#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основной идеей текста является углубленный анализ деятельности и тактики ребрендинга бразильской преступной группировки MW, сосредоточенной на разработке и распространении банковских троянов для Android, нацеленных на бразильские финансовые учреждения, особенно через платформу PIX. Эволюция тактики и возможностей группы, вовлечение множества участников угроз, их непрерывная разработка новых вариантов, несмотря на аресты, и их приверженность адаптации и расширению вредоносной деятельности - вот ключевые обсуждаемые моменты. Кроме того, в тексте освещаются технические аспекты вредоносного ПО, используемого преступной группой MW для уклонения от обнаружения, получения максимальной финансовой выгоды и использования уязвимостей в бразильской финансовой системе.
-----

В тексте содержится углубленный анализ деятельности и тактики ребрендинга бразильской преступной группировки MW, основное внимание уделяется разработке и распространению банковских троянов для Android, нацеленных на бразильские финансовые учреждения, в частности, через платформу PIX. Было обнаружено, что группа CriminalMW продвигает новую версию Android-банковского трояна CriminalMW в аренду за 5000 долларов в месяц на своем Telegram-канале. Обновленная версия CriminalMW была нацелена на 10 бразильских банков с новыми функциями, включая фишинговые веб-сайты Google Play Store и систему автоматизированных переводов (ATS).

Группа состояла из нескольких участников угроз, включая SickoDevZ, Flyn, Malino и Pereira, чьи связи с вредоносным ПО были подтверждены через их дескрипторы Telegram. Причастность этих участников к мошеннической деятельности была выявлена благодаря их связи с CriminalMW. Последующие аресты Федеральной полиции и полиции Сан-Паулу вызвали подозрения в потенциальной причастности SickoDevZ к преступной деятельности, особенно связанной с банковским мошенничеством с использованием банковского трояна Grandoreiro.

Усилия группы CriminalMW по ребрендингу стали очевидны с появлением новых вариантов, таких как FantasyMW и WebDroid. Переход от GoatRAT к FantasyMW и CriminalMW продемонстрировал непрерывную эволюцию их тактики и возможностей, при этом новые версии были сосредоточены на дополнительных банках и совершенствовании методов борьбы с эмуляцией.

Появление WebDroid, предположительно являющегося новой итерацией GoatRAT, указывало на продолжающееся развитие внутри преступной группировки MW, несмотря на аресты и сбои в их деятельности. Переход на WebDroid, наряду с разработкой дополнительных функций, таких как HVNC и генератор страниц, продемонстрировал приверженность группы адаптации и расширению своей вредоносной деятельности.

В тексте также освещались технические аспекты вредоносного ПО, включая фреймворк ATS, методы антиэмуляции, интеграцию HVNC и командные возможности CriminalMW. Это продемонстрировало усилия группы по уклонению от обнаружения, максимизации финансовой выгоды и использованию уязвимостей в бразильской финансовой системе, в частности, с помощью платформы PIX.

#ParsedReport #CompletenessLow
19-02-2024

Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach

https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach

Report completeness: Low

Threats:
Anatsa
Burden

Industry:
Financial

Geo:
Spain, Slovenia, Germany, Slovakia, Czechia

ChatGPT TTPs:
do not use without manual check
T1476, T1548.002, T1105, T1555.003, T1574.002

IOCs:
File: 1

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Mobile Threat Intelligence (MTI) выявила возрождение банковской троянской кампании Anatsa с измененной тактикой, нацеленной на конкретные регионы с помощью сложных приложений-дропперов, подчеркивая необходимость упреждающих мер безопасности для защиты инфраструктуры мобильного банкинга и важность использования информации об угрозах для предвидения и противодействия возникающие риски.
-----

В ноябре 2023 года команда Mobile Threat Intelligence (MTI) выявила возобновление кампании банковского трояна Anatsa, продемонстрировав значительные изменения со времени последнего обновления в июне 2023 года. Кампания прошла пятью различными волнами, расширив свою направленность за пределы традиционных целей, таких как Великобритания, Германия и Испания, и включив Словакию, Словению и Чехию. Деятельность Anatsa была отмечена как "целенаправленная", сосредоточенная на конкретных регионах за один раз путем продвижения приложений-дропперов в Google Play, часто достигающих высоких рейтингов для повышения доверия и максимизации шансов на успешное проникновение.

Кампания Anatsa продемонстрировала эволюционировавший способ работы с передовой тактикой, включая злоупотребление сервисом AccessibilityService, многоэтапные процессы заражения и возможность обхода ограничений в Android 13. Злоумышленники-дропперы в недавней кампании Google Play использовали AccessibilityService для установки вредоносного ПО Anatsa путем динамической загрузки конфигурации и исполняемых файлов с сервера управления чтобы избежать обнаружения. Эти дропперы могли настраивать файлы для установки полезной нагрузки без взаимодействия с пользователем и нацеливаться на конкретных производителей, таких как Samsung, путем включения кода, специфичного для производителя. Кампания стратегически распределяла вредоносные индикаторы по нескольким этапам, чтобы избежать быстрого обнаружения, применяя такие методы, как динамическая загрузка файлов DEX с сервера C2 для более эффективного уклонения. Дропперы эффективно обходили ограничения AccessibilityService на Android 13, позволяя устанавливать полезные приложения без отключения доступа.

Финансовым учреждениям рекомендуется информировать клиентов об опасностях установки приложений из официальных магазинов и предоставления ненужных услуг доступа. Эффективное обнаружение и мониторинг подозрительных приложений и необычных действий с учетной записью имеют решающее значение для выявления случаев мошенничества, связанных с мобильными вредоносными программами, такими как Anatsa. В текущей кампании участвуют пять дропперов с общим количеством установок более 100 000, что представляет значительный риск мошенничества. Anatsa идентифицируется как критическая угроза в целевых регионах благодаря своей стратегии распространения и возможностям захвата устройств, фокусируясь на концентрированных атаках, чтобы максимизировать количество случаев мошенничества за короткое время.

Ситуация с угрозами остается динамичной, что подчеркивает необходимость принятия упреждающих мер безопасности для защиты инфраструктуры мобильного банкинга. Служба анализа мобильных угроз ThreatFabric предлагает оперативную информацию для прогнозирования и противодействия развивающимся рискам, таким как Anatsa. Непрерывный мониторинг, анализ и интеграция информации об угрозах являются ключом к защите активов и доверия клиентов в цифровой банковской среде.

Кажись, нормуль ответ :)

Google Bard (Gemini)

What about SickoDevZ?

Based on the documents I found, SickoDevZ is a Brazilian developer who has been linked to the development of several Android banking malware families, including GoatRAT, FantasyMW, and CriminalMW. He was first identified in March 2023 when his malware, GoatRAT, was discovered targeting Brazilian banks. Since then, he has been linked to several other malware families, all of which have targeted Brazilian banks and utilized the PIX instant payment system.

In February 2024, it was reported that SickoDevZ had been arrested by the São Paulo Police. However, it is unclear if this is true, as posts on his Telegram channel suggest that he may still be at large.

Here is a summary of SickoDevZ's activities:

- Developed the following Android banking malware families: GoatRAT, FantasyMW, and CriminalMW.
- Targeted Brazilian banks and utilized the PIX instant payment system.
- Arrested by the São Paulo Police in February 2024 (uncertain).

I hope this information is helpful.

Pelmeni Wrapper: New Wrapper of Kazuar (Turla Backdoor)
Pelmeni Wrapper - вот это сильно! Такое даже я знаю как атрибутировать.

#ParsedReport #CompletenessLow
20-02-2024

Phishing malware that transmits stolen information through Telegram API

https://asec.ahnlab.com/ko/61806

Report completeness: Low

Threats:
Agent_tesla

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1071, T1059, T1199

IOCs:
Hash: 4

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте исследуется растущее использование Telegram для распространения фишинговых скриптов, отмечается внедрение обфускации кода, чтобы избежать обнаружения, и таргетинг на отдельных лиц с помощью таких ключевых слов, как денежный перевод и квитанция. В нем также обсуждается использование Telegram вредоносным ПО AgentTesla, подчеркивается необходимость того, чтобы пользователи были осторожны при работе с неизвестными файлами и с подозрительными запросами на вход в систему. Киберпреступники используют более совершенные методы для обмана физических лиц и кражи конфиденциальной информации, что указывает на необходимость проявлять бдительность перед лицом развивающихся методов фишинга.
-----

В тексте обсуждается рост числа фишинговых скриптов, использующих Telegram в качестве платформы для распространения. В нем подчеркивается изменение тактики: последние скрипты используют методы запутывания кода, чтобы избежать обнаружения, в отличие от более ранних версий. Эти фишинговые скрипты нацелены на людей, использующих такие ключевые слова, как перевод и квитанция, чтобы заманить потенциальных жертв. Способы распространения разнообразились: некоторые скрипты предлагают пользователям войти в систему для просмотра якобы защищенных документов или имитируют страницу входа в систему Microsoft, чтобы обмануть ничего не подозревающих пользователей.

Помимо традиционной тактики фишинга, в тексте упоминается использование Telegram вредоносным ПО AgentTesla для кражи пользовательской информации. Эта тенденция подчеркивает растущее число инцидентов, когда участники угроз используют Telegram в качестве канала для кражи информации. Поскольку методы фишинга продолжают развиваться и становятся все более изощренными, пользователей предостерегают от использования файлов из незнакомых источников и рекомендуют проявлять осторожность при появлении запроса на вход на подозрительных страницах. Бдительность имеет первостепенное значение, поскольку киберпреступники используют передовые методы для обмана отдельных лиц и компрометации их конфиденциальной информации.

#ParsedReport #CompletenessMedium
20-02-2024

AsukaStealer, a Revamped Version of the ObserverStealer, Advertised as Malware-as-a-Service

https://cyble.com/blog/asukastealer-a-revamped-version-of-the-observerstealer-advertised-as-malware-as-a-service

Report completeness: Medium

Threats:
Asukastealer
Observerstealer
Redline_stealer
Raccoon_stealer
Azorult
Credential_dumping_technique

Geo:
Russian, Russia

TTPs:
Tactics: 3
Technics: 11

IOCs:
Url: 1
IP: 1
Hash: 13

Soft:
Discord, Telegram, Chromium, OperaGX, Waterfox

Algorithms:
sha1, md5, sha256

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается обнаружение и анализ AsukaStealer, вредоносного ПО как услуги (MaaS), идентифицированного Cyble Research & Intelligence Labs. AsukaStealer, рекламируемый на русскоязычном форуме по киберпреступности, представляет собой вредоносное ПО для кражи данных с такими возможностями, как сбор данных браузера, токенов Discord и крипто-кошельков. Он связан с ObserverStealer, имеет сходство в функциональности и инфраструктуре C&C. Исследование освещает эволюцию AsukaStealer, его связь с участниками угроз и его влияние на ландшафт киберугроз, особенно в сфере предложений MaaS на российских форумах по киберпреступности.
-----

Cyble Research & Intelligence Labs (CRIL) недавно выявила вредоносное ПО как услугу (MaaS) под названием AsukaStealer, которое рекламировалось на русскоязычном форуме по киберпреступности. Первоначально анонсированный 24 января 2024 года под другим именем, этот MaaS предлагал версию веб-панели 0.9.7 за 80 долларов в месяц. AsukaStealer, написанный на C++, поставляется с веб-панелью и предназначен для кражи различных типов информации, включая данные из браузеров, токены Discord, сеансы FileZilla и Telegram, крипто-кошельки и многое другое. Также были опубликованы скриншоты с панели управления AsukaStealer (C&C), чтобы продемонстрировать ее функциональные возможности.

Примечательно, что AsukaStealer, по-видимому, является обновленной версией ранее известного ObserverStealer. Промоутеры AsukaStealer выделили несколько особенностей вредоносного ПО, таких как его способность собирать данные браузера, токены Discord, сеансы FileZilla, сеансы Telegram, скриншоты с рабочего стола, мафайлы из приложения Steam Desktop Authenticator и многое другое. Вредоносная программа также способна загружать собранные данные, устанавливать пользовательские прокси-серверы, отправлять журналы в Telegram и включать систему защиты от дублирования.

Настройка конфигурации AsukaStealer позволяет настраивать различные аспекты, такие как список поддерживаемых браузеров, файлы FileGrabber/crypto wallet, расширения, клиенты Discord и многое другое. Детальное исследование выявило показатели, связанные с панелью управления AsukaStealer, включая IP-адрес, геолокированный в России, на котором размещена панель управления, а также домены simplyavailable[.]com и freemsk[.]org .

В июле 2023 года было замечено, что те же субъекты угроз, стоящие за AsukaStealer, также были связаны с ObserverStealer, о чем свидетельствует закрытие операций ObserverStealer MaaS. Файлы, взаимодействующие с IP-адресом 5[.]42.66.25, были обнаружены как ObserverStealer в ходе расследования, что еще больше подчеркивает связь между двумя штаммами вредоносных программ. Сходство между панелями C&C AsukaStealer и ObserverStealer, включая существование одного и того же мьютекса, предполагает общее происхождение между ними.

Исследование предполагает, что AsukaStealer представляет собой усовершенствованную версию ObserverStealer, использующую схожую инфраструктуру C&C и разделяющую функции, указывающие на их общее происхождение. Хотя точный метод заражения остается неясным, фишинг, по-видимому, является одним из способов доставки этого вредоносного ПО. Злоумышленники, обладающие опытом разработки вредоносных программ и способностью размещать значительные системы управления и контроля доступа, продолжают извлекать выгоду из предложений MaaS, таких как AsukaStealer, для нацеливания на подпольные сообщества и быстрого получения прибыли.

Появление AsukaStealer усиливает растущую тенденцию к распространению вредоносных программ для кражи информации, предлагаемых в качестве MAAS на российских форумах по киберпреступности. Известными примерами таких вредоносных программ являются Redline, Raccoon и Azorult, которые стали популярным выбором для участников угроз, стремящихся получить первоначальный доступ к целевым организациям и осуществляющих кибератаки. В этом контексте AsukaStealer выделяется как значительное событие в ландшафте киберугроз.

#ParsedReport #CompletenessHigh
20-02-2024

Earth Preta Campaign Uses DOPLUGS to Target Asia. Introduction

https://www.trendmicro.com/en_us/research/24/b/earth-preta-campaign-targets-asia-doplugs.html

Report completeness: High

Actors/Campaigns:
Red_delta
Smugx

Threats:
Doplugs
Plugx_rat
Killsomeone
Spear-phishing_technique
Trojan.lnk.doplink.ztki
Hodur_rat
Thor
Dll_sideloading_technique
Netstat_tool
Process_injection_technique

Industry:
Government

Geo:
Asia, Vietnam, Malaysia, Asian, India, Mongolian, Asia-pacific, Taiwan, Taiwanese, Chinese, Singapore, Japan, China, Mongolia

TTPs:
Tactics: 10
Technics: 27

IOCs:
File: 68
Url: 5
Command: 5
Path: 12
Hash: 52
Domain: 13
IP: 21
Registry: 1

Soft:
pidgin, Silverlight, Opera, WeChat, vivaldi

Algorithms:
rc4, xor, base64

Win API:
DeviceIoControl, ShellExecuteW

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
windows: 25, schema: 2, code: 6, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания Earth Preta, использующая варианты вредоносного ПО DOPLUGS и других связанных с ним вредоносных программ, таких как PlugX, нацелена на государственные структуры по всему миру, с особым акцентом на страны Азии и Европы. Кампания использует фишинговые электронные письма, ссылки на Google Диск и файлы, созданные в социальных сетях, для распространения вредоносного ПО, с постоянными обновлениями команд бэкдора и интеграцией новых функций, таких как модуль KillSomeOne для USB-инфекций. Службы безопасности должны проявлять бдительность, чтобы противостоять растущим угрозам, исходящим от Earth Preta.
-----

В записи блога обсуждается кампания Earth Preta, в которой использовался вариант вредоносного ПО DOPLUGS для нацеливания на азиатские страны. В июле 2023 года Check Point раскрыла кампанию SMUGX, связанную с Earth Preta, нацеленную на европейские страны под псевдонимами, такими как Mustang Panda и Bronze President. Фишинговое электронное письмо, адресованное правительству Тайваня, содержало настроенную вредоносную программу PlugX, такую же, которая использовалась в кампании SMUGX. Дальнейшее расследование выявило образцы кампании SMUGX, нацеленной на Тайвань, Вьетнам, Малайзию и другие азиатские страны в 2022-2023 годах. Этот вариант вредоносного ПО PlugX отличался от общего типа, что привело к его обозначению как DOPLUGS. Вредоносное ПО интегрирует модуль KillSomeOne, USB-червя, идентифицированного в 2020 году. Earth Preta нацелилась на государственные структуры по всему миру, используя в атаках фишинговые электронные письма и ссылки на Google Диск.

Анализ выявил жертв из Тайваня и Монголии, которые были нацелены на использование социально сконструированных файлов, связанных с местными событиями, для распространения вредоносного ПО. Злоумышленники в основном сосредоточились на Тайване и Вьетнаме в Азии, с признаками атак в Китае, Сингапуре, Гонконге, Японии, Индии, Малайзии и Монголии. Фишинговые электронные письма содержат ссылки на Google Диск, на котором размещены архивы, защищенные паролем, загружающие вредоносное ПО DOPLUGS с помощью вредоносных файлов быстрого доступа Windows, замаскированных под документы. Вредоносное ПО DOPLUGS действует как загрузчик, используя команды бэкдора, облегчающие загрузку обычного вредоносного ПО PlugX.

Earth Preta постоянно обновляет команды бэкдора в вредоносном ПО PlugX, с 2018 года наблюдаются такие версии, как PlugX, REDDELTA, Hodur и DOPLUGS. Последняя версия, DOPLUGS, содержит четыре команды бэкдора с зашифрованной передачей данных с использованием алгоритма RC4. Вариант DOPLUGS, поставляемый преимущественно из Вьетнама, использует законное программное обеспечение Adobe для обмана жертв. Вариант DOPLUGS с модулем KillSomeOne облегчает заражение через USB и добавляет новые функции, такие как установка законных исполняемых файлов с использованием DLL-зависимостей.

Вариант DOPLUGS с модулем KillSomeOne имеет сходство с оригинальным вариантом DOPLUGS, подчеркивая изменение методов заражения и расширяя возможности распространения вредоносных программ и кражи информации. Кроме того, настроенные образцы вредоносных программ PlugX, интегрированные с модулем KillSomeOne, были активны в течение нескольких лет, улучшая методы заражения через USB. Вариант перехода с DOPLUGS на Hodur сохраняет функциональность при изменении настроенных команд бэкдора для повышения производительности. В этой версии представлены два типа серверов C&C для обмена данными, упрощающие команды бэкдора и загрузку полезной нагрузки для внедрения в процесс. Earth Preta остается активной, особенно в Европе и Азии, что требует повышения осведомленности и готовности служб безопасности к противодействию будущим угрозам.

#ParsedReport #CompletenessHigh
20-02-2024

Cisco Talos Blog. Astaroth, Mekotio & Ousaban abusing Google Cloud Run in LATAM-focused malware campaigns

https://blog.talosintelligence.com/google-cloud-run-abuse

Report completeness: High

Threats:
Astaroth
Mekotio
Ousaban
Cloaking_technique
Bitsadmin
Lolbin_technique
Sysupdate
Vmprotect_tool

Industry:
Financial, Government

Geo:
Argentina, Brazilian, Brazil, America, American, Spanish, Latam

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1027, T1105, T1547.001, T1041, T1568, T1071, T1566.001

IOCs:
Domain: 30
Url: 26
File: 35
Path: 19
IP: 1
Hash: 15

Soft:
Microsoft Outlook

Crypto:
bitcoin

Algorithms:
zip, xor, sha256

Languages:
php, autoit, jscript, delphi, powershell, javascript

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, windows: 2, code: 8, schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Google Cloud Run используется злоумышленниками для распространения банковских троянов, таких как Astaroth, Mekotio и Ousaban, посредством обширных кампаний по распространению вредоносных программ, нацеленных на жертв в основном в Латинской Америке, причем с сентября 2023 года наблюдается всплеск вредоносных электронных писем. В этих кампаниях используются вредоносные установщики Microsoft в качестве дропперов или загрузчиков полезной нагрузки вредоносного ПО, а субъекты угроз используют различные тактики, чтобы избежать обнаружения и нацелиться на испаноязычных и италоязычных получателей, что указывает на единого субъекта угрозы, стоящего за операциями. Непрерывный мониторинг и анализ IOC и TTP имеют решающее значение для обнаружения и смягчения этих сложных киберугроз.
-----

Google Cloud Run используется в кампаниях по распространению вредоносных программ, нацеленных на жертв в Латинской Америке и Европе, распространяя банковские трояны, такие как Astaroth, Mekotio и Ousaban.

Резкий рост объема вредоносной электронной почты с сентября 2023 года при продолжающихся усилиях по распространению.

Варианты вредоносного ПО распространяются через вредоносные установщики Microsoft (MSI), действующие как дропперы.

Astaroth и Mekotio распространяются в рамках одного и того же облачного проекта Google и хранилища данных.

Astaroth нацелен на более чем 300 учреждений в 15 странах Латинской Америки.

Субъекты угроз нацелены в первую очередь на испаноязычных получателей, при этом некоторая активность направлена на носителей итальянского языка.

Вредоносные электронные письма, замаскированные под счета-фактуры или сообщения, перенаправляют получателей на облачные веб-сервисы, управляемые субъектами угроз.

Связь между кампаниями "Астарот", "Мекотио" и "Усабан" указывает на единого субъекта угрозы, стоящего за этими операциями.

Возможности Astaroth включают в себя кражу учетных данных криптовалюты, нажатие клавиши и захват скриншота, а также установление постоянства с помощью манипуляций с меню запуска.

Mekotio осуществляет фильтрацию финансовых данных и использует механизмы фильтрации на основе IP-геолокации.

Хэши SHA256, URL-адреса, IP-адреса и домены являются важными показателями компрометации для обнаружения кампаний и смягчения их последствий.

Постоянный мониторинг меняющейся тактики участников угроз имеет решающее значение для эффективной защиты от этих киберугроз.

#ParsedReport #CompletenessLow
20-02-2024

Breakdown of Tycoon Phishing-as-a-Service System

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/breakdown-of-tycoon-phishing-as-a-service-system

Report completeness: Low

Threats:
Tycoon_paas
Greatness_tool
Antibot
Redrum
Phisher

IOCs:
File: 2
Url: 864

Soft:
Telegram, Gmail, Active Directory Federation Services, ADFS

Algorithms:
base64, xor

Languages:
php, javascript

Links:
https://gist.github.com/drole/1469713841ab9a5121011e2eb88c5e87