#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В статье освещаются недавние киберугрозы, выявленные Lookout, включая передовые тактики фишинга, нацеленные на криптовалютные платформы и FCC, а также кампании слежки, нацеленные на уязвимые группы населения, такие как уйгуры. В нем обсуждается тактика, используемая субъектами угроз, изощренность этих атак и текущие усилия Lookout по защите от таких угроз с помощью упреждающих мер безопасности и аналитических исследований угроз.
-----

Компания Lookout, занимающаяся кибербезопасностью, раскрыла два крупных инцидента с киберугрозами, связанных с передовой тактикой фишинга, нацеленной на криптовалютные платформы и FCC, используя новый набор для фишинга под названием CryptoChameleon, который использует инновационные стратегии.

CryptoChameleon использует уникальные методы уклонения, включая использование hCaptcha и административной консоли для настройки фишинговых страниц в режиме реального времени, с акцентом на выдачу себя за законные бренды, такие как Coinbase.

Другая кампания слежки под названием BadBazaar, связанная с поддерживаемой Китаем хакерской группой POISON CARP, нацелилась на уйгуров с помощью программного обеспечения для наблюдения за Android под названием MOONSHINE, что вызвало обеспокоенность по поводу спонсируемой государством деятельности по кибершпионажу.

Группы исполнителей угроз, стоящие за набором CryptoChameleon, продемонстрировали сходство с известными группами, такими как Scattered Spider, в тактике, но продемонстрировали уникальные возможности и инфраструктуру, что наводит на мысль о другом операторе, вдохновленном прошлыми успешными атаками.

Коммуникационная тактика, используемая злоумышленниками для завоевания доверия жертв, включала в себя выдачу себя за представителей службы поддержки законных компаний с помощью телефонных звонков и отправку фишинговых ссылок с помощью текстовых сообщений, что способствовало успеху этих атак по краже конфиденциальных данных.

С начала 2024 года Lookout активно защищает своих клиентов от фишинговых атак, постоянно используя автоматизированные средства для усиления мер безопасности и подчеркивая важность анализа угроз для защиты организаций и частных лиц от киберугроз.

#ParsedReport #CompletenessLow
04-03-2024

GTPDOOR - A novel backdoor tailored for covert access over the roaming exchange. Introduction

https://doubleagent.net/telecommunications/backdoor/gtp/2024/02/27/GTPDOOR-COVERT-TELCO-BACKDOOR

Report completeness: Low

Actors/Campaigns:
Lightbasin

Threats:
Gtpdoor
Beacon
Netstat_tool
Bpfdoor
Bpddoor
Tinyshell

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1027, T1095, T1571, T1059, T1040, T1105, T1543, T1132, T1046

IOCs:
File: 1
Hash: 2
IP: 1

Algorithms:
xor

Functions:
forked, popen, printf, connect

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 4, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается вредоносная программа на базе Linux под названием GPTDOOR, предназначенная для нацеливания на телекоммуникационные сети, примыкающие к сети GRX, путем передачи трафика команд и контроля (C2) через сигнальные сообщения GTP-C. GPTDOOR поддерживает удаленное выполнение кода, возможности создания маяков и использует необработанные сокеты. Он относится к группе участников угроз UNC1945 (Mandiant)/LightBasin (CrowdStrike) и связан с несанкционированным доступом в основные телекоммуникационные сети. Вредоносная программа также демонстрирует адаптивность и устойчивость к обнаружению, изменяя свою инфраструктуру C2.
-----

GPTDOOR - это вредоносная программа на базе Linux, предназначенная для телекоммуникационных сетей, примыкающих к сети GRX, передающая трафик C2 через сигнальные сообщения GTP-C, чтобы смешаться с обычным сетевым трафиком.

Он обеспечивает удаленное выполнение кода с помощью сообщений эхо-запроса GTP-C с вредоносной полезной нагрузкой и может быть сигнализирован путем отправки произвольных TCP-пакетов для поддержания скрытности.

Аналитики могут идентифицировать GPTDOOR, проверяя открытые необработанные сокеты в системе и ища конкретные указания, такие как SOCK_RAW или raw, а также изучая идентификаторы родительских процессов.

GPTDOOR связан с группой участников угроз UNC1945 (Mandiant)/LightBasin (CrowdStrike), известной использованием протокола GTP для инкапсуляции трафика tinyshell в рамках допустимого сеанса PDP контекста.

Он нацелен на системы, поддерживающие GTP-C через GRX, такие как SGSN, GGSN и P-GW, потенциально обеспечивая несанкционированный доступ к основным сетям телекоммуникационных компаний.

Вредоносная программа использует необработанные сокеты для перехвата TCP-пакетов, обходя брандмауэры с поддержкой GTP с помощью неправильно сформированных GTP-пакетов и зашифрованных полезных данных.

GPTDOOR легко адаптируется и устойчив, способен изменять инфраструктуру C2 или транзитные хосты без потери возможности отправлять пробные сообщения.

#ParsedReport #CompletenessHigh
04-03-2024

Exploiting Document Templates: Stego-Campaign Deploying Remcos RAT and Agent Tesla

https://www.cyfirma.com/outofband/exploiting-document-templates-stego-campaign-deploying-remcos-rat-and-agent-tesla

Report completeness: High

Threats:
Remcos_rat
Agent_tesla
Steganography_technique
Lolbin_technique
Winrm_tool
Xworm_rat
Spear-phishing_technique
Process_injection_technique

Victims:
General electrics

Industry:
Financial, Energy

Geo:
Taiwan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 7
IP: 6
Hash: 15
Url: 12
Path: 3
Domain: 1

Soft:
Microsoft Office, Outlook

Algorithms:
sha256, rc4, base64, md5

Win Services:
WebClient

Languages:
powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, windows: 8, code: 10, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ сложной кампании по борьбе с киберугрозами, использующей различные передовые методы, такие как стеганография, внедрение шаблонов и развертывание троянских программ удаленного доступа, таких как Remcos RAT и Agent Tesla. Исследование раскрывает сложную цепочку атак, тактику и процедуры, используемые участниками угроз для успешного выполнения атаки, подчеркивая важность упреждающих мер кибербезопасности для противодействия таким продвинутым угрозам.
-----

В тексте освещаются выводы из исследования, проведенного CYFIRMA, о сложной киберугрозе, проявившейся в результате stego-кампании с использованием вредоносного файла .docx. Эта кампания предназначена для обхода традиционных мер безопасности электронной почты с помощью внедрения шаблонов в документы Microsoft Office. При открытии вредоносного файла запускается многоэтапная атака, включающая загрузку и выполнение скриптов, ведущих к развертыванию троянца удаленного доступа Remcos (RAT) и вредоносного ПО Agent Tesla. Remcos RAT предоставляет злоумышленникам широкий контроль над скомпрометированными системами, позволяя осуществлять удаленное управление, кейлоггинг, кражу данных, захват скриншотов, манипулирование файлами и выполнение команд. Кроме того, в атаке используется агент Tesla, RAT на базе .NET, используемый для целей кражи данных.

В отчете скрупулезно описана вся цепочка атак, используемых участниками угроз, подчеркивается их эволюционирующая тактика и сложные методологии, позволяющие избежать обнаружения и достичь своих вредоносных целей. Вредоносный файл .docx распространяется, возможно, через спам или фишинговые электронные письма, используя внедрение шаблонов для обхода мер безопасности электронной почты. Он инициирует сложный процесс, включающий загрузку и выполнение различных скриптов и развертывание вредоносных полезных нагрузок, таких как Remcos RAT и Agent Tesla. Цепочка атак раскрывает тонкости операции, включая использование уязвимости редактора уравнений (CVE-2017-11882) в документах RTF, использование скриптов VB и PowerShell для загрузки и выполнения полезных нагрузок, а также кодирование вредоносных полезных нагрузок в base64 в изображениях с использованием методов стеганографии.

В исследовании также рассматриваются тактики, методы и процедуры (TTP), используемые участниками угроз при организации этой киберугрозы, подчеркивается необходимость бдительности и упреждающих мер кибербезопасности для противодействия таким продвинутым атакам. Анализ выявил подключения к серверам командования и контроля (C2), используемым для загрузки и развертывания вредоносного ПО, что еще раз подчеркивает организованный и целенаправленный характер кампании. Отслеживая возникающие угрозы и тенденции распространения вредоносных программ, исследовательская группа выявляет закономерности и показатели, связанные с текущими вредоносными кампаниями, что позволяет организациям и частным лицам усилить свою киберзащиту и снизить потенциальные риски.

Shadow Banking in Your Pocket: Exposing Android App Used by Money Mules

https://www.cloudsek.com/blog/shadow-banking-in-your-pocket-exposing-android-app-used-by-money-mules

#ParsedReport #CompletenessLow
04-03-2024

Multistage RA World Ransomware Uses Anti-AV Tactics, Exploits GPO. Insights

https://www.trendmicro.com/en_us/research/24/c/multistage-ra-world-ransomware.html

Report completeness: Low

Actors/Campaigns:
Ra-group

Threats:
Ra_world
Babuk

Industry:
Financial, Healthcare

Geo:
Taiwan, American, India, Germany

TTPs:
Tactics: 6
Technics: 11

IOCs:
File: 7

Soft:
windows service, indows Service

Algorithms:
aes, base64

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 22, schema: 1, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что атака RA World ransomware, возникшая после отставки Бабука и утечки исходного кода банды, использует многоступенчатые компоненты для нацеливания на организации по всему миру, с акцентом на здравоохранение и финансовый сектор. Тактика группы угроз включает в себя компрометацию контроллеров домена, манипулирование настройками групповой политики, развертывание вредоносных программ по сетям и проведение процедур очистки после запуска программ-вымогателей. Кроме того, операторы отключают возможности восстановления системы и используют утечку исходного кода Babuk для целей идентификации.
-----

Команда Trend Micro по поиску угроз недавно обнаружила атаку программы-вымогателя RA World, которая использует многоступенчатые компоненты для достижения максимального эффекта. Ранее известная как RA Group, RA World успешно взламывала организации по всему миру. В то время как злоумышленник нацелен на широкий круг жертв, значительное число атак было зафиксировано в США, а о дополнительных инцидентах сообщалось в таких странах, как Германия, Индия и Тайвань. Группа уделяет особое внимание здравоохранению и финансовому сектору.

После ухода Бабука на пенсию в 2021 году программа-вымогатель RA World появилась из-за утечки исходного кода банды, что способствовало появлению новых групп угроз на рынке программ-вымогателей. Это развитие в сочетании с распространением программ-вымогателей как услуги (RaaS) снизило технический барьер для участия киберпреступников в вредоносных действиях. Аналитики выявили целенаправленные атаки на организации здравоохранения в Латинской Америке, связанные с RA World, с компонентами, разработанными для обеспечения успеха операции.

Операторы RA World обычно проникают в системы через скомпрометированные контроллеры домена и распространяют компоненты по общему пути SYSVOL для объекта групповой политики компьютера (GPO). Внутренняя телеметрия выявила выполнение Stage1.exe через PowerShell в сетях, что подразумевает потенциальное вмешательство в параметры групповой политики для включения выполнения скрипта PowerShell. Эта манипуляция может способствовать развертыванию вредоносного ПО на нескольких компьютерах в домене.

Stage1.exe инициирует идентификацию контроллера домена, проверяет действительность домена и выполняет итерацию по контроллерам на основе определенных условий. Затем он подтверждает отсутствие Stage2.exe в каталоге локального компьютера и передает необходимые файлы из жестко заданного пути SYSVOL для выполнения Stage2.exe, ответственного за запуск полезной нагрузки программы-вымогателя. Наличие строк, связанных с компаниями-жертвами, как в Stage1.exe, так и в Stage2.exe - еще раз подтверждает целенаправленные атаки на конкретные организации.

В случаях, когда компьютер работает в безопасном режиме, Stage2.exe проверяет отсутствие определенных файлов перед расшифровкой pay.txt и передачей его содержимого в Stage3.exe, полезную нагрузку программы-вымогателя. После выполнения Stage3.exe выполняет процедуры очистки, удаляя следы вредоносного ПО и создавая ключи реестра. Полезная нагрузка программы-вымогателя, использующая просочившийся исходный код Babuk, генерирует определенные файлы и мьютексы для целей идентификации, аналогичные предыдущим версиям, связанным с программой-вымогателем Babuk.

Кроме того, операторы RA World используют SD.bat для попытки удаления папки Trend Micro и используют утилиту WMIC для поиска информации на диске, оставляя файл журнала в системном каталоге. Программа-вымогатель также удаляет параметр "Безопасный режим с подключением к сети" из конфигурации загрузки по умолчанию в Windows, что влияет на возможности восстановления системы.

#ParsedReport #CompletenessMedium
04-03-2024

Itll be back: Attackers still abusing Terminator tool and variants. It ll be back: Attackers still abusing Terminator tool and variants

https://news.sophos.com/en-us/2024/03/04/itll-be-back-attackers-still-abusing-terminator-tool-and-variants

Report completeness: Medium

Threats:
Terminator_tool
Zemana
Aukill_tool
Blackbyte
Byovd_technique
Robinhood
Uac_bypass_technique
Sharpterminator_rat
Xmrig_miner

Victims:
Healthcare organization

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1547.006, T1562.001, T1210, T1055, T1078, T1553.002, T1486, T1027, T1482, T1036.005, have more...

IOCs:
File: 5
Path: 2
Url: 2
IP: 2
Hash: 7

Soft:
Process Explorer, Windows security, Windows Error Reporting

Algorithms:
aes-256, sha256

Languages:
rust, powershell

Platforms:
cross-platform

Links:
https://github.com/ZeroMemoryEx/Terminator
https://github.com/mertdas/SharpTerminator
https://github.com/sophoslabs/IoCs/blob/master/Zemana-driver-IoCs.csv
https://github.com/nbaertsch/Ternimator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение киберугрозы, связанной с использованием уязвимых драйверов Zemana субъектами угроз для получения привилегий на уровне ядра в атаках BYOVD (Принесите свой собственный уязвимый драйвер). Эти атаки используются для отключения EDR-решений, сокрытия вредоносных программ, сброса учетных данных и выполнения вредоносных действий. Поставщики систем безопасности разрабатывают механизмы защиты от этих атак, и рекомендации по защите включают внедрение защиты от несанкционированного доступа, строгую гигиену безопасности, постоянное обновление систем и использование правил поведенческой защиты и адаптивной защиты от атак. Субъекты угроз постоянно используют известные уязвимые компоненты, что вызывает необходимость в непрерывных исследованиях и оценке, чтобы опережать развивающиеся угрозы, такие как атаки BYOVD. Выделено несколько инцидентов, демонстрирующих модели поведения атак, связанные с использованием драйверов Zemana и инструментов BYOVD.
-----

Киберугроза, связанная с EDR-киллером, использующим уязвимые драйверы Zemana для атак BYOVD с целью получения привилегий на уровне ядра.

Атаки BYOVD включают удаление уязвимых драйверов для отключения EDR-решений и выполнения вредоносных действий, таких как сокрытие вредоносных программ и сброс учетных данных.

Инструмент Terminator использует уязвимые драйверы Zemana zam64.sys и zamguard64.sys для завершения процессов AV и EDR.

Поставщики систем безопасности, такие как Sophos, реагируют на это разработкой механизмов защиты от различных вариантов уязвимых драйверов.

Рекомендации по защите от атак BYOVD включают защиту от несанкционированного доступа, строгую гигиену безопасности, системные обновления и правила поведенческой защиты.

Участники угроз продолжают использовать известные уязвимые компоненты, такие как драйверы Zemana, а некоторые изучают пользовательские вредоносные драйверы, подписанные украденными или просочившимися сертификатами.

Инциденты демонстрируют схемы атак с использованием драйверов Zemana и инструментов BYOVD, включая попытки отключить EDR-клиенты, выполнить криптоминеры и подорвать механизмы безопасности.

Продемонстрирована эффективность стратегий проактивной защиты, таких как правила поведенческой защиты от угроз BYOVD.

#ParsedReport #CompletenessLow
05-03-2024

Infostealer disguised as Adobe Reader installation file

https://asec.ahnlab.com/ko/62064

Report completeness: Low

Threats:
Dll_hijacking_technique
Uac_bypass_technique
Trojan/win.agent.c5594460
Infostealer/win.agent.c5594461
Trojan/win.agent.c5594846
Malware/mdp.drop.m254

Geo:
Portuguese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1547.012, T1055, T1036.005, T1071.001, T1012, T1518.001, T1105

IOCs:
Url: 3
File: 6
Path: 3
Hash: 4

Soft:
Windows Defender, chrome, Google Chrome

Algorithms:
md5

Win API:
CreateProcess

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4