#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Появление программы-вымогателя Alpha в 2023 году демонстрирует значительное сходство с ныне несуществующей программой-вымогателем NetWalker, предполагая потенциальную попытку возрождения первоначальными разработчиками или приобретение и модификацию новой группой. Это вызывает опасения по поводу потенциального возобновления операций программ-вымогателей, аналогичных печально известной кампании NetWalker, основанной на детальном анализе дублирования кода, функциональных возможностей и тактики атак.
-----

Программа-вымогатель Alpha, появившаяся в феврале 2023 года и активизировавшая свою деятельность совсем недавно, имеет поразительное сходство с ныне несуществующей программой-вымогателем NetWalker, которая исчезла в январе 2021 года из-за действий международных правоохранительных органов. Анализ Alpha выявляет существенные параллели со старой программой-вымогателем NetWalker, поскольку обе угрозы используют сопоставимый загрузчик на базе PowerShell для доставки полезной нагрузки. Примечательно, что существует значительное дублирование кода между полезными нагрузками Alpha и NetWalker, включая сходство в потоке выполнения основных функций, обработку двух функций в рамках одного потока (завершение процесса и службы), аналогичный список разрешенных API (хотя и с разными хэшами), аналогичные конфигурации, такие как пропущенные папки, списки файлов и расширений, а также процессы и службы, которые необходимо завершить.

Более того, программы-вымогатели Alpha и NetWalker самоудаляются с помощью временных пакетных файлов после завершения шифрования и предоставляют соответствующие платежные порталы со стандартным сообщением, инструктирующим пользователей. Недавние альфа-атаки привели к тому, что участники угроз широко использовали несколько инструментов, работающих вне сети, включая Taskkill для завершения задач/процессов, PsExec для горизонтального перемещения по сетям жертв, Net.exe для управления протоколом IPv6 и Reg.exe для редактирования реестра. NetWalker была одной из первых киберпреступных организаций, получивших прибыль от целенаправленных атак программ-вымогателей, когда сети шифруются для принуждения жертв к оплате. Примечательно, что один человек, связанный с группой NetWalker, по сообщениям, заработал более 27,6 миллионов долларов в результате атак.

После очевидного исчезновения NetWalker после вмешательства правоохранительных органов появление Alpha предполагает потенциальные попытки возрождения первоначальными разработчиками NetWalker или приобретение и модификацию полезной нагрузки программы-вымогателя новой группой. Сходство между Alpha и NetWalker намекает на тесную связь между двумя угрозами, вызывая опасения по поводу потенциального возобновления операций программ-вымогателей, подобных печально известной кампании NetWalker.

#technique

Collection of UAC Bypass Techniques Weaponized as BOFs

https://github.com/icyguider/UAC-BOF-Bonanza

#ParsedReport #CompletenessLow
19-02-2024

Analysis of Nood RAT malware used to attack Linux targets (Gh0st RAT variant)

https://asec.ahnlab.com/ko/61761

Report completeness: Low

Actors/Campaigns:
Cloud_snooper

Threats:
Nood_rat
Gh0st_rat
Cringe_rat
Hiddengh0st
Rekoobe_rootkit

CVEs:
CVE-2017-10271 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 12.2.1.2.0, 10.3.6.0.0, 12.2.1.1.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1105, T1027, T1574.002, T1041, T1083, T1132.001, T1572, T1060, T1036, have more...

IOCs:
File: 5
IP: 10
Domain: 5
Hash: 13

Soft:
MS-SQL, MySQL, nginx

Algorithms:
rc4, md5

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ASEC идентифицировала Nood RAT, Linux-версию вредоносного ПО Gh0st RAT, активно используемую в кибератаках. Несмотря на меньшую распространенность по сравнению со своим аналогом в Windows, Nood RAT наблюдался в различных атаках, основанных на уязвимостях, примерно с 2018 года, при этом постоянно собирались экземпляры вредоносного ПО. В тексте также обсуждается конструкция Nood RAT, ее функциональные возможности, сценарии атак и важность поддержания обновленных систем и передовых мер защиты от вредоносных программ для смягчения таких угроз.
-----

ASEC выявила Nood RAT, Linux-вариант Gh0st RAT, в кибератаках.

Nood RAT изначально был классифицирован как вариант Gh0st RAT из-за сходства кода.

Nood RAT используется в атаках, основанных на уязвимостях, примерно с 2018 года.

В соответствии с общим мониторингом вирусов постоянно отбираются образцы корма для крыс.

Предыдущие инциденты были связаны с атаками Gh0stCringe RAT и HiddenGh0st на серверы MS-SQL.

Nood RAT был впервые обнаружен в 2018 году во время атаки, использующей уязвимость WebLogic.

Nood RAT использовался в кампании Cloud Snooper APT, нацеленной на серверы AWS для установки бэкдоров.

Для создания Nood RAT используется программа-конструктор под названием NoodMaker.exe для генерации двоичных файлов.

Nood RAT использует алгоритм RC4 для шифрования и включает в себя специальные ключи для дешифрования.

Вредоносная программа маскирует себя, изменяя имя своего процесса и копируя себя по указанному пути.

Nood RAT взаимодействует с сервером C&C для передачи зашифрованной системной информации для управления системой и эксфильтрации данных.

Nood RAT позволяет злоумышленникам выполнять команды, осуществлять кражу данных и выполнять боковые перемещения.

Поддержание обновленных систем, конфигураций и расширенных мер защиты от вредоносных программ имеет решающее значение для смягчения угроз Nood RAT.

#ParsedReport #CompletenessHigh
19-02-2024

The Fate of the CriminalMW Group: Endgame or a New Rebranding Journey?

https://cyble.com/blog/the-fate-of-the-criminalmw-group-endgame-or-a-new-rebranding-journey

Report completeness: High

Actors/Campaigns:
Criminalmw
Webdroid
Sickodevz

Threats:
Goatrat
Fantasymw
Grandoreiro
Criminalbot
Hvnc_tool
Killbot

Victims:
10 brazilian banks, Financial institutions

Industry:
Financial

Geo:
Brazil, Brazilian, Brasil

TTPs:
Tactics: 6
Technics: 2

IOCs:
Url: 13
Domain: 10
Hash: 8
File: 4
Email: 5

Soft:
Android, Telegram, WebRTC

Algorithms:
sha1, md5, sha256, exhibit

Languages:
swift

Links:
https://github.com/mamykin-andrey/android-emulator-detector

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, chats: 1, schema: 1, dump: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основной идеей текста является углубленный анализ деятельности и тактики ребрендинга бразильской преступной группировки MW, сосредоточенной на разработке и распространении банковских троянов для Android, нацеленных на бразильские финансовые учреждения, особенно через платформу PIX. Эволюция тактики и возможностей группы, вовлечение множества участников угроз, их непрерывная разработка новых вариантов, несмотря на аресты, и их приверженность адаптации и расширению вредоносной деятельности - вот ключевые обсуждаемые моменты. Кроме того, в тексте освещаются технические аспекты вредоносного ПО, используемого преступной группой MW для уклонения от обнаружения, получения максимальной финансовой выгоды и использования уязвимостей в бразильской финансовой системе.
-----

В тексте содержится углубленный анализ деятельности и тактики ребрендинга бразильской преступной группировки MW, основное внимание уделяется разработке и распространению банковских троянов для Android, нацеленных на бразильские финансовые учреждения, в частности, через платформу PIX. Было обнаружено, что группа CriminalMW продвигает новую версию Android-банковского трояна CriminalMW в аренду за 5000 долларов в месяц на своем Telegram-канале. Обновленная версия CriminalMW была нацелена на 10 бразильских банков с новыми функциями, включая фишинговые веб-сайты Google Play Store и систему автоматизированных переводов (ATS).

Группа состояла из нескольких участников угроз, включая SickoDevZ, Flyn, Malino и Pereira, чьи связи с вредоносным ПО были подтверждены через их дескрипторы Telegram. Причастность этих участников к мошеннической деятельности была выявлена благодаря их связи с CriminalMW. Последующие аресты Федеральной полиции и полиции Сан-Паулу вызвали подозрения в потенциальной причастности SickoDevZ к преступной деятельности, особенно связанной с банковским мошенничеством с использованием банковского трояна Grandoreiro.

Усилия группы CriminalMW по ребрендингу стали очевидны с появлением новых вариантов, таких как FantasyMW и WebDroid. Переход от GoatRAT к FantasyMW и CriminalMW продемонстрировал непрерывную эволюцию их тактики и возможностей, при этом новые версии были сосредоточены на дополнительных банках и совершенствовании методов борьбы с эмуляцией.

Появление WebDroid, предположительно являющегося новой итерацией GoatRAT, указывало на продолжающееся развитие внутри преступной группировки MW, несмотря на аресты и сбои в их деятельности. Переход на WebDroid, наряду с разработкой дополнительных функций, таких как HVNC и генератор страниц, продемонстрировал приверженность группы адаптации и расширению своей вредоносной деятельности.

В тексте также освещались технические аспекты вредоносного ПО, включая фреймворк ATS, методы антиэмуляции, интеграцию HVNC и командные возможности CriminalMW. Это продемонстрировало усилия группы по уклонению от обнаружения, максимизации финансовой выгоды и использованию уязвимостей в бразильской финансовой системе, в частности, с помощью платформы PIX.

#ParsedReport #CompletenessLow
19-02-2024

Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach

https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach

Report completeness: Low

Threats:
Anatsa
Burden

Industry:
Financial

Geo:
Spain, Slovenia, Germany, Slovakia, Czechia

ChatGPT TTPs:
do not use without manual check
T1476, T1548.002, T1105, T1555.003, T1574.002

IOCs:
File: 1

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Mobile Threat Intelligence (MTI) выявила возрождение банковской троянской кампании Anatsa с измененной тактикой, нацеленной на конкретные регионы с помощью сложных приложений-дропперов, подчеркивая необходимость упреждающих мер безопасности для защиты инфраструктуры мобильного банкинга и важность использования информации об угрозах для предвидения и противодействия возникающие риски.
-----

В ноябре 2023 года команда Mobile Threat Intelligence (MTI) выявила возобновление кампании банковского трояна Anatsa, продемонстрировав значительные изменения со времени последнего обновления в июне 2023 года. Кампания прошла пятью различными волнами, расширив свою направленность за пределы традиционных целей, таких как Великобритания, Германия и Испания, и включив Словакию, Словению и Чехию. Деятельность Anatsa была отмечена как "целенаправленная", сосредоточенная на конкретных регионах за один раз путем продвижения приложений-дропперов в Google Play, часто достигающих высоких рейтингов для повышения доверия и максимизации шансов на успешное проникновение.

Кампания Anatsa продемонстрировала эволюционировавший способ работы с передовой тактикой, включая злоупотребление сервисом AccessibilityService, многоэтапные процессы заражения и возможность обхода ограничений в Android 13. Злоумышленники-дропперы в недавней кампании Google Play использовали AccessibilityService для установки вредоносного ПО Anatsa путем динамической загрузки конфигурации и исполняемых файлов с сервера управления чтобы избежать обнаружения. Эти дропперы могли настраивать файлы для установки полезной нагрузки без взаимодействия с пользователем и нацеливаться на конкретных производителей, таких как Samsung, путем включения кода, специфичного для производителя. Кампания стратегически распределяла вредоносные индикаторы по нескольким этапам, чтобы избежать быстрого обнаружения, применяя такие методы, как динамическая загрузка файлов DEX с сервера C2 для более эффективного уклонения. Дропперы эффективно обходили ограничения AccessibilityService на Android 13, позволяя устанавливать полезные приложения без отключения доступа.

Финансовым учреждениям рекомендуется информировать клиентов об опасностях установки приложений из официальных магазинов и предоставления ненужных услуг доступа. Эффективное обнаружение и мониторинг подозрительных приложений и необычных действий с учетной записью имеют решающее значение для выявления случаев мошенничества, связанных с мобильными вредоносными программами, такими как Anatsa. В текущей кампании участвуют пять дропперов с общим количеством установок более 100 000, что представляет значительный риск мошенничества. Anatsa идентифицируется как критическая угроза в целевых регионах благодаря своей стратегии распространения и возможностям захвата устройств, фокусируясь на концентрированных атаках, чтобы максимизировать количество случаев мошенничества за короткое время.

Ситуация с угрозами остается динамичной, что подчеркивает необходимость принятия упреждающих мер безопасности для защиты инфраструктуры мобильного банкинга. Служба анализа мобильных угроз ThreatFabric предлагает оперативную информацию для прогнозирования и противодействия развивающимся рискам, таким как Anatsa. Непрерывный мониторинг, анализ и интеграция информации об угрозах являются ключом к защите активов и доверия клиентов в цифровой банковской среде.

Кажись, нормуль ответ :)

Google Bard (Gemini)

What about SickoDevZ?

Based on the documents I found, SickoDevZ is a Brazilian developer who has been linked to the development of several Android banking malware families, including GoatRAT, FantasyMW, and CriminalMW. He was first identified in March 2023 when his malware, GoatRAT, was discovered targeting Brazilian banks. Since then, he has been linked to several other malware families, all of which have targeted Brazilian banks and utilized the PIX instant payment system.

In February 2024, it was reported that SickoDevZ had been arrested by the São Paulo Police. However, it is unclear if this is true, as posts on his Telegram channel suggest that he may still be at large.

Here is a summary of SickoDevZ's activities:

- Developed the following Android banking malware families: GoatRAT, FantasyMW, and CriminalMW.
- Targeted Brazilian banks and utilized the PIX instant payment system.
- Arrested by the São Paulo Police in February 2024 (uncertain).

I hope this information is helpful.

Pelmeni Wrapper: New Wrapper of Kazuar (Turla Backdoor)
Pelmeni Wrapper - вот это сильно! Такое даже я знаю как атрибутировать.

#ParsedReport #CompletenessLow
20-02-2024

Phishing malware that transmits stolen information through Telegram API

https://asec.ahnlab.com/ko/61806

Report completeness: Low

Threats:
Agent_tesla

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1071, T1059, T1199

IOCs:
Hash: 4

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте исследуется растущее использование Telegram для распространения фишинговых скриптов, отмечается внедрение обфускации кода, чтобы избежать обнаружения, и таргетинг на отдельных лиц с помощью таких ключевых слов, как денежный перевод и квитанция. В нем также обсуждается использование Telegram вредоносным ПО AgentTesla, подчеркивается необходимость того, чтобы пользователи были осторожны при работе с неизвестными файлами и с подозрительными запросами на вход в систему. Киберпреступники используют более совершенные методы для обмана физических лиц и кражи конфиденциальной информации, что указывает на необходимость проявлять бдительность перед лицом развивающихся методов фишинга.
-----

В тексте обсуждается рост числа фишинговых скриптов, использующих Telegram в качестве платформы для распространения. В нем подчеркивается изменение тактики: последние скрипты используют методы запутывания кода, чтобы избежать обнаружения, в отличие от более ранних версий. Эти фишинговые скрипты нацелены на людей, использующих такие ключевые слова, как перевод и квитанция, чтобы заманить потенциальных жертв. Способы распространения разнообразились: некоторые скрипты предлагают пользователям войти в систему для просмотра якобы защищенных документов или имитируют страницу входа в систему Microsoft, чтобы обмануть ничего не подозревающих пользователей.

Помимо традиционной тактики фишинга, в тексте упоминается использование Telegram вредоносным ПО AgentTesla для кражи пользовательской информации. Эта тенденция подчеркивает растущее число инцидентов, когда участники угроз используют Telegram в качестве канала для кражи информации. Поскольку методы фишинга продолжают развиваться и становятся все более изощренными, пользователей предостерегают от использования файлов из незнакомых источников и рекомендуют проявлять осторожность при появлении запроса на вход на подозрительных страницах. Бдительность имеет первостепенное значение, поскольку киберпреступники используют передовые методы для обмана отдельных лиц и компрометации их конфиденциальной информации.

#ParsedReport #CompletenessMedium
20-02-2024

AsukaStealer, a Revamped Version of the ObserverStealer, Advertised as Malware-as-a-Service

https://cyble.com/blog/asukastealer-a-revamped-version-of-the-observerstealer-advertised-as-malware-as-a-service

Report completeness: Medium

Threats:
Asukastealer
Observerstealer
Redline_stealer
Raccoon_stealer
Azorult
Credential_dumping_technique

Geo:
Russian, Russia

TTPs:
Tactics: 3
Technics: 11

IOCs:
Url: 1
IP: 1
Hash: 13

Soft:
Discord, Telegram, Chromium, OperaGX, Waterfox

Algorithms:
sha1, md5, sha256

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается обнаружение и анализ AsukaStealer, вредоносного ПО как услуги (MaaS), идентифицированного Cyble Research & Intelligence Labs. AsukaStealer, рекламируемый на русскоязычном форуме по киберпреступности, представляет собой вредоносное ПО для кражи данных с такими возможностями, как сбор данных браузера, токенов Discord и крипто-кошельков. Он связан с ObserverStealer, имеет сходство в функциональности и инфраструктуре C&C. Исследование освещает эволюцию AsukaStealer, его связь с участниками угроз и его влияние на ландшафт киберугроз, особенно в сфере предложений MaaS на российских форумах по киберпреступности.
-----

Cyble Research & Intelligence Labs (CRIL) недавно выявила вредоносное ПО как услугу (MaaS) под названием AsukaStealer, которое рекламировалось на русскоязычном форуме по киберпреступности. Первоначально анонсированный 24 января 2024 года под другим именем, этот MaaS предлагал версию веб-панели 0.9.7 за 80 долларов в месяц. AsukaStealer, написанный на C++, поставляется с веб-панелью и предназначен для кражи различных типов информации, включая данные из браузеров, токены Discord, сеансы FileZilla и Telegram, крипто-кошельки и многое другое. Также были опубликованы скриншоты с панели управления AsukaStealer (C&C), чтобы продемонстрировать ее функциональные возможности.

Примечательно, что AsukaStealer, по-видимому, является обновленной версией ранее известного ObserverStealer. Промоутеры AsukaStealer выделили несколько особенностей вредоносного ПО, таких как его способность собирать данные браузера, токены Discord, сеансы FileZilla, сеансы Telegram, скриншоты с рабочего стола, мафайлы из приложения Steam Desktop Authenticator и многое другое. Вредоносная программа также способна загружать собранные данные, устанавливать пользовательские прокси-серверы, отправлять журналы в Telegram и включать систему защиты от дублирования.

Настройка конфигурации AsukaStealer позволяет настраивать различные аспекты, такие как список поддерживаемых браузеров, файлы FileGrabber/crypto wallet, расширения, клиенты Discord и многое другое. Детальное исследование выявило показатели, связанные с панелью управления AsukaStealer, включая IP-адрес, геолокированный в России, на котором размещена панель управления, а также домены simplyavailable[.]com и freemsk[.]org .

В июле 2023 года было замечено, что те же субъекты угроз, стоящие за AsukaStealer, также были связаны с ObserverStealer, о чем свидетельствует закрытие операций ObserverStealer MaaS. Файлы, взаимодействующие с IP-адресом 5[.]42.66.25, были обнаружены как ObserverStealer в ходе расследования, что еще больше подчеркивает связь между двумя штаммами вредоносных программ. Сходство между панелями C&C AsukaStealer и ObserverStealer, включая существование одного и того же мьютекса, предполагает общее происхождение между ними.

Исследование предполагает, что AsukaStealer представляет собой усовершенствованную версию ObserverStealer, использующую схожую инфраструктуру C&C и разделяющую функции, указывающие на их общее происхождение. Хотя точный метод заражения остается неясным, фишинг, по-видимому, является одним из способов доставки этого вредоносного ПО. Злоумышленники, обладающие опытом разработки вредоносных программ и способностью размещать значительные системы управления и контроля доступа, продолжают извлекать выгоду из предложений MaaS, таких как AsukaStealer, для нацеливания на подпольные сообщества и быстрого получения прибыли.

Появление AsukaStealer усиливает растущую тенденцию к распространению вредоносных программ для кражи информации, предлагаемых в качестве MAAS на российских форумах по киберпреступности. Известными примерами таких вредоносных программ являются Redline, Raccoon и Azorult, которые стали популярным выбором для участников угроз, стремящихся получить первоначальный доступ к целевым организациям и осуществляющих кибератаки. В этом контексте AsukaStealer выделяется как значительное событие в ландшафте киберугроз.

#ParsedReport #CompletenessHigh
20-02-2024

Earth Preta Campaign Uses DOPLUGS to Target Asia. Introduction

https://www.trendmicro.com/en_us/research/24/b/earth-preta-campaign-targets-asia-doplugs.html

Report completeness: High

Actors/Campaigns:
Red_delta
Smugx

Threats:
Doplugs
Plugx_rat
Killsomeone
Spear-phishing_technique
Trojan.lnk.doplink.ztki
Hodur_rat
Thor
Dll_sideloading_technique
Netstat_tool
Process_injection_technique

Industry:
Government

Geo:
Asia, Vietnam, Malaysia, Asian, India, Mongolian, Asia-pacific, Taiwan, Taiwanese, Chinese, Singapore, Japan, China, Mongolia

TTPs:
Tactics: 10
Technics: 27

IOCs:
File: 68
Url: 5
Command: 5
Path: 12
Hash: 52
Domain: 13
IP: 21
Registry: 1

Soft:
pidgin, Silverlight, Opera, WeChat, vivaldi

Algorithms:
rc4, xor, base64

Win API:
DeviceIoControl, ShellExecuteW

Languages:
golang