#ParsedReport #CompletenessLow
16-01-2024

The Rise of Drainer-as-a-Service \| Understanding DaaS

https://www.sentinelone.com/blog/the-rise-of-drainer-as-a-service-understanding-daas

Report completeness: Low

Actors/Campaigns:
Angel_drainer
Ghostsec

Threats:
Clinksink

Industry:
Financial, E-commerce

ChatGPT TTPs:
do not use without manual check
T1098, T1212, T1566.001, T1566.002

Soft:
Telegram, Discord

Wallets:
metamask

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в росте числа атак на захват аккаунтов в Twitter и других платформах социальных сетей, специально направленных на кражу криптовалюты. Эти атаки связаны с использованием crypto-drainers, типа вредоносного ПО, поставляемого через платформы Drainer-as-a-Service (DaaS). Мишенями стали аккаунты высокопоставленных лиц, в том числе Комиссии по ценным бумагам и биржам США и Mandiant. Криптодрейнеры предназначены для перевода или перенаправления криптовалюты с кошельков жертв под контроль злоумышленников. Они используют уязвимости в смарт-контрактах, NFT и триггерах на основе токенов. Поставщики DaaS предлагают эти средства в качестве услуги, при этом украденные средства распределяются между аффилированными лицами и операторами. Захват аккаунтов криптодрейнерами выгоден благодаря способности охватывать большую аудиторию и обманывать жертв с помощью фишинговых ссылок. Для распространения этих ссылок используются такие платформы, как X, Telegram и Discord. В случае с Mandiant речь шла о конкретной вредоносной программе под названием CLINKSINK, которая использовала фишинговые приманки, связанные с криптовалютой. Исходный код CLINKSINK, возможно, просочился и используется несколькими участниками угроз. Платформы DaaS, такие как Chick Drainer, Rainbow Drainer, Angel Drainer и Rugging's Multi-chain Drainer, активно используют вредоносное ПО CLINKSINK. Появление платформ DaaS происходит параллельно с распространением программ-вымогателей как услуги, привлекая все больше людей к участию во вредоносных действиях.
-----

Важные факты из текста:.

На платформах социальных сетей, особенно в Twitter, наблюдается всплеск атак на захват аккаунтов, направленных на кражу криптовалюты.

В этих атаках используется тип вредоносного ПО, называемого crypto-drainers, часто поставляемого через платформы Drainer-as-a-Service (DaaS).

Заметными жертвами этих атак стали Комиссия по ценным бумагам и биржам США (SEC) и Mandiant.

Криптодрейнеры предназначены для перевода или перенаправления криптовалюты из кошелька жертвы под контроль злоумышленника.

Поставщики DaaS предоставляют криптодрейнеры в качестве услуги киберпреступникам, предлагая программное обеспечение, поддержку, возможности настройки, наборы для фишинга, услуги безопасности и постоянные обновления за определенный процент от украденных средств.

Захват учетных записей с использованием криптодрейнеров выгоден злоумышленникам, поскольку они могут охватить большую аудиторию и распространять фишинговые ссылки через скомпрометированные громкие аккаунты в социальных сетях.

Такие платформы, как X, Telegram и Discord, используются для распространения этих фишинговых ссылок.

Злоумышленники использовали вредоносное ПО под названием CLINKSINK, запутанный JavaScript-драйвер, в случае захвата учетной записи Mandiant.

Возможно, произошла утечка информации из CLINKSINK, и она используется несколькими участниками угроз.

Платформы DaaS, такие как Chick Drainer, Rainbow Drainer, Angel Drainer и многоцепочечный дренаж Rugging, широко используют CLINKSINK.

Платформы DaaS могут стимулировать конкуренцию, приводя к снижению цен и привлекая больше людей к участию в вредоносных действиях.

#ParsedReport #CompletenessMedium
16-01-2024

Burnout: Inferno Drainer s multimillion-dollar scam scheme detailed

https://www.group-ib.com/blog/inferno-drainer

Report completeness: Medium

Threats:
Inferno_drainer

Victims:
Cryptocurrency wallet users

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1095, T1486, T1485, T1104, T1098, T1527, T1145

IOCs:
Domain: 12
File: 10
IP: 1
Hash: 10

Soft:
Telegram, Discord

Wallets:
coinbase

Crypto:
uniswap

Algorithms:
zip, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что платформа мошенничества как услуги под названием Inferno Drainer, которая работала с помощью вредоносного ПО, известного как drainer, закрылась в ноябре 2023 года. Однако пользователи этой платформы по-прежнему представляют риск, поскольку они, возможно, перешли к другим схемам. Отдел по расследованию высокотехнологичных преступлений Group-IB раскрыл подробности о схемах и инфраструктуре, связанных с drainer, чтобы помочь пользователям и организациям защитить свои активы. Inferno Drainer нацеливался на жертв через сложные фишинговые веб-сайты, используя вредоносные скрипты, чтобы обманом заставить пользователей подключать свои криптовалютные кошельки. Мошенники, стоящие за Inferno Drainer, имитировали популярные крипто-бренды и протоколы Web3. Украденные активы Inferno Drainer составили около 80 миллионов долларов, что делает его серьезной киберугрозой. Пользователям и организациям рекомендуется быть осторожными при подключении своих кошельков и принимать необходимые меры для защиты своих активов.
-----

Inferno Drainer, платформа для мошенничества как услуги, закрылась в ноябре 2023 года.

Пользователи платформы по-прежнему представляют опасность, поскольку они ищут другие пути.

Inferno Drainer работал с помощью вредоносного ПО, известного как drainer, которое обманом заставляло жертв подключать свои криптовалютные кошельки к инфраструктуре злоумышленника.

Отдел по расследованию преступлений в сфере высоких технологий Group-IB раскрыл подробности о схемах и инфраструктуре, связанных с drainer, чтобы помочь пользователям и организациям защитить свои активы.

Inferno Drainer нацеливался на жертв с помощью сложных фишинговых веб-сайтов и выдавал себя за более чем 100 криптобрендов.

Схема использовала вредоносные скрипты для подмены популярных протоколов Web3, таких как Seaport, WalletConnect и Coinbase.

Согласно модели scam-as-a-service, 20% украденных активов достались организаторам, а 80% остались у пользователя.

Разработчики Inferno Drainer объявили о его закрытии в ноябре 2023 года, но пользовательская панель для киберпреступников оставалась активной.

Inferno Drainer был одним из крупнейших drainers в мире, с более чем 16 000 связанных доменов, обнаруженных платформой анализа угроз Group-IB.

Мошенники продвигали свои услуги через Telegram-канал и веб-сайт под названием inferno-drainer[.]com.

Жертв обманом заставляли подключать свои кошельки с помощью QR-кодов на фишинговых сайтах, и мошенники получали ценные активы.

Inferno Drainer похитил активы на сумму около 80 миллионов долларов, что сделало его самым известным крипто-дрэйнером прошлого года.

Пользователям и организациям следует быть осторожными при подключении кошельков и избегать попадания на бесплатные токены и раздачи NFT на фишинговых сайтах.

Крайне важно доверять токенам только официальным веб-сайтам, обезопасить активы, переведя их на другой кошелек, и задокументировать доказательства фишинговой деятельности.

#ParsedReport #CompletenessMedium
17-01-2024

Cyber Espionage Attack on the Indian Air Force: Go-Based Infostealer Exploits Slack for Data Theft. Overview

https://cyble.com/blog/cyber-espionage-attack-on-the-indian-air-force-go-based-infostealer-exploits-slack-for-data-theft

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Go-stealer

Victims:
Indian air force

Industry:
Government

Geo:
Indian, Iranian

TTPs:
Tactics: 7
Technics: 7

IOCs:
Url: 1
File: 9
Command: 1
Path: 1
Hash: 4

Soft:
Slack, Chrome, Mozilla Firefox, Google Chrome

Algorithms:
xor, md5, sha256, sha1, zip, exhibit

Functions:
getProcessesByName, killProcess

Languages:
golang

Links:
https://github.com/idfp/go-stealer
https://github.com/slack-go/slack

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6, dump: 2, table: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что вариант вредоносной программы Go Stealer используется для нападения на военно-воздушные силы Индии. Вредоносная программа распространяется через ZIP-файл с именем SU-30_Aircraft_Procurement, и злоумышленник может использовать спам-письма или другие каналы для распространения ссылки на вредоносное ПО. Предполагается, что мотивом атаки является приобретение министерством обороны Индии 12 истребителей Су-30 MKI. Вариант Go Stealer в этой атаке нацелен на несколько браузеров и осуществляет эксфильтрацию данных через Slack. Цель злоумышленника - украсть учетные данные для входа в систему и файлы cookie из определенных браузеров. Заражение вредоносным ПО инициируется через ссылку, распространяемую в спам-письмах или чатах. Полезная нагрузка Go Stealer представляет собой 64-разрядный исполняемый файл, который крадет данные из браузеров и использует Slack API для загрузки украденных данных. Этот конкретный вариант представляет потенциальную угрозу для сотрудников министерства обороны Индии, поскольку он фокусируется на краже точной и конфиденциальной информации.
-----

Важные факты из текста:.

Разновидность вредоносной программы Go Stealer нацелена на военно-воздушные силы Индии.

Вредоносная программа распространяется через ZIP-файл с именем SU-30_Aircraft_Procurement.

Злоумышленник может распространять ссылку на вредоносное ПО через спам-письма или другие каналы.

Атака использует одобрение министерством обороны Индии проекта по приобретению истребителей Су-30 MKI в качестве приманки.

Атака включает в себя последовательность файлов: ZIP-файл, ISO-файл, .lnk-файл и полезную нагрузку Go Stealer.

Вариант Go Stealer, используемый в этой атаке, может быть нацелен на несколько браузеров и осуществлять эксфильтрацию данных через Slack.

Вредоносная программа фокусируется на краже учетных данных для входа в систему и файлов cookie из определенных браузеров.

Вредоносная программа запускается по ссылке, распространяемой в спам-письмах или чатах.

Полезная нагрузка Go Stealer представляет собой 64-разрядный исполняемый файл на языке программирования Go, основанный на коде с открытым исходным кодом.

Украденные данные хранятся в файле JSON, и похититель использует Slack API для потенциальной эксфильтрации.

Вредоносная программа представляет угрозу для индийского оборонного персонала благодаря расширенным функциям и специфическому таргетингу на конфиденциальную информацию.

#ParsedReport #CompletenessLow
17-01-2024

Lazarus DLL-Side Loading (2)

https://asec.ahnlab.com/ko/60470

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Spear-phishing_technique
Supply_chain_technique
Lazarloader

Victims:
Domestic companies, Institutions, Think tanks

TTPs:

ChatGPT TTPs:
do not use without manual check
T1574.002, T1192, T1195

IOCs:
File: 3
Path: 2
Hash: 2

Win API:
GetSystemFirmwareTable

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что атакующая группа Lazarus использовала метод, называемый боковой загрузкой DLL, для выполнения вредоносного кода в целевых системах. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки DLL в одном и том же пути к папке, так что при запуске приложения вредоносная библиотека DLL выполняется первой. Конкретная атака, упомянутая в тексте, включала модификацию файлов DLL, ответственных за выполнение функций бэкдора. AhnLab Smart Defense infrastructure подтвердила использование группой Lazarus загрузки на стороне DLL и определила тип используемого вредоносного ПО.
-----

Атакующая группа Lazarus, известная своими атаками на отечественные компании, учреждения и аналитические центры, использовала метод, называемый боковой загрузкой DLL, для выполнения вредоносного кода. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки DLL в одном и том же пути к папке, так что при запуске приложения вредоносная библиотека DLL выполняется первой. 12 января 2024 года AhnLab Smart Defense infrastructure подтвердила использование Lazarus group загрузки на стороне DLL.

В ходе этой конкретной атаки группа Lazarus модифицировала два DLL-файла: wbemcomn.dll и netutils.dll. Эти модифицированные библиотеки DLL отвечают за выполнение функций бэкдора. wbemcomn.библиотека dll имеет процедуру проверки цели заражения, которая использует вызов API GetSystemFirmwareTable для получения информации, относящейся к конкретной системе. Затем эта информация используется для расшифровки зашифрованной строки в области ресурсов файла DLL. Расшифрованное значение соответствует пути к файлу, который загружается и используется для вредоносных действий. Это указывает на то, что атака специально разработана для работы только в определенной системе, поскольку информация о пути к файлу не может быть получена с помощью другой системной информации.

Lazarus group - очень опасная и глобально активная APT-группа, использующая различные векторы атак, включая точечный фишинг и атаки на цепочки поставок. AhnLab диагностировала этот тип вредоносного ПО, используемого Lazarus group.

#ParsedReport #CompletenessMedium
17-01-2024

New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs

https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs

Report completeness: Medium

Actors/Campaigns:
Charming_kitten

Threats:
Mediapl
Mischieftut
Nircmd_tool
Eyeglass

Industry:
Education, Military

Geo:
Israel, Iran, Tehran, Belgium, France

TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 8
File: 4
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, curl, Windows Media Player, Microsoft Edge

Algorithms:
base64, sha256, cbc, aes

Languages:
powershell

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft обнаружила киберкампанию под названием Mint Sandstorm, целью которой являются высокопоставленные лица в университетах и исследовательских организациях. Кампания использует сложные методы фишинга, скомпрометированные учетные записи электронной почты и пользовательские бэкдоры для кражи конфиденциальной информации у своих целей. Считается, что Mint Sandstorm связана с APT35 и Charming Kitten и имеет связи с военной разведкой Ирана. Microsoft предоставляет информацию об анализе, обнаружении и защите, чтобы помочь организациям защититься от этой угрозы. Кампания включает в себя новые тактики, такие как использование скомпрометированных учетных записей электронной почты, использование команды curl для подключения к серверу управления и предоставления пользовательского бэкдора под названием MediaPl. Кампания начинается с выдачи себя за известных лиц и использования вредоносных доменов для распространения вредоносных файлов. Mint Sandstorm также использует методы сохранения и использует пользовательские бэкдоры, такие как MediaPl и MischiefTut, для получения и поддержания удаленного доступа к целевым системам. Microsoft предлагает свой антивирус Defender и Defender for Endpoint в качестве решений для обнаружения и устранения этих угроз.
-----

Киберкампания, известная как Mint Sandstorm (PHOSPHORUS), нацелена на высокопоставленных лиц в университетах и исследовательских организациях во многих странах.

Mint Sandstorm использует сложные методы фишинга и пользовательские фишинговые приманки, отправляемые через скомпрометированные учетные записи электронной почты.

Кампания направлена на кражу конфиденциальной информации у особо ценных объектов, предоставляя информацию по вопросам безопасности и политики.

Mint Sandstorm имеет связи с APT35 и Charming Kitten, оба связаны с военной разведкой Ирана.

Мотивом кампании может быть сбор информации о войне Израиля и ХАМАСА.

Корпорация Майкрософт предоставляет информацию об анализе, обнаружении, поиске и защите, чтобы помочь организациям защититься от Mint Sandstorm.

Mint Sandstorm применяет новую тактику, в том числе использует скомпрометированные учетные записи электронной почты, использует команду curl для подключения к серверу управления и предоставляет пользовательский бэкдор под названием MediaPl.

Кампания начинается с того, что вы выдаете себя за известных людей и отправляете первоначальные безобидные электронные письма для укрепления доверия.

Вредоносный домен cloud-document-edit.onrender.com используется для размещения файла архива RAR, содержащего файл .pdf.lnk, который запускает загрузку вредоносных файлов.

Методы сохранения включают изменение разделов реестра и создание запланированных задач в целевой среде.

Бэкдор MediaPl замаскирован под проигрыватель Windows Media и взаимодействует с сервером управления.

Другим используемым бэкдором является MischiefTut, реализованный в PowerShell, способный проводить разведку и загружать дополнительные инструменты.

Возможности удаленного доступа Mint Sandstorm представляют значительную угрозу конфиденциальности системы с потенциальными юридическими и репутационными рисками для затронутых организаций.

Антивирус Microsoft Defender идентифицирует MediaPl и MischiefTut как вредоносные программы.

Корпорация Майкрософт предлагает средства обнаружения, оповещения, отчеты и рекомендуемые действия для защиты от Mint Sandstorm.

#ParsedReport #CompletenessLow
18-01-2024

Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

https://www.varonis.com/blog/outlook-vulnerability-and-new-ways-to-leak-ntlm-hashes

Report completeness: Low

Threats:
Mitm_technique

Industry:
Ics

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)


ChatGPT TTPs:
do not use without manual check
T1212, T1110, T1566, T1552, T1557.001

IOCs:
File: 2
Path: 1

Soft:
Outlook, Windows File Explorer, Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Varonis Threat Labs обнаружила новую уязвимость в Microsoft Outlook, а также эксплойты, нацеленные на Windows Performance Analyzer и Windows File Explorer. Эти уязвимости могут позволить злоумышленникам получить доступ к хэшированным паролям NTLM v2, потенциально ставя под угрозу учетные записи пользователей. Корпорация Майкрософт признала серьезность эксплойта Outlook и выпустила исправление для него, а также рекомендовала меры по защите от атак NTLM версии 2.
-----

Недавно Varonis Threat Labs обнаружила новую уязвимость в Microsoft Outlook (CVE-2023-35636), которая может быть использована для получения доступа к хэшированным паролям NTLM версии 2. Эта уязвимость, наряду с эксплойтами, предназначенными для Windows Performance Analyzer (WPA) и Windows File Explorer, может позволить злоумышленникам выполнять автономные атаки методом перебора или ретрансляции аутентификации для компрометации учетных записей пользователей.

В случае эксплойта Outlook злоумышленник добавляет два заголовка к электронному письму, инструктируя Outlook поделиться содержимым и связаться с указанным компьютером. Перехватив сообщение, злоумышленники могут получить хэш NTLM v2, используемый для аутентификации.

Для использования эксплойта WPA злоумышленники создают вредоносную ссылку, при нажатии на которую жертва перенаправляет их на полезную нагрузку, которая извлекает их хэшированный пароль NTLM v2. Эксплойт использует обработчик URI в операционной системе, направляя компьютер жертвы на доступ к компьютеру злоумышленника через SMB.

Аналогичным образом, эксплойт Windows File Explorer включает отправку вредоносной ссылки жертве, которая, щелкнув по ней, позволяет злоумышленнику получить хэш и попытаться взломать пароль пользователя в автономном режиме. Этот эксплойт использует доверенный характер проводника файлов Windows и может быть распространен различными способами, такими как фишинг по электронной почте или социальные сети.

Корпорация Майкрософт признала серьезность эксплойта Outlook, классифицировав его как важную уязвимость с рейтингом 6,5. 12 декабря 2023 года они выпустили исправление для CVE-2023-35636. Кроме того, Корпорация Майкрософт рекомендует меры по защите от атак NTLM версии 2, включая включение подписи SMB для обнаружения несанкционированного доступа к SMB-трафику и блокировку исходящего NTLM версии 2.

#ParsedReport #CompletenessMedium
19-01-2024

Russian threat group COLDRIVER expands its targeting of Western officials to include the use of malware

https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware

Report completeness: Medium

Actors/Campaigns:
Seaborgium (motivation: government_sponsored)

Threats:
Spica_backdoor
Scout

Victims:
High-profile individuals in ngos, Former intelligence and military officials, Nato governments

Industry:
Government, Military, Ngo

Geo:
Ukraine, Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1036, T1096, T1059, T1348, T1090, T1005, T1053

IOCs:
File: 1
IP: 1
Hash: 6
Url: 1

Soft:
Chrome, Opera, telegram

Algorithms:
zip, sha256

Languages:
powershell, rust