#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста связана с докладом Mandiant о предполагаемой шпионской деятельности, связанной с Ираном, направленной против аэрокосмической, авиационной и оборонной промышленности в странах Ближнего Востока. Кампания, приписываемая иранскому субъекту UNC1549, направлена на компрометацию цепочек поставок, нацеливаясь на оборонных подрядчиков и ИТ-провайдеров, используя вредоносные бэкдоры и облачную инфраструктуру. Злоумышленники применяли различные методы уклонения и делились тактикой с другими участниками угроз, связанными с Ираном, демонстрируя сложную и продолжающуюся вредоносную деятельность.
-----

Компания Mandiant опубликовала сообщение в блоге с подробным описанием предполагаемой шпионской деятельности, связанной с Ираном, направленной против аэрокосмической, авиационной и оборонной промышленности в странах Ближнего Востока, включая Израиль, ОАЭ и, возможно, Турцию, Индию и Албанию. Эта кампания, с умеренной уверенностью приписываемая иранскому субъекту UNC1549, который пересекается с Tortoiseshell - субъектом угрозы, связанным с Корпусом стражей Исламской революции Ирана (КСИР), направлена на компрометацию цепочек поставок, нацеливаясь на оборонных подрядчиков и ИТ-провайдеров.

Активность, наблюдаемая Mandiant, продолжается, по крайней мере, с июня 2022 года и продолжает сохраняться по состоянию на февраль 2024 года. Злоумышленники применяли различные методы уклонения, в том числе широко использовали облачную инфраструктуру Microsoft Azure и схемы социальной инженерии для распространения двух уникальных бэкдоров под названием MINIBIKE и MINIBUSUS. UNC1549 разработала более 125 поддоменов Azure command-and-control (C2), подчеркивая широкомасштабный характер таргетинга, который выходит за пределы Ближнего Востока.

Кампания использует приманки на тему работы и поддельные веб-сайты для доставки вредоносной полезной нагрузки целям, уделяя значительное внимание организациям, связанным с обороной в аэрокосмическом и авиационном секторах. Посредством детального анализа Mandiant выявила оперативную тактику, методы и процедуры (TTP), используемые UNC1549, которые включают в себя сложные вредоносные действия, ранее не связанные с Ираном.

Ключевые результаты указывают на связь между UNC1549, Tortoiseshell и Smoke Sandstorm/BOHRIUM с общей тактикой, такой как использование .Сетевых приложений для доставки вредоносных программ и использование поддельных веб-сайтов в злонамеренных целях. Усилия кампании, направленные на то, чтобы остаться незамеченными, включают использование облачной инфраструктуры для коммуникаций C2 и использование обманчивых схем присвоения доменных имен, чтобы слиться с законным сетевым трафиком.

Анализ вредоносных программ, проведенный Mandiant, выявил два основных бэкдора, использовавшихся в кампании: MINIBIKE и МИКРОАВТОБУС. MINIBIKE, действующий как минимум с июня 2022 года, обеспечивает полную функциональность бэкдора, в то время как MINIBUS, представленный примерно в августе 2023 года, предлагает более продвинутые функции разведки и гибкий интерфейс выполнения кода. Кроме того, был замечен туннелировщик, известный как LIGHTRAIL, имеющий сходство с минибайком и МИКРОАВТОБУСОМ и указывающий на скоординированные операции в рамках кампании UNC1549.

#ParsedReport #CompletenessLow
28-02-2024

Beware the Shallow Waters: Savvy Seahorse Lures Victims to Fake Investment Platforms Through Facebook Ads

https://blogs.infoblox.com/cyber-threat-intelligence/beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads

Report completeness: Low

Threats:
Savvy_seahorse_actor
Agent_tesla
Cringe_rat
Prolific_puma
Vextrio
Blackrock

Industry:
Petroleum, Telco, Financial

Geo:
Spanish, Nigerian, Russia, Afghanistan, Nigeria, Fiji, Italian, Turkish, French, Tonga, Russian, Moldova, Ukraine, Canadian, Polish, India, German, Czech, Zambia, Japan

ChatGPT TTPs:
do not use without manual check
T1566, T1583, T1568, T1071, T1199, T1020, T1110

IOCs:
Domain: 143
IP: 1

Soft:
ChatGPT, WhatsApp, Android

Languages:
javascript

Platforms:
apple

Links:
https://github.com/infobloxopen/threat-intelligence/tree/main/indicators

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - об исполнителе угроз DNS по имени Savvy Seahorse, который проводит сложные кампании по финансовому мошенничеству, используя инновационные методы, такие как использование записей CNAME в качестве системы распределения трафика, чтобы избежать обнаружения. Злоумышленник использует различные тактики, такие как создание поддельных инвестиционных платформ, использование поддельных чат-ботов, использование терминологии DNS, использование алгоритмов генерации доменов и внедрение процессов проверки регистрации для обмана пользователей и сбора финансовой информации с целью получения денежной выгоды.
-----

В тексте обсуждается исполнитель угроз DNS по прозвищу Savvy Seahorse, который специализируется на проведении сложных кампаний по финансовому мошенничеству с использованием инновационных методов. Метод работы Savvy Seahorse заключается в убеждении жертв создавать аккаунты на поддельных инвестиционных платформах, вносить депозиты на личный счет, а затем переводить эти депозиты в банк в России. Актер использует рекламу в Facebook для привлечения пользователей на свои веб-сайты, где они регистрируются на поддельных инвестиционных платформах, выдающих себя за такие известные компании, как Tesla, Facebook/Meta и Imperial Oil. Чтобы повысить доверие к своим кампаниям, Savvy Seahorse использует поддельных ботов ChatGPT и WhatsApp, которые предоставляют автоматические ответы пользователям, побуждая их делиться личной информацией в обмен на высокодоходные инвестиционные возможности.

Savvy Seahorse использует записи канонических имен DNS (CNAME) для создания системы распределения трафика (TDS) для своих мошеннических кампаний. Используя записи CNAME таким образом, субъект угрозы может динамически обновлять IP-адреса вредоносных кампаний и контролировать доступ к контенту, тем самым избегая обнаружения отраслью безопасности. Этот подход использования CNAMEs в качестве TDS, разработанного для вредоносных целей, является новой тактикой, о которой сообщает отрасль.

В документе объясняется различная терминология DNS, используемая в контексте анализа угроз, такая как доменное имя, базовый домен, поддомен и имя хоста, чтобы помочь в понимании технических аспектов деятельности субъекта угроз. В нем подчеркивается использование записей CNAME в DNS для создания псевдонимов для доменных имен и улучшения управления конфигурацией DNS.

Savvy Seahorse использует алгоритм генерации доменов (DGA) для создания псевдослучайных поддоменов, связанных с доменами основной кампании, что позволяет злоумышленнику проводить несколько мошеннических кампаний под различными поддоменами. Злоумышленник использует DNS-записи с подстановочными знаками и регулярно меняет IP-адреса, чтобы сохранить скрытность и избежать обнаружения средствами безопасности.

В тексте описывается сложный процесс проверки регистрации, используемый Savvy Seahorse для исключения трафика из определенных стран и обеспечения законности пользовательской информации. Злоумышленник предлагает пользователям пополнять свои кошельки через различные платежные источники, включая Visa/Mastercard и российских платежных провайдеров, с требуемой минимальной суммой депозита. Финансовая информация, собранная от жертв, направляется в домены обработки платежей, а транзакции направляются в Сбербанк, российский банк, демонстрируя нацеленность злоумышленника на получение денежной выгоды.

Кампании Savvy Seahorse охватывают несколько языков и используют различные методы привлечения, включая выдачу себя за известные бренды, такие как Apple, и использование чат-ботов для взаимодействия с пользователями. Кампании направлены на то, чтобы обманом заставить пользователей предоставлять личную и финансовую информацию, что в конечном итоге приводит к мошенническим действиям.

#ParsedReport #CompletenessLow
29-02-2024

Spreading MSIX malware disguised as Notion installation file

https://asec.ahnlab.com/ko/62324

Report completeness: Low

Threats:
Lumma_stealer
Process_hollowing_technique
Trojan/win.generic.c5557471

ChatGPT TTPs:
do not use without manual check
T1204, T1059, T1071, T1105, T1547, T1112, T1055, T1566

IOCs:
File: 6
Url: 13
Hash: 3

Soft:
Windows installer, Slack

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Появилась новая угроза, связанная с вредоносным ПО MSIX, замаскированным под установочный файл Notion, нацеленным на ничего не подозревающих пользователей через обманчивый сайт распространения, имитирующий законную домашнюю страницу Notion. Вредоносная программа устанавливается вместе с подлинным программным обеспечением Notion, устанавливая соединения с сервером управления для выполнения команд PowerShell и кражи конфиденциальных данных. Вредоносное программное обеспечение, идентифицированное как LummaC2, работает скрытно в системе Windows installer service host, подчеркивая важность осторожности пользователей при загрузке файлов и проверке подлинности. В тексте также подчеркивается необходимость повышенной бдительности в области кибербезопасности в отношении меняющихся тактик, используемых киберпреступниками.
-----

Появилась новая угроза, связанная с вредоносной программой MSIX, замаскированной под установочный файл Notion, которая обманом заставляет пользователей загружать вредоносное программное обеспечение.

В процессе установки вредоносного ПО создаются два критически важных файла: StartingScriptWrapper.ps1 и refresh.ps1, причем последний содержит вредоносную полезную нагрузку.

Файл refresh.ps1 подключается к серверу управления для загрузки и выполнения дополнительных команд PowerShell.

В ходе анализа была идентифицирована вредоносная программа LummaC2, способная красть конфиденциальные данные и скрытно работать на узле службы установки Windows.

Пользователям рекомендуется проверять подлинность домена при загрузке файлов и тщательно проверять подписи издателей, чтобы оставаться защищенными.

Индикаторы угроз, связанные с этой кампанией, включают хэши MD5 для задействованных вредоносных файлов.

Осторожность и бдительность необходимы при обращении с исполняемыми файлами, поскольку киберпреступники постоянно совершенствуют свою тактику обмана и компрометации систем.

#ParsedReport #CompletenessMedium
01-03-2024

Beware the Bait: Java RATs Lurking in Tax Scam Emails

https://www.esentire.com/blog/beware-the-bait-java-rats-lurking-in-tax-scam-emails

Report completeness: Medium

Threats:
Rattyrat
Sorillus
Smuggling_technique

Geo:
Apac, Emea, America

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1027, T1112, T1547, T1562, T1489, T1056, have more...

IOCs:
File: 4
Hash: 6
IP: 2
Url: 2

Algorithms:
zip, base64, md5

Languages:
java

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SorillusRAT\_RattyRAT/SorilusRAT\_RattyRAT\_iocs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена подразделению реагирования на угрозы eSentire (TRU) и их усилиям по повышению устойчивости организации с помощью упреждающих мер кибербезопасности, в частности, фишинговой кампании, нацеленной на организации во время налогового сезона с помощью вредоносного ПО удаленного доступа на базе JAVA (RAT). В тексте освещается тактика, используемая участниками угроз, проблемы обнаружения, важность стратегий защиты и необходимость принятия надежных мер безопасности для снижения рисков, связанных с такими угрозами.
-----

Налоговый сезон выделяется как критический период для организаций, поскольку он порождает угрозы кибербезопасности финансовой тематики из-за шквала действий, связанных с налогообложением. Субъекты угроз извлекают выгоду из этой возможности для проведения фишинговых атак, используя возросшую срочность и объем сообщений, связанных с налогами. В начале февраля 2024 года eSentire TRU раскрыла фишинговую кампанию в секторе бизнес-услуг, в которой использовались налоговые темы. Эта кампания включала распространение вредоносных программ-троянцев удаленного доступа на базе JAVA (RAT), в частности Ratty RAT и Sorillus RAT.

В первом наблюдаемом случае злоумышленники использовали контрабанду HTML для доставки вредоносной полезной нагрузки. HTML-вложение содержало двоичный объект в кодировке Base64, который декодировался в случайный текст, а также встроенный URL-адрес, содержащий вредоносный ZIP-архив с именем Tax_documents_PDF.zip, в котором размещалась крыса Sorillus. Во втором случае речь шла о ZIP-файле с именем 2023-FILES-MY1040-w2-IRS-letter-1099r_PDF.zip, который содержал вредоносную программу Ratty RAT. Ratty RAT, RAT на базе Java, разработанный человеком, известным как Sogomn, позволяет субъектам угроз выполнять различные вредоносные действия, включая захват экрана, настройку чата и кейлоггера, установление персистентности и функции манипулирования хостом.

Эта фишинговая кампания стратегически нацелена на организации из разных секторов во время налогового сезона, чтобы воспользоваться возросшей активностью и срочностью переписки, связанной с налогами. Использование HTML-контрабанды помогает злоумышленникам обходить традиционные механизмы обнаружения, кодируя вредоносную полезную нагрузку во вложениях HTML. Использование нескольких полезных программ, таких как Sorillus RAT и Ratty RAT, подчеркивает гибкость атакующих и проблемы в усилиях по обнаружению. Наличие вредоносных программ с открытым исходным кодом, таких как Ratty RAT, подчеркивает постоянную угрозу, исходящую от таких инструментов, что требует надежных стратегий защиты. Использование ZIP-файлов для доставки вредоносных программ и последующего запуска Ratty RAT подчеркивает важность оперативных мер безопасности, включая обучение пользователей и решения для сканирования электронной почты для снижения рисков, связанных с вредоносными вложениями.

#ParsedReport #CompletenessMedium
01-03-2024

Securonix Threat Research Knowledge Sharing Series: Batch (DOS) Obfuscation or DOSfuscation: Why It s on the Rise, and How Attackers are Hiding in Obscurity

https://www.securonix.com/blog/securonix-threat-research-knowledge-sharing-series-batch-obfuscation

Report completeness: Medium

Actors/Campaigns:
Steep_maverick

Threats:
Dosfuscation_technique
Villain_tool
Hoaxshell_tool
Batcloak_tool
More_eggs
Underground_team_ransomware
Trickbot
Ocxharvesters
Seroxen_rat
Asyncrat
Yourcyanide
Batloader
Charmingcypress
Redline_stealer
Revshell_tool

TTPs:
Tactics: 2
Technics: 5

IOCs:
File: 6
Path: 1
Url: 3

Soft:
curl, Windows Defender, Sysinternals

Algorithms:
zip

Languages:
php, powershell, python

Links:
https://github.com/danielbohannon/Invoke-Obfuscation
https://github.com/bobby-tablez/Py-BATCH-Fuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Субъекты киберугроз все чаще используют запутанные пакетные сценарии, известные как пакетная обработка (DOS) или DOSfuscation, для обхода методов обнаружения антивирусного программного обеспечения и аналитиков центра управления безопасностью (SOC), при этом некоторые вредоносные кампании используют сложные методы запутывания, чтобы избежать обнаружения и повысить эффективность. Эксперты по безопасности должны использовать методы деобфускации для эффективного анализа этих развивающихся киберугроз и борьбы с ними.
-----

Субъекты киберугроз все чаще используют запутанные пакетные сценарии, тенденцию, известную как пакетная обработка (DOS) или DOSfuscation, чтобы обойти механизмы обнаружения, такие как антивирусное программное обеспечение и аналитики центра управления безопасностью (SOC). Несмотря на доступность более надежных платформ для выполнения кода, таких как PowerShell, субъекты угроз выбирают cmd.exe из-за отсутствия встроенной поддержки пакетных сценариев в Windows Antimalware Scan Interface (AMSI). Запутывание команд в пакетных сценариях направлено на то, чтобы избежать обнаружения, представляя собой простой, но эффективный метод для злоумышленников снизить вероятность попадания антивируса во время первоначального выполнения кода.

Кампании вредоносных программ часто используют запутанные DOS/пакетные сценарии, выполняемые на начальном этапе цепочки атак. Пример включает отправку фишингового электронного письма с вложенным вредоносным zip-файлом, содержащим файл быстрого доступа, который ведет к cmd.exe с добавленным запутанным кодом при открытии. Этот метод широко распространен в семействах вредоносных программ, таких как CharmingCypress, где используется запутанный пакетный код. Методы запутывания варьируются от простого разделения строк до более продвинутых методов, требующих переменных окружения и извлечения индекса переменной.

RedLine Stealer, распространенный штамм вредоносного ПО, использует сложный метод пакетной обфускации, который включает в себя создание переменных окружения и манипулирование кодировкой. В некоторых случаях вредоносная полезная нагрузка кодируется с использованием таких методов, как изменение кодировки файла на UTF-16 LE, которая может быть деобфускирована с помощью онлайн-инструментов или помощи скрипта. Фреймворки Villain и Hoaxshell были расширены для поддержки строк подключения на основе CMD, что повысило их эффективность при обходе антивирусных обнаружений, особенно в сочетании с дополнительными уровнями запутывания.

Таким образом, использование запутанных пакетных сценариев в кампаниях вредоносного ПО служит тактикой уклонения от механизмов обнаружения, подчеркивая постоянную адаптацию и изощренность субъектов киберугроз в обходе средств контроля безопасности. Обнаружение и анализ запутанных скриптов требуют специальных знаний в области методов деобфускации, чтобы разгадать намерения скриптов и эффективно смягчить потенциальные киберугрозы.

#ParsedReport #CompletenessLow
01-03-2024

XRed Backdoor: The Hidden Threat in Trojanized Programs

https://www.esentire.com/blog/xred-backdoor-the-hidden-threat-in-trojanized-programs

Report completeness: Low

Actors/Campaigns:
Sea_turtle

Threats:
Xred
Njrat

Industry:
Education

Geo:
Turkish, America, Apac, Emea

ChatGPT TTPs:
do not use without manual check
T1193, T1053, T1060, T1091, T1027, T1059, T1112, T1204

IOCs:
File: 6
Hash: 92
Domain: 2
Path: 2
Registry: 1
Url: 10
Email: 3

Algorithms:
md5

Functions:
GetCMDAccess, GetScreenImage

Win API:
DeleteFile

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/XRed%20Backdoor/xred\_backdoor\_iocs.txt
https://github.com/RussianPanda95/Yara-Rules/blob/main/XRed\_Backdoor/mal\_xred\_backdoor.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) выявило и нейтрализовало вредоносный бэкдор под названием XRed, который был активен как минимум с 2019 года и был замаскирован под легальное программное обеспечение. Анализ выявил возможности бэкдора, методы доставки и характеристики разработчика.
-----

В начале февраля TRU обнаружила вредоносный бэкдор под названием XRed, замаскированный под Synaptics.exe, программное обеспечение, связанное с функциональностью сенсорной панели. Этот бэкдор был активен как минимум с 2019 года и был обнаружен и помещен на карантин службой MDR eSentire.

Дальнейшее расследование показало, что бэкдор XRed был установлен с использованием троянского программного обеспечения и обладал заметными возможностями сохранения и распространения. Функциональность бэкдора включала сбор системной информации, такой как MAC-адрес, имя пользователя и название компьютера, передачу данных злоумышленникам по протоколу SMTP и возможность ведения кейлоггинга с помощью подключения клавиатуры. Кроме того, бэкдор XRed мог распространяться через USB-накопители, создавая файлы autorun.inf. Он также включал встроенный защищенный паролем скрипт VBA, который манипулировал существующими файлами XLSM, вводил вредоносный код и отключал предупреждения безопасности для макросов VBA. Анализ показал, что разработчик этого бэкдора, скорее всего, был носителем турецкого языка, учитывая присутствие турецкого языка в коде.

Использование бэкдором файлов autorun.inf для использования функции автозапуска в старых версиях Windows подчеркнуло необходимость защиты устаревших систем и отключения устаревших функций, которые могут быть использованы вредоносными программами. Манипуляции встроенного скрипта VBA с XLSM-файлами и тактика социальной инженерии подчеркнули важность программ обучения пользователей для снижения риска заражения вредоносными программами с помощью методов обмана.

#ParsedReport #CompletenessLow
26-02-2024

Android/SpyNote Moves to Crypto Currencies

https://www.fortinet.com/blog/threat-research/android-spynote-moves-to-crypto-currencies

Report completeness: Low

Threats:
Spynote_rat

Victims:
Android users with mobile crypto wallet or banking applications

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1547.011, T1566, T1059.005, T1574.001, T1112, T1056.003, T1140, T1027, T1583.001, T1496, have more...

IOCs:
File: 3
Hash: 1

Soft:
Android

Wallets:
imtoken

Algorithms:
sha1, base64, zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается троян удаленного доступа SpyNote (RAT), нацеленный на устройства Android, в частности на пользователей с мобильными крипто-кошельками или банковскими приложениями. SpyNote стал распространенным вредоносным ПО на Android с 2020 года, более 10 000 образцов указывают на его широкое присутствие. Ключевым событием стало обнаружение вредоносного образца, замаскированного под законный криптокошелек, использующего API специальных возможностей для вредоносных действий, таких как запись жестов и мошеннических транзакций. Вредоносное ПО накладывает поддельные страницы для криптопереводов, подчеркивая переход к финансовой выгоде за счет кражи криптовалюты. Пользователи предупреждены о предоставлении разрешений Accessibility API подозрительным приложениям, поскольку вредоносное ПО представляет значительную угрозу конфиденциальности пользователей и финансовой безопасности.
-----

В тексте обсуждается появление и эволюция троянца удаленного доступа SpyNote (RAT) на устройствах Android, специально предназначенного для пользователей мобильных крипто-кошельков или банковских приложений. SpyNote стал одним из самых распространенных семейств вредоносных программ на Android с 2020 года, с различными образцами и интеграциями других RATs, таких как CypherRat. Существует более 10 000 образцов SpyNote, что указывает на его широкое присутствие в среде угроз.

Важным событием, отмеченным в тексте, является обнаружение 1 февраля вредоносного образца, замаскированного под законный криптокошелек, но на самом деле содержащего SpyNote RAT вместе с функциями, связанными с антианализом и манипуляциями с криптовалютой. Вредоносная программа использует API специальных возможностей для выполнения вредоносных действий, таких как запись жестов разблокировки устройства и нацеливание на популярные крипто-кошельки для мошеннических транзакций.

Одна из примечательных тактик, используемых вредоносным ПО, заключается в наложении поддельной HTML-страницы для перевода криптовалюты поверх интерфейса приложения с законным кошельком жертвы. На странице отображаются адреса мошеннических кошельков, что затрудняет жертвам распознать мошенничество. Используя API специальных возможностей, вредоносная программа автоматизирует процесс заполнения формы перевода и отправки криптовалюты на адрес кошелька злоумышленников. Это свидетельствует о смещении акцента злоумышленников в сторону получения финансовой выгоды за счет кражи криптовалюты.

В тексте подчеркивается аспект социальной инженерии того, как вредоносное ПО получает доступ к API специальных возможностей, обманывая пользователей и заставляя их предоставлять разрешения под видом законных приложений, таких как криптокошельки. Пользователям рекомендуется быть осторожными при предоставлении таких разрешений и тщательно проверять запросы из подозрительных источников. Способность вредоносного ПО манипулировать пользовательскими интерфейсами и взаимодействовать с различными приложениями представляет значительную угрозу конфиденциальности пользователей и финансовой безопасности.

Что касается мер по борьбе с анализом, вредоносное ПО реализует методы, позволяющие избежать автоматического обнаружения, хотя эти методы относительно просты для противодействия аналитикам-людям. Однако эти методы могут задержать обнаружение вредоносного ПО, предоставляя субъектам угрозы окно возможностей для осуществления их вредоносных действий.

#ParsedReport #CompletenessMedium
01-03-2024

Into the Depths of Abyss Locker

https://cyberint.com/blog/research/into-the-depths-of-abyss-locker

Report completeness: Medium

Threats:
Abyss_locker
Hellokitty
Spear-phishing_technique
Supply_chain_technique

Industry:
Ics

Geo:
Usa

TTPs:
Tactics: 9
Technics: 20

Soft:
ESXi

Algorithms:
chacha20, aes

Languages:
powershell