#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания по кибербезопасности NSFOCUS обнаружила новое семейство ботнетов под названием RDDoS, предназначенное для запуска DDoS-атак. RDDoS использует метод ICMP flood для своих атак и в первую очередь нацелен на Соединенные Штаты, Бразилию и Францию, но затронуты и другие страны. Ботнет обладает способностью выполнять команды и демонстрирует сильные противоборствующие возможности. NSFOCUS предупреждает, что RDDoS-атаки могут постоянно развиваться и иметь множество вариантов, создавая угрозу для запуска более продвинутых атак. Для противодействия RDDoS-атакам NSFOCUS предлагает решение для защиты от DDoS-атак с использованием глобальной аналитики угроз и передовых технологий.
-----

Компания NSFOCUS, занимающаяся кибербезопасностью, обнаружила новое семейство ботнетов под названием RDDoS. Этот ботнет предназначен для запуска распределенных атак типа "Отказ в обслуживании" (DDoS) и обладает способностью выполнять команды, что делает его серьезной угрозой. Компания RDDoS известна тем, что использует метод ICMP flood для запуска DDoS-атак, причем почти 80% ее атакующих действий осуществляется с помощью этого метода.

Ботнет в первую очередь был нацелен на Соединенные Штаты (36%), за ними следуют Бразилия (22%) и Франция (15%). Однако другие страны, такие как Китай, Германия и Нидерланды, также были затронуты. RDDoS обладает сильными противоборствующими возможностями и демонстрирует потенциал постоянного обновления и итерации своего вредоносного ПО для добавления новых методов атаки и улучшения функциональных возможностей.

Когда дело доходит до его работы, RDDoS сначала изменяет рабочий каталог текущего процесса на корневой каталог и создает подпроцесс. Если создание подпроцесса завершается неудачно, он завершается. В противном случае он продолжает выполнять функции внутри подпроцесса. Ботнет использует онлайн-параметры, чтобы различать тип зараженных устройств и отличать реальные устройства от изолированных сред.

Функция DDoS-атаки срабатывает, когда длина полученных данных превышает 13, а первый байт данных соответствует определенным значениям. Подробные инструкции по DDoS-атаке в сводке не приведены.

NSFOCUS предупреждает, что, хотя RDDoS кажется относительно несложным, это недавно созданное семейство ботнетов, которое может постоянно развиваться и иметь множество вариантов. Киберпреступники часто используют ботнеты в качестве каналов для запуска более продвинутых атак, таких как расширенные постоянные угрозы (APT) или атаки программ-вымогателей. Поэтому важно сохранять бдительность в отношении таких ботнетов.

В ответ на угрозу, исходящую от RDDoS, NSFOCUS предлагает решение для защиты от DDoS-атак, использующее комплексный механизм защиты. Это решение использует обширную базу данных глобальной информации об угрозах и передовые технологии для эффективного обнаружения, смягчения и нейтрализации угроз RDDoS. Исследовательские лаборатории безопасности NSFOCUS продолжат мониторинг этого семейства ботнетов и действующих за ним субъектов угроз.

#ParsedReport #CompletenessLow
16-01-2024

The Rise of Drainer-as-a-Service \| Understanding DaaS

https://www.sentinelone.com/blog/the-rise-of-drainer-as-a-service-understanding-daas

Report completeness: Low

Actors/Campaigns:
Angel_drainer
Ghostsec

Threats:
Clinksink

Industry:
Financial, E-commerce

ChatGPT TTPs:
do not use without manual check
T1098, T1212, T1566.001, T1566.002

Soft:
Telegram, Discord

Wallets:
metamask

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в росте числа атак на захват аккаунтов в Twitter и других платформах социальных сетей, специально направленных на кражу криптовалюты. Эти атаки связаны с использованием crypto-drainers, типа вредоносного ПО, поставляемого через платформы Drainer-as-a-Service (DaaS). Мишенями стали аккаунты высокопоставленных лиц, в том числе Комиссии по ценным бумагам и биржам США и Mandiant. Криптодрейнеры предназначены для перевода или перенаправления криптовалюты с кошельков жертв под контроль злоумышленников. Они используют уязвимости в смарт-контрактах, NFT и триггерах на основе токенов. Поставщики DaaS предлагают эти средства в качестве услуги, при этом украденные средства распределяются между аффилированными лицами и операторами. Захват аккаунтов криптодрейнерами выгоден благодаря способности охватывать большую аудиторию и обманывать жертв с помощью фишинговых ссылок. Для распространения этих ссылок используются такие платформы, как X, Telegram и Discord. В случае с Mandiant речь шла о конкретной вредоносной программе под названием CLINKSINK, которая использовала фишинговые приманки, связанные с криптовалютой. Исходный код CLINKSINK, возможно, просочился и используется несколькими участниками угроз. Платформы DaaS, такие как Chick Drainer, Rainbow Drainer, Angel Drainer и Rugging's Multi-chain Drainer, активно используют вредоносное ПО CLINKSINK. Появление платформ DaaS происходит параллельно с распространением программ-вымогателей как услуги, привлекая все больше людей к участию во вредоносных действиях.
-----

Важные факты из текста:.

На платформах социальных сетей, особенно в Twitter, наблюдается всплеск атак на захват аккаунтов, направленных на кражу криптовалюты.

В этих атаках используется тип вредоносного ПО, называемого crypto-drainers, часто поставляемого через платформы Drainer-as-a-Service (DaaS).

Заметными жертвами этих атак стали Комиссия по ценным бумагам и биржам США (SEC) и Mandiant.

Криптодрейнеры предназначены для перевода или перенаправления криптовалюты из кошелька жертвы под контроль злоумышленника.

Поставщики DaaS предоставляют криптодрейнеры в качестве услуги киберпреступникам, предлагая программное обеспечение, поддержку, возможности настройки, наборы для фишинга, услуги безопасности и постоянные обновления за определенный процент от украденных средств.

Захват учетных записей с использованием криптодрейнеров выгоден злоумышленникам, поскольку они могут охватить большую аудиторию и распространять фишинговые ссылки через скомпрометированные громкие аккаунты в социальных сетях.

Такие платформы, как X, Telegram и Discord, используются для распространения этих фишинговых ссылок.

Злоумышленники использовали вредоносное ПО под названием CLINKSINK, запутанный JavaScript-драйвер, в случае захвата учетной записи Mandiant.

Возможно, произошла утечка информации из CLINKSINK, и она используется несколькими участниками угроз.

Платформы DaaS, такие как Chick Drainer, Rainbow Drainer, Angel Drainer и многоцепочечный дренаж Rugging, широко используют CLINKSINK.

Платформы DaaS могут стимулировать конкуренцию, приводя к снижению цен и привлекая больше людей к участию в вредоносных действиях.

#ParsedReport #CompletenessMedium
16-01-2024

Burnout: Inferno Drainer s multimillion-dollar scam scheme detailed

https://www.group-ib.com/blog/inferno-drainer

Report completeness: Medium

Threats:
Inferno_drainer

Victims:
Cryptocurrency wallet users

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1095, T1486, T1485, T1104, T1098, T1527, T1145

IOCs:
Domain: 12
File: 10
IP: 1
Hash: 10

Soft:
Telegram, Discord

Wallets:
coinbase

Crypto:
uniswap

Algorithms:
zip, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что платформа мошенничества как услуги под названием Inferno Drainer, которая работала с помощью вредоносного ПО, известного как drainer, закрылась в ноябре 2023 года. Однако пользователи этой платформы по-прежнему представляют риск, поскольку они, возможно, перешли к другим схемам. Отдел по расследованию высокотехнологичных преступлений Group-IB раскрыл подробности о схемах и инфраструктуре, связанных с drainer, чтобы помочь пользователям и организациям защитить свои активы. Inferno Drainer нацеливался на жертв через сложные фишинговые веб-сайты, используя вредоносные скрипты, чтобы обманом заставить пользователей подключать свои криптовалютные кошельки. Мошенники, стоящие за Inferno Drainer, имитировали популярные крипто-бренды и протоколы Web3. Украденные активы Inferno Drainer составили около 80 миллионов долларов, что делает его серьезной киберугрозой. Пользователям и организациям рекомендуется быть осторожными при подключении своих кошельков и принимать необходимые меры для защиты своих активов.
-----

Inferno Drainer, платформа для мошенничества как услуги, закрылась в ноябре 2023 года.

Пользователи платформы по-прежнему представляют опасность, поскольку они ищут другие пути.

Inferno Drainer работал с помощью вредоносного ПО, известного как drainer, которое обманом заставляло жертв подключать свои криптовалютные кошельки к инфраструктуре злоумышленника.

Отдел по расследованию преступлений в сфере высоких технологий Group-IB раскрыл подробности о схемах и инфраструктуре, связанных с drainer, чтобы помочь пользователям и организациям защитить свои активы.

Inferno Drainer нацеливался на жертв с помощью сложных фишинговых веб-сайтов и выдавал себя за более чем 100 криптобрендов.

Схема использовала вредоносные скрипты для подмены популярных протоколов Web3, таких как Seaport, WalletConnect и Coinbase.

Согласно модели scam-as-a-service, 20% украденных активов достались организаторам, а 80% остались у пользователя.

Разработчики Inferno Drainer объявили о его закрытии в ноябре 2023 года, но пользовательская панель для киберпреступников оставалась активной.

Inferno Drainer был одним из крупнейших drainers в мире, с более чем 16 000 связанных доменов, обнаруженных платформой анализа угроз Group-IB.

Мошенники продвигали свои услуги через Telegram-канал и веб-сайт под названием inferno-drainer[.]com.

Жертв обманом заставляли подключать свои кошельки с помощью QR-кодов на фишинговых сайтах, и мошенники получали ценные активы.

Inferno Drainer похитил активы на сумму около 80 миллионов долларов, что сделало его самым известным крипто-дрэйнером прошлого года.

Пользователям и организациям следует быть осторожными при подключении кошельков и избегать попадания на бесплатные токены и раздачи NFT на фишинговых сайтах.

Крайне важно доверять токенам только официальным веб-сайтам, обезопасить активы, переведя их на другой кошелек, и задокументировать доказательства фишинговой деятельности.

#ParsedReport #CompletenessMedium
17-01-2024

Cyber Espionage Attack on the Indian Air Force: Go-Based Infostealer Exploits Slack for Data Theft. Overview

https://cyble.com/blog/cyber-espionage-attack-on-the-indian-air-force-go-based-infostealer-exploits-slack-for-data-theft

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Go-stealer

Victims:
Indian air force

Industry:
Government

Geo:
Indian, Iranian

TTPs:
Tactics: 7
Technics: 7

IOCs:
Url: 1
File: 9
Command: 1
Path: 1
Hash: 4

Soft:
Slack, Chrome, Mozilla Firefox, Google Chrome

Algorithms:
xor, md5, sha256, sha1, zip, exhibit

Functions:
getProcessesByName, killProcess

Languages:
golang

Links:
https://github.com/idfp/go-stealer
https://github.com/slack-go/slack

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6, dump: 2, table: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что вариант вредоносной программы Go Stealer используется для нападения на военно-воздушные силы Индии. Вредоносная программа распространяется через ZIP-файл с именем SU-30_Aircraft_Procurement, и злоумышленник может использовать спам-письма или другие каналы для распространения ссылки на вредоносное ПО. Предполагается, что мотивом атаки является приобретение министерством обороны Индии 12 истребителей Су-30 MKI. Вариант Go Stealer в этой атаке нацелен на несколько браузеров и осуществляет эксфильтрацию данных через Slack. Цель злоумышленника - украсть учетные данные для входа в систему и файлы cookie из определенных браузеров. Заражение вредоносным ПО инициируется через ссылку, распространяемую в спам-письмах или чатах. Полезная нагрузка Go Stealer представляет собой 64-разрядный исполняемый файл, который крадет данные из браузеров и использует Slack API для загрузки украденных данных. Этот конкретный вариант представляет потенциальную угрозу для сотрудников министерства обороны Индии, поскольку он фокусируется на краже точной и конфиденциальной информации.
-----

Важные факты из текста:.

Разновидность вредоносной программы Go Stealer нацелена на военно-воздушные силы Индии.

Вредоносная программа распространяется через ZIP-файл с именем SU-30_Aircraft_Procurement.

Злоумышленник может распространять ссылку на вредоносное ПО через спам-письма или другие каналы.

Атака использует одобрение министерством обороны Индии проекта по приобретению истребителей Су-30 MKI в качестве приманки.

Атака включает в себя последовательность файлов: ZIP-файл, ISO-файл, .lnk-файл и полезную нагрузку Go Stealer.

Вариант Go Stealer, используемый в этой атаке, может быть нацелен на несколько браузеров и осуществлять эксфильтрацию данных через Slack.

Вредоносная программа фокусируется на краже учетных данных для входа в систему и файлов cookie из определенных браузеров.

Вредоносная программа запускается по ссылке, распространяемой в спам-письмах или чатах.

Полезная нагрузка Go Stealer представляет собой 64-разрядный исполняемый файл на языке программирования Go, основанный на коде с открытым исходным кодом.

Украденные данные хранятся в файле JSON, и похититель использует Slack API для потенциальной эксфильтрации.

Вредоносная программа представляет угрозу для индийского оборонного персонала благодаря расширенным функциям и специфическому таргетингу на конфиденциальную информацию.

#ParsedReport #CompletenessLow
17-01-2024

Lazarus DLL-Side Loading (2)

https://asec.ahnlab.com/ko/60470

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Spear-phishing_technique
Supply_chain_technique
Lazarloader

Victims:
Domestic companies, Institutions, Think tanks

TTPs:

ChatGPT TTPs:
do not use without manual check
T1574.002, T1192, T1195

IOCs:
File: 3
Path: 2
Hash: 2

Win API:
GetSystemFirmwareTable

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что атакующая группа Lazarus использовала метод, называемый боковой загрузкой DLL, для выполнения вредоносного кода в целевых системах. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки DLL в одном и том же пути к папке, так что при запуске приложения вредоносная библиотека DLL выполняется первой. Конкретная атака, упомянутая в тексте, включала модификацию файлов DLL, ответственных за выполнение функций бэкдора. AhnLab Smart Defense infrastructure подтвердила использование группой Lazarus загрузки на стороне DLL и определила тип используемого вредоносного ПО.
-----

Атакующая группа Lazarus, известная своими атаками на отечественные компании, учреждения и аналитические центры, использовала метод, называемый боковой загрузкой DLL, для выполнения вредоносного кода. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки DLL в одном и том же пути к папке, так что при запуске приложения вредоносная библиотека DLL выполняется первой. 12 января 2024 года AhnLab Smart Defense infrastructure подтвердила использование Lazarus group загрузки на стороне DLL.

В ходе этой конкретной атаки группа Lazarus модифицировала два DLL-файла: wbemcomn.dll и netutils.dll. Эти модифицированные библиотеки DLL отвечают за выполнение функций бэкдора. wbemcomn.библиотека dll имеет процедуру проверки цели заражения, которая использует вызов API GetSystemFirmwareTable для получения информации, относящейся к конкретной системе. Затем эта информация используется для расшифровки зашифрованной строки в области ресурсов файла DLL. Расшифрованное значение соответствует пути к файлу, который загружается и используется для вредоносных действий. Это указывает на то, что атака специально разработана для работы только в определенной системе, поскольку информация о пути к файлу не может быть получена с помощью другой системной информации.

Lazarus group - очень опасная и глобально активная APT-группа, использующая различные векторы атак, включая точечный фишинг и атаки на цепочки поставок. AhnLab диагностировала этот тип вредоносного ПО, используемого Lazarus group.

#ParsedReport #CompletenessMedium
17-01-2024

New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs

https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs

Report completeness: Medium

Actors/Campaigns:
Charming_kitten

Threats:
Mediapl
Mischieftut
Nircmd_tool
Eyeglass

Industry:
Education, Military

Geo:
Israel, Iran, Tehran, Belgium, France

TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 8
File: 4
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, curl, Windows Media Player, Microsoft Edge

Algorithms:
base64, sha256, cbc, aes

Languages:
powershell

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft обнаружила киберкампанию под названием Mint Sandstorm, целью которой являются высокопоставленные лица в университетах и исследовательских организациях. Кампания использует сложные методы фишинга, скомпрометированные учетные записи электронной почты и пользовательские бэкдоры для кражи конфиденциальной информации у своих целей. Считается, что Mint Sandstorm связана с APT35 и Charming Kitten и имеет связи с военной разведкой Ирана. Microsoft предоставляет информацию об анализе, обнаружении и защите, чтобы помочь организациям защититься от этой угрозы. Кампания включает в себя новые тактики, такие как использование скомпрометированных учетных записей электронной почты, использование команды curl для подключения к серверу управления и предоставления пользовательского бэкдора под названием MediaPl. Кампания начинается с выдачи себя за известных лиц и использования вредоносных доменов для распространения вредоносных файлов. Mint Sandstorm также использует методы сохранения и использует пользовательские бэкдоры, такие как MediaPl и MischiefTut, для получения и поддержания удаленного доступа к целевым системам. Microsoft предлагает свой антивирус Defender и Defender for Endpoint в качестве решений для обнаружения и устранения этих угроз.
-----

Киберкампания, известная как Mint Sandstorm (PHOSPHORUS), нацелена на высокопоставленных лиц в университетах и исследовательских организациях во многих странах.

Mint Sandstorm использует сложные методы фишинга и пользовательские фишинговые приманки, отправляемые через скомпрометированные учетные записи электронной почты.

Кампания направлена на кражу конфиденциальной информации у особо ценных объектов, предоставляя информацию по вопросам безопасности и политики.

Mint Sandstorm имеет связи с APT35 и Charming Kitten, оба связаны с военной разведкой Ирана.

Мотивом кампании может быть сбор информации о войне Израиля и ХАМАСА.

Корпорация Майкрософт предоставляет информацию об анализе, обнаружении, поиске и защите, чтобы помочь организациям защититься от Mint Sandstorm.

Mint Sandstorm применяет новую тактику, в том числе использует скомпрометированные учетные записи электронной почты, использует команду curl для подключения к серверу управления и предоставляет пользовательский бэкдор под названием MediaPl.

Кампания начинается с того, что вы выдаете себя за известных людей и отправляете первоначальные безобидные электронные письма для укрепления доверия.

Вредоносный домен cloud-document-edit.onrender.com используется для размещения файла архива RAR, содержащего файл .pdf.lnk, который запускает загрузку вредоносных файлов.

Методы сохранения включают изменение разделов реестра и создание запланированных задач в целевой среде.

Бэкдор MediaPl замаскирован под проигрыватель Windows Media и взаимодействует с сервером управления.

Другим используемым бэкдором является MischiefTut, реализованный в PowerShell, способный проводить разведку и загружать дополнительные инструменты.

Возможности удаленного доступа Mint Sandstorm представляют значительную угрозу конфиденциальности системы с потенциальными юридическими и репутационными рисками для затронутых организаций.

Антивирус Microsoft Defender идентифицирует MediaPl и MischiefTut как вредоносные программы.

Корпорация Майкрософт предлагает средства обнаружения, оповещения, отчеты и рекомендуемые действия для защиты от Mint Sandstorm.

#ParsedReport #CompletenessLow
18-01-2024

Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

https://www.varonis.com/blog/outlook-vulnerability-and-new-ways-to-leak-ntlm-hashes

Report completeness: Low

Threats:
Mitm_technique

Industry:
Ics

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)


ChatGPT TTPs:
do not use without manual check
T1212, T1110, T1566, T1552, T1557.001

IOCs:
File: 2
Path: 1

Soft:
Outlook, Windows File Explorer, Microsoft Outlook