CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----
Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.
Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.
Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.
Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.
Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.
Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.
Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.
Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.
Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.
Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.
Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.
Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.
Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.
Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.
В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.
XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что был обнаружен новый ботнет под названием Smargaft, который использует смарт-цепочку Binance в качестве своего командно-контрольного сервера и использует преимущества технологии блокчейн. Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через прокси-сервер socks5. Это создает новую проблему для специалистов по кибербезопасности из-за использования смарт-контрактов и блокчейна для управления C2. Было замечено, что ботнет нацелен на устройства с различными архитектурами процессоров по всему миру, особенно в Китае, Польше, США, Германии и Франции. В статье подчеркивается необходимость усиленной идентификации и предотвращения возникающих киберугроз, таких как Smargaft, и поощряется сотрудничество в разработке эффективных стратегий борьбы с ними.
-----
Исследовательская группа по кибербезопасности XLab обнаружила новый ботнет под названием Smargaft.
Smargaft использует методы атаки, аналогичные ботнетам Mirai и Gafgyt, но сконструирован по-другому.
Smargaft использует Binance Smart Chain (BSC) в качестве своего сервера управления (C2) и распространяется с помощью сценариев оболочки.
Поставщики антивирусов ошибочно пометили Smargaft как Mirai, но он отличается от других и использует смарт-контракты Binance Smart Chain для своей инфраструктуры C2.
Smargaft специализируется на DDoS-атаках, выполнении системных команд и анонимных подключениях пользователей через socks5 proxy.
Он использует преимущества технологии блокчейн, в частности EtherHiding, для своего хостинга C2.
Использование смарт-контрактов и блокчейна для управления C2 представляет собой новую задачу для специалистов по кибербезопасности.
Binance Smart Chain - это блокчейн-платформа, аналогичная Ethereum, предназначенная для dApps и смарт-контрактов.
Smargaft использует смарт-контракты в смарт-цепочке Binance для хранения информации, связанной с C2, что затрудняет их запрет или удаление непосредственно из блокчейна.
Контрактный адрес ботнета Smargaft - 0xdf2208d4902aa1ec9a0957132ca86a4e1d40455b, и считается, что автор - россиянин.
Smargaft распространяется, используя известные уязвимости, и распространяет загрузчик для внедрения образца бота на целевые устройства.
Smargaft ориентирован на устройства с различными архитектурами процессоров, включая ARM, MIPS и X86/64.
Атаки Smargaft носят глобальный характер и не привязаны к какому-либо региону, при этом наиболее пострадавшими районами являются Китай, Польша, США, Германия и Франция.
Одновременные атаки несколькими ботнетами предполагают существование платформы DDoS, объединяющей различные ботнеты.
В статье обсуждаются технические детали, касающиеся реализации Smargaft, включая использование протокола JSON RPC, шифрование и дешифрование информации C2, стратегии сканирования и заражения, а также конкретные методы, используемые ботнетом.
XLab призывает к бдительности, усиленной идентификации и предотвращению возникающих киберугроз, таких как Smargaft.
#ParsedReport #CompletenessHigh
05-02-2024
Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package
https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710836d718d6699&chksm=eb3f7f9b7c2d9f7c2100ae4042ca2b6f455b7861453a14de70bdbb63aa85497ffa8a414a5ebc&scene=132&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool
Victims:
South korean national defense, Education, Energy, Government, Medical, Think tanks
Industry:
Government, Healthcare, Education, Energy
Geo:
Asia, Asian, Korean, Korea
ChatGPT TTPs:
T1204, T1566, T1189, T1204, T1064, T1134, T1059.003, T1053, T1140, T1045, have more...
IOCs:
Hash: 11
File: 8
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 7
Soft:
WeChat, Android
Algorithms:
base64, xor-cbc, md5, zip, sha512
Languages:
powershell
Platforms:
x86
05-02-2024
Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package
https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710836d718d6699&chksm=eb3f7f9b7c2d9f7c2100ae4042ca2b6f455b7861453a14de70bdbb63aa85497ffa8a414a5ebc&scene=132&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: High
Actors/Campaigns:
Kimsuky
Threats:
Watering_hole_technique
Harpoon
Vmprotect_tool
Victims:
South korean national defense, Education, Energy, Government, Medical, Think tanks
Industry:
Government, Healthcare, Education, Energy
Geo:
Asia, Asian, Korean, Korea
ChatGPT TTPs:
do not use without manual checkT1204, T1566, T1189, T1204, T1064, T1134, T1059.003, T1053, T1140, T1045, have more...
IOCs:
Hash: 11
File: 8
Command: 1
Email: 8
Registry: 1
Domain: 1
Url: 7
Soft:
WeChat, Android
Algorithms:
base64, xor-cbc, md5, zip, sha512
Languages:
powershell
Platforms:
x86
微信公众平台
软件安装包伪装下的Kimsuky(APT-Q-2)窃密行动
近期奇安信威胁情报中心发现一批以韩国软件公司SGA旗下产品安装程序为伪装的窃密攻击样本,样本运行后释放正常的安装包迷惑受害者,暗中执行经过VMProtect处理的恶意DLL,恶意DLL由Go语言实现,收集信息回传给攻击者,然后清除攻击痕迹。
CTT Report Hub
#ParsedReport #CompletenessHigh 05-02-2024 Kimsuky APT-Q-2. Kimsuky (APT-Q-2) secret theft operation disguised as software installation package https://mp-weixin-qq-com.translate.goog/s?__biz=MzI2MDc2MDA4OA==&mid=2247509476&idx=1&sn=b0e09436095203b75710…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Kimsuky, организация Advanced Persistent Threat (APT), проводит кибератаки, нацеленные в первую очередь на Южную Корею. Они используют различные тактики, такие как социальная инженерия и распространение вредоносного ПО через пакеты установки законного программного обеспечения. Вредоносная программа, известная как TrollAgent, собирает конфиденциальную информацию с зараженных устройств и отправляет ее на сервер управления (C&C). Программа-бэкдор, связанная с Kimsuky, обладает аналогичным кодом и возможностями самоудаления. Пользователям важно быть осторожными с фишинговыми атаками и регулярно обновлять свои системы для защиты от действий Kimsuky.
-----
Kimsuky - это организация APT, нацеленная на Южную Корею.
Они сосредоточены на таких секторах, как национальная оборона, образование, энергетика, правительство, медицинское обслуживание и аналитические центры.
Kimsuky использует социальную инженерию, электронные письма harpoon и атаки на водопой для распространения вредоносных программ.
Их методы атаки нацелены как на платформы Windows, так и на Android.
Они маскируют образцы атак под программы установки продуктов корейской компании-разработчика программного обеспечения.
Вредоносная программа собирает информацию с зараженных устройств и отправляет ее обратно злоумышленникам, прежде чем стереть доказательства атаки.
Анализ выявляет связи между образцами атак и другой вредоносной программой, используемой в качестве бэкдора.
Программа бэкдора работает как одиночная и взаимодействует с сервером управления (C&C).
Как программное обеспечение для кражи секретов, так и бэкдор обладают возможностями перекрытия кода и самоудаления.
Кимсуки использует сложную тактику, чтобы избежать обнаружения и помешать анализу.
Пользователям следует остерегаться фишинговых атак, избегать подозрительных ссылок и вложений электронной почты, а также регулярно обновлять свои системы и создавать резервные копии важных файлов.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Kimsuky, организация Advanced Persistent Threat (APT), проводит кибератаки, нацеленные в первую очередь на Южную Корею. Они используют различные тактики, такие как социальная инженерия и распространение вредоносного ПО через пакеты установки законного программного обеспечения. Вредоносная программа, известная как TrollAgent, собирает конфиденциальную информацию с зараженных устройств и отправляет ее на сервер управления (C&C). Программа-бэкдор, связанная с Kimsuky, обладает аналогичным кодом и возможностями самоудаления. Пользователям важно быть осторожными с фишинговыми атаками и регулярно обновлять свои системы для защиты от действий Kimsuky.
-----
Kimsuky - это организация APT, нацеленная на Южную Корею.
Они сосредоточены на таких секторах, как национальная оборона, образование, энергетика, правительство, медицинское обслуживание и аналитические центры.
Kimsuky использует социальную инженерию, электронные письма harpoon и атаки на водопой для распространения вредоносных программ.
Их методы атаки нацелены как на платформы Windows, так и на Android.
Они маскируют образцы атак под программы установки продуктов корейской компании-разработчика программного обеспечения.
Вредоносная программа собирает информацию с зараженных устройств и отправляет ее обратно злоумышленникам, прежде чем стереть доказательства атаки.
Анализ выявляет связи между образцами атак и другой вредоносной программой, используемой в качестве бэкдора.
Программа бэкдора работает как одиночная и взаимодействует с сервером управления (C&C).
Как программное обеспечение для кражи секретов, так и бэкдор обладают возможностями перекрытия кода и самоудаления.
Кимсуки использует сложную тактику, чтобы избежать обнаружения и помешать анализу.
Пользователям следует остерегаться фишинговых атак, избегать подозрительных ссылок и вложений электронной почты, а также регулярно обновлять свои системы и создавать резервные копии важных файлов.
#ParsedReport #CompletenessLow
05-02-2024
BlueShell malware used to attack domestic Linux systems (2)
https://asec.ahnlab.com/ko/61293
Report completeness: Low
Actors/Campaigns:
Dalbit
Threats:
Blueshell
Geo:
Thailand, Chinese, Korea
ChatGPT TTPs:
T1016, T1059, T1083, T1071, T1213, T1022, T1485, T1219
IOCs:
File: 1
Hash: 12
IP: 2
Algorithms:
base64, xor, md5
Functions:
ReadMe, init
05-02-2024
BlueShell malware used to attack domestic Linux systems (2)
https://asec.ahnlab.com/ko/61293
Report completeness: Low
Actors/Campaigns:
Dalbit
Threats:
Blueshell
Geo:
Thailand, Chinese, Korea
ChatGPT TTPs:
do not use without manual checkT1016, T1059, T1083, T1071, T1213, T1022, T1485, T1219
IOCs:
File: 1
Hash: 12
IP: 2
Algorithms:
base64, xor, md5
Functions:
ReadMe, init
ASEC
국내 리눅스 시스템 공격에 사용되는 BlueShell 악성코드 (2) - ASEC
국내 리눅스 시스템 공격에 사용되는 BlueShell 악성코드 (2) ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 05-02-2024 BlueShell malware used to attack domestic Linux systems (2) https://asec.ahnlab.com/ko/61293 Report completeness: Low Actors/Campaigns: Dalbit Threats: Blueshell Geo: Thailand, Chinese, Korea ChatGPT TTPs: do…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа BlueShell использовалась в целевых атаках на системы Linux в Таиланде и Корее. Злоумышленник настроил BlueShell для работы только на определенных системах и продолжает создавать новые варианты вредоносного ПО. BlueShell - это вредоносная программа с бэкдором, которая может получать команды с сервера управления и выполнять вредоносные действия в зараженных системах. Вредоносная программа использует данные конфигурации, включая IP-адрес, номер порта и время ожидания. Настроенный вариант BlueShell не раскрывает командно-контрольный адрес или целевую систему, поскольку эта информация содержится в дроппере, который запускает вредоносное ПО. Была обнаружена новая вредоносная программа-дроппер под названием "top dropper", которая маскируется под команду Linux id и устанавливает как BlueShell dropper, так и бэкдор-вредоносное ПО. В блоге подчеркивается важность проверки уязвимостей, поддержания систем в актуальном состоянии и использования современного антивирусного программного обеспечения для предотвращения подобных угроз безопасности.
-----
Вредоносная программа BlueShell нацелена на системы Linux в Таиланде и Корее.
Вредоносная программа настроена для работы в определенных системах.
Злоумышленник продолжает создавать вариации вредоносного ПО BlueShell после публикации в блоге.
Вредоносная программа разработана на языке Go и поддерживает системы Windows, Linux и Mac.
Файл ReadMe указывает на китайского создателя.
BlueShell используется несколькими атакующими группами против внутренних целей.
BlueShell - это вредоносная программа с бэкдором, которая получает команды с сервера управления.
Функциональность включает удаленное выполнение команд, загрузку файлов и прокси-сервер Socks5.
BlueShell использует шифрование TLS, чтобы избежать обнаружения сети.
Данные конфигурации (IP-адрес сервера C&C, номер порта, время ожидания) обычно жестко закодированы, но вместо этого при недавних атаках декодируются из переменных окружения.
Имя хоста системы Linux используется для определения условий работы.
C&C-адрес BlueShell и информация о целевой системе содержатся в дроппере, который запускает вредоносную программу.
Новый дроппер под названием "top dropper" маскируется под команду Linux id и устанавливает как BlueShell dropper, так и вредоносное ПО с бэкдором.
Злоумышленник изменил двоичный файл команды id для сохранения.
Злоумышленник часто оставляет информацию о пути к исходному коду в двоичных файлах BlueShell, раскрывая свой рабочий путь.
С 2022 года в атаках использовались многочисленные экземпляры настроенной вредоносной программы BlueShell, в основном нацеленной на Южную Корею.
Поддержание систем в актуальном состоянии и использование обновленного антивирусного программного обеспечения имеет решающее значение для предотвращения заражения вредоносными программами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа BlueShell использовалась в целевых атаках на системы Linux в Таиланде и Корее. Злоумышленник настроил BlueShell для работы только на определенных системах и продолжает создавать новые варианты вредоносного ПО. BlueShell - это вредоносная программа с бэкдором, которая может получать команды с сервера управления и выполнять вредоносные действия в зараженных системах. Вредоносная программа использует данные конфигурации, включая IP-адрес, номер порта и время ожидания. Настроенный вариант BlueShell не раскрывает командно-контрольный адрес или целевую систему, поскольку эта информация содержится в дроппере, который запускает вредоносное ПО. Была обнаружена новая вредоносная программа-дроппер под названием "top dropper", которая маскируется под команду Linux id и устанавливает как BlueShell dropper, так и бэкдор-вредоносное ПО. В блоге подчеркивается важность проверки уязвимостей, поддержания систем в актуальном состоянии и использования современного антивирусного программного обеспечения для предотвращения подобных угроз безопасности.
-----
Вредоносная программа BlueShell нацелена на системы Linux в Таиланде и Корее.
Вредоносная программа настроена для работы в определенных системах.
Злоумышленник продолжает создавать вариации вредоносного ПО BlueShell после публикации в блоге.
Вредоносная программа разработана на языке Go и поддерживает системы Windows, Linux и Mac.
Файл ReadMe указывает на китайского создателя.
BlueShell используется несколькими атакующими группами против внутренних целей.
BlueShell - это вредоносная программа с бэкдором, которая получает команды с сервера управления.
Функциональность включает удаленное выполнение команд, загрузку файлов и прокси-сервер Socks5.
BlueShell использует шифрование TLS, чтобы избежать обнаружения сети.
Данные конфигурации (IP-адрес сервера C&C, номер порта, время ожидания) обычно жестко закодированы, но вместо этого при недавних атаках декодируются из переменных окружения.
Имя хоста системы Linux используется для определения условий работы.
C&C-адрес BlueShell и информация о целевой системе содержатся в дроппере, который запускает вредоносную программу.
Новый дроппер под названием "top dropper" маскируется под команду Linux id и устанавливает как BlueShell dropper, так и вредоносное ПО с бэкдором.
Злоумышленник изменил двоичный файл команды id для сохранения.
Злоумышленник часто оставляет информацию о пути к исходному коду в двоичных файлах BlueShell, раскрывая свой рабочий путь.
С 2022 года в атаках использовались многочисленные экземпляры настроенной вредоносной программы BlueShell, в основном нацеленной на Южную Корею.
Поддержание систем в актуальном состоянии и использование обновленного антивирусного программного обеспечения имеет решающее значение для предотвращения заражения вредоносными программами.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-02-2024 Smargaft Harnesses EtherHiding for Stealthy C2 Hosting. Background https://blog.xlab.qianxin.com/smargaft_abusing_binance-smart-contracts_en Report completeness: Medium Threats: Smargaft Etherhiding_technique…
Интересная штука (уже не уникальная) про С2 и смарт-контракты.
#ParsedReport #CompletenessMedium
06-02-2024
Python Info-stealer Distributed by Malicious Excel Document
https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document
Report completeness: Medium
Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer
Geo:
Vietnamese
ChatGPT TTPs:
T1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485
IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12
Soft:
Chrome, telegram
Algorithms:
zip, base64
Languages:
powershell, python
06-02-2024
Python Info-stealer Distributed by Malicious Excel Document
https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document
Report completeness: Medium
Threats:
Abobus_tool
Pyobfuscate_tool
Xworm_rat
Venomrat
Redline_stealer
Geo:
Vietnamese
ChatGPT TTPs:
do not use without manual checkT1193, T1140, T1204, T1064, T1070, T1086, T1486, T1485
IOCs:
File: 5
Registry: 1
IP: 5
Hash: 12
Soft:
Chrome, telegram
Algorithms:
zip, base64
Languages:
powershell, python
Fortinet Blog
Python Info-stealer Distributed by Malicious Excel Document
FortiGuard Labs has uncovered a malware campaign involving a python info-stealer distributed by Excel document. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessMedium 06-02-2024 Python Info-stealer Distributed by Malicious Excel Document https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document Report completeness: Medium Threats: Abobus_tool Pyobfuscate_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что FortiGuard Labs обнаружила программу-похититель информации в документе Excel, связанном с хакерской группой из Вьетнама. В статье подробно рассказывается об этапах атаки, целевых браузерах и наличии других связанных вредоносных кампаний. Хакеры используют простые загрузчики и эксплуатируют открытые платформы для распространения вредоносного ПО, оставляя "хлебные крошки" для идентификации.
-----
В январе 2024 года FortiGuard Labs обнаружила документ Excel, содержащий программу для кражи информации. Атака была связана с базирующейся во Вьетнаме группой, о которой ранее сообщалось в августе и сентябре 2023 года. В этой статье дается представление о различных этапах атаки и проливается свет на основную кампанию вредоносного ПО.
Начальный этап включает в себя документ Excel со скриптом VBA, который выполняет команду PowerShell для загрузки файла Windows Update.bat из filebin.net. Для облегчения правильного выполнения запутанного script.py загружаются дополнительные модули в виде Document.zip.
В отличие от предыдущей версии этого похитителя информации, о которой сообщалось в августе 2023 года, текущая script.py фокусируется только на сборе файлов cookie и данных для входа в систему из различных браузеров. Он ориентирован на широкий спектр браузеров, включая популярные, такие как Chrome и Edge, а также браузеры, специфичные для местного вьетнамского рынка, такие как Cc Cc browser.
Более того, помимо файлов, используемых в качестве переносчиков инфекции, несколько других файлов имеют общие характеристики с этой кампанией. К ним относятся запутанные пакетные файлы и файлы VBScript, которые выполняют код PowerShell, аналогичный файлам Windows Update.bat и test.vbs. Эти дополнительные загрузчики привели к обнаружению большего количества репозиториев, связанных с хакерской группой. Некоторые из этих репозиториев также содержали вредоносное ПО, используемое в других кампаниях, таких как XWorm, VenomRat, RedLine и другие.
Хотя конкретный файл, упомянутый на рисунке 10, получить не удалось, его название дало ключ к использованию файлов cookie в качестве приманки. Кроме того, был найден другой документ Word, который содержал файлы cookie Facebook и вредоносный макрос в истории чата. Полезной нагрузкой в данном случае был XWorm, и его варианты также были идентифицированы в репозиториях GitHub, упомянутых в разделе "Злоупотребляемые открытые платформы".
Злоумышленники, стоящие за этой кампанией, используют стратегию использования простых загрузчиков и открытых платформ, чтобы избежать обнаружения. Однако эта тактика непреднамеренно дает "хлебные крошки" для идентификации хакерской группы. Информация, извлеченная из файлов, выявила существование других файлов, используемых в связанных кампаниях, а также платформ социальных сетей, используемых для распространения вредоносных программ. Такие платформы не только обеспечивают удобство для пользователей, но и часто используются злоумышленниками.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что FortiGuard Labs обнаружила программу-похититель информации в документе Excel, связанном с хакерской группой из Вьетнама. В статье подробно рассказывается об этапах атаки, целевых браузерах и наличии других связанных вредоносных кампаний. Хакеры используют простые загрузчики и эксплуатируют открытые платформы для распространения вредоносного ПО, оставляя "хлебные крошки" для идентификации.
-----
В январе 2024 года FortiGuard Labs обнаружила документ Excel, содержащий программу для кражи информации. Атака была связана с базирующейся во Вьетнаме группой, о которой ранее сообщалось в августе и сентябре 2023 года. В этой статье дается представление о различных этапах атаки и проливается свет на основную кампанию вредоносного ПО.
Начальный этап включает в себя документ Excel со скриптом VBA, который выполняет команду PowerShell для загрузки файла Windows Update.bat из filebin.net. Для облегчения правильного выполнения запутанного script.py загружаются дополнительные модули в виде Document.zip.
В отличие от предыдущей версии этого похитителя информации, о которой сообщалось в августе 2023 года, текущая script.py фокусируется только на сборе файлов cookie и данных для входа в систему из различных браузеров. Он ориентирован на широкий спектр браузеров, включая популярные, такие как Chrome и Edge, а также браузеры, специфичные для местного вьетнамского рынка, такие как Cc Cc browser.
Более того, помимо файлов, используемых в качестве переносчиков инфекции, несколько других файлов имеют общие характеристики с этой кампанией. К ним относятся запутанные пакетные файлы и файлы VBScript, которые выполняют код PowerShell, аналогичный файлам Windows Update.bat и test.vbs. Эти дополнительные загрузчики привели к обнаружению большего количества репозиториев, связанных с хакерской группой. Некоторые из этих репозиториев также содержали вредоносное ПО, используемое в других кампаниях, таких как XWorm, VenomRat, RedLine и другие.
Хотя конкретный файл, упомянутый на рисунке 10, получить не удалось, его название дало ключ к использованию файлов cookie в качестве приманки. Кроме того, был найден другой документ Word, который содержал файлы cookie Facebook и вредоносный макрос в истории чата. Полезной нагрузкой в данном случае был XWorm, и его варианты также были идентифицированы в репозиториях GitHub, упомянутых в разделе "Злоупотребляемые открытые платформы".
Злоумышленники, стоящие за этой кампанией, используют стратегию использования простых загрузчиков и открытых платформ, чтобы избежать обнаружения. Однако эта тактика непреднамеренно дает "хлебные крошки" для идентификации хакерской группы. Информация, извлеченная из файлов, выявила существование других файлов, используемых в связанных кампаниях, а также платформ социальных сетей, используемых для распространения вредоносных программ. Такие платформы не только обеспечивают удобство для пользователей, но и часто используются злоумышленниками.
#ParsedReport #CompletenessLow
06-02-2024
Dark Web Profile: CyberNiggers
https://socradar.io/dark-web-profile-cyberniggers
Report completeness: Low
Actors/Campaigns:
Cyberniggers (motivation: financially_motivated, hacktivism)
Threats:
Credential_dumping_technique
Industry:
Aerospace, Financial, Energy, Military, Government
Geo:
Serbian, Turkey, Africa, Russia, India, Russian
TTPs:
Tactics: 12
Technics: 12
Soft:
MSSQL
Algorithms:
exhibit
06-02-2024
Dark Web Profile: CyberNiggers
https://socradar.io/dark-web-profile-cyberniggers
Report completeness: Low
Actors/Campaigns:
Cyberniggers (motivation: financially_motivated, hacktivism)
Threats:
Credential_dumping_technique
Industry:
Aerospace, Financial, Energy, Military, Government
Geo:
Serbian, Turkey, Africa, Russia, India, Russian
TTPs:
Tactics: 12
Technics: 12
Soft:
MSSQL
Algorithms:
exhibit
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: CyberNiggers
At the center of this virtual tumult stands a racist threat group that has re-emerged with heightened potency—CyberNiggers...
CTT Report Hub
#ParsedReport #CompletenessLow 06-02-2024 Dark Web Profile: CyberNiggers https://socradar.io/dark-web-profile-cyberniggers Report completeness: Low Actors/Campaigns: Cyberniggers (motivation: financially_motivated, hacktivism) Threats: Credential_dumping_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что расистская группа CyberNiggers, набирают силу и участвуют в кибератаках и потенциальных нарушениях. Группа, возглавляемая известным членом IntelBroker, нацелилась на различные организации и скомпрометировала их, создавая угрозы национальной безопасности и вызывая такие последствия, как репутационный ущерб и юридические последствия. Понимание этих угроз и реагирование на них имеет решающее значение для защиты критически важной инфраструктуры, национальной безопасности и личной неприкосновенности частной жизни.
-----
CyberNiggers, расистская группа угроз, вновь появилась с возросшей активностью на обновленных форумах. Их деятельность, включая кибератаки и потенциальные нарушения, подчеркивает эволюционирующий характер цифровых угроз.
Группа привлекла к себе внимание за продажу доступа к скомпрометированным системам и кражу конфиденциальных данных. IntelBroker, видный участник, играет значительную роль в деятельности киберпреступников. Они нацелены на такие организации, как General Electric, Агентство перспективных исследовательских проектов в области обороны (DARPA), Weee Grocery Service, Colonial Pipeline, Autotrader, Volvo, отели Hilton и AT&T.
Последствия их взломов варьируются от ущерба репутации до юридических последствий и проблем национальной безопасности. Понимание тактики киберпреступников и роли IntelBroker имеет решающее значение для организаций, имеющих дело с этими угрозами. Мотивы группы в первую очередь финансовые, но причастность IntelBroker к громким атакам поднимает вопросы об их возможностях и мотивации.
Взлом General Electric потенциально раскрыл критически важные оборонные проекты и сотрудничество с DARPA, что представляет прямую угрозу национальной безопасности.
Пострадавшие организации могут столкнуться с различными последствиями, включая репутационный ущерб, финансовые потери, судебные иски и штрафные санкции регулирующих органов. Киберпреступники в первую очередь нацелены на США, но также включают другие страны, такие как Великобритания, Южная Африка, Индия и Турция. Россия, похоже, исключена из их целей.
Поскольку ландшафт кибербезопасности требует бдительности, сотрудничества и надежных мер безопасности, понимание таких групп, как киберугрозники, и реагирование на них становится решающим для защиты критически важной инфраструктуры, национальной безопасности и конфиденциальности личности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что расистская группа CyberNiggers, набирают силу и участвуют в кибератаках и потенциальных нарушениях. Группа, возглавляемая известным членом IntelBroker, нацелилась на различные организации и скомпрометировала их, создавая угрозы национальной безопасности и вызывая такие последствия, как репутационный ущерб и юридические последствия. Понимание этих угроз и реагирование на них имеет решающее значение для защиты критически важной инфраструктуры, национальной безопасности и личной неприкосновенности частной жизни.
-----
CyberNiggers, расистская группа угроз, вновь появилась с возросшей активностью на обновленных форумах. Их деятельность, включая кибератаки и потенциальные нарушения, подчеркивает эволюционирующий характер цифровых угроз.
Группа привлекла к себе внимание за продажу доступа к скомпрометированным системам и кражу конфиденциальных данных. IntelBroker, видный участник, играет значительную роль в деятельности киберпреступников. Они нацелены на такие организации, как General Electric, Агентство перспективных исследовательских проектов в области обороны (DARPA), Weee Grocery Service, Colonial Pipeline, Autotrader, Volvo, отели Hilton и AT&T.
Последствия их взломов варьируются от ущерба репутации до юридических последствий и проблем национальной безопасности. Понимание тактики киберпреступников и роли IntelBroker имеет решающее значение для организаций, имеющих дело с этими угрозами. Мотивы группы в первую очередь финансовые, но причастность IntelBroker к громким атакам поднимает вопросы об их возможностях и мотивации.
Взлом General Electric потенциально раскрыл критически важные оборонные проекты и сотрудничество с DARPA, что представляет прямую угрозу национальной безопасности.
Пострадавшие организации могут столкнуться с различными последствиями, включая репутационный ущерб, финансовые потери, судебные иски и штрафные санкции регулирующих органов. Киберпреступники в первую очередь нацелены на США, но также включают другие страны, такие как Великобритания, Южная Африка, Индия и Турция. Россия, похоже, исключена из их целей.
Поскольку ландшафт кибербезопасности требует бдительности, сотрудничества и надежных мер безопасности, понимание таких групп, как киберугрозники, и реагирование на них становится решающим для защиты критически важной инфраструктуры, национальной безопасности и конфиденциальности личности.
#ParsedReport #CompletenessLow
06-02-2024
Revenge RAT malware that operates fileless
https://asec.ahnlab.com/ko/61288
Report completeness: Low
Threats:
Revenge_rat
Trojan/win.generic.c4223332
Trojan/win.generic.c5583117
Dropper/win.generic.c5445718
Dropper/win.generic.r634030
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1564, T1107, T1059.001, T1023, T1553.002, T1550.002, T1105, T1083, T1082, T1113, have more...
IOCs:
File: 10
Domain: 1
Hash: 10
Soft:
Windows Explorer, Windows Defender
Algorithms:
base64, md5, des
Languages:
powershell
06-02-2024
Revenge RAT malware that operates fileless
https://asec.ahnlab.com/ko/61288
Report completeness: Low
Threats:
Revenge_rat
Trojan/win.generic.c4223332
Trojan/win.generic.c5583117
Dropper/win.generic.c5445718
Dropper/win.generic.r634030
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1564, T1107, T1059.001, T1023, T1553.002, T1550.002, T1105, T1083, T1082, T1113, have more...
IOCs:
File: 10
Domain: 1
Hash: 10
Soft:
Windows Explorer, Windows Defender
Algorithms:
base64, md5, des
Languages:
powershell
ASEC
Fileless로 동작하는 Revenge RAT 악성코드 - ASEC
Fileless로 동작하는 Revenge RAT 악성코드 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 06-02-2024 Revenge RAT malware that operates fileless https://asec.ahnlab.com/ko/61288 Report completeness: Low Threats: Revenge_rat Trojan/win.generic.c4223332 Trojan/win.generic.c5583117 Dropper/win.generic.c5445718 Dr…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что ASEC обнаружила новое вредоносное ПО под названием Revenge RAT, которое распространяется злоумышленниками. Злоумышленники используют методы обмана, такие как обертывание вредоносного ПО вокруг обычных инструментов и сокрытие его от обнаружения. Они также используют маскировку, методы уклонения и операции без файлов, чтобы обойти антивирусное обнаружение. Вредоносная программа собирает пользовательские данные и передает их на сервер управления. Это открытие подчеркивает необходимость принятия строгих мер кибербезопасности для обнаружения таких угроз и противодействия им.
-----
ASEC обнаружила новую вредоносную программу под названием Revenge RAT.
Злоумышленник маскирует вредоносную программу, оборачивая ее вокруг обычного инструмента.
Во время атаки злоумышленник одновременно запускает обычные инструменты и вредоносные файлы.
Вредоносный файл Setup.exe скрыт из проводника Windows, чтобы сделать его невидимым для пользователя.
Злоумышленник создает блог, содержащий скрытый вредоносный файл для обмена данными между командами и контролем (C2).
Злоумышленник извлекает и декодирует значения из HTML-файла, чтобы получить дополнительный вредоносный код.
Альтернативный адрес C2 подготавливается на случай, если исходный адрес заблокирован.
Вредоносная программа Revenge RAT работает в памяти, собирая и передавая пользовательские данные на C2.
Злоумышленник использует методы уклонения, чтобы обойти антивирусное обнаружение, включая уклонение от CMSTP.
Файлы исключений защитника Windows используются для регистрации вредоносных файлов в процессе атаки.
Было идентифицировано несколько файловых хэшей, связанных с атакой.
Это открытие подчеркивает важность эффективных мер кибербезопасности для обнаружения и смягчения возникающих угроз со стороны вредоносных программ.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея из текста заключается в том, что ASEC обнаружила новое вредоносное ПО под названием Revenge RAT, которое распространяется злоумышленниками. Злоумышленники используют методы обмана, такие как обертывание вредоносного ПО вокруг обычных инструментов и сокрытие его от обнаружения. Они также используют маскировку, методы уклонения и операции без файлов, чтобы обойти антивирусное обнаружение. Вредоносная программа собирает пользовательские данные и передает их на сервер управления. Это открытие подчеркивает необходимость принятия строгих мер кибербезопасности для обнаружения таких угроз и противодействия им.
-----
ASEC обнаружила новую вредоносную программу под названием Revenge RAT.
Злоумышленник маскирует вредоносную программу, оборачивая ее вокруг обычного инструмента.
Во время атаки злоумышленник одновременно запускает обычные инструменты и вредоносные файлы.
Вредоносный файл Setup.exe скрыт из проводника Windows, чтобы сделать его невидимым для пользователя.
Злоумышленник создает блог, содержащий скрытый вредоносный файл для обмена данными между командами и контролем (C2).
Злоумышленник извлекает и декодирует значения из HTML-файла, чтобы получить дополнительный вредоносный код.
Альтернативный адрес C2 подготавливается на случай, если исходный адрес заблокирован.
Вредоносная программа Revenge RAT работает в памяти, собирая и передавая пользовательские данные на C2.
Злоумышленник использует методы уклонения, чтобы обойти антивирусное обнаружение, включая уклонение от CMSTP.
Файлы исключений защитника Windows используются для регистрации вредоносных файлов в процессе атаки.
Было идентифицировано несколько файловых хэшей, связанных с атакой.
Это открытие подчеркивает важность эффективных мер кибербезопасности для обнаружения и смягчения возникающих угроз со стороны вредоносных программ.
