИ. Т.е. на мой исходный запрос ИИ генерит еще пачку запросов по той же теме и релевантные документы ищутся уже по всей пачке запросов.

Краткие выводы, которые я сделал:
1. RAG – прикольно, но надо много предварительных упражнений.
2. Очень важно уметь искать релевантные запросу документы.
3. Если контекста много и надо «запоминать» детали, то надо смотреть на fine-tuning готовых моделей.

З.ы. Эксперименты с fine-tuning уже запущены.

#ParsedReport #CompletenessMedium
16-01-2024

Known Indicators of Compromise Associated with Androxgh0st Malware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a

Report completeness: Medium

Threats:
Androxgh0st
Blackcat
Playcrypt
Andoxgh0st_actor

Victims:
Organizations using amazon web services (aws), Organizations using microsoft office 365, Websites running laravel web application framework, Web servers running apache http server versions 2.4.49 or 2.4.50

CVEs:
CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- phpunit project phpunit (le4.8.27, <5.6.3)
- oracle communications diameter signaling router (le8.5.0)

CVE-2021-41773 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- apache http server (2.4.49)
- fedoraproject fedora (34, 35)
- oracle instantis enterprisetrack (17.1, 17.2, 17.3)
- netapp cloud backup (-)

CVE-2018-15133 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 6.3
X-Force: Patch: Official fix
Soft:
- laravel (le5.5.40, le5.6.29)


TTPs:
Tactics: 8
Technics: 15

IOCs:
IP: 1
File: 1
Url: 8
Hash: 8

Soft:
Microsoft Office 365, SendGrid, Laravel, curl

Algorithms:
gzip

Languages:
python, php

Platforms:
x64

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея этого текста заключается в том, что ФБР и CISA выпустили совместную рекомендацию по кибербезопасности в отношении вредоносной программы Androxgh0st и связанных с ней субъектов угрозы. В рекомендации приведены индикаторы компрометации (IOCs) и тактики, методы и процедуры (TTP), помогающие организациям выявлять и снижать риски, связанные с этим вредоносным ПО. Androxgh0st в первую очередь нацелен на файлы .env, содержащие конфиденциальную информацию, и использует уязвимости для получения несанкционированного доступа к уязвимым сетям. Злоумышленники, стоящие за Androxgh0st, используют различные методы, такие как злоупотребление SMTP, сканирование и использование учетных данных и API-интерфейсов, развертывание веб-оболочек и использование уязвимостей в веб-приложениях и серверах. Организациям рекомендуется внедрять рекомендуемые меры по смягчению последствий, включая исправление уязвимых систем, регулярное сканирование уязвимостей и тестирование на проникновение, а также внедрение надежных методов контроля доступа и управления паролями для защиты от вредоносного ПО Androxgh0st.
-----

ФБР и CISA выпустили совместную рекомендацию по кибербезопасности, касающуюся вредоносной программы Androxgh0st и ее исполнителей.

Androxgh0st - это вредоносная программа со сценарием Python, которая в первую очередь нацелена на файлы .env, содержащие конфиденциальную информацию.

Вредоносная программа использует уязвимости для создания ботнета и получения несанкционированного доступа к уязвимым сетям.

Методы, используемые Androxgh0st, включают злоупотребление протоколом SMTP, сканирование и использование открытых учетных данных и API-интерфейсов, а также развертывание веб-оболочек.

Androxgh0st нацелен на веб-сайты, использующие платформу веб-приложений Laravel, и использует уязвимости, такие как CVE-2018-15133.

После получения учетных данных субъекты угроз могут получить доступ к конфиденциальным данным и создавать новые учетные записи и политики.

Рекомендуемые меры по смягчению последствий включают применение исправлений и обновлений, регулярное сканирование уязвимостей и тестирование на проникновение, а также внедрение надежных методов контроля доступа и управления паролями.

#ParsedReport #CompletenessLow
16-01-2024

NSFOCUS Reveals New Botnet Family RDDoS

https://nsfocusglobal.com/nsfocus-reveals-new-botnet-family-rddos

Report completeness: Low

Threats:
Rddos
Icmpflood_technique

Geo:
Netherlands, Brazil, Germany, China, France

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1133, T1498, T1059, T1105

IOCs:
Hash: 2

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания по кибербезопасности NSFOCUS обнаружила новое семейство ботнетов под названием RDDoS, предназначенное для запуска DDoS-атак. RDDoS использует метод ICMP flood для своих атак и в первую очередь нацелен на Соединенные Штаты, Бразилию и Францию, но затронуты и другие страны. Ботнет обладает способностью выполнять команды и демонстрирует сильные противоборствующие возможности. NSFOCUS предупреждает, что RDDoS-атаки могут постоянно развиваться и иметь множество вариантов, создавая угрозу для запуска более продвинутых атак. Для противодействия RDDoS-атакам NSFOCUS предлагает решение для защиты от DDoS-атак с использованием глобальной аналитики угроз и передовых технологий.
-----

Компания NSFOCUS, занимающаяся кибербезопасностью, обнаружила новое семейство ботнетов под названием RDDoS. Этот ботнет предназначен для запуска распределенных атак типа "Отказ в обслуживании" (DDoS) и обладает способностью выполнять команды, что делает его серьезной угрозой. Компания RDDoS известна тем, что использует метод ICMP flood для запуска DDoS-атак, причем почти 80% ее атакующих действий осуществляется с помощью этого метода.

Ботнет в первую очередь был нацелен на Соединенные Штаты (36%), за ними следуют Бразилия (22%) и Франция (15%). Однако другие страны, такие как Китай, Германия и Нидерланды, также были затронуты. RDDoS обладает сильными противоборствующими возможностями и демонстрирует потенциал постоянного обновления и итерации своего вредоносного ПО для добавления новых методов атаки и улучшения функциональных возможностей.

Когда дело доходит до его работы, RDDoS сначала изменяет рабочий каталог текущего процесса на корневой каталог и создает подпроцесс. Если создание подпроцесса завершается неудачно, он завершается. В противном случае он продолжает выполнять функции внутри подпроцесса. Ботнет использует онлайн-параметры, чтобы различать тип зараженных устройств и отличать реальные устройства от изолированных сред.

Функция DDoS-атаки срабатывает, когда длина полученных данных превышает 13, а первый байт данных соответствует определенным значениям. Подробные инструкции по DDoS-атаке в сводке не приведены.

NSFOCUS предупреждает, что, хотя RDDoS кажется относительно несложным, это недавно созданное семейство ботнетов, которое может постоянно развиваться и иметь множество вариантов. Киберпреступники часто используют ботнеты в качестве каналов для запуска более продвинутых атак, таких как расширенные постоянные угрозы (APT) или атаки программ-вымогателей. Поэтому важно сохранять бдительность в отношении таких ботнетов.

В ответ на угрозу, исходящую от RDDoS, NSFOCUS предлагает решение для защиты от DDoS-атак, использующее комплексный механизм защиты. Это решение использует обширную базу данных глобальной информации об угрозах и передовые технологии для эффективного обнаружения, смягчения и нейтрализации угроз RDDoS. Исследовательские лаборатории безопасности NSFOCUS продолжат мониторинг этого семейства ботнетов и действующих за ним субъектов угроз.

#ParsedReport #CompletenessLow
16-01-2024

The Rise of Drainer-as-a-Service \| Understanding DaaS

https://www.sentinelone.com/blog/the-rise-of-drainer-as-a-service-understanding-daas

Report completeness: Low

Actors/Campaigns:
Angel_drainer
Ghostsec

Threats:
Clinksink

Industry:
Financial, E-commerce

ChatGPT TTPs:
do not use without manual check
T1098, T1212, T1566.001, T1566.002

Soft:
Telegram, Discord

Wallets:
metamask

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в росте числа атак на захват аккаунтов в Twitter и других платформах социальных сетей, специально направленных на кражу криптовалюты. Эти атаки связаны с использованием crypto-drainers, типа вредоносного ПО, поставляемого через платформы Drainer-as-a-Service (DaaS). Мишенями стали аккаунты высокопоставленных лиц, в том числе Комиссии по ценным бумагам и биржам США и Mandiant. Криптодрейнеры предназначены для перевода или перенаправления криптовалюты с кошельков жертв под контроль злоумышленников. Они используют уязвимости в смарт-контрактах, NFT и триггерах на основе токенов. Поставщики DaaS предлагают эти средства в качестве услуги, при этом украденные средства распределяются между аффилированными лицами и операторами. Захват аккаунтов криптодрейнерами выгоден благодаря способности охватывать большую аудиторию и обманывать жертв с помощью фишинговых ссылок. Для распространения этих ссылок используются такие платформы, как X, Telegram и Discord. В случае с Mandiant речь шла о конкретной вредоносной программе под названием CLINKSINK, которая использовала фишинговые приманки, связанные с криптовалютой. Исходный код CLINKSINK, возможно, просочился и используется несколькими участниками угроз. Платформы DaaS, такие как Chick Drainer, Rainbow Drainer, Angel Drainer и Rugging's Multi-chain Drainer, активно используют вредоносное ПО CLINKSINK. Появление платформ DaaS происходит параллельно с распространением программ-вымогателей как услуги, привлекая все больше людей к участию во вредоносных действиях.
-----

Важные факты из текста:.

На платформах социальных сетей, особенно в Twitter, наблюдается всплеск атак на захват аккаунтов, направленных на кражу криптовалюты.

В этих атаках используется тип вредоносного ПО, называемого crypto-drainers, часто поставляемого через платформы Drainer-as-a-Service (DaaS).

Заметными жертвами этих атак стали Комиссия по ценным бумагам и биржам США (SEC) и Mandiant.

Криптодрейнеры предназначены для перевода или перенаправления криптовалюты из кошелька жертвы под контроль злоумышленника.

Поставщики DaaS предоставляют криптодрейнеры в качестве услуги киберпреступникам, предлагая программное обеспечение, поддержку, возможности настройки, наборы для фишинга, услуги безопасности и постоянные обновления за определенный процент от украденных средств.

Захват учетных записей с использованием криптодрейнеров выгоден злоумышленникам, поскольку они могут охватить большую аудиторию и распространять фишинговые ссылки через скомпрометированные громкие аккаунты в социальных сетях.

Такие платформы, как X, Telegram и Discord, используются для распространения этих фишинговых ссылок.

Злоумышленники использовали вредоносное ПО под названием CLINKSINK, запутанный JavaScript-драйвер, в случае захвата учетной записи Mandiant.

Возможно, произошла утечка информации из CLINKSINK, и она используется несколькими участниками угроз.

Платформы DaaS, такие как Chick Drainer, Rainbow Drainer, Angel Drainer и многоцепочечный дренаж Rugging, широко используют CLINKSINK.

Платформы DaaS могут стимулировать конкуренцию, приводя к снижению цен и привлекая больше людей к участию в вредоносных действиях.

#ParsedReport #CompletenessMedium
16-01-2024

Burnout: Inferno Drainer s multimillion-dollar scam scheme detailed

https://www.group-ib.com/blog/inferno-drainer

Report completeness: Medium

Threats:
Inferno_drainer

Victims:
Cryptocurrency wallet users

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1095, T1486, T1485, T1104, T1098, T1527, T1145

IOCs:
Domain: 12
File: 10
IP: 1
Hash: 10

Soft:
Telegram, Discord

Wallets:
coinbase

Crypto:
uniswap

Algorithms:
zip, sha256

Languages:
javascript