#ParsedReport #CompletenessLow
22-01-2024

Remcos RAT Distributed via Webhards

https://asec.ahnlab.com/en/60270

Report completeness: Low

Threats:
Remcos_rat
Udprat
Njrat
Trojan/win.injector.r630725
Trojan/win.injector.r630726
Trojan/vbs.runner.sc195782
Trojan/vbs.runner.sc195783
Trojan/bat.agent.sc195781
Trojan/bat.agent.sc195785
Trojan/vbs.runner.sc195786
Trojan/vbs.runner.sc195787
Trojan/vbs.runner.sc195784

Victims:
South korean online game users

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1189, T1204, T1071

IOCs:
File: 13
Hash: 10

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 4, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносное ПО Remcos RAT распространяется в Южной Корее под видом игр для взрослых через веб-сайты, которые являются платформами, обычно используемыми для распространения вредоносных программ. Пользователей обманом заставляют загружать вредоносное ПО, маскируя его под законные программы, такие как игры или контент для взрослых. Вредоносная программа распространяется через различные игры, где пользователи запускают файл с именем Game.exe, который выглядит как обычный игровой лаунчер, но на самом деле выполняет вредоносные скрипты VBS. Поток заражения вредоносной программы начинается, когда выполняется Game.exe, загружающий Remcos RAT с сервера управления и контроля и пытающийся выполнить дополнительные вредоносные действия, внедряясь в процесс под названием ServiceModelReg.exe. Отчет предупреждает пользователей проявлять осторожность при запуске исполняемых файлов, загруженных с веб-серверов, и рекомендует загружать программы только с официальных веб-сайтов, чтобы снизить риск заражения вредоносными программами.
-----

Недавний отчет аналитического центра безопасности AhnLab (ASEC) показывает, что вредоносная программа Remcos RAT распространяется в Южной Корее под видом игр для взрослых через webhards, которые обычно используются для распространения вредоносных программ. Злоумышленники часто маскируют легкодоступные вредоносные программы, такие как njRAT и UDP RAT, под законные программы, такие как игры или контент для взрослых, чтобы обманом заставить пользователей загрузить их.

Подобный метод распространения наблюдался ранее неоднократно. Вредоносная программа обычно распространяется через различные игры, используя аналогичный подход. Пользователям предлагается запустить файл с именем Game.exe, который, по-видимому, является обычным игровым лаунчером. Однако сам игровой файл запускается отдельно, и вместе с ним выполняются вредоносные скрипты VBS. На рисунке 5 показано, что эти вредоносные скрипты находятся в папке www\js\plugins.

Когда файл Game.exe выполняется, начинается процесс заражения вредоносной программой. Внедренная вредоносная программа загружает Remcos RAT с сервера управления (C&C) (показано на рисунке 9) и пытается выполнить дополнительные вредоносные действия, внедряясь в процесс под названием ServiceModelReg.exe.

В отчете подчеркивается активное распространение вредоносных программ через корейские веб-серверы и сайты обмена файлами, подчеркивается необходимость соблюдать осторожность при запуске исполняемых файлов, загруженных с этих платформ. Пользователям рекомендуется загружать программы только с официальных веб-сайтов, чтобы снизить риск заражения вредоносными программами.

#ParsedReport #CompletenessLow
22-01-2024

Enter The Gates: An Analysis of the DarkGate AutoIt Loader

https://www.splunk.com/en_us/blog/security/enter-the-gates-an-analysis-of-the-darkgate-autoit-loader.html

Report completeness: Low

Threats:
Darkgate
Dll_sideloading_technique
Basupportvnc_tool
Cobalt_strike

Victims:
Russian government organizations, Splunk

TTPs:

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1059, T1552, T1027, T1107, T1060, T1118, T1170, have more...

IOCs:
File: 14
Path: 1
Hash: 3

Soft:
PSEXEC, Windows Security, Windows PowerShell, Windows registry, Windows Error Reporting, Slack

Algorithms:
base64, xor, zip

Win API:
EnumWindows

Languages:
autoit, powershell

Links:
https://github.com/splunk/security-content/releases/tag/v3.12.0
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 4, code: 8, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа Splunk Threat сосредоточена на понимании и анализе угроз кибербезопасности, таких как вредоносное ПО DarkGate, с целью улучшения предложений Splunk по обеспечению безопасности. Они предоставляют результаты исследований, которые могут быть использованы службами безопасности с целью стать отраслевым стандартом для обнаружения SIEM. DarkGate - это сложное вредоносное ПО, представляющее значительную угрозу из-за своих методов обхода и сохранения в скомпрометированных системах. Для защиты от DarkGate команда разработала и протестировала средства обнаружения Splunk и поощряет совместный обмен информацией об угрозах между сообществами безопасности. Раннее обнаружение и непрерывный мониторинг имеют решающее значение для эффективного смягчения последствий и защиты от DarkGate.
-----

Команда исследователей угроз Splunk фокусируется на понимании и анализе угроз, действующих лиц и уязвимостей для улучшения предложений Splunk по обеспечению безопасности.

DarkGate - это вредоносная программа, которая используется с 2008 года и представляет значительную угрозу из-за своих методов обхода и сохранения в скомпрометированных системах.

DarkGate использует многоступенчатую полезную нагрузку и запутанные сценарии автоматического запуска, что затрудняет их обнаружение традиционными методами, основанными на сигнатурах.

Были выявлены кампании, использующие загрузчик для запуска DarkGate на скомпрометированных хостингах, часто использующие вредоносные PDF-файлы и CAB-файлы.

DarkGate использует несколько компонентов, включая wndbg.exe, модуль DLL и два файла .BIN, для выполнения полезной нагрузки вредоносного ПО.

DarkGate использует различные тактики и приемы, такие как кейлоггинг, удаленные подключения, сохранение с помощью ключей запуска реестра, кража информации из браузера, передача команд и контроля, повышение привилегий, боковое перемещение, установка вредоносного ПО CryptoMiner и манипулирование конфигурациями RDP.

Исследовательская группа Splunk Threat проанализировала соответствующие обнаружения и пометила их в аналитической статье DarkGate, чтобы помочь аналитикам безопасности выявлять действия DarkGate.

Раннее обнаружение имеет решающее значение для сдерживания и устранения последствий DarkGate, и поощряется сотрудничество и обмен информацией об угрозах между сообществами безопасности.

Постоянный мониторинг и обновленные защитные механизмы необходимы, чтобы идти в ногу с эволюционирующей тактикой DarkGate и обеспечивать надежную защиту.

#ParsedReport #CompletenessLow
22-01-2024

Cracked software beats gold: new macOS backdoor stealing cryptowallets

https://securelist.com/new-macos-backdoor-crypto-stealer/111778

Report completeness: Low

Actors/Campaigns:
Sea_turtle

Threats:
Trojan-proxy
Omni
Applescript

Victims:
Macos ventura 13.6 and later users

ChatGPT TTPs:
do not use without manual check
T1071, T1204, T1190, T1071.001, T1008, T1068, T1220, T1550.004, T1082, T1539, have more...

IOCs:
Coin: 1
Domain: 4
Hash: 47

Soft:
macOS

Wallets:
exodus_wallet

Crypto:
bitcoin

Algorithms:
cbc, base64, aes, md5, zip

Functions:
check_exodus_and_hash, check_btccore_and_hash

Languages:
python, javascript

Platforms:
intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики по кибербезопасности обнаружили взломанные приложения, зараженные вредоносными программами, включая новое семейство вредоносных программ для macOS. Вредоносное ПО использовало различные методы, такие как скрытие скриптов Python в текстовых записях DNS и использование агентов запуска, для заражения и компрометации компьютеров пользователей. Вредоносная программа нацелилась на популярные криптовалютные кошельки, похитив конфиденциальную информацию и отправив ее на сервер управления. Кампания все еще продолжается и развивается.
-----

Взломанные приложения, зараженные троянским прокси, были обнаружены на пиратских сайтах.

Предварительно взломанные приложения были переупакованы в PKG-файлы со встроенным троянским прокси и постустановочным скриптом.

Было обнаружено новое семейство вредоносных программ для macOS, нацеленных на пользователей более новых версий операционной системы на процессорах Intel и компьютерах Apple silicon.

Вредоносная программа использовала программу под названием Activator и установщик Python, а также файл Mach-O с именем "tool".

Активатор использовал AuthorizationExecuteWithPrivileges для запроса пароля администратора и установки Python, если он не найден.

Вредоносная программа исправила загруженное приложение, чтобы оно выглядело так, как будто оно работает, но на самом деле оно было отключено.

Вредоносная программа обратилась к серверу управления (C2) за зашифрованным сценарием.

URL-адрес C2 был получен путем объединения слов из жестко закодированных списков и добавления случайной последовательности в качестве домена третьего уровня.

Вредоносная программа сделала запрос DNS, чтобы получить текстовую запись для домена, и собрала полное сообщение.

Основной целью вредоносного ПО было выполнение команд с помощью закодированных скриптов Python, полученных с сервера C2.

Вредоносная программа не получала никаких команд в ходе расследования, что указывает на продолжающуюся кампанию.

Вредоносная программа скомпрометировала кошельки Exodus и Bitcoin-Qt, похитив пользовательские данные и отправив их в C2.

Злоумышленники использовали взломанные приложения для получения привилегий пользователя во время установки.

Вредоносная программа использовала хитроумные методы, такие как сокрытие скриптов Python внутри доменных TXT-записей на DNS-серверах.

Вредоносная программа добавляла себя в startup agents для доставки обновлений и действовала как бэкдор с правами администратора.

#ParsedReport #CompletenessMedium
22-01-2024

Pakistan-based Threat Actor Targets Indians with Fake Loan Android Application

https://www.cyfirma.com/outofband/pakistan-based-threat-actor-targets-indians-with-fake-loan-android-application

Report completeness: Medium

Threats:
Screengrab

Victims:
Individuals in desperate need of quick loans

Industry:
Financial, Government

Geo:
Pakistan, India, Indian

TTPs:
Tactics: 3
Technics: 2

IOCs:
Domain: 2
Hash: 2

Soft:
Android, Instagram

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что неизвестный исполнитель угроз использует вредоносные приложения для Android, замаскированные под кредитные приложения, для нацеливания на людей, которым срочно нужны деньги. Эти исполнители угроз заманивают жертв обещаниями быстрых займов и минимальных формальностей, но как только приложение установлено, они получают доступ к личным данным жертвы. Компания CYFIRMA, занимающаяся кибербезопасностью, расследовала это дело и обнаружила, что приложение минимизировало разрешения, чтобы избежать обнаружения, и использовало методы социальной инженерии для сбора дополнительной информации. Рост вымогательства с помощью вредоносных кредитных приложений представляет серьезную проблему, особенно для уязвимых лиц, отчаянно нуждающихся в финансовой поддержке.
-----

Компания CYFIRMA, занимающаяся кибербезопасностью, недавно обнаружила закономерность, при которой неизвестные злоумышленники используют вредоносное ПО для Android для нацеливания на людей, которые срочно нуждаются в деньгах. Эти финансово мотивированные злоумышленники заманивают жертв обещаниями быстрых займов и минимальными формальностями. Как только жертва устанавливает поддельное кредитное приложение, ей предлагается предоставить разрешения и предоставить свои личные данные, включая селфи, для целей "Знай своего клиента" (KYC). Затем приложение предоставляет жертве список сумм кредита и, выбрав одну из них, запрашивает небольшую комиссию, которую необходимо внести для получения кредита. На данный момент исполнители угроз имеют доступ к основным данным жертвы, государственному удостоверению личности, селфи, а также к данным из их списка контактов и текстовым сообщениям.

В ходе своего расследования CYFIRMA проанализировала вредоносный пакет Android, используемый в схеме вымогательства. Они обнаружили, что приложение использовало минимальные разрешения, чтобы избежать обнаружения антивирусным программным обеспечением и платформами онлайн-сканирования. Ограничив свое исследование страницей регистрации, CYFIRMA избежала раскрытия своей собственной информации. Они также обнаружили доказательства использования социальной инженерии злоумышленниками для сбора дополнительной информации. Это привело к обнаружению неизвестной компании в Пакистане, которая нанимала людей на определенные должности, предоставляя им ресурсы для распространения вредоносных пакетов Android. Затем эти лица вымогали деньги у скомпрометированных жертв. Также были обнаружены связи между субъектом угрозы и частными лицами в Индии, что потенциально объясняет, почему субъект угрозы использовал Единый платежный интерфейс (UPI), способ оплаты, обычно используемый гражданами Индии.

Рост вымогательства с помощью вредоносных кредитных приложений представляет серьезную проблему, особенно для физических лиц, которые могут быть не знакомы с новейшими тактиками, используемыми злоумышленниками. Уязвимые люди, особенно те, кто отчаянно нуждается в финансовой поддержке, часто становятся жертвами подобных видов мошенничества.

Расследование CYFIRMA показало, что исполнитель угрозы намеренно минимизировал разрешения приложений, чтобы обойти антивирусные программы. Они использовали список контактов жертвы и ее селфи-изображение для отправки сообщений с угрозами вымогательства. Это демонстрирует опыт злоумышленника в использовании методов социальной инженерии для организации своей кампании, вместо того чтобы полагаться исключительно на более обнаруживаемое и опасное вредоносное приложение для Android.

#ParsedReport #CompletenessMedium
22-01-2024

Keyhole Analysis. Technical Overview

https://medium.com/walmartglobaltech/keyhole-analysis-60302922aa03

Report completeness: Medium

Threats:
Keyhole_tool
Icedid
Anubis

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1082, T1076, T1059, T1112, T1123, T1125, T1135, T1041, T1005, T1179, have more...

IOCs:
File: 14
Hash: 3
IP: 1
Path: 3
Command: 1

Soft:
Chrome, Internet Explorer

Algorithms:
xor

Win API:
NtCreateUserProcess

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Keyhole - это универсальный компонент, который активно используется вредоносной программой IcedID/Anubis. Он обладает широким спектром возможностей, включая сбор системной информации, операции VNC, манипулирование браузером, поиск файлов и перечисление сетей. Компонент загрузки Keyhole может обрабатывать как PE-файлы, так и версии шеллкода, с алгоритмом декодирования, соответствующим образцу 2017 года. Связь с сервером управления (C2) включает обмен необходимой информацией, и вредоносное ПО может быть активировано с помощью команд powershell или cmd. Однако имеется ограниченная техническая информация о его расширенной функциональности.
-----

Keyhole - это универсальный компонент, активно используемый вредоносной программой IcedID/Anubis, известной своими возможностями VNC/Backconnect. Хотя о некоторых ее функциях сообщалось ранее, имеется ограниченная техническая информация о ее расширенной функциональности.

Основной компонент Keyhole обладает функциональными возможностями, сравнимыми с функциями самого IcedID. Он обладает способностью собирать системную информацию, выполнять операции VNC (виртуальные сетевые вычисления), манипулировать HDESK (обращаться к рабочему столу), устанавливать соединения Socks/Backconnect, выполнять консольные команды с помощью cmd.exe или powershell, вводить explorer.exe , выполнять запросы LDAP, извлекать файлы из зараженных систем, перехватывать профили браузера, удалять профили браузера , манипулировать запущенными браузерами с помощью манипуляций командной строки, проверять наличие веб-камеры, делать снимки с помощью веб-камер, разрешать использование микрофона для приложений через настройки реестра и перечислять серверы и сетевые ресурсы.

Компонент загрузки Keyhole может обрабатывать как PE-файлы, так и версии шеллкода. Его основная функция заключается в декодировании и загрузке основного модуля. Основной модуль Keyhole содержит закодированные строки, а используемый алгоритм декодирования соответствует образцу, наблюдавшемуся в июне 2017 года. После декодирования результирующий двоичный объект служит конфигурацией для основного компонента Keyhole.

Связь с сервером командования и контроля (C2) включает в себя обмен такой информацией, как адрес C2, маркер трафика C2 и номер порта 8080.

Вредоносная программа извлекает основную информацию о зараженной системе, вероятно, для целей профилирования. Она также манипулирует браузерами и использует перехватчики, такие как NtCreateUserProcess, для запуска новых процессов браузера и взаимодействия с ними. Кроме того, Keyhole может внедряться во вновь запущенные процессы explorer.

Чтобы инициировать вредоносные действия, Keyhole можно детонировать с помощью команд powershell или cmd.

Таким образом, Keyhole - это многофункциональный компонент, используемый совместно с вредоносным ПО IcedID/Anubis. Он обладает широким спектром возможностей, включая сбор системной информации, операции VNC, манипулирование браузером, поиск файлов и перечисление сетей. Его компонент загрузки обрабатывает как PE-файлы, так и версии шеллкода с алгоритмом декодирования, который соответствует образцу 2017 года. Связь C2 предполагает существенный обмен информацией, и вредоносное ПО может быть активировано с помощью команд powershell или cmd.

#ParsedReport #CompletenessLow
22-01-2024

Parrot TDS: A Persistent and Evolving Malware Campaign

https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis

Report completeness: Low

Threats:
Parrot_tds
Wildfire

Victims:
Multiple global websites across various industries, A compromised website based in brazil

Geo:
Brazilian, Brazil

ChatGPT TTPs:
do not use without manual check
T1189, T1064, T1027, T1505, T1204, T1195

IOCs:
File: 1
Hash: 200

Soft:
WordPress, Joomla

Algorithms:
sha256

Win API:
Pie

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4