#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ образца банковского трояна, нацеленного на смартфоны Android от Mandiant, который включает в себя расшифровку запутанных строк в коде приложения, чтобы понять его функциональность. В тексте также обсуждается банковский троян Nexus, структура DEX-файлов в APKS, проблемы при анализе образцов вредоносного по и разработка инструмента dexmod для упрощения задач анализа. Кроме того, в нем подчеркивается эволюционирующий характер угроз и важность использования таких инструментов, как dexmod, для анализа и понимания вредоносного программного обеспечения, нацеленного на устройства Android.
-----

Анализ образца банковского трояна, нацеленного на Android-смартфоны компанией Mandiant, выявил неоднократное использование механизма обфускации строк в коде приложения. Чтобы досконально понять функциональность приложения, необходимо ручное декодирование запутанных строк в каждом встречающемся методе, хотя это и трудоемкий процесс. Чтобы упростить этот анализ, было проведено тематическое исследование, посвященное банковскому троянцу Nexus, образцу вредоносного по, способному красть средства из различных банковских приложений на телефонах Android.

В качестве ориентира был использован фреймворк Nexus, доступный для покупки на подпольных форумах. Цель публикации в блоге - пролить свет на формат исполняемого файла Dalvik, его конструкцию и то, как им можно манипулировать для облегчения анализа. Было проведено углубленное изучение файлов DEX (исполняемых файлов Dalvik), содержащихся в APKs (Android Package Kit). В этих файлах DEX содержится байт-код приложений Android от Dalvik, который после компиляции является производным от байт-кода Java.

Файлы DEX структурированы по отдельным разделам, таким как заголовки, таблицы строк, определения классов, коды методов и другие сегменты данных. Одним из важных аспектов, описанных в исследовании, является раздел определения класса, в частности элемент class_data_off, который указывает на class_data_item, детализирующий атрибуты класса. Сюда входит информация о статических и виртуальных методах, а также о статических полях и полях экземпляра внутри класса.

Существенной проблемой, выявленной в ходе анализа, было отсутствие декодированных строк, необходимых для исправления байт-кода вредоносного образца, в таблице строк файла DEX. Чтобы решить эту проблему, декодированные строки необходимо было добавить в файл после декодирования, чтобы установить требуемый string_data_item и индекс string_id_item, на который может ссылаться код.

В ответ на эту проблему был разработан инструмент под названием dexmod. Dexmod - это вспомогательный инструмент на базе Python, предназначенный для исправления DEX-файлов на основе заданной пользователем логики деобфускации. Наряду с возможностями исправления, инструмент облегчает такие задачи, как поиск метода с использованием шаблонов байт-кода и добавление строк в файлы DEX. Сообщение в блоге также дает представление о внутренней работе dexmod, подчеркивая его полезность для упрощения анализа вредоносных приложений Android.

В то время как тематическое исследование демонстрирует эффективность исправления байт-кода Dalvik в оказании помощи исследователям, оно также признает эволюционирующую природу упаковщиков и методов запутывания. Поддержание универсального решения для исправления для широкого спектра приложений в течение длительного времени остается постоянной проблемой из-за динамической природы угроз. Несмотря на эффективность анализа байт-кода при выявлении шаблонов кодирования, модификация DEX-файлов без риска повреждения является сложной задачей.

Выпуск кода dexmod, связанного с проверкой образцов, призван вдохновить и поддержать других в их исследовании вредоносных приложений для Android. Используя бесплатные инструменты с открытым исходным кодом, такие как dexmod, исследователи могут расширить свои возможности в анализе и понимании потенциально вредоносного программного обеспечения, нацеленного на устройства Android.

#cyberthreattech
Добавили еще 3 новых источника с майнинговыми пулами.
А Я то думал, что мы уже выгребли все что было в Deep Web :)
Итого теперь 263 источника IoC (не считая аккаунты в соцсетях и источники TI-отчетов)

#ParsedReport #CompletenessHigh
07-03-2024

Penetration Tester's Shadow: F.A.C.C.T. Experts investigated unknown Shadow ransomware attacks

https://www.facct.ru/blog/shadow-ransomware

Report completeness: High

Actors/Campaigns:
C0met (motivation: cyber_criminal)

Threats:
Metasploit_tool
Sqlmap_tool
Proxyshellscanner_tool
Dockerregistrygrabber_tool
Mythic_c2
Athena_botnet
Babuk
Lockbit
Crackmapexec_tool
Cobalt_strike
Sliver_c2_tool
Proxylogon_exploit
Proxynotshell_vuln
Proxyshell_vuln
Meterpreter_tool
Facefish
Beacon
Xenarmor_tool
Dynamic_linker_hijacking_technique

Victims:
Russian companies

Industry:
Financial

Geo:
Russian, Russia

CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34423 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- zoom meetings (<5.8.3, <5.8.4)
- zoom meetings for blackberry (<5.8.1)
- zoom meetings for intune (<5.8.4)
- zoom meetings for chrome os (<5.0.1)
- zoom rooms for conference rooms (<5.8.3)
have more...
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-27925 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)


TTPs:
Tactics: 11
Technics: 28

IOCs:
IP: 4
File: 2
Hash: 7
Domain: 3
Url: 2

Soft:
Confluence, OpenSSL, Zimbra, Microsoft Exchange, sudo, Microsoft Exchange server, Outlook, Docker, Active Directory, Redis, have more...

Algorithms:
zip, sha1

Languages:
python

Links:
https://github.com/sqlmapproject/sqlmap
https://github.com/Syzik/DockerRegistryGrabber
https://github.com/cyberheartmi9/Proxyshell-Scanner
https://github.com/its-a-feature/Mythic

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 4, chart: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступная группировка, известная как Shadow, провела серию кибератак, нацеленных на организации в России, используя различные широко доступные инструменты для разведки и эксплуатации. Группа продемонстрировала стратегический подход к таргетингу, сосредоточив внимание на уязвимых организациях в различных отраслях промышленности России, что указывает на эволюционирующую тактику киберпреступности, позволяющую маскироваться под угрозы более низкого уровня, продолжая проводить сложные атаки.
-----

С сентября 2022 по август 2023 года серия кибератак была направлена против более чем ста организаций в России. Злоумышленники были первоначально идентифицированы платформой киберразведки F.A.C.C.T. Threat Intelligence, получившей доступ к серверу, где были обнаружены различные инструменты тестирования на проникновение, такие как SQLMap, Metasploit и ProxyShell-Scanner. Анализ связал эти нападения со значительной организованной преступной группировкой, известной как Shadow, в рамках синдиката ShadowTwelve. Первоначально предполагалось, что они начали свою деятельность в начале 2023 года, но более поздние результаты показали, что их деятельность началась гораздо раньше.

Shadow, также известная как Comet, а позже как DARKSTAR, была идентифицирована как группа двойного назначения, способная к финансово мотивированным атакам с использованием программ-вымогателей и политически мотивированным операциям по краже данных. Группа использовала индивидуальные версии программ-вымогателей LockBit 3.0 и Babuk, нацеленные на системы Windows и Linux соответственно, требуя выкупов, которые достигли максимума в 3,5 миллиона долларов в 2023 году. Выбор жертв был в основном основан на их местоположении в России, а не на конкретных секторах.

Дальнейшие расследования выявили методы работы Теневой группы, включавшие в себя различные общедоступные инструменты для разведки и эксплуатации. Metasploit использовался для выявления уязвимостей в таких сервисах, как Confluence, Cisco ASA, GitLab, Exchange, IIS, OpenSSL и Zimbra. Группа также использовала SQLMap для использования баз данных и выявления уязвимостей SQL-инъекций. ProxyShell-Scanner использовался для таргетинга на серверы Microsoft Exchange, в то время как DockerRegistryGrabber использовался для извлечения данных из образов Docker. Кроме того, на сервере злоумышленников были обнаружены такие инструменты, как Cobalt Strike, Mythic Athena и Sliver, позволяющие осуществлять расширенный удаленный доступ и манипулирование данными.

Сосредоточенность злоумышленников на использовании широко доступных инструментов продемонстрировала их способность справляться с киберугрозами более низкого уровня, помогая уклоняться и сокращая ресурсы, необходимые для планирования сложных атак. Несмотря на использование базовых инструментов, Теневая группа продемонстрировала стратегический целевой подход, сосредоточив внимание на уязвимых организациях в различных отраслях промышленности России. Такая географическая концентрация выявила продуманную стратегию использования слабых мест в конкретном регионе.

Результаты расследования проливают свет на эволюционирующую тактику киберпреступных группировок, таких как Shadow, подчеркивая важность понимания как базовых, так и продвинутых методологий атак. Эффективно используя вездесущие инструменты, продвинутые участники угроз могут скрывать свою деятельность на фоне менее изощренных атак, оптимизируя свои ресурсы для проведения сложных и результативных киберопераций.

#ParsedReport #CompletenessMedium
07-03-2024

The Spreading Wave of Pig-Butchering Scams in India

https://cyble.com/blog/the-spreading-wave-of-pig-butchering-scams-in-india

Report completeness: Medium

Threats:
Pig_butchering
Blackrock

Victims:
Indian investors, Blackrock

Industry:
Financial, Education

Geo:
Indian, Korean, China, India, Taiwan, Chinese, Asian, Korea

ChatGPT TTPs:
do not use without manual check
T1199, T1204, T1566, T1584, T1608, T1583, T1589, T1595

IOCs:
Email: 2
Url: 6
Domain: 4
IP: 1
Hash: 3

Soft:
Telegram, Android, Instagram, WhatsApp

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Cyble раскрыла мошенническую схему под названием "Афера с разделкой свиней", нацеленную на индийских инвесторов с помощью поддельных торговых приложений, распространяемых через Google Play Store и App Store. Мошенники используют скомпрометированные учетные записи разработчиков и фишинговые сайты для обмана жертв, ложно заявляя о партнерстве с уважаемыми компаниями и выдавая себя за индийские брокерские фирмы. Мошенничество распространяется за пределы Индии на такие страны, как Тайвань и Корея, причем доказательства указывают на киберпреступников, базирующихся в Китае, в качестве вдохновителей. Жертв заманивают с помощью заманчивой рекламы в социальных сетях, обещающей высокую доходность на фондовом рынке, что в конечном итоге приводит их к инвестированию в мошеннические криптовалюты и торговые схемы, что приводит к финансовым потерям и эмоциональному расстройству. Мошенничество требует повышенной осведомленности, бдительности и образования, чтобы защитить людей от того, чтобы они не стали жертвами таких финансовых хищников в эпоху цифровых технологий.
-----

Компания по кибербезопасности Cyble выявила рост мошенничества с разделкой свиней, нацеленного на индийских инвесторов с помощью поддельных торговых приложений в Google Play Store и App Store.

Мошенники используют скомпрометированные учетные записи разработчиков для распространения поддельных приложений и фишинговых сайтов, ложно заявляя о партнерстве с авторитетными компаниями, такими как BlackRock и индийские брокерские фирмы.

Афера распространяется на такие страны, как Тайвань и Корея, и доказательства указывают на киберпреступников, базирующихся в Китае, в качестве вдохновителей.

Мошенники рекламируют высокую доходность на фондовом рынке на платформах социальных сетей, таких как Facebook и Instagram, чтобы привлечь жертв.

Жертв заманивают инвестировать в мошеннические криптовалюты и торговые схемы с помощью поддельных рекомендаций по акциям, что приводит к потерям при попытке вывести средства.

Cyble Research and Intelligence Labs (CRIL) сообщили о распространении поддельных торговых приложений, выдающих себя за индийских брокеров, в Google Play Store и App Store.

Афера имеет глобальный охват за пределами Индии, нацелена на частных лиц на Тайване и в Корее и происходит из Китая.

Жертвы этих мошеннических схем испытывают финансовые потери, эмоциональный стресс и подорванное доверие, что подчеркивает необходимость повышения осведомленности и образования для борьбы с подобными мошенничествами.

#ParsedReport #CompletenessLow
07-03-2024

Cisco Talos Blog. You re going to start seeing more tax-related spam, but remember, that doesn t actually mean there s more spam

https://blog.talosintelligence.com/threat-source-newsletter-march-7-2024

Report completeness: Low

Actors/Campaigns:
Mogilevich
Yorotrooper (motivation: cyber_espionage)
Stormous (motivation: financially_motivated)
Ghostsec (motivation: financially_motivated)
Stmx_ghostlocker
Stormousx (motivation: financially_motivated)

Threats:
Supershell
Ghostlocker
Cuba_ransomware
Xmrig_miner
Symmi

Victims:
Epic, Health care systems, Wordpress users

Industry:
Financial, Retail, Government, Healthcare

Geo:
Argentina, Lebanon, Japan, California, Vietnam, Brazil, France, Egypt, Thailand, China, Israel, Poland, Chile, Usa, Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1583, T1190, T1486, T1496, T1133

IOCs:
Hash: 10
File: 5

Soft:
Fortnite, Android, Telegram, WordPress, Internet Explorer

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние киберугрозы и мошенничества, подчеркивается необходимость повышения бдительности в отношении меняющейся тактики участников угроз. В нем рассматриваются различные инциденты, включая мошеннические требования о предоставлении налоговых льгот, поддельные схемы вымогательства, уязвимости в камерах видеонаблюдения с белой маркировкой, утечку данных, влияющую на платежные системы в секторе здравоохранения, и появление новых участников угроз, использующих сложные методы, такие как атаки с двойным вымогательством. Для снижения рисков рекомендуются такие меры, как мониторинг подозрительной активности и внедрение надежных учетных данных для входа в систему.
-----

Мошенничество, связанное с мошенническими заявлениями о предоставлении налоговых льгот, использующими темы, связанные с налогами, с помощью спам-рассылок и кампаний социальной инженерии.

Банда фальшивых вымогателей Могилевича ложно утверждает, что взломала разработчика видеоигр Epic, продавая поддельную инфраструктуру вымогателей другим лицам.

Уязвимости в камерах безопасности с белой маркировкой, продаваемых как Eken и Tuck, позволяют получить несанкционированный доступ к изображениям с камер.

Утечка данных в Change Healthcare влияет на платежные системы здравоохранения США, приводя к сбоям в работе и бумажным платежным решениям.

Участники угроз используют платформу Supershell C2 для создания ботнетов, при этом YoroTrooper участвует в шпионских атаках, а APT group GhostSec сотрудничает со Stormous для атак с двойным вымогательством.

Talos выявляет сотрудничество между GhostSec и группами программ-вымогателей Stormous в атаках с двойным вымогательством, подчеркивая рост RaaS и выпуск новых IOCS для защиты от этих угроз.

#ParsedReport #CompletenessMedium
07-03-2024

Around We Go: Planet Stealer Emerges

https://inquest.net/blog/around-we-go-planet-stealer-emerges

Report completeness: Medium

Threats:
Planetstealer
Upx_tool
Smokeloader

Industry:
Financial, Healthcare, Education

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1583, T1588, T1496, T1027, T1041, T1560, T1573

IOCs:
Url: 4
IP: 1
Hash: 4

Soft:
Chromium, Telegram

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и анализе троянского проекта по краже информации под названием Planet Stealer, подчеркивающего важность отслеживания возможностей противников в сборе конфиденциальной информации и необходимость защитных механизмов для борьбы с такими угрозами. Кроме того, в нем обсуждаются функциональные возможности Planet Stealer, методы распространения, связь с другими угрозами и рекомендуемые стратегии защиты для смягчения их воздействия.
-----

Planet Stealer - это троян, крадущий информацию, разработанный в Go, предлагаемый как вредоносное ПО как услуга (MaaS) на подпольных форумах.

Троянец используется злоумышленниками для сбора конфиденциальной информации со скомпрометированных хостов, распространяется в виде исполняемых файлов и доставляется с помощью многоэтапной тактики заражения.

Planet Stealer взаимодействует с активным сервером управления (C2) посредством HTTP POST-запросов с использованием API, потенциально привязанных к одному субъекту угрозы или базовой инфраструктуре продавца вредоносного ПО.

Троянец может уклониться от полного анализа, используя методы уклонения, что потенциально повысит его долговечность и скрытность в будущих итерациях.

Примечательная функция эксфильтрации включает в себя использование Telegram для эксфильтрации данных с подключением к серверам C2, работающим на сервисе ASGI на основе Python, с определенными конечными точками, такими как /submit/info и /submit/file.

Были отмечены связи с другими угрозами, такими как SmokeLoader, и присутствие на подпольных форумах, таких как BreachForums и Hack Forums.

Для борьбы с такими угрозами, как Planet Stealer, предприятиям рекомендуется развертывать сетевые системы обнаружения и усиливать защиту путем перехвата и анализа трафика HTTP/HTTPS для эффективной борьбы с коммуникациями C2.

#ParsedReport #CompletenessMedium
07-03-2024

Ransomware Precursor Activity Traced to Compromised Vendor Account

https://www.esentire.com/blog/ransomware-precursor-activity-traced-to-compromised-vendor-account

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal)

Threats:
Cobalt_strike
Credential_dumping_technique

Geo:
Emea, America, Apac

TTPs:

IOCs:
Path: 1
Hash: 6
File: 6
Url: 2
Registry: 1
Domain: 2

Soft:
Active Directory, PsExec

Algorithms:
md5, zip

Languages:
powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/Threat%20Actor%20Leveraging%20Compromised%20RDP%20Sessions%20for%20Level.io%20RMM%20Deployment/iocs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Подразделение eSentire Threat Response Unit (TRU) активно отслеживает угрозы и повышает устойчивость организации, сотрудничая с командами безопасности клиентов для обнаружения потенциальных угроз по всей поверхности атаки и реагирования на них. В конкретном инциденте, связанном с киберпреступной группой Spider, TRU идентифицировала скомпрометированный хост, выделила разведку, извлечение учетных данных, сброс учетных данных, развертывание инструмента Level.io RMM и вредоносного ПО Cobalt Strike. Применяемая тактика подчеркивает важность тщательного мониторинга действий, проверки целостности программного обеспечения сторонних производителей и понимания стратегий постоянного доступа участников угроз.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это специализированная команда, занимающаяся повышением устойчивости организации путем использования возможностей упреждающего поиска угроз и исследований. Эта элитная группа поддерживает круглосуточные операционные центры безопасности (SOCS) и вносит свой вклад в разработку моделей обнаружения угроз в рамках облачной платформы eSentire XDR. TRU тесно сотрудничает со службами безопасности клиентов, чтобы постоянно совершенствовать управляемые службы обнаружения и реагирования, обеспечивая всестороннюю видимость потенциальных угроз по всей поверхности атаки.

В конкретном инциденте, выявленном TRU в феврале 2024 года, скомпрометированный хост был обнаружен с помощью сеанса RDP, инициированного скомпрометированной учетной записью поставщика ИТ-услуг, которая выходила за рамки мониторинга. Исполнитель угрозы, стоящий за этим взломом, провел разведку домена, извлечение учетных данных, повышение привилегий и в конечном итоге развернул инструмент Level.io RMM, что привело к развертыванию вредоносного ПО Cobalt Strike. Наблюдаемые тактики, методы и процедуры (TTP) предполагают потенциальную связь с разрозненной киберпреступной группой Spider, хотя из-за ограниченной видимости первоначального заражения (нулевой пациент) эта оценка остается неубедительной.

Исполнитель угрозы попытался установить агент RMM уровня на хост с помощью сценария PowerShell и применил тактику сброса учетных данных, обратившись к диспетчеру задач и обнаружив скрытые файлы в каталоге. Развертывание полезной нагрузки Cobalt Strike наряду с дополнительными резервными вариантами подчеркивает стратегию постоянного доступа, обычно применяемую субъектами угроз для поддержания контроля над скомпрометированными хостами и установления соединений с серверами командования и контроля.

Разведывательные действия, попытки сброса учетных данных и маневры по повышению привилегий - это типичные начальные шаги, предпринимаемые субъектами угроз для сбора разведданных и расширения своего доступа в сети. Использование легальных инструментов, таких как PsExec и Task Manager, подчеркивает способность участников угроз перепрофилировать стандартные утилиты для вредоносных целей, подчеркивая важность тщательного мониторинга этих действий. Установка инструментов RMM, таких как Level.io, служит иллюстрацией целей злоумышленников по сохранению контроля над скомпрометированными системами, что требует проверки целостности программного обеспечения сторонних производителей в сетях организаций.

Использование полезных нагрузок Cobalt Strike в качестве средства установления постоянного доступа является примером распространенной тактики, применяемой субъектами угроз для обеспечения постоянного несанкционированного проникновения в сети и проведения дальнейших вредоносных операций. Акцент на повышении привилегий с использованием таких методов, как PsExec, подчеркивает цель злоумышленников получить повышенный доступ к системе, предоставив им неограниченный контроль над критически важными системными ресурсами и конфиденциальными данными.

#ParsedReport #CompletenessHigh
07-03-2024

Fenix Botnet Targeting LATAM Users. NarniaRAT

https://www.esentire.com/blog/fenix-botnet-targeting-latam-users

Report completeness: High

Threats:
Fenix
Narniarat
Process_injection_technique

Victims:
Latin american financial institutions, Government of mexico

Industry:
Education, Financial, Government

Geo:
Latam, American, Mexico

ChatGPT TTPs:
do not use without manual check
T1020, T1566, T1059, T1003, T1568, T1055, T1573, T1041

IOCs:
IP: 1
File: 6
Hash: 6
Url: 3
Domain: 1

Soft:
Chrome, Internet Explorer, Opera

Algorithms:
exhibit, xor, zip, md5

Win API:
QueueUserAPC

Languages:
rust, powershell

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/NarniaRAT/mal\_NarniaRAT.yar
https://github.com/esThreatIntelligence/iocs/blob/main/BotnetFenix/botnetfenix\_iocs.txt
https://github.com/RussianPanda95/Yara-Rules/tree/main/FenixBotnet

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 6