#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что платформа PyPI, на которой размещены пакеты, разработанные сообществом Python, стала мишенью злоумышленников, загружающих пакеты, зараженные вредоносным ПО. Эти вредоносные пакеты представляют значительный риск, потенциально приводящий к утечке учетных данных и конфиденциальной информации. Конкретный автор вредоносного ПО, известный как WS, был идентифицирован как один из преступников. Варианты вредоносного ПО используют различные методы для удаления и выполнения вредоносных полезных нагрузок, в частности, нацеленных на пользователей Windows. Возможности вредоносного ПО включают в себя эксфильтрацию конфиденциальной информации, извлечение содержимого буфера обмена и перезапись адресов криптовалют. В тексте подчеркивается важность осторожного использования пакетов с открытым исходным кодом и необходимость проактивной защиты от вредоносных программ, крадущих информацию.
-----

Из текста мы узнаем, что платформа PyPI, на которой размещены программные пакеты, разработанные сообществом Python, стала мишенью злоумышленников, которые загружают пакеты, зараженные вредоносным ПО. Влияние этих вредоносных пакетов значительно, с потенциальной утечкой учетных данных и конфиденциальной информации. Уровень серьезности этой проблемы считается высоким.

Конкретный автор вредоносного ПО, известный как WS, был идентифицирован как один из виновников загрузки этих вредоносных пакетов. Более 2000 жертв были идентифицированы исключительно по описанным пакетам. Методы атаки, используемые в этих пакетах, аналогичны предыдущим вредоносным кампаниям.

Пакеты включают исходный код, закодированный в base64 файлов PE (переносимых исполняемых файлов) или скриптов Python. Как только эти пакеты Python установлены, вредоносная полезная нагрузка удаляется и выполняется. Используются различные полезные нагрузки, нацеленные на устройства Windows и Linux. В последнее время основное внимание уделялось таргетингу на пользователей Windows.

Варианты вредоносного ПО используют различные IP-адреса в качестве адресатов для передачи данных. Их основная цель - извлечь конфиденциальную информацию из систем жертв. Предыдущие полезные программы вредоносного ПО, разработанные с использованием .NET, теперь отображаются в виде исполняемых файлов, скомпилированных на Python, созданных с помощью инструмента PyInstaller.

Примечательной особенностью этих вредоносных пакетов является их способность извлекать содержимое буфера обмена и перезаписывать его предопределенными криптовалютными адресами. Это может обманом заставить жертв отправлять криптовалютные транзакции в непреднамеренные пункты назначения.

Вредоносная программа устанавливает соединения с вредоносным IP-адресом (194.36.177.30), используя socket.io. Если соединение потеряно, вредоносная программа автоматически попытается восстановить соединение. Строки, обнаруженные в коде вредоносной программы, указывают на ее способность перехватывать действия мыши и клавиатуры, а также красть данные кошелька и браузера. Целевые сервисы включают Chrome, Discord, Filezilla и Coinbase.

В заключение в тексте подчеркивается важность соблюдения осторожности при использовании пакетов с открытым исходным кодом с таких платформ, как PyPI. Пользователи должны проявлять бдительность при проверке на наличие вредоносного контента или полезной нагрузки, которые могут сделать их устройства уязвимыми для кражи информации. История этого конкретного автора вредоносного ПО разворачивалась в течение нескольких месяцев, подчеркивая масштабы причиненного ущерба. Защита от таких настойчивых злоумышленников требует упреждающего и стратегического подхода для усиления защиты от вредоносных программ, крадущих информацию.

#ParsedReport #CompletenessMedium
24-01-2024

Dark Web Profile: INC Ransom

https://socradar.io/dark-web-profile-inc-ransom

Report completeness: Medium

Threats:
Inc_ransomware
Spear-phishing_technique
Lolbin_technique
Megasync_tool
Credential_dumping_technique

Victims:
North american and european organizations

Industry:
Financial

Geo:
America

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 12
Technics: 13

IOCs:
File: 5
Domain: 1

Soft:
Wordpad, Internet Explorer, PSExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что INC Ransom - это очень изощренная киберпреступная группировка, специализирующаяся на целенаправленных атаках с использованием программ-вымогателей. Они тщательно выбирают цели со значительными финансовыми ресурсами и конфиденциальными данными, чтобы максимизировать свои требования о выкупе. Они используют передовые методы, такие как скрытый фишинг и использование уязвимостей для получения доступа к сетям, а затем используют коммерческое готовое программное обеспечение (COTS) и законные системные инструменты для разведки и бокового перемещения внутри сети. INC Ransom выходит за рамки шифрования и блокировки данных, занимаясь кражей данных и угрозами их обнародования, оказывая дополнительное давление на жертв с целью заставить их подчиниться. Они используют различные инструменты и программное обеспечение для своих атак, в первую очередь нацеленных на организации в Северной Америке и Европе, особенно в Соединенных Штатах. Для защиты от этих угроз необходимы надежные меры безопасности и бдительность.
-----

INC Ransom - это новая и очень изощренная киберпреступная группировка, специализирующаяся на целенаправленных атаках программ-вымогателей. В отличие от оппортунистических операторов программ-вымогателей, INC Ransom тщательно выбирает свои цели, уделяя особое внимание организациям со значительными финансовыми ресурсами и конфиденциальными данными. Поступая таким образом, они стремятся максимизировать потенциальную отдачу от своих требований о выкупе.

INC Ransom использует передовые методы в своих атаках. Они начинают с проведения фишинговых кампаний или использования известных уязвимостей, таких как CVE-2023-3519 в Citrix NetScaler, чтобы получить первоначальный доступ к сети цели. Оказавшись внутри, они используют комбинацию коммерческого готового программного обеспечения (COTS) и законных системных инструментов, известных как LOLBINs, для разведки и бокового перемещения внутри сети. Это позволяет им оставаться незамеченными и уклоняться от мер обнаружения и предотвращения.

Атаки INC Ransom выходят за рамки шифрования и блокировки данных. Они также занимаются кражей данных и угрозами публичного разглашения - тактика, известная как двойное вымогательство. Угрожая раскрыть украденные данные, они оказывают дополнительное давление на жертв, заставляя их выполнить требования о выкупе.

Группа использует сложный и многоэтапный подход к атакам. Они используют различные инструменты для внутренней разведки и перемещения в стороны, включая NETSCAN.EXE, MEGAsyncSetup64.EXE, ESENTUTL.EXE и AnyDesk.exe. Для сбора и обработки данных они злоупотребляют законным программным обеспечением, таким как 7-Zip, Wordpad, Notepad и MSPaint. Передача данных облегчается за счет установки MegaSync на серверах. Такие инструменты, как Advanced IP Scanner и Internet Explorer, используются для горизонтального перемещения по сети. Команды доступа к учетным данным, потенциально использующие lsassy.py, используются для извлечения учетных данных для входа. Программы-вымогатели внедряются с использованием маскировок, таких как winupd, выполняемых через wmic.exe и PsExec. Они также адаптируют свои методы и устраняют неполадки по мере необходимости, предлагая автоматизацию с помощью пакетных файлов или скриптов.

INC Ransom работает в основном в Северной Америке и Европе, уделяя особое внимание организациям в Соединенных Штатах. Их деятельность представляет значительную угрозу для системы кибербезопасности из-за их сложной методологии атак и меняющейся тактики. Защита от этих угроз требует принятия надежных мер безопасности и сохранения бдительности для предотвращения успешных атак.

#ParsedReport #CompletenessLow
24-01-2024

Dark Web Profile: Malek Team

https://socradar.io/dark-web-profile-malek-team

Report completeness: Low

Threats:
Mosesstaff

Victims:
Ziv medical center, Ono academic college, Israeli defense forces, Israeli government bodies

Industry:
Government, Education, Healthcare

Geo:
Israeli, Iran, Asia, Iranian, Israel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Malek Team, предполагаемая хакерская группа, связанная с Ираном, проводила кибератаки против ключевых израильских учреждений. Эти атаки, нацеленные на такие сектора, как здравоохранение и образование, демонстрируют растущую изощренность киберпреступников и подчеркивают уязвимость критически важной инфраструктуры. Нарушения вызывают обеспокоенность по поводу национальной безопасности и демонстрируют взаимосвязь между геополитическим соперничеством и кибервойной. Для смягчения этих угроз необходимы надежные меры кибербезопасности и постоянная бдительность.
-----

Malek Team, хакерская группа, предположительно связанная с Ираном, активизировала свои кибератаки против ключевых израильских учреждений, что указывает на рост цифровых угроз в регионе. Эта группа, которая вербует хактивистов из Южной Азии и Ближнего Востока, нацелена на различные сектора в Израиле. Наиболее заметные атаки включают изощренную атаку на израильский медицинский центр "Зив", компрометирующую конфиденциальные медицинские записи, и взлом в академическом колледже Оно, компрометирующий студенческие записи.

Кибератака на медицинский центр "Зив" привела к краже 500 ГБ данных, включая высокочувствительную личную и медицинскую информацию пациентов, некоторые из которых были военнослужащими Армии обороны Израиля (ЦАХАЛ). Это нарушение вызвало обеспокоенность по поводу национальной безопасности и высветило уязвимость критически важной инфраструктуры здравоохранения. Израильское национальное киберуправление приняло немедленные меры, и медицинский центр Ziv отключил свой почтовый сервер и критически важные системы, чтобы локализовать нарушение. Это была третья кибератака на медицинский центр за четыре месяца.

Атаки Malek Team на медицинский центр "Зив", академический колледж Оно, израильские правительственные учреждения и ЦАХАЛ указывают на более широкую стратегию использования уязвимостей в цифровой инфраструктуре ключевых учреждений. Эти кибератаки отражают растущую изощренность киберпреступников и эскалацию кибервойны в регионе. Ни один сектор не застрахован от этих угроз, поскольку мишенями становятся различные сектора, такие как здравоохранение и образование.

Утечки, связанные с конфиденциальными данными, включая информацию о персонале ЦАХАЛа, вызывают опасения по поводу национальной безопасности. Они также согласуются с более широкой тенденцией связанной с государством или поддерживаемой государством кибердеятельности, потенциально связанной с напряженностью в отношениях между Израилем и Ираном. Для смягчения последствий таких атак требуются постоянная бдительность, надежные меры кибербезопасности и практика кибергигиены.

Эти кибератаки выходят за рамки непосредственного воздействия на целевые организации и демонстрируют стирание границ между геополитическим соперничеством и кибервойной. В контексте сложной региональной динамики Израиля они служат напоминанием о цифровом поле битвы, которое дополняет физические и дипломатические конфликты.

#ParsedReport #CompletenessMedium
24-01-2024

Cybercrime Central: VexTrio Operates Massive Criminal Affiliate Program

https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program

Report completeness: Medium

Threats:
Vextrio
Clearfake
Socgholish_loader
Glupteba
Sidewalk
Popunder_technique
Amadey
Beacon
Parrot_tds
Antibot

Industry:
Education, Financial

Geo:
Russian, Africa, Italian, Italy, Indian, German, Colombia

ChatGPT TTPs:
do not use without manual check
T1568, T1140, T1203, T1059, T1107, T1189, T1562, T1102, T1059.007, T1059, have more...

IOCs:
Domain: 28
Coin: 1
File: 2
Hash: 1

Soft:
TikTok, WordPress, Chrome, macOS, Tinder

Crypto:
binance

Algorithms:
sha256, base64

Functions:
DNS, HTTP, Keitaro, atob, b64_to_utf8

Languages:
javascript

Platforms:
intel

Links:
https://github.com/infobloxopen/threat-intelligence/blob/main/cta\_indicators/vextrio\_cta\_20240123\_iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 14, chart: 1, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что VexTrio - это высокоорганизованная киберпреступная группировка, которая действует как брокер трафика и использует системы распределения трафика (TDS) для перенаправления пользователей на нелегальный контент в злонамеренных целях. Они сотрудничают с другими участниками, такими как ClearFake и SocGholish, и имеют обширную сеть филиалов и скомпрометированных веб-сайтов. Схемы и методы генерации доменов VexTrio продолжают развиваться, что затрудняет обнаружение их вредоносных действий. Они также используют методы обфускации, чтобы скрыть свой код, и часто обновляют свои инструменты, тактику, доменные имена и домены верхнего уровня, чтобы избежать обнаружения.
-----

VexTrio - это киберпреступная группировка, действующая в рамках более крупной криминальной экономики.

Они занимаются покупкой и продажей товаров и услуг и поддерживают злонамеренные отношения с другими субъектами, такими как ClearFake и SocGholish.

VexTrio управляет системами распределения трафика (TDS) для маршрутизации пользователей в зависимости от устройства и местоположения.

Они выступают в качестве посредника трафика для нескольких киберпреступников, имеющих по меньшей мере 60 филиалов.

Блокировка доменов TDS на уровне DNS может быть эффективной защитой от доступа к вредоносному контенту.

У VexTrio есть обширная сеть филиалов и скомпрометированных веб-сайтов, используемых для перенаправления веб-трафика.

Они используют различные цепочки атак и используют реферальные программы, связанные с McAfee и Benaughty.

Схемы генерации доменов VexTrio постоянно совершенствуются, чтобы избежать обнаружения.

Они управляют веб-серверами на базе HTTP и DNS-серверами как частью своих TDS.

Партнеры VexTrio перенаправляют скомпрометированный трафик на свои веб-серверы, и значения из строк URL-запросов важны для определения авторства и оценки активности партнеров.

ClearFake использует вредоносный фреймворк JavaScript для представления вредоносного контента и перенаправляет пользователей на TDS-серверы VexTrio.

SocGholish - это вредоносная программа на основе JavaScript, связанная с VexTrio и предназначенная для пользователей ОС Windows.

SocGholish внедряет вредоносный JavaScript и предлагает пользователям загрузить замаскированное обновление для браузера.

Партнеры VexTrio регистрируют похожие домены и перенаправляют веб-трафик на кампании VexTrio.

VexTrio постоянно обновляет свои инструменты, тактику и доменные имена.

Филиалы VexTrio собирают трафик жертв с помощью компрометации проезжающих мимо и рассылки спама по электронной почте.

VexTrio и ее филиалы маскируют свой вредоносный код, используя методы JavaScript.

Неизвестный партнер, сотрудничающий с VexTrio, маскируется под службу защиты от ботов и собирает информацию о жертвах.

Филиалы используют средства сокращения URL-адресов для перенаправления трафика в сеть VexTrio.

#ParsedReport #CompletenessMedium
25-01-2024

From Screen Captures to Crypto wallets: Analyzing the Multi-Faceted Threat of Rage Stealer

https://www.cyfirma.com/outofband/from-screen-captures-to-crypto-wallets-analyzing-the-multi-faceted-threat-of-rage-stealer

Report completeness: Medium

Threats:
Rage_stealer
Xstealer
Spear-phishing_technique

Industry:
Financial, Entertainment, Telco

Geo:
Germany

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 13
Path: 2
Url: 1
Hash: 1

Soft:
Discord, Telegram, Mozilla Firefox, Windows Registry

Wallets:
atomicwallet, bitcoincore, electrum, litecoincore, zcash, jaxx

Crypto:
ethereum, monero

Algorithms:
exhibit, sha256, zip, md5, sha1

Functions:
GetTokens

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа CYFIRMA обнаружила новую вредоносную программу для кражи информации под названием Rage Stealer. Эта вредоносная программа маскируется под Minecraft.exe и нацелена на игровую индустрию и отдельных геймеров. Он собирает широкий спектр конфиденциальных данных, включая учетные данные для входа в систему, пароли, информацию о кредитных картах и данные из популярных веб-браузеров. Украденные данные упорядочиваются, сжимаются и загружаются с помощью Telegram API. Имеются свидетельства ребрендинга или повторного использования предыдущих версий вредоносного ПО, что указывает на растущий рынок для похитителей информации в мире киберпреступности. Для защиты от таких угроз организации должны внедрять надежные меры кибербезопасности. Появление Rage Stealer подчеркивает растущую угрозу, исходящую от похитителей информации, и необходимость упреждающей защиты от кибербезопасности.
-----

Rage Stealer - это новая вредоносная программа для кражи информации, которая маскируется под Minecraft.exe.

Она ориентирована на игровую индустрию и отдельных геймеров.

Он собирает конфиденциальные данные, включая учетные данные для входа в систему, пароли, информацию о кредитной карте и многое другое.

Он специально нацелен на VPN-приложения, игровые платформы, такие как Discord и FileZilla, и платформу обмена сообщениями Telegram.

Украденные данные упорядочиваются, хранятся в определенных каталогах и сжимаются в архив для последующей фильтрации.

Вредоносная программа устанавливает соединение с Telegram API для загрузки украденных данных и создания лог-сообщения с подробной информацией о системе и данных.

Существует предыдущий вариант Rage Stealer под названием priv8 stealer, предполагающий ребрендинг или повторное использование киберпреступниками.

Оператор вредоносного ПО продвигает его в Telegram-канале, указывая на растущий рынок похитителей информации в мире киберпреступности.

Для защиты от этих угроз организациям следует внедрять надежные меры кибербезопасности, включая регулярные обновления, надежные пароли, многофакторную аутентификацию и комплексные решения для обеспечения безопасности конечных точек.

Rage Stealer - это исполняемый файл PE Win32, закодированный в .NET с подсистемой графического интерфейса пользователя.

Он собирает широкий спектр данных и ориентирован на различные платформы и приложения.

Собранные данные сжимаются и загружаются через Telegram API с использованием определенного формата именования.

Операторы получают ответ, подтверждающий успешное выполнение операции.

Появление Rage Stealer подчеркивает растущую угрозу со стороны похитителей информации в сфере киберпреступности.

Организации должны опережать развивающиеся киберугрозы и усиливать свою защиту от кибербезопасности.

#ParsedReport #CompletenessHigh
25-01-2024

CherryLoader: A New Go-based Loader Discovered in Recent Intrusions

https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions

Report completeness: High

Threats:
Cherryloader
Printspoofer_tool
Juicypotato_tool
Process_ghosting_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1574.007

IOCs:
IP: 1
File: 6
Command: 1
Hash: 10

Soft:
Microsoft Defender, Windows defender, windows service, Remote Desktop services

Algorithms:
sha256, xor, md5, aes

Functions:
CreateFile

Win API:
GetProcAddress, CreateFileW, CreateProcessW, DeleteFileW, RemoveDirectoryW, DeleteFile, NtSetInformationFile, WriteFile, NtCreateSection, CreateFileMappingA, have more...

Languages:
golang, python

Links:
https://github.com/antonioCoco/JuicyPotatoNG
https://github.com/itm4n/PrintSpoofer
https://github.com/giuspen/cherrytree

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Arctic Wolf Labs обнаружила новый загрузчик вредоносных программ под названием CherryLoader. Этот загрузчик позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции кода и замаскирован под законное приложение для создания заметок CherryTree. После выполнения CherryLoader отключает инструменты повышения привилегий, такие как PrintSpoofer и JuicyPotatoNG, чтобы обеспечить сохранение на устройстве жертвы. В анализе также выделяются различные действия, выполняемые участниками угроз для компрометации компьютера жертвы, и предлагаются меры по усилению защиты системы.
-----

Важные факты из текста:.

Arctic Wolf Labs обнаружила два вторжения, связанных с новым загрузчиком вредоносных программ на базе Go под названием CherryLoader.

CherryLoader позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции какого-либо кода и маскируется под законное приложение для ведения заметок CherryTree.

Первоначальная атака использовала IP-адрес 141.11.187.70 для обслуживания CherryLoader и связанных с ним файлов. Загруженные файлы включают защищенный паролем rar-файл с именем Packed.rar и исполняемый файл с именем main.exe для распаковки.

CherryLoader удаляет PrintSpoofer или JuicyPotatoNG, инструменты повышения привилегий, чтобы установить постоянство на устройстве жертвы.

Вредоносную программу CherryLoader трудно проанализировать, поскольку она удаляет и уничтожает свою таблицу адресов импорта.

Arctic Wolf Labs создала скрипт на Python, который помогает расшифровать зашифрованные файлы Spof.Data и Juicy.Data.

CherryLoader использует призрачность процесса для замены Spof.Данные другим кодом эксплойта без перекомпиляции основного исполняемого файла.

Вторжения в CherryLoader были связаны с инструментами повышения привилегий PrintSpoofer и JuicyPotatoNG.

Злоумышленники выполнили различные действия, чтобы скомпрометировать компьютер жертвы, включая создание учетной записи администратора с неправильным именем пользователя и изменение настроек безопасности.

Arctic Wolf Labs внедрила средства обнаружения для CherryLoader и советует клиентам регулярно исправлять программное обеспечение и отслеживать изменения брандмауэра.

CherryTree.exe это инструмент расшифровки, используемый CherryLoader, в то время как File.log использует алгоритм AES ECB для расшифровки.

В команду Arctic Wolf Labs, ответственную за исследование, входят Хейди, старший исследователь по безопасности, и Кристофер, ведущий исследователь по безопасности.

#ParsedReport #CompletenessHigh
25-01-2024

Uncovering Atomic Stealer (AMOS) Strikes and the Rise of Dead Cookies Restoration

https://cyble.com/blog/uncovering-atomic-stealer-amos-strikes-and-the-rise-of-dead-cookies-restoration

Report completeness: High

Threats:
Amos_stealer
Revive_rat
Xehook
Seo_poisoning_technique
Applescript
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 6
Technics: 7

IOCs:
Url: 4
IP: 2
File: 2
Hash: 5

Soft:
Google Chrome, macOS, Telegram, Curl, Chrome, Opera, OperaGX, Vivaldi, Chromium, Mozilla Firefox, have more...

Wallets:
metamask, electrum, coinomi

Crypto:
binance

Algorithms:
zip, sha256, md5, sha1

Functions:
fivenet, sentdata

Win API:
Arc

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ведется постоянная фишинговая кампания, нацеленная на пользователей Mac, с использованием вредоносного ПО под названием AMOS Stealer. Кампания включает распространение мошеннических установщиков через обманчивые веб-сайты, выдающие себя за законные приложения для Mac. Вредоносная программа крадет конфиденциальные данные, такие как пароли, файлы cookie и финансовые данные с устройств Mac. Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и недавно присоединился к тенденции восстановления просроченных файлов cookie Google Chrome. Анализ также предполагает потенциальную связь между кампаниями или участниками угроз. Фишинговые веб-сайты и развивающиеся методы AMOS Stealer подчеркивают необходимость повышения бдительности в области кибербезопасности Mac.
-----

Продолжается фишинговая кампания, нацеленная на пользователей Mac.

Кампания распространяет вредоносное ПО AMOS Stealer, ориентированное на macOS, через обманчивые веб-сайты, выдающие себя за законные приложения для Mac.

Вредоносная программа крадет конфиденциальные данные, такие как автозаполнение, пароли, файлы cookie и финансовые данные.

Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и повысил цену на эти услуги.

В среде InfoStealer наблюдается тенденция восстановления просроченных файлов cookie Google Chrome, что вызывает озабоченность, поскольку они могут быть включены в полезные программы вредоносного ПО.

Анализ предполагает потенциальную связь между кампанией AMOS Stealer и предыдущими кампаниями с участием Atomic Stealer.

Вредоносная программа AMOS Stealer использует различные методы для сбора данных, включая запросы к каталогам браузеров и таргетинг на крипто-кошельки.

Он извлекает пароли из связки ключей macOS, уделяя особое внимание Google Chrome.

Собранные данные объединяются в единый каталог и отправляются на сервер управления.

Фишинговые веб-сайты, выдающие себя за подлинные приложения для Mac, и развивающиеся методы AMOS Stealer демонстрируют стремление злоумышленника совершенствовать свою вредоносную деятельность.

#ParsedReport #CompletenessMedium
25-01-2024

Researcher Blog - ITOCHU Cyber & Intelligence Inc.. The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis

https://blog-en.itochuci.co.jp/entry/2024/01/24/134100

Report completeness: Medium

Actors/Campaigns:
Stone_panda

Threats:
Lodeinfo
Spear-phishing_technique
Dll_sideloading_technique
Junk_code_technique
Downiissa

Victims:
Japanese media, Diplomacy, Public institutions, Defense industries, Think tanks

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1001, T1055, T1055.001, T1213, T1221, T1036

IOCs:
Hash: 9
IP: 7
Url: 1
File: 2

Soft:
Microsoft Word, microsoft office

Algorithms:
sha1, xor, vigenere, hmac, aes, zip, base64, md5