#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, chats: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении сложного мобильного трояна под названием GoldPickaxe.iOS, разработанного группой разработчиков угроз GoldFactory, который нацелен на жертв в Азиатско-Тихоокеанском регионе, используя данные распознавания лиц для несанкционированного доступа к банковским счетам. Этот троян, наряду с другими вариантами, такими как GoldDigger и GoldDiggerPlus, демонстрирует передовые возможности группы в использовании биометрических данных, технологии глубокой подделки и тактики социальной инженерии для компрометации смартфонов и финансовых счетов жертв. Эскалация активности мобильных троянцев GoldFactory подчеркивает необходимость принятия упреждающих мер кибербезопасности и обучения пользователей для борьбы с меняющимся ландшафтом угроз, связанных с мобильными вредоносными программами, в Азиатско-Тихоокеанском регионе.
-----

Group-IB обнаружила сложный мобильный троян под названием GoldPickaxe.iOS, который собирает данные распознавания лиц для несанкционированного доступа к банковским счетам.

GoldPickaxe.iOS является частью семейства GoldPickaxe, разработанного группой разработчиков угроз GoldFactory, нацеленной на жертв в Азиатско-Тихоокеанском регионе, особенно в таких странах, как Вьетнам и Таиланд.

Троян распространяется с помощью платформы Apple TestFlight и методов социальной инженерии, получая полный контроль над устройствами жертв с помощью профилей управления мобильными устройствами (MDM).

GoldFactory также разрабатывает другие трояны, такие как GoldDigger и GoldDiggerPlus, использующие сбор данных распознавания лиц, перехват SMS-сообщений и глубокую подделку изображений для доступа к банковским счетам жертв.

Группа использует передовые методы, такие как smishing, фишинг-рассылка и сервисы обмена лицами, управляемые искусственным интеллектом, для распространения вредоносных программ.

Для борьбы с угрозой рекомендуются упреждающие меры кибербезопасности, такие как обучение пользователей, системы мониторинга сеансов и платформы защиты от цифровых рисков, наряду с передовыми практиками, такими как воздержание от перехода по подозрительным ссылкам и загрузка приложений только с официальных платформ.

#ParsedReport #CompletenessLow
16-02-2024

TrollAgent (Kimsuky group) infected during security program installation process

https://asec.ahnlab.com/ko/61666

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Trollagent
Trustpki
Vmprotect_tool
Appleseed
Backdoor/win.d2inv.c5572602
Backdoor/win.d2inv.c5572603

Victims:
Domestic construction-related association

ChatGPT TTPs:
do not use without manual check
T1195, T1204, T1587, T1110, T1027, T1553, T1055, T1071

IOCs:
File: 1
Hash: 25
Url: 23

Soft:
Chrome

Algorithms:
md5

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что веб-сайт ассоциации, связанной со строительством, был взломан, что привело к распространению вредоносного кода, замаскированного под программу безопасности. Пользователи неосознанно загружают это вредоносное ПО, которое включает в себя возможности бэкдора и кражи информации. Вредоносный код упакован для обхода обнаружения антивирусом и подписан действительным сертификатом от отечественной оборонной компании, что затрудняет его обнаружение пользователями. Злоумышленник нацелился на пользователей, выборочно загружая измененные установочные файлы, что приводит к потенциальной краже данных и вредоносным действиям. Пользователям рекомендуется обновить свои решения для обеспечения безопасности, чтобы предотвратить заражение вредоносными программами.
-----

ASEC выявила проблему безопасности на веб-сайте ассоциации, связанной со строительством в стране, где пользователи неосознанно загружают вредоносный код вместе с установкой программы безопасности.

Вредоносный код включает в себя вредоносные программы-бэкдоры, способные выполнять вредоносные действия, и вредоносные программы для кражи информации, нацеленные на зараженную систему, что создает такие риски, как кража личной информации.

Вредоносный установочный файл загружается с NX_PRNMAN во время установки программы безопасности для входа в систему, при этом измененный файл выборочно загружается в определенные периоды времени целевым пользователям.

Измененные файлы, упакованные с помощью VMProtect и содержащие действительный сертификат от D2Innovation, могли повлиять на более чем 3000 установок, чтобы избежать обнаружения антивирусом.

Выполнение установочного файла NX_PRNMAN приводит к созданию вредоносного кода в пути %APPDATA% через процесс rundll32.exe, что приводит к установке вредоносного ПО Infostealer, известного как TrollAgent Infostealer.

В большинстве вредоносных установочных файлов инфостилеры-тролли используются наряду с вредоносными программами-бэкдорами, которые восходят к командной ветке C&C, выпущенной в октябре 2022 года, с вредоносными программами-бэкдорами, написанными на языке Go.

Пользователям рекомендуется обновить свои решения для обеспечения безопасности версии 3 в качестве превентивной меры против непреднамеренной загрузки вредоносного ПО, замаскированного под законную программу безопасности на веб-сайте.

#ParsedReport #CompletenessLow
16-02-2024

SafeRAT: is it really safe?

https://habr.com/ru/companies/pt/articles/793440

Report completeness: Low

Threats:
Saferat
Gh0st_rat

ChatGPT TTPs:
do not use without manual check
T1566, T1105, T1071, T1059, T1064, T1082, T1112, T1574, T1055, T1041, have more...

IOCs:
File: 4
Hash: 13
IP: 32

Soft:
QQBrowser Telegram, ou Expl, Sogou, QQBrowser

Algorithms:
base64, xor, rc4

Win API:
LdrLoadDll, RtlInitUnicodeString, NtAllocateVirtualMemory, NtTraceEvent, NtQueryInformationProcess, GetTickCount64 GetTickCount64, NtRaiseHardError, SeShutdownPrivilege

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового троянца удаленного действия под названием SafeRAT, который использует сложные методы обхода для компрометации систем и сбора конфиденциальной информации, что указывает на значительную угрозу сетевой безопасности. Исследователи подчеркивают важность упреждающего обнаружения угроз и сотрудничества между специалистами по кибербезопасности для эффективной борьбы с такими сложными угрозами.
-----

Ксения Наумова и Антон Белоусов из отдела обнаружения вредоносных программ Positive Technologies недавно обнаружили новую угрозу во время рутинного мониторинга угроз информационной безопасности. Этот троян удаленного действия, названный злоумышленниками SafeRAT, распространяется по почте в виде загрузчика с расширением .bat. После выполнения загрузчик связывается с жестко запрограммированным удаленным сервером для получения дополнительной полезной нагрузки для дальнейших вредоносных действий.

Вредоносная программа состоит из нескольких этапов, включая 64-разрядный шеллкод, который взаимодействует с сервером C2, используя различные значения пользовательского агента, чтобы избежать обнаружения. Шеллкод динамически разрешает функции API с использованием пользовательских алгоритмов хэширования и загружает последующие этапы полезной нагрузки. Первый шеллкод устанавливает связь с сервером C2, передавая управление второму шеллкоду, ответственному за загрузку модуля PE и выполнение определенных функций.

Функциональные возможности SafeRAT включают создание системных событий, обход механизмов обнаружения путем исправления системных вызовов, установление постоянных путей хранения для сбора конфиденциальной информации, такой как содержимое буфера обмена и результаты кейлоггера, и связь с сервером C2 через TCP-соединения. Вредоносная программа также собирает различную системную информацию, включая IP-адреса, имена компьютеров, сведения о пользователях, наличие антивируса и привилегии администратора, чтобы адаптировать свои вредоносные действия.

Предполагается, что вредоносная программа нацелена на китайскоязычных пользователей, основываясь на ее ассоциациях с китайскими сервисами и браузерами. Исследователи также отметили сходство между SafeRAT и исходным кодом Gh0st RAT, что указывает на возможное заимствование или повторное использование кода из известных инструментов взлома.

Сложная архитектура и методы обхода SafeRAT представляют значительную угрозу сетевой безопасности, подчеркивая важность упреждающего обнаружения угроз и мер реагирования. Positive Technologies продолжает анализировать и исследовать это новое вредоносное ПО, чтобы улучшить возможности обнаружения и защитить сети от аналогичных угроз в будущем.

Поскольку субъекты угроз постоянно совершенствуют свою тактику обхода мер безопасности, специалисты по кибербезопасности должны сохранять бдительность и постоянно обновлять свои средства защиты, чтобы снизить риски, связанные с такими сложными угрозами, как SafeRAT. Сотрудничество между экспертами по безопасности, аналитиками по анализу угроз и поставщиками технологий имеет решающее значение для борьбы с возникающими киберугрозами и защиты критически важной инфраструктуры и информационных активов от злоумышленников.

#ParsedReport #CompletenessMedium
16-02-2024

Dark Web Profile: Sandman APT

https://socradar.io/dark-web-profile-sandman-apt

Report completeness: Medium

Actors/Campaigns:
Sandman (motivation: cyber_espionage)
Storm-0866

Threats:
Luadream
Spear-phishing_technique
Keyplug
Process_injection_technique
Dll_injection_technique

Victims:
Telecommunications providers

Industry:
Telco

Geo:
Asia, China, Chinese

TTPs:
Tactics: 7
Technics: 10

IOCs:
File: 9
Domain: 6
IP: 13
Hash: 10

Algorithms:
exhibit, sha1

Win API:
NtSetInformationThread

Languages:
lua

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и угрозе, которую представляет группа Sandman APT в сфере кибершпионажа, особенно нацеленная на телекоммуникационных провайдеров в таких регионах, как Европа и Азия. Группа использует сложные тактики, такие как точечный фишинг и использование уязвимостей, используя скрытый модульный бэкдор на базе LuaJIT под названием LuaDream, чтобы избежать обнаружения. Исследователи выявили передовые методы уклонения, используемые Sandman, подчеркивая необходимость того, чтобы организации усиливали защиту от кибербезопасности и были в курсе последних данных об угрозах для противодействия таким угрозам. Предполагаемые связи между Sandman и Китаем, наряду с его сотрудничеством с другими базирующимися в Китае участниками угроз, подчеркивают эволюционирующий характер кибершпионажа и важность бдительных методов обеспечения кибербезопасности.
-----

Группа Sandman APT стала серьезной угрозой в сфере кибершпионажа, сосредоточив внимание на поставщиках телекоммуникационных услуг в таких регионах, как Европа и Азия. Эта группа известна своим скрытным и стратегическим подходом, использующим модульный бэкдор на базе LuaJIT под названием LuaDream для минимизации рисков обнаружения и сохранения минимального цифрового следа. Sandman использует такие тактики, как точечный фишинг и использование уязвимостей, в частности, нацеливаясь на телекоммуникационные компании в целях шпионажа.

Исследователи выявили различные продвинутые методы уклонения, используемые Sandman, включая способность обмениваться данными по нескольким протоколам и применять меры защиты от анализа, чтобы избежать обнаружения. LuaDream, основной инструмент, используемый Sandman, представляет собой сложный модульный бэкдор, предназначенный для сбора системных и пользовательских данных для высоконаправленных атак. Он использует множество коммуникационных протоколов и демонстрирует непрерывное развитие для расширения своих возможностей.

Деятельность Sandman в основном была сосредоточена на телекоммуникационных секторах в таких регионах, как Ближний Восток, Западная Европа и Южная Азия, что соответствовало более широким стратегическим интересам Китая в этих областях. Предположительно, существуют связи между Sandman и Китаем, и принятие группой Lua в качестве языка сценариев означает изменение тактики кибершпионажа. Sandman также демонстрирует сходство и связи с другими базирующимися в Китае участниками угроз, что указывает на совместный характер в рамках китайского ландшафта киберугроз.

В ответ на деятельность группы Sandman APT фирмы по кибербезопасности и разведывательные агентства проводят исследования, чтобы раскрыть тактику, методы и процедуры группы. Хотя конкретные подробности о прямых контрмерах против Sandman публично не разглашаются, продолжаются усилия по пониманию и смягчению угрозы, исходящей от этой группы. Для противодействия таким сложным угрозам, как Sandman, организациям, особенно поставщикам телекоммуникационных услуг, рекомендуется усилить свою защиту от кибербезопасности путем исправления систем, внедрения надежных мер безопасности конечных точек, обучения персонала передовым методам кибербезопасности и получения информации о последних сведениях об угрозах.

Анализ Sandman подчеркивает эволюционирующую природу кибершпионажа и необходимость бдительных методов обеспечения кибербезопасности для противодействия таким продвинутым противникам. Регулярное обновление систем, развертывание решений для защиты конечных точек, использование анализа угроз, обучение сотрудников и проведение учений по выявлению угроз - вот рекомендуемые меры для усиления защиты от таких угроз, как Sandman APT. Постоянное информирование об индикаторах компрометации (IOCs) и использование каналов сбора информации об угрозах могут помочь организациям опережать возникающие угрозы, связанные с Sandman и аналогичными субъектами угроз.

#ParsedReport #CompletenessMedium
16-02-2024

Threat Actor Profile: ScarCruft / APT37

https://socradar.io/threat-actor-profile-scarcruft-apt37

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)
Daybreak
Erebus
Lazarus

Threats:
Watering_hole_technique
Spear-phishing_technique
Dolphin
Bluelight
Rokrat
Chinotto
Goldbackdoor
Nokki
M2rat
Steganography_technique
Opencarrot
Process_injection_technique

Victims:
Npo mashinostroyeniya

Industry:
Military, Education, Government

Geo:
Kuwait, Romania, Korean, India, Russia, Asian, Mongolia, Jordan, Korea, China, Nepal

CVEs:
CVE-2016-4117 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- adobe flash player (le21.0.0.226)


TTPs:
Tactics: 1
Technics: 25

IOCs:
Hash: 196

Soft:
Windows Bluetooth, Flash Player, Microsoft Office, Office 365

Languages:
swift, postscript, visual_basic, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ScarCruft, также известная как APT37 или Reaper APT, является изощренной шпионской группой, связанной с деятельностью северокорейского государства, нацеленной на высокопоставленных лиц и организации, главным образом в Южной Корее, но также и в других азиатских странах, поддерживающих интересы Северной Кореи. Группа использует передовые вредоносные программы, эксплойты нулевого дня, тактику скрытого фишинга и инновационные методы для ведения шпионажа и получения конфиденциальной информации. Совместные усилия в сообществе кибербезопасности имеют решающее значение в борьбе с угрозой, исходящей от ScarCruft и подобных злоумышленников.
-----

ScarCruft, также известная как APT37 или Reaper APT, является шпионской группой, связанной с деятельностью северокорейского государства, нацеленной на высокопоставленных лиц, главным образом в Южной Корее, но распространяющейся на другие азиатские страны, соответствующие интересам Северной Кореи.

Действующий с 2012 года ScarCruft фокусируется на правительственных, военных структурах и отраслях промышленности, связанных с проблемами Северной Кореи.

Они используют точечные атаки, изощренные эксплойты и инновационные разработки вредоносных программ для установки бэкдоров и проведения разведки.

ScarCruft использует эксплойты нулевого дня и тактику скрытого фишинга в различных странах, таких как Россия, Непал и Китай.

Группа постоянно совершенствует свои методы, используя для своей деятельности оружейные файлы Microsoft CHM, методы самоподкодирования и нетрадиционные каналы, такие как сайты социальных сетей.

ScarCruft использует различные методы, включая точечный фишинг и стратегические веб-компрометации, для распространения бэкдоров и использования уязвимостей нулевого дня для сложных атак.

Известные инструменты, используемые ScarCruft, включают вредоносное ПО Dolphin для расширения возможностей шпионажа.

ScarCruft экспериментирует с маршрутами доставки вредоносных программ и использует социальную инженерию посредством фишинга.

Они используют технологию самокодирования для эффективного распространения вредоносных программ и используют нетрадиционные каналы, такие как сайты социальных сетей и облачные платформы для обмена командами и контролем.

ScarCruft использует индивидуальные инструменты, такие как Chinotto, RokRat, BLUELIGHT, GOLDBACKDOOR и Dolphin, для извлечения конфиденциальных данных, облегчения удаленного доступа и уклонения от обнаружения.

Группа связана с уникальными семействами вредоносных программ, такими как NOKKI и M2RAT, которые умеют обходить системы безопасности.

ScarCruft использовала такие уязвимости, как эксплойты нулевого дня, методы стеганографии и уязвимости Flash Player, для распространения вредоносного ПО.

Они нацелены на правительство, военные организации, секторы, связанные с интересами Северной Кореи, ученых и активистов в различных странах.

ScarCruft участвовал в кампаниях, нацеленных на ценные учреждения, таких как взлом российского производителя ракет НПО Машиностроения в сотрудничестве с Lazarus, другой северокорейской группой, представляющей угрозу.

Группа постоянно совершенствует и расширяет свою деятельность, что требует совместных усилий сообщества кибербезопасности для борьбы с этим изощренным противником.

#ParsedReport #CompletenessMedium
16-02-2024

Dark Web Profile: 3AM Ransomware

https://socradar.io/dark-web-profile-3am-ransomware

Report completeness: Medium

Threats:
3am_ransomware
Lockbit
Cobalt_strike
Netstat_tool
Royal_ransomware
Conti

Victims:
Us-based companies, A victim in malaysia, Companies in nato member countries

Industry:
Financial

Geo:
Malaysia, France

TTPs:
Tactics: 8
Technics: 14

Algorithms:
exhibit

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и угрозе, исходящей от новой группы программ-вымогателей, 3AM Ransomware, включая ее тактику, цели, связи с другими группами киберпреступников, а также важность упреждающих стратегий кибербезопасности для противодействия развивающимся угрозам, таким как 3AM.
-----

Программа-вымогатель 3AM появилась в качестве запасного варианта при неудачных попытках внедрения программы-вымогателя LockBit.

Группа ориентирована на западные страны и использует Rust для разработки, 64-разрядный исполняемый файл.

Операции включают в себя тщательные действия по предварительному шифрованию для отключения служб безопасности и резервного копирования.

3AM использует такие инструменты, как Wput FTP-клиент и параметры командной строки для шифрования.

Группа добавляет расширение .threeamtime к зашифрованным файлам и удаляет теневые копии томов.

3AM использует традиционные методы вымогательства с помощью программ-вымогателей, передавая данные, шифруя файлы и генерируя уведомления о выкупе.

Было замечено, что группа нацеливалась на американские компании, причем некоторые жертвы были в странах-членах НАТО.

3AM ассоциируется с киберпреступными группировками, такими как Conti и Royal ransomware gang.

Группа имеет связи с известными группами вымогателей, что указывает на потенциальное сотрудничество и общие ресурсы.

Компания 3AM применила новую тактику вымогательства, такую как публикация утечек данных в социальных сетях.

Появление 3AM подчеркивает необходимость адаптивных стратегий кибербезопасности и инструментов упреждающего мониторинга угроз, таких как SOCRadar, для борьбы с растущими угрозами от программ-вымогателей.

#ParsedReport #CompletenessLow
16-02-2024

Alpha Ransomware Emerges From NetWalker Ashes

https://symantec-enterprise-blogs.security.com/threat-intelligence/alpha-netwalker-ransomware

Report completeness: Low

Threats:
Alpha_ransomware
Netwalker
Lolbin_technique
Taskkill

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1486, T1027, T1070.004, T1489, T1082, T1106, T1053.005, T1569.002, T1574.001, have more...

IOCs:
File: 14
Hash: 23

Soft:
thebat, onenote, outlook, wordpad, thebat64, PsExec, Sysinternals

Win API:
NtQuerySystemInformation

Win Services:
ntrtscan, sqbcoreservice, ocssd, encsvc, synctime, ocautoupds, dbeng50, mydesktopservice, powerpnt, tbirdconfig, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4