#ParsedReport #CompletenessHigh
13-02-2024
CharmingCypress: Innovating Persistence
https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence
Report completeness: High
Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore
Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl
Victims:
Think tanks, Ngos, Journalists, Policy experts
Industry:
Ngo
Geo:
Iran, Iranian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...
IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10
Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome
Algorithms:
sha1, base64, aes, md5
Functions:
SetNewConfig
Win API:
AmsiScanBuffer, EtwEventWrite
Languages:
powershell, visual_basic
Platforms:
apple
Links:
13-02-2024
CharmingCypress: Innovating Persistence
https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence
Report completeness: High
Actors/Campaigns:
Charming_kitten
Apt42
Educated_manticore
Threats:
Charmingcypress
Spear-phishing_technique
Powerstar
Powerless
Noknok
Basicstar
Eyeglass
Typosquatting_technique
Korkuloader
Nircmd_tool
Glitch
Rathole
Mediapl
Victims:
Think tanks, Ngos, Journalists, Policy experts
Industry:
Ngo
Geo:
Iran, Iranian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1566.002, T1140, T1204.002, T1547.004, T1059.001, T1573, T1553.002, T1119, have more...
IOCs:
Domain: 11
Url: 3
File: 16
Path: 2
IP: 1
Registry: 2
Command: 1
Hash: 10
Soft:
WhatsApp, macOS, Telegram, Volexity Volcano, Microsoft Edge, Chrome
Algorithms:
sha1, base64, aes, md5
Functions:
SetNewConfig
Win API:
AmsiScanBuffer, EtwEventWrite
Languages:
powershell, visual_basic
Platforms:
apple
Links:
https://github.com/tedburke/CommandCamhttps://github.com/snail007/goproxyhttps://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/rules.yarhttps://github.com/volexity/threat-intel/blob/main/2024/2024-02-13%20CharmingCypress/iocs.csvhttps://github.com/rapiz1/ratholeVolexity
CharmingCypress: Innovating Persistence
Through its managed security services offerings, Volexity routinely identifies spear-phishing campaigns targeting its customers. One persistent threat actor, whose campaigns Volexity frequently observes, is the Iranian-origin threat actor CharmingCypress…
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 CharmingCypress: Innovating Persistence https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence Report completeness: High Actors/Campaigns: Charming_kitten Apt42 Educated_manticore Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----
Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.
CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.
CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.
Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.
CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.
Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.
Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.
CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.
Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----
Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.
CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.
CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.
Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.
CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.
Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.
Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.
CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.
Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
#ParsedReport #CompletenessMedium
13-02-2024
Bumblebee Buzzes Back in Black
https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black
Report completeness: Medium
Actors/Campaigns:
Ta579
Ta576 (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta582
Ta2541
Ta571
Ta577
Ta544
Ta558
Threats:
Bumblebee
Smuggling_technique
Darkgate
Qakbot
Pikabot
Industry:
Aerospace
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
ChatGPT TTPs:
T1566, T1204, T1059, T1105, T1027, T1190, T1567, T1086, T1218
IOCs:
Email: 1
Url: 4
Hash: 4
Domain: 1
IP: 1
Algorithms:
rc4, sha256, zip
Languages:
powershell
13-02-2024
Bumblebee Buzzes Back in Black
https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black
Report completeness: Medium
Actors/Campaigns:
Ta579
Ta576 (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta582
Ta2541
Ta571
Ta577
Ta544
Ta558
Threats:
Bumblebee
Smuggling_technique
Darkgate
Qakbot
Pikabot
Industry:
Aerospace
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1059, T1105, T1027, T1190, T1567, T1086, T1218
IOCs:
Email: 1
Url: 4
Hash: 4
Domain: 1
IP: 1
Algorithms:
rc4, sha256, zip
Languages:
powershell
Proofpoint
Bumblebee Malware Attack Analysis: Why It’s Back | Proofpoint US
Explore Proofpoint’s Bumblebee malware attack analysis. Discover why the loader is back, how it’s being used in attacks, and what security teams need to do.
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Bumblebee Buzzes Back in Black https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black Report completeness: Medium Actors/Campaigns: Ta579 Ta576 (motivation: financially_motivated) Ta866…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в следующем: исследователи Proofpoint выявили возрождение вредоносного ПО Bumblebee, сложного загрузчика, пользующегося популярностью у киберпреступников, после четырехмесячного отсутствия. Эта недавняя кампания демонстрирует изменения в методах распространения и потенциальную привязку к известному субъекту угрозы в будущем. Возрождение Bumblebee является частью более широкого роста активности киберпреступников, когда различные субъекты угроз и вредоносное ПО возвращаются после периодов бездействия. Анализ показывает, что устойчиво высокие темпы работы киберпреступников, как ожидается, сохранятся в течение всего года.
-----
Исследователи Proofpoint недавно обнаружили возрождение вредоносного ПО Bumblebee 8 февраля 2024 года после четырехмесячного отсутствия. Bumblebee - это сложный загрузчик, пользующийся популярностью у различных участников киберпреступных угроз с момента его первоначального появления в марте 2022 года. Вредоносная программа работает, используя документы с поддержкой макросов VBA в своей цепочке атак, метод, который в последнее время реже используется участниками угроз из-за усиления мер безопасности, введенных Microsoft в 2022 году. Цепочка атак включает вредоносные документы Word, содержащие команду PowerShell, которая загружает и выполняет следующий этап с удаленного сервера, что в конечном итоге приводит к развертыванию библиотеки DLL Bumblebee.
Заслуживающие внимания изменения в этой недавней кампании Bumblebee включают в себя переход от ранее наблюдавшихся методов распространения. В прошлых кампаниях по распространению Bumblebee использовались электронные письма с URL-адресами, ведущими к загрузке DLL-файлов, HTML-вложения, использующие уязвимости WinRAR, заархивированные вложения VBS, использующие PowerShell, и заархивированные файлы LNK для загрузки исполняемых файлов. Из примерно 230 кампаний Bumblebee, выявленных с 2022 года, лишь небольшое число включало макросы, причем наиболее часто использовались макросы XL4 и VBA.
В настоящее время Proofpoint не относит это действие к конкретному субъекту угрозы, хотя некоторые характеристики, такие как тема приманки голосовой почты и использование URL-адресов OneDrive, предполагают сходство с предыдущими действиями TA579. Продолжение расследований может привести к тому, что в будущем эта кампания будет приписана известному исполнителю угрозы. Анализ показывает, что загрузчик Bumblebee с высокой степенью уверенности может служить в качестве средства первоначального доступа для доставки последующих полезных нагрузок, таких как программы-вымогатели.
Возрождение Bumblebee совпадает с более широким ростом активности киберпреступников, когда различные субъекты угроз и вредоносные программы возвращаются после длительных периодов бездействия. Примечательными примерами являются повторные появления TA576 на налоговую тематику, сложного TA866, оператора постэксплуатации TA582 и участника ecrime TA2541. Вредоносная программа DarkGate также появилась вновь, выпущенная TA571 с новым обновлением (версия 6.1.6) после некоторого перерыва. Кроме того, основные участники электронной преступности TA577, TA544 и TA558 вернулись в конце января, а TA577 повторно внедрила вредоносное ПО Qbot после его сбоя в августе.
В течение года исследователи Proofpoint ожидают сохранения высокого уровня активности киберугроз, при этом субъекты угроз внедряют новые цепочки атак, эволюционируют тактики уклонения и обновляют вредоносное ПО. Текущая тенденция предполагает сохранение высоких темпов работы киберпреступников до ожидаемых перерывов в летнее время.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в следующем: исследователи Proofpoint выявили возрождение вредоносного ПО Bumblebee, сложного загрузчика, пользующегося популярностью у киберпреступников, после четырехмесячного отсутствия. Эта недавняя кампания демонстрирует изменения в методах распространения и потенциальную привязку к известному субъекту угрозы в будущем. Возрождение Bumblebee является частью более широкого роста активности киберпреступников, когда различные субъекты угроз и вредоносное ПО возвращаются после периодов бездействия. Анализ показывает, что устойчиво высокие темпы работы киберпреступников, как ожидается, сохранятся в течение всего года.
-----
Исследователи Proofpoint недавно обнаружили возрождение вредоносного ПО Bumblebee 8 февраля 2024 года после четырехмесячного отсутствия. Bumblebee - это сложный загрузчик, пользующийся популярностью у различных участников киберпреступных угроз с момента его первоначального появления в марте 2022 года. Вредоносная программа работает, используя документы с поддержкой макросов VBA в своей цепочке атак, метод, который в последнее время реже используется участниками угроз из-за усиления мер безопасности, введенных Microsoft в 2022 году. Цепочка атак включает вредоносные документы Word, содержащие команду PowerShell, которая загружает и выполняет следующий этап с удаленного сервера, что в конечном итоге приводит к развертыванию библиотеки DLL Bumblebee.
Заслуживающие внимания изменения в этой недавней кампании Bumblebee включают в себя переход от ранее наблюдавшихся методов распространения. В прошлых кампаниях по распространению Bumblebee использовались электронные письма с URL-адресами, ведущими к загрузке DLL-файлов, HTML-вложения, использующие уязвимости WinRAR, заархивированные вложения VBS, использующие PowerShell, и заархивированные файлы LNK для загрузки исполняемых файлов. Из примерно 230 кампаний Bumblebee, выявленных с 2022 года, лишь небольшое число включало макросы, причем наиболее часто использовались макросы XL4 и VBA.
В настоящее время Proofpoint не относит это действие к конкретному субъекту угрозы, хотя некоторые характеристики, такие как тема приманки голосовой почты и использование URL-адресов OneDrive, предполагают сходство с предыдущими действиями TA579. Продолжение расследований может привести к тому, что в будущем эта кампания будет приписана известному исполнителю угрозы. Анализ показывает, что загрузчик Bumblebee с высокой степенью уверенности может служить в качестве средства первоначального доступа для доставки последующих полезных нагрузок, таких как программы-вымогатели.
Возрождение Bumblebee совпадает с более широким ростом активности киберпреступников, когда различные субъекты угроз и вредоносные программы возвращаются после длительных периодов бездействия. Примечательными примерами являются повторные появления TA576 на налоговую тематику, сложного TA866, оператора постэксплуатации TA582 и участника ecrime TA2541. Вредоносная программа DarkGate также появилась вновь, выпущенная TA571 с новым обновлением (версия 6.1.6) после некоторого перерыва. Кроме того, основные участники электронной преступности TA577, TA544 и TA558 вернулись в конце января, а TA577 повторно внедрила вредоносное ПО Qbot после его сбоя в августе.
В течение года исследователи Proofpoint ожидают сохранения высокого уровня активности киберугроз, при этом субъекты угроз внедряют новые цепочки атак, эволюционируют тактики уклонения и обновляют вредоносное ПО. Текущая тенденция предполагает сохранение высоких темпов работы киберпреступников до ожидаемых перерывов в летнее время.
#ParsedReport #CompletenessMedium
13-02-2024
Python s Colorama Typosquatting Meets Fade Stealer Malware
https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware
Report completeness: Medium
Actors/Campaigns:
Dropping_elephant
Threats:
W4sp
Typosquatting_technique
Victims:
Developers
Industry:
Entertainment, Financial
Geo:
French
ChatGPT TTPs:
T1588.001, T1199, T1550.002, T1003.001, T1036.001, T1583.005, T1071.001
IOCs:
Url: 1
Hash: 3
Soft:
Discord, Telegram, Roblox
Algorithms:
base64
Languages:
python
13-02-2024
Python s Colorama Typosquatting Meets Fade Stealer Malware
https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware
Report completeness: Medium
Actors/Campaigns:
Dropping_elephant
Threats:
W4sp
Typosquatting_technique
Victims:
Developers
Industry:
Entertainment, Financial
Geo:
French
ChatGPT TTPs:
do not use without manual checkT1588.001, T1199, T1550.002, T1003.001, T1036.001, T1583.005, T1071.001
IOCs:
Url: 1
Hash: 3
Soft:
Discord, Telegram, Roblox
Algorithms:
base64
Languages:
python
Blog
Python’s Colorama Typosquatting Meets ‘Fade Stealer’ Malware | Imperva
Imperva Threat Research explains who they discovered an attempt to masquerade Fade Stealer malware as a nondescript package, Colorama.
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Python s Colorama Typosquatting Meets Fade Stealer Malware https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware Report completeness: Medium Actors/Campaigns: Dropping_elephant…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи киберугроз обнаружили попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python под названием Colorama, который в настоящее время входит в число самых загружаемых пакетов на PyPI. Это открытие выявляет тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения, в частности, нацеливаясь на пользователей Windows для извлечения конфиденциальных данных с популярных веб-сайтов. Анализ также подчеркивает необходимость бдительности в сообществе кибербезопасности для оперативного выявления таких действий и сообщения о них, а также важность тщательного изучения деталей пакетов, чтобы не стать жертвой этих атак.
-----
Исследование угроз Imperva выявило попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python Colorama, который в настоящее время занимает 44-е место среди наиболее загружаемых пакетов на PyPI. Это открытие высвечивает тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения и обмана ничего не подозревающих разработчиков. В прошлом году было выявлено несколько аналогичных попыток использовать пакет colorama с помощью typosquatting, таких как colarama, colourama и colorama-api, которые впоследствии были удалены из PyPI.
В ходе анализа кода setup.py была обнаружена ссылка на Fade Stealer, что привело к дальнейшему расследованию. Информация из различных блогов, в том числе из Fortinet, показала, что Fade Stealer в первую очередь нацелен на пользователей Windows, о чем свидетельствуют конкретные переменные среды и пути внутри вредоносного ПО. Вредоносная программа предназначена для извлечения конфиденциальных данных с популярных веб-сайтов в различных секторах, таких как игры, социальные сети и развлечения. Известные цели включают Facebook, Telegram, Roblox и Discord, с акцентом на получение платежных реквизитов от пользователей Discord. Используя Discord API с использованием обозначения @me, злоумышленник может получить доступ к токенам сеанса для несанкционированных действий.
Интересным наблюдением из анализа кода стало использование термина "methode", который указывает на возможного неродного носителя английского языка, стоящего за созданием Fade Stealer. Это расхождение в написании больше соответствует словам в других языках, таких как французский, а не стандартной английской терминологии. Комбинация тактик, включающих как Fade Stealer, так и typosquatting из Colorama, представляет собой новый подход в сфере кибербезопасности. В нем подчеркиваются изощренные методы, используемые участниками угроз для использования доверия сообщества Python, подчеркивается критическая важность тщательного изучения деталей пакета, включая имена и авторов, чтобы не стать жертвой таких атак.
Инцидент также подчеркивает ключевую роль сопровождающих репозитория и более широкого сообщества в оперативном обнаружении вредоносных действий и сообщении о них для защиты целостности экосистемы. Поддержание бдительности и внедрение надежных методов обеспечения безопасности необходимы для пресечения такой тактики обмана и обеспечения общей безопасности процессов разработки программного обеспечения. В заключение, этот случай служит предостерегающим напоминанием пользователям о необходимости проявлять осторожность и осмотрительность при работе с программными пакетами, особенно в критически важных проектах, где повышены риски компрометации.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи киберугроз обнаружили попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python под названием Colorama, который в настоящее время входит в число самых загружаемых пакетов на PyPI. Это открытие выявляет тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения, в частности, нацеливаясь на пользователей Windows для извлечения конфиденциальных данных с популярных веб-сайтов. Анализ также подчеркивает необходимость бдительности в сообществе кибербезопасности для оперативного выявления таких действий и сообщения о них, а также важность тщательного изучения деталей пакетов, чтобы не стать жертвой этих атак.
-----
Исследование угроз Imperva выявило попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python Colorama, который в настоящее время занимает 44-е место среди наиболее загружаемых пакетов на PyPI. Это открытие высвечивает тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения и обмана ничего не подозревающих разработчиков. В прошлом году было выявлено несколько аналогичных попыток использовать пакет colorama с помощью typosquatting, таких как colarama, colourama и colorama-api, которые впоследствии были удалены из PyPI.
В ходе анализа кода setup.py была обнаружена ссылка на Fade Stealer, что привело к дальнейшему расследованию. Информация из различных блогов, в том числе из Fortinet, показала, что Fade Stealer в первую очередь нацелен на пользователей Windows, о чем свидетельствуют конкретные переменные среды и пути внутри вредоносного ПО. Вредоносная программа предназначена для извлечения конфиденциальных данных с популярных веб-сайтов в различных секторах, таких как игры, социальные сети и развлечения. Известные цели включают Facebook, Telegram, Roblox и Discord, с акцентом на получение платежных реквизитов от пользователей Discord. Используя Discord API с использованием обозначения @me, злоумышленник может получить доступ к токенам сеанса для несанкционированных действий.
Интересным наблюдением из анализа кода стало использование термина "methode", который указывает на возможного неродного носителя английского языка, стоящего за созданием Fade Stealer. Это расхождение в написании больше соответствует словам в других языках, таких как французский, а не стандартной английской терминологии. Комбинация тактик, включающих как Fade Stealer, так и typosquatting из Colorama, представляет собой новый подход в сфере кибербезопасности. В нем подчеркиваются изощренные методы, используемые участниками угроз для использования доверия сообщества Python, подчеркивается критическая важность тщательного изучения деталей пакета, включая имена и авторов, чтобы не стать жертвой таких атак.
Инцидент также подчеркивает ключевую роль сопровождающих репозитория и более широкого сообщества в оперативном обнаружении вредоносных действий и сообщении о них для защиты целостности экосистемы. Поддержание бдительности и внедрение надежных методов обеспечения безопасности необходимы для пресечения такой тактики обмана и обеспечения общей безопасности процессов разработки программного обеспечения. В заключение, этот случай служит предостерегающим напоминанием пользователям о необходимости проявлять осторожность и осмотрительность при работе с программными пакетами, особенно в критически важных проектах, где повышены риски компрометации.
#ParsedReport #CompletenessHigh
13-02-2024
From Cracked to Hacked: Malware Spread via YouTube Videos
https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos
Report completeness: High
Threats:
Redline_stealer
Raccoon_stealer
Smokeloader
Seo_poisoning_technique
Tropicracked_actor
Vidar_stealer
Privateloader
De4dot_tool
Process_injection_technique
Industry:
Education
Geo:
Spanish, Finland, American, Indonesian, Portuguese, Korean, French, America, Bangladesh, Italian
TTPs:
Tactics: 4
Technics: 8
IOCs:
File: 1
IP: 1
Hash: 2
Soft:
Adobe Animate, Microsoft Office, Telegram
Algorithms:
sha256
Win API:
decompress
Languages:
visual_basic
Links:
13-02-2024
From Cracked to Hacked: Malware Spread via YouTube Videos
https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos
Report completeness: High
Threats:
Redline_stealer
Raccoon_stealer
Smokeloader
Seo_poisoning_technique
Tropicracked_actor
Vidar_stealer
Privateloader
De4dot_tool
Process_injection_technique
Industry:
Education
Geo:
Spanish, Finland, American, Indonesian, Portuguese, Korean, French, America, Bangladesh, Italian
TTPs:
Tactics: 4
Technics: 8
IOCs:
File: 1
IP: 1
Hash: 2
Soft:
Adobe Animate, Microsoft Office, Telegram
Algorithms:
sha256
Win API:
decompress
Languages:
visual_basic
Links:
https://github.com/dnSpy/dnSpyhttps://github.com/de4dot/de4dotCybereason
From Cracked to Hacked: Malware Spread via YouTube Videos
Learn how to detect and prevent a new attack vector being exploited in low-burn, low-cost campaigns using compromised YouTube accounts to spread malware.
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 From Cracked to Hacked: Malware Spread via YouTube Videos https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos Report completeness: High Threats: Redline_stealer Raccoon_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея:.
В отчете об анализе угроз подчеркивается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносного ПО, замаскированного под взломанные версии популярного программного обеспечения, уделяя особое внимание недорогим целевым кампаниям в Южной Америке. В нем подчеркивается тактика, используемая субъектами угроз, распространенные типы вредоносных программ, такие как Redline и RacoonStealer, и конкретный субъект угроз с именем TropiCracked. В отчете рекомендуется обучать пользователей, обновлять системы обнаружения на основе сигнатур и внедрять механизмы обнаружения, основанные на поведении, такие как платформа защиты от киберугроз, для повышения безопасности от таких атак.
-----
В отчете об анализе угроз обсуждается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносных программ, в частности таких инфокрадов, как Redline и Racoonstealer, под видом взломанных версий популярного платного программного обеспечения. Эти атаки характеризуются недорогими кампаниями с медленным запуском, которые нацелены на жертв в основном в Южной Америке. Участники угроз используют различные методы, такие как SEO-отравление и поддельные положительные комментарии, чтобы заманить жертв на загрузку вредоносных файлов. Наиболее часто встречающиеся вредоносные программы включают Redline и RacoonStealer, оба из которых относительно дешевы и доступны для исполнителей угроз. В отчете также подробно описывается конкретный исполнитель угроз по имени TropiCracked, который скомпрометировал более 800 аккаунтов YouTube в Южной Америке для распространения вредоносной полезной нагрузки. TropiCracked использует облегченную архитектуру и использует такие платформы, как Telegraph и Mediafire, для размещения и распространения вредоносных программ. Часто обновляя ссылки для скачивания и полезную нагрузку, злоумышленники могут избежать обнаружения и продолжать нацеливаться на ничего не подозревающих пользователей.
Для защиты от таких атак организациям рекомендуется информировать пользователей о рисках загрузки программного обеспечения из ненадежных источников и регулярно обновлять механизмы обнаружения на основе сигнатур. Внедрение механизмов обнаружения, основанных на поведении, таких как платформа Cybereason Defense Platform, может помочь в обнаружении и предотвращении инфекций за счет блокирования вредоносных файлов и использования анализа угроз, машинного обучения и возможностей антивирусов нового поколения. Включение таких функций, как контроль приложений, защита от программ-вымогателей и защита от различных видов полезной нагрузки, может повысить уровень безопасности организации от вредоносных угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея:.
В отчете об анализе угроз подчеркивается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносного ПО, замаскированного под взломанные версии популярного программного обеспечения, уделяя особое внимание недорогим целевым кампаниям в Южной Америке. В нем подчеркивается тактика, используемая субъектами угроз, распространенные типы вредоносных программ, такие как Redline и RacoonStealer, и конкретный субъект угроз с именем TropiCracked. В отчете рекомендуется обучать пользователей, обновлять системы обнаружения на основе сигнатур и внедрять механизмы обнаружения, основанные на поведении, такие как платформа защиты от киберугроз, для повышения безопасности от таких атак.
-----
В отчете об анализе угроз обсуждается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносных программ, в частности таких инфокрадов, как Redline и Racoonstealer, под видом взломанных версий популярного платного программного обеспечения. Эти атаки характеризуются недорогими кампаниями с медленным запуском, которые нацелены на жертв в основном в Южной Америке. Участники угроз используют различные методы, такие как SEO-отравление и поддельные положительные комментарии, чтобы заманить жертв на загрузку вредоносных файлов. Наиболее часто встречающиеся вредоносные программы включают Redline и RacoonStealer, оба из которых относительно дешевы и доступны для исполнителей угроз. В отчете также подробно описывается конкретный исполнитель угроз по имени TropiCracked, который скомпрометировал более 800 аккаунтов YouTube в Южной Америке для распространения вредоносной полезной нагрузки. TropiCracked использует облегченную архитектуру и использует такие платформы, как Telegraph и Mediafire, для размещения и распространения вредоносных программ. Часто обновляя ссылки для скачивания и полезную нагрузку, злоумышленники могут избежать обнаружения и продолжать нацеливаться на ничего не подозревающих пользователей.
Для защиты от таких атак организациям рекомендуется информировать пользователей о рисках загрузки программного обеспечения из ненадежных источников и регулярно обновлять механизмы обнаружения на основе сигнатур. Внедрение механизмов обнаружения, основанных на поведении, таких как платформа Cybereason Defense Platform, может помочь в обнаружении и предотвращении инфекций за счет блокирования вредоносных файлов и использования анализа угроз, машинного обучения и возможностей антивирусов нового поколения. Включение таких функций, как контроль приложений, защита от программ-вымогателей и защита от различных видов полезной нагрузки, может повысить уровень безопасности организации от вредоносных угроз.
#ParsedReport #CompletenessMedium
13-02-2024
Malware Development Competition Fuels Creation of 20+ Malware
https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware
Report completeness: Medium
Threats:
Xsslite
Dll_sideloading_technique
Timestomp_technique
Industry:
Healthcare
Geo:
Russian, Chinese
ChatGPT TTPs:
T1587, T1588, T1204, T1547, T1082, T1055, T1497, T1552, T1056, T1071, have more...
IOCs:
Hash: 1
Soft:
Flask, Hyper-V
Wallets:
metamask
Crypto:
dogecoin
Algorithms:
sha1, md5, sha256
Languages:
python
13-02-2024
Malware Development Competition Fuels Creation of 20+ Malware
https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware
Report completeness: Medium
Threats:
Xsslite
Dll_sideloading_technique
Timestomp_technique
Industry:
Healthcare
Geo:
Russian, Chinese
ChatGPT TTPs:
do not use without manual checkT1587, T1588, T1204, T1547, T1082, T1055, T1497, T1552, T1056, T1071, have more...
IOCs:
Hash: 1
Soft:
Flask, Hyper-V
Wallets:
metamask
Crypto:
dogecoin
Algorithms:
sha1, md5, sha256
Languages:
python
CYFIRMA
Unveiling the Impact: 20+ Malware Spawned by Intense Development Competition
Explore the aftermath of a fierce malware development contest that birthed over 20 malicious creations. Delve into the world of cybersecurity where innovation meets threat, uncovering the implications of this competitive breeding ground.
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Malware Development Competition Fuels Creation of 20+ Malware https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware Report completeness: Medium Threats: Xsslite Dll_…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - обсуждение появления XSSLite Stealer, разработанного в рамках конкурса вредоносных программ, организованного российским хакерским сообществом, и его последующего распространения в китайских хакерских сообществах. В тексте также освещаются возможности и функционал XSSLite Stealer, влияние конкуренции на ландшафт угроз и взаимосвязанный характер подпольной кибердеятельности.
-----
В отчете обсуждается появление программы XSSLite Stealer, которая была разработана в рамках конкурса разработчиков вредоносных программ под названием XSSWare, организованного российским хакерским сообществом, известным как XSS. Разработчик XSSLite поделился исходным кодом проекта и указал на переход к новому проекту. После публикации на российском форуме stealer был распространен среди китайских хакерских сообществ, демонстрируя его распространение за пределы первоначальной платформы.
Сообщается, что XSSLite Stealer, созданный на C# с веб-панелью, встроенной в Python Flask, претерпевает переход на C++. Вредоносная программа оснащена различными функциональными возможностями, такими как использование инструментария управления Windows (WMI) для вредоносных команд, использование дополнительной загрузки библиотеки DLL для выполнения полезных нагрузок, извлечение конфиденциальной информации об устройстве, использование контроля записи при выделении памяти и проверка файла hosts на наличие доступных конечных точек. Кроме того, он идентифицирует жертв с помощью проверки общедоступных IP-адресов, реализует методы обхода "песочницы" и защиты от отладки, а также осуществляет кражу учетных данных браузера и ведение журнала нажатий клавиш. Инструкции по настройке сборки для передачи журналов на частный сервер управления перед компиляцией указывают на ее расширенные возможности.
В ответ на объявление о конкурсе на разработку вредоносных программ более 20 разработчиков вредоносных программ представили свои разработки на Российском хакерском форуме, что позволило пользователям бесплатно получить доступ к этим вредоносным инструментам. Среди представленных материалов участник представил три различных вредоносных программы, в том числе XSSLite infostealer, а также средство проверки начальных фраз криптографических данных и брутер кошелька Metamask. Конкуренция спровоцировала распространение различных типов бесплатных вредоносных программ, начиная от утилит, связанных с криптографией, и заканчивая похитителями информации, демонстрируя широту распространения изобретательных и вредоносных инструментов.
Влияние конкуренции на ландшафт угроз очевидно, демонстрируя, как денежные стимулы и вовлечение общественности в такие мероприятия стимулируют производство и распространение опасных вредоносных программ. В условиях продолжающейся конкуренции, стимулирующей создание большего количества вредоносных программ, форум готов увидеть всплеск вредоносных кампаний, использующих разработанные инструменты. Взаимосвязанный характер этой подпольной кибердеятельности подчеркивает важность мониторинга и понимания меняющейся тактики, используемой субъектами угроз в цифровой сфере.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - обсуждение появления XSSLite Stealer, разработанного в рамках конкурса вредоносных программ, организованного российским хакерским сообществом, и его последующего распространения в китайских хакерских сообществах. В тексте также освещаются возможности и функционал XSSLite Stealer, влияние конкуренции на ландшафт угроз и взаимосвязанный характер подпольной кибердеятельности.
-----
В отчете обсуждается появление программы XSSLite Stealer, которая была разработана в рамках конкурса разработчиков вредоносных программ под названием XSSWare, организованного российским хакерским сообществом, известным как XSS. Разработчик XSSLite поделился исходным кодом проекта и указал на переход к новому проекту. После публикации на российском форуме stealer был распространен среди китайских хакерских сообществ, демонстрируя его распространение за пределы первоначальной платформы.
Сообщается, что XSSLite Stealer, созданный на C# с веб-панелью, встроенной в Python Flask, претерпевает переход на C++. Вредоносная программа оснащена различными функциональными возможностями, такими как использование инструментария управления Windows (WMI) для вредоносных команд, использование дополнительной загрузки библиотеки DLL для выполнения полезных нагрузок, извлечение конфиденциальной информации об устройстве, использование контроля записи при выделении памяти и проверка файла hosts на наличие доступных конечных точек. Кроме того, он идентифицирует жертв с помощью проверки общедоступных IP-адресов, реализует методы обхода "песочницы" и защиты от отладки, а также осуществляет кражу учетных данных браузера и ведение журнала нажатий клавиш. Инструкции по настройке сборки для передачи журналов на частный сервер управления перед компиляцией указывают на ее расширенные возможности.
В ответ на объявление о конкурсе на разработку вредоносных программ более 20 разработчиков вредоносных программ представили свои разработки на Российском хакерском форуме, что позволило пользователям бесплатно получить доступ к этим вредоносным инструментам. Среди представленных материалов участник представил три различных вредоносных программы, в том числе XSSLite infostealer, а также средство проверки начальных фраз криптографических данных и брутер кошелька Metamask. Конкуренция спровоцировала распространение различных типов бесплатных вредоносных программ, начиная от утилит, связанных с криптографией, и заканчивая похитителями информации, демонстрируя широту распространения изобретательных и вредоносных инструментов.
Влияние конкуренции на ландшафт угроз очевидно, демонстрируя, как денежные стимулы и вовлечение общественности в такие мероприятия стимулируют производство и распространение опасных вредоносных программ. В условиях продолжающейся конкуренции, стимулирующей создание большего количества вредоносных программ, форум готов увидеть всплеск вредоносных кампаний, использующих разработанные инструменты. Взаимосвязанный характер этой подпольной кибердеятельности подчеркивает важность мониторинга и понимания меняющейся тактики, используемой субъектами угроз в цифровой сфере.
#ParsedReport #CompletenessLow
13-02-2024
Warzone RAT infrastructure seized
https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized
Report completeness: Low
Threats:
Warzone_rat
Avemaria_rat
Geo:
Malta, Nigeria
ChatGPT TTPs:
T1566, T1569.002, T1056.001, T1113, T1056.001, T1185
IOCs:
Hash: 7
File: 3
13-02-2024
Warzone RAT infrastructure seized
https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized
Report completeness: Low
Threats:
Warzone_rat
Avemaria_rat
Geo:
Malta, Nigeria
ChatGPT TTPs:
do not use without manual checkT1566, T1569.002, T1056.001, T1113, T1056.001, T1185
IOCs:
Hash: 7
File: 3
Malwarebytes
Warzone RAT infrastructure seized
International law enforcements agencies have disruped the infrastructure behind the Warzone RAT.
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Warzone RAT infrastructure seized https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized Report completeness: Low Threats: Warzone_rat Avemaria_rat Geo: Malta, Nigeria ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Министерство юстиции объявило об успешном захвате интернет-доменов, продающих вредоносное ПО для кражи информации под названием Warzone RAT, что привело к арестам на Мальте и в Нигерии. Аналитики выявили признаки компрометации, связанные с вредоносным ПО, призывая отдельных лиц сообщать об инцидентах в ФБР и применять передовые методы безопасности для защиты от RATs, таких как Warzone. Внедрение таких решений, как Malwarebytes и ThreatDown, может помочь в обнаружении и уничтожении вредоносных программ, подчеркивая важность упреждающих мер безопасности в свете растущих киберугроз.
-----
9 февраля 2024 года Министерство юстиции сделало важное заявление о международной операции, в ходе которой был успешно захвачен интернет-домен, связанный с продажей вредоносного ПО для кражи информации. Операция, проводимая федеральными властями в Бостоне, была нацелена на www.warzone.ws и три связанных домена, которые продавали вредоносное ПО Warzone RAT. Эта конкретная вредоносная программа, известная как троян удаленного доступа (RAT), была очень сложной и предоставляла киберпреступникам несанкционированный доступ к системам жертв. Используя Warzone RAT, злоумышленники могли перемещаться по файловым системам жертв, делать скриншоты, регистрировать нажатия клавиш, воровать имена пользователей и пароли и даже шпионить за жертвами с помощью их веб-камер, и все это тайно, без ведома или согласия жертв.
После операции 7 февраля 2024 года правоохранительные органы произвели аресты на Мальте и в Нигерии. Двое задержанных подозреваемых были обвинены в продаже вредоносного ПО Warzone RAT и оказании поддержки киберпреступникам, которые использовали его для вредоносных действий. Любому человеку, который считает, что он стал жертвой компьютерного вторжения с участием Warzone RAT, настоятельно рекомендуется незамедлительно сообщить об инциденте в ФБР.
В свете этих событий аналитики выявили несколько индикаторов компрометации (IOCs), связанных с последними версиями Warzone RAT, альтернативно известной как AveMaria Stealer. Вредоносное ПО обычно распространяется с помощью мошеннических кампаний по электронной почте, которые используют тактику социальной инженерии, чтобы обманом заставить получателей загрузить и активировать вредоносную полезную нагрузку. Следовательно, распознавание определенных признаков того, что RAT активен в вашей системе, имеет решающее значение для быстрого обнаружения и устранения потенциальных угроз.
Для защиты систем от опасностей, создаваемых RATs, важно придерживаться основных рекомендаций по обеспечению безопасности. Использование решений для обеспечения безопасности, таких как Malwarebytes и ThreatDown, может помочь в обнаружении и уничтожении Warzone RAT. Эти продукты предназначены для устранения любых остатков вредоносных программ и защиты систем от последующих атак, предлагая комплексную защиту от целого ряда киберугроз, включая программы-вымогатели.
Учитывая растущую распространенность сложных вредоносных программ, таких как Warzone RAT, компаниям и частным лицам настоятельно рекомендуется сохранять бдительность и принимать упреждающие меры безопасности для защиты своих активов и информации. Оставаясь в курсе возникающих угроз и инвестируя в надежные решения для кибербезопасности, организации могут снизить риски и предотвратить потенциально разрушительные киберинциденты. Заинтересованные стороны могут изучить дополнительные возможности повышения своей кибербезопасности, получив доступ к бесплатным пробным предложениям от авторитетных поставщиков услуг безопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Министерство юстиции объявило об успешном захвате интернет-доменов, продающих вредоносное ПО для кражи информации под названием Warzone RAT, что привело к арестам на Мальте и в Нигерии. Аналитики выявили признаки компрометации, связанные с вредоносным ПО, призывая отдельных лиц сообщать об инцидентах в ФБР и применять передовые методы безопасности для защиты от RATs, таких как Warzone. Внедрение таких решений, как Malwarebytes и ThreatDown, может помочь в обнаружении и уничтожении вредоносных программ, подчеркивая важность упреждающих мер безопасности в свете растущих киберугроз.
-----
9 февраля 2024 года Министерство юстиции сделало важное заявление о международной операции, в ходе которой был успешно захвачен интернет-домен, связанный с продажей вредоносного ПО для кражи информации. Операция, проводимая федеральными властями в Бостоне, была нацелена на www.warzone.ws и три связанных домена, которые продавали вредоносное ПО Warzone RAT. Эта конкретная вредоносная программа, известная как троян удаленного доступа (RAT), была очень сложной и предоставляла киберпреступникам несанкционированный доступ к системам жертв. Используя Warzone RAT, злоумышленники могли перемещаться по файловым системам жертв, делать скриншоты, регистрировать нажатия клавиш, воровать имена пользователей и пароли и даже шпионить за жертвами с помощью их веб-камер, и все это тайно, без ведома или согласия жертв.
После операции 7 февраля 2024 года правоохранительные органы произвели аресты на Мальте и в Нигерии. Двое задержанных подозреваемых были обвинены в продаже вредоносного ПО Warzone RAT и оказании поддержки киберпреступникам, которые использовали его для вредоносных действий. Любому человеку, который считает, что он стал жертвой компьютерного вторжения с участием Warzone RAT, настоятельно рекомендуется незамедлительно сообщить об инциденте в ФБР.
В свете этих событий аналитики выявили несколько индикаторов компрометации (IOCs), связанных с последними версиями Warzone RAT, альтернативно известной как AveMaria Stealer. Вредоносное ПО обычно распространяется с помощью мошеннических кампаний по электронной почте, которые используют тактику социальной инженерии, чтобы обманом заставить получателей загрузить и активировать вредоносную полезную нагрузку. Следовательно, распознавание определенных признаков того, что RAT активен в вашей системе, имеет решающее значение для быстрого обнаружения и устранения потенциальных угроз.
Для защиты систем от опасностей, создаваемых RATs, важно придерживаться основных рекомендаций по обеспечению безопасности. Использование решений для обеспечения безопасности, таких как Malwarebytes и ThreatDown, может помочь в обнаружении и уничтожении Warzone RAT. Эти продукты предназначены для устранения любых остатков вредоносных программ и защиты систем от последующих атак, предлагая комплексную защиту от целого ряда киберугроз, включая программы-вымогатели.
Учитывая растущую распространенность сложных вредоносных программ, таких как Warzone RAT, компаниям и частным лицам настоятельно рекомендуется сохранять бдительность и принимать упреждающие меры безопасности для защиты своих активов и информации. Оставаясь в курсе возникающих угроз и инвестируя в надежные решения для кибербезопасности, организации могут снизить риски и предотвратить потенциально разрушительные киберинциденты. Заинтересованные стороны могут изучить дополнительные возможности повышения своей кибербезопасности, получив доступ к бесплатным пробным предложениям от авторитетных поставщиков услуг безопасности.