#ParsedReport #CompletenessMedium
07-03-2024

The Spreading Wave of Pig-Butchering Scams in India

https://cyble.com/blog/the-spreading-wave-of-pig-butchering-scams-in-india

Report completeness: Medium

Threats:
Pig_butchering
Blackrock

Victims:
Indian investors, Blackrock

Industry:
Financial, Education

Geo:
Indian, Korean, China, India, Taiwan, Chinese, Asian, Korea

ChatGPT TTPs:
do not use without manual check
T1199, T1204, T1566, T1584, T1608, T1583, T1589, T1595

IOCs:
Email: 2
Url: 6
Domain: 4
IP: 1
Hash: 3

Soft:
Telegram, Android, Instagram, WhatsApp

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Cyble раскрыла мошенническую схему под названием "Афера с разделкой свиней", нацеленную на индийских инвесторов с помощью поддельных торговых приложений, распространяемых через Google Play Store и App Store. Мошенники используют скомпрометированные учетные записи разработчиков и фишинговые сайты для обмана жертв, ложно заявляя о партнерстве с уважаемыми компаниями и выдавая себя за индийские брокерские фирмы. Мошенничество распространяется за пределы Индии на такие страны, как Тайвань и Корея, причем доказательства указывают на киберпреступников, базирующихся в Китае, в качестве вдохновителей. Жертв заманивают с помощью заманчивой рекламы в социальных сетях, обещающей высокую доходность на фондовом рынке, что в конечном итоге приводит их к инвестированию в мошеннические криптовалюты и торговые схемы, что приводит к финансовым потерям и эмоциональному расстройству. Мошенничество требует повышенной осведомленности, бдительности и образования, чтобы защитить людей от того, чтобы они не стали жертвами таких финансовых хищников в эпоху цифровых технологий.
-----

Компания по кибербезопасности Cyble выявила рост мошенничества с разделкой свиней, нацеленного на индийских инвесторов с помощью поддельных торговых приложений в Google Play Store и App Store.

Мошенники используют скомпрометированные учетные записи разработчиков для распространения поддельных приложений и фишинговых сайтов, ложно заявляя о партнерстве с авторитетными компаниями, такими как BlackRock и индийские брокерские фирмы.

Афера распространяется на такие страны, как Тайвань и Корея, и доказательства указывают на киберпреступников, базирующихся в Китае, в качестве вдохновителей.

Мошенники рекламируют высокую доходность на фондовом рынке на платформах социальных сетей, таких как Facebook и Instagram, чтобы привлечь жертв.

Жертв заманивают инвестировать в мошеннические криптовалюты и торговые схемы с помощью поддельных рекомендаций по акциям, что приводит к потерям при попытке вывести средства.

Cyble Research and Intelligence Labs (CRIL) сообщили о распространении поддельных торговых приложений, выдающих себя за индийских брокеров, в Google Play Store и App Store.

Афера имеет глобальный охват за пределами Индии, нацелена на частных лиц на Тайване и в Корее и происходит из Китая.

Жертвы этих мошеннических схем испытывают финансовые потери, эмоциональный стресс и подорванное доверие, что подчеркивает необходимость повышения осведомленности и образования для борьбы с подобными мошенничествами.

#ParsedReport #CompletenessLow
07-03-2024

Cisco Talos Blog. You re going to start seeing more tax-related spam, but remember, that doesn t actually mean there s more spam

https://blog.talosintelligence.com/threat-source-newsletter-march-7-2024

Report completeness: Low

Actors/Campaigns:
Mogilevich
Yorotrooper (motivation: cyber_espionage)
Stormous (motivation: financially_motivated)
Ghostsec (motivation: financially_motivated)
Stmx_ghostlocker
Stormousx (motivation: financially_motivated)

Threats:
Supershell
Ghostlocker
Cuba_ransomware
Xmrig_miner
Symmi

Victims:
Epic, Health care systems, Wordpress users

Industry:
Financial, Retail, Government, Healthcare

Geo:
Argentina, Lebanon, Japan, California, Vietnam, Brazil, France, Egypt, Thailand, China, Israel, Poland, Chile, Usa, Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1583, T1190, T1486, T1496, T1133

IOCs:
Hash: 10
File: 5

Soft:
Fortnite, Android, Telegram, WordPress, Internet Explorer

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние киберугрозы и мошенничества, подчеркивается необходимость повышения бдительности в отношении меняющейся тактики участников угроз. В нем рассматриваются различные инциденты, включая мошеннические требования о предоставлении налоговых льгот, поддельные схемы вымогательства, уязвимости в камерах видеонаблюдения с белой маркировкой, утечку данных, влияющую на платежные системы в секторе здравоохранения, и появление новых участников угроз, использующих сложные методы, такие как атаки с двойным вымогательством. Для снижения рисков рекомендуются такие меры, как мониторинг подозрительной активности и внедрение надежных учетных данных для входа в систему.
-----

Мошенничество, связанное с мошенническими заявлениями о предоставлении налоговых льгот, использующими темы, связанные с налогами, с помощью спам-рассылок и кампаний социальной инженерии.

Банда фальшивых вымогателей Могилевича ложно утверждает, что взломала разработчика видеоигр Epic, продавая поддельную инфраструктуру вымогателей другим лицам.

Уязвимости в камерах безопасности с белой маркировкой, продаваемых как Eken и Tuck, позволяют получить несанкционированный доступ к изображениям с камер.

Утечка данных в Change Healthcare влияет на платежные системы здравоохранения США, приводя к сбоям в работе и бумажным платежным решениям.

Участники угроз используют платформу Supershell C2 для создания ботнетов, при этом YoroTrooper участвует в шпионских атаках, а APT group GhostSec сотрудничает со Stormous для атак с двойным вымогательством.

Talos выявляет сотрудничество между GhostSec и группами программ-вымогателей Stormous в атаках с двойным вымогательством, подчеркивая рост RaaS и выпуск новых IOCS для защиты от этих угроз.

#ParsedReport #CompletenessMedium
07-03-2024

Around We Go: Planet Stealer Emerges

https://inquest.net/blog/around-we-go-planet-stealer-emerges

Report completeness: Medium

Threats:
Planetstealer
Upx_tool
Smokeloader

Industry:
Financial, Healthcare, Education

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1583, T1588, T1496, T1027, T1041, T1560, T1573

IOCs:
Url: 4
IP: 1
Hash: 4

Soft:
Chromium, Telegram

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и анализе троянского проекта по краже информации под названием Planet Stealer, подчеркивающего важность отслеживания возможностей противников в сборе конфиденциальной информации и необходимость защитных механизмов для борьбы с такими угрозами. Кроме того, в нем обсуждаются функциональные возможности Planet Stealer, методы распространения, связь с другими угрозами и рекомендуемые стратегии защиты для смягчения их воздействия.
-----

Planet Stealer - это троян, крадущий информацию, разработанный в Go, предлагаемый как вредоносное ПО как услуга (MaaS) на подпольных форумах.

Троянец используется злоумышленниками для сбора конфиденциальной информации со скомпрометированных хостов, распространяется в виде исполняемых файлов и доставляется с помощью многоэтапной тактики заражения.

Planet Stealer взаимодействует с активным сервером управления (C2) посредством HTTP POST-запросов с использованием API, потенциально привязанных к одному субъекту угрозы или базовой инфраструктуре продавца вредоносного ПО.

Троянец может уклониться от полного анализа, используя методы уклонения, что потенциально повысит его долговечность и скрытность в будущих итерациях.

Примечательная функция эксфильтрации включает в себя использование Telegram для эксфильтрации данных с подключением к серверам C2, работающим на сервисе ASGI на основе Python, с определенными конечными точками, такими как /submit/info и /submit/file.

Были отмечены связи с другими угрозами, такими как SmokeLoader, и присутствие на подпольных форумах, таких как BreachForums и Hack Forums.

Для борьбы с такими угрозами, как Planet Stealer, предприятиям рекомендуется развертывать сетевые системы обнаружения и усиливать защиту путем перехвата и анализа трафика HTTP/HTTPS для эффективной борьбы с коммуникациями C2.

#ParsedReport #CompletenessMedium
07-03-2024

Ransomware Precursor Activity Traced to Compromised Vendor Account

https://www.esentire.com/blog/ransomware-precursor-activity-traced-to-compromised-vendor-account

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal)

Threats:
Cobalt_strike
Credential_dumping_technique

Geo:
Emea, America, Apac

TTPs:

IOCs:
Path: 1
Hash: 6
File: 6
Url: 2
Registry: 1
Domain: 2

Soft:
Active Directory, PsExec

Algorithms:
md5, zip

Languages:
powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/Threat%20Actor%20Leveraging%20Compromised%20RDP%20Sessions%20for%20Level.io%20RMM%20Deployment/iocs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Подразделение eSentire Threat Response Unit (TRU) активно отслеживает угрозы и повышает устойчивость организации, сотрудничая с командами безопасности клиентов для обнаружения потенциальных угроз по всей поверхности атаки и реагирования на них. В конкретном инциденте, связанном с киберпреступной группой Spider, TRU идентифицировала скомпрометированный хост, выделила разведку, извлечение учетных данных, сброс учетных данных, развертывание инструмента Level.io RMM и вредоносного ПО Cobalt Strike. Применяемая тактика подчеркивает важность тщательного мониторинга действий, проверки целостности программного обеспечения сторонних производителей и понимания стратегий постоянного доступа участников угроз.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это специализированная команда, занимающаяся повышением устойчивости организации путем использования возможностей упреждающего поиска угроз и исследований. Эта элитная группа поддерживает круглосуточные операционные центры безопасности (SOCS) и вносит свой вклад в разработку моделей обнаружения угроз в рамках облачной платформы eSentire XDR. TRU тесно сотрудничает со службами безопасности клиентов, чтобы постоянно совершенствовать управляемые службы обнаружения и реагирования, обеспечивая всестороннюю видимость потенциальных угроз по всей поверхности атаки.

В конкретном инциденте, выявленном TRU в феврале 2024 года, скомпрометированный хост был обнаружен с помощью сеанса RDP, инициированного скомпрометированной учетной записью поставщика ИТ-услуг, которая выходила за рамки мониторинга. Исполнитель угрозы, стоящий за этим взломом, провел разведку домена, извлечение учетных данных, повышение привилегий и в конечном итоге развернул инструмент Level.io RMM, что привело к развертыванию вредоносного ПО Cobalt Strike. Наблюдаемые тактики, методы и процедуры (TTP) предполагают потенциальную связь с разрозненной киберпреступной группой Spider, хотя из-за ограниченной видимости первоначального заражения (нулевой пациент) эта оценка остается неубедительной.

Исполнитель угрозы попытался установить агент RMM уровня на хост с помощью сценария PowerShell и применил тактику сброса учетных данных, обратившись к диспетчеру задач и обнаружив скрытые файлы в каталоге. Развертывание полезной нагрузки Cobalt Strike наряду с дополнительными резервными вариантами подчеркивает стратегию постоянного доступа, обычно применяемую субъектами угроз для поддержания контроля над скомпрометированными хостами и установления соединений с серверами командования и контроля.

Разведывательные действия, попытки сброса учетных данных и маневры по повышению привилегий - это типичные начальные шаги, предпринимаемые субъектами угроз для сбора разведданных и расширения своего доступа в сети. Использование легальных инструментов, таких как PsExec и Task Manager, подчеркивает способность участников угроз перепрофилировать стандартные утилиты для вредоносных целей, подчеркивая важность тщательного мониторинга этих действий. Установка инструментов RMM, таких как Level.io, служит иллюстрацией целей злоумышленников по сохранению контроля над скомпрометированными системами, что требует проверки целостности программного обеспечения сторонних производителей в сетях организаций.

Использование полезных нагрузок Cobalt Strike в качестве средства установления постоянного доступа является примером распространенной тактики, применяемой субъектами угроз для обеспечения постоянного несанкционированного проникновения в сети и проведения дальнейших вредоносных операций. Акцент на повышении привилегий с использованием таких методов, как PsExec, подчеркивает цель злоумышленников получить повышенный доступ к системе, предоставив им неограниченный контроль над критически важными системными ресурсами и конфиденциальными данными.

#ParsedReport #CompletenessHigh
07-03-2024

Fenix Botnet Targeting LATAM Users. NarniaRAT

https://www.esentire.com/blog/fenix-botnet-targeting-latam-users

Report completeness: High

Threats:
Fenix
Narniarat
Process_injection_technique

Victims:
Latin american financial institutions, Government of mexico

Industry:
Education, Financial, Government

Geo:
Latam, American, Mexico

ChatGPT TTPs:
do not use without manual check
T1020, T1566, T1059, T1003, T1568, T1055, T1573, T1041

IOCs:
IP: 1
File: 6
Hash: 6
Url: 3
Domain: 1

Soft:
Chrome, Internet Explorer, Opera

Algorithms:
exhibit, xor, zip, md5

Win API:
QueueUserAPC

Languages:
rust, powershell

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/NarniaRAT/mal\_NarniaRAT.yar
https://github.com/esThreatIntelligence/iocs/blob/main/BotnetFenix/botnetfenix\_iocs.txt
https://github.com/RussianPanda95/Yara-Rules/tree/main/FenixBotnet

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание двух вариантов вредоносного ПО, NarniaRAT и BotnetFenix, используемых в кампании по борьбе с киберугрозами, нацеленной на латиноамериканских пользователей. Эти вредоносные программы обладают специфическими возможностями, такими как эксфильтрация файлов, мониторинг банковских операций, эксфильтрация данных, удаленное выполнение задач, кража банковских учетных данных и использование методов внедрения процессов. Кампания включает в себя принуждение жертв обманом загружать вредоносные файлы с поддельного правительственного веб-сайта, подчеркивая важность распознавания первоначальных переносчиков инфекции и необходимость постоянной осведомленности и просвещения об угрозах кибербезопасности. В тексте также подчеркивается необходимость механизмов обнаружения поведения и мониторинга сетевого трафика на предмет аномальных паттернов для эффективного обнаружения и смягчения этих угроз.
-----

Два варианта вредоносного ПО, NarniaRAT и BotnetFenix, являются частью кампании по борьбе с киберугрозами, нацеленной на латиноамериканских пользователей.

NarniaRAT извлекает файлы из определенных папок, отслеживает связанные с банком процессы в браузере и обладает возможностями извлечения данных.

BotnetFenix написан на Rust, выполняет такие задачи, как загрузка отражающего кода, выполнение команд PowerShell и загрузка программы-похитителя с именем "steal.crypt".

БотнетFenix может расшифровывать полезные данные, используя алгоритм XOR и жестко закодированные ключи, и взаимодействует с жестко закодированными серверами C2.

Кампания нацелена на латиноамериканских пользователей с помощью вредоносного zip-архива, замаскированного под веб-сайт правительства Мексики.

Полезная нагрузка устанавливает троянца удаленного доступа (RAT) с возможностями кражи информации и вовлекает скомпрометированные компьютеры в ботнет.

Угрозы направлены на кражу банковских учетных данных, подчеркивая опасность для финансовой безопасности.

Первоначальные переносчики заражения включают посещение вредоносных веб-сайтов, использование внедрения процессов для скрытого выполнения полезных нагрузок в рамках законных процессов.

Осознание опасностей, связанных с ненадежными сайтами, механизмы обнаружения поведения и мониторинг сетевого трафика имеют решающее значение для защиты.

Оба варианта вредоносного ПО создают серьезные последствия для конфиденциальности и безопасности данных благодаря таким функциям, как эксфильтрация данных, захват экрана, кейлоггинг и кража банковской информации.

#ParsedReport #CompletenessMedium
08-03-2024

Voicemail Themed Emails Tycoon Phishing-as-a-Service Platform

https://www.esentire.com/blog/voicemail-themed-emails-tycoon-phishing-as-a-service-platform

Report completeness: Medium

Actors/Campaigns:
Tycoon

Threats:
Antibot
Smuggling_technique

Industry:
Retail

Geo:
Apac, America, Emea

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1020, T1071.001, T1001, T1568.002, T1556.003, T1568.001, T1059, T1193, have more...

IOCs:
Domain: 2
File: 1
Url: 4

Soft:
Telegram

Algorithms:
xor

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена подразделению реагирования на угрозы eSentire (TRU) и их усилиям по повышению устойчивости организации с помощью комплексных служб обнаружения угроз и реагирования на них. Команда TRU сотрудничает с операционными центрами безопасности и группами безопасности клиентов, чтобы обеспечить полную видимость поверхности атаки организации, проводить проверку угроз, упреждающий поиск и оригинальные исследования для защиты от известных и неизвестных угроз. В тексте также обсуждается конкретный инцидент, связанный с фишинговой кампанией, и подчеркивается коммерциализация и изощренность фишинговых операций, подчеркивается необходимость постоянной адаптации мер безопасности для эффективного противодействия развивающимся угрозам.
-----

Подразделение eSentire по реагированию на угрозы (TRU) предлагает комплексные услуги по обнаружению угроз и реагированию на них, сотрудничая с операционными центрами безопасности (SoCs) и группами безопасности клиентов для улучшения управляемых служб обнаружения и реагирования.

TRU фокусируется на обеспечении полной видимости всей поверхности атаки организации с помощью глобальной проверки угроз, упреждающего поиска угроз и оригинального исследования угроз.

Недавний инцидент связан с тем, что eSentire отреагировала на фишинговую кампанию, направленную против пользователей розничного сектора, которые использовали взломанную учетную запись для рассылки фишинговых писем на тему голосовой почты, ведущих на поддельную страницу входа в Microsoft, размещенную на allo.io.

Фишинговый сайт использовал запрос CloudFlare Turnstile prompt, запутанный код и пытался извлечь IP-адреса пользователей и информацию о браузере.

Связь с ailinux.ru выявила подключение к панели управления TycoonGroup, платформе фишинга как услуги, предлагающей различные функции для облегчения атак и уклонения от обнаружения.

Фишинговые кампании часто рассчитываются стратегически для достижения максимального эффекта, используются такие методы, как контрабанда HTML, для внедрения вредоносных полезных данных и требуют многоуровневых стратегий безопасности для эффективной защиты.

Коммерциализация таких платформ, как TycoonGroup, демонстрирует изощренность фишинговых операций и подчеркивает необходимость постоянной адаптации мер безопасности для противодействия развивающимся угрозам.

#ParsedReport #CompletenessLow
08-03-2024

New Malware Campaign Found Exploiting Stored XSS in Popup Builder < 4.2.3

https://blog.sucuri.net/2024/03/new-malware-campaign-found-exploiting-stored-xss-in-popup-builder-4-2-3.html

Report completeness: Low

Threats:
Balada_injector

Victims:
Popup builder wordpress plugin users

ChatGPT TTPs:
do not use without manual check
T1190, T1064, T1070.004, T1102.002, T1550.004, T1485, T1562.001

IOCs:
Domain: 2
Url: 1

Soft:
WordPress

#ParsedReport #GeneratedSchema
Generated with GPT-4