#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ESET сотрудничала с Федеральной полицией Бразилии для уничтожения ботнета Grandoreiro, латиноамериканского банковского трояна. ESET предоставила технический анализ, статистическую информацию и известные данные сервера управления, что позволило идентифицировать и арестовать лиц, причастных к операции Grandoreiro. ESET продолжит отслеживать любую дальнейшую деятельность Grandoreiro.
-----

ESET, компания, занимающаяся кибербезопасностью, сотрудничала с Федеральной полицией Бразилии, чтобы разрушить ботнет Grandoreiro. ESET предоставила технический анализ, статистическую информацию и известные доменные имена и IP-адреса серверов командования и контроля (C&C). Из-за конструктивной ошибки в сетевом протоколе Grandoreiro исследователи ESET смогли получить представление о виктимологии.

Автоматизированные системы ESET обработали десятки тысяч образцов Grandoreiro. Вредоносная программа использовала алгоритм генерации доменов (DGA) для отправки отчетов на свои серверы C&C. DGA генерировал один основной домен и несколько отказоустойчивых доменов в день. Также было обнаружено 105 статических конфигураций. Операторы Grandoreiro использовали облачных провайдеров, таких как Azure и AWS, для размещения своей сетевой инфраструктуры, а исследователи ESET предоставили важные данные для идентификации ответственных учетных записей.

Grandoreiro - это латиноамериканский банковский троян, который активен по крайней мере с 2017 года. Первоначально он был нацелен на Бразилию и Мексику, но распространил свое действие на Испанию, Мексику и Аргентину. Троянец отслеживает процессы в веб-браузере и связывается с сервером C&C при обнаружении окна, связанного с банком. Оператору необходимо вручную взаимодействовать со взломанным компьютером, чтобы украсть деньги. Grandoreiro подвергается частой разработке, регулярно выпускаются новые сборки. Он имеет сходство с другими латиноамериканскими банковскими троянами и ранее использовал уникальный механизм бинарного заполнения.

ESET отслеживает Grandoreiro с конца 2017 года, извлекая информацию о версии, серверах C&C, целевых объектах и конфигурациях DGA. Конфигурация DGA жестко запрограммирована в вредоносном ПО, и разные конфигурации предоставляют разные домены. ESET проанализировала 105 различных конфигураций DGA, при этом 79 из них генерировали домены, которые были преобразованы в активные IP-адреса серверов C&C. Большинство этих доменов зарегистрировано через службу динамического DNS No-IP, а IP-адреса предоставляются облачными провайдерами.

Серверы C&C Grandoreiro предоставляют информацию о подключенных жертвах. Каждая жертва идентифицируется по строке входа при подключении, содержащей информацию о стране, кодовом названии банка и версии. ESET обнаружила, что большинство жертв приходится на Бразилию (41%), за ней следуют Мексика (30%) и Испания (28%). Также было несколько жертв, помеченных как другие страны, что может быть опечаткой или иметь другое значение.

В среднем каждый день к серверам Grandoreiro C&C подключалось 563 жертвы, но это число содержало дубликаты. С учетом новых уникальных жертв среднее значение было рассчитано как 114 в день. ESET также подробно описывает DGA и сетевой протокол, используемые Grandoreiro, включая алгоритм и методы шифрования.

Это сотрудничество между ESET и Федеральной полицией Бразилии привело к выявлению и аресту лиц, причастных к операции Grandoreiro. ESET продолжит отслеживать любую дальнейшую деятельность Grandoreiro после этой операции по сбою.

#ParsedReport #CompletenessLow
31-01-2024

ColdRiver: Russia-Backed APT Tactics with Spica Malware

https://www.secureblink.com/cyber-security-news/cold-river-russia-backed-apt-tactics-with-spica-malware

Report completeness: Low

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage, government_sponsored)

Threats:
Spica

Victims:
High-profile individuals in ngos, Former intelligence and military officials, Nato governments

Industry:
Government, Military, Ngo

Geo:
Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1189, T1553, T1553.002, T1027, T1053, T1041, T1005, T1213, T1083, have more...

IOCs:
File: 1

Soft:
Gmail, Chrome

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что поддерживаемая Россией APT-группа под названием ColdRiver изменила свою тактику, внедрив пользовательскую вредоносную программу под названием "Spica", отказавшись от своего прежнего фокуса на фишинге учетных данных. Группа анализа угроз Google (TAG) отслеживает деятельность ColdRiver и предоставляет информацию об их развивающихся методах. ColdRiver нацелен на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительств стран НАТО. Теперь они распространяют вредоносное ПО с помощью поддельных PDF-документов и тактики олицетворения. Вредоносная программа Spica, написанная на Rust, позволяет выполнять различные вредоносные действия, такие как выполнение команд оболочки, кража файлов cookie браузера и эксфильтрация документов. TAG рекомендует активные меры безопасности против ColdRiver и предоставляет инструменты обнаружения, включая правила YARA.
-----

ColdRiver, поддерживаемая Россией группа advanced persistent threat (APT), недавно изменила свою тактику, представив пользовательскую вредоносную программу под названием "Spica". Это знаменует собой значительный отход от их традиционных методов фишинга учетных данных. Группа анализа угроз Google (TAG) активно отслеживает действия ColdRiver и предоставляет информацию об их развивающихся методах.

ColdRiver в первую очередь нацелен на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительства стран НАТО. В прошлом они фокусировались на фишинге учетных данных, но теперь они расширили свои возможности по распространению вредоносного ПО, в частности, используя PDF-файлы в качестве документов-приманки.

Чтобы установить доверие, ColdRiver выдает себя за экспертов или частных лиц, связанных с целью. Недавно они применили сложную тактику, при которой целевым пользователям доставляются доброкачественные PDF-файлы, представленные в виде обзоров или статей. Если целевой объект не может расшифровать содержимое, ему отправляется ссылка на утилиту "дешифрования", которая фактически вводит бэкдор Spica.

Spica написана на Rust и использует JSON через websockets для управления. После выполнения она декодирует встроенный PDF-файл, настраивает сохранение и подключается к серверу управления. Вредоносная программа также использует запутанную команду PowerShell для сохранения.

Вредоносная программа Spica универсальна, позволяя злоумышленникам выполнять произвольные команды оболочки, красть файлы cookie из различных браузеров, загружать файлы, просматривать файловую систему и перечислять документы для эксфильтрации. Существует множество вариантов Spica, что указывает на непрерывную эволюцию ColdRiver.

Хотя Spica впервые была замечена TAG в сентябре 2023 года, ее использование, вероятно, датируется ноябрем 2022 года. Вредоносная программа, идентифицированная как "Proton-decrypter.exe", была активна примерно в августе и сентябре 2023 года. TAG подозревает существование нескольких версий Spica, каждая из которых содержит различные встроенные документы-приманки.

Изменение тактики ColdRiver указывает на их стремление к более широким возможностям, выходящим за рамки фишинга. Их целями являются Украина, страны НАТО, академические учреждения и НПО. TAG подчеркивает ограниченное и целенаправленное использование Spica, что согласуется с устоявшейся тактикой ColdRiver.

Для противодействия угрозе ColdRiver TAG предлагает упреждающие меры безопасности. Домены, веб-сайты и файлы, связанные с угрозой, добавляются в списки блокировки безопасного просмотра. Пользователи Gmail и Workspace, на которых нацелены поддерживаемые правительством злоумышленники, получают оповещения, позволяющие включить расширенный безопасный просмотр в Chrome и обеспечить обновление устройств.

TAG предоставляет правило YARA для обнаружения бэкдора Spica, которое помогает специалистам по кибербезопасности выявлять и смягчать потенциальные угрозы.

#ParsedReport #CompletenessMedium
31-01-2024

ApateWeb: An Evasive Large-Scale Scareware and PUP Delivery Campaign

https://unit42.paloaltonetworks.com/apateweb-scareware-pup-delivery-campaign

Report completeness: Medium

Actors/Campaigns:
Apateweb (motivation: cyber_criminal)

Threats:
Cloaking_technique

Industry:
Telco, Financial

Geo:
Apac, Asia, Emea, America, Japanese, Greek, Japan

ChatGPT TTPs:
do not use without manual check
T1140, T1204, T1059.007, T1568.002, T1189, T1574.008, T1566.001, T1553.005, T1090.004

IOCs:
Domain: 12
IP: 10
Hash: 1

Languages:
perl, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи обнаружили крупномасштабную кампанию под названием ApateWeb, которая распространяет вредоносное ПО, потенциально нежелательные программы (PUPs) и другие мошеннические страницы. Кампания использует вводящие в заблуждение электронные письма и JavaScript, встроенные в страницы веб-сайтов, для перенаправления трафика на их вредоносный контент. ApateWeb использует различные тактики обхода, чтобы избежать обнаружения, и оказала значительное влияние на интернет-пользователей. Кампания работает на трех уровнях перенаправления, причем последний уровень доставляет вредоносную полезную нагрузку. ApateWeb использует такие меры предосторожности, как перенаправление на поисковые системы, отображение страниц с ошибками и злоупотребление DNS с подстановочными знаками. Большинство доменов, связанных с кампанией, контролируются одним субъектом угрозы. Palo Alto Networks поделилась этой информацией с Альянсом по борьбе с киберугрозами, чтобы принять меры против ApateWeb.
-----

ApateWeb - это крупномасштабная кампания, использующая более 130 000 доменов для распространения вредоносных программ, PUPs и мошеннических страниц.

Выявленные уязвимости включают рекламные программы и вредоносные расширения для браузера.

ApateWeb использует вводящие в заблуждение электронные письма и JavaScript, встроенные в веб-сайты, для перенаправления трафика на вредоносный контент.

Кампания использует тактику уклонения, такую как маскировка и злоупотребление подстановочными знаками DNS, чтобы избежать обнаружения.

ApateWeb активен с 2022 года, а с августа 2022 года наблюдается рост активности.

В кампании используются три уровня перенаправления: уровень 1, уровень 2 и уровень 3.

Уровень 1 служит точкой входа, уровень 2 генерирует промежуточные перенаправления, а уровень 3 доставляет вредоносную полезную нагрузку.

Кампания защищает себя, перенаправляя на поисковые системы, отображая страницы с ошибками и используя DNS с подстановочными знаками.

Каждое посещение веб-сайта ApateWeb отслеживается с помощью уникального идентификатора, присвоенного централизованным сервером.

Большинство доменов ApateWeb контролируются одним субъектом угрозы.

Уровень 3 ведет к странице, на которой размещаются различные вредоносные программы, включая PUPs, scareware и мошеннические уведомления.

ApateWeb генерирует трафик с помощью встроенных скриптов на веб-сайтах и вводящих в заблуждение электронных писем.

Palo Alto Networks поделилась информацией с Альянсом по борьбе с киберугрозами, чтобы нарушить работу ApateWeb.

#ParsedReport #CompletenessHigh
31-01-2024

Evolution of UNC4990: Uncovering USB Malware's Hidden Depths. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware

Report completeness: High

Actors/Campaigns:
Unc4990 (motivation: financially_motivated)

Threats:
Yash_rat
Ars_loader
Vetta_loader
Quietboard
Beacon
Screen_shotting_technique

Victims:
Users based in italy, Organizations located in italy, europe, and the u.s

Industry:
Transport, Financial, Logistic, Education, Healthcare

Geo:
Korean, Italy, Italian

TTPs:

IOCs:
Command: 3
Path: 4
Hash: 13
File: 15
Url: 27
Registry: 1
Coin: 1
Domain: 2

Soft:
Node.js, Unix

Wallets:
yoroi

Crypto:
monero, ethereum, dogecoin, bitcoin

Algorithms:
aes, zip, aes-256-cbc, sha256, base64, cbc

Languages:
powershell, php, javascript, python

Platforms:
x86

Links:
https://github.com/nexe/nexe

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что субъект угроз по имени UNC4990 нацелен на пользователей в Италии с целью получения финансовой выгоды. Они действуют с 2020 года и со временем развили свои инструменты и тактику. UNC4990 использует USB-устройства и вредоносные файлы ярлыков LNK для первоначального заражения. Они используют загрузчик под названием EMPTYSPACE, который взаимодействует с командно-контрольным сервером и загружает полезные исполняемые файлы. Кроме того, они используют бэкдор на базе Python под названием QUIETBOARD для различных вредоносных действий. UNC4990 работает в основном в Италии и нацелен на организации в Европе и США. Анализ подчеркивает их модульный подход к разработке инструментов и их готовность экспериментировать и адаптироваться, чтобы избежать обнаружения.
-----

UNC4990 - это изощренный исполнитель угроз, который в первую очередь нацелен на пользователей в Италии с целью получения финансовой выгоды. Они действуют как минимум с 2020 года и со временем развили свои инструменты и тактику. UNC4990 использует USB-устройства для первоначального заражения, при этом жертвы дважды щелкают вредоносные файлы ярлыков LNK на этих устройствах. Файлы обычно называются в честь производителя USB-устройства или метки диска. При выполнении запускается сценарий PowerShell с именем explorer.ps1.

Скрипт explorer.ps1 загружает и декодирует загрузчик под названием EMPTYSPACE, также известный как VETTA Loader и BrokerLoader. Этот загрузчик взаимодействует со своим сервером управления по протоколу HTTP и загружает и выполняет исполняемую полезную нагрузку. UNC4990 использовал популярные веб-сайты, такие как Ars Technica, GitHub, GitLab и Vimeo, для размещения полезной нагрузки, но эти сервисы не используются и не скомпрометированы.

Загрузчик EMPTYSPACE имеет несколько вариантов, написанных на Node.js, .NET, Python и даже Go. Один вариант скомпилирован с использованием nexe и включает в себя Node.js runtime версию 12.9.1. Загрузчик выполняет поиск съемных USB-накопителей с определенным символом каталога в Юникоде и, если найден, продолжает использовать его функциональность. Он может устанавливать значения реестра и запускаться как процесс с повышенными правами для связи с сервером управления. Загрузчик также может удалять пакетные файлы и выполнять их как процесс с повышенными правами.

Другой вариант EMPTYSPACE - это запутанный загрузчик на базе .NET с возможностью перезапуска с повышенными привилегиями и удаления загруженных полезных файлов. Он передает системную информацию серверу управления и ожидает аргументы командной строки для определенных действий.

UNC4990 также использует бэкдор на базе Python под названием QUIETBOARD, который обладает различными возможностями, включая выполнение произвольных команд, кражу криптовалюты, заражение USB, создание скриншотов, сбор системной информации и связь с сервером управления. QUIETBOARD является модульной и может запускать независимый код / модули на основе Python.

Mandiant Managed Defense выявила множество случаев атаки UNC4990 на организации в Италии, но базирующиеся в Европе и США, в различных отраслях промышленности. Субъект угрозы, по-видимому, действует за пределами Италии, основываясь на широком использовании итальянской инфраструктуры. Операции UNC4990 связаны с широко распространенным заражением USB, за которым следует развертывание загрузчика EMPTYSPACE. В некоторых случаях Mandiant наблюдал за развертыванием coinminer после периода бездействия, что указывает на гибкие цели UNC4990.

Анализ также показывает, как UNC4990 использовали модульный подход при разработке своих инструментов: QUIETBOARD и различные версии загрузчика EMPTYSPACE демонстрируют расширенную функциональность и управление версиями. Исполнитель угроз демонстрирует готовность экспериментировать и адаптироваться, используя несколько языков программирования и изменяя URL-адреса в зависимости от инцидентов с удалением.

#ParsedReport #CompletenessMedium
31-01-2024

Meet AZORult Stealer: High Risk, Open Source & Evolving. AZORult Delivery Methods

https://cyberint.com/blog/other/meet-azorult-stealer-high-risk-open-source-evolving

Report completeness: Medium

Actors/Campaigns:
Gorgon (motivation: cyber_criminal)

Threats:
Azorult
Ramnit
Chthonic
Redline_stealer
Whispergate
Supply_chain_technique
Process_hollowing_technique
Credential_dumping_technique

Industry:
Government, Telco, Financial

Geo:
Ukrainian, Spain, Russia

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 2
Domain: 1

Soft:
Telegram, Microsoft Office

Algorithms:
xor, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что AZORult - это очень опасный вирус троянского типа, который превратился в бесплатную программу с открытым исходным кодом. Это известный во всем мире вирус-похититель, известный сбором личных данных из зараженных систем. Вредоносная программа использует различные методы доставки, постоянно развивается и может быть использована для доставки других полезных вредоносных программ. Первоначальные операторы AZORult, связанные с Gorgon group, нацелились на правительственные организации в нескольких странах. Последствия атак AZORult могут быть значительными, включая компрометацию финансовых счетов, кражу личной информации, удаленное управление устройствами и атаки программ-вымогателей. Cyberint является рекомендуемым поставщиком услуг кибербезопасности для защиты от этих рисков.
-----

AZORult stealer - это вирус троянского типа, который был впервые обнаружен в 2016 году, но с тех пор превратился в бесплатную программу с открытым исходным кодом. Он рассматривается как вредоносное ПО высокого риска, предназначенное для сбора личных данных. За последние годы AZORult стала одним из самых доминирующих угонщиков во всем мире и заняла место в топ-5 угонщиков.

Вредоносное ПО использует различные способы доставки, включая фишинговые электронные письма с вводящим в заблуждение текстом, защищенные паролем офисные документы с вредоносными макросами, рекламное ПО и другие вредоносные программы. Оно может распространяться через загрузчики, такие как Ramnit и Seamless. Загрузчик загружает AZORult в обратном порядке байтов, маскируя его под изображение в формате BMP, чтобы избежать обнаружения. Вредоносная программа постоянно развивается, и модифицированные версии можно найти на известных форумах Darkweb и вредоносных каналах Telegram.

Панель управления (C2) AZORult содержит различные ресурсы, включая панель администратора, гостевой администратор, файл конфигурации JSON и отображение жертвы. Открытый файл конфигурации JSON определяет фокус похитителя на зараженном хосте. C2s активны в течение относительно короткого промежутка времени, прежде чем прекратить свою активность.

Первоначальные операторы AZORult, известные как Subaat, являются частью более крупной группы под названием Gorgon. Группа Gorgon нацелилась на правительственные организации в Соединенном Королевстве, Испании, России и Соединенных Штатах.

AZORult может использоваться в качестве загрузчика троянских программ для доставки других полезных вредоносных программ. Он может устанавливать соединения по протоколу удаленного рабочего стола (RDP) для получения полного контроля над зараженными системами. Последствия атак AZORult могут быть значительными, включая взлом финансовых аккаунтов, кражу личной информации, удаленное управление устройствами и даже запуск программ-вымогателей.

Загрузчик для AZORult написан на C# .NET и взаимодействует с C2 для получения конфигурации и основной полезной нагрузки. Полезная нагрузка загружается по указанному URL-адресу и выполняется для удаления украденных файлов с зараженного хоста. Полезная нагрузка взаимодействует с C2 с помощью последовательных POST-запросов, и ответ содержит закодированную конфигурацию с каталогами для извлечения данных.

Загрузчик содержит жестко запрограммированный домен, который удаляет DLL-файл для извлечения данных. Домен принадлежит украинскому провайдеру, который является типичной инфраструктурой для вредоносных программ C2s. Существуют также связанные с почтой поддомены и дополнительные IP-адреса, которые могут быть частью вредоносной инфраструктуры.

Клиенты могут положиться на Cyberint, надежного поставщика услуг кибербезопасности, для защиты от внешних рисков, таких как уязвимости, фишинг, заражение вредоносными программами, утечки данных и многое другое. Их услугами пользуются компании из списка Fortune 500 в различных отраслях.

#cyberthreattech
Пока получается вот такой профиль генерить на базе отчетов с 2022 года. С разделом про инфру еще надо поработать и допилить prompt.

ХАКЕРСКАЯ ГРУППА VOLT TYPHOON

ADVERSARY
Происхождение: Считается, что хакерская группа Volt Typhoon базируется в Китае. Этот вывод подтверждается множеством факторов, таких как использование китайского языка в некоторых образцах вредоносных программ, приписываемых группе, их нацеливание на организации в Соединенных Штатах и других странах, имеющих тесные связи с Китаем, а также использование методов и инфраструктуры, совместимых с другими участниками угроз, спонсируемыми китайским государством.
Мотивы: Основные мотивы Volt Typhoon, по-видимому, сосредоточены на шпионаже с желанием собрать конфиденциальную информацию от организаций критической инфраструктуры в Соединенных Штатах и Азии. Эта информация может быть использована для получения экономической выгоды, политического влияния или стратегического преимущества. Кроме того, кража интеллектуальной собственности также является возможной целью получения конкурентного преимущества или компрометации чувствительных технологий.
Временная шкала: Исполнитель угрозы тайфуна Volt активен по меньшей мере с 2021 года, хотя считается, что он действовал под различными псевдонимами с 2006 года. Группа проводила кампании, нацеленные на телекоммуникационные компании в США и Европе, производственные компании в Китае и правительственные учреждения во многих странах.

INFRASTRUCTURE
Вредоносные программы и инструменты: Volt Typhoon использует целый ряд сложных инструментов и техник для своей вредоносной деятельности. Некоторые из известных вредоносных программ и инструментов, связанных с группой, включают в себя развертывание вредоносных программ на заказ, методы living off the land (LotL), инструменты сбора учетных данных, фишинговые электронные письма, уязвимости программного и аппаратного обеспечения, а также скомпрометированные устройства SOHO (small office/home office). Также было замечено, что они используют пользовательские каналы командования и контроля (C2) для поддержания контроля над скомпрометированными системами.

CAPABILITY
Навыки и техники: Volt Typhoon демонстрирует высокий уровень мастерства и изощренности в проведении кибератак. Они владеют такими методами разведки, как точечный фишинг и социальная инженерия, для сбора информации о своих целях. Они преуспевают в использовании уязвимостей программного и аппаратного обеспечения, включая уязвимости нулевого дня. Они демонстрируют навыки бокового перемещения в скомпрометированных сетях, используя такие методы, как "передача хэша", чтобы получить доступ к нескольким системам. Volt Typhoon также обладает опытом в извлечении данных из скомпрометированных систем, часто используя специальные инструменты шифрования и передачи.

TARGET
Страны и секторы промышленности: В число пострадавших стран входят Соединенные Штаты, Гуам, Европа и Азия. Отраслевые секторы, на которые нацелена группа, включают коммуникации, производство, коммунальные услуги, транспорт, строительство, морское судоходство, государственное управление, информационные технологии, образование, финансы, здравоохранение и розничную торговлю. Особый интерес для Volt Typhoon представляют организации критической инфраструктуры в Соединенных Штатах и Азии.

#ParsedReport #CompletenessMedium
01-02-2024

Unveiling the intricacies of DiceLoader

https://blog.sekoia.io/unveiling-the-intricacies-of-diceloader

Report completeness: Medium

Actors/Campaigns:
Carbanak (motivation: cyber_criminal)
Darkside (motivation: cyber_criminal)

Threats:
Lizar_loader
Icebot_rat
Revil
Lockbit
Blackbasta
Domino
Dll_injection_technique
Darkgate

Victims:
Retail sector, Hospitality sector, Food service industry

Industry:
Healthcare, Foodtech, Retail

Geo:
France, Australia

TTPs:
Tactics: 4
Technics: 7

IOCs:
Hash: 2

Algorithms:
fowlernollv, xor

Win API:
IoCompletionPort, GetQueuedCompletionStatus, PostQueuedCompletionStatus, VirtualAlloc

Languages:
powershell, python

Links:
https://github.com/stephenfewer/ReflectiveDLLInjection
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DiceLoader/scripts/fake\_c2\_tcp\_server.py
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DiceLoader/scripts/ReflectiveDLLInjection.h
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/DiceLoader/scripts/extractor.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что DiceLoader, также известный как Icebot, является вредоносной программой, используемой киберпреступной группировкой FIN7. FIN7 работает как структурированный бизнес и нацелен на такие секторы, как розничная торговля, гостиничный бизнес и общественное питание в таких странах, как США, Великобритания, Австралия и Франция. DiceLoader - это небольшая вредоносная программа-загрузчик, которая обычно удаляется скриптом PowerShell вместе с другими вредоносными программами. Он использует технологию внедрения отражающей библиотеки DLL и создает несколько потоков для взаимодействия с сервером управления. Сервер C2 отправляет определенные данные, чтобы запустить выполнение вредоносного кода и полезных нагрузок. Sekoia.io отслеживает инфраструктуру C2, связанную с DiceLoader, и указывает, что она все еще используется наборами вторжений по состоянию на январь 2024 года.
-----

DiceLoader, также известный как Icebot, - это вредоносная программа, используемая киберпреступной группировкой FIN7 с 2021 года.

FIN7 - это структурированная группа с русскоязычными членами, которая работает как корпоративный бизнес.

FIN7 использует подставные компании, чтобы скрыть свою деятельность и нанять ИТ-специалистов.

FIN7 ориентирован на различные секторы и страны, включая розничную торговлю, гостиничный бизнес, а также Соединенные Штаты, Великобританию, Австралию и Францию.

FIN7 имеет связи с киберпреступными организациями, такими как REvil, Lockbit, Darkside и BlackBasta.

DiceLoader - это малогабаритная вредоносная программа-загрузчик, входящая в арсенал FIN7.

DiceLoader удаляется скриптом PowerShell вместе с другими вредоносными программами, такими как троян удаленного доступа Carbanak (RAT).

DiceLoader использует отражающий метод внедрения DLL-файлов для внедрения DLL-файла в качестве загрузчика.

DiceLoader создает несколько потоков, которые потребляют структурированные сообщения с сервера управления (C2).

Конфигурация сервера C2 обфускируется с помощью XOR-шифрования.

DiceLoader взаимодействует с сервером C2 через необработанное TCP-соединение.

Sekoia.io аналитики отслеживают инфраструктуру DiceLoader C2 с более чем 20 активными серверами с начала 2022 года.

Количество активных серверов DiceLoader C2 значительно увеличилось с декабря 2023 года.

В проанализированной выборке DiceLoader отсутствуют методы антианализа, но по состоянию на январь 2024 года она по-прежнему активно используется наборами вторжений.

Sekoia.io заинтересован в получении дополнительной информации о DiceLoader и других наборах вторжений, использующих вредоносную программу.

#ParsedReport #CompletenessMedium
01-02-2024

Greenbean: Latest Android Banking Trojan Leveraging Simple RealTime Server (SRS) for C&C Communication

https://cyble.com/blog/greenbean-latest-android-banking-trojan-leveraging-simple-realtime-server-srs-for-cc-communication

Report completeness: Medium

Threats:
Greenbean
Enchant

Victims:
Chinese android users, Vietnamese android users

Industry:
Financial

Geo:
Vietnamese, Vietnam, China, Chinese

TTPs:
Tactics: 6
Technics: 7

IOCs:
Url: 7
File: 2
Hash: 4

Soft:
Android, WebRTC, WeChat, Gmail

Wallets:
metamask

Algorithms:
sha1, md5, sha256

Links:
https://github.com/ossrs/srs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание и анализ Greenbean, банковского трояна для Android, который нацелен на криптовалютные, платежные и банковские приложения. Вредоносная программа использует различные методы, такие как фишинг, наложение разрешений, служба специальных возможностей и потоковое видео, для сбора учетных данных пользователей, изменения транзакций и извлечения информации. Анализ подчеркивает сложность вредоносного ПО и предупреждает о возможности появления новых вариантов с более продвинутыми возможностями в будущем.
-----

В тексте описывается банковский троян для Android под названием Greenbean, который распространяется через фишинговый сайт, продвигающий криптовалютную схему. Вредоносное ПО нацелено на пять приложений, связанных с криптовалютами, платежами и банковским делом, и специально предназначено для пользователей Android в Китае и Вьетнаме. Вредоносная программа использует службу специальных возможностей для сбора учетных данных пользователей из целевых приложений. Она также включает потоковую передачу видео с использованием WebRTC и взаимодействует с сервером управления (C&C) с помощью проекта Simple Realtime Server (SRS). Предоставляются URL-адреса фишингового сайта и службы хостинга, связанные с вредоносной программой. После установки вредоносная программа запрашивает у пользователей разрешение на наложение и службу специальных возможностей, а затем использует эти разрешения для автоматического предоставления дополнительных необходимых разрешений. Она устанавливает соединение WebSocket для связи с сервером C&C. Вредоносная программа выполняет различные наборы команд, полученных с сервера, и отправляет команды, инициированные клиентом. Она использует службы специальных возможностей для идентификации процессов платежей, остатков на счетах и транзакций в целевых приложениях. Вредоносная программа может изменять данные получателя и переводить средства со счета жертвы на счет злоумышленника. Он также извлекает информацию с экрана и отправляет ее на сервер C&C. Вредоносная программа включает возможности потоковой передачи видео через WebRTC, что позволяет злоумышленникам отслеживать жертв в режиме реального времени. Анализ подчеркивает сложность и многогранность вредоносного ПО Greenbean, подчеркивая риск, который оно представляет для безопасности устройств и конфиденциальности. В будущем могут появиться новые варианты с дополнительными целями и функциями.