CTT Report Hub
#ParsedReport #CompletenessLow 02-02-2024 APT-K-47 organization uses new Trojan tools to launch secret-stealing attacks https://paper.seebug.org/3115 Report completeness: Low Actors/Campaigns: Mysterious_elephant Sidewinder Confucius Bitter Threats: Orpcbackdoor…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-K-47, группа APT, действующая в Южной Азии, использует социальную инженерию и фишинговые атаки против таких стран, как Россия, Пакистан, Бангладеш и Соединенные Штаты. В основном они полагаются на инструмент ORPCBackdoor для удаленного управления компьютером жертвы, но недавно начали использовать нераскрытую троянскую программу WalkerShell. Они также используют другие вредоносные программы, такие как DemoTrySpy и NixBackdoor. Анализ высвечивает изменение в их стратегии атак и подчеркивает важность внедрения строгих мер безопасности для снижения рисков.
-----
APT-K-47, также известная как Mysterious Elephant, является группой APT, действующей в Южной Азии. Она имеет сходство в методах и тактике с другими группами APT в регионе, такими как Sidewinder, Confucius и Bitter. В качестве методов атаки группа в основном использует социальную инженерию и фишинговые атаки. Их предпочтительные векторы атак включают CHM и документы об уязвимостях, а также использование уязвимостей программного обеспечения WinRAR. APT-K-47 нацелен на такие страны, как Россия, Пакистан, Бангладеш и Соединенные Штаты.
Основным инструментом, используемым APT-K-47, является ORPCBackdoor, который позволяет им получить удаленный контроль над машиной жертвы. Однако была обнаружена новая волна атак APT-K-47 с использованием нераскрытых средств атаки. В этих недавних атаках группа использовала нераскрытую троянскую программу под названием WalkerShell наряду с другими полезными вредоносными программами. Этот троян загружает ORPCBackdoor и крадет информацию о пароле из браузера целевого компьютера, отправляя ее обратно на сервер управления.
Цепочка атак, связанных с недавними действиями APT-K-47, включает внедрение троянца Nimbo-C2 на контролируемый компьютер и загрузку инструмента DemoTrySpy через PowerShell. DemoTrySpy специально разработан для кражи записей паролей браузера Chrome. Украденные пароли упаковываются в локальные файлы и отправляются на выделенный сервер возврата файлов. На другом компьютере жертвы злоумышленник внедряет троянскую программу WalkerShell, которая перемещается по диску и извлекает интересующие файлы, отправляя их обратно на выделенный сервер хранения файлов. В то же время злоумышленник загружает инструмент DemoTrySpy через PowerShell, чтобы получить информацию об имени пользователя и пароле из браузера жертвы. Они также загружают и запускают ORPCBackdoor через PowerShell для долгосрочного удаленного управления компьютером жертвы.
WalkerShell, вредоносная программа, написанная на C#, при запуске получает имя хоста и логин пользователя целевого хоста. DemoTrySpy, с другой стороны, интегрирует код из проекта cJSON с открытым исходным кодом для анализа данных формата JSON, содержащих пользовательские данные браузера Chrome. NixBackdoor, еще одна вредоносная программа, используемая APT-K-47, подключается к определенному серверу для получения шелл-кода и выполнения его на компьютере жертвы.
Анализ показывает, что APT-K-47 изменила свою стратегию атаки, используя WalkerShell в качестве начального вектора вторжения вместо того, чтобы полагаться исключительно на ORPCBackdoor. Важно отметить, что эта организация была вовлечена во множество других атак в течение того же периода, что указывает на их активное присутствие. В дальнейших отчетах по анализу будут представлены подробности этих выводов.
Организациям и частным лицам крайне важно быть осведомленными о меняющейся тактике и методах, используемых такими субъектами угроз, как APT-K-47. Внедрение строгих мер безопасности, таких как просвещение по вопросам социальной инженерии и фишинговых атак, исправление уязвимостей и использование передовых инструментов обнаружения и предотвращения угроз, может помочь снизить риски, исходящие от таких групп.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что APT-K-47, группа APT, действующая в Южной Азии, использует социальную инженерию и фишинговые атаки против таких стран, как Россия, Пакистан, Бангладеш и Соединенные Штаты. В основном они полагаются на инструмент ORPCBackdoor для удаленного управления компьютером жертвы, но недавно начали использовать нераскрытую троянскую программу WalkerShell. Они также используют другие вредоносные программы, такие как DemoTrySpy и NixBackdoor. Анализ высвечивает изменение в их стратегии атак и подчеркивает важность внедрения строгих мер безопасности для снижения рисков.
-----
APT-K-47, также известная как Mysterious Elephant, является группой APT, действующей в Южной Азии. Она имеет сходство в методах и тактике с другими группами APT в регионе, такими как Sidewinder, Confucius и Bitter. В качестве методов атаки группа в основном использует социальную инженерию и фишинговые атаки. Их предпочтительные векторы атак включают CHM и документы об уязвимостях, а также использование уязвимостей программного обеспечения WinRAR. APT-K-47 нацелен на такие страны, как Россия, Пакистан, Бангладеш и Соединенные Штаты.
Основным инструментом, используемым APT-K-47, является ORPCBackdoor, который позволяет им получить удаленный контроль над машиной жертвы. Однако была обнаружена новая волна атак APT-K-47 с использованием нераскрытых средств атаки. В этих недавних атаках группа использовала нераскрытую троянскую программу под названием WalkerShell наряду с другими полезными вредоносными программами. Этот троян загружает ORPCBackdoor и крадет информацию о пароле из браузера целевого компьютера, отправляя ее обратно на сервер управления.
Цепочка атак, связанных с недавними действиями APT-K-47, включает внедрение троянца Nimbo-C2 на контролируемый компьютер и загрузку инструмента DemoTrySpy через PowerShell. DemoTrySpy специально разработан для кражи записей паролей браузера Chrome. Украденные пароли упаковываются в локальные файлы и отправляются на выделенный сервер возврата файлов. На другом компьютере жертвы злоумышленник внедряет троянскую программу WalkerShell, которая перемещается по диску и извлекает интересующие файлы, отправляя их обратно на выделенный сервер хранения файлов. В то же время злоумышленник загружает инструмент DemoTrySpy через PowerShell, чтобы получить информацию об имени пользователя и пароле из браузера жертвы. Они также загружают и запускают ORPCBackdoor через PowerShell для долгосрочного удаленного управления компьютером жертвы.
WalkerShell, вредоносная программа, написанная на C#, при запуске получает имя хоста и логин пользователя целевого хоста. DemoTrySpy, с другой стороны, интегрирует код из проекта cJSON с открытым исходным кодом для анализа данных формата JSON, содержащих пользовательские данные браузера Chrome. NixBackdoor, еще одна вредоносная программа, используемая APT-K-47, подключается к определенному серверу для получения шелл-кода и выполнения его на компьютере жертвы.
Анализ показывает, что APT-K-47 изменила свою стратегию атаки, используя WalkerShell в качестве начального вектора вторжения вместо того, чтобы полагаться исключительно на ORPCBackdoor. Важно отметить, что эта организация была вовлечена во множество других атак в течение того же периода, что указывает на их активное присутствие. В дальнейших отчетах по анализу будут представлены подробности этих выводов.
Организациям и частным лицам крайне важно быть осведомленными о меняющейся тактике и методах, используемых такими субъектами угроз, как APT-K-47. Внедрение строгих мер безопасности, таких как просвещение по вопросам социальной инженерии и фишинговых атак, исправление уязвимостей и использование передовых инструментов обнаружения и предотвращения угроз, может помочь снизить риски, исходящие от таких групп.
#ParsedReport #CompletenessMedium
02-02-2024
Exploring the Latest Mispadu Stealer Variant
https://unit42.paloaltonetworks.com/mispadu-infostealer-variant
Report completeness: Medium
Threats:
Mispadu
Passview_tool
Victims:
Mexican citizens, Financial institutions, Financial exchanges, Cryptocurrency-aligned organizations
Industry:
Financial
Geo:
Japanese, Brazil, Mexican, Latam, America, Emea, Mexico, Americas, Japan, Apac
CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
ChatGPT TTPs:
T1106.003, T1204.002, T1036.005, T1041, T1005
IOCs:
File: 5
Path: 3
Hash: 27
Domain: 8
Url: 2
Soft:
Microsoft Edge, Chrome, Google Chrome, Unix
Algorithms:
md5, aes, sha1, sha256, zip
Languages:
php, delphi, powershell, autoit
Platforms:
x64, x86
02-02-2024
Exploring the Latest Mispadu Stealer Variant
https://unit42.paloaltonetworks.com/mispadu-infostealer-variant
Report completeness: Medium
Threats:
Mispadu
Passview_tool
Victims:
Mexican citizens, Financial institutions, Financial exchanges, Cryptocurrency-aligned organizations
Industry:
Financial
Geo:
Japanese, Brazil, Mexican, Latam, America, Emea, Mexico, Americas, Japan, Apac
CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
ChatGPT TTPs:
do not use without manual checkT1106.003, T1204.002, T1036.005, T1041, T1005
IOCs:
File: 5
Path: 3
Hash: 27
Domain: 8
Url: 2
Soft:
Microsoft Edge, Chrome, Google Chrome, Unix
Algorithms:
md5, aes, sha1, sha256, zip
Languages:
php, delphi, powershell, autoit
Platforms:
x64, x86
Unit 42
Exploring the Latest Mispadu Stealer Variant
Evaluation of a new variant of Mispadu, a banking Trojan, highlights how infostealers evolve over time and can be hard to pin to past campaigns.
CTT Report Hub
#ParsedReport #CompletenessMedium 02-02-2024 Exploring the Latest Mispadu Stealer Variant https://unit42.paloaltonetworks.com/mispadu-infostealer-variant Report completeness: Medium Threats: Mispadu Passview_tool Victims: Mexican citizens, Financial institutions…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи Unit 42 обнаружили новый вариант банковского трояна Mispadu Stealer, который изначально предназначался для жертв в Бразилии и Мексике. Этот новый вариант специально нацелен на регионы и URL-адреса, связанные с гражданами Мексики. Исследователи обнаружили связь с семейством вредоносных программ Mispadu Stealer, которые с годами совершенствовали свои методы. Вредоносное ПО обычно распространяется посредством спам-кампаний с использованием вводящих в заблуждение URL-адресов и постоянно эволюционирует, чтобы избежать обнаружения.
-----
Исследователи подразделения 42 обнаружили активность, связанную с Mispadu Stealer, скрытным инфокрадом, который впервые появился в 2019 году. Исследователи обнаружили эту активность во время поиска уязвимости SmartScreen CVE-2023-36025 и идентифицировали новый вариант Mispadu Stealer, который нацелен на определенные регионы и URL-адреса, связанные с гражданами Мексики.
Mispadu Stealer - это банковский троян, написанный на Delphi, который первоначально предназначался для жертв в Бразилии и Мексике. Исследователи обнаружили образцы, которые однозначно приписываются Mispadu Stealer, после недавнего обнаружения уязвимости обхода Windows SmartScreen (CVE-2023-36025). Злоумышленники могут воспользоваться этой уязвимостью, чтобы обойти предупреждения SmartScreen, создав обработанный url-файл или гиперссылку, которая ссылается на сетевой ресурс, содержащий вредоносный двоичный файл.
Исследователи определяют, каким образом созданные URL-файлы распространялись через ZIP-архивы, возможно, в виде вложений к электронной почте. Исследовав образцы, они обнаружили связь с семейством вредоносных программ Mispadu Stealer, которые с годами совершенствовали свои методы. Они обнаружили исторические и недавние образцы Mispadu Stealer, которые нацелены на определенные регионы, вычисляют разницу во времени, взаимодействуют с историей браузеров с помощью SQLite и загружают данные через HTTP/S запросы.
Обнаруженная инфраструктура C2 и функциональность для кражи информации аналогичны предыдущим образцам Mispadu Stealer. Исследователи также заметили сходство между недавно проанализированной полезной нагрузкой и полезной нагрузкой из мексиканской кампании, о которой сообщила команда Axon. Однако существуют различия в цепочках выполнения, основных полезных нагрузках и использовании различных инструментов для извлечения учетных данных.
Mispadu Stealer известен тем, что нацелен на испано- и португалоязычных жертв и распространяется посредством спам-кампаний с использованием вводящих в заблуждение URL-адресов. Вредоносная программа постоянно совершенствует свои методы, чтобы избежать обнаружения. Хотя в первую очередь она ориентирована на страны Латинской Америки, эта новая кампания расширила свои цели на различные регионы, включая Мексику и другие европейские страны.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи Unit 42 обнаружили новый вариант банковского трояна Mispadu Stealer, который изначально предназначался для жертв в Бразилии и Мексике. Этот новый вариант специально нацелен на регионы и URL-адреса, связанные с гражданами Мексики. Исследователи обнаружили связь с семейством вредоносных программ Mispadu Stealer, которые с годами совершенствовали свои методы. Вредоносное ПО обычно распространяется посредством спам-кампаний с использованием вводящих в заблуждение URL-адресов и постоянно эволюционирует, чтобы избежать обнаружения.
-----
Исследователи подразделения 42 обнаружили активность, связанную с Mispadu Stealer, скрытным инфокрадом, который впервые появился в 2019 году. Исследователи обнаружили эту активность во время поиска уязвимости SmartScreen CVE-2023-36025 и идентифицировали новый вариант Mispadu Stealer, который нацелен на определенные регионы и URL-адреса, связанные с гражданами Мексики.
Mispadu Stealer - это банковский троян, написанный на Delphi, который первоначально предназначался для жертв в Бразилии и Мексике. Исследователи обнаружили образцы, которые однозначно приписываются Mispadu Stealer, после недавнего обнаружения уязвимости обхода Windows SmartScreen (CVE-2023-36025). Злоумышленники могут воспользоваться этой уязвимостью, чтобы обойти предупреждения SmartScreen, создав обработанный url-файл или гиперссылку, которая ссылается на сетевой ресурс, содержащий вредоносный двоичный файл.
Исследователи определяют, каким образом созданные URL-файлы распространялись через ZIP-архивы, возможно, в виде вложений к электронной почте. Исследовав образцы, они обнаружили связь с семейством вредоносных программ Mispadu Stealer, которые с годами совершенствовали свои методы. Они обнаружили исторические и недавние образцы Mispadu Stealer, которые нацелены на определенные регионы, вычисляют разницу во времени, взаимодействуют с историей браузеров с помощью SQLite и загружают данные через HTTP/S запросы.
Обнаруженная инфраструктура C2 и функциональность для кражи информации аналогичны предыдущим образцам Mispadu Stealer. Исследователи также заметили сходство между недавно проанализированной полезной нагрузкой и полезной нагрузкой из мексиканской кампании, о которой сообщила команда Axon. Однако существуют различия в цепочках выполнения, основных полезных нагрузках и использовании различных инструментов для извлечения учетных данных.
Mispadu Stealer известен тем, что нацелен на испано- и португалоязычных жертв и распространяется посредством спам-кампаний с использованием вводящих в заблуждение URL-адресов. Вредоносная программа постоянно совершенствует свои методы, чтобы избежать обнаружения. Хотя в первую очередь она ориентирована на страны Латинской Америки, эта новая кампания расширила свои цели на различные регионы, включая Мексику и другие европейские страны.
#ParsedReport #CompletenessLow
04-02-2024
Following the AnyDesk Incident: Customer Credentials Leaked and Published for Sale on the Dark Web
https://www.resecurity.com/blog/article/following-the-anydesk-incident-customer-credentials-leaked-and-published-for-sale-on-the-dark-web
Report completeness: Low
Actors/Campaigns:
Duke
Threats:
Anydesk_tool
Bec_technique
Victims:
Anydesk, Cloudflare, Microsoft, Hewlett packard enterprise
Industry:
Financial
Geo:
India
ChatGPT TTPs:
T1078, T1213, T1192, T1204, T1195
IOCs:
Domain: 1
Soft:
macOS
Platforms:
apple
04-02-2024
Following the AnyDesk Incident: Customer Credentials Leaked and Published for Sale on the Dark Web
https://www.resecurity.com/blog/article/following-the-anydesk-incident-customer-credentials-leaked-and-published-for-sale-on-the-dark-web
Report completeness: Low
Actors/Campaigns:
Duke
Threats:
Anydesk_tool
Bec_technique
Victims:
Anydesk, Cloudflare, Microsoft, Hewlett packard enterprise
Industry:
Financial
Geo:
India
ChatGPT TTPs:
do not use without manual checkT1078, T1213, T1192, T1204, T1195
IOCs:
Domain: 1
Soft:
macOS
Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessLow 04-02-2024 Following the AnyDesk Incident: Customer Credentials Leaked and Published for Sale on the Dark Web https://www.resecurity.com/blog/article/following-the-anydesk-incident-customer-credentials-leaked-and-published…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что AnyDesk, поставщик программного обеспечения для удаленных рабочих столов, подвергся кибератаке, которая привела к компрометации учетных данных клиентов. Эти учетные данные продаются в Темной сети, создавая угрозу для пользователей AnyDesk, особенно ИТ-администраторов. Скомпрометированные учетные данные могут быть использованы для целевых фишинговых кампаний и других вредоносных действий, таких как рассылка спама, кража онлайн-банкинга, компрометация деловой электронной почты и захват учетной записи. Компания Resecurity, занимающаяся кибербезопасностью, уведомила AnyDesk и пострадавших клиентов о ситуации. Этот инцидент произошел примерно в то же время, что и другие инциденты в области кибербезопасности, связанные с предполагаемыми нападениями со стороны национальных государств, что позволяет предположить потенциальное совпадение между киберпреступностью и деятельностью национальных государств.
-----
2 февраля 2024 года компания AnyDesk, поставщик программного обеспечения для удаленных рабочих столов, подверглась кибератаке, которая скомпрометировала их производственные системы. Компания Resecurity, занимающаяся кибербезопасностью, выявила двух участников атаки, один из которых использовал псевдоним "Jobaaaaa". Было установлено, что этот конкретный участник предлагал учетные данные клиентов AnyDesk для продажи в Даркнете.
Скомпрометированные учетные данные клиента предоставляют доступ к клиентскому порталу AnyDesk, подвергая риску пользователей AnyDesk, особенно ИТ-администраторов. Эти учетные данные могут использоваться в целевых фишинговых кампаниях, когда киберпреступники обманом заставляют пользователей предоставлять конфиденциальную информацию или переходить по вредоносным ссылкам.
Чтобы снизить риск, AnyDesk отключил функцию входа в систему во время планового технического обслуживания, что, возможно, было сделано в качестве меры безопасности. Однако также важно отметить, что киберпреступники, знакомые с инцидентом, могут поспешить воспользоваться скомпрометированными учетными данными клиента, прежде чем они станут бесполезными.
Стоит упомянуть, что AnyDesk ранее подвергался злоупотреблениям со стороны групп вымогателей и мошенников для совершения мошеннических действий. Кроме того, пользователи мобильных устройств также становятся мишенями с помощью тактики социальной инженерии, способствующей краже онлайн-банкинга.
Продажа учетных данных клиентов AnyDesk в Темной сети привлекла внимание различных злоумышленников. Эти субъекты проявили интерес к использованию скомпрометированной информации для таких действий, как рассылка спама, кража онлайн-банкинга, компрометация деловой электронной почты и захват аккаунта.
Публикация этих учетных данных в Темной сети представляет значительную угрозу для потребителей и конечных пользователей предприятий. Риски, связанные с этим развитием, варьируются от дальнейших мошеннических кампаний до целенаправленного фишинга и других вредоносных действий в киберпространстве.
Служба безопасности оперативно проинформировала AnyDesk о ситуации и уведомила множество потребителей и предприятий, чьи учетные данные были раскрыты в Темной сети. Интересно отметить, что этот инцидент произошел вскоре после того, как Cloudflare, Microsoft и Hewlett Packard Enterprise раскрыли инциденты кибербезопасности, связанные с предполагаемым злоумышленником из национального государства, известным как Midnight Blizzard/Nobelium. Это наблюдение повышает вероятность того, что может существовать размытая грань между киберпреступностью и деятельностью национального государства, причем последнее потенциально маскируется под киберпреступных субъектов, действующих в "Темной паутине".
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что AnyDesk, поставщик программного обеспечения для удаленных рабочих столов, подвергся кибератаке, которая привела к компрометации учетных данных клиентов. Эти учетные данные продаются в Темной сети, создавая угрозу для пользователей AnyDesk, особенно ИТ-администраторов. Скомпрометированные учетные данные могут быть использованы для целевых фишинговых кампаний и других вредоносных действий, таких как рассылка спама, кража онлайн-банкинга, компрометация деловой электронной почты и захват учетной записи. Компания Resecurity, занимающаяся кибербезопасностью, уведомила AnyDesk и пострадавших клиентов о ситуации. Этот инцидент произошел примерно в то же время, что и другие инциденты в области кибербезопасности, связанные с предполагаемыми нападениями со стороны национальных государств, что позволяет предположить потенциальное совпадение между киберпреступностью и деятельностью национальных государств.
-----
2 февраля 2024 года компания AnyDesk, поставщик программного обеспечения для удаленных рабочих столов, подверглась кибератаке, которая скомпрометировала их производственные системы. Компания Resecurity, занимающаяся кибербезопасностью, выявила двух участников атаки, один из которых использовал псевдоним "Jobaaaaa". Было установлено, что этот конкретный участник предлагал учетные данные клиентов AnyDesk для продажи в Даркнете.
Скомпрометированные учетные данные клиента предоставляют доступ к клиентскому порталу AnyDesk, подвергая риску пользователей AnyDesk, особенно ИТ-администраторов. Эти учетные данные могут использоваться в целевых фишинговых кампаниях, когда киберпреступники обманом заставляют пользователей предоставлять конфиденциальную информацию или переходить по вредоносным ссылкам.
Чтобы снизить риск, AnyDesk отключил функцию входа в систему во время планового технического обслуживания, что, возможно, было сделано в качестве меры безопасности. Однако также важно отметить, что киберпреступники, знакомые с инцидентом, могут поспешить воспользоваться скомпрометированными учетными данными клиента, прежде чем они станут бесполезными.
Стоит упомянуть, что AnyDesk ранее подвергался злоупотреблениям со стороны групп вымогателей и мошенников для совершения мошеннических действий. Кроме того, пользователи мобильных устройств также становятся мишенями с помощью тактики социальной инженерии, способствующей краже онлайн-банкинга.
Продажа учетных данных клиентов AnyDesk в Темной сети привлекла внимание различных злоумышленников. Эти субъекты проявили интерес к использованию скомпрометированной информации для таких действий, как рассылка спама, кража онлайн-банкинга, компрометация деловой электронной почты и захват аккаунта.
Публикация этих учетных данных в Темной сети представляет значительную угрозу для потребителей и конечных пользователей предприятий. Риски, связанные с этим развитием, варьируются от дальнейших мошеннических кампаний до целенаправленного фишинга и других вредоносных действий в киберпространстве.
Служба безопасности оперативно проинформировала AnyDesk о ситуации и уведомила множество потребителей и предприятий, чьи учетные данные были раскрыты в Темной сети. Интересно отметить, что этот инцидент произошел вскоре после того, как Cloudflare, Microsoft и Hewlett Packard Enterprise раскрыли инциденты кибербезопасности, связанные с предполагаемым злоумышленником из национального государства, известным как Midnight Blizzard/Nobelium. Это наблюдение повышает вероятность того, что может существовать размытая грань между киберпреступностью и деятельностью национального государства, причем последнее потенциально маскируется под киберпреступных субъектов, действующих в "Темной паутине".
#ParsedReport #CompletenessMedium
04-02-2024
VajraSpy: A Patchwork of espionage apps
https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps
Report completeness: Medium
Actors/Campaigns:
Dropping_elephant (motivation: cyber_criminal, cyber_espionage)
Fire_snake
Threats:
Vajraspy
Industry:
Government
Geo:
Malaysia, Ukraine, Pakistani, Pakistan, India
TTPs:
Tactics: 6
Technics: 13
IOCs:
Hash: 14
Domain: 13
IP: 3
Soft:
Android, WhatsApp, Telegram
Algorithms:
sha1
Languages:
java
04-02-2024
VajraSpy: A Patchwork of espionage apps
https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps
Report completeness: Medium
Actors/Campaigns:
Dropping_elephant (motivation: cyber_criminal, cyber_espionage)
Fire_snake
Threats:
Vajraspy
Industry:
Government
Geo:
Malaysia, Ukraine, Pakistani, Pakistan, India
TTPs:
Tactics: 6
Technics: 13
IOCs:
Hash: 14
Domain: 13
IP: 3
Soft:
Android, WhatsApp, Telegram
Algorithms:
sha1
Languages:
java
Welivesecurity
VajraSpy: A Patchwork of espionage apps
ESET researchers discovered several Android apps that posed as messaging tools but carried VajraSpy, a RAT used by the Patchwork APT group
CTT Report Hub
#ParsedReport #CompletenessMedium 04-02-2024 VajraSpy: A Patchwork of espionage apps https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps Report completeness: Medium Actors/Campaigns: Dropping_elephant (motivation: cyber_criminal…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи ESET раскрыли кампанию кибершпионажа, проводимую группой Patchwork APT. Они использовали троянские приложения для Android, содержащие VajraSpy RAT, для нацеливания на пользователей в основном в Пакистане. Вредоносная программа обладает различными возможностями, включая кражу контактов, файлов, журналов вызовов и SMS-сообщений, а также извлечение сообщений WhatsApp и Signal, запись телефонных звонков и фотосъемку. Троянские приложения были замаскированы под средства обмена сообщениями или новостное приложение и были найдены в Google Play и VirusTotal. Сервер управления, используемый злоумышленниками, был Firebase Hosting. Исследователи выявили две группы троянских приложений, причем приложения второй группы обладают более расширенными возможностями. Одно конкретное приложение под названием Rafaqat выдавало себя за новостное приложение и набрало более тысячи установок, прежде чем было удалено из Google Play.
-----
Исследователи ESET обнаружили кампанию кибершпионажа.
За кампанию отвечает группа Patchwork APT.
Использовались троянские приложения для Android, содержащие троянца удаленного доступа VajraSpy (RAT).
Было обнаружено 12 троянских приложений, из них 6 в Google Play и 6 в VirusTotal.
Приложения были замаскированы под средства обмена сообщениями или новостное приложение.
Код VajraSpy RAT был тайно выполнен в фоновом режиме.
VajraSpy обладает различными функциями шпионажа, включая кражу контактов, файлов, журналов вызовов и SMS-сообщений.
VajraSpy может извлекать сообщения WhatsApp и Signal, записывать телефонные звонки и делать снимки с помощью камеры.
Кампания в первую очередь была нацелена на пользователей в Пакистане.
Геолокация выявила 148 скомпрометированных устройств в Пакистане и Индии.
Троянские имена разработчиков приложений и экраны входа в систему ссылались на Пакистан.
Вредоносная программа VajraSpy была отнесена к нескольким группам APT.
Вредоносная программа маскируется под приложение для обмена сообщениями и извлекает пользовательские данные.
Согласованные имена классов предполагают общую кодовую базу для различных вариантов.
Троянские приложения требовали создания учетной записи путем проверки номера телефона, но создание учетной записи не имело отношения к запуску вредоносной программы.
Приложения использовали разрешения для перехвата сообщений, включая SMS-сообщения.
В качестве командно-контрольного сервера использовался хостинг Firebase.
Были обнаружены две группы троянских приложений, причем приложения второй группы обладают большими возможностями, включая перехват сообщений из WhatsApp, WhatsApp Business и Signal.
Одно конкретное троянское приложение под названием Rafaqat выдавало себя за новостное приложение и набрало более тысячи установок в Google Play, прежде чем было удалено.
Разработчик Мохаммад Ризван был связан с несколькими троянскими приложениями, но только одно было опубликовано в Google Play.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи ESET раскрыли кампанию кибершпионажа, проводимую группой Patchwork APT. Они использовали троянские приложения для Android, содержащие VajraSpy RAT, для нацеливания на пользователей в основном в Пакистане. Вредоносная программа обладает различными возможностями, включая кражу контактов, файлов, журналов вызовов и SMS-сообщений, а также извлечение сообщений WhatsApp и Signal, запись телефонных звонков и фотосъемку. Троянские приложения были замаскированы под средства обмена сообщениями или новостное приложение и были найдены в Google Play и VirusTotal. Сервер управления, используемый злоумышленниками, был Firebase Hosting. Исследователи выявили две группы троянских приложений, причем приложения второй группы обладают более расширенными возможностями. Одно конкретное приложение под названием Rafaqat выдавало себя за новостное приложение и набрало более тысячи установок, прежде чем было удалено из Google Play.
-----
Исследователи ESET обнаружили кампанию кибершпионажа.
За кампанию отвечает группа Patchwork APT.
Использовались троянские приложения для Android, содержащие троянца удаленного доступа VajraSpy (RAT).
Было обнаружено 12 троянских приложений, из них 6 в Google Play и 6 в VirusTotal.
Приложения были замаскированы под средства обмена сообщениями или новостное приложение.
Код VajraSpy RAT был тайно выполнен в фоновом режиме.
VajraSpy обладает различными функциями шпионажа, включая кражу контактов, файлов, журналов вызовов и SMS-сообщений.
VajraSpy может извлекать сообщения WhatsApp и Signal, записывать телефонные звонки и делать снимки с помощью камеры.
Кампания в первую очередь была нацелена на пользователей в Пакистане.
Геолокация выявила 148 скомпрометированных устройств в Пакистане и Индии.
Троянские имена разработчиков приложений и экраны входа в систему ссылались на Пакистан.
Вредоносная программа VajraSpy была отнесена к нескольким группам APT.
Вредоносная программа маскируется под приложение для обмена сообщениями и извлекает пользовательские данные.
Согласованные имена классов предполагают общую кодовую базу для различных вариантов.
Троянские приложения требовали создания учетной записи путем проверки номера телефона, но создание учетной записи не имело отношения к запуску вредоносной программы.
Приложения использовали разрешения для перехвата сообщений, включая SMS-сообщения.
В качестве командно-контрольного сервера использовался хостинг Firebase.
Были обнаружены две группы троянских приложений, причем приложения второй группы обладают большими возможностями, включая перехват сообщений из WhatsApp, WhatsApp Business и Signal.
Одно конкретное троянское приложение под названием Rafaqat выдавало себя за новостное приложение и набрало более тысячи установок в Google Play, прежде чем было удалено.
Разработчик Мохаммад Ризван был связан с несколькими троянскими приложениями, но только одно было опубликовано в Google Play.
#ParsedReport #CompletenessLow
05-02-2024
(APT)KimsukyDropbox. [Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis
https://mp-weixin-qq-com.translate.goog/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&idx=1&sn=22e56ee213d9e5229371ad3e082ebfab&chksm=ce461c1df931950b245134a250b6bf4bea489d75b556cb450548569c0c6d50d3bacc00a8efe0&scene=178&cur_album_id=2867627575890837505&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Kimsuky (motivation: cyber_criminal, cyber_espionage)
Scarcruft
Lazarus
Threats:
Xenorat
Victims:
South korean government agencies, Sejong institute, Korean ministry of foreign affairs, Korean institute for defense analysis (kida), Korean ministry of unification, North korea-related research fields, People related to the digital currency/financial field
Industry:
Financial, Government, Military
Geo:
Korea, Korean
ChatGPT TTPs:
T1566, T1566.001, T1492, T1105, T1059.003, T1059.001, T1048, T1071.001, T1132.001, T1090.003, have more...
IOCs:
Hash: 16
File: 9
Path: 1
IP: 1
Soft:
WeChat
Algorithms:
sha256, md5
Languages:
php, powershell
05-02-2024
(APT)KimsukyDropbox. [Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis
https://mp-weixin-qq-com.translate.goog/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&idx=1&sn=22e56ee213d9e5229371ad3e082ebfab&chksm=ce461c1df931950b245134a250b6bf4bea489d75b556cb450548569c0c6d50d3bacc00a8efe0&scene=178&cur_album_id=2867627575890837505&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Kimsuky (motivation: cyber_criminal, cyber_espionage)
Scarcruft
Lazarus
Threats:
Xenorat
Victims:
South korean government agencies, Sejong institute, Korean ministry of foreign affairs, Korean institute for defense analysis (kida), Korean ministry of unification, North korea-related research fields, People related to the digital currency/financial field
Industry:
Financial, Government, Military
Geo:
Korea, Korean
ChatGPT TTPs:
do not use without manual checkT1566, T1566.001, T1492, T1105, T1059.003, T1059.001, T1048, T1071.001, T1132.001, T1090.003, have more...
IOCs:
Hash: 16
File: 9
Path: 1
IP: 1
Soft:
Algorithms:
sha256, md5
Languages:
php, powershell
微信公众平台
【高级持续威胁(APT)】Kimsuky组织利用Dropbox云端实施行动分析
Kimsuky疑似是位于朝鲜半岛地区的威胁组织,国外研究人员发现了该组织针对韩国军事智库的大规模网络间谍活动,并引用恶意代码中词语“Kimsuky”对其命名。
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 (APT)KimsukyDropbox. [Advanced Persistent Threat (APT)\] Kimsuky organization uses Dropbox cloud to conduct operational analysis https://mp-weixin-qq-com.translate.goog/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247522061&id…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация Kimsuky APT, базирующаяся на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу, направленному против южнокорейских военных аналитических центров, правительственных учреждений и исследовательских институтов, связанных с Северной Кореей. Для осуществления своих атак они используют различные тактические приемы, такие как файлы HWP, файлы Lnk, исполняемые файлы и вредоносные макродокументы. Кимсуки был связан с организациями Lazarus, Konni и ScarCruft (Group123). В недавнем инциденте они использовали вредоносный файл LNK, замаскированный под PDF, для доставки последующей полезной нагрузки. Целью атаки была предполагаемая цифровая валюта/финансовая сфера. Kimsuky также использует команды без файлов и облачные сервисы для связи.
-----
Организация Kimsuky APT, расположенная на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу. В первую очередь она нацелена на южнокорейские военные аналитические центры, правительственные учреждения и исследовательские институты, связанные с Северной Кореей. Организация использует различные тактики, включая использование файлов HWP, файлов Lnk, исполняемых файлов и вредоносных макродокументов, для осуществления своих атак.
Зарубежные исследователи связывают Кимсуки с организациями Lazarus и Konni из-за сходства в истории и совпадения инфраструктуры с организацией ScarCruft (Group123). В недавнем инциденте Kimsuky отправил вредоносный файл LNK, замаскированный под PDF, своей цели, доставив последующую полезную нагрузку. Файл был назван "-100(2)" и переведен как "Конспекты лекций по трейдингу Spartacus" - 100 долларов (второй выпуск), что указывает на предполагаемую цель, связанную с цифровой валютой/финансовой сферой.
За тот же период было обнаружено множество подозрительных документов, связанных с правительством, дипломатией, СМИ и финансированием в цифровой валюте. Специфика одного вредоносного файла LNK в этом инциденте показала, что в нем использовались команды PowerShell с несколькими пробелами в качестве заголовка, что затрудняло пользователям обнаружение любого подозрительного поведения. Кроме того, исследователи обнаружили связанный пакет образцов атакующей активности, связанный с URL-адресом "http://122.155.191.33/temp/clientx64.bin", который, как было подтверждено, является компонентом дистанционного управления с открытым исходным кодом "xeno-rat".
Загруженная последующая полезная нагрузка "info_ps.bin" представляла собой сценарий PowerShell, предназначенный для сбора базовой информации о целевой машине. Сравнив структуру URL, выполняемые компоненты и другие факторы, исследователи пришли к выводу, что это действие было инициировано организацией Kimsuky. В то время как Kimsuky обычно использует файлы Lnk в качестве исходного вектора атаки, для выполнения своих задач он использует команды без файлов, такие как VBS и PowerShell. Примечательно, что этот инцидент также выявил использование облачных сервисов для связи, метод, который часто ассоциируется с организацией Group123 (ScarCruft).
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что организация Kimsuky APT, базирующаяся на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу, направленному против южнокорейских военных аналитических центров, правительственных учреждений и исследовательских институтов, связанных с Северной Кореей. Для осуществления своих атак они используют различные тактические приемы, такие как файлы HWP, файлы Lnk, исполняемые файлы и вредоносные макродокументы. Кимсуки был связан с организациями Lazarus, Konni и ScarCruft (Group123). В недавнем инциденте они использовали вредоносный файл LNK, замаскированный под PDF, для доставки последующей полезной нагрузки. Целью атаки была предполагаемая цифровая валюта/финансовая сфера. Kimsuky также использует команды без файлов и облачные сервисы для связи.
-----
Организация Kimsuky APT, расположенная на Корейском полуострове, подозревается в причастности к крупномасштабному кибершпионажу. В первую очередь она нацелена на южнокорейские военные аналитические центры, правительственные учреждения и исследовательские институты, связанные с Северной Кореей. Организация использует различные тактики, включая использование файлов HWP, файлов Lnk, исполняемых файлов и вредоносных макродокументов, для осуществления своих атак.
Зарубежные исследователи связывают Кимсуки с организациями Lazarus и Konni из-за сходства в истории и совпадения инфраструктуры с организацией ScarCruft (Group123). В недавнем инциденте Kimsuky отправил вредоносный файл LNK, замаскированный под PDF, своей цели, доставив последующую полезную нагрузку. Файл был назван "-100(2)" и переведен как "Конспекты лекций по трейдингу Spartacus" - 100 долларов (второй выпуск), что указывает на предполагаемую цель, связанную с цифровой валютой/финансовой сферой.
За тот же период было обнаружено множество подозрительных документов, связанных с правительством, дипломатией, СМИ и финансированием в цифровой валюте. Специфика одного вредоносного файла LNK в этом инциденте показала, что в нем использовались команды PowerShell с несколькими пробелами в качестве заголовка, что затрудняло пользователям обнаружение любого подозрительного поведения. Кроме того, исследователи обнаружили связанный пакет образцов атакующей активности, связанный с URL-адресом "http://122.155.191.33/temp/clientx64.bin", который, как было подтверждено, является компонентом дистанционного управления с открытым исходным кодом "xeno-rat".
Загруженная последующая полезная нагрузка "info_ps.bin" представляла собой сценарий PowerShell, предназначенный для сбора базовой информации о целевой машине. Сравнив структуру URL, выполняемые компоненты и другие факторы, исследователи пришли к выводу, что это действие было инициировано организацией Kimsuky. В то время как Kimsuky обычно использует файлы Lnk в качестве исходного вектора атаки, для выполнения своих задач он использует команды без файлов, такие как VBS и PowerShell. Примечательно, что этот инцидент также выявил использование облачных сервисов для связи, метод, который часто ассоциируется с организацией Group123 (ScarCruft).
#ParsedReport #CompletenessLow
05-02-2024
RAT malware being distributed disguised as gambling-related content
https://asec.ahnlab.com/ko/61250
Report completeness: Low
Threats:
Trojan/win.pwsx-gen
Vbkrypt
IOCs:
Hash: 9
Url: 1
IP: 2
Algorithms:
md5
Languages:
powershell
05-02-2024
RAT malware being distributed disguised as gambling-related content
https://asec.ahnlab.com/ko/61250
Report completeness: Low
Threats:
Trojan/win.pwsx-gen
Vbkrypt
IOCs:
Hash: 9
Url: 1
IP: 2
Algorithms:
md5
Languages:
powershell
ASEC
도박 관련 내용으로 위장하여 유포 중인 RAT 악성코드 - ASEC
도박 관련 내용으로 위장하여 유포 중인 RAT 악성코드 ASEC
#ParsedReport #CompletenessMedium
05-02-2024
Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background
https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en
Report completeness: Medium
Threats:
Smargaft
Etherhiding_technique
Mirai
Bashlite
Upx_tool
Minix
Netstat_tool
Victims:
China, Poland, Usa, Germany, France
Industry:
Financial
Geo:
Usa, China, Poland, Russian, Germany, France
CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- t-mobile tm-ac1900 (3.0.0.4.376_3169)
- asus rt-ac68u firmware (3.0.0.4.374.4755, 3.0.0.4.374_4561, 3.0.0.4.374_4887)
- asus rt-ac68u (-)
CVE-2021-41653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tp-link tl-wr840n firmware (letl-wr840n\(eu\)_v5_171211)
CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)
CVE-2021-45653 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- netgear rbk352 firmware (<4.4.0.10)
- netgear rbr350 firmware (<4.4.0.10)
- netgear rbs350 firmware (<4.4.0.10)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1190, T1059.004, T1001.003, T1547.001, T1203, T1016, T1090.003
IOCs:
Coin: 2
File: 2
IP: 1
Crypto:
binance, ethereum
Algorithms:
md5
Functions:
of
Languages:
javascript
Platforms:
x64, mips, arm, x86
Links:
05-02-2024
Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background
https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en
Report completeness: Medium
Threats:
Smargaft
Etherhiding_technique
Mirai
Bashlite
Upx_tool
Minix
Netstat_tool
Victims:
China, Poland, Usa, Germany, France
Industry:
Financial
Geo:
Usa, China, Poland, Russian, Germany, France
CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- t-mobile tm-ac1900 (3.0.0.4.376_3169)
- asus rt-ac68u firmware (3.0.0.4.374.4755, 3.0.0.4.374_4561, 3.0.0.4.374_4887)
- asus rt-ac68u (-)
CVE-2021-41653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tp-link tl-wr840n firmware (letl-wr840n\(eu\)_v5_171211)
CVE-2020-8515 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)
CVE-2021-45653 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- netgear rbk352 firmware (<4.4.0.10)
- netgear rbr350 firmware (<4.4.0.10)
- netgear rbs350 firmware (<4.4.0.10)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1059.004, T1001.003, T1547.001, T1203, T1016, T1090.003
IOCs:
Coin: 2
File: 2
IP: 1
Crypto:
binance, ethereum
Algorithms:
md5
Functions:
of
Languages:
javascript
Platforms:
x64, mips, arm, x86
Links:
https://github.com/mcw0/PoC/blob/master/TVT-PoC.py?ref=blog.xlab.qianxin.com奇安信 X 实验室
Smargaft Harnesses EtherHiding for Stealthy C2 Hosting
The Smargaft botnet hosts its C2 via Binance Smart Contracts, showcasing another instance of EtherHiding.
Various signs indicate that the new dark magic has been unleashed. Stay Vigilant, Stay Safe.
Various signs indicate that the new dark magic has been unleashed. Stay Vigilant, Stay Safe.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----
Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.
Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.
Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.
Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.
Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.
Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.
Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.
Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.
Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.
Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.
Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.
Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.
Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.
Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.
В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.
XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----
Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.
Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.
Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.
Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.
Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.
Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.
Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.
Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.
Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.
Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.
Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.
Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.
Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.
Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.
В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.
XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.