#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание Smoke Loader, сложной вредоносной программы, известной своими передовыми методами антианализа и анти-отладки, скрытным поведением и сложными методами, которые она использует, чтобы избежать обнаружения. В нем обсуждается, как распространяется Smoke Loader, его вредоносные действия после развертывания в системе, его недавнее объединение с Wextract, его тактика запутывания, методы дешифрования, уклонение от инструментов анализа и шифрование данных конфигурации. В целом, в тексте подчеркивается значительная угроза, которую Smoke Loader представляет для кибербезопасности, и подчеркивается важность тщательного анализа для борьбы с ее воздействием.
-----

Smoke Loader - это сложная вредоносная программа, представленная в 2011 году, известная загрузкой последующих этапов вредоносного ПО в системы, в частности, похитителей информации, нацеленных на учетные данные.

В нем используются передовые методы антианализа и анти-отладки, что затрудняет его обнаружение.

Имитирует запросы на связь с известными веб-сайтами, такими как microsoft.com, bing.com и adobe.com , чтобы запутать операции командования и контроля.

Распространяется с помощью вредоносных документов, таких как Word или PDF-файлы, с помощью спам-рассылок по электронной почте или целенаправленных кампаний фишинга.

Недавняя кампания включала загрузчик Smoke, поставляемый в комплекте с Wextract, что облегчало извлечение файлов без запуска экстрактора.

Использовал непрозрачные предикаты, чтобы ввести в заблуждение механизмы дизассемблера и усложнить анализ.

Выполняет команды на основе уровня целостности токена процесса, проверяет наличие виртуальных сред и внедряет вредоносный код в системные процессы.

Шифрует конфигурацию в таблице строк с помощью RC4 для сокрытия важной информации.

Требуется углубленный анализ, чтобы понять и смягчить его влияние на кибербезопасность.

#ParsedReport #CompletenessHigh
04-03-2024

New Banking Trojan CHAVECLOAK Targets Brazil

https://www.fortinet.com/blog/threat-research/banking-trojan-chavecloak-targets-brazil

Report completeness: High

Threats:
Chavecloak
Dll_sideloading_technique
Metamorfo
Astaroth
Mekotio
Grandoreiro

Industry:
Financial

Geo:
Mexico, Portuguese, America, American, Brazil

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1071, T1140, T1574, T1059, T1112, T1555, T1056, T1041, have more...

IOCs:
File: 6
Url: 5
Path: 1
Registry: 1
IP: 1
Domain: 1
Hash: 7

Soft:
Windows Defender

Crypto:
bitcoin

Algorithms:
zip

Win API:
GetVolumeInformationW, GetForegroundWindow, GetWindowTextW

Languages:
delphi, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 4, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении киберугрозы, связанной с банковским трояном CHAVECLOAK, нацеленным на пользователей в Бразилии, распространяющимся через вредоносный PDF-файл, который использует сложные механизмы атаки, такие как боковая загрузка DLL. В тексте также обсуждаются другие банковские трояны, нацеленные на Южную Америку, телеметрия сервера управления CHAVECLOAK и расширенные возможности современных банковских троянов, подчеркивается необходимость постоянной бдительности и упреждающих мер кибербезопасности в финансовом секторе Южной Америки.
-----

FortiGuard Labs недавно обнаружила киберугрозу, связанную с банковским трояном CHAVECLOAK, распространяющимся через вредоносный PDF-файл. Механизм атаки сложен: PDF-файл изначально загружается в формате ZIP, а затем используются методы боковой загрузки DLL для запуска конечного вредоносного ПО. Этот конкретный троянец предназначен для пользователей в Бразилии с целью кражи конфиденциальной финансовой информации. В условиях киберугроз Южной Америки различные банковские трояны используют такие тактики, как фишинговые электронные письма, вредоносные вложения и манипуляции с браузером, чтобы обмануть пользователей. Примерами таких троянов являются Casbaneiro, Guildma, Mekotio и Grandoreiro, все из которых специализируются на извлечении учетных данных онлайн-банкинга и персональных данных, представляющих значительный риск для пользователей в таких странах, как Бразилия и Мексика.

Телеметрия сервера командования и контроля (C2) CHAVECLOAK подробно представлена на предоставленном рисунке. Вредоносный PDF-файл, замаскированный под содержащий контрактные документы, предлагает жертвам нажать на кнопку, чтобы просмотреть и подписать прикрепленные файлы. Однако в PDF-файл скрытно встроена вредоносная ссылка для скачивания, которая приводит к загрузке ZIP-файла через службу сокращения ссылок. При распаковке ZIP-файла обнаруживается установочный файл MSI с именем NotafiscalGFGJKHKHGUURTURTF345.msi, а также несколько связанных текстовых файлов и вредоносный DLL-файл с именем Lightshot.dll.

При дальнейшем расследовании было обнаружено, что файл Lightshot.dll использует методы сторонней загрузки DLL для выполнения незаконных операций, включая получение конфиденциальной информации. Вредоносная программа создает записи в реестре для сохранения, устанавливает связь с сервером C2 на основе географического местоположения и отслеживает действия жертвы, особенно связанные с порталами онлайн-банкинга. Путем скрытой регистрации нажатий клавиш, отображения обманчивых всплывающих окон и блокирующих экранов вредоносная программа стремится украсть банковские учетные данные. Затем извлеченная информация отправляется на сервер C2, в зависимости от банка, связанного с украденными данными.

Также был идентифицирован вариант CHAVECLOAK с другим процессом, включающим исполняемый файл Delphi, встраивающий конечную полезную нагрузку. Этот вариант выполняет различные операции, включая извлечение системной информации, создание файлов журнала для сохранения и исключение из сканирования защитником Windows. Он также наблюдает за поведением пользователя, собирает конфиденциальную информацию со страниц банковского обслуживания и входа в систему Bitcoin и передает данные на другой сервер C2.

Появление CHAVECLOAK подчеркивает эволюционирующий характер киберугроз, нацеленных на финансовый сектор, особенно на пользователей в Бразилии. Используя сложные методы, такие как вредоносные PDF-файлы, ZIP-загрузки, сторонняя загрузка DLL и вводящие в заблуждение всплывающие окна, этот троянец является частью группы банковских вредоносных программ, нацеленных на Южную Америку. Благодаря настройкам на португальском языке и активному мониторингу финансовых порталов, CHAVECLOAK демонстрирует расширенные возможности современных банковских троянов. Это требует постоянной бдительности и активных мер кибербезопасности для борьбы с меняющимся ландшафтом угроз в финансовом секторе Южной Америки.

#ParsedReport #CompletenessMedium
04-03-2024

CryptoChameleon: New Phishing Tactics Exhibited in FCC-Targeted Attack

https://www.lookout.com/threat-intelligence/article/cryptochameleon-fcc-phishing-kit

Report completeness: Medium

Actors/Campaigns:
0ktapus

Threats:
Cryptochameleon
Kraken
Homoglyph_technique

Industry:
Education

Geo:
American, Russia

IOCs:
Domain: 294
IP: 3

Soft:
Gmail, Outlook, Android

Wallets:
coinbase, trezor

Crypto:
binance

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В статье освещаются недавние киберугрозы, выявленные Lookout, включая передовые тактики фишинга, нацеленные на криптовалютные платформы и FCC, а также кампании слежки, нацеленные на уязвимые группы населения, такие как уйгуры. В нем обсуждается тактика, используемая субъектами угроз, изощренность этих атак и текущие усилия Lookout по защите от таких угроз с помощью упреждающих мер безопасности и аналитических исследований угроз.
-----

Компания Lookout, занимающаяся кибербезопасностью, раскрыла два крупных инцидента с киберугрозами, связанных с передовой тактикой фишинга, нацеленной на криптовалютные платформы и FCC, используя новый набор для фишинга под названием CryptoChameleon, который использует инновационные стратегии.

CryptoChameleon использует уникальные методы уклонения, включая использование hCaptcha и административной консоли для настройки фишинговых страниц в режиме реального времени, с акцентом на выдачу себя за законные бренды, такие как Coinbase.

Другая кампания слежки под названием BadBazaar, связанная с поддерживаемой Китаем хакерской группой POISON CARP, нацелилась на уйгуров с помощью программного обеспечения для наблюдения за Android под названием MOONSHINE, что вызвало обеспокоенность по поводу спонсируемой государством деятельности по кибершпионажу.

Группы исполнителей угроз, стоящие за набором CryptoChameleon, продемонстрировали сходство с известными группами, такими как Scattered Spider, в тактике, но продемонстрировали уникальные возможности и инфраструктуру, что наводит на мысль о другом операторе, вдохновленном прошлыми успешными атаками.

Коммуникационная тактика, используемая злоумышленниками для завоевания доверия жертв, включала в себя выдачу себя за представителей службы поддержки законных компаний с помощью телефонных звонков и отправку фишинговых ссылок с помощью текстовых сообщений, что способствовало успеху этих атак по краже конфиденциальных данных.

С начала 2024 года Lookout активно защищает своих клиентов от фишинговых атак, постоянно используя автоматизированные средства для усиления мер безопасности и подчеркивая важность анализа угроз для защиты организаций и частных лиц от киберугроз.

#ParsedReport #CompletenessLow
04-03-2024

GTPDOOR - A novel backdoor tailored for covert access over the roaming exchange. Introduction

https://doubleagent.net/telecommunications/backdoor/gtp/2024/02/27/GTPDOOR-COVERT-TELCO-BACKDOOR

Report completeness: Low

Actors/Campaigns:
Lightbasin

Threats:
Gtpdoor
Beacon
Netstat_tool
Bpfdoor
Bpddoor
Tinyshell

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1027, T1095, T1571, T1059, T1040, T1105, T1543, T1132, T1046

IOCs:
File: 1
Hash: 2
IP: 1

Algorithms:
xor

Functions:
forked, popen, printf, connect

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 4, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается вредоносная программа на базе Linux под названием GPTDOOR, предназначенная для нацеливания на телекоммуникационные сети, примыкающие к сети GRX, путем передачи трафика команд и контроля (C2) через сигнальные сообщения GTP-C. GPTDOOR поддерживает удаленное выполнение кода, возможности создания маяков и использует необработанные сокеты. Он относится к группе участников угроз UNC1945 (Mandiant)/LightBasin (CrowdStrike) и связан с несанкционированным доступом в основные телекоммуникационные сети. Вредоносная программа также демонстрирует адаптивность и устойчивость к обнаружению, изменяя свою инфраструктуру C2.
-----

GPTDOOR - это вредоносная программа на базе Linux, предназначенная для телекоммуникационных сетей, примыкающих к сети GRX, передающая трафик C2 через сигнальные сообщения GTP-C, чтобы смешаться с обычным сетевым трафиком.

Он обеспечивает удаленное выполнение кода с помощью сообщений эхо-запроса GTP-C с вредоносной полезной нагрузкой и может быть сигнализирован путем отправки произвольных TCP-пакетов для поддержания скрытности.

Аналитики могут идентифицировать GPTDOOR, проверяя открытые необработанные сокеты в системе и ища конкретные указания, такие как SOCK_RAW или raw, а также изучая идентификаторы родительских процессов.

GPTDOOR связан с группой участников угроз UNC1945 (Mandiant)/LightBasin (CrowdStrike), известной использованием протокола GTP для инкапсуляции трафика tinyshell в рамках допустимого сеанса PDP контекста.

Он нацелен на системы, поддерживающие GTP-C через GRX, такие как SGSN, GGSN и P-GW, потенциально обеспечивая несанкционированный доступ к основным сетям телекоммуникационных компаний.

Вредоносная программа использует необработанные сокеты для перехвата TCP-пакетов, обходя брандмауэры с поддержкой GTP с помощью неправильно сформированных GTP-пакетов и зашифрованных полезных данных.

GPTDOOR легко адаптируется и устойчив, способен изменять инфраструктуру C2 или транзитные хосты без потери возможности отправлять пробные сообщения.

#ParsedReport #CompletenessHigh
04-03-2024

Exploiting Document Templates: Stego-Campaign Deploying Remcos RAT and Agent Tesla

https://www.cyfirma.com/outofband/exploiting-document-templates-stego-campaign-deploying-remcos-rat-and-agent-tesla

Report completeness: High

Threats:
Remcos_rat
Agent_tesla
Steganography_technique
Lolbin_technique
Winrm_tool
Xworm_rat
Spear-phishing_technique
Process_injection_technique

Victims:
General electrics

Industry:
Financial, Energy

Geo:
Taiwan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 7
IP: 6
Hash: 15
Url: 12
Path: 3
Domain: 1

Soft:
Microsoft Office, Outlook

Algorithms:
sha256, rc4, base64, md5

Win Services:
WebClient

Languages:
powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, windows: 8, code: 10, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ сложной кампании по борьбе с киберугрозами, использующей различные передовые методы, такие как стеганография, внедрение шаблонов и развертывание троянских программ удаленного доступа, таких как Remcos RAT и Agent Tesla. Исследование раскрывает сложную цепочку атак, тактику и процедуры, используемые участниками угроз для успешного выполнения атаки, подчеркивая важность упреждающих мер кибербезопасности для противодействия таким продвинутым угрозам.
-----

В тексте освещаются выводы из исследования, проведенного CYFIRMA, о сложной киберугрозе, проявившейся в результате stego-кампании с использованием вредоносного файла .docx. Эта кампания предназначена для обхода традиционных мер безопасности электронной почты с помощью внедрения шаблонов в документы Microsoft Office. При открытии вредоносного файла запускается многоэтапная атака, включающая загрузку и выполнение скриптов, ведущих к развертыванию троянца удаленного доступа Remcos (RAT) и вредоносного ПО Agent Tesla. Remcos RAT предоставляет злоумышленникам широкий контроль над скомпрометированными системами, позволяя осуществлять удаленное управление, кейлоггинг, кражу данных, захват скриншотов, манипулирование файлами и выполнение команд. Кроме того, в атаке используется агент Tesla, RAT на базе .NET, используемый для целей кражи данных.

В отчете скрупулезно описана вся цепочка атак, используемых участниками угроз, подчеркивается их эволюционирующая тактика и сложные методологии, позволяющие избежать обнаружения и достичь своих вредоносных целей. Вредоносный файл .docx распространяется, возможно, через спам или фишинговые электронные письма, используя внедрение шаблонов для обхода мер безопасности электронной почты. Он инициирует сложный процесс, включающий загрузку и выполнение различных скриптов и развертывание вредоносных полезных нагрузок, таких как Remcos RAT и Agent Tesla. Цепочка атак раскрывает тонкости операции, включая использование уязвимости редактора уравнений (CVE-2017-11882) в документах RTF, использование скриптов VB и PowerShell для загрузки и выполнения полезных нагрузок, а также кодирование вредоносных полезных нагрузок в base64 в изображениях с использованием методов стеганографии.

В исследовании также рассматриваются тактики, методы и процедуры (TTP), используемые участниками угроз при организации этой киберугрозы, подчеркивается необходимость бдительности и упреждающих мер кибербезопасности для противодействия таким продвинутым атакам. Анализ выявил подключения к серверам командования и контроля (C2), используемым для загрузки и развертывания вредоносного ПО, что еще раз подчеркивает организованный и целенаправленный характер кампании. Отслеживая возникающие угрозы и тенденции распространения вредоносных программ, исследовательская группа выявляет закономерности и показатели, связанные с текущими вредоносными кампаниями, что позволяет организациям и частным лицам усилить свою киберзащиту и снизить потенциальные риски.

Shadow Banking in Your Pocket: Exposing Android App Used by Money Mules

https://www.cloudsek.com/blog/shadow-banking-in-your-pocket-exposing-android-app-used-by-money-mules

#ParsedReport #CompletenessLow
04-03-2024

Multistage RA World Ransomware Uses Anti-AV Tactics, Exploits GPO. Insights

https://www.trendmicro.com/en_us/research/24/c/multistage-ra-world-ransomware.html

Report completeness: Low

Actors/Campaigns:
Ra-group

Threats:
Ra_world
Babuk

Industry:
Financial, Healthcare

Geo:
Taiwan, American, India, Germany

TTPs:
Tactics: 6
Technics: 11

IOCs:
File: 7

Soft:
windows service, indows Service

Algorithms:
aes, base64

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 22, schema: 1, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что атака RA World ransomware, возникшая после отставки Бабука и утечки исходного кода банды, использует многоступенчатые компоненты для нацеливания на организации по всему миру, с акцентом на здравоохранение и финансовый сектор. Тактика группы угроз включает в себя компрометацию контроллеров домена, манипулирование настройками групповой политики, развертывание вредоносных программ по сетям и проведение процедур очистки после запуска программ-вымогателей. Кроме того, операторы отключают возможности восстановления системы и используют утечку исходного кода Babuk для целей идентификации.
-----

Команда Trend Micro по поиску угроз недавно обнаружила атаку программы-вымогателя RA World, которая использует многоступенчатые компоненты для достижения максимального эффекта. Ранее известная как RA Group, RA World успешно взламывала организации по всему миру. В то время как злоумышленник нацелен на широкий круг жертв, значительное число атак было зафиксировано в США, а о дополнительных инцидентах сообщалось в таких странах, как Германия, Индия и Тайвань. Группа уделяет особое внимание здравоохранению и финансовому сектору.

После ухода Бабука на пенсию в 2021 году программа-вымогатель RA World появилась из-за утечки исходного кода банды, что способствовало появлению новых групп угроз на рынке программ-вымогателей. Это развитие в сочетании с распространением программ-вымогателей как услуги (RaaS) снизило технический барьер для участия киберпреступников в вредоносных действиях. Аналитики выявили целенаправленные атаки на организации здравоохранения в Латинской Америке, связанные с RA World, с компонентами, разработанными для обеспечения успеха операции.

Операторы RA World обычно проникают в системы через скомпрометированные контроллеры домена и распространяют компоненты по общему пути SYSVOL для объекта групповой политики компьютера (GPO). Внутренняя телеметрия выявила выполнение Stage1.exe через PowerShell в сетях, что подразумевает потенциальное вмешательство в параметры групповой политики для включения выполнения скрипта PowerShell. Эта манипуляция может способствовать развертыванию вредоносного ПО на нескольких компьютерах в домене.

Stage1.exe инициирует идентификацию контроллера домена, проверяет действительность домена и выполняет итерацию по контроллерам на основе определенных условий. Затем он подтверждает отсутствие Stage2.exe в каталоге локального компьютера и передает необходимые файлы из жестко заданного пути SYSVOL для выполнения Stage2.exe, ответственного за запуск полезной нагрузки программы-вымогателя. Наличие строк, связанных с компаниями-жертвами, как в Stage1.exe, так и в Stage2.exe - еще раз подтверждает целенаправленные атаки на конкретные организации.

В случаях, когда компьютер работает в безопасном режиме, Stage2.exe проверяет отсутствие определенных файлов перед расшифровкой pay.txt и передачей его содержимого в Stage3.exe, полезную нагрузку программы-вымогателя. После выполнения Stage3.exe выполняет процедуры очистки, удаляя следы вредоносного ПО и создавая ключи реестра. Полезная нагрузка программы-вымогателя, использующая просочившийся исходный код Babuk, генерирует определенные файлы и мьютексы для целей идентификации, аналогичные предыдущим версиям, связанным с программой-вымогателем Babuk.

Кроме того, операторы RA World используют SD.bat для попытки удаления папки Trend Micro и используют утилиту WMIC для поиска информации на диске, оставляя файл журнала в системном каталоге. Программа-вымогатель также удаляет параметр "Безопасный режим с подключением к сети" из конфигурации загрузки по умолчанию в Windows, что влияет на возможности восстановления системы.