#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространении банковского трояна TeaBot во многих европейских странах, распространяемого через приложение-дроппер в Google Play Store с использованием тактики уклонения и передовых методов, с заметным сдвигом в сторону использования официальных магазинов приложений для распространения вредоносного ПО и расширением целевой базы, включая Россию.
-----

Банковский троян TeaBot растет во многих европейских странах со второй недели февраля. Начальная фаза заражения связана с приложением, ранее доступным в Google Play Store, которое было загружено более 100 000 раз, прежде чем оно было удалено. Это приложение действовало как дроппер, позволяя устанавливать троян TeaBot на различных этапах, используя передовые тактики уклонения, такие как запутывание и удаление файлов.

Одним из существенных изменений, наблюдаемых в последние годы, является то, что злоумышленники используют официальные магазины приложений для распространения вредоносных программ вместо того, чтобы полагаться исключительно на фишинговые кампании. Такой подход позволяет им охватить более широкую аудиторию, увеличивая потенциал для успешных мошеннических действий. Заражение TeaBot было обнаружено с помощью данных телеметрии, что указывает на использование приложений dropper для доставки вредоносных программ через Google Play Store. Процесс заражения включает в себя несколько этапов, начиная с того, что приложение dropper незаметно загружает дополнительный код и файлы конфигурации, чтобы избежать обнаружения.

Приложение dropper запрашивает определенные разрешения для управления дополнительным кодом, необходимым для последующих этапов заражения. В отличие от предыдущих кампаний, в которых банковский троянец загружался напрямую, эта кампания включает в себя несколько шагов и проверок перед установкой TeaBot. Вредоносная программа использует сложные методы обхода, такие как динамическая загрузка дополнительного исполняемого файла в виде dex-файла с сервера управления. Чередуя полезную нагрузку, содержащуюся в dex-файле, субъекты угроз повышают свою способность эффективно обходить меры безопасности.

Интересно, что кампания TeaBot охватывает такие страны, как Россия, несмотря на то, что обычно она исключается из других кампаний вредоносного ПО, нацеленных на Содружество Независимых Государств. Вредоносная программа после установки запрашивает разрешения доступа, чтобы получить контроль над зараженным устройством. Примечательно, что недавний образец TeaBot включал код, предназначенный для таргетинга на банковское приложение Revolut, что еще больше расширяет его возможности.

TeaBot был впервые обнаружен в январе 2021 года и с тех пор постоянно обновлялся, включая новые цели, методы уклонения и языковую поддержку. Участники угроз, стоящие за TeaBot, постоянно совершенствуют свою тактику, чтобы избежать обнаружения и максимизировать свою эффективность. Использование магазина Google Play в качестве метода распространения и потенциальная ориентация на граждан России представляют собой примечательные аспекты кампании TeaBot, свидетельствующие о стратегическом изменении приоритетов таргетинга со стороны участников угроз.

#ParsedReport #CompletenessLow
21-02-2024

Vibrator virus steals your personal information

https://www.malwarebytes.com/blog/news/2024/02/vibrator-virus-steals-your-personal-information

Report completeness: Low

Threats:
Lumma_stealer
Zipbomb_technique

ChatGPT TTPs:
do not use without manual check
T1193, T1056, T1485, T1027, T1566, T1205, T1105, T1059, T1057, T1090, have more...

IOCs:
Path: 2
File: 3
Hash: 3

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Malwarebytes предотвратила заражение вредоносным ПО с зараженного вибратора, подключенного к USB-порту, подчеркнув важность проактивной защиты от развивающихся киберугроз, таких как Lumma, нацеленная на криптовалютные кошельки, и данные двухфакторной аутентификации через USB-устройства.
-----

Клиент Malwarebytes Premium поделился на Reddit реальным случаем, когда Malwarebytes успешно заблокировал заражение своего компьютера вредоносным ПО, когда они подключили вибратор, в частности, 8-функциональный перезаряжаемый вибратор Bullet от Spencer Sexology Pussy Power, к USB-порту для зарядки. Вибратор был заражен Lumma, похитителем информации, известным тем, что нацеливался на криптовалютные кошельки и расширения браузера, а также собирал данные двухфакторной аутентификации. Lumma работает по модели "Вредоносное ПО как услуга" (MaaS), когда киберпреступники платят за доступ к вредоносному программному обеспечению и инфраструктуре.

Lumma обычно распространяется с помощью кампаний по электронной почте, но в данном случае он был распространен через зараженный USB-накопитель. Файлы XML, задействованные в атаке вредоносного ПО, по-видимому, были разработаны как XML-бомбы, которые представляют собой вредоносные файлы, предназначенные для сбоя веб-приложений путем экспоненциального расширения сущностей, во многом похожие на ZIP-бомбу. Эта тактика, вероятно, служит для отвлечения внимания от фактической полезной нагрузки вредоносного ПО. Вредоносный файл запускал сильно запутанный переносимый исполняемый файл, идентифицированный Malwarebytes как троян.Склеп.MSIL - общее название для обнаружения запутанных троянских программ, написанных на Microsoft Intermediate Language (MSIL). Удаленный исполняемый файл состоял как из Lumma Stealer, так и из дополнительной библиотеки .NET dll.

Клиенты Malwarebytes ThreatDown получают выгоду от расширенного контроля устройств, функции, которая активно сканирует USB-устройства при подключении, а не просто контролирует доступ. Пользователи могут заблокировать устройство до тех пор, пока оно не пройдет проверку, гарантируя, что угрозы будут обнаружены и нейтрализованы до того, как они смогут причинить вред. Этот механизм проактивной защиты играет решающую роль в предотвращении заражения вредоносными программами через USB-устройства и подчеркивает важность внедрения надежных мер кибербезопасности для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessLow
21-02-2024

Extra credit: VietCredCare information stealer takes aim at Vietnamese businesses

https://www.group-ib.com/blog/vietcredcare-stealer

Report completeness: Low

Threats:
Vietcredcare
Fategrab

Victims:
Leading vietnamese bank, Vietnamese government agencies, Universities, E-commerce platforms, Banks, Major vietnamese enterprises, Personal and business social media accounts

Industry:
Education, Financial, E-commerce, Government

Geo:
Vietnam, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1555, T1112, T1565, T1105, T1071, T1583, T1595, T1027, have more...

IOCs:
File: 3
Url: 2
Path: 2
Hash: 35

Soft:
Telegram, WhatsApp, Chrome, Chromium, Windows Defender, Slack

Algorithms:
sha256, exhibit

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
code: 3, schema: 1, windows: 9, chats: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Ключевые моменты:.
Group-IB обнаружила нового похитителя информации под названием VietCredCare, нацеленного на пользователей во Вьетнаме.
Вредоносная программа была специально нацелена на аккаунты Facebook, управляющие рекламой с положительным балансом мета-рекламы.
VietCredCare стремилась скомпрометировать конфиденциальную информацию, такую как данные банковской карты и учетные данные криптокошелька.
Вредоносная программа распространялась через фишинговые сайты, замаскированные под законные загрузки программного обеспечения.
В первую очередь он был нацелен на пользователей, управляющих профилями известных компаний и организаций в Facebook.
Киберпреступники, стоящие за VietCredCare, предлагали вредоносное ПО в качестве услуги, предоставляя покупателям доступ к уникальным каналам Telegram-ботов для утечки данных.
Вредоносная программа заразила жертв в 44 провинциях Вьетнама, воздействуя на правительственные учреждения, университеты, банки, предприятия и аккаунты в социальных сетях.
VietCredCare обладал расширенными функциональными возможностями для кражи файлов cookie и паролей, обхода двухфакторной аутентификации Facebook и автоматической классификации скомпрометированных аккаунтов с использованием рекламных кредитов.
Анализ Group-IB показал, что лица, говорящие по-вьетнамски, вероятно, ответственны за создание и использование VietCredCare.
Особое внимание уделялось сотрудничеству с правоохранительными органами для борьбы с угрозой, исходящей от таких похитителей информации, как VietCredCare.
-----

Group-IB обнаружила нового похитителя информации под названием VietCredCare, нацеленного на пользователей во Вьетнаме.

VietCredCare может отфильтровывать аккаунты Facebook с положительным балансом по мета-рекламе и фокусируется на компрометации конфиденциальной информации, такой как данные банковской карты и учетные данные крипто кошелька.

Вредоносная программа распространяется через фишинговые сайты, замаскированные под законные загрузки программного обеспечения, которыми делятся в социальных сетях и на платформах обмена сообщениями.

VietCredCare в первую очередь нацелена на пользователей, управляющих профилями известных компаний и организаций в Facebook, для потенциального захвата аккаунтов с целью политических манипуляций или получения финансовой выгоды путем фишинга и продажи учетных данных.

Вредоносная программа поражает жертв в 44 провинциях Вьетнама, с наибольшей концентрацией в Ханое, Хошимине и Дананге, затрагивая правительственные учреждения, университеты, банки и предприятия.

Сложные возможности VietCredCare включают в себя кражу файлов cookie и паролей из браузеров, обход двухфакторной аутентификации Facebook и автоматическую классификацию скомпрометированных учетных записей Facebook.

Вредоносная программа продвигается во вьетнамских кругах киберпреступников, что указывает на то, что лица, говорящие по-вьетнамски, вероятно, ответственны за ее создание и разработку.

Group-IB сотрудничала с правоохранительными органами Вьетнама в борьбе с угрозой, исходящей от VietCredCare, подчеркивая необходимость усиления мер кибербезопасности для снижения рисков.

#ParsedReport #CompletenessLow
21-02-2024

SSH-Snake: New Self-Modifying Worm Threatens Networks

https://sysdig.com/blog/ssh-snake

Report completeness: Low

Actors/Campaigns:
Labrat

Threats:
Ssh-snake_tool
Supply_chain_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1082, T1021, T1105, T1505, T1552, T1059, T1562, T1083, T1053, have more...

Soft:
rsync, Confluence

Languages:
perl, javascript

Links:
https://github.com/MegaManSec/SSH-Snake

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа исследователей угроз Sysdig обнаружила новый вредоносный инструмент отображения сети под названием SSH-Snake, который представляет собой самомодифицирующегося червя, предназначенного для использования учетных данных SSH в скомпрометированных системах для распространения по сетям. Этот инструмент активно используется субъектами угроз для наступательных операций, обладает повышенной скрытностью и эффективностью при обнаружении закрытых ключей SSH и способен автономно модифицировать себя, чтобы избежать обнаружения. Организациям рекомендуется использовать средства обнаружения угроз во время выполнения для защиты от развивающихся угроз, таких как SSH-Snake.
-----

Новый вредоносный инструмент отображения сети под названием SSH-Snake был обнаружен исследовательской группой Sysdig Threat Research 4 января 2024 года.

SSH-Snake - это самомодифицирующийся червь, который использует учетные данные SSH для распространения по сетям и создания обширной карты сетевых зависимостей для потенциального компрометирования.

Он может автономно модифицировать себя, чтобы уменьшить размер, устранить комментарии и работать без файлов, чтобы избежать обнаружения.

SSH-Snake проводит тщательный поиск закрытых ключей SSH в целевых системах различными методами, включая изучение файлов истории оболочки и источников сетевой информации.

Инструмент является универсальным, настраиваемым и предназначен для репликации и распространения на разных устройствах, не оставляя после себя традиционных следов файлов.

SSH-Snake активно используется участниками угроз в наступательных операциях и был связан с кампанией, использующей уязвимости в Confluence.

Обнаружение активности SSH-Snake может быть выполнено с помощью инструментов обнаружения угроз во время выполнения, таких как Sysdig Secure, или инструментов с открытым исходным кодом, таких как Falco.

Организациям рекомендуется использовать средства обнаружения угроз во время выполнения и настраивать правила обнаружения для защиты от развивающихся угроз, таких как SSH-Snake.

#ParsedReport #CompletenessMedium
21-02-2024

RustDoor and GateDoor: A New Pair of Weapons Disguised as Legitimate Software by Suspected Cybercriminal. Executive Summary

https://medium.com/s2wblog/rustdoor-and-gatedoor-a-new-pair-of-weapons-disguised-as-legitimate-software-by-suspected-34c94e558b40

Report completeness: Medium

Actors/Campaigns:
Shadowsyndicate
Sea_turtle

Threats:
Rustdoor
Gatedoor
Zuru
Cobalt_strike
Icedid
Sliver_c2_tool
Stealc
Truebot
Clop
Blackcat
Nokoyawa
Applescript

Geo:
Russia, Germany, Romania, Singapore, Romanian, Russian, Brazil

TTPs:
Tactics: 5
Technics: 7

IOCs:
IP: 6
Hash: 48
Domain: 8
File: 11
Path: 2
Registry: 1
Command: 1

Soft:
macOS, chatGPT, curl, Django, sysctl

Algorithms:
xor, zip, md5, sha256

Languages:
golang, rust

Platforms:
arm, intel, cross-platform, apple

#ParsedReport #ExtractedSchema

Classified images:
table: 11, schema: 6, windows: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и отслеживании вредоносных программ для macOS под названием RustDoor и GateDoor центром анализа угроз S2W. Эти варианты вредоносных программ распространяются под видом обычных обновлений программ или утилит и взаимодействуют с сервером C&C для выполнения команд, сбора информации, загрузки файлов и выполнения вредоносных действий. Считается, что они разработаны одним и тем же злоумышленником и связаны с партнерской программой-вымогателем ShadowSyndicate. Эволюция RustDoor от вредоносного ПО для Windows на базе Golang до вредоносного ПО для macOS на основе Rust указывает на стратегический сдвиг в нацеливании на устройства Apple. В тексте также подчеркивается растущее использование злоумышленниками технологий искусственного интеллекта и сохраняющийся ландшафт угроз для пользователей macOS.
-----

Центр анализа угроз S2W Talon обнаружил и отслеживал вредоносные программы для macOS под названием RustDoor и GateDoor, распространяемые в виде обновлений программного обеспечения или утилит.

RustDoor использует ключевые слова, связанные с Apple, а GateDoor замаскирован под утилиту WebViewHost, использующую метод перехвата порядка поиска DLL.

Обе вредоносные программы взаимодействуют с сервером C&C для выполнения команд, сбора данных, загрузки файлов и вредоносных действий, причем общие конечные точки связи указывают на одного и того же злоумышленника.

Инфраструктура RustDoor и GateDoor, по-видимому, связана с партнерской программой-вымогателем ShadowSyndicate (RaaS), что предполагает возможное сотрудничество между киберпреступниками.

Злоумышленники все чаще нацеливаются на пользователей macOS, используя такие языки, как Golang и Rust, для кроссплатформенных возможностей и технологии искусственного интеллекта для более эффективной разработки вредоносных программ.

RustDoor и GateDoor могут быть созданы одним и тем же создателем, причем RustDoor функционирует как бэкдор, а GateDoor - как загрузчик.

RustDoor эволюционирует от вредоносной программы для Windows на базе Golang к вредоносной программе для macOS на базе Rust, демонстрируя стратегический сдвиг в сторону таргетинга на устройства Apple.

Методы сохранения включают регистрацию RustDoor в программах запуска macOS и хранение информации о конфигурации в формате JSON.

GateDoor выполняет произвольный код, фокусируется на функциях бэкдора и загрузчика в системах Windows и взаимодействует с сервером C&C для выполнения задач.

Схемы коммуникации, сайты распространения и функции дополнительных вариантов вредоносного ПО, таких как DataCollector, предполагают скоординированные усилия киберпреступных групп, потенциально связанных с филиалами RaaS, такими как ShadowSyndicate.

#ParsedReport #CompletenessMedium
21-02-2024

Operation Texonto: Information operation targeting Ukrainian speakers in the context of the war

https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war

Report completeness: Medium

Actors/Campaigns:
Texonto (motivation: psyop, cyber_criminal, disinformation, cyber_espionage)
Seaborgium (motivation: cyber_espionage)
Sandworm
Gamaredon (motivation: cyber_espionage)

Threats:
Industoyer2
Spear-phishing_technique

Victims:
Ukrainian defense company, Eu agency, Ukrainian government, Energy companies, Individuals in ukraine, People in other european countries, An italian shoe manufacturer

Industry:
Healthcare, Logistic, Military, Foodtech, Energy, Government

Geo:
Belarus, Palestinian, Ukraine, Russian, Belarusian, Rus, Ukrainians, Ukrainian, Canadian, Italian, Usa, Russia

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 18
Email: 13
Url: 1
File: 3
IP: 11

Soft:
Telegram, Microsoft Office 365, Outlook, Office 365

Platforms:
arm

Links:
https://github.com/eset/malware-ioc/tree/master/operation\_texonto

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в усилиях ESET по защите украинской ИТ-инфраструктуры от кибератак, в частности, в выявлении и расследовании кибератак и кампаний дезинформации, проводимых группами, связанными с Россией. В тексте обсуждаются конкретные операции, такие как операция Texonto, кампании подводной охоты, технические совпадения между различными кибероперациями и эволюционирующие стратегии, используемые этими субъектами угроз. Кроме того, в нем освещается взаимосвязь между кибероперациями, кампаниями по дезинформации и коммерческим спамом, что проливает свет на сложную и многогранную природу современных киберугроз в контексте эскалации кибервойн в Украине.
-----

ESET активно защищает украинскую ИТ-инфраструктуру от кибератак с 2022 года, особенно во время эскалации конфликта.

ESET раскрыла масштабную дезинформационную и психологическую операцию "Операция Texonto", которая использовала спам-рассылки для распространения ложной информации, связанной с нехваткой отопления, лекарств и продовольствия в Украине.

Были выявлены кампании шпионского фишинга, нацеленные на украинские оборонные компании и агентства ЕС с целью кражи учетных данных Microsoft Office 365, при этом сходство в сетевой инфраструктуре указывает на сильную корреляцию между этими атаками.

Злоумышленники, стоящие за операцией Texonto, перепрофилировали почтовый сервер для распространения спама в канадских аптеках, что указывает на сочетание кибершпионажа, информационных операций и незаконной предпринимательской деятельности, напоминающей группу кибершпионажа Callisto.

Хотя операции "Тексонто" и "Каллисто" имеют концептуальное сходство, технические совпадения остаются неясными, но операция предварительно связана с объединением, поддерживаемым Россией, на основе тактики и целей.

В Украине развернулись различные кампании по дезинформации, выдающие себя за министерства украинского правительства с целью распространения дезинформации и подрыва доверия среди населения.

Переход от кампаний по дезинформации к призыву получателей принять тревожные резолюции в декабре 2023 года предполагал изменение стратегий в рамках операции.

Переход домена, используемого для рассылки электронных писем PSYOP, для распространения спама в канадских аптеках в январе 2024 года может сигнализировать об изменении мотивов злоумышленников, подчеркивая сложность современных киберугроз.

Связанные с Россией кибергруппировки, такие как Sandworm и Gamaredon, активизировали киберактивность в Украине, и операция Texonto является частью этих враждебных кампаний, направленных на влияние на общественное восприятие во время конфликта.

#ParsedReport #CompletenessLow
22-02-2024

Doppelgnger \| Russia-Aligned Influence Operation Targets Germany

https://www.sentinelone.com/labs/doppelganger-russia-aligned-influence-operation-targets-germany

Report completeness: Low

Actors/Campaigns:
Doppelgnger (motivation: disinformation, propaganda)

Victims:
German audiences, General population

Industry:
Government, Healthcare

Geo:
German, Ukraine, France, Usa, Russian, Russia, Israel, Germany

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1583, T1584, T1027, T1071, T1043, T1090, T1573, T1568, have more...

IOCs:
Domain: 60

Soft:
WordPress, cPanel

Algorithms:
exhibit

Languages:
javascript