#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 3, schema: 1, dump: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитик cyber threat intelligence выявил новые вредоносные пакеты Python в репозитории PyPI, созданном группой Lazarus threat actor group. Пакеты, pycryptoenv и pycryptoconf, содержат определенный тип вредоносного ПО под названием Comebacker, которое взаимодействует с серверами управления для получения и запуска исполняемых файлов Windows. Аналитик предупреждает пользователей о необходимости соблюдать осторожность при установке пакета и предоставляет информацию о поведении и характеристиках вредоносного ПО.
-----

Аналитик по анализу киберугроз из JPCERT/CC подтвердил, что Lazarus, печально известная группа исполнителей угроз, выпустила новые вредоносные пакеты Python в репозитории PyPI. Два идентифицированных пакета называются pycryptoenv и pycryptoconf, что напоминает законный пакет pycrypto, используемый для алгоритмов шифрования в Python. Злоумышленник, вероятно, создал эти пакеты, чтобы использовать опечатки пользователей во время установки. Статья посвящена подробностям этих вредоносных пакетов, в качестве примера приводится pycryptoenv, поскольку его файловая структура схожа с другими подтвержденными пакетами.

Основным вредоносным компонентом в вредоносных пакетах Python является файл с именем test.py, который является не скриптом Python, а закодированными двоичными данными в виде DLL-файла. Этот специфический тип вредоносного ПО, известный как Comebacker, соответствует вредоносному ПО, использованному Lazarus в предыдущей атаке на исследователей безопасности, о чем сообщила Google в январе 2021 года. Несмотря на отсутствие кода в pycryptoenv для непосредственного запуска вредоносного ПО, злоумышленник, вероятно, использует скрипт на Python для запуска функции crypt, ответственной за выполнение test.py в целевой системе.

Анализ углубляется в поведение, запускаемое при инициировании процесса декодирования и выполнения для test.py. Путь выполнения от pycryptoenv к основной части вредоносного ПО включает создание и выполнение DLL-файлов, таких как IconCache.db и NTUSER.DAT, что приводит к активации Comebacker. Примечательно, что идентифицируемые шаблоны кода NOP в образце вредоносного ПО совпадают с характеристиками, обнаруженными в других вариантах вредоносного ПО, связанных с Lazarus, таких как BLINDINGCAN.

Comebacker устанавливает связь со своими серверами Command and Control (C2), отправляя HTTP POST-запросы, получая взамен исполняемые файлы Windows, которые затем выполняет в памяти. Этот механизм связи подразумевает командно-управляемый подход, при котором вредоносная программа управляется злоумышленниками удаленно. Аналогичный вектор атаки с использованием пакета npm для распространения Comebacker наблюдался в прошлом, что еще больше вовлекает Lazarus в проведение этих многоплановых кампаний по распространению вредоносного ПО в различных репозиториях пакетов.

Вредоносные пакеты Python были загружены от 300 до 1200 раз, что свидетельствует об активной ориентации пользователей, которые могут не заметить незначительные опечатки во время установки пакета. Пользователям рекомендуется проявлять осторожность при установке модулей и программного обеспечения, чтобы предотвратить непреднамеренную загрузку вредоносных пакетов. Приложение, вероятно, содержит дополнительную информацию об инфраструктуре C2 и другие соответствующие детали, относящиеся к проанализированным образцам вредоносных программ.

Аналитик, участвовавший в этом исследовании, обладает значительным опытом в анализе вредоносных программ и криминалистических расследованиях, уделяя особое внимание инцидентам с целенаправленными атаками. Имея опыт мониторинга и анализа безопасности в ИТ-компании, аналитик выступал с докладами на различных престижных конференциях по безопасности, демонстрируя глубокое понимание развивающихся киберугроз и стратегий защиты.

#ParsedReport #CompletenessMedium
28-02-2024

One year later, Rhadamanthys is still dropped via malvertising

https://www.malwarebytes.com/blog/threat-intelligence/2024/02/one-year-later-rhadamanthys-is-still-dropped-via-malvertising

Report completeness: Medium

Threats:
Rhadamanthys
Parsec_tool
Fakebat
Nitrogen
Hijackloader
Netsupportmanager_rat
Cloaking_technique
Putty_tool

Geo:
Poland

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1027, T1071, T1553.002, T1046, T1588.002

IOCs:
Domain: 4
Hash: 3
IP: 2
Email: 2

Soft:
WinSCP, Slack

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается устойчивость вредоносной программы Rhadamanthys stealer в рекламных кампаниях, нацеленных на загрузку программного обеспечения, особенно ориентированных на бизнес-пользователей, используя популярные программные продукты, такие как Parsec, FreeCAD, WinSCP, Slack и Notion. Злоумышленники используют различные тактики, включая поддельную рекламу и веб-сайты-приманки, для распространения Rhadamanthys, целью которого является кража конфиденциальной информации из таких приложений, как PuTTY и WinSCP. Несмотря на принятые меры безопасности, предприятия продолжают сталкиваться с рисками, связанными с этими вредоносными рекламными кампаниями, что приводит к потенциальным нарушениям или атакам программ-вымогателей.
-----

Rhadamanthys stealer, вредоносная программа, которая первоначально появилась в виде вредоносной рекламы, продолжает проводить кампании по вредоносной рекламе, нацеленные на загрузку программного обеспечения. Даже в 2024 году эти кампании продолжаются, причем недавний всплеск произошел после затишья прошлым летом. В настоящее время эти атаки направлены на такие программные продукты, как Parsec, FreeCAD, WinSCP, Advanced IP Scanner, Slack и Notion. Субъекты угроз в первую очередь нацелены на бизнес-пользователей, развертывая полезные приложения, такие как FakeBat, Nitrogen, Hijackloader и Rhadamanthys.

Rhadamanthys в основном распространяется через malspam и malvertising, при этом злоумышленники используют веб-сайты-приманки, чтобы заманить жертв на загрузку вредоносного ПО. Первоначальным переносчиком заражения является дроппер, который извлекает Rhadamanthys с URL-адреса, размещенного в Интернете. Поисковые запросы Google, связанные с понятиями, возвращали вредоносную рекламу, указывая на то, как злоумышленники используют популярное программное обеспечение для обмана пользователей. Сайт TexBin paste зафиксировал значительный трафик, связанный с URL-адресом, на котором размещен Rhadamanthys.

Примечательным аспектом этих вредоносных кампаний является использование поддельной рекламы, часто создаваемой, казалось бы, законными лицами. Например, реклама, связанная с BUDNIK PAWE из Польши, использовалась для распространения вредоносного ПО в недавней кампании. Эта конкретная рекламная кампания, обнаруженная в начале 2024 года, первоначально привела к загрузке NetSupport RAT, но с тех пор эволюционировала для доставки Rhadamanthys в качестве конечной полезной нагрузки с помощью серии перенаправлений, направленных на то, чтобы избежать обнаружения.

Двоичный файл Windows для Rhadamanthys подписан, но цифровая подпись кажется недействительной. Лицо, подписавшее сертификат, связано с PuTTY inventor, что указывает на потенциальный обман или отзыв сертификата. Поведение Rhadamanthys связано с попытками кражи учетных данных из таких приложений, как PuTTY, WinSCP и почтовые программы, что подчеркивает его нацеленность на извлечение конфиденциальной информации.

Несмотря на знакомство с этими тактиками вредоносной рекламы, картина угроз остается тревожной, поскольку компании сообщают об инцидентах, когда сотрудники были скомпрометированы после взаимодействия с вредоносной рекламой. Последующие действия после заражения обычно включают развертывание инструментов пентестинга, предшествующих крупномасштабным нарушениям или атакам программ-вымогателей. Хотя об инфраструктуре, используемой при атаках, сообщается, а программное обеспечение безопасности, такое как Malwarebytes и ThreatDown, обеспечивает защиту, упреждающие меры, такие как фильтрация DNS для онлайн-рекламы, могут помочь эффективно предотвратить вредоносную рекламу в организациях.

#ParsedReport #CompletenessMedium
28-02-2024

z0Miner attacker exploits domestic web servers to attack WebLogic servers

https://asec.ahnlab.com/ko/62166

Report completeness: Medium

Threats:
Z0miner
Netcat_tool
Anydesk_tool
Behinder
Zubin
Godzilla_webshell
Chinachopper
Frpc_tool
Xmrig_miner
Trojan/win.frp

Geo:
China

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1505, T1100, T1547

IOCs:
File: 20
IP: 3
Domain: 2
Coin: 2
Hash: 21

Soft:
confluence, activemq, curl

Crypto:
monero

Algorithms:
md5

Languages:
powershell

Links:
https://github.com/theralfbrown/WebShell-2/blob/master/jsp/SJavaWebManageV1.4.jsp
https://github.com/NS-Sp4ce/CVE-2021-21972/blob/main/payload/Linux/shell.jsp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в идентификации злоумышленника z0Miner, нацеленного на серверы WebLogic с использованием конкретных уязвимостей, их методах распространения и выполнения вредоносного кода, а также важности исправления уязвимых систем и поддержания программного обеспечения в актуальном состоянии для предотвращения кибератак.
-----

Был идентифицирован злоумышленник z0Miner, нацелившийся на серверы WebLogic с использованием уязвимостей CVE-2020-14882 и CVE-2020-14883, распространяющий вредоносный код в отечественных системах. Злоумышленник использует powershell.exe и certutil.exe в Windows и команду curl в Linux для загрузки вредоносных файлов на скомпрометированные серверы. Используя уязвимости, такие как CVE-2020-14882, злоумышленник загружает веб-оболочки JSP, чтобы получить постоянный контроль над системами. Используются три различные веб-оболочки, включая JSP File Browser, Shack2 и Behinder, причем JSP File Browser версии 1.2 настраивается злоумышленником. Эта веб-оболочка JSP позволяет злоумышленнику незаметно управлять системами, соответственно устанавливая названия и пароли.

Более того, злоумышленник использует Frpc как в базовой, так и в настраиваемой формах для установления соединений. Netcat, сетевая утилита, облегчающая чтение и запись данных, загружается под именем userinit.exe, позволяя удаленный доступ к оболочке, обход брандмауэра и управление системой. Кроме того, после установки Netcat наблюдается, что злоумышленник устанавливает AnyDesk в системах, уязвимых к уязвимости Apache ActiveMQ (CVE-2023-46604). Злоумышленник распространяет Windows XMRig версии 6.18.0 и Linux XMRig версии 6.18.1, обеспечивая постоянство с помощью различных методов, таких как фильтр событий WMI и регистрация пользователя или регистрация планировщика (schtasks) для выполнения вредоносных скриптов.

Способ действия злоумышленника включает в себя нацеливание на незащищенные серверы WebLogic, проникновение в системы с целью кражи данных или развертывания программ-вымогателей, подчеркивая важность мониторинга неуправляемых портов и серверных сред. Системным администраторам рекомендуется поддерживать службы WebLogic в актуальном состоянии для устранения известных уязвимостей, в то время как пользователям рекомендуется обновляться до последних версий программного обеспечения, чтобы предотвратить заражение вредоносными программами.

#ParsedReport #CompletenessMedium
28-02-2024

CACTUS: Analyzing a Coordinated Ransomware Attack on Corporate Networks. VictimA - Initial Compromise

https://www.bitdefender.com/blog/businessinsights/cactus-analyzing-a-coordinated-ransomware-attack-on-corporate-networks

Report completeness: Medium

Threats:
Cactus
Kinsing_miner
Meterpreter_tool
Password_spray_technique
Anydesk_tool
Psnmap_tool
Dwagent_tool
Dwservice_tool
Passthehash_technique
Blackbasta

CVEs:
CVE-2023-38035 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ivanti mobileiron sentry (le9.18.0)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Path: 11
IP: 9
Hash: 14
File: 11
Command: 2
Registry: 1

Soft:
ESXi, Hyper-V, Ivanti, Ubuntu, Local Security Authority, Process Explorer, PsExec, Task Scheduler, Active Directory, Chrome, have more...

Crypto:
monero

Algorithms:
md5

Functions:
PsExec, setsid, excve

Win API:
LsaRegisterLogonProcess

Languages:
powershell

Links:
https://github.com/horizon3ai/CVE-2023-38035

#ParsedReport #ExtractedSchema

Classified images:
schema: 8, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной атаке с использованием программ-вымогателей, осуществленной злоумышленником CACTUS, который использовал уязвимости программного обеспечения для одновременной атаки на несколько компаний. Злоумышленники продемонстрировали синхронизацию и многогранные аспекты атаки, подчеркнув тенденцию нацеливания на уязвимости, а не на конкретные отрасли или компании. Злоумышленники использовали различные методы, включая развертывание средств удаленного доступа, эксфильтрацию данных и внедрение программ-вымогателей на конечных точках и виртуальных машинах. График атак раскрывает методический подход CACTUS, подчеркивающий важность быстрого исправления уязвимостей и надежных возможностей обнаружения и реагирования для организаций при защите от таких сложных угроз.
-----

Bitdefender Labs оказала помощь в расследовании, связанном с скоординированной атакой вымогателей со стороны threat actor CACTUS на две компании, которые быстро использовали уязвимости программного обеспечения после их раскрытия.

CACTUS нацелился на инфраструктуру виртуализации, зашифрованные виртуальные машины и продемонстрировал синхронизацию в своих атаках.

С 2022 года киберпреступники переходят к атакам на уязвимые места, а не на конкретные отрасли, и ожидается, что атаки будут усиливаться.

Атака началась с использования критической уязвимости в Ivanti MobileIron Sentry, которая позволила обойти средства аутентификации и привела к удаленному выполнению кода.

CACTUS использовал различные полезные нагрузки и методы, включая XMR-майнеры и веб-оболочки, что указывает на сотрудничество с такими субъектами угроз, как Kinsing.

Злоумышленники устанавливали соединения, сбрасывали пароли учетных записей, устанавливали средства удаленного доступа, извлекали данные и запускали атаки с использованием программ-вымогателей на конечные точки и виртуальные машины.

CACTUS использовал PsExec и пользовательские двоичные файлы, нацеленные на хосты Windows и ESXi, шифруя файлы с определенными расширениями и нарушая доступ к гипервизору.

После компрометации VictimA злоумышленники перешли к следующей цели, использовали пользовательские скрипты для обнаружения сети и эксфильтрации данных и получили учетные данные системного администратора для доступа к VPN.

Временная шкала атак программ-вымогателей продемонстрировала методичный подход от первоначального компрометации до эксфильтрации и шифрования данных, подчеркнув важность быстрого исправления уязвимостей и возможностей эффективного реагирования для организаций.

#ParsedReport #CompletenessMedium
28-02-2024

When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east

Report completeness: Medium

Actors/Campaigns:
Unc1549 (motivation: cyber_espionage)
Dev-0343 (motivation: cyber_espionage)
Tortoiseshell (motivation: cyber_espionage)
Irgc

Threats:
Supply_chain_technique
Minibike
Minibus
Smokeloader
Credential_harvesting_technique
Spear-phishing_technique
Lightrail
Beacon

Victims:
Aerospace companies, Aviation companies, Defense contractors, It providers, Dji

Industry:
Aerospace, Education

Geo:
Iran, German, Iranian, Emirates, Albania, Turkey, India, Israelis, Israeli, Israel

ChatGPT TTPs:
do not use without manual check
T1566, T1110, T1566.002, T1190, T1547.001, T1071, T1027, T1574.002, T1047, T1090, have more...

IOCs:
Domain: 141
Hash: 45
File: 26
Path: 6
Registry: 3
IP: 1

Soft:
outlook, Microsoft SharePoint, Microsoft OneDrive, Android

Algorithms:
zip, md5

Platforms:
x64

Links:
https://github.com/codewhitesec/Lastenzug

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста связана с докладом Mandiant о предполагаемой шпионской деятельности, связанной с Ираном, направленной против аэрокосмической, авиационной и оборонной промышленности в странах Ближнего Востока. Кампания, приписываемая иранскому субъекту UNC1549, направлена на компрометацию цепочек поставок, нацеливаясь на оборонных подрядчиков и ИТ-провайдеров, используя вредоносные бэкдоры и облачную инфраструктуру. Злоумышленники применяли различные методы уклонения и делились тактикой с другими участниками угроз, связанными с Ираном, демонстрируя сложную и продолжающуюся вредоносную деятельность.
-----

Компания Mandiant опубликовала сообщение в блоге с подробным описанием предполагаемой шпионской деятельности, связанной с Ираном, направленной против аэрокосмической, авиационной и оборонной промышленности в странах Ближнего Востока, включая Израиль, ОАЭ и, возможно, Турцию, Индию и Албанию. Эта кампания, с умеренной уверенностью приписываемая иранскому субъекту UNC1549, который пересекается с Tortoiseshell - субъектом угрозы, связанным с Корпусом стражей Исламской революции Ирана (КСИР), направлена на компрометацию цепочек поставок, нацеливаясь на оборонных подрядчиков и ИТ-провайдеров.

Активность, наблюдаемая Mandiant, продолжается, по крайней мере, с июня 2022 года и продолжает сохраняться по состоянию на февраль 2024 года. Злоумышленники применяли различные методы уклонения, в том числе широко использовали облачную инфраструктуру Microsoft Azure и схемы социальной инженерии для распространения двух уникальных бэкдоров под названием MINIBIKE и MINIBUSUS. UNC1549 разработала более 125 поддоменов Azure command-and-control (C2), подчеркивая широкомасштабный характер таргетинга, который выходит за пределы Ближнего Востока.

Кампания использует приманки на тему работы и поддельные веб-сайты для доставки вредоносной полезной нагрузки целям, уделяя значительное внимание организациям, связанным с обороной в аэрокосмическом и авиационном секторах. Посредством детального анализа Mandiant выявила оперативную тактику, методы и процедуры (TTP), используемые UNC1549, которые включают в себя сложные вредоносные действия, ранее не связанные с Ираном.

Ключевые результаты указывают на связь между UNC1549, Tortoiseshell и Smoke Sandstorm/BOHRIUM с общей тактикой, такой как использование .Сетевых приложений для доставки вредоносных программ и использование поддельных веб-сайтов в злонамеренных целях. Усилия кампании, направленные на то, чтобы остаться незамеченными, включают использование облачной инфраструктуры для коммуникаций C2 и использование обманчивых схем присвоения доменных имен, чтобы слиться с законным сетевым трафиком.

Анализ вредоносных программ, проведенный Mandiant, выявил два основных бэкдора, использовавшихся в кампании: MINIBIKE и МИКРОАВТОБУС. MINIBIKE, действующий как минимум с июня 2022 года, обеспечивает полную функциональность бэкдора, в то время как MINIBUS, представленный примерно в августе 2023 года, предлагает более продвинутые функции разведки и гибкий интерфейс выполнения кода. Кроме того, был замечен туннелировщик, известный как LIGHTRAIL, имеющий сходство с минибайком и МИКРОАВТОБУСОМ и указывающий на скоординированные операции в рамках кампании UNC1549.

#ParsedReport #CompletenessLow
28-02-2024

Beware the Shallow Waters: Savvy Seahorse Lures Victims to Fake Investment Platforms Through Facebook Ads

https://blogs.infoblox.com/cyber-threat-intelligence/beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads

Report completeness: Low

Threats:
Savvy_seahorse_actor
Agent_tesla
Cringe_rat
Prolific_puma
Vextrio
Blackrock

Industry:
Petroleum, Telco, Financial

Geo:
Spanish, Nigerian, Russia, Afghanistan, Nigeria, Fiji, Italian, Turkish, French, Tonga, Russian, Moldova, Ukraine, Canadian, Polish, India, German, Czech, Zambia, Japan

ChatGPT TTPs:
do not use without manual check
T1566, T1583, T1568, T1071, T1199, T1020, T1110

IOCs:
Domain: 143
IP: 1

Soft:
ChatGPT, WhatsApp, Android

Languages:
javascript

Platforms:
apple

Links:
https://github.com/infobloxopen/threat-intelligence/tree/main/indicators

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - об исполнителе угроз DNS по имени Savvy Seahorse, который проводит сложные кампании по финансовому мошенничеству, используя инновационные методы, такие как использование записей CNAME в качестве системы распределения трафика, чтобы избежать обнаружения. Злоумышленник использует различные тактики, такие как создание поддельных инвестиционных платформ, использование поддельных чат-ботов, использование терминологии DNS, использование алгоритмов генерации доменов и внедрение процессов проверки регистрации для обмана пользователей и сбора финансовой информации с целью получения денежной выгоды.
-----

В тексте обсуждается исполнитель угроз DNS по прозвищу Savvy Seahorse, который специализируется на проведении сложных кампаний по финансовому мошенничеству с использованием инновационных методов. Метод работы Savvy Seahorse заключается в убеждении жертв создавать аккаунты на поддельных инвестиционных платформах, вносить депозиты на личный счет, а затем переводить эти депозиты в банк в России. Актер использует рекламу в Facebook для привлечения пользователей на свои веб-сайты, где они регистрируются на поддельных инвестиционных платформах, выдающих себя за такие известные компании, как Tesla, Facebook/Meta и Imperial Oil. Чтобы повысить доверие к своим кампаниям, Savvy Seahorse использует поддельных ботов ChatGPT и WhatsApp, которые предоставляют автоматические ответы пользователям, побуждая их делиться личной информацией в обмен на высокодоходные инвестиционные возможности.

Savvy Seahorse использует записи канонических имен DNS (CNAME) для создания системы распределения трафика (TDS) для своих мошеннических кампаний. Используя записи CNAME таким образом, субъект угрозы может динамически обновлять IP-адреса вредоносных кампаний и контролировать доступ к контенту, тем самым избегая обнаружения отраслью безопасности. Этот подход использования CNAMEs в качестве TDS, разработанного для вредоносных целей, является новой тактикой, о которой сообщает отрасль.

В документе объясняется различная терминология DNS, используемая в контексте анализа угроз, такая как доменное имя, базовый домен, поддомен и имя хоста, чтобы помочь в понимании технических аспектов деятельности субъекта угроз. В нем подчеркивается использование записей CNAME в DNS для создания псевдонимов для доменных имен и улучшения управления конфигурацией DNS.

Savvy Seahorse использует алгоритм генерации доменов (DGA) для создания псевдослучайных поддоменов, связанных с доменами основной кампании, что позволяет злоумышленнику проводить несколько мошеннических кампаний под различными поддоменами. Злоумышленник использует DNS-записи с подстановочными знаками и регулярно меняет IP-адреса, чтобы сохранить скрытность и избежать обнаружения средствами безопасности.

В тексте описывается сложный процесс проверки регистрации, используемый Savvy Seahorse для исключения трафика из определенных стран и обеспечения законности пользовательской информации. Злоумышленник предлагает пользователям пополнять свои кошельки через различные платежные источники, включая Visa/Mastercard и российских платежных провайдеров, с требуемой минимальной суммой депозита. Финансовая информация, собранная от жертв, направляется в домены обработки платежей, а транзакции направляются в Сбербанк, российский банк, демонстрируя нацеленность злоумышленника на получение денежной выгоды.

Кампании Savvy Seahorse охватывают несколько языков и используют различные методы привлечения, включая выдачу себя за известные бренды, такие как Apple, и использование чат-ботов для взаимодействия с пользователями. Кампании направлены на то, чтобы обманом заставить пользователей предоставлять личную и финансовую информацию, что в конечном итоге приводит к мошенническим действиям.

#ParsedReport #CompletenessLow
29-02-2024

Spreading MSIX malware disguised as Notion installation file

https://asec.ahnlab.com/ko/62324

Report completeness: Low

Threats:
Lumma_stealer
Process_hollowing_technique
Trojan/win.generic.c5557471

ChatGPT TTPs:
do not use without manual check
T1204, T1059, T1071, T1105, T1547, T1112, T1055, T1566

IOCs:
File: 6
Url: 13
Hash: 3

Soft:
Windows installer, Slack

Languages:
powershell