#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ недавней атаки PlugX, которая предполагает использование подписанного драйвера ядра. Процесс атаки включает подтверждение компонента пользовательского режима, выделение памяти, копирование функции шеллкода, внедрение ее в services.exe и выполнение вызовов NtWriteVirtualMemory для обеспечения доступа к необходимым компонентам. Вредоносная программа также перехватывает Ntdll!Функция NtClose для выполнения шелл-кода и последующего восстановления функции.
-----

В этом сообщении в блоге автор обсуждает использование подписанного драйвера ядра в недавней атаке PlugX. Подписанные драйверы ядра, обнаруженные в Virus Total, были подписаны с помощью программы аппаратной совместимости Windows (WHCP) и Sharp Brilliance Communication Technology Co., Ltd.

Атака начинается с подтверждения того, что компонент пользовательского режима представляет собой 32-разрядный файл. Если это не так, процесс не будет продолжен. Далее вредоносная программа выделяет память и копирует функцию шеллкода. Эта функция шеллкода вводится в services.exe для запуска основного пользовательского компонента.

Чтобы записать шеллкод, путь к файлу Svchost.exe и компонент пользовательского режима в процесс services.exe, выполняется серия вызовов NtWriteVirtualMemory. Это гарантирует, что необходимые компоненты присутствуют и доступны в целевом процессе.

Для выполнения шеллкода вредоносная программа перехватывает Ntdll!Функцию NtClose. Делая это, она перенаправляет вызов функции для перехода к шеллкоду. Как только шеллкод был выполнен, Ntdll!Функция NtClose восстанавливается в исходное состояние, позволяя процессу продолжить свою нормальную работу.

#ParsedReport #CompletenessLow
26-01-2024

Disseminating Qing emails disguised as wage receipt notices

https://asec.ahnlab.com/ko/60897

Report completeness: Low

Threats:
Qshing_technique

Victims:
Ministry of finance of the people's republic of china

Industry:
Financial

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1566

IOCs:
Domain: 1
Url: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о недавнем мошенничестве с электронной почтой, обнаруженном аналитическим центром безопасности AhnLab, под названием "Qshing". Это мошенничество выдает себя за Министерство финансов Китайской Народной Республики и сочетает сканирование QR-кода с тактикой фишинга. Мошенническое электронное письмо предлагает получателям отсканировать QR-код для получения субсидий на заработную плату, но вместо этого перенаправляет их на фишинговый сайт. Злоумышленники манипулируют QR-кодами и подделывают информацию об отправителе, подчеркивая необходимость соблюдать осторожность при чтении электронных писем и защите личной информации. Частным лицам рекомендуется проверять отправителей, обновлять антивирусное программное обеспечение и быть в курсе угроз кибербезопасности, чтобы не стать жертвой подобных мошенничеств.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно выявил мошенничество с электронной почтой, которое предполагает выдачу себя за Министерство финансов Китайской Народной Республики. Этот тип мошенничества, известный как "Qshing", сочетает сканирование QR-кода с тактикой фишинга. Мошенническое электронное письмо, изображенное на рисунке 1, выдается за уведомление о получении заработной платы за первый квартал 2024 года. Оно призывает получателей отсканировать QR-код с помощью своих мобильных телефонов, чтобы получить субсидии на заработную плату.

При сканировании QR-кода в электронном письме он направляет пользователей по определенной ссылке, которая затем перенаправляет их на конечный фишинговый сайт. Злоумышленники используют параметры ширины браузера, чтобы определить, получает ли пользователь доступ к сайту с мобильного устройства, что позволяет им подключиться к фишинговой странице. После входа на сайт появляется окно уведомления, содержащее текст, относящийся к получению субсидии, как показано на рисунке 5.

Эта последняя атака демонстрирует использование злоумышленниками различных методов, таких как манипулирование QR-кодом и подделка отправителя, для обмана жертв. Это также подчеркивает важность того, чтобы пользователи проявляли осторожность при чтении электронных писем, поскольку утечка личной информации может привести к дальнейшему ущербу, включая финансовые потери.

Частным лицам крайне важно с осторожностью относиться к любым подозрительным электронным письмам, которые они получают, особенно к тем, которые касаются финансовых вопросов. Чтобы защитить себя от того, чтобы стать жертвой подобных мошенничеств, пользователи должны проверить законность отправителя, прежде чем переходить по каким-либо ссылкам или предоставлять какую-либо личную информацию. Кроме того, регулярное обновление антивирусного программного обеспечения и ознакомление с последними угрозами кибербезопасности могут помочь людям сохранять бдительность в отношении попыток фишинга и предотвратить потенциальный ущерб.

#ParsedReport #CompletenessLow
25-01-2024

Cisco Talos Blog. Why is the cost of cyber insurance rising?

https://blog.talosintelligence.com/threat-source-newsletter-jan-25-2024

Report completeness: Low

Threats:
Ars_loader
Cactus
Blacksuit
Noescape
Netsupportmanager_rat
Scar

Industry:
Education, Energy, Media, Petroleum, Government

CVEs:
CVE-2023-42916 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- apple safari (<17.1.2)
- apple ipados (<17.1.2)
- apple iphone os (<17.1.2)
- apple macos (<14.1.2)

CVE-2024-23222 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix

CVE-2023-42917 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- apple safari (<17.1.2)
- apple ipados (<17.1.2)
- apple iphone os (<17.1.2)
- apple macos (<14.1.2)


ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1105, T1110, T1539

IOCs:
Hash: 10
File: 5

Soft:
Roblox, macOS

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что растущая активность атак программ-вымогателей способствует росту стоимости автострахования и сказывается на бюджетах компаний. В тексте также освещаются другие проблемы кибербезопасности, такие как утечка учетных данных для входа в систему, обмен данными на Facebook, уязвимости в программном обеспечении Apple и рост числа новых операций с программами-вымогателями.
-----

Рост стоимости автострахования обусловлен не только рыночным спросом, инфляцией и растущими издержками бизнеса, но и растущей активностью атак программ-вымогателей. Согласно опросу, проведенному Databarracks, 24 процента простоев ИТ-служб были вызваны киберинцидентами, что на 14 процентов больше, чем в предыдущем году. Кроме того, 37 процентов компаний сообщили, что в 2023 году подверглись атакам программ-вымогателей, и более половины компаний столкнулись с той или иной формой инцидента с безопасностью. Атаки с использованием программ-вымогателей были самой распространенной угрозой в четвертом квартале 2023 года, на их долю пришлось 28 процентов случаев.

Растущая распространенность атак программ-вымогателей может привести к удорожанию полисов киберстрахования, что скажется на бюджетах компаний любого размера. Кроме того, на онлайн-форуме был обнаружен дамп паролей, содержащий более 25 миллионов учетных данных для входа. Эти учетные данные, полученные с помощью вредоносной программы, крадущей информацию, включают имена пользователей и пароли для различных веб-сайтов, таких как Roblox, Yahoo, Facebook и eBay. Данные, вероятно, циркулировали на онлайн-форумах в течение нескольких месяцев.

Исследование показало, что пользователи Facebook могут неосознанно делиться личными данными с тысячами компаний. Этот обмен данными происходит посредством отслеживания от сервера к серверу, которое сложнее обнаружить, чем традиционные методы отслеживания. Брокеры данных часто были связаны с учетными записями участников исследования. Consumer Reports рекомендовала улучшить защиту данных Facebook, включая прозрачность, варианты отказа и законы о минимизации данных.

Apple выпустила обновления для системы безопасности, устраняющие три уязвимости, включая ту, которая уже использовалась в iOS. Эти уязвимости, особенно в браузерном движке WebKit, могут позволить удаленное выполнение кода на целевых устройствах. Одна из уязвимостей была добавлена в список известных эксплуатируемых уязвимостей Агентства США по кибербезопасности и инфраструктурной безопасности.

Что касается операций с программами-вымогателями, Cisco Talos Incident Response (Talos IR) отметила рост числа новых операций с программами-вымогателями в четвертом квартале 2023 года, таких как Play, Cactus, BlackSuit и NoEscape. Это ознаменовало первое увеличение числа атак программ-вымогателей во время IR-атак в 2023 году. Образование и производство были наиболее уязвимыми секторами, на долю которых приходилось почти 50 процентов мероприятий по реагированию на инциденты.

#ParsedReport #CompletenessLow
25-01-2024

Malicious ads for restricted messaging applications target Chinese users

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/malicious-ads-for-restricted-messaging-applications-target-chinese-users

Report completeness: Low

Threats:
Dll_sideloading_technique
Plugx_rat
Gh0st_rat

Victims:
Chinese-speaking users

Geo:
Asia, Chinese, Nigeria, China

ChatGPT TTPs:
do not use without manual check
T1189, T1204, T1073, T1071, T1219, T1213, T1048

IOCs:
Domain: 6
IP: 3
Hash: 5

Soft:
Telegram

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует вредоносная рекламная кампания, нацеленная на китайскоязычных пользователей, использующая их интерес к популярным приложениям для обмена сообщениями, таким как Telegram и LINE, которые ограничены или запрещены в Китае. Злоумышленник использует аккаунты рекламодателей Google для создания рекламы, которая побуждает пользователей загружать троянские программы удаленного администрирования (RATS), предоставляя злоумышленнику контроль над компьютером жертвы и позволяя им развертывать дополнительные вредоносные программы. Акцент на приложениях с ограниченным доступом предполагает сбор данных и шпионаж в качестве возможных мотивов. Анализ выявляет используемые методы, такие как сторонняя загрузка DLL, и упоминает об участии форумов по отслеживанию вредоносных программ, а также сообщает о кампании соответствующим сторонам. Упоминается, что Malwarebytes способна обнаруживать и идентифицировать вредоносную полезную нагрузку.
-----

Вредоносная рекламная кампания нацелена на китайскоязычных пользователей, заманивая их популярными приложениями для обмена сообщениями, такими как Telegram и LINE, несмотря на то, что эти приложения ограничены или запрещены в Китае. Злоумышленник использует аккаунты рекламодателей Google для создания вредоносной рекламы, которая побуждает пользователей загружать трояны удаленного администрирования (RATs). RATs дает злоумышленнику полный контроль над компьютером жертвы и возможность развертывать дополнительные вредоносные программы. Акцент на ограниченные или запрещенные приложения позволяет предположить, что сбор данных и шпионаж могут быть мотивами этих вредоносных кампаний.

Конкретное объявление, упомянутое в тексте, рекламирует загрузку китайской версии Telegram по ссылке в документах Google. Оно претендует на статус официального приложения и подчеркивает его популярность, насчитывая более 700 миллионов активных пользователей по всему миру. Однако и реклама, и связанные с ней профили пользователей связаны с Нигерией, что вызывает подозрения относительно их истинных намерений.

Полезные данные, собранные в ходе этой кампании, представлены в формате MSI и используют метод, называемый боковой загрузкой DLL. Этот метод предполагает объединение законного приложения с вредоносной библиотекой DLL, которая загружается автоматически. В приведенном примере библиотека DLL подписана отозванным сертификатом от Sharp Brilliance Communication Technology Co., Ltd., который также использовался для подписи образца PlugX RAT. PlugX - это RAT из Китая, который также использует стороннюю загрузку DLL. Некоторые из удаленных вредоносных программ в этой кампании являются вариантами Gh0st RAT, которые использовались в предыдущих кампаниях.

Существует веб-сайт и форум, часто посещаемый китайскими пользователями, известный как bbs.kafan.cn, который отслеживает вредоносные программы из этих кампаний и называет их FakeApp. Полезная нагрузка, наблюдаемая в этих кампаниях, совпадает с угрозами, наблюдаемыми в регионе Южной Азии, и использует аналогичные методы, такие как боковая загрузка DLL, которая обычно используется RATs. Такое вредоносное ПО идеально подходит для скрытого сбора информации и обладает способностью незаметно внедрять дополнительные компоненты по мере необходимости.

Исследователи, участвовавшие в этом анализе, сообщили о вредоносной рекламе и поддерживающей инфраструктуре Google и другим соответствующим сторонам. Они также отметили, что Malwarebytes способен обнаруживать и идентифицировать вредоносную полезную нагрузку при выполнении.

#ParsedReport #CompletenessLow
26-01-2024

Midnight Blizzard: Guidance for responders on nation-state attack

https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Password_spray_technique
Gozi

Victims:
Microsoft corporation, Governments, Diplomatic entities, Ngos, It service providers

Industry:
Ngo, Government

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1078, T1539, T1521, T1110.003, T1222, T1068

IOCs:
File: 1

Soft:
Microsoft Defender, Office 365, Microsoft Exchange, Active Directory Domain Services

Algorithms:
exhibit

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft подверглась атаке со стороны национального государства, проведенной злоумышленником, известным как Midnight Blizzard, который связан с спонсируемой российским государством группой NOBELIUM. Атака включала компрометацию учетных записей пользователей, создание несанкционированных приложений OAuth и использование доступа к корпоративным учетным записям электронной почты. Microsoft смогла обнаружить и смягчить атаку благодаря анализу активности веб-служб Exchange (EWS) и использованию функций ведения журнала аудита. Чтобы предотвратить подобные атаки, Корпорация Майкрософт рекомендует проводить аудит уровней привилегий, отслеживать приложения с чрезмерно привилегированным доступом, исследовать рискованные приложения OAuth, внедрять управление приложениями с условным доступом, обучать пользователей действиям при входе в систему и использовать решения для обнаружения, такие как Microsoft Entra ID Protection.
-----

Ключевые факты из текста:.

12 января 2024 года корпоративные системы Microsoft были атакованы субъектом национальной угрозы, известным как Midnight Blizzard, связанным с спонсируемой российским государством группой NOBELIUM.

Корпорация Майкрософт обнаружила атаку и активировала процесс реагирования, сократив дальнейший доступ к субъекту угрозы.

С начала 2018 года Midnight Blizzard в первую очередь нацелена на правительства, дипломатические учреждения, НПО и поставщиков ИТ-услуг для сбора разведывательной информации.

Методы первоначального доступа, используемые Midnight Blizzard, включают кражу учетных данных, атаки на цепочки поставок и использование локальных и облачных сред.

Они используют атаки с использованием спрея паролей для компрометации учетных записей, адаптируя атаки к малому количеству попыток и используя распределенную инфраструктуру локальных прокси-серверов для уклонения.

В ходе атаки на Microsoft Midnight Blizzard скомпрометировала устаревшее тестовое приложение OAuth и создала дополнительные вредоносные приложения OAuth для несанкционированного доступа.

Корпорация Майкрософт рекомендует проводить аудит уровней привилегий, обращать внимание на приложения с избыточными привилегиями, исследовать рискованные приложения OAuth, внедрять управление приложениями с условным доступом и регулярно проверять разрешения.

Для обнаружения атак и реагирования на них рекомендуется обучение пользователей, сброс пароля и использование решений Microsoft Entra ID Protection и Microsoft Purview Audit.

Активность веб-служб Exchange (EWS) и ведение журнала аудита сыграли решающую роль в выявлении атак.

Соответствующие средства обнаружения, предлагаемые Microsoft Entra ID Protection, включают незнакомые свойства входа, атаки с использованием спрея паролей, подозрительные входы в систему и несанкционированный доступ к приложениям.

Клиенты Майкрософт могут получить доступ к отчетам в Microsoft Defender Threat Intelligence для получения обновлений об участнике угрозы и рекомендуемых действиях.

#ParsedReport #CompletenessLow
29-01-2024

PixPirate: The Brazilian financial malware you can t see

https://securityintelligence.com/posts/pixpirate-brazilian-financial-malware

Report completeness: Low

Threats:
Pixpirate
Fake-trusteer
Flubot

Victims:
Banks in brazil

Industry:
Financial

Geo:
Brazilian, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1105, T1213, T1114, T1114, T1486, T1485, T1107

IOCs:
File: 1

Soft:
Android, WhatsApp

Functions:
SetComponentEnabeldSetting, SetComponentEnabledSetting, sendBalance, inputPix, continue2Password, waitUntilPassword

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что PixPirate - это сложный троян для удаленного доступа к финансовым ресурсам (RAT), который в первую очередь нацелен на банки в Бразилии. Он обладает уникальными возможностями скрытия, позволяющими оставаться незамеченным на зараженных устройствах, и использует для работы загрузчик APK и droppee APK. PixPirate злоупотребляет сервисом специальных возможностей для получения возможностей удаленного доступа и крадет учетные данные онлайн-банкинга, данные кредитной карты и информацию для входа в систему. Он также может обходить процессы двухфакторной аутентификации и совершать мошеннические действия на устройстве. Вредоносная программа распространяется по вредоносным ссылкам и выдает себя за законное приложение для аутентификации. PixPirate в основном нацелен на бразильский платежный сервис Pix и может перехватывать денежные переводы Pix и манипулировать ими. Он представляет значительную угрозу из-за своих передовых методов сокрытия и опасных возможностей.
-----

PixPirate - это вредоносный троян для удаленного доступа к финансовым ресурсам (RAT), который в первую очередь нацелен на банки в Бразилии.

Вредоносная программа обладает уникальными возможностями скрытия, позволяющими оставаться незамеченной на зараженных устройствах.

PixPirate работает с помощью двух компонентов - загрузчика APK и droppee APK - оба созданы одним и тем же участником.

Компонент droppee не имеет основного действия, что означает, что его значок не существует на главном экране жертвы.

PixPirate злоупотребляет службой специальных возможностей, чтобы получить возможности удаленного доступа.

Он крадет учетные данные онлайн-банкинга, данные кредитной карты, информацию для входа в систему и может обходить процессы двухфакторной аутентификации.

Загрузчик APK распространяется по вредоносным ссылкам, отправляемым через WhatsApp или SMS-фишинг, выдавая себя за законное приложение для аутентификации.

PixPirate может запускать droppee при возникновении определенных событий на устройстве.

Основной целью кампаний PixPirate является бразильский платежный сервис Pix.

Вредоносная программа может перехватывать денежные переводы Pix и манипулировать ими, а также перехватывать SMS-сообщения для двухфакторной аутентификации.

PixPirate представляет значительную угрозу из-за своих передовых методов сокрытия и опасных возможностей.

#technique

Utilizing SSPI datagram context bypass UAC

https://paper-seebug-org.translate.goog/3112/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique

Ultimate-RAT-Collection
For educational purposes only, samples of old & new malware builders including screenshots!

https://github.com/yuankong666/Ultimate-RAT-Collection

Unveiling TeleBoyi: Chinese APT Group
Targeting Critical Infrastructure Worldwide

https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_1_8_yi-chin_yu-tung_en.pdf

#technique

Modern implant design: position independent malware development

https://5pider.net/blog/2024/01/27/modern-shellcode-implant-design/

#technique

A Deep Dive into V8 Sandbox Escape Technique Used in In-The-Wild Exploit

https://blog.theori.io/a-deep-dive-into-v8-sandbox-escape-technique-used-in-in-the-wild-exploit-d5dcf30681d4