#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что семейство программ-вымогателей Phobos, в частности его вариант под названием FAUST ransomware, активно нацеливается на системы и заражает их. Программа-вымогатель FAUST использует документ со встроенным скриптом VBA для загрузки данных в кодировке Base64 из Gitea, которые затем декодируются и выполняются в виде чистого файла XLSX, позволяя программе-вымогателю шифровать файлы на компьютере жертвы. Вариант FAUST демонстрирует устойчивость в среде, создает несколько потоков для эффективного выполнения и добавляет расширение ".faust" к каждому зашифрованному файлу. Злоумышленники, стоящие за программой-вымогателем, также используют специальные индексы для расширений файлов, имен файлов и каталогов в своей функции дешифрования.
-----

Семейство программ-вымогателей Phobos - хорошо известная группа вредоносных программ, появившаяся в 2019 году и участвовавшая в различных кибератаках. Она шифрует файлы на компьютере жертвы и требует выкуп в криптовалюте за ключ расшифровки. FortiGuard Labs обнаружила и сообщила о нескольких вариантах программы-вымогателя Phobos, включая EKING и 8Base. Недавно они обнаружили документ Office, содержащий скрипт VBA, целью которого является распространение программы-вымогателя FAUST, которая является еще одним вариантом Phobos.

Злоумышленники, стоящие за программой-вымогателем FAUST, использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Когда эти файлы вводятся в системную память, они инициируют атаку шифрования файлов. Цепочка атак подробно представлена на рисунке 1.

Исследователи обнаружили документ XLAM, содержащий встроенный скрипт VBA, который запускает PowerShell для загрузки данных в кодировке Base64 из Gitea при открытии документа. Эти данные могут быть декодированы в чистый файл XLSX, который сохраняется во временной папке и автоматически открывается, создавая иллюзию того, что процесс завершен и безвреден.

Исполняемый файл AVG update.exe действует как загрузчик и использует методы, позволяющие избежать обнаружения и анализа. Он использует внедрение процесса для внедрения вредоносного кода в память нового процесса. Кроме того, файл кодирует все свои строки и преобразует их в XOR с помощью определенных шестнадцатеричных ключей перед использованием. Примеры ассемблерного кода показаны на рисунке 6.

Программа-вымогатель FAUST, разновидность семейства Phobos, шифрует файлы на компьютере жертвы и добавляет расширение ".faust" к каждому зашифрованному файлу. Она генерирует файлы info.txt и info.hta для связи с злоумышленниками. Программа-вымогатель связана с конфигурацией запуска Windows, что позволяет ей автоматически запускаться. Зашифрованные файлы имеют расширение ".id-3512.babylon4367@proton.me.faust". В записке о выкупе жертвам предлагается связаться с злоумышленниками по электронной почте или токсичным сообщением.

Вариант FAUST демонстрирует способность поддерживать постоянство в среде и создавать несколько потоков для эффективного выполнения. В своей функции расшифровки он использует специальные индексы для расширений файлов, имен файлов и каталогов. Первоначальный продавец инициировал процесс продажи программы-вымогателя FAUST в ноябре 2023 года, и деятельность по продаже продолжается.

#ParsedReport #CompletenessHigh
26-01-2024

Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT

https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat

Report completeness: High

Actors/Campaigns:
Sidecopy
Fin13

Threats:
Allakore_rat
Spear-phishing_technique

Victims:
Mexican banks, Cryptocurrency trading entities, Mexican entities with large revenues

Industry:
Transport, Financial, Foodtech, Retail, Government

Geo:
America, Spanish, Mexico, Mexican

TTPs:
Tactics: 7
Technics: 18

IOCs:
File: 15
Domain: 21
Hash: 159
Url: 3
IP: 10

Soft:
Chrome

Algorithms:
sha256, md5

Languages:
powershell, php, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что финансово мотивированный субъект угроз нацелен на мексиканские банки и организации, торгующие криптовалютами, используя модифицированную версию AllaKore RAT. Субъекты угроз используют методы социальной инженерии, такие как использование приманок, имитирующих документы Мексиканского института социального обеспечения, для распространения своего вредоносного ПО. Модифицированный RAT позволяет им красть банковские учетные данные и аутентификационную информацию, которая затем используется в целях финансового мошенничества. Считается, что группа threat actor базируется в Латинской Америке, и их таргетинг не привязан к конкретной отрасли, а сосредоточен на крупных компаниях, отчитывающихся перед департаментом IMSS правительства Мексики, с доходами свыше 100 миллионов долларов США. Кампания активна, по крайней мере, с 2021 года и продолжает использовать согласованную инфраструктуру командования и контроля. Полезная нагрузка RAT обладает различными возможностями, включая кейлоггинг, захват экрана и дистанционное управление. Группа threat actor также использует специальные IP-адреса и VPN-сервисы в Мексике для доступа по протоколу удаленного рабочего стола к своим серверам управления. В целом, кампания была упорной и продолжается уже более двух лет, что требует постоянной бдительности и мер кибербезопасности.
-----

Финансово мотивированный субъект угрозы нацелен на мексиканские банки и организации, торгующие криптовалютами.

Они используют специальные упакованные установщики для доставки модифицированной версии AllaKore RAT.

В процессе установки используются приманки, имитирующие документы Мексиканского института социального обеспечения (IMSS), и ссылки на легальные файлы.

Модифицированный AllaKore RAT позволяет злоумышленникам красть банковские учетные данные и аутентификационную информацию.

Украденная информация отправляется обратно на сервер управления (C2) в целях финансового мошенничества.

Группа исполнителей угроз, скорее всего, базируется в Латинской Америке, используя IP-адреса Starlink в Мексике и инструкции на испанском языке.

Кампания активна как минимум с 2021 года и продолжает использовать согласованную инфраструктуру C2.

Полезная нагрузка RAT способна вести кейлоггинг, захват экрана, загрузку файлов и дистанционное управление.

Злоумышленники используют расширение Chrome для блокировки доступа к определенным URL-адресам.

Кампания в первую очередь нацелена на крупные мексиканские компании с выручкой более 100 миллионов долларов США.

RAT обладает пользовательской функциональностью для учетных данных, специфичных для конкретной цели, и данных, связанных с банковской инфраструктурой.

Кампания продолжается уже более двух лет и не имеет никаких признаков прекращения.

Для защиты от этих атак необходимы бдительность и меры кибербезопасности.

#ParsedReport #CompletenessMedium
26-01-2024

Inside the SYSTEMBC Command-and-Control Server

https://www.kroll.com/en/insights/publications/cyber/inside-the-systembc-malware-server

Report completeness: Medium

Threats:
Systembc
Blackbasta
Cuba
Gootkit
Cobalt_strike
Emotet
Fastflux_technique
Procmon_tool
Meterpreter_tool
Rhysida
Advanced-port-scanner_tool
Anydesk_tool
Megasync_tool

Industry:
Petroleum, E-commerce, Healthcare

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1108, T1133, T1046, T1110, T1190, T1006, T1108, have more...

IOCs:
File: 4

Soft:
UNIX

Functions:
Windows

Win API:
VirtualProtect, CreateThread

Languages:
php

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 2, windows: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Kroll обнаружила растущее использование вредоносного инструмента SYSTEMBC субъектами угроз. SYSTEMBC действует как прокси-сервер SOCKS5 и используется для поддержания доступа в скомпрометированных сетях. Он часто используется вместе с различными семействами вредоносных программ и может быть приобретен на подпольных рынках. Инструмент включает в себя имплантат, сервер управления и веб-портал администрирования. Панель SYSTEMBC написана в виде монолитного PHP-скрипта и обладает тремя основными функциональными возможностями: проксирование SOCKS5, функциональность загрузчика и загрузка модулей. Компания Kroll определила SYSTEMBC как предпочтительный инструмент операторов программ-вымогателей RHYSIDA и продемонстрировала его полезность при атаках на сети жертв.
-----

Важные факты из текста:.

Фирма по кибербезопасности Kroll заметила рост использования инструмента SYSTEMBC субъектами угроз для поддержания доступа к скомпрометированным сетям.

SYSTEMBC действует как прокси-сервер SOCKS5 и может использоваться для постоянного доступа или для того, чтобы оставить бэкдор для будущего доступа.

SYSTEMBC часто используется вместе с различными семействами вредоносных программ, такими как RHYSIDIA, BLACKBASTA, CUBA, GOOTLOADER, COBALTSTRIKE и EMOTET.

Инструмент SYSTEMBC можно приобрести на подпольных рынках, он поставляется с имплантатом, сервером управления (C2) и порталом веб-администрирования.

Панель SYSTEMBC написана на PHP и лишена использования функций, ориентируясь на скорость создания рабочего веб-интерфейса.

SYSTEMBC обладает тремя основными функциональными возможностями: проксирование SOCKS5, функциональность загрузчика для запуска отдельных скриптов и исполняемых файлов и загрузка модуля для расширения его основной функциональности.

Имплантат устанавливает исходящее сетевое соединение с компьютера-жертвы к серверу C2, который реализует протокол SOCKS5.

SYSTEMBC обладает функциональностью шеллкода, позволяющей выполнять вредоносный код без загрузки и выполнения файла.

Компания Kroll определила SYSTEMBC как предпочтительный инструмент операторов программ-вымогателей RHYSIDA.

SYSTEMBC использовался в качестве начальной точки опоры при атаках, а дополнительные инструменты, такие как Advanced Port Scanner, AnyDesk и MegaSync, использовались для обнаружения сети, удаленного доступа и эксфильтрации, соответственно.

Команда CTI из Kroll продемонстрировала полезность и простоту использования SYSTEMBC в качестве бэкдора в сеть жертвы.

#ParsedReport #CompletenessLow
26-01-2024

Invoice Phishing Alert: TA866 Deploys WasabiSeed & Screenshotter Malware

https://www.proofpoint.com/us/newsroom/news/invoice-phishing-alert-ta866-deploys-wasabiseed-screenshotter-malware

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: financially_motivated, information_theft, cyber_espionage, cyber_criminal)
Asylum_ambuscade (motivation: cyber_espionage)
Ta571 (motivation: cyber_criminal)

Threats:
Wasabiseed
Rhadamanthys
Netsupportmanager_rat
Asyncrat
Icedid
Pikabot
Qakbot
Darkgate
Agent_tesla
Formbook

Industry:
Retail, Transport, Financial

Geo:
Italy, Australia, America, Korean, France, India

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1566.002, T1550, T1003, T1064, T1213, T1094.004, T1001, T1105, have more...

Soft:
AutoHotKey, WhatsApp, Telegram

Languages:
visual_basic, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исполнитель угроз, известный как TA866, вновь появился после перерыва, проводя новую фишинговую кампанию, нацеленную на североамериканские организации. Кампания включает отправку электронных писем на тему счетов-фактур с поддельными PDF-файлами, которые запускают многоэтапную цепочку заражения, в конечном итоге доставляя вредоносное ПО. Вредоносное ПО, используемое в этой кампании, является вариантом пользовательского набора инструментов WasabiSeed и Screenshotter. Считается, что TA866 мотивирован финансово и использует скриншотер в разведывательных целях. Они используют бота на основе AutoHotkey, чтобы избавиться от похитителя информации Rhadamanthys. Были обнаружены сходства между предыдущей кампанией TA866 и Asylum Ambuscade, преступной группой, занимающейся кибершпионажем. В своей текущей кампании TA866 перешли от использования вложений издателя с поддержкой макросов к PDF-файлам с мошенническими ссылками OneDrive. Они полагаются на службу рассылки спама, предоставляемую другим субъектом, известным как TA571. Вредоносное ПО, распространяемое TA866, включает AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot и DarkGate, причем DarkGate позволяет красть информацию, добывать криптовалюту и выполнять произвольные программы. Одновременно с возрождением TA866 Cofense сообщила об увеличении числа фишинговых писем, связанных с доставкой, нацеленных на производственный сектор, распространяющих вредоносные программы, такие как Agent Tesla и Formbook. В этих атаках также используется тактика уклонения с использованием надежных ссылок на веб-сайты, которые позже перенаправляют жертв на вредоносные страницы после того, как поставщики систем безопасности кэшируют их вердикт как безопасный. Атаки в основном нацелены на финансовые услуги, производство, розничную торговлю и страховую отрасль во многих странах.
-----

#ParsedReport #CompletenessLow
26-01-2024

Security Blog. A Look into PlugX Kernel driver

https://mahmoudzohdy.github.io/posts/re/plugx

Report completeness: Low

Threats:
Plugx_rat
Antidebugging_technique

ChatGPT TTPs:
do not use without manual check
T1218, T1055, T1179

IOCs:
File: 4
Hash: 14

Soft:
windows kernel

Algorithms:
xor

Win API:
NtQuerySystemInformation, KeServiceDescriptorTable, NtWriteVirtualMemory

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ недавней атаки PlugX, которая предполагает использование подписанного драйвера ядра. Процесс атаки включает подтверждение компонента пользовательского режима, выделение памяти, копирование функции шеллкода, внедрение ее в services.exe и выполнение вызовов NtWriteVirtualMemory для обеспечения доступа к необходимым компонентам. Вредоносная программа также перехватывает Ntdll!Функция NtClose для выполнения шелл-кода и последующего восстановления функции.
-----

В этом сообщении в блоге автор обсуждает использование подписанного драйвера ядра в недавней атаке PlugX. Подписанные драйверы ядра, обнаруженные в Virus Total, были подписаны с помощью программы аппаратной совместимости Windows (WHCP) и Sharp Brilliance Communication Technology Co., Ltd.

Атака начинается с подтверждения того, что компонент пользовательского режима представляет собой 32-разрядный файл. Если это не так, процесс не будет продолжен. Далее вредоносная программа выделяет память и копирует функцию шеллкода. Эта функция шеллкода вводится в services.exe для запуска основного пользовательского компонента.

Чтобы записать шеллкод, путь к файлу Svchost.exe и компонент пользовательского режима в процесс services.exe, выполняется серия вызовов NtWriteVirtualMemory. Это гарантирует, что необходимые компоненты присутствуют и доступны в целевом процессе.

Для выполнения шеллкода вредоносная программа перехватывает Ntdll!Функцию NtClose. Делая это, она перенаправляет вызов функции для перехода к шеллкоду. Как только шеллкод был выполнен, Ntdll!Функция NtClose восстанавливается в исходное состояние, позволяя процессу продолжить свою нормальную работу.

#ParsedReport #CompletenessLow
26-01-2024

Disseminating Qing emails disguised as wage receipt notices

https://asec.ahnlab.com/ko/60897

Report completeness: Low

Threats:
Qshing_technique

Victims:
Ministry of finance of the people's republic of china

Industry:
Financial

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1566

IOCs:
Domain: 1
Url: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о недавнем мошенничестве с электронной почтой, обнаруженном аналитическим центром безопасности AhnLab, под названием "Qshing". Это мошенничество выдает себя за Министерство финансов Китайской Народной Республики и сочетает сканирование QR-кода с тактикой фишинга. Мошенническое электронное письмо предлагает получателям отсканировать QR-код для получения субсидий на заработную плату, но вместо этого перенаправляет их на фишинговый сайт. Злоумышленники манипулируют QR-кодами и подделывают информацию об отправителе, подчеркивая необходимость соблюдать осторожность при чтении электронных писем и защите личной информации. Частным лицам рекомендуется проверять отправителей, обновлять антивирусное программное обеспечение и быть в курсе угроз кибербезопасности, чтобы не стать жертвой подобных мошенничеств.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно выявил мошенничество с электронной почтой, которое предполагает выдачу себя за Министерство финансов Китайской Народной Республики. Этот тип мошенничества, известный как "Qshing", сочетает сканирование QR-кода с тактикой фишинга. Мошенническое электронное письмо, изображенное на рисунке 1, выдается за уведомление о получении заработной платы за первый квартал 2024 года. Оно призывает получателей отсканировать QR-код с помощью своих мобильных телефонов, чтобы получить субсидии на заработную плату.

При сканировании QR-кода в электронном письме он направляет пользователей по определенной ссылке, которая затем перенаправляет их на конечный фишинговый сайт. Злоумышленники используют параметры ширины браузера, чтобы определить, получает ли пользователь доступ к сайту с мобильного устройства, что позволяет им подключиться к фишинговой странице. После входа на сайт появляется окно уведомления, содержащее текст, относящийся к получению субсидии, как показано на рисунке 5.

Эта последняя атака демонстрирует использование злоумышленниками различных методов, таких как манипулирование QR-кодом и подделка отправителя, для обмана жертв. Это также подчеркивает важность того, чтобы пользователи проявляли осторожность при чтении электронных писем, поскольку утечка личной информации может привести к дальнейшему ущербу, включая финансовые потери.

Частным лицам крайне важно с осторожностью относиться к любым подозрительным электронным письмам, которые они получают, особенно к тем, которые касаются финансовых вопросов. Чтобы защитить себя от того, чтобы стать жертвой подобных мошенничеств, пользователи должны проверить законность отправителя, прежде чем переходить по каким-либо ссылкам или предоставлять какую-либо личную информацию. Кроме того, регулярное обновление антивирусного программного обеспечения и ознакомление с последними угрозами кибербезопасности могут помочь людям сохранять бдительность в отношении попыток фишинга и предотвратить потенциальный ущерб.

#ParsedReport #CompletenessLow
25-01-2024

Cisco Talos Blog. Why is the cost of cyber insurance rising?

https://blog.talosintelligence.com/threat-source-newsletter-jan-25-2024

Report completeness: Low

Threats:
Ars_loader
Cactus
Blacksuit
Noescape
Netsupportmanager_rat
Scar

Industry:
Education, Energy, Media, Petroleum, Government

CVEs:
CVE-2023-42916 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- apple safari (<17.1.2)
- apple ipados (<17.1.2)
- apple iphone os (<17.1.2)
- apple macos (<14.1.2)

CVE-2024-23222 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix

CVE-2023-42917 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple safari (<17.1.2)
- apple ipados (<17.1.2)
- apple iphone os (<17.1.2)
- apple macos (<14.1.2)


ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1105, T1110, T1539

IOCs:
Hash: 10
File: 5

Soft:
Roblox, macOS

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что растущая активность атак программ-вымогателей способствует росту стоимости автострахования и сказывается на бюджетах компаний. В тексте также освещаются другие проблемы кибербезопасности, такие как утечка учетных данных для входа в систему, обмен данными на Facebook, уязвимости в программном обеспечении Apple и рост числа новых операций с программами-вымогателями.
-----

Рост стоимости автострахования обусловлен не только рыночным спросом, инфляцией и растущими издержками бизнеса, но и растущей активностью атак программ-вымогателей. Согласно опросу, проведенному Databarracks, 24 процента простоев ИТ-служб были вызваны киберинцидентами, что на 14 процентов больше, чем в предыдущем году. Кроме того, 37 процентов компаний сообщили, что в 2023 году подверглись атакам программ-вымогателей, и более половины компаний столкнулись с той или иной формой инцидента с безопасностью. Атаки с использованием программ-вымогателей были самой распространенной угрозой в четвертом квартале 2023 года, на их долю пришлось 28 процентов случаев.

Растущая распространенность атак программ-вымогателей может привести к удорожанию полисов киберстрахования, что скажется на бюджетах компаний любого размера. Кроме того, на онлайн-форуме был обнаружен дамп паролей, содержащий более 25 миллионов учетных данных для входа. Эти учетные данные, полученные с помощью вредоносной программы, крадущей информацию, включают имена пользователей и пароли для различных веб-сайтов, таких как Roblox, Yahoo, Facebook и eBay. Данные, вероятно, циркулировали на онлайн-форумах в течение нескольких месяцев.

Исследование показало, что пользователи Facebook могут неосознанно делиться личными данными с тысячами компаний. Этот обмен данными происходит посредством отслеживания от сервера к серверу, которое сложнее обнаружить, чем традиционные методы отслеживания. Брокеры данных часто были связаны с учетными записями участников исследования. Consumer Reports рекомендовала улучшить защиту данных Facebook, включая прозрачность, варианты отказа и законы о минимизации данных.

Apple выпустила обновления для системы безопасности, устраняющие три уязвимости, включая ту, которая уже использовалась в iOS. Эти уязвимости, особенно в браузерном движке WebKit, могут позволить удаленное выполнение кода на целевых устройствах. Одна из уязвимостей была добавлена в список известных эксплуатируемых уязвимостей Агентства США по кибербезопасности и инфраструктурной безопасности.

Что касается операций с программами-вымогателями, Cisco Talos Incident Response (Talos IR) отметила рост числа новых операций с программами-вымогателями в четвертом квартале 2023 года, таких как Play, Cactus, BlackSuit и NoEscape. Это ознаменовало первое увеличение числа атак программ-вымогателей во время IR-атак в 2023 году. Образование и производство были наиболее уязвимыми секторами, на долю которых приходилось почти 50 процентов мероприятий по реагированию на инциденты.

#ParsedReport #CompletenessLow
25-01-2024

Malicious ads for restricted messaging applications target Chinese users

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/malicious-ads-for-restricted-messaging-applications-target-chinese-users

Report completeness: Low

Threats:
Dll_sideloading_technique
Plugx_rat
Gh0st_rat

Victims:
Chinese-speaking users

Geo:
Asia, Chinese, Nigeria, China

ChatGPT TTPs:
do not use without manual check
T1189, T1204, T1073, T1071, T1219, T1213, T1048

IOCs:
Domain: 6
IP: 3
Hash: 5

Soft:
Telegram

Platforms:
cross-platform