#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует вредоносная рекламная кампания, нацеленная на китайскоязычных пользователей, использующая их интерес к популярным приложениям для обмена сообщениями, таким как Telegram и LINE, которые ограничены или запрещены в Китае. Злоумышленник использует аккаунты рекламодателей Google для создания рекламы, которая побуждает пользователей загружать троянские программы удаленного администрирования (RATS), предоставляя злоумышленнику контроль над компьютером жертвы и позволяя им развертывать дополнительные вредоносные программы. Акцент на приложениях с ограниченным доступом предполагает сбор данных и шпионаж в качестве возможных мотивов. Анализ выявляет используемые методы, такие как сторонняя загрузка DLL, и упоминает об участии форумов по отслеживанию вредоносных программ, а также сообщает о кампании соответствующим сторонам. Упоминается, что Malwarebytes способна обнаруживать и идентифицировать вредоносную полезную нагрузку.
-----

Вредоносная рекламная кампания нацелена на китайскоязычных пользователей, заманивая их популярными приложениями для обмена сообщениями, такими как Telegram и LINE, несмотря на то, что эти приложения ограничены или запрещены в Китае. Злоумышленник использует аккаунты рекламодателей Google для создания вредоносной рекламы, которая побуждает пользователей загружать трояны удаленного администрирования (RATs). RATs дает злоумышленнику полный контроль над компьютером жертвы и возможность развертывать дополнительные вредоносные программы. Акцент на ограниченные или запрещенные приложения позволяет предположить, что сбор данных и шпионаж могут быть мотивами этих вредоносных кампаний.

Конкретное объявление, упомянутое в тексте, рекламирует загрузку китайской версии Telegram по ссылке в документах Google. Оно претендует на статус официального приложения и подчеркивает его популярность, насчитывая более 700 миллионов активных пользователей по всему миру. Однако и реклама, и связанные с ней профили пользователей связаны с Нигерией, что вызывает подозрения относительно их истинных намерений.

Полезные данные, собранные в ходе этой кампании, представлены в формате MSI и используют метод, называемый боковой загрузкой DLL. Этот метод предполагает объединение законного приложения с вредоносной библиотекой DLL, которая загружается автоматически. В приведенном примере библиотека DLL подписана отозванным сертификатом от Sharp Brilliance Communication Technology Co., Ltd., который также использовался для подписи образца PlugX RAT. PlugX - это RAT из Китая, который также использует стороннюю загрузку DLL. Некоторые из удаленных вредоносных программ в этой кампании являются вариантами Gh0st RAT, которые использовались в предыдущих кампаниях.

Существует веб-сайт и форум, часто посещаемый китайскими пользователями, известный как bbs.kafan.cn, который отслеживает вредоносные программы из этих кампаний и называет их FakeApp. Полезная нагрузка, наблюдаемая в этих кампаниях, совпадает с угрозами, наблюдаемыми в регионе Южной Азии, и использует аналогичные методы, такие как боковая загрузка DLL, которая обычно используется RATs. Такое вредоносное ПО идеально подходит для скрытого сбора информации и обладает способностью незаметно внедрять дополнительные компоненты по мере необходимости.

Исследователи, участвовавшие в этом анализе, сообщили о вредоносной рекламе и поддерживающей инфраструктуре Google и другим соответствующим сторонам. Они также отметили, что Malwarebytes способен обнаруживать и идентифицировать вредоносную полезную нагрузку при выполнении.

#ParsedReport #CompletenessLow
26-01-2024

Midnight Blizzard: Guidance for responders on nation-state attack

https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Password_spray_technique
Gozi

Victims:
Microsoft corporation, Governments, Diplomatic entities, Ngos, It service providers

Industry:
Ngo, Government

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1078, T1539, T1521, T1110.003, T1222, T1068

IOCs:
File: 1

Soft:
Microsoft Defender, Office 365, Microsoft Exchange, Active Directory Domain Services

Algorithms:
exhibit

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft подверглась атаке со стороны национального государства, проведенной злоумышленником, известным как Midnight Blizzard, который связан с спонсируемой российским государством группой NOBELIUM. Атака включала компрометацию учетных записей пользователей, создание несанкционированных приложений OAuth и использование доступа к корпоративным учетным записям электронной почты. Microsoft смогла обнаружить и смягчить атаку благодаря анализу активности веб-служб Exchange (EWS) и использованию функций ведения журнала аудита. Чтобы предотвратить подобные атаки, Корпорация Майкрософт рекомендует проводить аудит уровней привилегий, отслеживать приложения с чрезмерно привилегированным доступом, исследовать рискованные приложения OAuth, внедрять управление приложениями с условным доступом, обучать пользователей действиям при входе в систему и использовать решения для обнаружения, такие как Microsoft Entra ID Protection.
-----

Ключевые факты из текста:.

12 января 2024 года корпоративные системы Microsoft были атакованы субъектом национальной угрозы, известным как Midnight Blizzard, связанным с спонсируемой российским государством группой NOBELIUM.

Корпорация Майкрософт обнаружила атаку и активировала процесс реагирования, сократив дальнейший доступ к субъекту угрозы.

С начала 2018 года Midnight Blizzard в первую очередь нацелена на правительства, дипломатические учреждения, НПО и поставщиков ИТ-услуг для сбора разведывательной информации.

Методы первоначального доступа, используемые Midnight Blizzard, включают кражу учетных данных, атаки на цепочки поставок и использование локальных и облачных сред.

Они используют атаки с использованием спрея паролей для компрометации учетных записей, адаптируя атаки к малому количеству попыток и используя распределенную инфраструктуру локальных прокси-серверов для уклонения.

В ходе атаки на Microsoft Midnight Blizzard скомпрометировала устаревшее тестовое приложение OAuth и создала дополнительные вредоносные приложения OAuth для несанкционированного доступа.

Корпорация Майкрософт рекомендует проводить аудит уровней привилегий, обращать внимание на приложения с избыточными привилегиями, исследовать рискованные приложения OAuth, внедрять управление приложениями с условным доступом и регулярно проверять разрешения.

Для обнаружения атак и реагирования на них рекомендуется обучение пользователей, сброс пароля и использование решений Microsoft Entra ID Protection и Microsoft Purview Audit.

Активность веб-служб Exchange (EWS) и ведение журнала аудита сыграли решающую роль в выявлении атак.

Соответствующие средства обнаружения, предлагаемые Microsoft Entra ID Protection, включают незнакомые свойства входа, атаки с использованием спрея паролей, подозрительные входы в систему и несанкционированный доступ к приложениям.

Клиенты Майкрософт могут получить доступ к отчетам в Microsoft Defender Threat Intelligence для получения обновлений об участнике угрозы и рекомендуемых действиях.

#ParsedReport #CompletenessLow
29-01-2024

PixPirate: The Brazilian financial malware you can t see

https://securityintelligence.com/posts/pixpirate-brazilian-financial-malware

Report completeness: Low

Threats:
Pixpirate
Fake-trusteer
Flubot

Victims:
Banks in brazil

Industry:
Financial

Geo:
Brazilian, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1105, T1213, T1114, T1114, T1486, T1485, T1107

IOCs:
File: 1

Soft:
Android, WhatsApp

Functions:
SetComponentEnabeldSetting, SetComponentEnabledSetting, sendBalance, inputPix, continue2Password, waitUntilPassword

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что PixPirate - это сложный троян для удаленного доступа к финансовым ресурсам (RAT), который в первую очередь нацелен на банки в Бразилии. Он обладает уникальными возможностями скрытия, позволяющими оставаться незамеченным на зараженных устройствах, и использует для работы загрузчик APK и droppee APK. PixPirate злоупотребляет сервисом специальных возможностей для получения возможностей удаленного доступа и крадет учетные данные онлайн-банкинга, данные кредитной карты и информацию для входа в систему. Он также может обходить процессы двухфакторной аутентификации и совершать мошеннические действия на устройстве. Вредоносная программа распространяется по вредоносным ссылкам и выдает себя за законное приложение для аутентификации. PixPirate в основном нацелен на бразильский платежный сервис Pix и может перехватывать денежные переводы Pix и манипулировать ими. Он представляет значительную угрозу из-за своих передовых методов сокрытия и опасных возможностей.
-----

PixPirate - это вредоносный троян для удаленного доступа к финансовым ресурсам (RAT), который в первую очередь нацелен на банки в Бразилии.

Вредоносная программа обладает уникальными возможностями скрытия, позволяющими оставаться незамеченной на зараженных устройствах.

PixPirate работает с помощью двух компонентов - загрузчика APK и droppee APK - оба созданы одним и тем же участником.

Компонент droppee не имеет основного действия, что означает, что его значок не существует на главном экране жертвы.

PixPirate злоупотребляет службой специальных возможностей, чтобы получить возможности удаленного доступа.

Он крадет учетные данные онлайн-банкинга, данные кредитной карты, информацию для входа в систему и может обходить процессы двухфакторной аутентификации.

Загрузчик APK распространяется по вредоносным ссылкам, отправляемым через WhatsApp или SMS-фишинг, выдавая себя за законное приложение для аутентификации.

PixPirate может запускать droppee при возникновении определенных событий на устройстве.

Основной целью кампаний PixPirate является бразильский платежный сервис Pix.

Вредоносная программа может перехватывать денежные переводы Pix и манипулировать ими, а также перехватывать SMS-сообщения для двухфакторной аутентификации.

PixPirate представляет значительную угрозу из-за своих передовых методов сокрытия и опасных возможностей.

#technique

Utilizing SSPI datagram context bypass UAC

https://paper-seebug-org.translate.goog/3112/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#technique

Ultimate-RAT-Collection
For educational purposes only, samples of old & new malware builders including screenshots!

https://github.com/yuankong666/Ultimate-RAT-Collection

Unveiling TeleBoyi: Chinese APT Group
Targeting Critical Infrastructure Worldwide

https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_1_8_yi-chin_yu-tung_en.pdf

#technique

Modern implant design: position independent malware development

https://5pider.net/blog/2024/01/27/modern-shellcode-implant-design/

#technique

A Deep Dive into V8 Sandbox Escape Technique Used in In-The-Wild Exploit

https://blog.theori.io/a-deep-dive-into-v8-sandbox-escape-technique-used-in-in-the-wild-exploit-d5dcf30681d4

#ParsedReport #CompletenessLow
29-01-2024

Analysis of phishing cases disguised as login pages of famous domestic portals

https://asec.ahnlab.com/ko/60952

Report completeness: Low

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566, T1213, T1056, T1590

IOCs:
File: 1
Hash: 1

Algorithms:
md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что недавний анализ, проведенный Аналитическим центром безопасности AhnLab, выявил случай фишинга, связанный с поддельной страницей входа в систему известной отечественной портальной компании. Фишинговая страница очень похожа на законную страницу входа, что затрудняет ее обнаружение пользователями. Когда пользователи вводят свои регистрационные данные на поддельной странице, они передаются на сервер командования и контроля злоумышленника. Злоумышленник собирает украденные регистрационные данные, а также другие данные, такие как IP-адрес пользователя и географическое местоположение. Эти результаты подчеркивают риски фишинговой деятельности и подчеркивают необходимость осторожности и надлежащих мер безопасности при обнаружении страниц входа в систему из неизвестных источников.
-----

Недавний анализ, проведенный Аналитическим центром безопасности AhnLab (ASEC), выявил случай фишинга, связанный с поддельной страницей входа в систему известной отечественной портальной компании под названием Company N. Фишинговая страница очень напоминала законную страницу входа в систему, что затрудняло пользователям различать их. Есть подозрение, что фишинговая страница была распространена через гиперссылку, прикрепленную к фишинговому электронному письму.

После ввода регистрационных данных на поддельной странице данные передаются на сервер командования и контроля (C2) злоумышленника. ASEC смогла проанализировать домен злоумышленника и получила PHP-код, который показал, как украденные регистрационные данные обрабатывались сервером фишинговой страницы. Код собирал информацию об электронной почте пользователя и пароль, введенные с помощью пакетов POST-метода, отправленных с фишинговой страницы. Кроме того, для определения операционной системы клиента и среды браузера использовались регулярные выражения.

Злоумышленник также пытался собрать дополнительную информацию об IP-адресе пользователя. Запросив на сайте geoplugin информацию об IP-адресе источника, включенную в пакет, они смогли определить страну, регион и город пользователя. Сайт geoplugin обычно используется в качестве законного подключаемого сервиса, который предоставляет информацию о введенном IP-адресе в формате JSON. Однако в данном случае фишинга злоумышленник использовал его в своих целях.

Основываясь на собранной информации, злоумышленник заполнил переменную под названием "$message". Эта переменная включала украденную информацию для входа (адрес электронной почты и пароль), IP-адрес, географическое местоположение и сведения о браузере и операционной системе клиента. В ходе анализа было обнаружено несколько электронных писем, предположительно от злоумышленника, в основном написанных на вьетнамском языке. Эти результаты демонстрируют, как регистрационная информация, полученная с помощью фишинговых действий, может быть доставлена злоумышленнику, подвергая украденную пользовательскую информацию риску использования для дополнительных вредоносных действий.

Чтобы снизить такие риски, рекомендуется соблюдать осторожность при обнаружении страниц входа в систему из неизвестных источников, особенно по электронной почте. Пользователям следует внимательно относиться к управлению информацией своей учетной записи и учитывать периодические обновления и меры безопасности.

#ParsedReport #CompletenessMedium
29-01-2024

Russian APT Operation: Star Blizzard

https://socradar.io/russian-apt-operation-star-blizzard

Report completeness: Medium

Actors/Campaigns:
Seaborgium
Tag-53

Threats:
Spear-phishing_technique
Evilginx_tool
Credential_stealing_technique

Victims:
Academia, Defense, Governmental organizations, Ngos, Think-tanks

Industry:
Ngo, Government

Geo:
Ukraine, Russia, Russian

TTPs:
Tactics: 5
Technics: 13

IOCs:
Domain: 69

Soft:
Outlook, Gmail, Office 365

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Star Blizzard - это изощренная группа киберугроз, поддерживаемая российским правительством. Они в первую очередь нацелены на отдельных лиц и организации в академических кругах, обороне, правительстве, НПО и аналитических центрах, используя методы скрытого фишинга. Они проводят обширные исследования своих целей, используя социальные сети и сетевые платформы, создают персонализированные поддельные аккаунты и рассылают фишинговые электронные письма с вредоносными ссылками. Они сосредоточены на установлении доверия со своими целями и используют методы обхода контроля безопасности. Их мишенями являются такие страны, как США, Великобритания, Украина и другие страны Прибалтики, Северной и Восточной Европы. Для защиты от них важно внедрять строгие меры безопасности электронной почты, информировать пользователей о фишинге, обновлять программное обеспечение безопасности, включать многофакторную аутентификацию и отслеживать подозрительную активность.
-----

Star Blizzard - это группа, которая проводит операции по фишингу при поддержке российского правительства. Они используют тщательный подход к нацеливанию на конкретных лиц и организации, в первую очередь в академических кругах, обороне, правительственных организациях, НПО и аналитических центрах. Группа проводит обширные исследования через социальные сети и сетевые платформы для сбора информации о своих целях и создания персонализированных поддельных аккаунтов и профилей. Их основная тактика заключается в рассылке фишинговых писем на личные адреса электронной почты, используя обман и знакомые платформы, такие как Google Drive или OneDrive, чтобы заманить жертв перейти по вредоносным ссылкам. Поступая таким образом, они получают несанкционированный доступ к учетным записям электронной почты целей и собирают учетные данные.

Чтобы обойти меры безопасности в корпоративных сетях, Star Blizzard предпочитает нацеливаться на личные адреса электронной почты. Они тратят время на установление доверия со своими целями, вступая в безобидные беседы и сосредотачиваясь на установлении взаимопонимания, прежде чем начинать свои атаки. Как только доверие установлено, они делятся вредоносными ссылками, которые ведут на серверы, контролируемые группой. Эти серверы реплицируют законные страницы входа, обманом заставляя цели вводить свои учетные данные, которые затем подвергаются компрометации. Группа также использует платформу с открытым исходным кодом под названием EvilGinx для сбора учетных данных и обхода двухфакторной аутентификации.

В то время как страны НАТО, такие как США и Великобритания, находятся в центре их внимания, Star Blizzard нацелилась на другие страны Балтии, Северной и Восточной Европы. Они проявляли интерес к Украине во время геополитических событий, таких как российское вторжение. Их мишенями являются оборонные компании, НПО, МПО, аналитические центры и отдельные лица, осведомленные о российских делах.

Чтобы защититься от действий Star Blizzard, крайне важно проявлять бдительность и понимать их тактику. Рекомендации по безопасности включают внедрение строгих мер защиты электронной почты, обучение пользователей методам фишинга, регулярное обновление программного обеспечения безопасности, включение многофакторной аутентификации, мониторинг подозрительной активности и оперативное сообщение о любых потенциальных нарушениях.

#ParsedReport #CompletenessHigh
29-01-2024

Buzzing on Christmas Eve: Trigona Ransomware in 3 Hours

https://thedfirreport.com/2024/01/29/buzzing-on-christmas-eve-trigona-ransomware-in-3-hours

Report completeness: High

Threats:
Trigona
Netscan_tool
Meterpreter_tool
Cobalt_strike
Metasploit_tool
Sliver_c2_tool
Viper
Mythic_c2
Havoc
Taskkill

Industry:
Healthcare

Geo:
Ukraine, Russian

TTPs:
Tactics: 10
Technics: 17

IOCs:
Registry: 6
Command: 5
File: 9
Hash: 16
Path: 1
Coin: 1
IP: 3

Soft:
Windows Defender, Total Commander, Microsoft Defender, Sysinternals, PSEXEC, Windows Explorer, WhatsApp

Algorithms:
sha256, xsalsa20, aes

Functions:
SetValue

Win API:
RegOpenKeyW, RegSetValueExW

Win Services:
WdNisSvc, WinDefend

Languages:
powershell, delphi

Platforms:
intel

Links:
https://github.com/The-DFIR-Report/Sigma-Rules
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar#L261-L282
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/19172/19172.yar
https://github.com/Yara-Rules/rules/blob/master/antidebug\_antivm/antidebug\_antivm.yar#L678-L692
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar#L542-L551
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar#L1049-L1057
https://github.com/SigmaHQ/sigma
https://github.com/Yara-Rules/rules/blob/master/packers/packer.yar#L73-L81
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar#L1228-L1238

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, chart: 1, code: 6, table: 4, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4