#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что VexTrio - это высокоорганизованная киберпреступная группировка, которая действует как брокер трафика и использует системы распределения трафика (TDS) для перенаправления пользователей на нелегальный контент в злонамеренных целях. Они сотрудничают с другими участниками, такими как ClearFake и SocGholish, и имеют обширную сеть филиалов и скомпрометированных веб-сайтов. Схемы и методы генерации доменов VexTrio продолжают развиваться, что затрудняет обнаружение их вредоносных действий. Они также используют методы обфускации, чтобы скрыть свой код, и часто обновляют свои инструменты, тактику, доменные имена и домены верхнего уровня, чтобы избежать обнаружения.
-----

VexTrio - это киберпреступная группировка, действующая в рамках более крупной криминальной экономики.

Они занимаются покупкой и продажей товаров и услуг и поддерживают злонамеренные отношения с другими субъектами, такими как ClearFake и SocGholish.

VexTrio управляет системами распределения трафика (TDS) для маршрутизации пользователей в зависимости от устройства и местоположения.

Они выступают в качестве посредника трафика для нескольких киберпреступников, имеющих по меньшей мере 60 филиалов.

Блокировка доменов TDS на уровне DNS может быть эффективной защитой от доступа к вредоносному контенту.

У VexTrio есть обширная сеть филиалов и скомпрометированных веб-сайтов, используемых для перенаправления веб-трафика.

Они используют различные цепочки атак и используют реферальные программы, связанные с McAfee и Benaughty.

Схемы генерации доменов VexTrio постоянно совершенствуются, чтобы избежать обнаружения.

Они управляют веб-серверами на базе HTTP и DNS-серверами как частью своих TDS.

Партнеры VexTrio перенаправляют скомпрометированный трафик на свои веб-серверы, и значения из строк URL-запросов важны для определения авторства и оценки активности партнеров.

ClearFake использует вредоносный фреймворк JavaScript для представления вредоносного контента и перенаправляет пользователей на TDS-серверы VexTrio.

SocGholish - это вредоносная программа на основе JavaScript, связанная с VexTrio и предназначенная для пользователей ОС Windows.

SocGholish внедряет вредоносный JavaScript и предлагает пользователям загрузить замаскированное обновление для браузера.

Партнеры VexTrio регистрируют похожие домены и перенаправляют веб-трафик на кампании VexTrio.

VexTrio постоянно обновляет свои инструменты, тактику и доменные имена.

Филиалы VexTrio собирают трафик жертв с помощью компрометации проезжающих мимо и рассылки спама по электронной почте.

VexTrio и ее филиалы маскируют свой вредоносный код, используя методы JavaScript.

Неизвестный партнер, сотрудничающий с VexTrio, маскируется под службу защиты от ботов и собирает информацию о жертвах.

Филиалы используют средства сокращения URL-адресов для перенаправления трафика в сеть VexTrio.

#ParsedReport #CompletenessMedium
25-01-2024

From Screen Captures to Crypto wallets: Analyzing the Multi-Faceted Threat of Rage Stealer

https://www.cyfirma.com/outofband/from-screen-captures-to-crypto-wallets-analyzing-the-multi-faceted-threat-of-rage-stealer

Report completeness: Medium

Threats:
Rage_stealer
Xstealer
Spear-phishing_technique

Industry:
Financial, Entertainment, Telco

Geo:
Germany

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 13
Path: 2
Url: 1
Hash: 1

Soft:
Discord, Telegram, Mozilla Firefox, Windows Registry

Wallets:
atomicwallet, bitcoincore, electrum, litecoincore, zcash, jaxx

Crypto:
ethereum, monero

Algorithms:
exhibit, sha256, zip, md5, sha1

Functions:
GetTokens

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа CYFIRMA обнаружила новую вредоносную программу для кражи информации под названием Rage Stealer. Эта вредоносная программа маскируется под Minecraft.exe и нацелена на игровую индустрию и отдельных геймеров. Он собирает широкий спектр конфиденциальных данных, включая учетные данные для входа в систему, пароли, информацию о кредитных картах и данные из популярных веб-браузеров. Украденные данные упорядочиваются, сжимаются и загружаются с помощью Telegram API. Имеются свидетельства ребрендинга или повторного использования предыдущих версий вредоносного ПО, что указывает на растущий рынок для похитителей информации в мире киберпреступности. Для защиты от таких угроз организации должны внедрять надежные меры кибербезопасности. Появление Rage Stealer подчеркивает растущую угрозу, исходящую от похитителей информации, и необходимость упреждающей защиты от кибербезопасности.
-----

Rage Stealer - это новая вредоносная программа для кражи информации, которая маскируется под Minecraft.exe.

Она ориентирована на игровую индустрию и отдельных геймеров.

Он собирает конфиденциальные данные, включая учетные данные для входа в систему, пароли, информацию о кредитной карте и многое другое.

Он специально нацелен на VPN-приложения, игровые платформы, такие как Discord и FileZilla, и платформу обмена сообщениями Telegram.

Украденные данные упорядочиваются, хранятся в определенных каталогах и сжимаются в архив для последующей фильтрации.

Вредоносная программа устанавливает соединение с Telegram API для загрузки украденных данных и создания лог-сообщения с подробной информацией о системе и данных.

Существует предыдущий вариант Rage Stealer под названием priv8 stealer, предполагающий ребрендинг или повторное использование киберпреступниками.

Оператор вредоносного ПО продвигает его в Telegram-канале, указывая на растущий рынок похитителей информации в мире киберпреступности.

Для защиты от этих угроз организациям следует внедрять надежные меры кибербезопасности, включая регулярные обновления, надежные пароли, многофакторную аутентификацию и комплексные решения для обеспечения безопасности конечных точек.

Rage Stealer - это исполняемый файл PE Win32, закодированный в .NET с подсистемой графического интерфейса пользователя.

Он собирает широкий спектр данных и ориентирован на различные платформы и приложения.

Собранные данные сжимаются и загружаются через Telegram API с использованием определенного формата именования.

Операторы получают ответ, подтверждающий успешное выполнение операции.

Появление Rage Stealer подчеркивает растущую угрозу со стороны похитителей информации в сфере киберпреступности.

Организации должны опережать развивающиеся киберугрозы и усиливать свою защиту от кибербезопасности.

#ParsedReport #CompletenessHigh
25-01-2024

CherryLoader: A New Go-based Loader Discovered in Recent Intrusions

https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions

Report completeness: High

Threats:
Cherryloader
Printspoofer_tool
Juicypotato_tool
Process_ghosting_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1574.007

IOCs:
IP: 1
File: 6
Command: 1
Hash: 10

Soft:
Microsoft Defender, Windows defender, windows service, Remote Desktop services

Algorithms:
sha256, xor, md5, aes

Functions:
CreateFile

Win API:
GetProcAddress, CreateFileW, CreateProcessW, DeleteFileW, RemoveDirectoryW, DeleteFile, NtSetInformationFile, WriteFile, NtCreateSection, CreateFileMappingA, have more...

Languages:
golang, python

Links:
https://github.com/antonioCoco/JuicyPotatoNG
https://github.com/itm4n/PrintSpoofer
https://github.com/giuspen/cherrytree

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Arctic Wolf Labs обнаружила новый загрузчик вредоносных программ под названием CherryLoader. Этот загрузчик позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции кода и замаскирован под законное приложение для создания заметок CherryTree. После выполнения CherryLoader отключает инструменты повышения привилегий, такие как PrintSpoofer и JuicyPotatoNG, чтобы обеспечить сохранение на устройстве жертвы. В анализе также выделяются различные действия, выполняемые участниками угроз для компрометации компьютера жертвы, и предлагаются меры по усилению защиты системы.
-----

Важные факты из текста:.

Arctic Wolf Labs обнаружила два вторжения, связанных с новым загрузчиком вредоносных программ на базе Go под названием CherryLoader.

CherryLoader позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции какого-либо кода и маскируется под законное приложение для ведения заметок CherryTree.

Первоначальная атака использовала IP-адрес 141.11.187.70 для обслуживания CherryLoader и связанных с ним файлов. Загруженные файлы включают защищенный паролем rar-файл с именем Packed.rar и исполняемый файл с именем main.exe для распаковки.

CherryLoader удаляет PrintSpoofer или JuicyPotatoNG, инструменты повышения привилегий, чтобы установить постоянство на устройстве жертвы.

Вредоносную программу CherryLoader трудно проанализировать, поскольку она удаляет и уничтожает свою таблицу адресов импорта.

Arctic Wolf Labs создала скрипт на Python, который помогает расшифровать зашифрованные файлы Spof.Data и Juicy.Data.

CherryLoader использует призрачность процесса для замены Spof.Данные другим кодом эксплойта без перекомпиляции основного исполняемого файла.

Вторжения в CherryLoader были связаны с инструментами повышения привилегий PrintSpoofer и JuicyPotatoNG.

Злоумышленники выполнили различные действия, чтобы скомпрометировать компьютер жертвы, включая создание учетной записи администратора с неправильным именем пользователя и изменение настроек безопасности.

Arctic Wolf Labs внедрила средства обнаружения для CherryLoader и советует клиентам регулярно исправлять программное обеспечение и отслеживать изменения брандмауэра.

CherryTree.exe это инструмент расшифровки, используемый CherryLoader, в то время как File.log использует алгоритм AES ECB для расшифровки.

В команду Arctic Wolf Labs, ответственную за исследование, входят Хейди, старший исследователь по безопасности, и Кристофер, ведущий исследователь по безопасности.

#ParsedReport #CompletenessHigh
25-01-2024

Uncovering Atomic Stealer (AMOS) Strikes and the Rise of Dead Cookies Restoration

https://cyble.com/blog/uncovering-atomic-stealer-amos-strikes-and-the-rise-of-dead-cookies-restoration

Report completeness: High

Threats:
Amos_stealer
Revive_rat
Xehook
Seo_poisoning_technique
Applescript
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 6
Technics: 7

IOCs:
Url: 4
IP: 2
File: 2
Hash: 5

Soft:
Google Chrome, macOS, Telegram, Curl, Chrome, Opera, OperaGX, Vivaldi, Chromium, Mozilla Firefox, have more...

Wallets:
metamask, electrum, coinomi

Crypto:
binance

Algorithms:
zip, sha256, md5, sha1

Functions:
fivenet, sentdata

Win API:
Arc

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ведется постоянная фишинговая кампания, нацеленная на пользователей Mac, с использованием вредоносного ПО под названием AMOS Stealer. Кампания включает распространение мошеннических установщиков через обманчивые веб-сайты, выдающие себя за законные приложения для Mac. Вредоносная программа крадет конфиденциальные данные, такие как пароли, файлы cookie и финансовые данные с устройств Mac. Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и недавно присоединился к тенденции восстановления просроченных файлов cookie Google Chrome. Анализ также предполагает потенциальную связь между кампаниями или участниками угроз. Фишинговые веб-сайты и развивающиеся методы AMOS Stealer подчеркивают необходимость повышения бдительности в области кибербезопасности Mac.
-----

Продолжается фишинговая кампания, нацеленная на пользователей Mac.

Кампания распространяет вредоносное ПО AMOS Stealer, ориентированное на macOS, через обманчивые веб-сайты, выдающие себя за законные приложения для Mac.

Вредоносная программа крадет конфиденциальные данные, такие как автозаполнение, пароли, файлы cookie и финансовые данные.

Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и повысил цену на эти услуги.

В среде InfoStealer наблюдается тенденция восстановления просроченных файлов cookie Google Chrome, что вызывает озабоченность, поскольку они могут быть включены в полезные программы вредоносного ПО.

Анализ предполагает потенциальную связь между кампанией AMOS Stealer и предыдущими кампаниями с участием Atomic Stealer.

Вредоносная программа AMOS Stealer использует различные методы для сбора данных, включая запросы к каталогам браузеров и таргетинг на крипто-кошельки.

Он извлекает пароли из связки ключей macOS, уделяя особое внимание Google Chrome.

Собранные данные объединяются в единый каталог и отправляются на сервер управления.

Фишинговые веб-сайты, выдающие себя за подлинные приложения для Mac, и развивающиеся методы AMOS Stealer демонстрируют стремление злоумышленника совершенствовать свою вредоносную деятельность.

#ParsedReport #CompletenessMedium
25-01-2024

Researcher Blog - ITOCHU Cyber & Intelligence Inc.. The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis

https://blog-en.itochuci.co.jp/entry/2024/01/24/134100

Report completeness: Medium

Actors/Campaigns:
Stone_panda

Threats:
Lodeinfo
Spear-phishing_technique
Dll_sideloading_technique
Junk_code_technique
Downiissa

Victims:
Japanese media, Diplomacy, Public institutions, Defense industries, Think tanks

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1001, T1055, T1055.001, T1213, T1221, T1036

IOCs:
Hash: 9
IP: 7
Url: 1
File: 2

Soft:
Microsoft Word, microsoft office

Algorithms:
sha1, xor, vigenere, hmac, aes, zip, base64, md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 5, dump: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LODEINFO - это вредоносная программа без файлов, которая была замечена в кампаниях фишинга с декабря 2019 года. Она нацелена на различные секторы, такие как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры. Считается, что к этим атакам причастна APT-группа APT10. В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку с обновлениями и новыми функциями. Вредоносная программа использует методы без использования файлов, и ее сложно обнаружить из-за того, что она сосредоточена на тактике сокрытия, методах и процедурах. Использование загрузчика и бэкдорного шеллкода является характерной особенностью LODEINFO. Вредоносная программа следует аналогичному пути заражения, полагаясь на вредоносные документы Word и удаленные инъекции шаблонов. Шеллкод загрузчика избегает обнаружения с помощью различных методов, включая проверку архитектуры и кодировку Base64. Различные версии LODEINFO демонстрируют различия в поведении, такие как языковые настройки и изменение имени файла. Анализ показывает необходимость в специализированных мерах обнаружения и продуктах для борьбы с LODEINFO. Шеллкод бэкдора обеспечивает удаленный доступ и работу с зараженными хостами, с изменениями в алгоритмах хэширования и добавлением команд бэкдора в разных версиях, что делает каждый образец уникальным и сложным для анализа и обнаружения.
-----

LODEINFO - это вредоносная программа без файлов, которая с декабря 2019 года используется в кампаниях по фишингу.

Он нацелен на такие секторы, как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры.

Считается, что к этим атакам причастна APT-группа APT10.

В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку.

LODEINFO скрывает свои тактики, методы и процедуры (TTP), чтобы затруднить обнаружение.

Ограниченная информация о методах обнаружения и небольшое количество образцов LODEINFO препятствуют обмену информацией.

Новая версия LODEINFO (v0.7.3) была замечена по состоянию на 24 января 2024 года.

LODEINFO использует методы вредоносного ПО без файлов, включая шеллкод загрузчика и шеллкод бэкдора.

Для обнаружения LODEINFO необходимо выполнить сканирование и обнаружить вредоносное ПО в памяти.

LODEINFO заражает системы с помощью вредоносных документов Word, используя удаленное внедрение шаблонов.

Шеллкод загрузчика LODEINFO избегает обнаружения с помощью проверок архитектуры операционной системы, методов кодирования и разделения.

Поведение LODEINFO варьируется в разных версиях, ориентируясь на конкретные языковые среды.

Существует сходство между шеллкодом загрузчика LODEINFO и другим загрузчиком под названием DOWNIISSA.

Бэкдорный шелл-код LODEINFO обеспечивает удаленный доступ и работу с зараженными хостами.

LODEINFO претерпевает изменения в вычислении хэша и командах бэкдора, что усложняет анализ и обнаружение.

#ParsedReport #CompletenessHigh
25-01-2024

NSPX30: A sophisticated AitM-enabled implant evolving since 2005

https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005

Report completeness: High

Actors/Campaigns:
Blackwood (motivation: cyber_espionage)
Daggerfly
Luoyu
Littlebear
Gelsemium
Red_delta
Blacktech

Threats:
Nspx30
Project_wood
Dark_specter
Aitm_technique
Upx_tool
Spear-phishing_technique
Uac_bypass_technique
Supply_chain_technique

Victims:
Chinese companies, Japanese companies, Individuals located in china, japan, and the united kingdom, High-profile public research university in the united kingdom, Large manufacturing and trading company in china, Japanese corporation in the engineering and manufacturing vertical

Industry:
Telco, Education

Geo:
Ukraine, Japanese, Japan, China, Chinese

TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 29
Path: 3
Url: 1
IP: 4
Command: 2
Domain: 2
Hash: 13

Soft:
Sogou, Visual Studio, Internet Explorer, Windows Defender, WeChat, Telegram

Algorithms:
rc4, zip, base64, exhibit

Functions:
CreateTaveInstance, When

Win API:
ExitProcess, WSCInstallNameSpace, CoCreateInstance, waveInOpen, waveInClose, waveInAddBuffer, waveOutOpen, waveOutWrite, waveOutClose

Languages:
powershell, visual_basic

Platforms:
intel, x86

Links:
https://gist.github.com/hfiref0x/196af729106b780db1c73428b5a5d68d
https://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/IARPUninstallStringLauncher.cpp

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили новую группу APT под названием Blackwood, которая, как полагают, связана с Китаем. Blackwood использует сложный имплантат под названием NSPX30 в операциях кибершпионажа, нацеленных на китайских и японских частных лиц и компании. Внедрение NSPX30 осуществляется с помощью атак "злоумышленник посередине" путем перехвата запросов на обновление от законного программного обеспечения. Внедрение представляет собой многоступенчатую вредоносную программу с возможностями перехвата пакетов и возможностью вносить себя в белый список некоторых китайских решений для защиты от вредоносных программ. Исследователи проследили эволюцию NSPX30 вплоть до бэкдора под названием Project Wood и наблюдали, как он использовался в целенаправленных атаках против различных целей. Злоумышленники взаимодействуют с имплантатом, добавляя данные к DNS-запросам для домена microsoft.com. Имплантат запускается через капельницу, замаскированную под Rising Antivirus, взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.
-----

Новая ориентированная на Китай группа APT под названием Blackwood действует как минимум с 2018 года.

Blackwood использует сложный имплантат под названием NSPX30 для операций кибершпионажа против китайских и японских объектов.

NSPX30 поставляется с помощью атак "противник посередине", перехватывающих запросы на обновление от законного программного обеспечения.

Имплантат NSPX30 включает в себя такие компоненты, как капельница, установщик, загрузчики, оркестратор и бэкдор.

NSPX30 может осуществлять перехват пакетов, чтобы скрыть инфраструктуру злоумышленников и внести себя в белый список китайских решений для защиты от вредоносных программ.

NSPX30 развился из бэкдора под названием Project Wood, впервые обнаруженного в 2005 году.

Blackwood использует NSPX30 для целенаправленных атак на компании и частных лиц в Китае, Японии и Великобритании.

Blackwood использует сетевые имплантаты, возможно, на маршрутизаторах или шлюзах, для компрометации целей.

NSPX30 поставляется в виде вредоносного обновления для таких программ, как Tencent QQ, Sogou Pinyin и WPS Office.

Имплантат взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.

#ParsedReport #CompletenessMedium
26-01-2024

Another Phobos Ransomware Variant Launches Attack FAUST

https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust

Report completeness: Medium

Threats:
Phobos
Eking
8base
Process_injection_technique
Lizar_loader
Blackrock
Devos
Elbie
Mamba
Phoenix_keylogger
Karma
Makop
Logan

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1212, T1137, T1059.001, T1055, T1055.003

IOCs:
Url: 2
File: 10
Command: 1
Path: 2
Registry: 1
Hash: 5

Soft:
Curl

Algorithms:
xor, base64, exhibit

Functions:
Workbook_Open

Win API:
NtWriteVirtualMemory, RtlCreateUserThread, ZwAllocateVirtualMemory, NtProtectVirtualMemory

Win Services:
db2

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, dump: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4