CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Pony \| Fareit. _Overview https://rexorvc0.com/2024/02/04/Pony_Fareit Report completeness: Medium Actors/Campaigns: Cobalt Ta505 Ta544 Threats: Pony Process_injection_technique Process_hollowing_technique Upx_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
В тексте обсуждается Pony, сложная и давно существующая вредоносная программа, которая используется для кражи информации, распространения других вредоносных программ и работы в качестве ботнета. Она обычно используется преступными группами для кражи данных и получения финансовой выгоды, часто распространяется различными способами, такими как фишинговые кампании и поддельные программы. Pony взаимодействует с вредоносными серверами, использует удаление процессов для вставки кода в целевые процессы и позволяет удаленно управлять запуском дальнейших атак.
-----
В тексте обсуждается Pony, вредоносное ПО, которое используется уже более 10 лет и все еще обновляется и распространяется. В основном оно используется для кражи информации, запуска других вредоносных программ и в качестве ботнета. Pony был замечен в фишинговых кампаниях, наборах эксплойтов и поддельных программах. Он обычно используется преступными группами для кражи данных и зарабатывания денег. Вредоносное ПО обычно распространяется через документы или сжатые файлы, а также поддерживает постоянство с помощью вспомогательных файлов и внедряет код в легитимные .Сетевые инструменты. Pony взаимодействует с целевыми веб-сайтами после кражи данных и системной информации. Он использует прерывание процесса для вставки кода в целевые процессы и устанавливает связь с сервером управления. Вредоносной программой можно управлять удаленно для запуска дополнительных атак. Некоторые образцы Pony включают URL-адреса для связи с сервером C&C, часто размещаемые на эксплуатируемых законных веб-сайтах компаний.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
В тексте обсуждается Pony, сложная и давно существующая вредоносная программа, которая используется для кражи информации, распространения других вредоносных программ и работы в качестве ботнета. Она обычно используется преступными группами для кражи данных и получения финансовой выгоды, часто распространяется различными способами, такими как фишинговые кампании и поддельные программы. Pony взаимодействует с вредоносными серверами, использует удаление процессов для вставки кода в целевые процессы и позволяет удаленно управлять запуском дальнейших атак.
-----
В тексте обсуждается Pony, вредоносное ПО, которое используется уже более 10 лет и все еще обновляется и распространяется. В основном оно используется для кражи информации, запуска других вредоносных программ и в качестве ботнета. Pony был замечен в фишинговых кампаниях, наборах эксплойтов и поддельных программах. Он обычно используется преступными группами для кражи данных и зарабатывания денег. Вредоносное ПО обычно распространяется через документы или сжатые файлы, а также поддерживает постоянство с помощью вспомогательных файлов и внедряет код в легитимные .Сетевые инструменты. Pony взаимодействует с целевыми веб-сайтами после кражи данных и системной информации. Он использует прерывание процесса для вставки кода в целевые процессы и устанавливает связь с сервером управления. Вредоносной программой можно управлять удаленно для запуска дополнительных атак. Некоторые образцы Pony включают URL-адреса для связи с сервером C&C, часто размещаемые на эксплуатируемых законных веб-сайтах компаний.
#ParsedReport #CompletenessMedium
07-02-2024
Raspberry Robin Keeps Riding the Wave of Endless 1-Days
https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days
Report completeness: Medium
Actors/Campaigns:
Evil_corp
Ta505
Threats:
Raspberry_robin
Paexec_tool
CVEs:
CVE-2023-36802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.4851)
- microsoft windows 10 21h2 (<10.0.19044.3448)
- microsoft windows 10 22h2 (<10.0.19045.3448)
- microsoft windows 11 21h2 (<10.0.22000.2416)
- microsoft windows 11 22h2 (<10.0.22621.2275)
have more...
CVE-2023-29360 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1607 (<10.0.14393.5989)
- microsoft windows 10 1809 (<10.0.17763.4499)
- microsoft windows 10 21h2 (<10.0.19045.3087)
- microsoft windows 10 22h2 (<10.0.19045.3087)
- microsoft windows 11 21h2 (<10.0.22000.2057)
have more...
CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1909, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2016 (1909, 2004, 20h2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1068, T1547, T1055, T1027, T1562, T1090, T1218, T1036, T1574, T1210, have more...
IOCs:
File: 14
Registry: 1
Hash: 17
Url: 4
Soft:
Discord, Event Tracing for Windows, Remote Desktop Services, PsExec, Sysinternals
Wallets:
harmony_wallet
Algorithms:
rc4
Functions:
GetDefaultLangId
Win API:
NtQuerySystemInformation, UuidCreate, UuidToStringW, GetUserDefaultLangID, GetModuleHandleW, NtTraceEvent, NtSetInformationThread, AbortSystemShutdownW, WNDPROC, ShutdownBlockReasonCreate, have more...
07-02-2024
Raspberry Robin Keeps Riding the Wave of Endless 1-Days
https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days
Report completeness: Medium
Actors/Campaigns:
Evil_corp
Ta505
Threats:
Raspberry_robin
Paexec_tool
CVEs:
CVE-2023-36802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.4851)
- microsoft windows 10 21h2 (<10.0.19044.3448)
- microsoft windows 10 22h2 (<10.0.19045.3448)
- microsoft windows 11 21h2 (<10.0.22000.2416)
- microsoft windows 11 22h2 (<10.0.22621.2275)
have more...
CVE-2023-29360 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1607 (<10.0.14393.5989)
- microsoft windows 10 1809 (<10.0.17763.4499)
- microsoft windows 10 21h2 (<10.0.19045.3087)
- microsoft windows 10 22h2 (<10.0.19045.3087)
- microsoft windows 11 21h2 (<10.0.22000.2057)
have more...
CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1909, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2016 (1909, 2004, 20h2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1068, T1547, T1055, T1027, T1562, T1090, T1218, T1036, T1574, T1210, have more...
IOCs:
File: 14
Registry: 1
Hash: 17
Url: 4
Soft:
Discord, Event Tracing for Windows, Remote Desktop Services, PsExec, Sysinternals
Wallets:
harmony_wallet
Algorithms:
rc4
Functions:
GetDefaultLangId
Win API:
NtQuerySystemInformation, UuidCreate, UuidToStringW, GetUserDefaultLangID, GetModuleHandleW, NtTraceEvent, NtSetInformationThread, AbortSystemShutdownW, WNDPROC, ShutdownBlockReasonCreate, have more...
Check Point Research
Raspberry Robin Keeps Riding the Wave of Endless 1-Days - Check Point Research
Key Findings Introduction Raspberry Robin is a widely distributed worm first reported by Red Canary in 2021. Its capabilities and evasions in addition to its very active distribution made it one of the most intriguing malware out there. We at Check Point…
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Raspberry Robin Keeps Riding the Wave of Endless 1-Days https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days Report completeness: Medium Actors/Campaigns: Evil_corp Ta505…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа под названием Raspberry Robin - это очень сложный и эволюционирующий червь, который активно распространяется с 2021 года. Он связан с различными группами киберпреступников и демонстрирует расширенные возможности, такие как использование новых эксплойтов до публичного раскрытия, изменение методов коммуникации, применение различных тактик повышения привилегий и использование методов уклонения, чтобы избежать обнаружения.
-----
В тексте обсуждается поведение и тактика вредоносного ПО, известного как Raspberry Robin, которое является широко распространенным червем, активно распространяющимся с 2021 года. Было замечено, что Raspberry Robin использует новые эксплойты 1-day LPE, что указывает на доступ к продавцу эксплойтов или возможность активной разработки эксплойтов. Червь постоянно развивается, добавляя новые функции и методы уклонения, чтобы улучшить свои возможности скрытности.
Raspberry Robin был связан с различными группами киберпреступников и служит посредником первоначального доступа для развертывания дополнительных вредоносных программ. Вредоносная программа была связана с использованием уязвимостей, таких как CVE-2023-36802 и CVE-2023-29360, в целях повышения привилегий. Он также продемонстрировал способность изменять свои методы коммуникации, тактику боковых перемещений и обходить механизмы обнаружения, чтобы избежать поведенческих сигнатур, основанных на предыдущих версиях.
Вредоносная программа использует различные методы повышения привилегий, такие как использование эксплойтов kernel LPE, специфичных для уязвимых версий Windows и номеров сборки. Она внедряет уникальные загрузчики в законные компоненты Windows для выполнения эксплойтов. Связь между Raspberry Robin и ее командно-контрольными серверами осуществляется с помощью модулей TOR, внедренных в такие процессы, как rundll32.exe.
Кроме того, Raspberry Robin использует несколько тактик уклонения, таких как проверка сред виртуальных машин, изменение стратегий бокового перемещения, уклонение от завершения работы системы с помощью специализированных процедур и обход мониторинга ETW путем исправления определенных API. Вредоносная программа использует PAExec.exe для бокового перемещения и избегает запуска в системах, защищенных унифицированным фильтром записи.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа под названием Raspberry Robin - это очень сложный и эволюционирующий червь, который активно распространяется с 2021 года. Он связан с различными группами киберпреступников и демонстрирует расширенные возможности, такие как использование новых эксплойтов до публичного раскрытия, изменение методов коммуникации, применение различных тактик повышения привилегий и использование методов уклонения, чтобы избежать обнаружения.
-----
В тексте обсуждается поведение и тактика вредоносного ПО, известного как Raspberry Robin, которое является широко распространенным червем, активно распространяющимся с 2021 года. Было замечено, что Raspberry Robin использует новые эксплойты 1-day LPE, что указывает на доступ к продавцу эксплойтов или возможность активной разработки эксплойтов. Червь постоянно развивается, добавляя новые функции и методы уклонения, чтобы улучшить свои возможности скрытности.
Raspberry Robin был связан с различными группами киберпреступников и служит посредником первоначального доступа для развертывания дополнительных вредоносных программ. Вредоносная программа была связана с использованием уязвимостей, таких как CVE-2023-36802 и CVE-2023-29360, в целях повышения привилегий. Он также продемонстрировал способность изменять свои методы коммуникации, тактику боковых перемещений и обходить механизмы обнаружения, чтобы избежать поведенческих сигнатур, основанных на предыдущих версиях.
Вредоносная программа использует различные методы повышения привилегий, такие как использование эксплойтов kernel LPE, специфичных для уязвимых версий Windows и номеров сборки. Она внедряет уникальные загрузчики в законные компоненты Windows для выполнения эксплойтов. Связь между Raspberry Robin и ее командно-контрольными серверами осуществляется с помощью модулей TOR, внедренных в такие процессы, как rundll32.exe.
Кроме того, Raspberry Robin использует несколько тактик уклонения, таких как проверка сред виртуальных машин, изменение стратегий бокового перемещения, уклонение от завершения работы системы с помощью специализированных процедур и обход мониторинга ETW путем исправления определенных API. Вредоносная программа использует PAExec.exe для бокового перемещения и избегает запуска в системах, защищенных унифицированным фильтром записи.
#ParsedReport #CompletenessLow
07-02-2024
Malware analysis report: Stealc stealer - part 2. Send Login Data Permalink
https://mssplab.github.io/threat-hunting/2024/02/01/malware-analysis-stealc-3.html
Report completeness: Low
Threats:
Stealc
Plymouth_actor
Qtox
Industry:
Entertainment, Financial
ChatGPT TTPs:
T1056, T1027, T1560, T1567, T1112, T1071, T1547, T1055
IOCs:
File: 16
Path: 4
Soft:
Chrome, Unix, Mozilla Firefox, component object model, discord, telegram, outlook, pidgin
Wallets:
metamask
Algorithms:
base64, aes, ecdsa
Functions:
mw_Decrypt_Using_AES, FindFirstFile, FindNextFile, ReadOnly
Win API:
SHGetFolderPathA, BcryptDecrypt, localalloc, Readfile, CreateFileA, CoCreateInstance, GetPath, RegQueryValueExA, CryptUnProtectData
Languages:
javascript
Links:
07-02-2024
Malware analysis report: Stealc stealer - part 2. Send Login Data Permalink
https://mssplab.github.io/threat-hunting/2024/02/01/malware-analysis-stealc-3.html
Report completeness: Low
Threats:
Stealc
Plymouth_actor
Qtox
Industry:
Entertainment, Financial
ChatGPT TTPs:
do not use without manual checkT1056, T1027, T1560, T1567, T1112, T1071, T1547, T1055
IOCs:
File: 16
Path: 4
Soft:
Chrome, Unix, Mozilla Firefox, component object model, discord, telegram, outlook, pidgin
Wallets:
metamask
Algorithms:
base64, aes, ecdsa
Functions:
mw_Decrypt_Using_AES, FindFirstFile, FindNextFile, ReadOnly
Win API:
SHGetFolderPathA, BcryptDecrypt, localalloc, Readfile, CreateFileA, CoCreateInstance, GetPath, RegQueryValueExA, CryptUnProtectData
Languages:
javascript
Links:
https://github.com/p3pperp0tts/malware\_decompiled\_code/blob/master/GrandSteal/GrandSteal.Client.Data/GrandSteal.Client.Data/Recovery/TelegramManager.cshttps://github.com/FarghlyMal/Decryptors-and-Extractors/tree/main/Stealc%20StealerMSSP Research Lab
Malware analysis report: Stealc stealer - part 3
This is a last part of our analysis report of Stealc, an information stealer promoted by its supposed developer Plymouth on Russian-language underground forums and sold as malware as a service since January 9, 2023.
CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2024 Malware analysis report: Stealc stealer - part 2. Send Login Data Permalink https://mssplab.github.io/threat-hunting/2024/02/01/malware-analysis-stealc-3.html Report completeness: Low Threats: Stealc Plymouth_actor…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В аналитическом отчете подробно описываются функциональность и поведение Stealc, вредоносного ПО для кражи информации, продаваемого на российских подпольных форумах с 9 января 2023 года, которое отправляет различные конфиденциальные данные на сервер командования и контроля, демонстрируя при этом скрытное поведение, чтобы избежать обнаружения.
-----
В аналитическом отчете обсуждается Stealc, программа для кражи информации, продаваемая как вредоносное ПО в качестве сервиса на русскоязычных подпольных форумах с 9 января 2023 года. Stealc извлекает имена пользователей, пароли, криптокошельки, файлы cookie, данные кредитных карт и расширения браузера на сервер C2. Он манипулирует файлами, чтобы избежать обнаружения, расшифровывает данные для извлечения, обрабатывает Opera и Chrome аналогично, но Firefox по-другому. Stealc также нацелен на учетные данные Steam, данные сеанса Telegram и файлы qTox *.ini. Он расшифровывает ключи реестра Outlook и файлы конфигурации Pidgin. Вредоносная программа проявляет скрытное поведение, удаляя и выполняя дополнительные этапы, за которыми следует удаление загруженных библиотек DLL, самоудаление с компьютера и завершение процесса.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В аналитическом отчете подробно описываются функциональность и поведение Stealc, вредоносного ПО для кражи информации, продаваемого на российских подпольных форумах с 9 января 2023 года, которое отправляет различные конфиденциальные данные на сервер командования и контроля, демонстрируя при этом скрытное поведение, чтобы избежать обнаружения.
-----
В аналитическом отчете обсуждается Stealc, программа для кражи информации, продаваемая как вредоносное ПО в качестве сервиса на русскоязычных подпольных форумах с 9 января 2023 года. Stealc извлекает имена пользователей, пароли, криптокошельки, файлы cookie, данные кредитных карт и расширения браузера на сервер C2. Он манипулирует файлами, чтобы избежать обнаружения, расшифровывает данные для извлечения, обрабатывает Opera и Chrome аналогично, но Firefox по-другому. Stealc также нацелен на учетные данные Steam, данные сеанса Telegram и файлы qTox *.ini. Он расшифровывает ключи реестра Outlook и файлы конфигурации Pidgin. Вредоносная программа проявляет скрытное поведение, удаляя и выполняя дополнительные этапы, за которыми следует удаление загруженных библиотек DLL, самоудаление с компьютера и завершение процесса.
#ParsedReport #CompletenessMedium
07-02-2024
Doppelganger Dilemma: New XPhase Clipper s Proliferation via Deceptive Crypto Sites and Cloned YouTube Videos
https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto-sites-and-cloned-youtube-videos
Report completeness: Medium
Threats:
Xphase
Sysupdate
Victims:
Cryptocurrency users
Industry:
Financial
Geo:
Russian, Russia, Indian
TTPs:
Tactics: 7
Technics: 7
IOCs:
IP: 1
Url: 6
Email: 1
Domain: 2
File: 3
Path: 4
Registry: 1
Hash: 7
Wallets:
metamask
Crypto:
bitcoin, ethereum, tether, dogecoin
Algorithms:
sha256, exhibit, zip
Functions:
get_clipboard_content, set_clipboard_content
Languages:
visual_basic
07-02-2024
Doppelganger Dilemma: New XPhase Clipper s Proliferation via Deceptive Crypto Sites and Cloned YouTube Videos
https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto-sites-and-cloned-youtube-videos
Report completeness: Medium
Threats:
Xphase
Sysupdate
Victims:
Cryptocurrency users
Industry:
Financial
Geo:
Russian, Russia, Indian
TTPs:
Tactics: 7
Technics: 7
IOCs:
IP: 1
Url: 6
Email: 1
Domain: 2
File: 3
Path: 4
Registry: 1
Hash: 7
Wallets:
metamask
Crypto:
bitcoin, ethereum, tether, dogecoin
Algorithms:
sha256, exhibit, zip
Functions:
get_clipboard_content, set_clipboard_content
Languages:
visual_basic
Cyble
XPhase Clipper Spreads Via Fake Crypto Sites, Videos
XPhase Clipper malware targets crypto users via fake sites and cloned YouTube videos, intercepting wallet addresses to steal funds. Stay informed with Cyble.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2024 Doppelganger Dilemma: New XPhase Clipper s Proliferation via Deceptive Crypto Sites and Cloned YouTube Videos https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Исследование Cyble выявило активную кампанию вредоносного ПО, нацеленную на пользователей криптовалюты через обманчивые веб-сайты, выдающие себя за законные криптоприложения, распространяющие полезную нагрузку clipper под названием XPhase. Задействованные субъекты угроз сосредотачиваются на перехвате и модификации адресов криптовалютных кошельков по всему миру, используя специализированные фишинговые сайты для индийских и российских пользователей, демонстрируя стойкость и адаптивность своих вредоносных схем. Цепочка заражения включает различные вредоносные исполняемые файлы и скрипты, ведущие к выполнению полезной нагрузки XPhase clipper. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостингом в России, и участники угроз повторно используют адреса электронной почты, связанные с предыдущими фишинговыми кампаниями. Кроме того, использование клонированных видеороликов с авторитетных каналов YouTube показывает изобретательность участников угроз в распространении своего вредоносного ПО.
-----
Исследование Cyble выявило активную вредоносную кампанию, нацеленную на пользователей криптовалют, распространяющую полезную нагрузку clipper под названием XPhase через обманчивые веб-сайты, выдающие себя за законные криптографические приложения, такие как Metamask, Wazirx, Lunoapp и Cryptonotify. Злоумышленники, стоящие за кампанией, сосредоточены на перехвате и изменении адресов криптовалютных кошельков для перенаправления средств под свой контроль. Они нацелены на пользователей по всему миру, но создали специальные фишинговые сайты для индийских и российских пользователей. Цепочка заражения включает zip-файл с вредоносными исполняемыми файлами, VB-скрипт и файлы пакетных сценариев, приводящие к выполнению полезной нагрузки XPhase clipper в виде DLL-файла. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостинг в России. TA повторно использовала адреса электронной почты, связанные с предыдущими фишинговыми кампаниями, демонстрируя настойчивость и адаптивность. Использование клонированных видеороликов с авторитетных каналов YouTube со значительной базой подписчиков демонстрирует изобретательность TA в распространении своих вредоносных схем.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Исследование Cyble выявило активную кампанию вредоносного ПО, нацеленную на пользователей криптовалюты через обманчивые веб-сайты, выдающие себя за законные криптоприложения, распространяющие полезную нагрузку clipper под названием XPhase. Задействованные субъекты угроз сосредотачиваются на перехвате и модификации адресов криптовалютных кошельков по всему миру, используя специализированные фишинговые сайты для индийских и российских пользователей, демонстрируя стойкость и адаптивность своих вредоносных схем. Цепочка заражения включает различные вредоносные исполняемые файлы и скрипты, ведущие к выполнению полезной нагрузки XPhase clipper. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостингом в России, и участники угроз повторно используют адреса электронной почты, связанные с предыдущими фишинговыми кампаниями. Кроме того, использование клонированных видеороликов с авторитетных каналов YouTube показывает изобретательность участников угроз в распространении своего вредоносного ПО.
-----
Исследование Cyble выявило активную вредоносную кампанию, нацеленную на пользователей криптовалют, распространяющую полезную нагрузку clipper под названием XPhase через обманчивые веб-сайты, выдающие себя за законные криптографические приложения, такие как Metamask, Wazirx, Lunoapp и Cryptonotify. Злоумышленники, стоящие за кампанией, сосредоточены на перехвате и изменении адресов криптовалютных кошельков для перенаправления средств под свой контроль. Они нацелены на пользователей по всему миру, но создали специальные фишинговые сайты для индийских и российских пользователей. Цепочка заражения включает zip-файл с вредоносными исполняемыми файлами, VB-скрипт и файлы пакетных сценариев, приводящие к выполнению полезной нагрузки XPhase clipper в виде DLL-файла. Вредоносные действия связаны с IP-адресом, управляемым Reg.Ru Хостинг в России. TA повторно использовала адреса электронной почты, связанные с предыдущими фишинговыми кампаниями, демонстрируя настойчивость и адаптивность. Использование клонированных видеороликов с авторитетных каналов YouTube со значительной базой подписчиков демонстрирует изобретательность TA в распространении своих вредоносных схем.
#ParsedReport #CompletenessLow
07-02-2024
KV-Botnet: Don t call it a Comeback
https://blog.lumen.com/kv-botnet-dont-call-it-a-comeback
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Threats:
Kv-botnet
Beacon
Victims:
Netgear prosafe devices
Industry:
Government
Geo:
Chinese, China
ChatGPT TTPs:
T1583, T1584, T1071, T1132, T1027, T1040, T1105, T1566, T1083, T1485, have more...
IOCs:
IP: 25
Domain: 1
Hash: 52
Algorithms:
sha1, sha256
Platforms:
arm
Links:
07-02-2024
KV-Botnet: Don t call it a Comeback
https://blog.lumen.com/kv-botnet-dont-call-it-a-comeback
Report completeness: Low
Actors/Campaigns:
Volt_typhoon
Threats:
Kv-botnet
Beacon
Victims:
Netgear prosafe devices
Industry:
Government
Geo:
Chinese, China
ChatGPT TTPs:
do not use without manual checkT1583, T1584, T1071, T1132, T1027, T1040, T1105, T1566, T1083, T1485, have more...
IOCs:
IP: 25
Domain: 1
Hash: 52
Algorithms:
sha1, sha256
Platforms:
arm
Links:
https://github.com/blacklotuslabs/IOCs/blob/main/KVbotnet\_IOCs.txtLumen Blog
KV-botnet: Don’t call it a comeback
Review Black Lotus Labs' findings on KV-botnet, used by China-based state actors for covert data transfer and espionage targeting U.S. infrastructure.
CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2024 KV-Botnet: Don t call it a Comeback https://blog.lumen.com/kv-botnet-dont-call-it-a-comeback Report completeness: Low Actors/Campaigns: Volt_typhoon Threats: Kv-botnet Beacon Victims: Netgear prosafe devices…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Black Lotus Labs из Lumen сообщила об использовании KV-ботнета спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по удалению, что привело к усилиям операторов по борьбе с этими действиями и восстановлению их контроля. Несмотря на попытки повторного заражения, активность ботнета снизилась, что подчеркивает сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов, и необходимость мер мониторинга и защиты.
-----
Лаборатория Black Lotus Labs из Lumen сообщила о том, что KV-ботнет используется спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по уничтожению в декабре 2023 года, что привело к усилиям операторов ботнета по борьбе с этими действиями и восстановлению их структуры командования и контроля. Операторы нацелились на повторную эксплуатацию устройств NetGear ProSafe, что привело к заметному воздействию на кластеры ботнета. Вмешательство Lumen Technologies и действия ФБР существенно повлияли на работу ботнета. Несмотря на попытки повторного заражения, активность ботнета снизилась, а некоторые кластеры стали инертными. В отчете указывается на сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов и брандмауэров, подчеркивается необходимость мониторинга и мер защиты от таких атак. Продолжаются усилия по анализу и смягчению последствий, направленные на противодействие рискам, связанным с KV-ботнетом и аналогичными угрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Black Lotus Labs из Lumen сообщила об использовании KV-ботнета спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по удалению, что привело к усилиям операторов по борьбе с этими действиями и восстановлению их контроля. Несмотря на попытки повторного заражения, активность ботнета снизилась, что подчеркивает сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов, и необходимость мер мониторинга и защиты.
-----
Лаборатория Black Lotus Labs из Lumen сообщила о том, что KV-ботнет используется спонсируемыми государством субъектами в Китае для шпионской деятельности, нацеленной на критически важную инфраструктуру США. ФБР провело операцию по уничтожению в декабре 2023 года, что привело к усилиям операторов ботнета по борьбе с этими действиями и восстановлению их структуры командования и контроля. Операторы нацелились на повторную эксплуатацию устройств NetGear ProSafe, что привело к заметному воздействию на кластеры ботнета. Вмешательство Lumen Technologies и действия ФБР существенно повлияли на работу ботнета. Несмотря на попытки повторного заражения, активность ботнета снизилась, а некоторые кластеры стали инертными. В отчете указывается на сохраняющуюся угрозу, исходящую от скомпрометированных маршрутизаторов и брандмауэров, подчеркивается необходимость мониторинга и мер защиты от таких атак. Продолжаются усилия по анализу и смягчению последствий, направленные на противодействие рискам, связанным с KV-ботнетом и аналогичными угрозами.
#ParsedReport #CompletenessMedium
08-02-2024
Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs?
https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Pyration
Threats:
Agent_tesla
Cloudeye
Formbook
Wannacry
Eternalblue_vuln
Dridex
Velvetsweatshop_technique
Burden
Industry:
Financial, Healthcare
Geo:
India, Russia, Turkey, Russian, Pakistan
CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
ChatGPT TTPs:
T1566.002, T1204.002, T1566.001, T1027, T1059.005, T1047, T1588.002, T1193, T1218, T1071.001, have more...
IOCs:
Hash: 9
File: 5
Soft:
Microsoft Office, Microsoft Word, Microsoft Excel
Wallets:
harmony_wallet
Algorithms:
xor, aes, zip
Win Services:
bits
Languages:
python
Links:
08-02-2024
Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs?
https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Pyration
Threats:
Agent_tesla
Cloudeye
Formbook
Wannacry
Eternalblue_vuln
Dridex
Velvetsweatshop_technique
Burden
Industry:
Financial, Healthcare
Geo:
India, Russia, Turkey, Russian, Pakistan
CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
ChatGPT TTPs:
do not use without manual checkT1566.002, T1204.002, T1566.001, T1027, T1059.005, T1047, T1588.002, T1193, T1218, T1071.001, have more...
IOCs:
Hash: 9
File: 5
Soft:
Microsoft Office, Microsoft Word, Microsoft Excel
Wallets:
harmony_wallet
Algorithms:
xor, aes, zip
Win Services:
bits
Languages:
python
Links:
https://github.com/decalage2/oletools/wiki/olevbahttps://github.com/decalage2/ViperMonkeyCheck Point Research
Maldocs of Word and Excel: Vigor of the Ages - Check Point Research
Research by: Raman Ladutska We chose a fantasy decoration style at certain points of the article to attract attention to the described problem. We hope that visualizing a fantasy adventure as a fight against the source of evil will transform the real world…
CTT Report Hub
#ParsedReport #CompletenessMedium 08-02-2024 Maldocs of Word and Excel: Vigor of the Ages. Still used by top cybercrime gangs? https://research.checkpoint.com/2024/maldocs-of-word-and-excel-vigor-of-the-ages Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году, нацеленных на прибыльные секторы, такие как финансы/банковское дело, правительство и здравоохранение. В нем освещаются проблемы обнаружения и пресечения этих угроз из-за короткого времени активности maldocs и обманной тактики, используемой для уклонения от обнаружения. Кроме того, в тексте обсуждается сложность шелл-кодов внутри maldocs, шифрование, защита паролем и постоянная угроза старых CVE в рисках кибербезопасности, связанных с maldocs.
-----
В тексте подчеркивается использование вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году. В нем упоминаются конкретные семейства вредоносных программ, такие как Gamaredon APT, Agent Tesla, GuLoader и Formbook, которые распространялись через maldocs. Операторы, стоящие за этими maldocs, фокусируются на таких прибыльных секторах, как финансы/банковское дело, государственное управление и здравоохранение. В тексте также подчеркивается сложность своевременного обнаружения и пресечения этих угроз, поскольку у maldocs короткое время активности, что затрудняет их обнаружение решениями безопасности. Кроме того, в нем обсуждаются уловки, используемые в maldocs для обмана как людей, так и автоматизированных систем, такие как использование удаленных шаблонов или ссылок без расширений, чтобы скрыть свои вредоносные намерения. Шелл-коды внутри maldocs выделены как сложные и запутанные, требующие детального анализа. Кроме того, в тексте исследуется использование шифрования и защиты паролем для затруднения анализа. В заключение статьи признается постоянная угроза, исходящая от старых CVE, и необходимость постоянной бдительности при устранении рисков кибербезопасности, связанных с maldocs.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в использовании вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году, нацеленных на прибыльные секторы, такие как финансы/банковское дело, правительство и здравоохранение. В нем освещаются проблемы обнаружения и пресечения этих угроз из-за короткого времени активности maldocs и обманной тактики, используемой для уклонения от обнаружения. Кроме того, в тексте обсуждается сложность шелл-кодов внутри maldocs, шифрование, защита паролем и постоянная угроза старых CVE в рисках кибербезопасности, связанных с maldocs.
-----
В тексте подчеркивается использование вредоносных документов (maldocs) для распространения различных известных семейств вредоносных программ в 2023 году. В нем упоминаются конкретные семейства вредоносных программ, такие как Gamaredon APT, Agent Tesla, GuLoader и Formbook, которые распространялись через maldocs. Операторы, стоящие за этими maldocs, фокусируются на таких прибыльных секторах, как финансы/банковское дело, государственное управление и здравоохранение. В тексте также подчеркивается сложность своевременного обнаружения и пресечения этих угроз, поскольку у maldocs короткое время активности, что затрудняет их обнаружение решениями безопасности. Кроме того, в нем обсуждаются уловки, используемые в maldocs для обмана как людей, так и автоматизированных систем, такие как использование удаленных шаблонов или ссылок без расширений, чтобы скрыть свои вредоносные намерения. Шелл-коды внутри maldocs выделены как сложные и запутанные, требующие детального анализа. Кроме того, в тексте исследуется использование шифрования и защиты паролем для затруднения анализа. В заключение статьи признается постоянная угроза, исходящая от старых CVE, и необходимость постоянной бдительности при устранении рисков кибербезопасности, связанных с maldocs.
#ParsedReport #CompletenessLow
08-02-2024
Unmasking the Dot Stealer
https://labs.k7computing.com/index.php/unmasking-the-dot-stealer
Report completeness: Low
Threats:
Dot-stealer
ChatGPT TTPs:
T1059, T1562.001, T1027, T1533, T1005, T1113, T1071.001, T1496, T1505, T1082, have more...
IOCs:
File: 4
Path: 1
Hash: 1
Soft:
Telegram
Algorithms:
zip
08-02-2024
Unmasking the Dot Stealer
https://labs.k7computing.com/index.php/unmasking-the-dot-stealer
Report completeness: Low
Threats:
Dot-stealer
ChatGPT TTPs:
do not use without manual checkT1059, T1562.001, T1027, T1533, T1005, T1113, T1071.001, T1496, T1505, T1082, have more...
IOCs:
File: 4
Path: 1
Hash: 1
Soft:
Telegram
Algorithms:
zip
K7 Labs
Unmasking the Dot Stealer
Recently we came across a tweet about DotStealer malware, and on observing its behavior we found it to be stealing […]
CTT Report Hub
#ParsedReport #CompletenessLow 08-02-2024 Unmasking the Dot Stealer https://labs.k7computing.com/index.php/unmasking-the-dot-stealer Report completeness: Low Threats: Dot-stealer ChatGPT TTPs: do not use without manual check T1059, T1562.001, T1027, T1533…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----
В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа DotStealer крадет конфиденциальную пользовательскую информацию, фильтрует ее через учетную запись Telegram, использует различные тактики, чтобы избежать обнаружения, такие как проверка на наличие изолированных сред, и отправляет украденные данные через Telegram. В нем подчеркивается важность защиты от атак вредоносных программ и рекомендуется использовать такое решение для обеспечения безопасности, как K7 Total Security.
-----
В тексте описывается поведение вредоносной программы DotStealer, которая крадет информацию о пользователях, такую как учетные данные для входа в систему, данные кредитной карты, системную информацию и данные браузера. Украденная информация выводится через учетную запись Telegram. Вредоносная программа создает новый каталог, используя имя пользователя, и копирует себя как temporallogger.exe. Она использует алгоритм Rot13 для расшифровки токена Telegram и идентификатора чата для входа в учетную запись. Вредоносная программа проверяет наличие контролируемых сред путем сравнения с черным списком перед запуском и завершает работу, если обнаруживает изолированную среду. Она также создает файл .bat для выполнения temporallogger.exe, удаляя при этом исходный файл вредоносной программы. Вредоносная программа собирает данные кредитной карты, URL-адреса для загрузки из браузера, данные cookie-файлов и делает скриншоты рабочего стола, которые отправляются через Telegram. Защита от атак вредоносных программ подчеркивается как важная, с рекомендацией использовать решение для обеспечения безопасности, такое как K7 Total Security.
#ParsedReport #CompletenessLow
08-02-2024
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker
Report completeness: Low
Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt
Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574
IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4
Soft:
Docker, curl, sudo, Unix, systemd, alpine
Algorithms:
base64, exhibit
Links:
08-02-2024
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker
Report completeness: Low
Actors/Campaigns:
Commando_cat
Unc2891
Teamtnt
Threats:
Tinyshell
Gs-netcat
Netcat_tool
Bpfdoor
Xmrig_miner
Cetus
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1552, T1562, T1070.004, T1059, T1547, T1027, T1047, T1574
IOCs:
IP: 2
Domain: 1
File: 14
Hash: 4
Soft:
Docker, curl, sudo, Unix, systemd, alpine
Algorithms:
base64, exhibit
Links:
https://github.com/creaktive/tshhttps://github.com/lukaszlach/commandohttps://github.com/cado-securityCadosecurity
The Nine Lives of Commando Cat: Analysing a Novel Malware Campaign Targeting Docker
Cado researchers have recently encountered a novel malware campaign, dubbed “Commando Cat”, targeting exposed Docker API endpoints.