#ParsedReport #CompletenessLow
01-03-2024

The Art of Domain Deception: Bifrost's New Tactic to Deceive Users

https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware

Report completeness: Low

Threats:
Adwind_rat
Bifrose
Typosquatting_technique

Geo:
America, Apac, Emea, Taiwan, Japan, Japanese

ChatGPT TTPs:
do not use without manual check
T1566.001, T1190, T1071, T1110, T1583.001, T1568.002, T1027, T1584.002, T1588.002, T1041, have more...

IOCs:
Domain: 1
Hash: 2
IP: 2

Algorithms:
rc4, sha256

Platforms:
x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и угрозе, исходящей от нового Linux-варианта троянца удаленного доступа Bifrost (RAT), который использует инновационные методы уклонения, включая вводящий в заблуждение домен для обхода мер безопасности. Этот вариант Bifrost нацелен на компрометацию целевых систем путем сбора конфиденциальной информации и использования шифрования для уклонения от обнаружения. Наличие как x86-, так и ARM-версий вредоносного ПО указывает на попытки злоумышленника расширить зону своей атаки. Всплеск активности Bifrost, обнаруженный Palo Alto Networks, подчеркивает растущую угрозу и важность противодействия таким вредоносным программам для защиты конфиденциальных данных и компьютерных систем.
-----

Был обнаружен новый Linux-вариант Bifrost, троянца удаленного доступа (RAT), использующий инновационные методы уклонения.

Этот вариант использует домен, вводящий в заблуждение, download.vmfare.com, похожий на VMware, для обхода мер безопасности и компрометации систем.

Злоумышленники распространяют Bifrost через вложения электронной почты или вредоносные веб-сайты, собирая информацию о жертвах после установки.

Был найден последний образец варианта Bifrost (SHA256: 8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729), размещенный по IP 45.91.82.127.

Он устанавливает связь, собирает пользовательские данные, шифрует с помощью RC4 и пытается связаться с тайваньским DNS-распознавателем.

ARM-версия Bifrost была обнаружена рядом с версией x86, что указывает на расширение возможностей атаки.

Сети Пало-Альто за последние месяцы обнаружили более 100 случаев Bifrost, что свидетельствует о росте активности.

Palo Alto Networks предлагает защиту от Bifrost благодаря брандмауэру нового поколения и сотрудничеству с Альянсом по борьбе с киберугрозами.

#ParsedReport #CompletenessLow
29-02-2024

GUloader Unmasked: Decrypting the Threat of Malicious SVG Files

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/guloader-unmasked-decrypting-the-threat-of-malicious-svg-files

Report completeness: Low

Threats:
Cloudeye
Polymorphism_technique
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1497, T1059, T1218, T1574, T1547, T1105

IOCs:
File: 1
Url: 1
Registry: 1
Hash: 3

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Chrome

Algorithms:
base64, zip

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что GUloader - это сложный загрузчик вредоносных программ, известный своими скрытными методами и тактикой уклонения, которые позволяют ему избежать обнаружения традиционными мерами безопасности. Он обладает высокой степенью адаптации, используя полиморфный код и шифрование для проникновения в сети, создания точек входа для вредоносных действий, а также загрузки и развертывания различных других вариантов вредоносного ПО. В тексте также освещается конкретная кампания GUloader, которая использовала вредоносный SVG-файл, распространяемый по электронной почте, для инициирования серии вредоносных действий в системе жертвы. В общем сообщении подчеркивается важность сохранения бдительности и внедрения надежных мер кибербезопасности для защиты от угроз, подобных GUloader.
-----

GUloader - это сложный загрузчик вредоносных программ, известный своими скрытными методами и тактикой уклонения, которые позволяют ему избегать обнаружения традиционными мерами безопасности. Он обладает способностью динамически изменять свою структуру с помощью полиморфного кода и шифрования, что затрудняет идентификацию и смягчение последствий для антивирусного программного обеспечения и систем обнаружения вторжений. Такая адаптивность позволяет GUloader постоянно проникать в сети и создавать точки входа для дальнейших вредоносных действий.

В недавнем отчете McAfee Labs освещалась кампания GUloader, которая распространялась с помощью вредоносного файла SVG, отправленного по электронной почте. Файлы SVG обычно используются для векторной графики и поддерживают интерактивность и анимацию с помощью языков сценариев, таких как JavaScript и CSS. В этом сценарии атаки вредоносный SVG-файл содержал JavaScript-код, который был встроен в изображение, что создало вредоносный ZIP-архив при открытии вложения. Этот ZIP-файл содержал файл сценария Windows (WSF), который подключался к вредоносному домену с помощью PowerShell для выполнения шеллкода, введенного в законное приложение MSBuild.

Атака начинается с того, что жертва получает спам-сообщение по электронной почте с вложением, содержащим вредоносный SVG-файл. Когда жертва открывает вложение, код JavaScript внутри SVG-изображения запускает создание вредоносного ZIP-архива. Затем пользователю предлагается расшифровать и сохранить файл, что инициирует выполнение PowerShell для подключения к вредоносному домену. Содержимое, полученное из домена, включает данные в кодировке base64, содержащие шелл-код и сценарий PowerShell. Сценарий PowerShell загружает шелл-код в процесс MSBuild, используя удаление процесса, изменяет ключ запуска реестра для сохранения, а также загружает и выполняет окончательную вредоносную полезную нагрузку.

GUloader также способен загружать и развертывать различные другие варианты вредоносных программ, что делает его универсальным инструментом для киберпреступников, стремящихся осуществлять целый ряд вредоносных действий. Его способность избегать обнаружения и закрепляться в сетях подчеркивает важность того, чтобы организации и отдельные лица сохраняли бдительность и применяли надежные меры кибербезопасности для защиты от развивающихся угроз, таких как GUloader.

#ParsedReport #CompletenessLow
01-03-2024

Malware analysis report: Snake keylogger. IOCs

https://mssplab.github.io/threat-hunting/2024/03/01/malware-analysis-snake-keylogger-1.html

Report completeness: Low

Threats:
Snake_keylogger

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1056, T1113, T1115, T1567, T1204, T1105, T1573, T1041, T1082, T1566, have more...

IOCs:
File: 7
Hash: 1

Soft:
Telegram, Windows Setup

Functions:
tAcKs, autoopen, PsfmA, LaunchINFSectionW, whtle, CByte, flkmt, rFdPB

Win API:
WinExec

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кейлоггера Snake, сложного средства для кражи информации, которое тайно извлекает личную информацию у жертв. Анализ сосредоточен на том, как кейлоггер использует Advpack.dll, чтобы обойти традиционные средства защиты, подчеркивая его способность использовать тактику социальной инженерии и технические манипуляции. В тексте также обсуждаются методы извлечения данных кейлоггером, стратегии фишинговой электронной почты и идентификация его командно-контрольного сервера, подчеркивается важность постоянной бдительности при защите от таких постоянных киберугроз.
-----

Snake Keylogger, также известный как 404 Keylogger, представляет собой сложный инфокрад на основе подписки, предназначенный для скрытого извлечения личной информации у жертв. Этот кейлоггер способен регистрировать нажатия клавиш, делать скриншоты и собирать данные из системного буфера обмена. Первоначально распространенный на российском хакерском форуме в августе 2019 года, кейлоггер Snake выделяется своим уникальным подходом к эксфильтрации данных, использующим такие методы, как электронная почта, FTP, SMTP, Pastebin и платформа обмена сообщениями Telegram.

Основная цель этого поста в блоге - пролить свет на то, как Snake Keylogger использует Advpack.dll для развертывания и запуска своей основной полезной нагрузки. Используя тактику социальной инженерии и технические манипуляции, Snake Keylogger обходит традиционные средства защиты. В статье рассматриваются тонкости стратегий фишинговой рассылки кейлоггера и использования им вредоносных макросов, а также предлагается критическая информация для специалистов по кибербезопасности и частных лиц, стремящихся усилить свою защиту от этой постоянной угрозы.

Одним из примечательных наблюдений является активация многочисленных флагов, указывающих на вредоносную активность в полной командной строке. Заслуживающие внимания результаты включают наличие 4D5A, ссылки на сигнатуру MZ, связанную с переносимыми исполняемыми файлами (PE). Для дальнейшего расследования при вызове функции tAcKs была установлена точка останова, которая указывает на процедуру LaunchINFSectionW.

После анализа было обнаружено, что удаленный файл представляет собой 32-разрядную библиотеку DLL со строками, которые предполагают его роль в качестве загрузчика. Затем фокус сместился в сторону идентификации сервера командования и контроля (C2), ответственного за выборку последующих этапов цепочки атак. Подчеркивая критическую важность обнаружения C2, аналитик показал C2 как vybsnf3p.sa.com/fdsfh.exe. Однако было обнаружено, что C2 в то время был неактивен, что привело к ответу сервера с ошибкой 404. Несмотря на эту неудачу, удаленный файл по-прежнему обрабатывается с помощью вызова WinExec API.

Дальнейшее изучение домена, связанного с сервером C2, привело к выявлению программы Snake Keylogger Stealer и дополнительных файлов, таких как скрипт med.bat. Аналитик подчеркивает наличие загруженного reposonse, который послужил бы полезной нагрузкой следующего этапа, если бы сервер C2 работал. Временное бездействие сервера C2 подчеркивает динамичный характер киберугроз и необходимость постоянной бдительности при мониторинге и защите от развивающихся разновидностей вредоносных программ, таких как Snake Keylogger.

#ParsedReport #CompletenessHigh
01-03-2024

A comprehensive analysis of I-Soons commercial offering. Key Findings

https://harfanglab.io/en/insidethelab/isoon-leak-analysis

Report completeness: High

Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage, hacktivism)
Green_army (motivation: hacktivism)
Winnti (motivation: hacktivism)
Earth_lusca
Chengdu_404_leak

Threats:
Supply_chain_technique
Shadowpad
Treadstone
Hector
Polymorphism_technique
Acunetix_tool
Metasploit_tool
Meterpreter_tool
Nmap_tool
Hydra
Masscan_tool

Victims:
Government organizations, Military organizations, Educational bodies, Individuals, Ngos, Think tanks, Airline companies, Telecommunication operators

Industry:
Petroleum, E-commerce, Telco, Education, Government, Military, Aerospace, Energy, Foodtech, Transport, Ngo, Financial, Healthcare

Geo:
Indonesia, America, Myanmar, Iran, Tibet, Usa, Oceania, Indian, India, Cambodia, Korea, Macedonia, Bangladesh, Nepal, Peru, Singapore, Vietnam, Guinea, Mongolia, Syria, Guangdong, Pakistani, Taiwan, Japan, Malaysia, Tibetan, Philippines, Palestine, Romania, China, Pakistan, Chinese, Turkey, African, Thailand, Uzbekistan, Africa, Egypt, Macau, Kazakhstan, Ethiopia, Asia, France, Afghanistan, Kyrgyzstan

ChatGPT TTPs:
do not use without manual check
T1566, T1114, T1583, T1046, T1498, T1095, T1040, T1016, T1608, T1590, have more...

IOCs:
Email: 2
Hash: 1
Domain: 3
IP: 9

Soft:
Sysinternals, macos, android, Outlook, Gmail

Algorithms:
rc4, aes

Languages:
ruby

Platforms:
intel

Links:
https://github.com/trustedsec/social-engineer-toolkit
https://github.com/mttaggart/I-S00N
https://github.com/I-S00N/I-S00N
https://github.com/vanhauser-thc/thc-hydra
https://github.com/HarfangLab/iocs/tree/main/TRR240301

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в утечке документов, раскрывающих операции и коммерческие предложения китайской компании по кибербезопасности под названием I-Soon, которая занимается хакерскими услугами по найму, технологиями вторжения и услугами исследовательского подразделения APT, ориентированными в первую очередь на органы местного самоуправления. Компания работает со значительной степенью автономии, используя базовые методы проникновения, такие как фишинг, для взлома целей по всему миру, нацеливаясь на различные организации и отрасли. Утечки подробно описывают прошлых жертв, вторжения и действия, раскрывая операции I-Soon и потенциально нанося ущерб ее репутации. Каталог компании включает вредоносные программы-имплантанты для различных платформ и продуктов, таких как оборудование для определения местоположения WiFi-терминалов и DDoS-атаки как услуга. В нем также описаны сценарии физического проникновения с использованием устройств, замаскированных под розетки, для сбора данных и доступа к сетям.
-----

Просочившиеся документы раскрывают подробности о китайской компании по кибербезопасности I-Soon, предоставляя информацию об их услугах по взлому по найму, технологиях вторжения и исследовательском подразделении APT, в основном обслуживающем местные органы власти.

I-Soon использует базовые методы взлома, такие как фишинг, но за последнее десятилетие успешно взломала стратегические цели по всему миру и работает автономно, имея возможность активно взламывать данные жертв для получения интересных данных.

Целями компании являются правительственные и военные организации, образовательные учреждения, частные лица, НПО, аналитические центры, авиакомпании, операторы связи и другие, с глобальным акцентом как на внутренние, так и на международные цели, связанные с известными кампаниями APT, такими как APT41.

I-Soon предлагает ряд вредоносных программ-имплантантов для различных платформ, таких как Windows, Linux, macOS и iOS, обеспечивающих удаленный доступ, управление, эксфильтрацию данных и возможности наблюдения, несмотря на то, что в основном используются базовые методы вторжения.

Один из описанных сценариев предполагает, что I-Soon использует устройство, замаскированное под розетку, для физического проникновения в помещения цели, сбора данных сети Wi-Fi, криптографических материалов и передачи их облачным службам взлома по каналу 5G для получения паролей.

Компания также предоставляет такие продукты, как оборудование для определения местоположения WiFi-терминалов, маршрутизаторы для обхода интернет-ограничений, возможности DDoS-атак как услуги, консультации по инфраструктуре атак, анонимные сетевые покупки, платформы управления атакующими возможностями, инструменты мониторинга социальных сетей, ориентированные на китайский рынок, и другие.

#ParsedReport #CompletenessMedium
01-03-2024

Let's check in: how Fluffy Wolf uses acts of check in attacks

https://bi.zone/expertise/blog/davayte-sverimsya-kak-fluffy-wolf-ispolzuet-akty-sverki-v-atakakh

Report completeness: Medium

Actors/Campaigns:
Fluffy_wolf
Sticky_werewolf

Threats:
Meta_stealer
Warzone_rat
Xmrig_miner
Redline_stealer
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique

Geo:
Russia

TTPs:
Tactics: 10
Technics: 0

IOCs:
Path: 1
File: 2
Registry: 2
Domain: 1
Hash: 2

Soft:
NSIS installer, Telegram

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Fluffy Wolf - это группа киберугроз, известная тем, что использует фишинговые электронные письма в качестве основного метода первоначального доступа. Они используют различные вредоносные инструменты и программное обеспечение для компрометации систем, уделяя особое внимание России и региону СНГ. Группа постоянно совершенствует свою тактику, используя такие инструменты, как Meta Stealer, для сбора конфиденциальной информации и универсальный загрузчик для расширения возможностей атак. Для защиты от таких угроз, как Fluffy Wolf, организациям рекомендуется внедрять решения для фильтрации электронной почты и использовать платформы анализа угроз для упреждающего подхода к защите кибербезопасности.
-----

Fluffy Wolf - это группа киберугроз, которая действует как минимум с 2022 года, используя фишинговые электронные письма в качестве основного метода первоначального доступа. Фишинговые электронные письма содержат защищенные паролем архивы с исполняемыми файлами, замаскированными под отчеты о сверке расчетов. Эти файлы предоставляют ряд инструментов для взломанных систем, включая законное программное обеспечение Remote Utilities, Meta Stealer, WarZone RAT и XMRig miner. Злоумышленникам удалось использовать по меньшей мере 5% сотрудников организации, которые загружают и открывают вредоносные вложения, что подчеркивает сохраняющуюся эффективность фишинга как вектора атаки.

Группа постоянно совершенствует свою тактику, экспериментируя с законным программным обеспечением удаленного доступа и используя коммерческое вредоносное ПО и его взломанные варианты для расширения спектра угроз в России и регионе СНГ. Даже злоумышленники с ограниченными техническими знаниями могут проводить успешные атаки, используя эти инструменты. В ходе недавней кампании Fluffy Wolf рассылал фишинговые электронные письма от имени строительной компании с вложениями, содержащими вредоносные файлы, которые устанавливали удаленные утилиты и запускали Meta Stealer в скомпрометированной системе.

Meta Stealer, клон RedLine stealer, является ключевым инструментом, используемым злоумышленниками для сбора информации из скомпрометированных систем в России и СНГ. Он может собирать различные данные, такие как файлы, учетные данные, cookies, данные из браузеров и крипто-кошельков, а также информацию от VPN-клиентов. Злоумышленники могут получить Meta Stealer через теневые форумы или официальный Telegram-канал с возможностью арендовать программное обеспечение на месяц или приобрести пожизненную лицензию. Stealer позволяет злоумышленникам собирать конфиденциальную информацию без региональных ограничений, что делает его прибыльным инструментом для проведения кибератак.

Fluffy Wolf использует универсальный загрузчик, который может развертывать удаленные утилиты, Meta Stealer и WarZone RAT в одном файле для расширения возможностей атаки. Группа демонстрирует уровень сложности в своих операциях, используя комбинацию инструментов и методов для достижения своих целей. Несмотря на то, что группа не полагалась на самые передовые инструменты, она продемонстрировала эффективность при проведении атак, подчеркнув важность проактивной аналитики угроз для обнаружения и смягчения последствий вредоносных действий на ранних стадиях атаки.

#ParsedReport #CompletenessLow
01-03-2024

Predator Spyware Operators Rebuild Multi-Tier Infrastructure to Target Mobile Devices

https://www.recordedfuture.com/predator-spyware-operators-rebuild-multi-tier-infrastructure-target-mobile-devices

Report completeness: Low

Threats:
Predator_spyware
Lockdown
Chrysaor
Spear-phishing_technique

Geo:
Mongolia, Indonesia, Armenia, Philippines, Kazakhstan, Angola, Oman, Botswana, Egypt

TTPs:

IOCs:
Domain: 81
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Insikt Group из Recorded Future провела исследование инфраструктуры мобильного шпионского ПО Predator, выявив его злоупотребление против гражданского общества и необходимость усиления мер безопасности для снижения рисков, связанных с наемническими шпионскими программами. В тексте также подчеркивается упорство операторов программ-шпионов, несмотря на публичные разоблачения, и подчеркивается важность упреждающих мер безопасности и оценки рисков для устранения текущих угроз, создаваемых такими инструментами.
-----

Insikt Group из Recorded Future провела новое исследование инфраструктуры, связанной с операторами Predator, наемного мобильного шпионского ПО. Эта инфраструктура действует в одиннадцати странах, включая Анголу, Армению, Ботсвану, Египет, Индонезию, Казахстан, Монголию, Оман, Филиппины, Саудовскую Аравию и Тринидад и Тобаго. Примечательно, что это исследование знаменует собой первое обнаружение клиентов Predator в Ботсване и на Филиппинах. Несмотря на то, что Predator продается для целей борьбы с терроризмом и обеспечения правопорядка, он часто используется против гражданского общества, нацеливаясь на отдельных лиц, таких как журналисты, политики и активисты. Исследование не выявило каких-либо конкретных жертв или мишеней в этой недавней деятельности. Использование программ-шпионов, таких как Predator, вызывает серьезные опасения, связанные с неприкосновенностью частной жизни, законностью и физической безопасностью, особенно когда они используются вне контекста серьезных преступлений и борьбы с терроризмом. Руководители и другие высокопоставленные лица подвергаются повышенному риску из-за высоких затрат, связанных с развертыванием таких программ-шпионов.

Европейский союз предпринял шаги по борьбе со злоупотреблением шпионскими программами наемников в своих государствах-членах. Чтобы свести к минимуму риски, связанные с такими программами-шпионами, организациям и частным лицам рекомендуется придерживаться передовых методов обеспечения безопасности, включая регулярные обновления телефонов, перезагрузку устройств, использование режима блокировки, использование систем управления мобильными устройствами и поддержание четкого разделения между личными и корпоративными устройствами. Обучение по вопросам безопасности и пропаганда культуры минимального доступа к данным также считаются важными. Кроме того, в качестве долгосрочного решения рекомендуется внедрение динамичных политик безопасности, основанных на оценке рисков.

Поскольку рынок шпионских программ для наемников продолжает расширяться, риски, связанные с этими инструментами, не ограничиваются гражданским обществом, а распространяются на всех, кто представляет интерес для тех, кто имеет доступ к таким возможностям. Ожидаемые инновации в этой области, как ожидается, приведут к появлению более сложных и незаметных функций шпионских программ. Результаты исследований Insikt Group свидетельствуют об открытии новой многоуровневой инфраструктуры доставки Predator, подтвержденной доказательствами, полученными с помощью анализа предметной области и данных сетевой аналитики. Несмотря на публичные разоблачения о Predator в сентябре 2023 года, операторы шпионского ПО внесли минимальные изменения в свои операции, что свидетельствует о постоянстве их деятельности. Predator, наряду с Pegasus из NSO Group, остается известным поставщиком шпионских программ для наемников, характеризующихся последовательной тактикой, методами и процедурами на протяжении долгого времени.

#ParsedReport #CompletenessLow
03-03-2024

New Wave of SocGholish Infections Impersonates WordPress Plugins

https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html

Report completeness: Low

Threats:
Socgholish_loader
Eight

ChatGPT TTPs:
do not use without manual check
T1195, T1059, T1566, T1547, T1190

IOCs:
Domain: 5
Url: 3
IP: 2

Soft:
WordPress, Ubuntu

Algorithms:
base64, zip

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4