#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обнаружение и анализ Xehook Stealer, сложного вредоносного ПО, нацеленного на системы Windows, с такими возможностями, как сбор данных из браузеров и платформ обмена сообщениями, модель ценообразования на основе подписки, связи с Agniane и проектом Cinoshi, распространение через двоичные файлы SmokeLoader, тактика уклонения и взаимосвязанность с другими приложениями. варианты вредоносных программ, такие как Agniane и Cinoshi, подчеркивают необходимость в стратегиях проактивной защиты перед лицом развивающихся киберугроз.
-----

CRIL обнаружила новую угрозу под названием Xehook Stealer, сложную вредоносную программу на базе .NET, нацеленную на системы Windows.

Xehook Stealer собирает данные из популярных браузеров, поддерживает широкий спектр криптовалют, имеет API для пользовательских ботов трафика и может восстанавливать просроченные файлы cookie Google.

Существуют потенциальные связи между Xehook Stealer, Agniane и проектом Cinoshi, что указывает на прогресс в разработке вредоносного программного обеспечения.

Распространение Xehook Stealer связано с двоичными файлами SmokeLoader, что указывает на активную деятельность по распространению.

Xehook Stealer может собирать пароли, файлы cookie, данные кредитной карты и многое другое из браузеров и платформ обмена сообщениями.

Цены на Xehook Stealer варьируются от 50 до 600 долларов, при наличии дополнительного доступа к API.

Xehook Stealer демонстрирует тактику уклонения, позволяющую избежать обнаружения, включая временные ограничения и методы внедрения процессов.

Взаимосвязь между Xehook Stealer, Agniane и Cinoshi подчеркивает необходимость проактивных стратегий защиты в области кибербезопасности.

#ParsedReport #CompletenessMedium
12-03-2024

VCURMS: A Simple and Functional Weapon

https://www.fortinet.com/blog/threat-research/vcurms-a-simple-and-functional-weapon

Report completeness: Medium

Threats:
Vcurms
Strrat
Virbox_protector_tool
Branchlock_tool
Rude
Zelix_klassmaster_technique
Allatori_technique
Khonsari

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1204, T1027, T1105, T1059, T1112, T1573, T1562, T1056, have more...

IOCs:
File: 7
Command: 1
Path: 2
Email: 2
Domain: 5
Hash: 5

Soft:
Discord, Chrome, Opera, OperaGX, Vivaldi

Algorithms:
aes, base64

Languages:
powershell, java

Links:
https://github.com/narumii/Deobfuscator

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 7, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: FortiGuard Labs обнаружила сложную фишинговую кампанию, использующую новые трояны удаленного доступа VCURMS и STRRAT, распространяемые через вредоносные загрузчики Java. Злоумышленники использовали общедоступные сервисы, такие как AWS и GitHub, использовали электронную почту в качестве канала командования и контроля через Proton Mail и использовали методы обфускации, чтобы избежать обнаружения. Целью кампании было установить контроль над зараженными системами, собрать конфиденциальные данные и избежать обнаружения продуктами безопасности с помощью различных тактик. Аналитикам по анализу киберугроз следует ознакомиться с VCURMS и STRRAT RATs для улучшения стратегий обнаружения и смягчения последствий.
-----

Лаборатории FortiGuard раскрыли фишинговую кампанию, направленную на распространение новых троянов удаленного доступа VCURMS и STRRAT (RATs) через вредоносный загрузчик Java. Злоумышленники хранили вредоносное ПО в общедоступных сервисах, таких как Amazon Web Services (AWS) и GitHub, используя коммерческий защитник, чтобы избежать обнаружения. Они использовали электронную почту в качестве канала командования и контроля, используя Proton Mail для связи. Злоумышленники рассылали сотрудникам фишинговые электронные письма, якобы связанные с ожидающими платежами, и предлагали жертвам перейти по ссылке, что приводило к загрузке вредоносного JAR-файла с AWS.

Загруженные файлы содержали запутанные строки, причем один класс указывал на намерение программы загрузить и выполнить дополнительные файлы JAR, предоставленные злоумышленником. Вредоносная программа реплицировалась в системной папке автозагрузки, обеспечивая сохраняемость, и связывалась с сервером управления по электронной почте. Вредоносное ПО для кейлоггера и восстановления пароля также было частью кампании, замаскированное под файлы .jpg на AWS и загруженное с помощью команд PowerShell. Вредоносное ПО обладало различными возможностями, включая выполнение команд оболочки и манипулирование файлами.

Основной участник этой кампании, VCURMS, общался со своим командованием по электронной почте, имитировал законные программы, чтобы избежать обнаружения, и хранил кейлоггер в определенном каталоге для фиксации нажатий клавиш. Вторичный RAT, STRRAT, использовал передовые методы обфускации, такие как Allatori и Branchlock, чтобы скрыть свои действия, и включал файл конфигурации, зашифрованный с помощью AES. Атаки были направлены на одновременное развертывание нескольких вредоносных программ, при этом VCURMS фокусировалась на командовании и контроле, а STRRAT - на извлечении данных и наблюдении.

Исполнитель угроз, стоявший за кампанией, использовал сложные методы запутывания и уникальный подход, заключающийся в использовании электронной почты в качестве основного канала связи с сервером командования и контроля. Эта многоэтапная операция по атаке была направлена на установление контроля над зараженными системами, сбор конфиденциальных данных с помощью кейлоггеров и перехватчиков и предотвращение обнаружения средствами безопасности с помощью обфускации. Аналитики по разведке киберугроз должны быть осведомлены об этой тактике и конкретных деталях VCURMS и STRRAT RATs для улучшения стратегий обнаружения и смягчения последствий.

#ParsedReport #CompletenessLow
12-03-2024

Dark Web Profile: Meow Ransomware

https://socradar.io/dark-web-profile-meow-ransomware

Report completeness: Low

Actors/Campaigns:
Meow (motivation: financially_motivated)
Snatch

Threats:
Meow_ransomware
Conti

Victims:
Vanderbilt university medical center

Industry:
Education, Healthcare, Financial

Geo:
Canada, Nigeria, Italy, Singapore, Morocco, Russian

TTPs:
Tactics: 10
Technics: 17

IOCs:
File: 1
Hash: 18

Soft:
Telegram

Algorithms:
sha1, md5, chacha20, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление и эволюция вируса-вымогателя Meow, производного от просочившегося вируса-вымогателя Conti. В нем подробно описываются действия, цели, методы шифрования и эволюция группы Meow, подчеркивается переход к продаже данных вместо атак на основе шифрования. Приводятся рекомендации по защите данных и стратегиям смягчения последствий, а также такие инструменты, как SOCRadar. Подчеркивается важность упреждающих мер безопасности для борьбы с развивающимися киберугрозами, такими как те, которые исходят от таких групп, как Meow.
-----

В тексте обсуждается появление и эволюция штамма программы-вымогателя Meow, полученного из просочившегося штамма программы-вымогателя Conti. В конце 2022 года были обнаружены четыре штамма программы-вымогателя, связанных с Conti, и одним из них является программа-вымогатель Meow. Операции программ-вымогателей Meow наблюдались с конца августа по февраль 2023 года, а в марте 2023 года был выпущен бесплатный дешифратор, что привело к прекращению их деятельности. По оценкам Касперского, программа-вымогатель Meow зашифровала данные 257 жертв, 14 из которых заплатили выкуп. Закрытые ключи для расшифровки были сгенерированы в период с ноября 2022 по февраль 2023 года.

Группа Meow продолжила свою деятельность в 2024 году, на данный момент жертвами стали девять человек. Группа, хотя и не подтверждено, что она работает по модели RaaS, нацелилась на различные учреждения, что предполагает сосредоточение внимания на вымогательстве. Недавние жертвы сообщали об извлечении данных без шифрования. Веб-сайт группы под названием Meow Leaks указывает на изменения в их деятельности.

Ранее группа действовала под разными названиями, такими как MeowCorp и MeowLeaks, шифровала данные с использованием алгоритма ChaCha20 и требовала выплаты выкупа по электронной почте или Telegram. В записке с требованием выкупа содержалась фраза МЯУ! МЯУ! МЯУ! и учетные данные для входа в meowcorp2022. Они нацеливались на жертв в разных странах, в первую очередь в США, причем частыми целями были такие отрасли, как здравоохранение и медицинские исследования.

Программа-вымогатель распространялась несколькими способами, включая спам по электронной почте, настройки RDP и вредоносные загрузки. Зашифрованные файлы имели расширение .MEOW. Недавние жертвы, такие как Медицинский центр Университета Вандербильта, сталкивались с кибератаками, но публично не раскрывали подробности. Группа перешла к продаже данных, а не к атакам на основе шифрования, что требует сосредоточения внимания на стратегиях защиты данных и смягчения последствий.

Рекомендации включают в себя надежные политики классификации данных, шифрование конфиденциальных данных, обучение сотрудников угрозам кибербезопасности и стратегию резервного копирования и восстановления. SOCRadar предлагается в качестве инструмента для обнаружения и устранения утечек данных, обеспечивающего соблюдение нормативных требований и всестороннюю аналитику угроз.

Наконец, приведены TTP для анализа штамма программ-вымогателей Meow и потенциальных индикаторов компрометации (IOCs) для группы. В тексте подчеркивается важность сохранения активности в адаптации мер безопасности для борьбы с развивающимися киберугрозами, особенно со стороны таких групп, как Meow.

#ParsedReport #CompletenessLow
12-03-2024

CryptoWire ransomware with decryption key

https://asec.ahnlab.com/ko/62868

Report completeness: Low

Threats:
Cryptowire
Shadow_copies_delete_technique
Kryptik
Ransomware/win.bcdedit.c5590639
Malware/mdp.ransom.m1171

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1112, T1485, T1027, T1071

IOCs:
File: 1
Hash: 2
Url: 1

Soft:
task scheduler, bcdedit

Algorithms:
md5

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель CryptoWire - это вредоносная угроза, которая распространяется через фишинговые электронные письма, использует сценарий автоматической загрузки, реплицируется в системе, препятствует восстановлению путем удаления определенных файлов и уникальна благодаря включению в ее структуру ключа дешифрования. Эта функция ключа расшифровки отличает CryptoWire от других разновидностей программ-вымогателей, подчеркивая необходимость соблюдать осторожность при работе с файлами из неизвестных или ненадежных источников, чтобы избежать атак программ-вымогателей.
-----

Программа-вымогатель CryptoWire - это особенно коварная угроза, которая в основном распространяется через фишинговые электронные письма и примечательна тем, что создается с использованием сценария Autoit. После активации эта программа-вымогатель предназначена для репликации себя в каталог C\Program Files\Common Files и установки планировщика задач для обеспечения постоянства в зараженной системе. В рамках своей вредоносной деятельности CryptoWire также предпринимает шаги, препятствующие восстановлению, удаляя корзину и теневую копию тома.

Что отличает CryptoWire от других разновидностей программ-вымогателей, так это включение ключа дешифрования в его структуру. Эта функция не является распространенной в большинстве вариантов программ-вымогателей, что делает ее несколько уникальной. Ключ дешифрования может быть либо встроен непосредственно в сценарий Autoit (показано на рисунке 8), либо передан вместе с данными зараженной системы на сервер управления (C2) злоумышленника (показано на рисунке 9). Такая редкость наличия подтверждаемого ключа дешифрования подчеркивает важность соблюдения крайней осторожности при работе с файлами из неизвестных или ненадежных источников, чтобы не стать жертвой атак программ-вымогателей.

#cyberthreattech

К чему это я? Скоро расскажем.

#ParsedReport #CompletenessMedium
13-03-2024

FakeBat delivered via several active malvertising campaigns

https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns

Report completeness: Medium

Threats:
Fakebat
Parsec_tool
Cloaking_technique

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1071, T1566, T1189, T1583, T1600

IOCs:
IP: 1
Domain: 13
Hash: 5

Soft:
OneNote

Wallets:
braavos_wallet

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе инцидентов, связанных с рекламой, особенно с семейством вредоносных программ FakeBat. Злоумышленники совершенствуют свою тактику, используя средства сокращения URL-адресов, легальные веб-сайты и сложные методы перенаправления, нацеливаясь на более широкий спектр брендов и приложений. Несмотря на усилия по борьбе с этими вредоносными рекламными кампаниями, злоумышленники, стоящие за FakeBat, успешно обманывают пользователей и обходят меры безопасности, подчеркивая необходимость упреждающих стратегий защиты.
-----

В феврале было отмечено значительное увеличение числа инцидентов, связанных с вредоносной рекламой на основе поиска, при этом количество задокументированных случаев почти удвоилось. Хотя наблюдались некоторые знакомые вредоносные программы, были и новые, которые, как оказалось, умело избегали обнаружения. Одним из известных семейств отслеживаемых вредоносных программ является FakeBat, известное использованием установщиков MSI с сильно запутанным кодом PowerShell. Злоумышленники, распространяющие это вредоносное ПО, изначально использовали службы сокращения URL, что делало их атаки несколько предсказуемыми. Однако позже они разнообразили свою тактику, экспериментируя с новыми перенаправителями, в том числе используя легальные веб-сайты для обхода мер безопасности.

Одним из ключевых моментов, представляющих интерес, является разнообразие брендов, на которые нацелены последние кампании по вредоносной рекламе FakeBat. В отличие от предыдущих итераций, которые были сосредоточены на конкретных брендах программного обеспечения, таких как Parsec и Freecad, недавняя волна нацелена на более широкий спектр брендов. В этих кампаниях используются два основных типа рекламных URL-адресов: в одной используются сокращения URL / аналитики для маскировки вредоносных действий, а в другой используются поддомены из доменов .com с истекшим сроком действия или скомпрометированных, чтобы создать видимость доверия. Интересно, что исполнитель угроз, стоящий за FakeBat, недавно использовал скомпрометированные законные веб-сайты в качестве посредника для перенаправления жертв на их вредоносные сайты, используя Google referer для выполнения условных перенаправлений.

Активно ведется множество кампаний по вредоносной рекламе, целями которых являются такие популярные приложения, как OneNote, Epic Games, Ginger и приложение Braavos smart wallet. Многие вредоносные домены, связанные с этими кампаниями, размещены на российском хостинг-провайдере DataLine. Каждый установщик FakeBat обычно содержит стандартизированный набор файлов вместе с определенным сценарием PowerShell. После выполнения этот сценарий подключается к серверу управления атакующего, чтобы каталогизировать жертвы для дальнейшей эксплуатации. ThreatDown EDR обнаруживает выполнение этого сценария PowerShell, генерируя предупреждение о потенциальных угрозах.

Несмотря на усилия по борьбе с вредоносной рекламой, FakeBat остается постоянной угрозой для бизнеса, заманивая жертв с помощью обманчивой рекламы для загрузки известного программного обеспечения. Операторам вредоносного ПО удалось обойти меры безопасности Google и обманом заставить пользователей посещать вредоносные сайты. Защита от этих атак требует не только снижения полезной нагрузки вредоносных программ, но и нацеливания на поддерживающую инфраструктуру. Использование законных веб-сайтов и изощренной тактики перенаправления создают проблемы для традиционных механизмов защиты, таких как списки блокировки доменов. Внедрение упреждающих мер, таких как блокировка рекламы в источнике с использованием таких инструментов, как DNS-фильтр ThreatDown, подчеркивается как эффективная стратегия противодействия кампаниям вредоносной рекламы.

#ParsedReport #CompletenessMedium
13-03-2024

What s in your notepad? Infected text editors target Chinese users

https://securelist.com/trojanized-text-editor-apps/112167

Report completeness: Medium

Actors/Campaigns:
Sea_turtle

Threats:
Redline_stealer
Typosquatting_technique
Geacon
Cobalt_strike
Portscan_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1566, T1195, T1204, T1553, T1020, T1570, T1071, T1105, T1036, T1059, have more...

IOCs:
Domain: 6
Hash: 5
Url: 2

Soft:
macOS

Algorithms:
md5

Functions:
GetComputerUUID, SetSleep

Platforms:
apple

Links:
https://github.com/Z3ratu1/geacon\_plus/
https://github.com/jas502n/BeaconTool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе недобросовестной рекламы, используемой киберпреступниками для распространения вредоносного программного обеспечения посредством вводящей в заблуждение рекламы и манипулирования результатами поиска в популярных поисковых системах и платформах, ориентируясь на пользователей, ищущих популярные программы. В тексте обсуждаются конкретные случаи вредоносных рекламных кампаний, распространяющих вредоносное ПО, такое как RedLine stealer, и модифицированные версии известных текстовых редакторов, подробно описывается, как злоумышленники используют тактику, подобную typosquatting, чтобы обманом заставить пользователей загружать вредоносные приложения, с акцентом на недавнюю угрозу, нацеленную на пользователей китайской поисковой системы, и обнаружение бэкдоров в замаскированных приложениях. как законное программное обеспечение. Упоминаются текущие исследовательские работы по дальнейшему анализу угрозы и выявлению потенциальных дополнительных этапов атаки.
-----

Вредоносная реклама обычно используется киберпреступниками для заманивания жертв на вредоносные сайты путем размещения вводящих в заблуждение рекламных блоков в верхней части результатов поиска.

Была замечена вредоносная рекламная кампания, распространявшая RedLine stealer через рекламу Google, использующая такие тактики, как опечатывание, для имитации официальных веб-сайтов.

Недавно угроза, нацеленная на пользователей популярной китайской поисковой системы, была связана с распространением модифицированных версий известных текстовых редакторов.

Скриншоты из расследования выявили вводящие в заблуждение ссылки, представленные в результатах поиска, относящиеся к популярным текстовым редакторам.

Вредоносный сайт продвигался с помощью рекламного блока, ложно рекламирующего загрузку Notepad++ и содержащего вредоносные ссылки для версий macOS и Linux.

Вредоносная версия macOS содержала исполняемый файл с именем "NotePad", который, как было обнаружено, функционировал как бэкдор, аналогичный Geacon.

Связь с сервером командования и контроля "dns.transferusee.com" осуществлялась по протоколу HTTPS.

Текущие исследовательские усилия направлены на выявление нераскрытых промежуточных стадий угрозы, отмечая существование бэкдора для Linux, аналогичного версии для macOS.

#ParsedReport #CompletenessMedium
12-03-2024

Tweaks Stealer Targets Roblox Users Through YouTube and Discord

https://www.zscaler.com/blogs/security-research/tweaks-stealer-targets-roblox-users-through-youtube-and-discord

Report completeness: Medium

Threats:
Tweaks_stealer

Victims:
Roblox users

Industry:
Financial, Entertainment

TTPs:
Tactics: 1
Technics: 10

IOCs:
File: 2
Hash: 2
Url: 4
Path: 1

Soft:
Roblox, Discord

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4