#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа CYFIRMA обнаружила новую вредоносную программу для кражи информации под названием Rage Stealer. Эта вредоносная программа маскируется под Minecraft.exe и нацелена на игровую индустрию и отдельных геймеров. Он собирает широкий спектр конфиденциальных данных, включая учетные данные для входа в систему, пароли, информацию о кредитных картах и данные из популярных веб-браузеров. Украденные данные упорядочиваются, сжимаются и загружаются с помощью Telegram API. Имеются свидетельства ребрендинга или повторного использования предыдущих версий вредоносного ПО, что указывает на растущий рынок для похитителей информации в мире киберпреступности. Для защиты от таких угроз организации должны внедрять надежные меры кибербезопасности. Появление Rage Stealer подчеркивает растущую угрозу, исходящую от похитителей информации, и необходимость упреждающей защиты от кибербезопасности.
-----

Rage Stealer - это новая вредоносная программа для кражи информации, которая маскируется под Minecraft.exe.

Она ориентирована на игровую индустрию и отдельных геймеров.

Он собирает конфиденциальные данные, включая учетные данные для входа в систему, пароли, информацию о кредитной карте и многое другое.

Он специально нацелен на VPN-приложения, игровые платформы, такие как Discord и FileZilla, и платформу обмена сообщениями Telegram.

Украденные данные упорядочиваются, хранятся в определенных каталогах и сжимаются в архив для последующей фильтрации.

Вредоносная программа устанавливает соединение с Telegram API для загрузки украденных данных и создания лог-сообщения с подробной информацией о системе и данных.

Существует предыдущий вариант Rage Stealer под названием priv8 stealer, предполагающий ребрендинг или повторное использование киберпреступниками.

Оператор вредоносного ПО продвигает его в Telegram-канале, указывая на растущий рынок похитителей информации в мире киберпреступности.

Для защиты от этих угроз организациям следует внедрять надежные меры кибербезопасности, включая регулярные обновления, надежные пароли, многофакторную аутентификацию и комплексные решения для обеспечения безопасности конечных точек.

Rage Stealer - это исполняемый файл PE Win32, закодированный в .NET с подсистемой графического интерфейса пользователя.

Он собирает широкий спектр данных и ориентирован на различные платформы и приложения.

Собранные данные сжимаются и загружаются через Telegram API с использованием определенного формата именования.

Операторы получают ответ, подтверждающий успешное выполнение операции.

Появление Rage Stealer подчеркивает растущую угрозу со стороны похитителей информации в сфере киберпреступности.

Организации должны опережать развивающиеся киберугрозы и усиливать свою защиту от кибербезопасности.

#ParsedReport #CompletenessHigh
25-01-2024

CherryLoader: A New Go-based Loader Discovered in Recent Intrusions

https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions

Report completeness: High

Threats:
Cherryloader
Printspoofer_tool
Juicypotato_tool
Process_ghosting_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1574.007

IOCs:
IP: 1
File: 6
Command: 1
Hash: 10

Soft:
Microsoft Defender, Windows defender, windows service, Remote Desktop services

Algorithms:
sha256, xor, md5, aes

Functions:
CreateFile

Win API:
GetProcAddress, CreateFileW, CreateProcessW, DeleteFileW, RemoveDirectoryW, DeleteFile, NtSetInformationFile, WriteFile, NtCreateSection, CreateFileMappingA, have more...

Languages:
golang, python

Links:
https://github.com/antonioCoco/JuicyPotatoNG
https://github.com/itm4n/PrintSpoofer
https://github.com/giuspen/cherrytree

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Arctic Wolf Labs обнаружила новый загрузчик вредоносных программ под названием CherryLoader. Этот загрузчик позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции кода и замаскирован под законное приложение для создания заметок CherryTree. После выполнения CherryLoader отключает инструменты повышения привилегий, такие как PrintSpoofer и JuicyPotatoNG, чтобы обеспечить сохранение на устройстве жертвы. В анализе также выделяются различные действия, выполняемые участниками угроз для компрометации компьютера жертвы, и предлагаются меры по усилению защиты системы.
-----

Важные факты из текста:.

Arctic Wolf Labs обнаружила два вторжения, связанных с новым загрузчиком вредоносных программ на базе Go под названием CherryLoader.

CherryLoader позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции какого-либо кода и маскируется под законное приложение для ведения заметок CherryTree.

Первоначальная атака использовала IP-адрес 141.11.187.70 для обслуживания CherryLoader и связанных с ним файлов. Загруженные файлы включают защищенный паролем rar-файл с именем Packed.rar и исполняемый файл с именем main.exe для распаковки.

CherryLoader удаляет PrintSpoofer или JuicyPotatoNG, инструменты повышения привилегий, чтобы установить постоянство на устройстве жертвы.

Вредоносную программу CherryLoader трудно проанализировать, поскольку она удаляет и уничтожает свою таблицу адресов импорта.

Arctic Wolf Labs создала скрипт на Python, который помогает расшифровать зашифрованные файлы Spof.Data и Juicy.Data.

CherryLoader использует призрачность процесса для замены Spof.Данные другим кодом эксплойта без перекомпиляции основного исполняемого файла.

Вторжения в CherryLoader были связаны с инструментами повышения привилегий PrintSpoofer и JuicyPotatoNG.

Злоумышленники выполнили различные действия, чтобы скомпрометировать компьютер жертвы, включая создание учетной записи администратора с неправильным именем пользователя и изменение настроек безопасности.

Arctic Wolf Labs внедрила средства обнаружения для CherryLoader и советует клиентам регулярно исправлять программное обеспечение и отслеживать изменения брандмауэра.

CherryTree.exe это инструмент расшифровки, используемый CherryLoader, в то время как File.log использует алгоритм AES ECB для расшифровки.

В команду Arctic Wolf Labs, ответственную за исследование, входят Хейди, старший исследователь по безопасности, и Кристофер, ведущий исследователь по безопасности.

#ParsedReport #CompletenessHigh
25-01-2024

Uncovering Atomic Stealer (AMOS) Strikes and the Rise of Dead Cookies Restoration

https://cyble.com/blog/uncovering-atomic-stealer-amos-strikes-and-the-rise-of-dead-cookies-restoration

Report completeness: High

Threats:
Amos_stealer
Revive_rat
Xehook
Seo_poisoning_technique
Applescript
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 6
Technics: 7

IOCs:
Url: 4
IP: 2
File: 2
Hash: 5

Soft:
Google Chrome, macOS, Telegram, Curl, Chrome, Opera, OperaGX, Vivaldi, Chromium, Mozilla Firefox, have more...

Wallets:
metamask, electrum, coinomi

Crypto:
binance

Algorithms:
zip, sha256, md5, sha1

Functions:
fivenet, sentdata

Win API:
Arc

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ведется постоянная фишинговая кампания, нацеленная на пользователей Mac, с использованием вредоносного ПО под названием AMOS Stealer. Кампания включает распространение мошеннических установщиков через обманчивые веб-сайты, выдающие себя за законные приложения для Mac. Вредоносная программа крадет конфиденциальные данные, такие как пароли, файлы cookie и финансовые данные с устройств Mac. Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и недавно присоединился к тенденции восстановления просроченных файлов cookie Google Chrome. Анализ также предполагает потенциальную связь между кампаниями или участниками угроз. Фишинговые веб-сайты и развивающиеся методы AMOS Stealer подчеркивают необходимость повышения бдительности в области кибербезопасности Mac.
-----

Продолжается фишинговая кампания, нацеленная на пользователей Mac.

Кампания распространяет вредоносное ПО AMOS Stealer, ориентированное на macOS, через обманчивые веб-сайты, выдающие себя за законные приложения для Mac.

Вредоносная программа крадет конфиденциальные данные, такие как автозаполнение, пароли, файлы cookie и финансовые данные.

Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и повысил цену на эти услуги.

В среде InfoStealer наблюдается тенденция восстановления просроченных файлов cookie Google Chrome, что вызывает озабоченность, поскольку они могут быть включены в полезные программы вредоносного ПО.

Анализ предполагает потенциальную связь между кампанией AMOS Stealer и предыдущими кампаниями с участием Atomic Stealer.

Вредоносная программа AMOS Stealer использует различные методы для сбора данных, включая запросы к каталогам браузеров и таргетинг на крипто-кошельки.

Он извлекает пароли из связки ключей macOS, уделяя особое внимание Google Chrome.

Собранные данные объединяются в единый каталог и отправляются на сервер управления.

Фишинговые веб-сайты, выдающие себя за подлинные приложения для Mac, и развивающиеся методы AMOS Stealer демонстрируют стремление злоумышленника совершенствовать свою вредоносную деятельность.

#ParsedReport #CompletenessMedium
25-01-2024

Researcher Blog - ITOCHU Cyber & Intelligence Inc.. The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis

https://blog-en.itochuci.co.jp/entry/2024/01/24/134100

Report completeness: Medium

Actors/Campaigns:
Stone_panda

Threats:
Lodeinfo
Spear-phishing_technique
Dll_sideloading_technique
Junk_code_technique
Downiissa

Victims:
Japanese media, Diplomacy, Public institutions, Defense industries, Think tanks

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1001, T1055, T1055.001, T1213, T1221, T1036

IOCs:
Hash: 9
IP: 7
Url: 1
File: 2

Soft:
Microsoft Word, microsoft office

Algorithms:
sha1, xor, vigenere, hmac, aes, zip, base64, md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 5, dump: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LODEINFO - это вредоносная программа без файлов, которая была замечена в кампаниях фишинга с декабря 2019 года. Она нацелена на различные секторы, такие как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры. Считается, что к этим атакам причастна APT-группа APT10. В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку с обновлениями и новыми функциями. Вредоносная программа использует методы без использования файлов, и ее сложно обнаружить из-за того, что она сосредоточена на тактике сокрытия, методах и процедурах. Использование загрузчика и бэкдорного шеллкода является характерной особенностью LODEINFO. Вредоносная программа следует аналогичному пути заражения, полагаясь на вредоносные документы Word и удаленные инъекции шаблонов. Шеллкод загрузчика избегает обнаружения с помощью различных методов, включая проверку архитектуры и кодировку Base64. Различные версии LODEINFO демонстрируют различия в поведении, такие как языковые настройки и изменение имени файла. Анализ показывает необходимость в специализированных мерах обнаружения и продуктах для борьбы с LODEINFO. Шеллкод бэкдора обеспечивает удаленный доступ и работу с зараженными хостами, с изменениями в алгоритмах хэширования и добавлением команд бэкдора в разных версиях, что делает каждый образец уникальным и сложным для анализа и обнаружения.
-----

LODEINFO - это вредоносная программа без файлов, которая с декабря 2019 года используется в кампаниях по фишингу.

Он нацелен на такие секторы, как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры.

Считается, что к этим атакам причастна APT-группа APT10.

В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку.

LODEINFO скрывает свои тактики, методы и процедуры (TTP), чтобы затруднить обнаружение.

Ограниченная информация о методах обнаружения и небольшое количество образцов LODEINFO препятствуют обмену информацией.

Новая версия LODEINFO (v0.7.3) была замечена по состоянию на 24 января 2024 года.

LODEINFO использует методы вредоносного ПО без файлов, включая шеллкод загрузчика и шеллкод бэкдора.

Для обнаружения LODEINFO необходимо выполнить сканирование и обнаружить вредоносное ПО в памяти.

LODEINFO заражает системы с помощью вредоносных документов Word, используя удаленное внедрение шаблонов.

Шеллкод загрузчика LODEINFO избегает обнаружения с помощью проверок архитектуры операционной системы, методов кодирования и разделения.

Поведение LODEINFO варьируется в разных версиях, ориентируясь на конкретные языковые среды.

Существует сходство между шеллкодом загрузчика LODEINFO и другим загрузчиком под названием DOWNIISSA.

Бэкдорный шелл-код LODEINFO обеспечивает удаленный доступ и работу с зараженными хостами.

LODEINFO претерпевает изменения в вычислении хэша и командах бэкдора, что усложняет анализ и обнаружение.

#ParsedReport #CompletenessHigh
25-01-2024

NSPX30: A sophisticated AitM-enabled implant evolving since 2005

https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005

Report completeness: High

Actors/Campaigns:
Blackwood (motivation: cyber_espionage)
Daggerfly
Luoyu
Littlebear
Gelsemium
Red_delta
Blacktech

Threats:
Nspx30
Project_wood
Dark_specter
Aitm_technique
Upx_tool
Spear-phishing_technique
Uac_bypass_technique
Supply_chain_technique

Victims:
Chinese companies, Japanese companies, Individuals located in china, japan, and the united kingdom, High-profile public research university in the united kingdom, Large manufacturing and trading company in china, Japanese corporation in the engineering and manufacturing vertical

Industry:
Telco, Education

Geo:
Ukraine, Japanese, Japan, China, Chinese

TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 29
Path: 3
Url: 1
IP: 4
Command: 2
Domain: 2
Hash: 13

Soft:
Sogou, Visual Studio, Internet Explorer, Windows Defender, WeChat, Telegram

Algorithms:
rc4, zip, base64, exhibit

Functions:
CreateTaveInstance, When

Win API:
ExitProcess, WSCInstallNameSpace, CoCreateInstance, waveInOpen, waveInClose, waveInAddBuffer, waveOutOpen, waveOutWrite, waveOutClose

Languages:
powershell, visual_basic

Platforms:
intel, x86

Links:
https://gist.github.com/hfiref0x/196af729106b780db1c73428b5a5d68d
https://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/IARPUninstallStringLauncher.cpp

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили новую группу APT под названием Blackwood, которая, как полагают, связана с Китаем. Blackwood использует сложный имплантат под названием NSPX30 в операциях кибершпионажа, нацеленных на китайских и японских частных лиц и компании. Внедрение NSPX30 осуществляется с помощью атак "злоумышленник посередине" путем перехвата запросов на обновление от законного программного обеспечения. Внедрение представляет собой многоступенчатую вредоносную программу с возможностями перехвата пакетов и возможностью вносить себя в белый список некоторых китайских решений для защиты от вредоносных программ. Исследователи проследили эволюцию NSPX30 вплоть до бэкдора под названием Project Wood и наблюдали, как он использовался в целенаправленных атаках против различных целей. Злоумышленники взаимодействуют с имплантатом, добавляя данные к DNS-запросам для домена microsoft.com. Имплантат запускается через капельницу, замаскированную под Rising Antivirus, взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.
-----

Новая ориентированная на Китай группа APT под названием Blackwood действует как минимум с 2018 года.

Blackwood использует сложный имплантат под названием NSPX30 для операций кибершпионажа против китайских и японских объектов.

NSPX30 поставляется с помощью атак "противник посередине", перехватывающих запросы на обновление от законного программного обеспечения.

Имплантат NSPX30 включает в себя такие компоненты, как капельница, установщик, загрузчики, оркестратор и бэкдор.

NSPX30 может осуществлять перехват пакетов, чтобы скрыть инфраструктуру злоумышленников и внести себя в белый список китайских решений для защиты от вредоносных программ.

NSPX30 развился из бэкдора под названием Project Wood, впервые обнаруженного в 2005 году.

Blackwood использует NSPX30 для целенаправленных атак на компании и частных лиц в Китае, Японии и Великобритании.

Blackwood использует сетевые имплантаты, возможно, на маршрутизаторах или шлюзах, для компрометации целей.

NSPX30 поставляется в виде вредоносного обновления для таких программ, как Tencent QQ, Sogou Pinyin и WPS Office.

Имплантат взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.

#ParsedReport #CompletenessMedium
26-01-2024

Another Phobos Ransomware Variant Launches Attack FAUST

https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust

Report completeness: Medium

Threats:
Phobos
Eking
8base
Process_injection_technique
Lizar_loader
Blackrock
Devos
Elbie
Mamba
Phoenix_keylogger
Karma
Makop
Logan

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1212, T1137, T1059.001, T1055, T1055.003

IOCs:
Url: 2
File: 10
Command: 1
Path: 2
Registry: 1
Hash: 5

Soft:
Curl

Algorithms:
xor, base64, exhibit

Functions:
Workbook_Open

Win API:
NtWriteVirtualMemory, RtlCreateUserThread, ZwAllocateVirtualMemory, NtProtectVirtualMemory

Win Services:
db2

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, dump: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что семейство программ-вымогателей Phobos, в частности его вариант под названием FAUST ransomware, активно нацеливается на системы и заражает их. Программа-вымогатель FAUST использует документ со встроенным скриптом VBA для загрузки данных в кодировке Base64 из Gitea, которые затем декодируются и выполняются в виде чистого файла XLSX, позволяя программе-вымогателю шифровать файлы на компьютере жертвы. Вариант FAUST демонстрирует устойчивость в среде, создает несколько потоков для эффективного выполнения и добавляет расширение ".faust" к каждому зашифрованному файлу. Злоумышленники, стоящие за программой-вымогателем, также используют специальные индексы для расширений файлов, имен файлов и каталогов в своей функции дешифрования.
-----

Семейство программ-вымогателей Phobos - хорошо известная группа вредоносных программ, появившаяся в 2019 году и участвовавшая в различных кибератаках. Она шифрует файлы на компьютере жертвы и требует выкуп в криптовалюте за ключ расшифровки. FortiGuard Labs обнаружила и сообщила о нескольких вариантах программы-вымогателя Phobos, включая EKING и 8Base. Недавно они обнаружили документ Office, содержащий скрипт VBA, целью которого является распространение программы-вымогателя FAUST, которая является еще одним вариантом Phobos.

Злоумышленники, стоящие за программой-вымогателем FAUST, использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Когда эти файлы вводятся в системную память, они инициируют атаку шифрования файлов. Цепочка атак подробно представлена на рисунке 1.

Исследователи обнаружили документ XLAM, содержащий встроенный скрипт VBA, который запускает PowerShell для загрузки данных в кодировке Base64 из Gitea при открытии документа. Эти данные могут быть декодированы в чистый файл XLSX, который сохраняется во временной папке и автоматически открывается, создавая иллюзию того, что процесс завершен и безвреден.

Исполняемый файл AVG update.exe действует как загрузчик и использует методы, позволяющие избежать обнаружения и анализа. Он использует внедрение процесса для внедрения вредоносного кода в память нового процесса. Кроме того, файл кодирует все свои строки и преобразует их в XOR с помощью определенных шестнадцатеричных ключей перед использованием. Примеры ассемблерного кода показаны на рисунке 6.

Программа-вымогатель FAUST, разновидность семейства Phobos, шифрует файлы на компьютере жертвы и добавляет расширение ".faust" к каждому зашифрованному файлу. Она генерирует файлы info.txt и info.hta для связи с злоумышленниками. Программа-вымогатель связана с конфигурацией запуска Windows, что позволяет ей автоматически запускаться. Зашифрованные файлы имеют расширение ".id-3512.babylon4367@proton.me.faust". В записке о выкупе жертвам предлагается связаться с злоумышленниками по электронной почте или токсичным сообщением.

Вариант FAUST демонстрирует способность поддерживать постоянство в среде и создавать несколько потоков для эффективного выполнения. В своей функции расшифровки он использует специальные индексы для расширений файлов, имен файлов и каталогов. Первоначальный продавец инициировал процесс продажи программы-вымогателя FAUST в ноябре 2023 года, и деятельность по продаже продолжается.

#ParsedReport #CompletenessHigh
26-01-2024

Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT

https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat

Report completeness: High

Actors/Campaigns:
Sidecopy
Fin13

Threats:
Allakore_rat
Spear-phishing_technique

Victims:
Mexican banks, Cryptocurrency trading entities, Mexican entities with large revenues

Industry:
Transport, Financial, Foodtech, Retail, Government

Geo:
America, Spanish, Mexico, Mexican

TTPs:
Tactics: 7
Technics: 18

IOCs:
File: 15
Domain: 21
Hash: 159
Url: 3
IP: 10

Soft:
Chrome

Algorithms:
sha256, md5

Languages:
powershell, php, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4