#ParsedReport #CompletenessHigh
12-02-2024
ClearFake Campaign - Delivering Malware via Fake Browser Updates
https://www.bridewell.com/insights/blogs/detail/clearfake-campaign
Report completeness: High
Actors/Campaigns:
Ta569
Threats:
Clearfake
Etherhiding_technique
Process_injection_technique
Amadey
Watering_hole_technique
Xmrig_miner
Redline_stealer
Socgholish_loader
Lumma_stealer
Raccoon_stealer
Stealc
Hijackloader
Systembc
Chromeloader
Credential_dumping_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 19
IOCs:
File: 11
Command: 1
Hash: 6
Url: 6
Domain: 3
IP: 27
Soft:
WordPress, Chrome, Microsoft Edge, Microsoft Defender
Crypto:
binance, bitcoin, ethereum
Algorithms:
base64
Languages:
javascript, powershell, php
12-02-2024
ClearFake Campaign - Delivering Malware via Fake Browser Updates
https://www.bridewell.com/insights/blogs/detail/clearfake-campaign
Report completeness: High
Actors/Campaigns:
Ta569
Threats:
Clearfake
Etherhiding_technique
Process_injection_technique
Amadey
Watering_hole_technique
Xmrig_miner
Redline_stealer
Socgholish_loader
Lumma_stealer
Raccoon_stealer
Stealc
Hijackloader
Systembc
Chromeloader
Credential_dumping_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 19
IOCs:
File: 11
Command: 1
Hash: 6
Url: 6
Domain: 3
IP: 27
Soft:
WordPress, Chrome, Microsoft Edge, Microsoft Defender
Crypto:
binance, bitcoin, ethereum
Algorithms:
base64
Languages:
javascript, powershell, php
Bridewell
ClearFake Campaign - Delivering Malware via “Fake Browser Updates
ClearFake is a relatively new, malicious JavaScript framework that was first identified in July 2023 by security researcher Randy McEoin.
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 ClearFake Campaign - Delivering Malware via Fake Browser Updates https://www.bridewell.com/insights/blogs/detail/clearfake-campaign Report completeness: High Actors/Campaigns: Ta569 Threats: Clearfake Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - вредоносная кампания ClearFake, представляющая собой вредоносный фреймворк JavaScript, который использует тактику социальной инженерии, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. Вредоносное ПО эволюционировало, чтобы использовать технику EtherHiding, и распространяется через скомпрометированные веб-сайты с помощью плагинов WordPress. С кампанией вредоносного по связаны различные вредоносные действия, такие как кража информации, программы-вымогатели и механизмы сохранения данных.
-----
В тексте обсуждается вредоносная кампания ClearFake, вредоносный фреймворк JavaScript, выявленный в июле 2023 года. Первоначально названный из-за отсутствия методов запутывания, ClearFake использует тактику социальной инженерии для предоставления жертвам поддельных страниц обновлений браузера, что приводит к загрузке вредоносной полезной нагрузки. Вредоносная программа эволюционировала, чтобы использовать технологию EtherHiding, используя смарт-цепочку Binance для сокрытия полезной нагрузки и доставки файлов JavaScript второго этапа. Субъекты угроз внедряют вредоносный код на скомпрометированные веб-сайты с помощью плагинов WordPress, размещая вредоносный контент и выполняя его, когда жертвы посещают сайты. Анализ инцидентов выявил распространение ChromeSetup.exe вредоносного ПО, способного к краже информации с помощью различных методов, таких как внедрение процессов и запросы WMI. Вредоносная программа взаимодействует с внешними IP-адресами для управления, и наблюдаются дополнительные полезные нагрузки, приписываемые Amadey и другим семействам вредоносных программ, включая программы-вымогатели и похитители информации. Вредоносная программа Amadey также демонстрирует механизмы сохранения и тактику обхода защиты.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - вредоносная кампания ClearFake, представляющая собой вредоносный фреймворк JavaScript, который использует тактику социальной инженерии, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. Вредоносное ПО эволюционировало, чтобы использовать технику EtherHiding, и распространяется через скомпрометированные веб-сайты с помощью плагинов WordPress. С кампанией вредоносного по связаны различные вредоносные действия, такие как кража информации, программы-вымогатели и механизмы сохранения данных.
-----
В тексте обсуждается вредоносная кампания ClearFake, вредоносный фреймворк JavaScript, выявленный в июле 2023 года. Первоначально названный из-за отсутствия методов запутывания, ClearFake использует тактику социальной инженерии для предоставления жертвам поддельных страниц обновлений браузера, что приводит к загрузке вредоносной полезной нагрузки. Вредоносная программа эволюционировала, чтобы использовать технологию EtherHiding, используя смарт-цепочку Binance для сокрытия полезной нагрузки и доставки файлов JavaScript второго этапа. Субъекты угроз внедряют вредоносный код на скомпрометированные веб-сайты с помощью плагинов WordPress, размещая вредоносный контент и выполняя его, когда жертвы посещают сайты. Анализ инцидентов выявил распространение ChromeSetup.exe вредоносного ПО, способного к краже информации с помощью различных методов, таких как внедрение процессов и запросы WMI. Вредоносная программа взаимодействует с внешними IP-адресами для управления, и наблюдаются дополнительные полезные нагрузки, приписываемые Amadey и другим семействам вредоносных программ, включая программы-вымогатели и похитители информации. Вредоносная программа Amadey также демонстрирует механизмы сохранения и тактику обхода защиты.
#ParsedReport #CompletenessHigh
12-02-2024
DarkGate: Opening Gates for Financially Motivated Threat Actors
https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors
Report completeness: High
Actors/Campaigns:
Ta577 (motivation: financially_motivated)
Bianlian (motivation: financially_motivated)
Lunar_spider
Shathak
Threats:
Darkgate
Qakbot
Blackbasta
Ducktail_stealer
Seo_poisoning_technique
Icedid
Rastafareye_actor
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Netpass_tool
Lolbas_technique
Lolbin_technique
Dll_sideloading_technique
Bianlian_ransomware
Cobalt_strike
Victims:
Financial institutions, Bank deutsches kraftfahrzeuggewerbe (bdk)
Industry:
Financial
Geo:
Ukraine, Russia, Russian, Germany, Usa, German
ChatGPT TTPs:
T1566, T1193, T1204, T1486, T1027, T1218, T1059, T1070, T1014, T1568, have more...
IOCs:
File: 8
Url: 2
Domain: 3
Hash: 13
Soft:
PSexec, Windows Defender, Curl, Windows registry, ChatGPT
Algorithms:
zip, xor, md5, base64
Languages:
visual_basic, autoit, cscript
12-02-2024
DarkGate: Opening Gates for Financially Motivated Threat Actors
https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors
Report completeness: High
Actors/Campaigns:
Ta577 (motivation: financially_motivated)
Bianlian (motivation: financially_motivated)
Lunar_spider
Shathak
Threats:
Darkgate
Qakbot
Blackbasta
Ducktail_stealer
Seo_poisoning_technique
Icedid
Rastafareye_actor
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Netpass_tool
Lolbas_technique
Lolbin_technique
Dll_sideloading_technique
Bianlian_ransomware
Cobalt_strike
Victims:
Financial institutions, Bank deutsches kraftfahrzeuggewerbe (bdk)
Industry:
Financial
Geo:
Ukraine, Russia, Russian, Germany, Usa, German
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1204, T1486, T1027, T1218, T1059, T1070, T1014, T1568, have more...
IOCs:
File: 8
Url: 2
Domain: 3
Hash: 13
Soft:
PSexec, Windows Defender, Curl, Windows registry, ChatGPT
Algorithms:
zip, xor, md5, base64
Languages:
visual_basic, autoit, cscript
Eclecticiq
DarkGate: Opening Gates for Financially Motivated Threat Actors
EclecticIQ analysts observed an increase in the delivery of the DarkGate loader following the FBI's takedown of Qakbot infrastructure in August 2023.
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 DarkGate: Opening Gates for Financially Motivated Threat Actors https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors Report completeness: High Actors/Campaigns: Ta577 (motivation:…
#ParsedReport #ExtractedSchema
Classified images:
schema: 3, code: 2, chats: 1, windows: 3, dump: 2, table: 1
Classified images:
schema: 3, code: 2, chats: 1, windows: 3, dump: 2, table: 1
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 DarkGate: Opening Gates for Financially Motivated Threat Actors https://blog.eclecticiq.com/darkgate-opening-gates-for-financially-motivated-threat-actors Report completeness: High Actors/Campaigns: Ta577 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наблюдении и анализе возросшего распространения загрузчика DarkGate киберпреступниками, нацеленными на финансовые учреждения в Европе и США, после уничтожения ФБР инфраструктуры Qakbot. В нем освещается использование DarkGate для развертывания различных типов вредоносных программ, методы, используемые для распространения вредоносного ПО, сходство с IcedID, особенности версий DarkGate, эволюционирующие методы доставки и решающая роль инструментов "Вредоносное ПО как услуга", таких как DarkGate, в современных операциях по борьбе с киберпреступностью. Также предоставляются рекомендации по обнаружению для снижения риска, связанного с вредоносным ПО DarkGate.
-----
Аналитики по анализу киберугроз из EclecticIQ заметили увеличение распространения загрузчика DarkGate киберпреступниками после того, как ФБР уничтожило инфраструктуру Qakbot в августе 2023 года. С высокой степенью уверенности можно утверждать, что финансово мотивированные исполнители угроз и организации, использующие программы-вымогатели как услугу (RaaS), в основном используют DarkGate для нацеливания на финансовые учреждения в Европе и США. Загрузчик DarkGate используется для создания начальной точки опоры в корпоративных сетях, развертывания различных типов вредоносных программ, таких как программы-вымогатели, похитители информации и инструменты удаленного управления, а также для увеличения объема данных, извлекаемых для получения финансовой выгоды за счет успешных операций с программами-вымогателями. Операторы DarkGate использовали такие методы, как фишинговые электронные письма, злоупотребление законными сервисами, такими как Google DoubleClick Ad и облачное хранилище файлов, а также доставку вредоносных программ через зараженные вложения для распространения вредоносного ПО. Кроме того, существуют сходства в методах выполнения между DarkGate и IcedID, что предполагает потенциальное сотрудничество или совместное использование технологий участниками угроз. В тексте также описываются особенности DarkGate версий 5 и 6.1.6, включая тактику уклонения, методы расшифровки полезной нагрузки и параметры конфигурации. Было замечено, что субъекты угроз со временем адаптируют свои методы доставки, в частности, недавнее злоупотребление рекламными сервисами Google DoubleClick и переход к использованию форматов файлов CAB и MSI для распространения. Документ дает представление об эволюционирующей тактике и методах, используемых киберпреступниками, использующими DarkGate, подчеркивая решающую роль инструментов Malware-as-a-Service (MaaS), таких как DarkGate loader, в современных операциях по борьбе с киберпреступностью. Также предлагаются рекомендации по обнаружению для снижения риска, создаваемого вредоносным ПО DarkGate для конечных точек и сетей Windows.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в наблюдении и анализе возросшего распространения загрузчика DarkGate киберпреступниками, нацеленными на финансовые учреждения в Европе и США, после уничтожения ФБР инфраструктуры Qakbot. В нем освещается использование DarkGate для развертывания различных типов вредоносных программ, методы, используемые для распространения вредоносного ПО, сходство с IcedID, особенности версий DarkGate, эволюционирующие методы доставки и решающая роль инструментов "Вредоносное ПО как услуга", таких как DarkGate, в современных операциях по борьбе с киберпреступностью. Также предоставляются рекомендации по обнаружению для снижения риска, связанного с вредоносным ПО DarkGate.
-----
Аналитики по анализу киберугроз из EclecticIQ заметили увеличение распространения загрузчика DarkGate киберпреступниками после того, как ФБР уничтожило инфраструктуру Qakbot в августе 2023 года. С высокой степенью уверенности можно утверждать, что финансово мотивированные исполнители угроз и организации, использующие программы-вымогатели как услугу (RaaS), в основном используют DarkGate для нацеливания на финансовые учреждения в Европе и США. Загрузчик DarkGate используется для создания начальной точки опоры в корпоративных сетях, развертывания различных типов вредоносных программ, таких как программы-вымогатели, похитители информации и инструменты удаленного управления, а также для увеличения объема данных, извлекаемых для получения финансовой выгоды за счет успешных операций с программами-вымогателями. Операторы DarkGate использовали такие методы, как фишинговые электронные письма, злоупотребление законными сервисами, такими как Google DoubleClick Ad и облачное хранилище файлов, а также доставку вредоносных программ через зараженные вложения для распространения вредоносного ПО. Кроме того, существуют сходства в методах выполнения между DarkGate и IcedID, что предполагает потенциальное сотрудничество или совместное использование технологий участниками угроз. В тексте также описываются особенности DarkGate версий 5 и 6.1.6, включая тактику уклонения, методы расшифровки полезной нагрузки и параметры конфигурации. Было замечено, что субъекты угроз со временем адаптируют свои методы доставки, в частности, недавнее злоупотребление рекламными сервисами Google DoubleClick и переход к использованию форматов файлов CAB и MSI для распространения. Документ дает представление об эволюционирующей тактике и методах, используемых киберпреступниками, использующими DarkGate, подчеркивая решающую роль инструментов Malware-as-a-Service (MaaS), таких как DarkGate loader, в современных операциях по борьбе с киберпреступностью. Также предлагаются рекомендации по обнаружению для снижения риска, создаваемого вредоносным ПО DarkGate для конечных точек и сетей Windows.
#ParsedReport #CompletenessMedium
12-02-2024
Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner
https://habr.com/ru/companies/f_a_c_c_t/news/792672
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer
Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations
Industry:
Healthcare, Financial, Government
Geo:
Czech, Belarus, Belarusian, Russian, Russia
ChatGPT TTPs:
T1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105
IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1
Soft:
NSIS Installer
Algorithms:
md5, sha1, sha256
Languages:
autoit
12-02-2024
Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner
https://habr.com/ru/companies/f_a_c_c_t/news/792672
Report completeness: Medium
Actors/Campaigns:
Sticky_werewolf (motivation: cyber_espionage)
Threats:
Ozone
Darktrack_rat
Meta_stealer
Redline_stealer
Victims:
Belarusian companies, Russian pharmaceuticals, Russian organizations
Industry:
Healthcare, Financial, Government
Geo:
Czech, Belarus, Belarusian, Russian, Russia
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1027, T1566.002, T1218, T1547, T1105
IOCs:
File: 11
Hash: 7
Path: 17
Command: 5
Url: 2
Domain: 1
IP: 1
Soft:
NSIS Installer
Algorithms:
md5, sha1, sha256
Languages:
autoit
Хабр
Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner
Кибершпионская APT-группа Sticky Werewolf , вероятно , попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного...
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Cyber spies Sticky Werewolf decided to clean out companies in Belarus under the guise of downloading CCleaner https://habr.com/ru/companies/f_a_c_c_t/news/792672 Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----
Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа кибершпионов Sticky Werewolf пытается атаковать белорусские компании, маскируя троян удаленного доступа под легальное программное обеспечение, используя фишинговые электронные письма и выдавая себя за организации в предыдущих атаках.
-----
Кибершпионская группа APT Sticky Werewolf попыталась нацелиться на белорусские компании, замаскировав троян удаленного доступа Ozone RAT под программное обеспечение для очистки и оптимизации компьютеров CCleaner6.20. Аналитики обнаружили вредоносную ссылку и самораспаковывающийся архив с именем ccleaner_downloads.exe, загруженный на платформу VirusTotal, с указанием потенциального местоположения цели в Беларуси. Архив содержал запутанный скрипт AutoIt и BAT-файл, который вводил вредоносную программу в процесс ipconfig.exe, загружающий Ozone RAT. Sticky Werewolf, известный тем, что нацелен на государственные учреждения и финансовые компании в России и Беларуси, использует фишинговые электронные письма со ссылками на вредоносные файлы и такие инструменты, как Darktrack RAT, Ozone RAT и MetaStealer stealer. В ходе предыдущих атак группа выдавала себя за такие организации, как Министерство по чрезвычайным ситуациям и ФСБ, нацеливаясь на российские организации.
#ParsedReport #CompletenessMedium
12-02-2024
Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion
https://www.crowdstrike.com/blog/hijackloader-expands-techniques
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique
TTPs:
IOCs:
Url: 4
Path: 3
File: 4
Hash: 2
Algorithms:
xor
Functions:
Gate, WriteFileW
Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...
Platforms:
x64
Links:
12-02-2024
Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion
https://www.crowdstrike.com/blog/hijackloader-expands-techniques
Report completeness: Medium
Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique
TTPs:
IOCs:
Url: 4
Path: 3
File: 4
Hash: 2
Algorithms:
xor
Functions:
Gate, WriteFileW
Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...
Platforms:
x64
Links:
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29CrowdStrike.com
HijackLoader Expands Techniques to Improve Defense Evasion
Read this blog to learn about the HijackLoader sample that employs sophisticated evasion techniques to enhance the complexity of the threat.
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2024 Empty heading. HijackLoader Expands Techniques to Improve Defense Evasion https://www.crowdstrike.com/blog/hijackloader-expands-techniques Report completeness: Medium Threats: Hijackloader Idat_loader Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----
Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вариант вредоносного ПО HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения, чтобы избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия этой угрозе на ранних этапах цепочки атак, а в отчете тактика, методы и процедуры HijackLoader сопоставлены с платформой MITRE ATT&CK для дальнейшего анализа и сбора информации об угрозах.
-----
Вариант вредоносной программы HijackLoader, проанализированный CrowdStrike, использует сложные методы уклонения для расширения своих возможностей защиты от уклонения. В этом варианте используются такие методы, как углубление процесса, доппельгинг процесса, обход крюка Heaven's Gate и методы инъекции для развертывания нескольких этапов полезной нагрузки, таких как маяки Cobalt Strike. Вредоносная программа также использует интерактивные варианты опустошения процессов, чтобы динамически внедрять шелл-код в процессы и запускать их выполнение без приостановки. Используя разделы транзакций и комбинируя различные методы, вредоносная программа стремится избежать обнаружения продуктами безопасности и скрытно выполнять вредоносные действия. CrowdStrike использует возможности машинного обучения и обнаружения на основе поведения для выявления и противодействия HijackLoader и другим подобным угрозам на ранних этапах цепочки атак. Отчет, предоставленный CrowdStrike, также сопоставляет описанные тактики, методы и процедуры HijackLoader с платформой MITRE ATT&CK для дальнейшего анализа и выявления угроз.
#ParsedReport #CompletenessLow
12-02-2024
PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content
Report completeness: Low
Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback
Threats:
Viking
Magnitude
Melissa
Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial
Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish
ChatGPT TTPs:
T1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...
IOCs:
Domain: 136
IP: 10
Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
12-02-2024
PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content
Report completeness: Low
Actors/Campaigns:
Paperwall (motivation: disinformation)
Haienergy
Wayback
Threats:
Viking
Magnitude
Melissa
Industry:
Healthcare, Education, Government, E-commerce, Entertainment, Financial
Geo:
Portugal, Asia, Netherlands, Ireland, Germany, Asia-pacific, Usa, Asian, Italy, America, Japan, Italian, Myanmar, Turkey, Taiwan, French, Russia, Spain, Romania, Sweden, Czech, Belgium, Mexico, Korean, American, Norway, Austria, China, Chile, Chinese, Denmark, Japanese, France, Finland, Ecuador, Korea, Poland, Colombia, Norwegian, Russian, Brazil, Switzerland, Luxembourg, Argentina, Spanish
ChatGPT TTPs:
do not use without manual checkT1566, T1565, T1204, T1583, T1590, T1584, T1020, T1071, T1588, T1048, have more...
IOCs:
Domain: 136
IP: 10
Soft:
Instagram, WhatsApp, WordPress, Chrome, Google Chrome
The Citizen Lab
PAPERWALL
A network of at least 123 websites operated from within the People’s Republic of China while posing as local news outlets in 30 countries across Europe, Asia, and Latin America, disseminates pro-Beijing disinformation and ad hominem attacks within much larger…
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 PAPERWALL Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----
Краткое содержание:.
Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что сеть под названием PAPERWALL, действующая из Китая, распространяет пропекинскую дезинформацию через замаскированные местные новостные агентства во многих странах. Кампания приписывается китайской PR-фирме и включает в себя сокрытие политического контента в коммерческих пресс-релизах, имитацию местных новостных агентств и усиление атак ad hominem. Кроме того, частные фирмы играют значительную роль в операциях китайского цифрового влияния, о чем свидетельствует структура сети. В отчете подчеркивается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и сотрудничество между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
-----
Краткое содержание:.
Сеть из 123 веб-сайтов, работающих в Китае, известная как PAPERWALL, распространяет пропекинскую дезинформацию, замаскированную под местные новостные агентства, в 30 странах. PAPERWALL отличается от HaiEnergy, но имеет общие черты. Кампания, приписываемая китайской PR-фирме, скрывает политическое содержание в коммерческих пресс-релизах и быстро удаляет агрессивные статьи, нападающие на критиков Пекина. Сеть имитирует местные новостные агентства в разных странах и усиливает атаки ad hominem. PAPERWALL черпает контент из Times Newswire, известной тем, что публикует материалы в поддержку Пекина. Частные фирмы играют значительную роль в операциях по цифровому влиянию в Китае, о чем свидетельствует структура сети. Хотя воздействие PAPERWALL минимально, существует риск непреднамеренного усиления. Times Newswire занимает центральное место в работе PAPERWALL, разделяя с сетью особенности тактики размещения и инфраструктуры. В отчете освещается меняющийся ландшафт деятельности по оказанию влияния в Интернете в Китае и партнерство между частными фирмами и правительством в проведении операций по оказанию цифрового влияния.
#ParsedReport #CompletenessLow
12-02-2024
RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group
Report completeness: Low
Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012
IOCs:
File: 5
Hash: 33
IP: 2
Soft:
MacOS, Mac OS, Visual Studio, sysctl
Algorithms:
zip
Languages:
python, rust
Platforms:
intel, arm, apple
12-02-2024
RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group
Report completeness: Low
Threats:
Rustdoor
Taskkill
Blackbasta
Blackcat
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1547, T1059, T1027, T1560, T1071, T1105, T1036, T1012
IOCs:
File: 5
Hash: 33
IP: 2
Soft:
MacOS, Mac OS, Visual Studio, sysctl
Algorithms:
zip
Languages:
python, rust
Platforms:
intel, arm, apple
Bitdefender Labs
New macOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group
UPDATE:
Following our initial release, we have been contacted by our fellow researchers at Jamf who were able to identify three more samples that act like first-stage payloads.
Following our initial release, we have been contacted by our fellow researchers at Jamf who were able to identify three more samples that act like first-stage payloads.
CTT Report Hub
#ParsedReport #CompletenessLow 12-02-2024 RustDoor. New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----
Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS, замаскированный под обновление Visual Studio, который работал незамеченным в течение как минимум трех месяцев с различными образцами, датируемыми ноябрем 2023 года. Вредоносная программа выпускается в нескольких вариантах, причем последняя версия может похвастаться сложной конфигурацией JSON и встроенным скриптом Apple для эксфильтрации данных. Один вариант фокусируется на извлечении определенных типов документов и сжатии их в ZIP-архивы. Вредоносная программа взаимодействует с серверами управления для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов, возможно, связана с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat.
-----
Исследователи Bitdefender выявили новый бэкдор, нацеленный на пользователей Mac OS, написанный на Rust и выдающий себя за обновление Visual Studio. Вредоносная программа работала незамеченной в течение как минимум трех месяцев, а различные образцы были обнаружены в начале ноября 2023 года. Бэкдор включает в себя несколько вариантов, причем самый последний содержит сложную конфигурацию JSON и встроенный скрипт Apple для эксфильтрации данных. Другой вариант фокусируется на эксфильтрации определенных типов документов из пользовательских папок и сжатии их в ZIP-архив. Самый ранний вариант менее сложен, ему не хватает встроенного скрипта и конфигурации. Вредоносная программа взаимодействует с серверами управления, используя различные конечные точки для выполнения таких задач, как сбор информации о компьютере и эксфильтрация файлов. Хотя существует недостаточно информации, чтобы окончательно приписать эту кампанию, на наличие связей с операторами программ-вымогателей, такими как BlackBasta и ALPHV/BlackCat, указывают артефакты и признаки компрометации.