#ParsedReport #CompletenessLow
20-02-2024

Phishing malware that transmits stolen information through Telegram API

https://asec.ahnlab.com/ko/61806

Report completeness: Low

Threats:
Agent_tesla

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1071, T1059, T1199

IOCs:
Hash: 4

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте исследуется растущее использование Telegram для распространения фишинговых скриптов, отмечается внедрение обфускации кода, чтобы избежать обнаружения, и таргетинг на отдельных лиц с помощью таких ключевых слов, как денежный перевод и квитанция. В нем также обсуждается использование Telegram вредоносным ПО AgentTesla, подчеркивается необходимость того, чтобы пользователи были осторожны при работе с неизвестными файлами и с подозрительными запросами на вход в систему. Киберпреступники используют более совершенные методы для обмана физических лиц и кражи конфиденциальной информации, что указывает на необходимость проявлять бдительность перед лицом развивающихся методов фишинга.
-----

В тексте обсуждается рост числа фишинговых скриптов, использующих Telegram в качестве платформы для распространения. В нем подчеркивается изменение тактики: последние скрипты используют методы запутывания кода, чтобы избежать обнаружения, в отличие от более ранних версий. Эти фишинговые скрипты нацелены на людей, использующих такие ключевые слова, как перевод и квитанция, чтобы заманить потенциальных жертв. Способы распространения разнообразились: некоторые скрипты предлагают пользователям войти в систему для просмотра якобы защищенных документов или имитируют страницу входа в систему Microsoft, чтобы обмануть ничего не подозревающих пользователей.

Помимо традиционной тактики фишинга, в тексте упоминается использование Telegram вредоносным ПО AgentTesla для кражи пользовательской информации. Эта тенденция подчеркивает растущее число инцидентов, когда участники угроз используют Telegram в качестве канала для кражи информации. Поскольку методы фишинга продолжают развиваться и становятся все более изощренными, пользователей предостерегают от использования файлов из незнакомых источников и рекомендуют проявлять осторожность при появлении запроса на вход на подозрительных страницах. Бдительность имеет первостепенное значение, поскольку киберпреступники используют передовые методы для обмана отдельных лиц и компрометации их конфиденциальной информации.

#ParsedReport #CompletenessMedium
20-02-2024

AsukaStealer, a Revamped Version of the ObserverStealer, Advertised as Malware-as-a-Service

https://cyble.com/blog/asukastealer-a-revamped-version-of-the-observerstealer-advertised-as-malware-as-a-service

Report completeness: Medium

Threats:
Asukastealer
Observerstealer
Redline_stealer
Raccoon_stealer
Azorult
Credential_dumping_technique

Geo:
Russian, Russia

TTPs:
Tactics: 3
Technics: 11

IOCs:
Url: 1
IP: 1
Hash: 13

Soft:
Discord, Telegram, Chromium, OperaGX, Waterfox

Algorithms:
sha1, md5, sha256

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается обнаружение и анализ AsukaStealer, вредоносного ПО как услуги (MaaS), идентифицированного Cyble Research & Intelligence Labs. AsukaStealer, рекламируемый на русскоязычном форуме по киберпреступности, представляет собой вредоносное ПО для кражи данных с такими возможностями, как сбор данных браузера, токенов Discord и крипто-кошельков. Он связан с ObserverStealer, имеет сходство в функциональности и инфраструктуре C&C. Исследование освещает эволюцию AsukaStealer, его связь с участниками угроз и его влияние на ландшафт киберугроз, особенно в сфере предложений MaaS на российских форумах по киберпреступности.
-----

Cyble Research & Intelligence Labs (CRIL) недавно выявила вредоносное ПО как услугу (MaaS) под названием AsukaStealer, которое рекламировалось на русскоязычном форуме по киберпреступности. Первоначально анонсированный 24 января 2024 года под другим именем, этот MaaS предлагал версию веб-панели 0.9.7 за 80 долларов в месяц. AsukaStealer, написанный на C++, поставляется с веб-панелью и предназначен для кражи различных типов информации, включая данные из браузеров, токены Discord, сеансы FileZilla и Telegram, крипто-кошельки и многое другое. Также были опубликованы скриншоты с панели управления AsukaStealer (C&C), чтобы продемонстрировать ее функциональные возможности.

Примечательно, что AsukaStealer, по-видимому, является обновленной версией ранее известного ObserverStealer. Промоутеры AsukaStealer выделили несколько особенностей вредоносного ПО, таких как его способность собирать данные браузера, токены Discord, сеансы FileZilla, сеансы Telegram, скриншоты с рабочего стола, мафайлы из приложения Steam Desktop Authenticator и многое другое. Вредоносная программа также способна загружать собранные данные, устанавливать пользовательские прокси-серверы, отправлять журналы в Telegram и включать систему защиты от дублирования.

Настройка конфигурации AsukaStealer позволяет настраивать различные аспекты, такие как список поддерживаемых браузеров, файлы FileGrabber/crypto wallet, расширения, клиенты Discord и многое другое. Детальное исследование выявило показатели, связанные с панелью управления AsukaStealer, включая IP-адрес, геолокированный в России, на котором размещена панель управления, а также домены simplyavailable[.]com и freemsk[.]org .

В июле 2023 года было замечено, что те же субъекты угроз, стоящие за AsukaStealer, также были связаны с ObserverStealer, о чем свидетельствует закрытие операций ObserverStealer MaaS. Файлы, взаимодействующие с IP-адресом 5[.]42.66.25, были обнаружены как ObserverStealer в ходе расследования, что еще больше подчеркивает связь между двумя штаммами вредоносных программ. Сходство между панелями C&C AsukaStealer и ObserverStealer, включая существование одного и того же мьютекса, предполагает общее происхождение между ними.

Исследование предполагает, что AsukaStealer представляет собой усовершенствованную версию ObserverStealer, использующую схожую инфраструктуру C&C и разделяющую функции, указывающие на их общее происхождение. Хотя точный метод заражения остается неясным, фишинг, по-видимому, является одним из способов доставки этого вредоносного ПО. Злоумышленники, обладающие опытом разработки вредоносных программ и способностью размещать значительные системы управления и контроля доступа, продолжают извлекать выгоду из предложений MaaS, таких как AsukaStealer, для нацеливания на подпольные сообщества и быстрого получения прибыли.

Появление AsukaStealer усиливает растущую тенденцию к распространению вредоносных программ для кражи информации, предлагаемых в качестве MAAS на российских форумах по киберпреступности. Известными примерами таких вредоносных программ являются Redline, Raccoon и Azorult, которые стали популярным выбором для участников угроз, стремящихся получить первоначальный доступ к целевым организациям и осуществляющих кибератаки. В этом контексте AsukaStealer выделяется как значительное событие в ландшафте киберугроз.

#ParsedReport #CompletenessHigh
20-02-2024

Earth Preta Campaign Uses DOPLUGS to Target Asia. Introduction

https://www.trendmicro.com/en_us/research/24/b/earth-preta-campaign-targets-asia-doplugs.html

Report completeness: High

Actors/Campaigns:
Red_delta
Smugx

Threats:
Doplugs
Plugx_rat
Killsomeone
Spear-phishing_technique
Trojan.lnk.doplink.ztki
Hodur_rat
Thor
Dll_sideloading_technique
Netstat_tool
Process_injection_technique

Industry:
Government

Geo:
Asia, Vietnam, Malaysia, Asian, India, Mongolian, Asia-pacific, Taiwan, Taiwanese, Chinese, Singapore, Japan, China, Mongolia

TTPs:
Tactics: 10
Technics: 27

IOCs:
File: 68
Url: 5
Command: 5
Path: 12
Hash: 52
Domain: 13
IP: 21
Registry: 1

Soft:
pidgin, Silverlight, Opera, WeChat, vivaldi

Algorithms:
rc4, xor, base64

Win API:
DeviceIoControl, ShellExecuteW

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
windows: 25, schema: 2, code: 6, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания Earth Preta, использующая варианты вредоносного ПО DOPLUGS и других связанных с ним вредоносных программ, таких как PlugX, нацелена на государственные структуры по всему миру, с особым акцентом на страны Азии и Европы. Кампания использует фишинговые электронные письма, ссылки на Google Диск и файлы, созданные в социальных сетях, для распространения вредоносного ПО, с постоянными обновлениями команд бэкдора и интеграцией новых функций, таких как модуль KillSomeOne для USB-инфекций. Службы безопасности должны проявлять бдительность, чтобы противостоять растущим угрозам, исходящим от Earth Preta.
-----

В записи блога обсуждается кампания Earth Preta, в которой использовался вариант вредоносного ПО DOPLUGS для нацеливания на азиатские страны. В июле 2023 года Check Point раскрыла кампанию SMUGX, связанную с Earth Preta, нацеленную на европейские страны под псевдонимами, такими как Mustang Panda и Bronze President. Фишинговое электронное письмо, адресованное правительству Тайваня, содержало настроенную вредоносную программу PlugX, такую же, которая использовалась в кампании SMUGX. Дальнейшее расследование выявило образцы кампании SMUGX, нацеленной на Тайвань, Вьетнам, Малайзию и другие азиатские страны в 2022-2023 годах. Этот вариант вредоносного ПО PlugX отличался от общего типа, что привело к его обозначению как DOPLUGS. Вредоносное ПО интегрирует модуль KillSomeOne, USB-червя, идентифицированного в 2020 году. Earth Preta нацелилась на государственные структуры по всему миру, используя в атаках фишинговые электронные письма и ссылки на Google Диск.

Анализ выявил жертв из Тайваня и Монголии, которые были нацелены на использование социально сконструированных файлов, связанных с местными событиями, для распространения вредоносного ПО. Злоумышленники в основном сосредоточились на Тайване и Вьетнаме в Азии, с признаками атак в Китае, Сингапуре, Гонконге, Японии, Индии, Малайзии и Монголии. Фишинговые электронные письма содержат ссылки на Google Диск, на котором размещены архивы, защищенные паролем, загружающие вредоносное ПО DOPLUGS с помощью вредоносных файлов быстрого доступа Windows, замаскированных под документы. Вредоносное ПО DOPLUGS действует как загрузчик, используя команды бэкдора, облегчающие загрузку обычного вредоносного ПО PlugX.

Earth Preta постоянно обновляет команды бэкдора в вредоносном ПО PlugX, с 2018 года наблюдаются такие версии, как PlugX, REDDELTA, Hodur и DOPLUGS. Последняя версия, DOPLUGS, содержит четыре команды бэкдора с зашифрованной передачей данных с использованием алгоритма RC4. Вариант DOPLUGS, поставляемый преимущественно из Вьетнама, использует законное программное обеспечение Adobe для обмана жертв. Вариант DOPLUGS с модулем KillSomeOne облегчает заражение через USB и добавляет новые функции, такие как установка законных исполняемых файлов с использованием DLL-зависимостей.

Вариант DOPLUGS с модулем KillSomeOne имеет сходство с оригинальным вариантом DOPLUGS, подчеркивая изменение методов заражения и расширяя возможности распространения вредоносных программ и кражи информации. Кроме того, настроенные образцы вредоносных программ PlugX, интегрированные с модулем KillSomeOne, были активны в течение нескольких лет, улучшая методы заражения через USB. Вариант перехода с DOPLUGS на Hodur сохраняет функциональность при изменении настроенных команд бэкдора для повышения производительности. В этой версии представлены два типа серверов C&C для обмена данными, упрощающие команды бэкдора и загрузку полезной нагрузки для внедрения в процесс. Earth Preta остается активной, особенно в Европе и Азии, что требует повышения осведомленности и готовности служб безопасности к противодействию будущим угрозам.

#ParsedReport #CompletenessHigh
20-02-2024

Cisco Talos Blog. Astaroth, Mekotio & Ousaban abusing Google Cloud Run in LATAM-focused malware campaigns

https://blog.talosintelligence.com/google-cloud-run-abuse

Report completeness: High

Threats:
Astaroth
Mekotio
Ousaban
Cloaking_technique
Bitsadmin
Lolbin_technique
Sysupdate
Vmprotect_tool

Industry:
Financial, Government

Geo:
Argentina, Brazilian, Brazil, America, American, Spanish, Latam

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1027, T1105, T1547.001, T1041, T1568, T1071, T1566.001

IOCs:
Domain: 30
Url: 26
File: 35
Path: 19
IP: 1
Hash: 15

Soft:
Microsoft Outlook

Crypto:
bitcoin

Algorithms:
zip, xor, sha256

Languages:
php, autoit, jscript, delphi, powershell, javascript

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/02

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, windows: 2, code: 8, schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Google Cloud Run используется злоумышленниками для распространения банковских троянов, таких как Astaroth, Mekotio и Ousaban, посредством обширных кампаний по распространению вредоносных программ, нацеленных на жертв в основном в Латинской Америке, причем с сентября 2023 года наблюдается всплеск вредоносных электронных писем. В этих кампаниях используются вредоносные установщики Microsoft в качестве дропперов или загрузчиков полезной нагрузки вредоносного ПО, а субъекты угроз используют различные тактики, чтобы избежать обнаружения и нацелиться на испаноязычных и италоязычных получателей, что указывает на единого субъекта угрозы, стоящего за операциями. Непрерывный мониторинг и анализ IOC и TTP имеют решающее значение для обнаружения и смягчения этих сложных киберугроз.
-----

Google Cloud Run используется в кампаниях по распространению вредоносных программ, нацеленных на жертв в Латинской Америке и Европе, распространяя банковские трояны, такие как Astaroth, Mekotio и Ousaban.

Резкий рост объема вредоносной электронной почты с сентября 2023 года при продолжающихся усилиях по распространению.

Варианты вредоносного ПО распространяются через вредоносные установщики Microsoft (MSI), действующие как дропперы.

Astaroth и Mekotio распространяются в рамках одного и того же облачного проекта Google и хранилища данных.

Astaroth нацелен на более чем 300 учреждений в 15 странах Латинской Америки.

Субъекты угроз нацелены в первую очередь на испаноязычных получателей, при этом некоторая активность направлена на носителей итальянского языка.

Вредоносные электронные письма, замаскированные под счета-фактуры или сообщения, перенаправляют получателей на облачные веб-сервисы, управляемые субъектами угроз.

Связь между кампаниями "Астарот", "Мекотио" и "Усабан" указывает на единого субъекта угрозы, стоящего за этими операциями.

Возможности Astaroth включают в себя кражу учетных данных криптовалюты, нажатие клавиши и захват скриншота, а также установление постоянства с помощью манипуляций с меню запуска.

Mekotio осуществляет фильтрацию финансовых данных и использует механизмы фильтрации на основе IP-геолокации.

Хэши SHA256, URL-адреса, IP-адреса и домены являются важными показателями компрометации для обнаружения кампаний и смягчения их последствий.

Постоянный мониторинг меняющейся тактики участников угроз имеет решающее значение для эффективной защиты от этих киберугроз.

#ParsedReport #CompletenessLow
20-02-2024

Breakdown of Tycoon Phishing-as-a-Service System

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/breakdown-of-tycoon-phishing-as-a-service-system

Report completeness: Low

Threats:
Tycoon_paas
Greatness_tool
Antibot
Redrum
Phisher

IOCs:
File: 2
Url: 864

Soft:
Telegram, Gmail, Active Directory Federation Services, ADFS

Algorithms:
base64, xor

Languages:
php, javascript

Links:
https://gist.github.com/drole/1469713841ab9a5121011e2eb88c5e87

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе фреймворка Tycoon Group "фишинг как услуга" с подробным описанием его особенностей, эволюции, цепочки атак, методов коммуникации и влияния на ландшафт киберугроз. В нем подчеркивается использование группой сложных методов, таких как обход двухфакторной аутентификации, уклонение от Cloudflare и интеграция с WebSocket, а также демократизация продвинутых фишинговых атак с помощью модели PaaS.
-----

Tycoon Group - это фреймворк "фишинг как услуга" (PaaS), обнаруженный командой по борьбе с глобальными угрозами Trustwave SpiderLabs вскоре после их отчета о PaaS Greatness. Продаваемый в Telegram всего за 120 долларов, Tycoon Group может похвастаться такими функциями, как обход двухфакторной аутентификации Microsoft, достижение высокой скорости соединения и использование Cloudflare для обхода мер защиты от ботов. Команда обнаружила этот PaaS во время расследования фишингового инцидента, отметив его уникальный метод связи с фишинговыми серверами.

Самая ранняя отправка фишинговой страницы Tycoon Group была обнаружена в августе 2023 года, а в обновлениях в октябре была представлена интеграция WebSocket для улучшения взаимодействия браузера с сервером. К февралю 2024 года была добавлена новая возможность обхода двухфакторной аутентификации для пользователей Gmail, расширив ее целевой диапазон за пределы пользователей Microsoft 365. Цепочка атак начинается со стандартной фишинговой кампании с использованием авторитетных доменов и облачных сервисов для маскировки истинного URL главной целевой страницы фишинга.

Перенаправление в рамках кампании предполагает переход по ссылке в электронном письме для доступа к документу-приманке, содержащему фишинговую ссылку. Целевая страница содержит PHP-скрипт "index.php", который загружает дополнительный компонент, файл JavaScript с именем "myscr", для генерации HTML-кода фишинговой страницы. Index.php может использовать методы запутывания, такие как кодирование Base64 и операции XOR, в то время как myscr использует множество методов, чтобы избежать обнаружения, включая длинные массивы десятичных целых чисел и непрозрачные предикаты.

JavaScript-скрипт аутентифицирует клики через турникет Cloudflare, чтобы отличать пользователей-людей от автоматических ботов, загружая специальную страницу входа после проверки. Он использует socket.io, библиотеку WebSocket, для связи с сервером фишера для извлечения учетных данных жертвы. Сервер WebSocket обычно размещается в том же домене, что и фишинговая страница, что обеспечивает эффективную передачу данных.

Подписчики Tycoon Group получают доступ к административной панели для управления кампаниями и контроля учетных данных в зависимости от их плана подписки. Панель позволяет создавать фишинговые темы, переключать функции PaaS и управлять фишинговыми учетными данными, включая имена пользователей, пароли и сеансовые файлы cookie. Подписчики могут пересылать результаты в свою учетную запись Telegram и загружать файл JavaScript, чтобы установить украденные файлы cookie в браузерах для несанкционированного доступа к учетной записи.

Модель фишинга как услуги, популяризируемая такими группами, как Tycoon Group и Greatness Phishing, демократизирует сложные фишинговые атаки даже для менее квалифицированных участников угроз. Использование WebSocket Tycoon Group отличает его тем, что оно облегчает эффективную передачу данных между браузерами и серверами, оптимизирует кампанию и управление учетными данными подписчиков.

#ParsedReport #CompletenessMedium
20-02-2024

Migo - a Redis Miner with Novel System Weakening Techniques

https://www.cadosecurity.com/migo-a-redis-miner-with-novel-system-weakening-techniques

Report completeness: Medium

Threats:
Migo
Upx_tool
Xmrig_miner
Dynamic_linker_hijacking_technique
Libprocesshider_rootkit
Log4shell_vuln

Geo:
Asian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1496, T1105, T1059.004, T1027, T1574.002, T1564.001, T1543.003, T1053.005, T1497.001, have more...

IOCs:
IP: 1
File: 3
Hash: 7

Soft:
Redis, curl, SELinux, systemd, UNIX, macOS

Algorithms:
gzip

Languages:
golang

Links:
https://github.com/gianlucaborello/libprocesshider
https://github.com/cado-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Cado Security Labs выявили новую вредоносную кампанию под названием Migo, которая нацелена на серверы Redis с целью криптоджекинга. Кампания предполагает использование уникальных методов ослабления системы против Redis, при этом вредоносное ПО поставляется в виде двоичного файла Golang ELF. Злоумышленники используют сложные тактики, такие как внедрение новых команд Redis, настройка вредоносных полезных нагрузок, размещенных на Transfer.sh, и использование руткита пользовательского режима для скрытия на скомпрометированных хостах. Кампания Migo иллюстрирует эволюционирующую тактику атакующих, ориентированных на облако, использующих передовые методы, чтобы избежать обнаружения и затруднить анализ.
-----

Новая вредоносная кампания под названием Migo нацелена на серверы Redis с целью криптоджекинга.

Migo использует уникальные методы ослабления системы для использования серверов Redis, поставляемых в виде двоичного файла Golang ELF.

Злоумышленники используют сложные методы, такие как добавление новых команд ослабления Redis и использование руткита пользовательского режима для тактики уклонения.

Основная полезная нагрузка - это упакованный ELF, скомпилированный из кода Go с использованием защитных мер, таких как запутывание во время компиляции.

Migo проводит системные проверки, изменяет ограничения ресурсов и оптимизирует операции интеллектуального анализа данных, устанавливая параметры огромных страниц.

Чтобы добиться постоянства, Migo использует службу systemd и таймер, а также руткит пользовательского режима для скрытия артефактов на диске.

Кампания демонстрирует эволюционирующую тактику атакующих, ориентированных на облако, и демонстрирует переход к более сложным и запутанным методам атак, препятствующим усилиям по обнаружению.

#ParsedReport #CompletenessMedium
20-02-2024

Pelmeni Wrapper: New Wrapper of Kazuar (Turla Backdoor). Infection Chain

https://lab52.io/blog/pelmeni-wrapper-new-wrapper-of-kazuar-turla-backdoor

Report completeness: Medium

Actors/Campaigns:
Turla

Threats:
Pelmeni_wrapper
Kazuar
Dll_sideloading_technique

Industry:
Government, Healthcare, Telco, Energy

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1574, T1574.002, T1055, T1055.012, T1041

IOCs:
Url: 3
Hash: 12

Soft:
Jenkins

Algorithms:
caesar_cipher, xor

Win API:
CreateThread, LoadLibrary

Languages:
dotnet

Links:
https://gist.github.com/lastguest/%20235cbf7d9f5cf97abb79