#ParsedReport #CompletenessMedium
29-02-2024

DarkGate Malware: Exploring Threats and Countermeasures

https://socradar.io/darkgate-malware-exploring-threats-and-countermeasures

Report completeness: Medium

Threats:
Darkgate
Qakbot
Rastafareye_actor
Hvnc_tool
Dll_sideloading_technique

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1218, T1027, T1071, T1036, T1056, T1110, T1105, have more...

IOCs:
File: 1
Domain: 1

Soft:
Microsoft Teams, Discord, Office 365

Algorithms:
base64

Languages:
powershell, swift, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: DarkGate - это сложный и постоянно развивающийся инструментарий вредоносного ПО, который представляет значительную угрозу в сфере киберпреступности, с различными возможностями, такими как удаленное выполнение кода, кража данных и методы уклонения. Разработанный подпольным пользователем по имени RastaFarEye, DarkGate распространяется по модели, основанной на подписке, а в новых версиях представлены расширенные функции, такие как hVNC, кейлоггер и руткит-модули. Вредоносная программа взаимодействует со своим командно-контрольным сервером посредством пользовательского кодирования, что позволяет осуществлять вредоносные действия, такие как кейлоггинг, кража учетных данных и майнинг криптовалют. DarkGate распространялся посредством фишинговых кампаний с использованием таких платформ, как Microsoft Teams, и был связан с использованием уязвимостей в Microsoft Teams, Office 365 и Skype. Финансовые последствия заражения DarkGate могут быть серьезными, что требует принятия надежных мер кибербезопасности, включая защиту конечных точек, сетевую безопасность, безопасность электронной почты, обучение пользователей, управление исправлениями, анализ информации об угрозах и планирование реагирования на инциденты для эффективного обнаружения, предотвращения и реагирования на эту постоянную угрозу вредоносного ПО.
-----

DarkGate - это сложный и развивающийся инструментарий для разработки вредоносных программ, который стал заметной угрозой в сфере киберпреступности.

DarkGate, разработанный RastaFarEye, продается по модели подписки, цены на которую достигают 15 000 долларов в месяц.

DarkGate обладает различными возможностями, включая удаленное выполнение кода, кражу данных и обход механизмов обнаружения.

DarkGate взаимодействует со своим командно-контрольным сервером, используя пользовательскую кодировку Base64, что позволяет вести кейлоггинг, кражу учетных данных, удаленное выполнение кода и майнинг криптовалют.

Фишинговые кампании с использованием инструментов совместной работы, таких как Microsoft Teams, использовались для распространения вредоносного ПО DarkGate.

DarkGate участвовала в кампаниях, использующих уязвимости в Microsoft Teams и использующих скомпрометированные учетные записи Office 365 и Skype.

В DarkGate v4 появились новые функции, такие как hVNC, кейлоггер и руткит-модуль.

Заражение DarkGate может привести к нарушениям конфиденциальности, финансовым потерям, сбоям в работе и ущербу репутации.

Снижение рисков DarkGate требует надежных мер кибербезопасности, включая защиту конечных точек, средства контроля сетевой безопасности, шлюзы безопасности электронной почты и обучение пользователей.

Проактивные стратегии, такие как управление исправлениями, анализ информации об угрозах, планирование реагирования на инциденты и непрерывный мониторинг, необходимы для борьбы с DarkGate и аналогичными продвинутыми вредоносными угрозами.

#ParsedReport #CompletenessHigh
29-02-2024

Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b

Report completeness: High

Actors/Campaigns:
Unc5221

Threats:
Phobos
Glasstoken
Giftedvisitor
Bushwalk
Lightwire
Chainline_shell
Nmap_tool
Timestomp_technique
Netcat_tool
Sliver_c2_tool
Mimikatz_tool
Wirefire
Warpwire

Victims:
Ivanti

Industry:
Government, Ics

Geo:
Australian, Canadian, Australia

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


TTPs:
Tactics: 5
Technics: 5

IOCs:
File: 14
IP: 22
Domain: 13
Hash: 9
Email: 1

Soft:
Ivanti, Active Directory, remote desktop services, Windows Registry, PsExec, cpanel

Algorithms:
base64

Languages:
perl, powershell, javascript, python

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10%20Ivanti%20Connect%20Secure/indicators/iocs.csv
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - критическое консультативное предупреждение по кибербезопасности об активном использовании уязвимостей в шлюзах Ivanti Connect Secure и Ivanti Policy Secure злоумышленниками. Это консультативное заключение содержит подробную информацию об уязвимостях, воздействии, рекомендациях по реагированию на инциденты, мерах по смягчению последствий и важности упреждающих действий в области кибербезопасности, поддерживаемых различными агентствами по кибербезопасности, и подчеркивает глобальное воздействие проблемы.
-----

В тексте описываются важные рекомендации по кибербезопасности, касающиеся активного использования уязвимостей, затрагивающих шлюзы Ivanti Connect Secure и Ivanti Policy Secure, злоумышленниками, создающими киберугрозы. Эти уязвимости, включая CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 и CVE-2024-21893, влияют на все поддерживаемые версии шлюзов (9.x и 22.x). Эксплойты позволяют злоумышленникам обходить аутентификацию, выполнять произвольные команды с повышенными привилегиями и получать сохраняемость на уровне root даже после сброса настроек к заводским настройкам.

Мероприятия по реагированию на инциденты показали, что внутренние и внешние средства ИКТ Ivanti не смогли обнаружить компрометации, что подчеркивает серьезность ситуации. В рекомендации сетевым защитникам рекомендуется использовать скомпрометированные учетные данные, отслеживать вредоносные действия, запускать новейшие средства ИКТ Ivanti и применять рекомендации по исправлению по мере поступления обновлений. Рекомендуется отслеживать наличие индикаторов компрометации (IOCs), поддерживать обновленные системы, ограничивать SSL-VPN-подключения непривилегированными учетными записями и ограничивать исходящие интернет-подключения к основным службам.

Рекомендации поддерживаются различными агентствами по кибербезопасности, включая ФБР, MS-ISAC, ACSC ASD, NCSC-UK и другими, призывающими организации принимать меры предосторожности против изощренных злоумышленников, использующих уязвимости Ivanti. Примечательно, что было замечено, как субъекты угроз внедряют веб-оболочки, такие как GLASSTOKEN и GIFTEDVISITOR, для выполнения команд и сбора учетных данных, что приводит к боковому перемещению и потенциальной компрометации всего домена.

Дополнительные уязвимости (CVE-2024-21893, CVE-2024-22024, CVE-2024-21888) были раскрыты Ivanti после того, как участники угроз обошли первоначальные меры по смягчению и разработали новые варианты веб-оболочки. В тексте упоминаются многочисленные инциденты, когда CVE использовались для первоначального доступа и сбора учетных данных, при этом субъекты угроз использовали встроенные инструменты на устройствах Ivanti.

В рекомендации приводятся меры по смягчению последствий, рекомендации по реагированию на инциденты и подчеркивается важность упреждающих мер кибербезопасности. В нем также содержится информация о том, как сообщать об инцидентах соответствующим органам в США и Австралии, подчеркивая глобальное воздействие уязвимостей Ivanti и необходимость международного сотрудничества в борьбе с киберугрозами.

Кроме того, в тексте освещаются исследовательские усилия CISA с использованием виртуального устройства для оценки путей атак и механизмов сохранения, раскрывающие проблемы при выявлении компрометаций из-за доступа на корневом уровне и обманчивых результатов проверки целостности. В рекомендациях также подчеркивается использование правил YARA и методов обнаружения от Volexity, а также рекомендаций по составлению аналитических карт киберугроз с использованием таких фреймворков, как MITRE ATT&CK.

#ParsedReport #CompletenessLow
01-03-2024

The Art of Domain Deception: Bifrost's New Tactic to Deceive Users

https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware

Report completeness: Low

Threats:
Adwind_rat
Bifrose
Typosquatting_technique

Geo:
America, Apac, Emea, Taiwan, Japan, Japanese

ChatGPT TTPs:
do not use without manual check
T1566.001, T1190, T1071, T1110, T1583.001, T1568.002, T1027, T1584.002, T1588.002, T1041, have more...

IOCs:
Domain: 1
Hash: 2
IP: 2

Algorithms:
rc4, sha256

Platforms:
x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и угрозе, исходящей от нового Linux-варианта троянца удаленного доступа Bifrost (RAT), который использует инновационные методы уклонения, включая вводящий в заблуждение домен для обхода мер безопасности. Этот вариант Bifrost нацелен на компрометацию целевых систем путем сбора конфиденциальной информации и использования шифрования для уклонения от обнаружения. Наличие как x86-, так и ARM-версий вредоносного ПО указывает на попытки злоумышленника расширить зону своей атаки. Всплеск активности Bifrost, обнаруженный Palo Alto Networks, подчеркивает растущую угрозу и важность противодействия таким вредоносным программам для защиты конфиденциальных данных и компьютерных систем.
-----

Был обнаружен новый Linux-вариант Bifrost, троянца удаленного доступа (RAT), использующий инновационные методы уклонения.

Этот вариант использует домен, вводящий в заблуждение, download.vmfare.com, похожий на VMware, для обхода мер безопасности и компрометации систем.

Злоумышленники распространяют Bifrost через вложения электронной почты или вредоносные веб-сайты, собирая информацию о жертвах после установки.

Был найден последний образец варианта Bifrost (SHA256: 8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729), размещенный по IP 45.91.82.127.

Он устанавливает связь, собирает пользовательские данные, шифрует с помощью RC4 и пытается связаться с тайваньским DNS-распознавателем.

ARM-версия Bifrost была обнаружена рядом с версией x86, что указывает на расширение возможностей атаки.

Сети Пало-Альто за последние месяцы обнаружили более 100 случаев Bifrost, что свидетельствует о росте активности.

Palo Alto Networks предлагает защиту от Bifrost благодаря брандмауэру нового поколения и сотрудничеству с Альянсом по борьбе с киберугрозами.

#ParsedReport #CompletenessLow
29-02-2024

GUloader Unmasked: Decrypting the Threat of Malicious SVG Files

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/guloader-unmasked-decrypting-the-threat-of-malicious-svg-files

Report completeness: Low

Threats:
Cloudeye
Polymorphism_technique
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1497, T1059, T1218, T1574, T1547, T1105

IOCs:
File: 1
Url: 1
Registry: 1
Hash: 3

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Chrome

Algorithms:
base64, zip

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что GUloader - это сложный загрузчик вредоносных программ, известный своими скрытными методами и тактикой уклонения, которые позволяют ему избежать обнаружения традиционными мерами безопасности. Он обладает высокой степенью адаптации, используя полиморфный код и шифрование для проникновения в сети, создания точек входа для вредоносных действий, а также загрузки и развертывания различных других вариантов вредоносного ПО. В тексте также освещается конкретная кампания GUloader, которая использовала вредоносный SVG-файл, распространяемый по электронной почте, для инициирования серии вредоносных действий в системе жертвы. В общем сообщении подчеркивается важность сохранения бдительности и внедрения надежных мер кибербезопасности для защиты от угроз, подобных GUloader.
-----

GUloader - это сложный загрузчик вредоносных программ, известный своими скрытными методами и тактикой уклонения, которые позволяют ему избегать обнаружения традиционными мерами безопасности. Он обладает способностью динамически изменять свою структуру с помощью полиморфного кода и шифрования, что затрудняет идентификацию и смягчение последствий для антивирусного программного обеспечения и систем обнаружения вторжений. Такая адаптивность позволяет GUloader постоянно проникать в сети и создавать точки входа для дальнейших вредоносных действий.

В недавнем отчете McAfee Labs освещалась кампания GUloader, которая распространялась с помощью вредоносного файла SVG, отправленного по электронной почте. Файлы SVG обычно используются для векторной графики и поддерживают интерактивность и анимацию с помощью языков сценариев, таких как JavaScript и CSS. В этом сценарии атаки вредоносный SVG-файл содержал JavaScript-код, который был встроен в изображение, что создало вредоносный ZIP-архив при открытии вложения. Этот ZIP-файл содержал файл сценария Windows (WSF), который подключался к вредоносному домену с помощью PowerShell для выполнения шеллкода, введенного в законное приложение MSBuild.

Атака начинается с того, что жертва получает спам-сообщение по электронной почте с вложением, содержащим вредоносный SVG-файл. Когда жертва открывает вложение, код JavaScript внутри SVG-изображения запускает создание вредоносного ZIP-архива. Затем пользователю предлагается расшифровать и сохранить файл, что инициирует выполнение PowerShell для подключения к вредоносному домену. Содержимое, полученное из домена, включает данные в кодировке base64, содержащие шелл-код и сценарий PowerShell. Сценарий PowerShell загружает шелл-код в процесс MSBuild, используя удаление процесса, изменяет ключ запуска реестра для сохранения, а также загружает и выполняет окончательную вредоносную полезную нагрузку.

GUloader также способен загружать и развертывать различные другие варианты вредоносных программ, что делает его универсальным инструментом для киберпреступников, стремящихся осуществлять целый ряд вредоносных действий. Его способность избегать обнаружения и закрепляться в сетях подчеркивает важность того, чтобы организации и отдельные лица сохраняли бдительность и применяли надежные меры кибербезопасности для защиты от развивающихся угроз, таких как GUloader.

#ParsedReport #CompletenessLow
01-03-2024

Malware analysis report: Snake keylogger. IOCs

https://mssplab.github.io/threat-hunting/2024/03/01/malware-analysis-snake-keylogger-1.html

Report completeness: Low

Threats:
Snake_keylogger

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1056, T1113, T1115, T1567, T1204, T1105, T1573, T1041, T1082, T1566, have more...

IOCs:
File: 7
Hash: 1

Soft:
Telegram, Windows Setup

Functions:
tAcKs, autoopen, PsfmA, LaunchINFSectionW, whtle, CByte, flkmt, rFdPB

Win API:
WinExec

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кейлоггера Snake, сложного средства для кражи информации, которое тайно извлекает личную информацию у жертв. Анализ сосредоточен на том, как кейлоггер использует Advpack.dll, чтобы обойти традиционные средства защиты, подчеркивая его способность использовать тактику социальной инженерии и технические манипуляции. В тексте также обсуждаются методы извлечения данных кейлоггером, стратегии фишинговой электронной почты и идентификация его командно-контрольного сервера, подчеркивается важность постоянной бдительности при защите от таких постоянных киберугроз.
-----

Snake Keylogger, также известный как 404 Keylogger, представляет собой сложный инфокрад на основе подписки, предназначенный для скрытого извлечения личной информации у жертв. Этот кейлоггер способен регистрировать нажатия клавиш, делать скриншоты и собирать данные из системного буфера обмена. Первоначально распространенный на российском хакерском форуме в августе 2019 года, кейлоггер Snake выделяется своим уникальным подходом к эксфильтрации данных, использующим такие методы, как электронная почта, FTP, SMTP, Pastebin и платформа обмена сообщениями Telegram.

Основная цель этого поста в блоге - пролить свет на то, как Snake Keylogger использует Advpack.dll для развертывания и запуска своей основной полезной нагрузки. Используя тактику социальной инженерии и технические манипуляции, Snake Keylogger обходит традиционные средства защиты. В статье рассматриваются тонкости стратегий фишинговой рассылки кейлоггера и использования им вредоносных макросов, а также предлагается критическая информация для специалистов по кибербезопасности и частных лиц, стремящихся усилить свою защиту от этой постоянной угрозы.

Одним из примечательных наблюдений является активация многочисленных флагов, указывающих на вредоносную активность в полной командной строке. Заслуживающие внимания результаты включают наличие 4D5A, ссылки на сигнатуру MZ, связанную с переносимыми исполняемыми файлами (PE). Для дальнейшего расследования при вызове функции tAcKs была установлена точка останова, которая указывает на процедуру LaunchINFSectionW.

После анализа было обнаружено, что удаленный файл представляет собой 32-разрядную библиотеку DLL со строками, которые предполагают его роль в качестве загрузчика. Затем фокус сместился в сторону идентификации сервера командования и контроля (C2), ответственного за выборку последующих этапов цепочки атак. Подчеркивая критическую важность обнаружения C2, аналитик показал C2 как vybsnf3p.sa.com/fdsfh.exe. Однако было обнаружено, что C2 в то время был неактивен, что привело к ответу сервера с ошибкой 404. Несмотря на эту неудачу, удаленный файл по-прежнему обрабатывается с помощью вызова WinExec API.

Дальнейшее изучение домена, связанного с сервером C2, привело к выявлению программы Snake Keylogger Stealer и дополнительных файлов, таких как скрипт med.bat. Аналитик подчеркивает наличие загруженного reposonse, который послужил бы полезной нагрузкой следующего этапа, если бы сервер C2 работал. Временное бездействие сервера C2 подчеркивает динамичный характер киберугроз и необходимость постоянной бдительности при мониторинге и защите от развивающихся разновидностей вредоносных программ, таких как Snake Keylogger.

#ParsedReport #CompletenessHigh
01-03-2024

A comprehensive analysis of I-Soons commercial offering. Key Findings

https://harfanglab.io/en/insidethelab/isoon-leak-analysis

Report completeness: High

Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage, hacktivism)
Green_army (motivation: hacktivism)
Winnti (motivation: hacktivism)
Earth_lusca
Chengdu_404_leak

Threats:
Supply_chain_technique
Shadowpad
Treadstone
Hector
Polymorphism_technique
Acunetix_tool
Metasploit_tool
Meterpreter_tool
Nmap_tool
Hydra
Masscan_tool

Victims:
Government organizations, Military organizations, Educational bodies, Individuals, Ngos, Think tanks, Airline companies, Telecommunication operators

Industry:
Petroleum, E-commerce, Telco, Education, Government, Military, Aerospace, Energy, Foodtech, Transport, Ngo, Financial, Healthcare

Geo:
Indonesia, America, Myanmar, Iran, Tibet, Usa, Oceania, Indian, India, Cambodia, Korea, Macedonia, Bangladesh, Nepal, Peru, Singapore, Vietnam, Guinea, Mongolia, Syria, Guangdong, Pakistani, Taiwan, Japan, Malaysia, Tibetan, Philippines, Palestine, Romania, China, Pakistan, Chinese, Turkey, African, Thailand, Uzbekistan, Africa, Egypt, Macau, Kazakhstan, Ethiopia, Asia, France, Afghanistan, Kyrgyzstan

ChatGPT TTPs:
do not use without manual check
T1566, T1114, T1583, T1046, T1498, T1095, T1040, T1016, T1608, T1590, have more...

IOCs:
Email: 2
Hash: 1
Domain: 3
IP: 9

Soft:
Sysinternals, macos, android, Outlook, Gmail

Algorithms:
rc4, aes

Languages:
ruby

Platforms:
intel

Links:
https://github.com/trustedsec/social-engineer-toolkit
https://github.com/mttaggart/I-S00N
https://github.com/I-S00N/I-S00N
https://github.com/vanhauser-thc/thc-hydra
https://github.com/HarfangLab/iocs/tree/main/TRR240301

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в утечке документов, раскрывающих операции и коммерческие предложения китайской компании по кибербезопасности под названием I-Soon, которая занимается хакерскими услугами по найму, технологиями вторжения и услугами исследовательского подразделения APT, ориентированными в первую очередь на органы местного самоуправления. Компания работает со значительной степенью автономии, используя базовые методы проникновения, такие как фишинг, для взлома целей по всему миру, нацеливаясь на различные организации и отрасли. Утечки подробно описывают прошлых жертв, вторжения и действия, раскрывая операции I-Soon и потенциально нанося ущерб ее репутации. Каталог компании включает вредоносные программы-имплантанты для различных платформ и продуктов, таких как оборудование для определения местоположения WiFi-терминалов и DDoS-атаки как услуга. В нем также описаны сценарии физического проникновения с использованием устройств, замаскированных под розетки, для сбора данных и доступа к сетям.
-----

Просочившиеся документы раскрывают подробности о китайской компании по кибербезопасности I-Soon, предоставляя информацию об их услугах по взлому по найму, технологиях вторжения и исследовательском подразделении APT, в основном обслуживающем местные органы власти.

I-Soon использует базовые методы взлома, такие как фишинг, но за последнее десятилетие успешно взломала стратегические цели по всему миру и работает автономно, имея возможность активно взламывать данные жертв для получения интересных данных.

Целями компании являются правительственные и военные организации, образовательные учреждения, частные лица, НПО, аналитические центры, авиакомпании, операторы связи и другие, с глобальным акцентом как на внутренние, так и на международные цели, связанные с известными кампаниями APT, такими как APT41.

I-Soon предлагает ряд вредоносных программ-имплантантов для различных платформ, таких как Windows, Linux, macOS и iOS, обеспечивающих удаленный доступ, управление, эксфильтрацию данных и возможности наблюдения, несмотря на то, что в основном используются базовые методы вторжения.

Один из описанных сценариев предполагает, что I-Soon использует устройство, замаскированное под розетку, для физического проникновения в помещения цели, сбора данных сети Wi-Fi, криптографических материалов и передачи их облачным службам взлома по каналу 5G для получения паролей.

Компания также предоставляет такие продукты, как оборудование для определения местоположения WiFi-терминалов, маршрутизаторы для обхода интернет-ограничений, возможности DDoS-атак как услуги, консультации по инфраструктуре атак, анонимные сетевые покупки, платформы управления атакующими возможностями, инструменты мониторинга социальных сетей, ориентированные на китайский рынок, и другие.

#ParsedReport #CompletenessMedium
01-03-2024

Let's check in: how Fluffy Wolf uses acts of check in attacks

https://bi.zone/expertise/blog/davayte-sverimsya-kak-fluffy-wolf-ispolzuet-akty-sverki-v-atakakh

Report completeness: Medium

Actors/Campaigns:
Fluffy_wolf
Sticky_werewolf

Threats:
Meta_stealer
Warzone_rat
Xmrig_miner
Redline_stealer
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique

Geo:
Russia

TTPs:
Tactics: 10
Technics: 0

IOCs:
Path: 1
File: 2
Registry: 2
Domain: 1
Hash: 2

Soft:
NSIS installer, Telegram

Algorithms:
md5

Languages:
powershell