CTT Report Hub
#ParsedReport #CompletenessLow 02-02-2024 Detecting and Mitigating a Phishing Threat: Greatness https://blog.sucuri.net/2024/02/detecting-and-mitigating-a-phishing-threat-greatness.html Report completeness: Low Threats: Greatness_tool Mitm_technique Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый фишинговый инструмент под названием Greatness, который позволяет злоумышленникам запускать сложные фишинговые атаки против учетных записей Microsoft 365. Инструмент обладает различными функциями и может даже обойти многофакторную аутентификацию. В тексте также приведены семь шагов по предотвращению использования веб-сайтов и серверов такими фишинговыми атаками.
-----
В тексте обсуждается фишинговый инструмент под названием Greatness, который был идентифицирован исследовательской группой. Greatness - это платформа "Фишинг как услуга" (PhaaS), которая помогает выполнять сложные фишинговые атаки против учетных записей Microsoft 365. Этот инструмент был обнаружен на взломанных веб-сайтах и работает как командный элемент управления для злоумышленников, позволяя им запускать персонализированные попытки фишинга.
Greatness обладает несколькими функциями, включая панель результатов, которая предоставляет подробные сведения о полученных учетных данных, страницу Office, которая позволяет создавать убедительные фишинговые кампании и вложения, а также сложную процедуру аутентификации. Инструмент может проверять, включена ли многофакторная аутентификация (MFA), и запрашивать у жертв дополнительную информацию. Он также может получить действительный файл cookie сеанса, используя API Microsoft.
Платформа предлагает такие параметры конфигурации, как проверка состояния сервера, загрузка новых файлов конфигурации и указание альтернативных методов получения украденных учетных данных. Greatness полагается на сложные методы обеспечения безопасности, включая запутывание исходного кода и связь с центральным сервером для проверки ключа API. Без действительного ключа фишинговая страница отказывается загружаться.
Одним из вызывающих беспокойство аспектов Greatness является его способность перехитрить MFA, что является одной из наиболее эффективных мер безопасности против фишинговых атак. Доступность инструментария позволяет даже лицам с небольшими техническими знаниями запускать вредоносные атаки, увеличивая потенциальный ущерб.
Чтобы предотвратить использование фишингом веб-сайтов и серверных ресурсов, в тексте приведены семь шагов, которые необходимо предпринять. К ним относятся проведение глубокого и всестороннего сканирования на предмет заражения, удаление подозрительных файлов или скриптов, проверка предупреждений сайта от поисковых служб и проведение онлайн-проверок статуса, внедрение систем мониторинга целостности файлов и использование брандмауэров веб-приложений для защиты сайтов от атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый фишинговый инструмент под названием Greatness, который позволяет злоумышленникам запускать сложные фишинговые атаки против учетных записей Microsoft 365. Инструмент обладает различными функциями и может даже обойти многофакторную аутентификацию. В тексте также приведены семь шагов по предотвращению использования веб-сайтов и серверов такими фишинговыми атаками.
-----
В тексте обсуждается фишинговый инструмент под названием Greatness, который был идентифицирован исследовательской группой. Greatness - это платформа "Фишинг как услуга" (PhaaS), которая помогает выполнять сложные фишинговые атаки против учетных записей Microsoft 365. Этот инструмент был обнаружен на взломанных веб-сайтах и работает как командный элемент управления для злоумышленников, позволяя им запускать персонализированные попытки фишинга.
Greatness обладает несколькими функциями, включая панель результатов, которая предоставляет подробные сведения о полученных учетных данных, страницу Office, которая позволяет создавать убедительные фишинговые кампании и вложения, а также сложную процедуру аутентификации. Инструмент может проверять, включена ли многофакторная аутентификация (MFA), и запрашивать у жертв дополнительную информацию. Он также может получить действительный файл cookie сеанса, используя API Microsoft.
Платформа предлагает такие параметры конфигурации, как проверка состояния сервера, загрузка новых файлов конфигурации и указание альтернативных методов получения украденных учетных данных. Greatness полагается на сложные методы обеспечения безопасности, включая запутывание исходного кода и связь с центральным сервером для проверки ключа API. Без действительного ключа фишинговая страница отказывается загружаться.
Одним из вызывающих беспокойство аспектов Greatness является его способность перехитрить MFA, что является одной из наиболее эффективных мер безопасности против фишинговых атак. Доступность инструментария позволяет даже лицам с небольшими техническими знаниями запускать вредоносные атаки, увеличивая потенциальный ущерб.
Чтобы предотвратить использование фишингом веб-сайтов и серверных ресурсов, в тексте приведены семь шагов, которые необходимо предпринять. К ним относятся проведение глубокого и всестороннего сканирования на предмет заражения, удаление подозрительных файлов или скриптов, проверка предупреждений сайта от поисковых служб и проведение онлайн-проверок статуса, внедрение систем мониторинга целостности файлов и использование брандмауэров веб-приложений для защиты сайтов от атак.
#ParsedReport #CompletenessLow
02-02-2024
The curious case of DangerDev@protonmail.me
https://www.invictus-ir.com/news/the-curious-case-of-dangerdev-protonmail-me
Report completeness: Low
Threats:
Spear-phishing_technique
Victims:
Ses, Japanese websites
Geo:
Indonesian, Japanese
TTPs:
Tactics: 6
Technics: 0
IOCs:
Email: 1
File: 2
IP: 113
Functions:
GetSendQuota, GetCallerIdentity, CreateUser, CreateLoginProfile, CreateKeyPair, CreateSecurityGroup, CreateDefaultVpc, DeleteUser, DeleteUserPolicy, DeleteAccessKey, have more...
Links:
02-02-2024
The curious case of DangerDev@protonmail.me
https://www.invictus-ir.com/news/the-curious-case-of-dangerdev-protonmail-me
Report completeness: Low
Threats:
Spear-phishing_technique
Victims:
Ses, Japanese websites
Geo:
Indonesian, Japanese
TTPs:
Tactics: 6
Technics: 0
IOCs:
Email: 1
File: 2
IP: 113
Functions:
GetSendQuota, GetCallerIdentity, CreateUser, CreateLoginProfile, CreateKeyPair, CreateSecurityGroup, CreateDefaultVpc, DeleteUser, DeleteUserPolicy, DeleteAccessKey, have more...
Links:
https://gist.github.com/invictus-korstiaan/0aed611b8cce0a8e9974a9753aefc0e1/raw/f6c3d46a8247be80fb2b41b99b67d16ae2040512/AWS\_IOCS.csvhttps://gist.github.com/invictus-korstiaan/0aed611b8cce0a8e9974a9753aefc0e1#file-aws\_iocs-csvhttps://github.com
CTT Report Hub
#ParsedReport #CompletenessLow 02-02-2024 The curious case of DangerDev@protonmail.me https://www.invictus-ir.com/news/the-curious-case-of-dangerdev-protonmail-me Report completeness: Low Threats: Spear-phishing_technique Victims: Ses, Japanese websites…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - обсуждение недавней атаки на простой почтовый сервис Amazon (SES), где злоумышленники использовали SES для рассылки фишинговых и спам-кампаний. Атака происходила в три этапа, причем злоумышленники сосредоточились на криптомайнинге, фишинге и рассылке спама через SES. Они продемонстрировали знакомство с AWS и использовали сценарии автоматизации для определенных задач. Мотивом атаки, по-видимому, была финансовая выгода, в первую очередь с помощью точечного фишинга и методов фишинга с использованием криптовалют.
-----
В этой статье автор обсуждает недавнюю атаку, целью которой был простой почтовый сервис Amazon (SES). Злоумышленники использовали SES для рассылки фишинговых и спам-кампаний, воспользовавшись статусом доверенного отправителя, связанным с Amazon. Вредоносная активность происходила в течение месяца и может быть разделена на три отдельных этапа.
На начальном этапе злоумышленники создали новую учетную запись и провели дополнительные действия по обнаружению, которые, вероятно, соответствовали их злонамеренным намерениям. Они использовали AWS Policy Simulator для тестирования существующих политик и действий, что позволило им оценить свои возможности в учетной записи жертвы.
На последующих этапах злоумышленники сосредоточились на криптомайнинге, фишинге и рассылке спама через SES. Они создали поддельные домены для точечного фишинга и мошенничества, ориентируясь в основном на японские веб-сайты. Конкретное содержание электронных писем, которые они рассылали, не раскрывалось в деталях, но они были предназначены для частных лиц с целью получения учетных данных для обмена криптовалютами и в общих целях рассылки спама.
Злоумышленники запросили у AWS увеличение квоты на отправку SES, чтобы рассылать больше спама. Этот запрос был одобрен, что указывает на то, что злоумышленники достигли определенного уровня настойчивости и влияния в учетной записи жертвы. Домены, которые они использовали для своих вредоносных действий, были недолговечными и быстро отключились.
Злоумышленники продемонстрировали знакомство с AWS, выходящее за рамки базового злоупотребления EC2. Они использовали сценарии автоматизации для таких задач, как тестирование и перечисление ключей доступа AWS. Однако они также выполняли значительные действия через консоль управления, что указывает на сочетание автоматизированной работы и работы с клавиатурой. Примечательно, что злоумышленники применили некоторые оперативные меры безопасности, избегая использования определенных команд, которые обычно наблюдаются при атаках, таких как GetCallerIdentity.
Мотивы атаки казались финансово мотивированными. Основной целью злоумышленников, по-видимому, было осуществление скрытого фишинга с целью получения финансовой выгоды с использованием приманок PayPal и методов фишинга криптовалют. Стоит отметить, что злоумышленники в основном использовали индонезийские IP-адреса для своей деятельности, часто за пределами коммерческих VPN-решений.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - обсуждение недавней атаки на простой почтовый сервис Amazon (SES), где злоумышленники использовали SES для рассылки фишинговых и спам-кампаний. Атака происходила в три этапа, причем злоумышленники сосредоточились на криптомайнинге, фишинге и рассылке спама через SES. Они продемонстрировали знакомство с AWS и использовали сценарии автоматизации для определенных задач. Мотивом атаки, по-видимому, была финансовая выгода, в первую очередь с помощью точечного фишинга и методов фишинга с использованием криптовалют.
-----
В этой статье автор обсуждает недавнюю атаку, целью которой был простой почтовый сервис Amazon (SES). Злоумышленники использовали SES для рассылки фишинговых и спам-кампаний, воспользовавшись статусом доверенного отправителя, связанным с Amazon. Вредоносная активность происходила в течение месяца и может быть разделена на три отдельных этапа.
На начальном этапе злоумышленники создали новую учетную запись и провели дополнительные действия по обнаружению, которые, вероятно, соответствовали их злонамеренным намерениям. Они использовали AWS Policy Simulator для тестирования существующих политик и действий, что позволило им оценить свои возможности в учетной записи жертвы.
На последующих этапах злоумышленники сосредоточились на криптомайнинге, фишинге и рассылке спама через SES. Они создали поддельные домены для точечного фишинга и мошенничества, ориентируясь в основном на японские веб-сайты. Конкретное содержание электронных писем, которые они рассылали, не раскрывалось в деталях, но они были предназначены для частных лиц с целью получения учетных данных для обмена криптовалютами и в общих целях рассылки спама.
Злоумышленники запросили у AWS увеличение квоты на отправку SES, чтобы рассылать больше спама. Этот запрос был одобрен, что указывает на то, что злоумышленники достигли определенного уровня настойчивости и влияния в учетной записи жертвы. Домены, которые они использовали для своих вредоносных действий, были недолговечными и быстро отключились.
Злоумышленники продемонстрировали знакомство с AWS, выходящее за рамки базового злоупотребления EC2. Они использовали сценарии автоматизации для таких задач, как тестирование и перечисление ключей доступа AWS. Однако они также выполняли значительные действия через консоль управления, что указывает на сочетание автоматизированной работы и работы с клавиатурой. Примечательно, что злоумышленники применили некоторые оперативные меры безопасности, избегая использования определенных команд, которые обычно наблюдаются при атаках, таких как GetCallerIdentity.
Мотивы атаки казались финансово мотивированными. Основной целью злоумышленников, по-видимому, было осуществление скрытого фишинга с целью получения финансовой выгоды с использованием приманок PayPal и методов фишинга криптовалют. Стоит отметить, что злоумышленники в основном использовали индонезийские IP-адреса для своей деятельности, часто за пределами коммерческих VPN-решений.
#ParsedReport #CompletenessHigh
02-02-2024
The Bear and The Shell: New Campaign Against Russian Opposition
https://blog.cluster25.duskrise.com/2024/01/30/russian-apt-opposition
Report completeness: High
Threats:
Spear-phishing_technique
Sliver_c2_tool
Beacon
Victims:
Entities critical of the russian government, Russian dissident movements, Bellingcat, Us agency of international development, Media outlet related to ksenia sobchak, Media outlet the bell, Verstka
Industry:
Government
Geo:
Moldova, Russia, Usa, Russian, Israel, Netherlands, Ukraine, Portugal
TTPs:
Tactics: 6
Technics: 10
IOCs:
Hash: 13
File: 3
Command: 1
Domain: 6
IP: 1
Url: 3
Algorithms:
sha256, zip
Languages:
powershell
Platforms:
intel
Links:
02-02-2024
The Bear and The Shell: New Campaign Against Russian Opposition
https://blog.cluster25.duskrise.com/2024/01/30/russian-apt-opposition
Report completeness: High
Threats:
Spear-phishing_technique
Sliver_c2_tool
Beacon
Victims:
Entities critical of the russian government, Russian dissident movements, Bellingcat, Us agency of international development, Media outlet related to ksenia sobchak, Media outlet the bell, Verstka
Industry:
Government
Geo:
Moldova, Russia, Usa, Russian, Israel, Netherlands, Ukraine, Portugal
TTPs:
Tactics: 6
Technics: 10
IOCs:
Hash: 13
File: 3
Command: 1
Domain: 6
IP: 1
Url: 3
Algorithms:
sha256, zip
Languages:
powershell
Platforms:
intel
Links:
https://github.com/JoelGMSec/HTTP-Shellhttps://github.com/BishopFox/sliver
CTT Report Hub
#ParsedReport #CompletenessHigh 02-02-2024 The Bear and The Shell: New Campaign Against Russian Opposition https://blog.cluster25.duskrise.com/2024/01/30/russian-apt-opposition Report completeness: High Threats: Spear-phishing_technique Sliver_c2_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследовательская группа по кибербезопасности Cluster25 раскрыла новую кампанию фишинга, которая, как полагают, была инициирована российской группой Advanced Persistent Threat (APT). Кампания нацелена на отдельных лиц и организации, критикующие российское правительство и связанные с российскими диссидентскими движениями. В атаках используется приманка на тему НАСА и мультиплатформенная обратная оболочка под названием HTTP-Shell. Кампания использует различные приманки, полученные от средств массовой информации, связанных с российской независимой медиасферой, и атаки наблюдались во многих странах. Исследователи также обнаружили потенциальные связи между инфраструктурой и инструментами кампании, что предполагает более широкие скоординированные усилия. В целом, факты указывают на передовую группу, действующую от имени российского правительства.
-----
Исследовательская группа по кибербезопасности Cluster25 раскрыла новую кампанию, инициированную российской APT group.
Кампания включает в себя точечный фишинг, нацеленный на отдельных лиц и организации, критикующие российское правительство и связанные с российскими диссидентскими движениями.
В атаках используется приманка на тему NASA и скрипт PowerShell с именем HTTP-Shell для установления обратного соединения shell по протоколу HTTP.
Атаки имеют сходство с приманками и используют один и тот же сервер управления.
Приманки получены от средств массовой информации, связанных с российской независимой медиасферой.
Теракты были зафиксированы в разных странах, включая Португалию, США и Израиль.
Домен usaid.pm, использовавшийся в атаке на Bellingcat, был преобразован в IP-адрес, связанный с радиомаяком Sliver и другими фишинговыми страницами, что указывает на потенциальную связь между инфраструктурой и инструментами, используемыми в кампании.
Кампания, весьма вероятно, связана с передовой группой, действующей от имени российского правительства и нацеленной на диссидентские движения как внутри России, так и за ее пределами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследовательская группа по кибербезопасности Cluster25 раскрыла новую кампанию фишинга, которая, как полагают, была инициирована российской группой Advanced Persistent Threat (APT). Кампания нацелена на отдельных лиц и организации, критикующие российское правительство и связанные с российскими диссидентскими движениями. В атаках используется приманка на тему НАСА и мультиплатформенная обратная оболочка под названием HTTP-Shell. Кампания использует различные приманки, полученные от средств массовой информации, связанных с российской независимой медиасферой, и атаки наблюдались во многих странах. Исследователи также обнаружили потенциальные связи между инфраструктурой и инструментами кампании, что предполагает более широкие скоординированные усилия. В целом, факты указывают на передовую группу, действующую от имени российского правительства.
-----
Исследовательская группа по кибербезопасности Cluster25 раскрыла новую кампанию, инициированную российской APT group.
Кампания включает в себя точечный фишинг, нацеленный на отдельных лиц и организации, критикующие российское правительство и связанные с российскими диссидентскими движениями.
В атаках используется приманка на тему NASA и скрипт PowerShell с именем HTTP-Shell для установления обратного соединения shell по протоколу HTTP.
Атаки имеют сходство с приманками и используют один и тот же сервер управления.
Приманки получены от средств массовой информации, связанных с российской независимой медиасферой.
Теракты были зафиксированы в разных странах, включая Португалию, США и Израиль.
Домен usaid.pm, использовавшийся в атаке на Bellingcat, был преобразован в IP-адрес, связанный с радиомаяком Sliver и другими фишинговыми страницами, что указывает на потенциальную связь между инфраструктурой и инструментами, используемыми в кампании.
Кампания, весьма вероятно, связана с передовой группой, действующей от имени российского правительства и нацеленной на диссидентские движения как внутри России, так и за ее пределами.
#ParsedReport #CompletenessMedium
02-02-2024
Meet AZORult Stealer: High Risk, Open Source & Evolving. AZORult Delivery Methods
https://cyberint.com/blog/research/meet-azorult-stealer-high-risk-open-source-evolving
Report completeness: Medium
Actors/Campaigns:
Gorgon (motivation: cyber_criminal)
Threats:
Azorult
Ramnit
Chthonic
Redline_stealer
Whispergate
Supply_chain_technique
Process_hollowing_technique
Credential_dumping_technique
Industry:
Government, Telco, Financial
Geo:
Russia, Spain, Ukrainian
TTPs:
Tactics: 11
Technics: 31
IOCs:
IP: 2
Domain: 1
Soft:
Telegram, Microsoft Office
Algorithms:
xor, base64
Languages:
powershell
02-02-2024
Meet AZORult Stealer: High Risk, Open Source & Evolving. AZORult Delivery Methods
https://cyberint.com/blog/research/meet-azorult-stealer-high-risk-open-source-evolving
Report completeness: Medium
Actors/Campaigns:
Gorgon (motivation: cyber_criminal)
Threats:
Azorult
Ramnit
Chthonic
Redline_stealer
Whispergate
Supply_chain_technique
Process_hollowing_technique
Credential_dumping_technique
Industry:
Government, Telco, Financial
Geo:
Russia, Spain, Ukrainian
TTPs:
Tactics: 11
Technics: 31
IOCs:
IP: 2
Domain: 1
Soft:
Telegram, Microsoft Office
Algorithms:
xor, base64
Languages:
powershell
Cyberint
Meet AZORult Stealer: High Risk, Open Source & Evolving
AZORult stealer is regarded as a high-risk Trojan-type virus. It has evolved into a free, open-source program and is one of the most dominant stealers.
CTT Report Hub
#ParsedReport #CompletenessMedium 02-02-2024 Meet AZORult Stealer: High Risk, Open Source & Evolving. AZORult Delivery Methods https://cyberint.com/blog/research/meet-azorult-stealer-high-risk-open-source-evolving Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - обсуждение AZORult stealer, вируса троянского типа, который собирает личные данные. В нем освещаются различные методы доставки, используемые похитителем, причастность группы Gorgon и значительное влияние атак AZORult, которые могут привести к компрометации финансовых счетов, краже личной информации, контролю над зараженными системами и атакам программ-вымогателей. В тексте также содержится подробная информация о загрузчике, его связи с C2 и украденных данных, переданных C2. Кроме того, в нем упоминаются конкретные детали, такие как домены, используемые загрузчиком для связи, и связь определенных IP-адресов с целями malspam на этапе доставки.
-----
В тексте обсуждается AZORult stealer, вирус троянского типа, созданный для сбора личных данных. Он превратился в бесплатную программу с открытым исходным кодом и входит в топ-5 краж по всему миру. Для заражения систем похититель использует различные способы доставки, включая фишинговые электронные письма, защищенные паролем офисные документы и другие вредоносные программы. Панель C2 (Command and Control) для AZORult содержит множество ресурсов, и на панели хранятся параметры ее конфигурации. Исходный код и пакет builder для AZORult общедоступны в репозиториях кода и на форумах dark web, что позволяет злоумышленникам развертывать модифицированные версии stealer.
Группа Gorgon, которая объединилась с киберпреступной группировкой Subaat, была связана с деятельностью AZORult. Похититель также может использоваться в качестве загрузчика троянских программ для доставки других полезных вредоносных программ и установления соединений по протоколу удаленного рабочего стола для полного контроля зараженных систем. Последствия атак AZORult могут быть значительными, приводя к компрометации финансовых счетов, краже личной информации, удаленному управлению устройствами и даже атакам программ-вымогателей.
Загрузчик, скомпилированный в июне 2022 года, отвечает за инициирование связи с C2 и получение конфигурации и первичной полезной нагрузки. Он использует собственные библиотеки для сетевого взаимодействия, возможности многопоточности процессов и шифрования TLS. Загрузчик извлекает вредоносный DLL-файл, замаскированный под поддельный BMP-файл, из жестко закодированного домена. Полезная нагрузка взаимодействует с C2 с помощью последовательных POST-запросов, регистрируя идентификацию бота и получая в ответ закодированную конфигурацию. Украденные данные организованы в различные разделы и передаются C2, включая информацию о хостинге, скриншоты, информацию о файлах, модель процессора, оперативную память, графический процессор, списки процессов, установленное программное обеспечение и, в конечном итоге, файлы cookie и пароли.
В тексте выделяются некоторые специфические детали, такие как домены, используемые загрузчиком для связи с C2: http://phila.ac.ug/azne_Rnnztqgs.bmp и wiwirdo.ac.ug. IP, принадлежащий украинскому интернет-провайдеру, является типичной инфраструктурой для вредоносного по C2, и дополнительные IP-адреса могут быть связаны с целями malspam на этапе доставки.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - обсуждение AZORult stealer, вируса троянского типа, который собирает личные данные. В нем освещаются различные методы доставки, используемые похитителем, причастность группы Gorgon и значительное влияние атак AZORult, которые могут привести к компрометации финансовых счетов, краже личной информации, контролю над зараженными системами и атакам программ-вымогателей. В тексте также содержится подробная информация о загрузчике, его связи с C2 и украденных данных, переданных C2. Кроме того, в нем упоминаются конкретные детали, такие как домены, используемые загрузчиком для связи, и связь определенных IP-адресов с целями malspam на этапе доставки.
-----
В тексте обсуждается AZORult stealer, вирус троянского типа, созданный для сбора личных данных. Он превратился в бесплатную программу с открытым исходным кодом и входит в топ-5 краж по всему миру. Для заражения систем похититель использует различные способы доставки, включая фишинговые электронные письма, защищенные паролем офисные документы и другие вредоносные программы. Панель C2 (Command and Control) для AZORult содержит множество ресурсов, и на панели хранятся параметры ее конфигурации. Исходный код и пакет builder для AZORult общедоступны в репозиториях кода и на форумах dark web, что позволяет злоумышленникам развертывать модифицированные версии stealer.
Группа Gorgon, которая объединилась с киберпреступной группировкой Subaat, была связана с деятельностью AZORult. Похититель также может использоваться в качестве загрузчика троянских программ для доставки других полезных вредоносных программ и установления соединений по протоколу удаленного рабочего стола для полного контроля зараженных систем. Последствия атак AZORult могут быть значительными, приводя к компрометации финансовых счетов, краже личной информации, удаленному управлению устройствами и даже атакам программ-вымогателей.
Загрузчик, скомпилированный в июне 2022 года, отвечает за инициирование связи с C2 и получение конфигурации и первичной полезной нагрузки. Он использует собственные библиотеки для сетевого взаимодействия, возможности многопоточности процессов и шифрования TLS. Загрузчик извлекает вредоносный DLL-файл, замаскированный под поддельный BMP-файл, из жестко закодированного домена. Полезная нагрузка взаимодействует с C2 с помощью последовательных POST-запросов, регистрируя идентификацию бота и получая в ответ закодированную конфигурацию. Украденные данные организованы в различные разделы и передаются C2, включая информацию о хостинге, скриншоты, информацию о файлах, модель процессора, оперативную память, графический процессор, списки процессов, установленное программное обеспечение и, в конечном итоге, файлы cookie и пароли.
В тексте выделяются некоторые специфические детали, такие как домены, используемые загрузчиком для связи с C2: http://phila.ac.ug/azne_Rnnztqgs.bmp и wiwirdo.ac.ug. IP, принадлежащий украинскому интернет-провайдеру, является типичной инфраструктурой для вредоносного по C2, и дополнительные IP-адреса могут быть связаны с целями malspam на этапе доставки.
#ParsedReport #CompletenessLow
02-02-2024
APT-K-47 organization uses new Trojan tools to launch secret-stealing attacks
https://paper.seebug.org/3115
Report completeness: Low
Actors/Campaigns:
Mysterious_elephant
Sidewinder
Confucius
Bitter
Threats:
Orpcbackdoor
Walkershell
Nimbo-c2
Demotryspy
Nixbackdoor
Geo:
Pakistan, Asia, Asian, Russia, Bangladesh
ChatGPT TTPs:
T1566, T1203, T1602, T1041, T1348, T1213, T1003, T1082, T1065, T1483, have more...
IOCs:
File: 2
Hash: 4
Domain: 1
Soft:
Chrome, curl
Languages:
python, powershell
Links:
02-02-2024
APT-K-47 organization uses new Trojan tools to launch secret-stealing attacks
https://paper.seebug.org/3115
Report completeness: Low
Actors/Campaigns:
Mysterious_elephant
Sidewinder
Confucius
Bitter
Threats:
Orpcbackdoor
Walkershell
Nimbo-c2
Demotryspy
Nixbackdoor
Geo:
Pakistan, Asia, Asian, Russia, Bangladesh
ChatGPT TTPs:
do not use without manual checkT1566, T1203, T1602, T1041, T1348, T1213, T1003, T1082, T1065, T1483, have more...
IOCs:
File: 2
Hash: 4
Domain: 1
Soft:
Chrome, curl
Languages:
python, powershell
Links:
https://github.com/itaymigdal/Nimbo-C2
CTT Report Hub
#ParsedReport #CompletenessLow 02-02-2024 APT-K-47 organization uses new Trojan tools to launch secret-stealing attacks https://paper.seebug.org/3115 Report completeness: Low Actors/Campaigns: Mysterious_elephant Sidewinder Confucius Bitter Threats: Orpcbackdoor…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-K-47, группа APT, действующая в Южной Азии, использует социальную инженерию и фишинговые атаки против таких стран, как Россия, Пакистан, Бангладеш и Соединенные Штаты. В основном они полагаются на инструмент ORPCBackdoor для удаленного управления компьютером жертвы, но недавно начали использовать нераскрытую троянскую программу WalkerShell. Они также используют другие вредоносные программы, такие как DemoTrySpy и NixBackdoor. Анализ высвечивает изменение в их стратегии атак и подчеркивает важность внедрения строгих мер безопасности для снижения рисков.
-----
APT-K-47, также известная как Mysterious Elephant, является группой APT, действующей в Южной Азии. Она имеет сходство в методах и тактике с другими группами APT в регионе, такими как Sidewinder, Confucius и Bitter. В качестве методов атаки группа в основном использует социальную инженерию и фишинговые атаки. Их предпочтительные векторы атак включают CHM и документы об уязвимостях, а также использование уязвимостей программного обеспечения WinRAR. APT-K-47 нацелен на такие страны, как Россия, Пакистан, Бангладеш и Соединенные Штаты.
Основным инструментом, используемым APT-K-47, является ORPCBackdoor, который позволяет им получить удаленный контроль над машиной жертвы. Однако была обнаружена новая волна атак APT-K-47 с использованием нераскрытых средств атаки. В этих недавних атаках группа использовала нераскрытую троянскую программу под названием WalkerShell наряду с другими полезными вредоносными программами. Этот троян загружает ORPCBackdoor и крадет информацию о пароле из браузера целевого компьютера, отправляя ее обратно на сервер управления.
Цепочка атак, связанных с недавними действиями APT-K-47, включает внедрение троянца Nimbo-C2 на контролируемый компьютер и загрузку инструмента DemoTrySpy через PowerShell. DemoTrySpy специально разработан для кражи записей паролей браузера Chrome. Украденные пароли упаковываются в локальные файлы и отправляются на выделенный сервер возврата файлов. На другом компьютере жертвы злоумышленник внедряет троянскую программу WalkerShell, которая перемещается по диску и извлекает интересующие файлы, отправляя их обратно на выделенный сервер хранения файлов. В то же время злоумышленник загружает инструмент DemoTrySpy через PowerShell, чтобы получить информацию об имени пользователя и пароле из браузера жертвы. Они также загружают и запускают ORPCBackdoor через PowerShell для долгосрочного удаленного управления компьютером жертвы.
WalkerShell, вредоносная программа, написанная на C#, при запуске получает имя хоста и логин пользователя целевого хоста. DemoTrySpy, с другой стороны, интегрирует код из проекта cJSON с открытым исходным кодом для анализа данных формата JSON, содержащих пользовательские данные браузера Chrome. NixBackdoor, еще одна вредоносная программа, используемая APT-K-47, подключается к определенному серверу для получения шелл-кода и выполнения его на компьютере жертвы.
Анализ показывает, что APT-K-47 изменила свою стратегию атаки, используя WalkerShell в качестве начального вектора вторжения вместо того, чтобы полагаться исключительно на ORPCBackdoor. Важно отметить, что эта организация была вовлечена во множество других атак в течение того же периода, что указывает на их активное присутствие. В дальнейших отчетах по анализу будут представлены подробности этих выводов.
Организациям и частным лицам крайне важно быть осведомленными о меняющейся тактике и методах, используемых такими субъектами угроз, как APT-K-47. Внедрение строгих мер безопасности, таких как просвещение по вопросам социальной инженерии и фишинговых атак, исправление уязвимостей и использование передовых инструментов обнаружения и предотвращения угроз, может помочь снизить риски, исходящие от таких групп.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-K-47, группа APT, действующая в Южной Азии, использует социальную инженерию и фишинговые атаки против таких стран, как Россия, Пакистан, Бангладеш и Соединенные Штаты. В основном они полагаются на инструмент ORPCBackdoor для удаленного управления компьютером жертвы, но недавно начали использовать нераскрытую троянскую программу WalkerShell. Они также используют другие вредоносные программы, такие как DemoTrySpy и NixBackdoor. Анализ высвечивает изменение в их стратегии атак и подчеркивает важность внедрения строгих мер безопасности для снижения рисков.
-----
APT-K-47, также известная как Mysterious Elephant, является группой APT, действующей в Южной Азии. Она имеет сходство в методах и тактике с другими группами APT в регионе, такими как Sidewinder, Confucius и Bitter. В качестве методов атаки группа в основном использует социальную инженерию и фишинговые атаки. Их предпочтительные векторы атак включают CHM и документы об уязвимостях, а также использование уязвимостей программного обеспечения WinRAR. APT-K-47 нацелен на такие страны, как Россия, Пакистан, Бангладеш и Соединенные Штаты.
Основным инструментом, используемым APT-K-47, является ORPCBackdoor, который позволяет им получить удаленный контроль над машиной жертвы. Однако была обнаружена новая волна атак APT-K-47 с использованием нераскрытых средств атаки. В этих недавних атаках группа использовала нераскрытую троянскую программу под названием WalkerShell наряду с другими полезными вредоносными программами. Этот троян загружает ORPCBackdoor и крадет информацию о пароле из браузера целевого компьютера, отправляя ее обратно на сервер управления.
Цепочка атак, связанных с недавними действиями APT-K-47, включает внедрение троянца Nimbo-C2 на контролируемый компьютер и загрузку инструмента DemoTrySpy через PowerShell. DemoTrySpy специально разработан для кражи записей паролей браузера Chrome. Украденные пароли упаковываются в локальные файлы и отправляются на выделенный сервер возврата файлов. На другом компьютере жертвы злоумышленник внедряет троянскую программу WalkerShell, которая перемещается по диску и извлекает интересующие файлы, отправляя их обратно на выделенный сервер хранения файлов. В то же время злоумышленник загружает инструмент DemoTrySpy через PowerShell, чтобы получить информацию об имени пользователя и пароле из браузера жертвы. Они также загружают и запускают ORPCBackdoor через PowerShell для долгосрочного удаленного управления компьютером жертвы.
WalkerShell, вредоносная программа, написанная на C#, при запуске получает имя хоста и логин пользователя целевого хоста. DemoTrySpy, с другой стороны, интегрирует код из проекта cJSON с открытым исходным кодом для анализа данных формата JSON, содержащих пользовательские данные браузера Chrome. NixBackdoor, еще одна вредоносная программа, используемая APT-K-47, подключается к определенному серверу для получения шелл-кода и выполнения его на компьютере жертвы.
Анализ показывает, что APT-K-47 изменила свою стратегию атаки, используя WalkerShell в качестве начального вектора вторжения вместо того, чтобы полагаться исключительно на ORPCBackdoor. Важно отметить, что эта организация была вовлечена во множество других атак в течение того же периода, что указывает на их активное присутствие. В дальнейших отчетах по анализу будут представлены подробности этих выводов.
Организациям и частным лицам крайне важно быть осведомленными о меняющейся тактике и методах, используемых такими субъектами угроз, как APT-K-47. Внедрение строгих мер безопасности, таких как просвещение по вопросам социальной инженерии и фишинговых атак, исправление уязвимостей и использование передовых инструментов обнаружения и предотвращения угроз, может помочь снизить риски, исходящие от таких групп.
#ParsedReport #CompletenessMedium
02-02-2024
Exploring the Latest Mispadu Stealer Variant
https://unit42.paloaltonetworks.com/mispadu-infostealer-variant
Report completeness: Medium
Threats:
Mispadu
Passview_tool
Victims:
Mexican citizens, Financial institutions, Financial exchanges, Cryptocurrency-aligned organizations
Industry:
Financial
Geo:
Japanese, Brazil, Mexican, Latam, America, Emea, Mexico, Americas, Japan, Apac
CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
ChatGPT TTPs:
T1106.003, T1204.002, T1036.005, T1041, T1005
IOCs:
File: 5
Path: 3
Hash: 27
Domain: 8
Url: 2
Soft:
Microsoft Edge, Chrome, Google Chrome, Unix
Algorithms:
md5, aes, sha1, sha256, zip
Languages:
php, delphi, powershell, autoit
Platforms:
x64, x86
02-02-2024
Exploring the Latest Mispadu Stealer Variant
https://unit42.paloaltonetworks.com/mispadu-infostealer-variant
Report completeness: Medium
Threats:
Mispadu
Passview_tool
Victims:
Mexican citizens, Financial institutions, Financial exchanges, Cryptocurrency-aligned organizations
Industry:
Financial
Geo:
Japanese, Brazil, Mexican, Latam, America, Emea, Mexico, Americas, Japan, Apac
CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
ChatGPT TTPs:
do not use without manual checkT1106.003, T1204.002, T1036.005, T1041, T1005
IOCs:
File: 5
Path: 3
Hash: 27
Domain: 8
Url: 2
Soft:
Microsoft Edge, Chrome, Google Chrome, Unix
Algorithms:
md5, aes, sha1, sha256, zip
Languages:
php, delphi, powershell, autoit
Platforms:
x64, x86
Unit 42
Exploring the Latest Mispadu Stealer Variant
Evaluation of a new variant of Mispadu, a banking Trojan, highlights how infostealers evolve over time and can be hard to pin to past campaigns.
CTT Report Hub
#ParsedReport #CompletenessMedium 02-02-2024 Exploring the Latest Mispadu Stealer Variant https://unit42.paloaltonetworks.com/mispadu-infostealer-variant Report completeness: Medium Threats: Mispadu Passview_tool Victims: Mexican citizens, Financial institutions…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи Unit 42 обнаружили новый вариант банковского трояна Mispadu Stealer, который изначально предназначался для жертв в Бразилии и Мексике. Этот новый вариант специально нацелен на регионы и URL-адреса, связанные с гражданами Мексики. Исследователи обнаружили связь с семейством вредоносных программ Mispadu Stealer, которые с годами совершенствовали свои методы. Вредоносное ПО обычно распространяется посредством спам-кампаний с использованием вводящих в заблуждение URL-адресов и постоянно эволюционирует, чтобы избежать обнаружения.
-----
Исследователи подразделения 42 обнаружили активность, связанную с Mispadu Stealer, скрытным инфокрадом, который впервые появился в 2019 году. Исследователи обнаружили эту активность во время поиска уязвимости SmartScreen CVE-2023-36025 и идентифицировали новый вариант Mispadu Stealer, который нацелен на определенные регионы и URL-адреса, связанные с гражданами Мексики.
Mispadu Stealer - это банковский троян, написанный на Delphi, который первоначально предназначался для жертв в Бразилии и Мексике. Исследователи обнаружили образцы, которые однозначно приписываются Mispadu Stealer, после недавнего обнаружения уязвимости обхода Windows SmartScreen (CVE-2023-36025). Злоумышленники могут воспользоваться этой уязвимостью, чтобы обойти предупреждения SmartScreen, создав обработанный url-файл или гиперссылку, которая ссылается на сетевой ресурс, содержащий вредоносный двоичный файл.
Исследователи определяют, каким образом созданные URL-файлы распространялись через ZIP-архивы, возможно, в виде вложений к электронной почте. Исследовав образцы, они обнаружили связь с семейством вредоносных программ Mispadu Stealer, которые с годами совершенствовали свои методы. Они обнаружили исторические и недавние образцы Mispadu Stealer, которые нацелены на определенные регионы, вычисляют разницу во времени, взаимодействуют с историей браузеров с помощью SQLite и загружают данные через HTTP/S запросы.
Обнаруженная инфраструктура C2 и функциональность для кражи информации аналогичны предыдущим образцам Mispadu Stealer. Исследователи также заметили сходство между недавно проанализированной полезной нагрузкой и полезной нагрузкой из мексиканской кампании, о которой сообщила команда Axon. Однако существуют различия в цепочках выполнения, основных полезных нагрузках и использовании различных инструментов для извлечения учетных данных.
Mispadu Stealer известен тем, что нацелен на испано- и португалоязычных жертв и распространяется посредством спам-кампаний с использованием вводящих в заблуждение URL-адресов. Вредоносная программа постоянно совершенствует свои методы, чтобы избежать обнаружения. Хотя в первую очередь она ориентирована на страны Латинской Америки, эта новая кампания расширила свои цели на различные регионы, включая Мексику и другие европейские страны.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи Unit 42 обнаружили новый вариант банковского трояна Mispadu Stealer, который изначально предназначался для жертв в Бразилии и Мексике. Этот новый вариант специально нацелен на регионы и URL-адреса, связанные с гражданами Мексики. Исследователи обнаружили связь с семейством вредоносных программ Mispadu Stealer, которые с годами совершенствовали свои методы. Вредоносное ПО обычно распространяется посредством спам-кампаний с использованием вводящих в заблуждение URL-адресов и постоянно эволюционирует, чтобы избежать обнаружения.
-----
Исследователи подразделения 42 обнаружили активность, связанную с Mispadu Stealer, скрытным инфокрадом, который впервые появился в 2019 году. Исследователи обнаружили эту активность во время поиска уязвимости SmartScreen CVE-2023-36025 и идентифицировали новый вариант Mispadu Stealer, который нацелен на определенные регионы и URL-адреса, связанные с гражданами Мексики.
Mispadu Stealer - это банковский троян, написанный на Delphi, который первоначально предназначался для жертв в Бразилии и Мексике. Исследователи обнаружили образцы, которые однозначно приписываются Mispadu Stealer, после недавнего обнаружения уязвимости обхода Windows SmartScreen (CVE-2023-36025). Злоумышленники могут воспользоваться этой уязвимостью, чтобы обойти предупреждения SmartScreen, создав обработанный url-файл или гиперссылку, которая ссылается на сетевой ресурс, содержащий вредоносный двоичный файл.
Исследователи определяют, каким образом созданные URL-файлы распространялись через ZIP-архивы, возможно, в виде вложений к электронной почте. Исследовав образцы, они обнаружили связь с семейством вредоносных программ Mispadu Stealer, которые с годами совершенствовали свои методы. Они обнаружили исторические и недавние образцы Mispadu Stealer, которые нацелены на определенные регионы, вычисляют разницу во времени, взаимодействуют с историей браузеров с помощью SQLite и загружают данные через HTTP/S запросы.
Обнаруженная инфраструктура C2 и функциональность для кражи информации аналогичны предыдущим образцам Mispadu Stealer. Исследователи также заметили сходство между недавно проанализированной полезной нагрузкой и полезной нагрузкой из мексиканской кампании, о которой сообщила команда Axon. Однако существуют различия в цепочках выполнения, основных полезных нагрузках и использовании различных инструментов для извлечения учетных данных.
Mispadu Stealer известен тем, что нацелен на испано- и португалоязычных жертв и распространяется посредством спам-кампаний с использованием вводящих в заблуждение URL-адресов. Вредоносная программа постоянно совершенствует свои методы, чтобы избежать обнаружения. Хотя в первую очередь она ориентирована на страны Латинской Америки, эта новая кампания расширила свои цели на различные регионы, включая Мексику и другие европейские страны.
#ParsedReport #CompletenessLow
04-02-2024
Following the AnyDesk Incident: Customer Credentials Leaked and Published for Sale on the Dark Web
https://www.resecurity.com/blog/article/following-the-anydesk-incident-customer-credentials-leaked-and-published-for-sale-on-the-dark-web
Report completeness: Low
Actors/Campaigns:
Duke
Threats:
Anydesk_tool
Bec_technique
Victims:
Anydesk, Cloudflare, Microsoft, Hewlett packard enterprise
Industry:
Financial
Geo:
India
ChatGPT TTPs:
T1078, T1213, T1192, T1204, T1195
IOCs:
Domain: 1
Soft:
macOS
Platforms:
apple
04-02-2024
Following the AnyDesk Incident: Customer Credentials Leaked and Published for Sale on the Dark Web
https://www.resecurity.com/blog/article/following-the-anydesk-incident-customer-credentials-leaked-and-published-for-sale-on-the-dark-web
Report completeness: Low
Actors/Campaigns:
Duke
Threats:
Anydesk_tool
Bec_technique
Victims:
Anydesk, Cloudflare, Microsoft, Hewlett packard enterprise
Industry:
Financial
Geo:
India
ChatGPT TTPs:
do not use without manual checkT1078, T1213, T1192, T1204, T1195
IOCs:
Domain: 1
Soft:
macOS
Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessLow 04-02-2024 Following the AnyDesk Incident: Customer Credentials Leaked and Published for Sale on the Dark Web https://www.resecurity.com/blog/article/following-the-anydesk-incident-customer-credentials-leaked-and-published…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что AnyDesk, поставщик программного обеспечения для удаленных рабочих столов, подвергся кибератаке, которая привела к компрометации учетных данных клиентов. Эти учетные данные продаются в Темной сети, создавая угрозу для пользователей AnyDesk, особенно ИТ-администраторов. Скомпрометированные учетные данные могут быть использованы для целевых фишинговых кампаний и других вредоносных действий, таких как рассылка спама, кража онлайн-банкинга, компрометация деловой электронной почты и захват учетной записи. Компания Resecurity, занимающаяся кибербезопасностью, уведомила AnyDesk и пострадавших клиентов о ситуации. Этот инцидент произошел примерно в то же время, что и другие инциденты в области кибербезопасности, связанные с предполагаемыми нападениями со стороны национальных государств, что позволяет предположить потенциальное совпадение между киберпреступностью и деятельностью национальных государств.
-----
2 февраля 2024 года компания AnyDesk, поставщик программного обеспечения для удаленных рабочих столов, подверглась кибератаке, которая скомпрометировала их производственные системы. Компания Resecurity, занимающаяся кибербезопасностью, выявила двух участников атаки, один из которых использовал псевдоним "Jobaaaaa". Было установлено, что этот конкретный участник предлагал учетные данные клиентов AnyDesk для продажи в Даркнете.
Скомпрометированные учетные данные клиента предоставляют доступ к клиентскому порталу AnyDesk, подвергая риску пользователей AnyDesk, особенно ИТ-администраторов. Эти учетные данные могут использоваться в целевых фишинговых кампаниях, когда киберпреступники обманом заставляют пользователей предоставлять конфиденциальную информацию или переходить по вредоносным ссылкам.
Чтобы снизить риск, AnyDesk отключил функцию входа в систему во время планового технического обслуживания, что, возможно, было сделано в качестве меры безопасности. Однако также важно отметить, что киберпреступники, знакомые с инцидентом, могут поспешить воспользоваться скомпрометированными учетными данными клиента, прежде чем они станут бесполезными.
Стоит упомянуть, что AnyDesk ранее подвергался злоупотреблениям со стороны групп вымогателей и мошенников для совершения мошеннических действий. Кроме того, пользователи мобильных устройств также становятся мишенями с помощью тактики социальной инженерии, способствующей краже онлайн-банкинга.
Продажа учетных данных клиентов AnyDesk в Темной сети привлекла внимание различных злоумышленников. Эти субъекты проявили интерес к использованию скомпрометированной информации для таких действий, как рассылка спама, кража онлайн-банкинга, компрометация деловой электронной почты и захват аккаунта.
Публикация этих учетных данных в Темной сети представляет значительную угрозу для потребителей и конечных пользователей предприятий. Риски, связанные с этим развитием, варьируются от дальнейших мошеннических кампаний до целенаправленного фишинга и других вредоносных действий в киберпространстве.
Служба безопасности оперативно проинформировала AnyDesk о ситуации и уведомила множество потребителей и предприятий, чьи учетные данные были раскрыты в Темной сети. Интересно отметить, что этот инцидент произошел вскоре после того, как Cloudflare, Microsoft и Hewlett Packard Enterprise раскрыли инциденты кибербезопасности, связанные с предполагаемым злоумышленником из национального государства, известным как Midnight Blizzard/Nobelium. Это наблюдение повышает вероятность того, что может существовать размытая грань между киберпреступностью и деятельностью национального государства, причем последнее потенциально маскируется под киберпреступных субъектов, действующих в "Темной паутине".
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что AnyDesk, поставщик программного обеспечения для удаленных рабочих столов, подвергся кибератаке, которая привела к компрометации учетных данных клиентов. Эти учетные данные продаются в Темной сети, создавая угрозу для пользователей AnyDesk, особенно ИТ-администраторов. Скомпрометированные учетные данные могут быть использованы для целевых фишинговых кампаний и других вредоносных действий, таких как рассылка спама, кража онлайн-банкинга, компрометация деловой электронной почты и захват учетной записи. Компания Resecurity, занимающаяся кибербезопасностью, уведомила AnyDesk и пострадавших клиентов о ситуации. Этот инцидент произошел примерно в то же время, что и другие инциденты в области кибербезопасности, связанные с предполагаемыми нападениями со стороны национальных государств, что позволяет предположить потенциальное совпадение между киберпреступностью и деятельностью национальных государств.
-----
2 февраля 2024 года компания AnyDesk, поставщик программного обеспечения для удаленных рабочих столов, подверглась кибератаке, которая скомпрометировала их производственные системы. Компания Resecurity, занимающаяся кибербезопасностью, выявила двух участников атаки, один из которых использовал псевдоним "Jobaaaaa". Было установлено, что этот конкретный участник предлагал учетные данные клиентов AnyDesk для продажи в Даркнете.
Скомпрометированные учетные данные клиента предоставляют доступ к клиентскому порталу AnyDesk, подвергая риску пользователей AnyDesk, особенно ИТ-администраторов. Эти учетные данные могут использоваться в целевых фишинговых кампаниях, когда киберпреступники обманом заставляют пользователей предоставлять конфиденциальную информацию или переходить по вредоносным ссылкам.
Чтобы снизить риск, AnyDesk отключил функцию входа в систему во время планового технического обслуживания, что, возможно, было сделано в качестве меры безопасности. Однако также важно отметить, что киберпреступники, знакомые с инцидентом, могут поспешить воспользоваться скомпрометированными учетными данными клиента, прежде чем они станут бесполезными.
Стоит упомянуть, что AnyDesk ранее подвергался злоупотреблениям со стороны групп вымогателей и мошенников для совершения мошеннических действий. Кроме того, пользователи мобильных устройств также становятся мишенями с помощью тактики социальной инженерии, способствующей краже онлайн-банкинга.
Продажа учетных данных клиентов AnyDesk в Темной сети привлекла внимание различных злоумышленников. Эти субъекты проявили интерес к использованию скомпрометированной информации для таких действий, как рассылка спама, кража онлайн-банкинга, компрометация деловой электронной почты и захват аккаунта.
Публикация этих учетных данных в Темной сети представляет значительную угрозу для потребителей и конечных пользователей предприятий. Риски, связанные с этим развитием, варьируются от дальнейших мошеннических кампаний до целенаправленного фишинга и других вредоносных действий в киберпространстве.
Служба безопасности оперативно проинформировала AnyDesk о ситуации и уведомила множество потребителей и предприятий, чьи учетные данные были раскрыты в Темной сети. Интересно отметить, что этот инцидент произошел вскоре после того, как Cloudflare, Microsoft и Hewlett Packard Enterprise раскрыли инциденты кибербезопасности, связанные с предполагаемым злоумышленником из национального государства, известным как Midnight Blizzard/Nobelium. Это наблюдение повышает вероятность того, что может существовать размытая грань между киберпреступностью и деятельностью национального государства, причем последнее потенциально маскируется под киберпреступных субъектов, действующих в "Темной паутине".