#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что DiceLoader, также известный как Icebot, является вредоносной программой, используемой киберпреступной группировкой FIN7. FIN7 работает как структурированный бизнес и нацелен на такие секторы, как розничная торговля, гостиничный бизнес и общественное питание в таких странах, как США, Великобритания, Австралия и Франция. DiceLoader - это небольшая вредоносная программа-загрузчик, которая обычно удаляется скриптом PowerShell вместе с другими вредоносными программами. Он использует технологию внедрения отражающей библиотеки DLL и создает несколько потоков для взаимодействия с сервером управления. Сервер C2 отправляет определенные данные, чтобы запустить выполнение вредоносного кода и полезных нагрузок. Sekoia.io отслеживает инфраструктуру C2, связанную с DiceLoader, и указывает, что она все еще используется наборами вторжений по состоянию на январь 2024 года.
-----

DiceLoader, также известный как Icebot, - это вредоносная программа, используемая киберпреступной группировкой FIN7 с 2021 года.

FIN7 - это структурированная группа с русскоязычными членами, которая работает как корпоративный бизнес.

FIN7 использует подставные компании, чтобы скрыть свою деятельность и нанять ИТ-специалистов.

FIN7 ориентирован на различные секторы и страны, включая розничную торговлю, гостиничный бизнес, а также Соединенные Штаты, Великобританию, Австралию и Францию.

FIN7 имеет связи с киберпреступными организациями, такими как REvil, Lockbit, Darkside и BlackBasta.

DiceLoader - это малогабаритная вредоносная программа-загрузчик, входящая в арсенал FIN7.

DiceLoader удаляется скриптом PowerShell вместе с другими вредоносными программами, такими как троян удаленного доступа Carbanak (RAT).

DiceLoader использует отражающий метод внедрения DLL-файлов для внедрения DLL-файла в качестве загрузчика.

DiceLoader создает несколько потоков, которые потребляют структурированные сообщения с сервера управления (C2).

Конфигурация сервера C2 обфускируется с помощью XOR-шифрования.

DiceLoader взаимодействует с сервером C2 через необработанное TCP-соединение.

Sekoia.io аналитики отслеживают инфраструктуру DiceLoader C2 с более чем 20 активными серверами с начала 2022 года.

Количество активных серверов DiceLoader C2 значительно увеличилось с декабря 2023 года.

В проанализированной выборке DiceLoader отсутствуют методы антианализа, но по состоянию на январь 2024 года она по-прежнему активно используется наборами вторжений.

Sekoia.io заинтересован в получении дополнительной информации о DiceLoader и других наборах вторжений, использующих вредоносную программу.

#ParsedReport #CompletenessMedium
01-02-2024

Greenbean: Latest Android Banking Trojan Leveraging Simple RealTime Server (SRS) for C&C Communication

https://cyble.com/blog/greenbean-latest-android-banking-trojan-leveraging-simple-realtime-server-srs-for-cc-communication

Report completeness: Medium

Threats:
Greenbean
Enchant

Victims:
Chinese android users, Vietnamese android users

Industry:
Financial

Geo:
Vietnamese, Vietnam, China, Chinese

TTPs:
Tactics: 6
Technics: 7

IOCs:
Url: 7
File: 2
Hash: 4

Soft:
Android, WebRTC, WeChat, Gmail

Wallets:
metamask

Algorithms:
sha1, md5, sha256

Links:
https://github.com/ossrs/srs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание и анализ Greenbean, банковского трояна для Android, который нацелен на криптовалютные, платежные и банковские приложения. Вредоносная программа использует различные методы, такие как фишинг, наложение разрешений, служба специальных возможностей и потоковое видео, для сбора учетных данных пользователей, изменения транзакций и извлечения информации. Анализ подчеркивает сложность вредоносного ПО и предупреждает о возможности появления новых вариантов с более продвинутыми возможностями в будущем.
-----

В тексте описывается банковский троян для Android под названием Greenbean, который распространяется через фишинговый сайт, продвигающий криптовалютную схему. Вредоносное ПО нацелено на пять приложений, связанных с криптовалютами, платежами и банковским делом, и специально предназначено для пользователей Android в Китае и Вьетнаме. Вредоносная программа использует службу специальных возможностей для сбора учетных данных пользователей из целевых приложений. Она также включает потоковую передачу видео с использованием WebRTC и взаимодействует с сервером управления (C&C) с помощью проекта Simple Realtime Server (SRS). Предоставляются URL-адреса фишингового сайта и службы хостинга, связанные с вредоносной программой. После установки вредоносная программа запрашивает у пользователей разрешение на наложение и службу специальных возможностей, а затем использует эти разрешения для автоматического предоставления дополнительных необходимых разрешений. Она устанавливает соединение WebSocket для связи с сервером C&C. Вредоносная программа выполняет различные наборы команд, полученных с сервера, и отправляет команды, инициированные клиентом. Она использует службы специальных возможностей для идентификации процессов платежей, остатков на счетах и транзакций в целевых приложениях. Вредоносная программа может изменять данные получателя и переводить средства со счета жертвы на счет злоумышленника. Он также извлекает информацию с экрана и отправляет ее на сервер C&C. Вредоносная программа включает возможности потоковой передачи видео через WebRTC, что позволяет злоумышленникам отслеживать жертв в режиме реального времени. Анализ подчеркивает сложность и многогранность вредоносного ПО Greenbean, подчеркивая риск, который оно представляет для безопасности устройств и конфиденциальности. В будущем могут появиться новые варианты с дополнительными целями и функциями.

#ParsedReport #CompletenessLow
01-02-2024

Nitrogen shelling malware from hacked sites

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/nitrogen-shelling-malware-from-hacked-sites

Report completeness: Low

Threats:
Nitrogen
Dll_sideloading_technique

Geo:
Ukrainian

ChatGPT TTPs:
do not use without manual check
T1105, T1073, T1562.001, T1105, T1001, T1578.002

Soft:
WordPress

Algorithms:
zip

Languages:
python, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что анализ кибербезопасности сосредоточен на кампании под названием Nitrogen, которая распространяет вредоносное ПО через вредоносную поисковую рекламу. Кампания использует стороннюю загрузку Python и DLL для подключения к серверу управления атакующего. Первоначальная полезная нагрузка Nitrogen доставляется через скомпрометированные сайты WordPress, которые были взломаны с помощью вредоносных скриптов оболочки PHP. Анализ также подчеркивает наличие множества кампаний по вредоносной рекламе, классифицированных на основе полезной нагрузки, которую они предоставляют, и совпадения между криминальной инфраструктурой и вредоносной рекламой. Исполнитель угроз, стоящий за Nitrogen, использует взломанные сайты для размещения своей полезной нагрузки и использует запутанные файлы Python, чтобы затруднить обнаружение и анализ. Анализ также выявляет наличие файлов панели управления, связанных с кампанией, и практику злоумышленников удалять записи, сгенерированные "песочницами" вредоносных программ и исследователями. В целом, анализ подчеркивает связь между вредоносной рекламой и программами-вымогателями, а также необходимость раннего обнаружения и предотвращения вредоносных действий.
-----

В недавнем анализе кибербезопасности кампания под названием Nitrogen проверяется на предмет ее распространения через вредоносную поисковую рекламу. Кампания связана с вредоносным ПО, которое использует стороннюю загрузку Python и библиотеки DLL для подключения к серверу управления атакующего. Первоначальная полезная нагрузка Nitrogen передается жертвам через скомпрометированные сайты WordPress, которые уже были взломаны с помощью вредоносных скриптов оболочки PHP.

Анализ показывает, что отслеживается множество вредоносных рекламных кампаний, классифицированных в зависимости от полезной нагрузки, которую они доставляют. Интересно, что иногда преступная инфраструктура и сами вредоносные рекламные объявления частично совпадают. Исполнитель угроз, стоящий за Nitrogen, использует различные взломанные сайты для размещения своей вредоносной полезной нагрузки, регулярно меняя их местами. Этот метод не нов, но видеть, как поддельные установщики сосуществуют с веб-оболочками, несколько необычно.

Nitrogen выполняет боковую загрузку библиотеки DLL с использованием подписанного исполняемого файла, инициируя запуск своей полезной нагрузки. Затем полезная нагрузка запускает Python из недавно созданной папки в %appdata%. Исполняемый файл Python сильно запутан, что затрудняет обнаружение и анализ. Однако ThreatDown, инструмент безопасности, может обнаружить и поместить в карантин этот вредоносный файл Python, не позволяя ему связаться со своим сервером управления.

Анализ последних установщиков Nitrogen Zip выявил наличие двух файлов, которые, вероятно, связаны с панелью управления кампании. Примечательно, что один из этих файлов на украинском языке. Злоумышленники добавляют жертв в свою панель управления для дальнейшей обработки и потенциальной компрометации их сетей. Для поддержания операционной безопасности злоумышленники очищают свою базу данных, удаляя записи, сгенерированные "песочницами" вредоносных программ и исследователями. Оставшиеся жертвы становятся мишенями для команды специалистов, которые используют инструменты постэксплуатации для сбора информации и запуска дополнительных полезных нагрузок.

Этот анализ подчеркивает связь между вредоносной рекламой и программами-вымогателями, демонстрируя меняющийся ландшафт веб-атак. В нем подчеркивается важность раннего обнаружения и предотвращения вредоносных действий для снижения риска, создаваемого такими кампаниями, как Nitrogen.

#ParsedReport #CompletenessLow
01-02-2024

RE#TURGENCE: A Deep Dive into Turkish Hackers Campaign Targeting MSSQL Servers

https://socradar.io/returgence-a-deep-dive-into-turkish-hackers-campaign-targeting-mssql-servers

Report completeness: Low

Actors/Campaigns:
Re_turgence (motivation: financially_motivated)
Db-jammer

Threats:
Mimic_ransomware
Cobalt_strike
Anydesk_tool
Advanced-port-scanner_tool
Mimikatz_tool

Victims:
Mssql database servers

Geo:
Turkish, Latam

ChatGPT TTPs:
do not use without manual check
T1110, T1210, T1059.001, T1136, T1076.003, T1003.001, T1486

IOCs:
Domain: 1

Soft:
MSSQL

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что существует новая кампания кибератак под названием RE#TURGENCE, возглавляемая финансово мотивированными турецкими злоумышленниками. Кампания нацелена на серверы баз данных MSSQL с целью получения первоначального доступа. Злоумышленники либо продают доступ к скомпрометированным хостам, либо развертывают полезные программы-вымогатели. Они используют такие методы, как перебор паролей, использование уязвимостей, использование команд PowerShell и установка служб для сохранения. Конечная цель - развернуть программу-вымогатель MIMIC, нанеся значительный ущерб. Кампания поддерживается сложной инфраструктурой с IP-адресами командования и контроля и специальным доменом для маяка Cobalt Strike. Специалисты по кибербезопасности могут использовать платформу SOCRadar, чтобы быть в курсе связанных с ней уязвимостей и эффективно бороться с этими угрозами.
-----

Кампания RE#TURGENCE - это новая кибератака, запущенная финансово мотивированными турецкими злоумышленниками. Кампания специально нацелена на серверы баз данных MSSQL, чтобы получить первоначальный доступ. У злоумышленников две основные цели: либо они продают доступ к скомпрометированным хостам, либо размещают полезные программы-вымогатели.

Для достижения своих целей злоумышленники используют несколько методов. Сначала они пытаются взломать административные пароли на незащищенных серверах MSSQL. Оказавшись внутри, они используют процедуру xp_cmdshell для выполнения команд в хост-системе. Затем они загружают и выполняют файл с помощью команды PowerShell. Этот файл содержит сильно запутанную полезную нагрузку Cobalt Strike, которая загружается в текущий процесс.

Постоянство устанавливается путем создания локальных пользователей и установки службы AnyDesk. Это гарантирует, что злоумышленники смогут сохранить контроль над скомпрометированными серверами. Злоумышленники также используют Mimikatz для доступа к учетным данным и расширенную утилиту сканирования портов для перемещения по сети.

Конечной целью кампании RE#TURGENCE является внедрение программы-вымогателя MIMIC. Эта программа-вымогатель нарушает работу скомпрометированных серверов, нанося значительный ущерб и потенциально приводя к потере конфиденциальных данных.

Кампания поддерживается сложной инфраструктурой, состоящей из нескольких IP-адресов командования и контроля (C2) и специального домена для маяка Cobalt Strike. IP-адреса C2 используют случайные, нестандартные номера портов, чтобы избежать обнаружения. Используемый домен, seruvadessigen.3utilities.com, был получен из конфигурации маяка Cobalt Strike.

Чтобы быть в курсе последних новостей, связанных с ними уязвимостей и действующих лиц угроз, связанных с кампанией RE#TURGENCE, а также получить доступ к доступным правилам YARA для обнаружения, специалисты по кибербезопасности могут использовать платформу SOCRadar. Эта платформа автоматически обновляет разведывательную информацию об угрозах всякий раз, когда она доступна, обеспечивая эффективную борьбу с киберугрозами.

#ParsedReport #CompletenessHigh
01-02-2024

Securonix Threat Research Security Advisory: Analysis and Detection of STEADY#URSA Attack Campaign Targeting Ukraine Military Dropping New Covert SUBTLE-PAWS PowerShell Backdoor

https://www.securonix.com/blog/security-advisory-steadyursa-attack-campaign-targets-ukraine-military

Report completeness: High

Actors/Campaigns:
Steady_ursa
Gamaredon

Threats:
Subtle-paws

Industry:
Military

Geo:
Russia, Ukrainian, Ukraine

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 5
Registry: 7
Url: 4
IP: 6
Domain: 1
Hash: 45

Soft:
curl, telegram, Windows Registry, Windows Powershell

Algorithms:
zip, xor, base64

Functions:
SetLink, SetValue

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что продолжается кампания кибератак, нацеленная на Украину. Кампания предполагает использование бэкдора на базе PowerShell под названием SUBTLE-PAWS и использует методы скрытности, позволяющие избежать обнаружения. Атака связана с группой, известной как Shuckworm, которая ранее нацеливалась на украинских военных. Кампания использует фишинговые электронные письма для доставки сжатого файла, содержащего файлы со ссылками на украинские города и военные термины. Когда жертва взаимодействует с файлами, инициируется атака. Скрипт бэкдора SUBTLE-PAWS содержит различные функции, которые обеспечивают выполнение, сохранение, скрытность, сетевую связь и распространение через USB-накопители. Злоумышленники используют методы запутывания и динамически корректируют свое поведение в зависимости от среды операционной системы. Кампания демонстрирует эволюционирующую тактику и демонстрирует сходство с предыдущей деятельностью Shuckworm со значительными тактическими изменениями.
-----

Продолжающаяся кампания кибератак, нацеленная на Украину.

Кампания под названием STEADY#URSA.

Использует бэкдор на базе PowerShell под названием SUBTLE-PAWS.

Связан с группой, известной как шелушащийся червь.

Доставляется в виде сжатых файлов, возможно, по фишинговым электронным письмам.

Атаку инициируют файлы-ярлыки с названиями, основанными на украинских городах или военных терминах.

Файлы в архиве содержат однострочник PowerShell с бэкдором SUBTLE-PAWS.

Создает постоянство путем создания и загрузки раздела реестра.

Попытка установить связь с сервером командования и контроля (C2) через URL-адрес Telegraph.

Сценарий бэкдора PowerShell содержит множество функций, служащих различным целям.

Для распространения полагается на заражение USB-накопителей.

Уклоняется от обнаружения антивирусом с помощью обфускации и разделения строк.

Взаимодействует с удаленным сервером посредством DNS-запросов и HTTP-запросов.

Использует методы обфускации, такие как кодирование Base64 и XOR.

Демонстрирует эволюционирующую тактику и сходство с предыдущей активностью шелушащегося червя.

Пожалуйста, обратите внимание, что это краткое изложение важных фактов из текста. Фактический масштаб и воздействие кампании могут быть шире и сложнее.

#cyberthreattech

Попробую податься с темой про наш разбор TI-отчетов.
Вдруг будет интересно послушать про наш дикий коктейль из парсеров, ML (CatBoost, распознавание образов), ChatGPT и Bard. Может быть, что к PhD даже уже будут какие-то результаты по Fine-tune LLama 2.

#ParsedReport #CompletenessLow
01-02-2024

Backdoor Activator Malware Running Rife Through Torrents of macOS Apps

https://www.sentinelone.com/blog/backdoor-activator-malware-running-rife-through-torrents-of-macos-apps

Report completeness: Low

Threats:
Omni

Victims:
Macos users

ChatGPT TTPs:
do not use without manual check
T1091, T1204, T1110, T1055, T1543.004, T1103, T1553, T1573

IOCs:
File: 1
Hash: 74

Soft:
macOS, Gatekeeper

Algorithms:
base64, sha1

Languages:
swift, objective_c, python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи из Лаборатории Касперского обнаружили новую вредоносную программу для macOS под названием macOS.Bkdr.Активатор, который распространяется через взломанные копии популярного программного обеспечения на торрент-сервисах. Вредоносная программа нацелена на бизнес-приложения и приложения для повышения производительности, и ее цель - массово заражать пользователей macOS, потенциально создавая ботнет macOS или распространяя другие типы вредоносных программ. Вредоносная программа использует код на Python и использует необычные методы для отключения Центра уведомлений и установки LaunchAgents. Он работает как установщик и загрузчик 1-го этапа, извлекая зашифрованные сообщения с DNS-сервера, содержащие скрипт на Python для загрузки следующего этапа. Заключительный этап - это бэкдор на Python, который позволяет оператору выполнять произвольные команды на зараженном устройстве. Кампания продолжается, и пользователям рекомендуется проверять свои устройства на наличие признаков заражения. Агент SentinelOne может блокировать выполнение этих вредоносных образцов или создавать предупреждения в целях наблюдения.
-----

Исследователи лаборатории Касперского обнаружили новую вредоносную программу для macOS под названием macOS.Bkdr.Активатор.

Вредоносная программа распространяется через взломанные копии популярного программного обеспечения на торрент-сервисах.

Он ориентирован на бизнес-приложения и приложения для повышения производительности, которые обычно используются на рабочих местах.

Вредоносная программа включает в себя двоичный файл Swift с именем "GUI", двоичный файл Objective-C с именем "tool" и законный установщик Python 3.9.

Он отключает Центр уведомлений, чтобы обойти уведомления Apple.

Более 70 взломанных приложений были идентифицированы как скомпрометированные в ходе кампании Activator.

Вредоносная программа работает как установщик и загрузчик 1-го этапа, извлекая зашифрованные сообщения с DNS-сервера.

Зашифрованные сообщения содержат скрипт на Python, который подключается к удаленному серверу для следующего этапа.

Заключительный этап - это бэкдор на Python, который позволяет оператору выполнять произвольные команды на зараженных устройствах.

Кампания продолжается, и обнаруживаются новые образцы вредоносного ПО.

Агент SentinelOne может заблокировать выполнение этих выборок в режиме "Защита". В режиме "Только обнаружение" он выдает предупреждение в целях наблюдения.

#ParsedReport #CompletenessMedium
02-02-2024

Frog4Shell - FritzFrog Botnet Adds One-Days to Its Arsenal

https://www.akamai.com/blog/security-research/2024/feb/fritzfrog-botnet-new-capabilities-log4shell

Report completeness: Medium

Threats:
Fritzfrog
Log4shell_vuln
Pkexec_tool

Industry:
Entertainment, Healthcare, Retail, E-commerce, Financial

Geo:
Japanese, Chinese, Korean

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (<121)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1110, T1190, T1078, T1005, T1059, T1547

IOCs:
File: 2
Hash: 5

Soft:
nginx

Algorithms:
base64

Functions:
memfd_create

Languages:
javascript, golang, java

Platforms:
arm, amd64

Links:
https://github.com/guardicore/labs\_campaigns/blob/master/FritzFrog/detect\_fritzfrog.sh
https://gist.github.com/VVX7/736986268d08ee2c6ba5a5b46046014a