#ParsedReport #CompletenessMedium
16-02-2024

Dark Web Profile: 3AM Ransomware

https://socradar.io/dark-web-profile-3am-ransomware

Report completeness: Medium

Threats:
3am_ransomware
Lockbit
Cobalt_strike
Netstat_tool
Royal_ransomware
Conti

Victims:
Us-based companies, A victim in malaysia, Companies in nato member countries

Industry:
Financial

Geo:
Malaysia, France

TTPs:
Tactics: 8
Technics: 14

Algorithms:
exhibit

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и угрозе, исходящей от новой группы программ-вымогателей, 3AM Ransomware, включая ее тактику, цели, связи с другими группами киберпреступников, а также важность упреждающих стратегий кибербезопасности для противодействия развивающимся угрозам, таким как 3AM.
-----

Программа-вымогатель 3AM появилась в качестве запасного варианта при неудачных попытках внедрения программы-вымогателя LockBit.

Группа ориентирована на западные страны и использует Rust для разработки, 64-разрядный исполняемый файл.

Операции включают в себя тщательные действия по предварительному шифрованию для отключения служб безопасности и резервного копирования.

3AM использует такие инструменты, как Wput FTP-клиент и параметры командной строки для шифрования.

Группа добавляет расширение .threeamtime к зашифрованным файлам и удаляет теневые копии томов.

3AM использует традиционные методы вымогательства с помощью программ-вымогателей, передавая данные, шифруя файлы и генерируя уведомления о выкупе.

Было замечено, что группа нацеливалась на американские компании, причем некоторые жертвы были в странах-членах НАТО.

3AM ассоциируется с киберпреступными группировками, такими как Conti и Royal ransomware gang.

Группа имеет связи с известными группами вымогателей, что указывает на потенциальное сотрудничество и общие ресурсы.

Компания 3AM применила новую тактику вымогательства, такую как публикация утечек данных в социальных сетях.

Появление 3AM подчеркивает необходимость адаптивных стратегий кибербезопасности и инструментов упреждающего мониторинга угроз, таких как SOCRadar, для борьбы с растущими угрозами от программ-вымогателей.

#ParsedReport #CompletenessLow
16-02-2024

Alpha Ransomware Emerges From NetWalker Ashes

https://symantec-enterprise-blogs.security.com/threat-intelligence/alpha-netwalker-ransomware

Report completeness: Low

Threats:
Alpha_ransomware
Netwalker
Lolbin_technique
Taskkill

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1486, T1027, T1070.004, T1489, T1082, T1106, T1053.005, T1569.002, T1574.001, have more...

IOCs:
File: 14
Hash: 23

Soft:
thebat, onenote, outlook, wordpad, thebat64, PsExec, Sysinternals

Win API:
NtQuerySystemInformation

Win Services:
ntrtscan, sqbcoreservice, ocssd, encsvc, synctime, ocautoupds, dbeng50, mydesktopservice, powerpnt, tbirdconfig, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Появление программы-вымогателя Alpha в 2023 году демонстрирует значительное сходство с ныне несуществующей программой-вымогателем NetWalker, предполагая потенциальную попытку возрождения первоначальными разработчиками или приобретение и модификацию новой группой. Это вызывает опасения по поводу потенциального возобновления операций программ-вымогателей, аналогичных печально известной кампании NetWalker, основанной на детальном анализе дублирования кода, функциональных возможностей и тактики атак.
-----

Программа-вымогатель Alpha, появившаяся в феврале 2023 года и активизировавшая свою деятельность совсем недавно, имеет поразительное сходство с ныне несуществующей программой-вымогателем NetWalker, которая исчезла в январе 2021 года из-за действий международных правоохранительных органов. Анализ Alpha выявляет существенные параллели со старой программой-вымогателем NetWalker, поскольку обе угрозы используют сопоставимый загрузчик на базе PowerShell для доставки полезной нагрузки. Примечательно, что существует значительное дублирование кода между полезными нагрузками Alpha и NetWalker, включая сходство в потоке выполнения основных функций, обработку двух функций в рамках одного потока (завершение процесса и службы), аналогичный список разрешенных API (хотя и с разными хэшами), аналогичные конфигурации, такие как пропущенные папки, списки файлов и расширений, а также процессы и службы, которые необходимо завершить.

Более того, программы-вымогатели Alpha и NetWalker самоудаляются с помощью временных пакетных файлов после завершения шифрования и предоставляют соответствующие платежные порталы со стандартным сообщением, инструктирующим пользователей. Недавние альфа-атаки привели к тому, что участники угроз широко использовали несколько инструментов, работающих вне сети, включая Taskkill для завершения задач/процессов, PsExec для горизонтального перемещения по сетям жертв, Net.exe для управления протоколом IPv6 и Reg.exe для редактирования реестра. NetWalker была одной из первых киберпреступных организаций, получивших прибыль от целенаправленных атак программ-вымогателей, когда сети шифруются для принуждения жертв к оплате. Примечательно, что один человек, связанный с группой NetWalker, по сообщениям, заработал более 27,6 миллионов долларов в результате атак.

После очевидного исчезновения NetWalker после вмешательства правоохранительных органов появление Alpha предполагает потенциальные попытки возрождения первоначальными разработчиками NetWalker или приобретение и модификацию полезной нагрузки программы-вымогателя новой группой. Сходство между Alpha и NetWalker намекает на тесную связь между двумя угрозами, вызывая опасения по поводу потенциального возобновления операций программ-вымогателей, подобных печально известной кампании NetWalker.

#technique

Collection of UAC Bypass Techniques Weaponized as BOFs

https://github.com/icyguider/UAC-BOF-Bonanza

#ParsedReport #CompletenessLow
19-02-2024

Analysis of Nood RAT malware used to attack Linux targets (Gh0st RAT variant)

https://asec.ahnlab.com/ko/61761

Report completeness: Low

Actors/Campaigns:
Cloud_snooper

Threats:
Nood_rat
Gh0st_rat
Cringe_rat
Hiddengh0st
Rekoobe_rootkit

CVEs:
CVE-2017-10271 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 12.2.1.2.0, 10.3.6.0.0, 12.2.1.1.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1105, T1027, T1574.002, T1041, T1083, T1132.001, T1572, T1060, T1036, have more...

IOCs:
File: 5
IP: 10
Domain: 5
Hash: 13

Soft:
MS-SQL, MySQL, nginx

Algorithms:
rc4, md5

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ASEC идентифицировала Nood RAT, Linux-версию вредоносного ПО Gh0st RAT, активно используемую в кибератаках. Несмотря на меньшую распространенность по сравнению со своим аналогом в Windows, Nood RAT наблюдался в различных атаках, основанных на уязвимостях, примерно с 2018 года, при этом постоянно собирались экземпляры вредоносного ПО. В тексте также обсуждается конструкция Nood RAT, ее функциональные возможности, сценарии атак и важность поддержания обновленных систем и передовых мер защиты от вредоносных программ для смягчения таких угроз.
-----

ASEC выявила Nood RAT, Linux-вариант Gh0st RAT, в кибератаках.

Nood RAT изначально был классифицирован как вариант Gh0st RAT из-за сходства кода.

Nood RAT используется в атаках, основанных на уязвимостях, примерно с 2018 года.

В соответствии с общим мониторингом вирусов постоянно отбираются образцы корма для крыс.

Предыдущие инциденты были связаны с атаками Gh0stCringe RAT и HiddenGh0st на серверы MS-SQL.

Nood RAT был впервые обнаружен в 2018 году во время атаки, использующей уязвимость WebLogic.

Nood RAT использовался в кампании Cloud Snooper APT, нацеленной на серверы AWS для установки бэкдоров.

Для создания Nood RAT используется программа-конструктор под названием NoodMaker.exe для генерации двоичных файлов.

Nood RAT использует алгоритм RC4 для шифрования и включает в себя специальные ключи для дешифрования.

Вредоносная программа маскирует себя, изменяя имя своего процесса и копируя себя по указанному пути.

Nood RAT взаимодействует с сервером C&C для передачи зашифрованной системной информации для управления системой и эксфильтрации данных.

Nood RAT позволяет злоумышленникам выполнять команды, осуществлять кражу данных и выполнять боковые перемещения.

Поддержание обновленных систем, конфигураций и расширенных мер защиты от вредоносных программ имеет решающее значение для смягчения угроз Nood RAT.

#ParsedReport #CompletenessHigh
19-02-2024

The Fate of the CriminalMW Group: Endgame or a New Rebranding Journey?

https://cyble.com/blog/the-fate-of-the-criminalmw-group-endgame-or-a-new-rebranding-journey

Report completeness: High

Actors/Campaigns:
Criminalmw
Webdroid
Sickodevz

Threats:
Goatrat
Fantasymw
Grandoreiro
Criminalbot
Hvnc_tool
Killbot

Victims:
10 brazilian banks, Financial institutions

Industry:
Financial

Geo:
Brazil, Brazilian, Brasil

TTPs:
Tactics: 6
Technics: 2

IOCs:
Url: 13
Domain: 10
Hash: 8
File: 4
Email: 5

Soft:
Android, Telegram, WebRTC

Algorithms:
sha1, md5, sha256, exhibit

Languages:
swift

Links:
https://github.com/mamykin-andrey/android-emulator-detector

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, chats: 1, schema: 1, dump: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основной идеей текста является углубленный анализ деятельности и тактики ребрендинга бразильской преступной группировки MW, сосредоточенной на разработке и распространении банковских троянов для Android, нацеленных на бразильские финансовые учреждения, особенно через платформу PIX. Эволюция тактики и возможностей группы, вовлечение множества участников угроз, их непрерывная разработка новых вариантов, несмотря на аресты, и их приверженность адаптации и расширению вредоносной деятельности - вот ключевые обсуждаемые моменты. Кроме того, в тексте освещаются технические аспекты вредоносного ПО, используемого преступной группой MW для уклонения от обнаружения, получения максимальной финансовой выгоды и использования уязвимостей в бразильской финансовой системе.
-----

В тексте содержится углубленный анализ деятельности и тактики ребрендинга бразильской преступной группировки MW, основное внимание уделяется разработке и распространению банковских троянов для Android, нацеленных на бразильские финансовые учреждения, в частности, через платформу PIX. Было обнаружено, что группа CriminalMW продвигает новую версию Android-банковского трояна CriminalMW в аренду за 5000 долларов в месяц на своем Telegram-канале. Обновленная версия CriminalMW была нацелена на 10 бразильских банков с новыми функциями, включая фишинговые веб-сайты Google Play Store и систему автоматизированных переводов (ATS).

Группа состояла из нескольких участников угроз, включая SickoDevZ, Flyn, Malino и Pereira, чьи связи с вредоносным ПО были подтверждены через их дескрипторы Telegram. Причастность этих участников к мошеннической деятельности была выявлена благодаря их связи с CriminalMW. Последующие аресты Федеральной полиции и полиции Сан-Паулу вызвали подозрения в потенциальной причастности SickoDevZ к преступной деятельности, особенно связанной с банковским мошенничеством с использованием банковского трояна Grandoreiro.

Усилия группы CriminalMW по ребрендингу стали очевидны с появлением новых вариантов, таких как FantasyMW и WebDroid. Переход от GoatRAT к FantasyMW и CriminalMW продемонстрировал непрерывную эволюцию их тактики и возможностей, при этом новые версии были сосредоточены на дополнительных банках и совершенствовании методов борьбы с эмуляцией.

Появление WebDroid, предположительно являющегося новой итерацией GoatRAT, указывало на продолжающееся развитие внутри преступной группировки MW, несмотря на аресты и сбои в их деятельности. Переход на WebDroid, наряду с разработкой дополнительных функций, таких как HVNC и генератор страниц, продемонстрировал приверженность группы адаптации и расширению своей вредоносной деятельности.

В тексте также освещались технические аспекты вредоносного ПО, включая фреймворк ATS, методы антиэмуляции, интеграцию HVNC и командные возможности CriminalMW. Это продемонстрировало усилия группы по уклонению от обнаружения, максимизации финансовой выгоды и использованию уязвимостей в бразильской финансовой системе, в частности, с помощью платформы PIX.

#ParsedReport #CompletenessLow
19-02-2024

Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach

https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach

Report completeness: Low

Threats:
Anatsa
Burden

Industry:
Financial

Geo:
Spain, Slovenia, Germany, Slovakia, Czechia

ChatGPT TTPs:
do not use without manual check
T1476, T1548.002, T1105, T1555.003, T1574.002

IOCs:
File: 1

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Mobile Threat Intelligence (MTI) выявила возрождение банковской троянской кампании Anatsa с измененной тактикой, нацеленной на конкретные регионы с помощью сложных приложений-дропперов, подчеркивая необходимость упреждающих мер безопасности для защиты инфраструктуры мобильного банкинга и важность использования информации об угрозах для предвидения и противодействия возникающие риски.
-----

В ноябре 2023 года команда Mobile Threat Intelligence (MTI) выявила возобновление кампании банковского трояна Anatsa, продемонстрировав значительные изменения со времени последнего обновления в июне 2023 года. Кампания прошла пятью различными волнами, расширив свою направленность за пределы традиционных целей, таких как Великобритания, Германия и Испания, и включив Словакию, Словению и Чехию. Деятельность Anatsa была отмечена как "целенаправленная", сосредоточенная на конкретных регионах за один раз путем продвижения приложений-дропперов в Google Play, часто достигающих высоких рейтингов для повышения доверия и максимизации шансов на успешное проникновение.

Кампания Anatsa продемонстрировала эволюционировавший способ работы с передовой тактикой, включая злоупотребление сервисом AccessibilityService, многоэтапные процессы заражения и возможность обхода ограничений в Android 13. Злоумышленники-дропперы в недавней кампании Google Play использовали AccessibilityService для установки вредоносного ПО Anatsa путем динамической загрузки конфигурации и исполняемых файлов с сервера управления чтобы избежать обнаружения. Эти дропперы могли настраивать файлы для установки полезной нагрузки без взаимодействия с пользователем и нацеливаться на конкретных производителей, таких как Samsung, путем включения кода, специфичного для производителя. Кампания стратегически распределяла вредоносные индикаторы по нескольким этапам, чтобы избежать быстрого обнаружения, применяя такие методы, как динамическая загрузка файлов DEX с сервера C2 для более эффективного уклонения. Дропперы эффективно обходили ограничения AccessibilityService на Android 13, позволяя устанавливать полезные приложения без отключения доступа.

Финансовым учреждениям рекомендуется информировать клиентов об опасностях установки приложений из официальных магазинов и предоставления ненужных услуг доступа. Эффективное обнаружение и мониторинг подозрительных приложений и необычных действий с учетной записью имеют решающее значение для выявления случаев мошенничества, связанных с мобильными вредоносными программами, такими как Anatsa. В текущей кампании участвуют пять дропперов с общим количеством установок более 100 000, что представляет значительный риск мошенничества. Anatsa идентифицируется как критическая угроза в целевых регионах благодаря своей стратегии распространения и возможностям захвата устройств, фокусируясь на концентрированных атаках, чтобы максимизировать количество случаев мошенничества за короткое время.

Ситуация с угрозами остается динамичной, что подчеркивает необходимость принятия упреждающих мер безопасности для защиты инфраструктуры мобильного банкинга. Служба анализа мобильных угроз ThreatFabric предлагает оперативную информацию для прогнозирования и противодействия развивающимся рискам, таким как Anatsa. Непрерывный мониторинг, анализ и интеграция информации об угрозах являются ключом к защите активов и доверия клиентов в цифровой банковской среде.

Кажись, нормуль ответ :)

Google Bard (Gemini)

What about SickoDevZ?

Based on the documents I found, SickoDevZ is a Brazilian developer who has been linked to the development of several Android banking malware families, including GoatRAT, FantasyMW, and CriminalMW. He was first identified in March 2023 when his malware, GoatRAT, was discovered targeting Brazilian banks. Since then, he has been linked to several other malware families, all of which have targeted Brazilian banks and utilized the PIX instant payment system.

In February 2024, it was reported that SickoDevZ had been arrested by the São Paulo Police. However, it is unclear if this is true, as posts on his Telegram channel suggest that he may still be at large.

Here is a summary of SickoDevZ's activities:

- Developed the following Android banking malware families: GoatRAT, FantasyMW, and CriminalMW.
- Targeted Brazilian banks and utilized the PIX instant payment system.
- Arrested by the São Paulo Police in February 2024 (uncertain).

I hope this information is helpful.

Pelmeni Wrapper: New Wrapper of Kazuar (Turla Backdoor)
Pelmeni Wrapper - вот это сильно! Такое даже я знаю как атрибутировать.

#ParsedReport #CompletenessLow
20-02-2024

Phishing malware that transmits stolen information through Telegram API

https://asec.ahnlab.com/ko/61806

Report completeness: Low

Threats:
Agent_tesla

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1071, T1059, T1199

IOCs:
Hash: 4

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4