#ParsedReport #CompletenessMedium
13-03-2024

FakeBat delivered via several active malvertising campaigns

https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns

Report completeness: Medium

Threats:
Fakebat
Parsec_tool
Cloaking_technique

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1071, T1566, T1189, T1583, T1600

IOCs:
IP: 1
Domain: 13
Hash: 5

Soft:
OneNote

Wallets:
braavos_wallet

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе инцидентов, связанных с рекламой, особенно с семейством вредоносных программ FakeBat. Злоумышленники совершенствуют свою тактику, используя средства сокращения URL-адресов, легальные веб-сайты и сложные методы перенаправления, нацеливаясь на более широкий спектр брендов и приложений. Несмотря на усилия по борьбе с этими вредоносными рекламными кампаниями, злоумышленники, стоящие за FakeBat, успешно обманывают пользователей и обходят меры безопасности, подчеркивая необходимость упреждающих стратегий защиты.
-----

В феврале было отмечено значительное увеличение числа инцидентов, связанных с вредоносной рекламой на основе поиска, при этом количество задокументированных случаев почти удвоилось. Хотя наблюдались некоторые знакомые вредоносные программы, были и новые, которые, как оказалось, умело избегали обнаружения. Одним из известных семейств отслеживаемых вредоносных программ является FakeBat, известное использованием установщиков MSI с сильно запутанным кодом PowerShell. Злоумышленники, распространяющие это вредоносное ПО, изначально использовали службы сокращения URL, что делало их атаки несколько предсказуемыми. Однако позже они разнообразили свою тактику, экспериментируя с новыми перенаправителями, в том числе используя легальные веб-сайты для обхода мер безопасности.

Одним из ключевых моментов, представляющих интерес, является разнообразие брендов, на которые нацелены последние кампании по вредоносной рекламе FakeBat. В отличие от предыдущих итераций, которые были сосредоточены на конкретных брендах программного обеспечения, таких как Parsec и Freecad, недавняя волна нацелена на более широкий спектр брендов. В этих кампаниях используются два основных типа рекламных URL-адресов: в одной используются сокращения URL / аналитики для маскировки вредоносных действий, а в другой используются поддомены из доменов .com с истекшим сроком действия или скомпрометированных, чтобы создать видимость доверия. Интересно, что исполнитель угроз, стоящий за FakeBat, недавно использовал скомпрометированные законные веб-сайты в качестве посредника для перенаправления жертв на их вредоносные сайты, используя Google referer для выполнения условных перенаправлений.

Активно ведется множество кампаний по вредоносной рекламе, целями которых являются такие популярные приложения, как OneNote, Epic Games, Ginger и приложение Braavos smart wallet. Многие вредоносные домены, связанные с этими кампаниями, размещены на российском хостинг-провайдере DataLine. Каждый установщик FakeBat обычно содержит стандартизированный набор файлов вместе с определенным сценарием PowerShell. После выполнения этот сценарий подключается к серверу управления атакующего, чтобы каталогизировать жертвы для дальнейшей эксплуатации. ThreatDown EDR обнаруживает выполнение этого сценария PowerShell, генерируя предупреждение о потенциальных угрозах.

Несмотря на усилия по борьбе с вредоносной рекламой, FakeBat остается постоянной угрозой для бизнеса, заманивая жертв с помощью обманчивой рекламы для загрузки известного программного обеспечения. Операторам вредоносного ПО удалось обойти меры безопасности Google и обманом заставить пользователей посещать вредоносные сайты. Защита от этих атак требует не только снижения полезной нагрузки вредоносных программ, но и нацеливания на поддерживающую инфраструктуру. Использование законных веб-сайтов и изощренной тактики перенаправления создают проблемы для традиционных механизмов защиты, таких как списки блокировки доменов. Внедрение упреждающих мер, таких как блокировка рекламы в источнике с использованием таких инструментов, как DNS-фильтр ThreatDown, подчеркивается как эффективная стратегия противодействия кампаниям вредоносной рекламы.

#ParsedReport #CompletenessMedium
13-03-2024

What s in your notepad? Infected text editors target Chinese users

https://securelist.com/trojanized-text-editor-apps/112167

Report completeness: Medium

Actors/Campaigns:
Sea_turtle

Threats:
Redline_stealer
Typosquatting_technique
Geacon
Cobalt_strike
Portscan_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1566, T1195, T1204, T1553, T1020, T1570, T1071, T1105, T1036, T1059, have more...

IOCs:
Domain: 6
Hash: 5
Url: 2

Soft:
macOS

Algorithms:
md5

Functions:
GetComputerUUID, SetSleep

Platforms:
apple

Links:
https://github.com/Z3ratu1/geacon\_plus/
https://github.com/jas502n/BeaconTool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе недобросовестной рекламы, используемой киберпреступниками для распространения вредоносного программного обеспечения посредством вводящей в заблуждение рекламы и манипулирования результатами поиска в популярных поисковых системах и платформах, ориентируясь на пользователей, ищущих популярные программы. В тексте обсуждаются конкретные случаи вредоносных рекламных кампаний, распространяющих вредоносное ПО, такое как RedLine stealer, и модифицированные версии известных текстовых редакторов, подробно описывается, как злоумышленники используют тактику, подобную typosquatting, чтобы обманом заставить пользователей загружать вредоносные приложения, с акцентом на недавнюю угрозу, нацеленную на пользователей китайской поисковой системы, и обнаружение бэкдоров в замаскированных приложениях. как законное программное обеспечение. Упоминаются текущие исследовательские работы по дальнейшему анализу угрозы и выявлению потенциальных дополнительных этапов атаки.
-----

Вредоносная реклама обычно используется киберпреступниками для заманивания жертв на вредоносные сайты путем размещения вводящих в заблуждение рекламных блоков в верхней части результатов поиска.

Была замечена вредоносная рекламная кампания, распространявшая RedLine stealer через рекламу Google, использующая такие тактики, как опечатывание, для имитации официальных веб-сайтов.

Недавно угроза, нацеленная на пользователей популярной китайской поисковой системы, была связана с распространением модифицированных версий известных текстовых редакторов.

Скриншоты из расследования выявили вводящие в заблуждение ссылки, представленные в результатах поиска, относящиеся к популярным текстовым редакторам.

Вредоносный сайт продвигался с помощью рекламного блока, ложно рекламирующего загрузку Notepad++ и содержащего вредоносные ссылки для версий macOS и Linux.

Вредоносная версия macOS содержала исполняемый файл с именем "NotePad", который, как было обнаружено, функционировал как бэкдор, аналогичный Geacon.

Связь с сервером командования и контроля "dns.transferusee.com" осуществлялась по протоколу HTTPS.

Текущие исследовательские усилия направлены на выявление нераскрытых промежуточных стадий угрозы, отмечая существование бэкдора для Linux, аналогичного версии для macOS.

#ParsedReport #CompletenessMedium
12-03-2024

Tweaks Stealer Targets Roblox Users Through YouTube and Discord

https://www.zscaler.com/blogs/security-research/tweaks-stealer-targets-roblox-users-through-youtube-and-discord

Report completeness: Medium

Threats:
Tweaks_stealer

Victims:
Roblox users

Industry:
Financial, Entertainment

TTPs:
Tactics: 1
Technics: 10

IOCs:
File: 2
Hash: 2
Url: 4
Path: 1

Soft:
Roblox, Discord

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о киберкампании с участием инфостилера Tweaks, нацеленного на пользователей Roblox, распространяемого через популярные платформы, такие как YouTube и Discord. Злоумышленники обманом заставляют пользователей загружать вредоносные файлы, замаскированные под пакеты оптимизации FPS, воруя конфиденциальные данные, такие как информация о пользователях и пароли. Вредоносная программа отфильтровывает данные на сервер, контролируемый злоумышленником, через Discord webhooks, причем как бесплатные, так и платные версии содержат идентичную вредоносную нагрузку. Злоумышленники стремятся использовать ценные данные из огромной базы пользователей, используя тактику обмана, чтобы создать у пользователей ложное чувство безопасности и создать более широкий спектр угроз, подчеркивая необходимость осторожности и использования законных приложений для борьбы с киберугрозами.
-----

ThreatLabZ от Zscaler обнаружил новую киберкампанию, распространяющую инфостилер под названием Tweaks, нацеленный на пользователей Roblox, используя YouTube и Discord.

Tweaks маскируется под инструмент оптимизации FPS для кражи конфиденциальных данных, таких как информация о пользователях, пароли, идентификаторы Roblox и внутриигровая валюта.

Хакеры продают различные версии настроек, намекая на возможный мотив монетизации, стоящий за атаками.

Пользователей обманывают, заставляя отключать антивирусное программное обеспечение для загрузки настроек, причем как бесплатные, так и платные версии содержат одинаковую вредоносную нагрузку.

Infostealer отправляет данные на серверы, контролируемые злоумышленниками, через веб-хуки Discord, используя доверие пользователей к поддельным преимуществам безопасности.

Tweaks использует обманные методы, такие как установка веб-подключений, кража профилей Wi-Fi и паролей, а также сбор системной информации с помощью WMI.

Кража данных включает в себя IP-адреса, системные временные метки, идентификаторы Roblox и информацию о валюте, передаваемую неавторизованным лицам.

Tweaks скрывается в папке во временном каталоге, чтобы избежать обнаружения, что усложняет усилия по удалению.

#technique

The Development of a Telco Attack Testing Tool

https://research.nccgroup.com/2024/03/13/the-development-of-a-telco-attack-testing-tool/

#ParsedReport #CompletenessMedium
13-03-2024

Cisco Talos Blog. Threat actors leverage document publishing sites for ongoing credential and session token theft

https://blog.talosintelligence.com/threat-actors-leveraging-document-publishing-sites

Report completeness: Medium

Threats:
Ddp_publishing_technique
Bec_technique
Credential_harvesting_technique
Fastflux_technique

Industry:
Telco, Financial

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1566, T1114, T1556, T1584, T1583, T1071, T1598, T1190, T1020

IOCs:
Domain: 10
Url: 3
File: 1

Soft:
Publuu, Oneflow, FlipSnack, Issuu, FlippingBook, SimpleBooklet, Office 365

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Субъекты угроз используют законные сайты публикации цифровых документов для фишинга, кражи учетных данных и токенов сеанса, используя такие тактики, как отправка фишинговых электронных писем со ссылками на вредоносные документы, размещенные на этих платформах. Это создает проблемы для служб безопасности в плане быстрого обнаружения угроз и реагирования на них из-за временного характера сайтов DDP. Для защиты от этих атак командам безопасности рекомендуется блокировать распространенные сайты DDP, использовать решения EDR, настраивать средства контроля безопасности электронной почты, использовать аналитику угроз и проводить обучение пользователей.
-----

Субъекты угроз используют законные сайты публикации цифровых документов (DDP) для фишинга, кражи учетных данных и токенов сеанса.

Злоумышленники размещают фишинговые приманки на сайтах DDP, чтобы воспользоваться их хорошей репутацией, что затрудняет их блокировку веб-фильтрами.

Замечено, что злоумышленники перемещаются между сайтами DDP для быстрого развертывания и удаления вредоносных документов.

Наиболее часто используемыми сайтами DDP являются Publuu, Marq, FlipSnack, Issuu, FlippingBook, RelayTo и SimpleBooklet.

Сайты DDP предлагают варианты настройки, которые делают фишинговые атаки более убедительными и повышают количество переходов по ссылкам.

Командам безопасности рекомендуется блокировать распространенные сайты DDP, использовать EDR-решения, такие как Cisco Secure Endpoint, и обновлять обучение пользователей для защиты от фишинговых схем, основанных на DDP.

#ParsedReport #CompletenessMedium
13-03-2024

Tool of First Resort: Israel-Hamas War in Cyber

https://blog.google/technology/safety-security/tool-of-first-resort-israel-hamas-war-in-cyber

Report completeness: Medium

Actors/Campaigns:
Apt42

Threats:
Redalert
Ahmyth_rat
Blackatom
Sysjoker
Blackstem
Magnifi
Pasqotdroid
Chillwipe
Coolwipe
Lovelydroid
Moaazdroid
Bibi-wiper
Mythdroid
Solodroid
Powerpug
Redruse
Toxichelp

Industry:
Petroleum, Military, Financial

Geo:
Russia, Ukraine, Israeli, Russian, Lebanon, Palestine, Tehran, Israel, Yemen, Iran, Moscow, Iranian

IOCs:
Hash: 34
Domain: 24
IP: 6
Url: 14

Soft:
Android, outlook, Telegram

Links:
https://github.com/google/threat-team/blob/main/2024/2024-02-14-tool-of-first-resort-israel-hamas-war-cyber/indicators.csv

#ParsedReport #CompletenessMedium
13-03-2024

CVE-2024-21412: DarkGate Operators Exploit Microsoft Windows SmartScreen Bypass in Zero-Day Campaign

https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-sma.html

Report completeness: Medium

Actors/Campaigns:
Water_hydra

Threats:
Darkgate
Amos_stealer
Rhadamanthys
Motw_bypass_technique
Dll_sideloading_technique
Process_injection_technique
Process_hollowing_technique

Geo:
Africa, America, Asia

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 8.1
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...

TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1553.005, T1574, T1059, T1027, T1105, T1055, T1082, T1112, have more...

IOCs:
Domain: 2
File: 12
Hash: 10
Path: 1
Registry: 1

Soft:
macOS, Windows Defender SmartScreen, Microsoft Defender

Algorithms:
md5, sha256, zip, base64, xor

Functions:
GetHandleVerifier

Win API:
decompress, VirtualProtect, EnumWindows, VirtualAlloc, LoadLibraryA, GetProcAddress, GetTickCount, GetSystemInfo

Languages:
autoit, delphi

Platforms:
apple, x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, dump: 4, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается кампания DarkGate, выявленная инициативой Zero Day, которая использовала уязвимости с помощью поддельных установщиков программного обеспечения и PDF-файлов, содержащих перенаправления Google DDM, для компрометации систем вредоносным ПО DarkGate. Кампания приписывается финансово мотивированным злоумышленникам, использующим передовые методы уклонения, подчеркивая риски, связанные с неофициальными установщиками программного обеспечения. Клиенты Trend Micro были защищены от угрозы нулевого дня, и Microsoft выпустила исправление для устранения уязвимости.
-----

Инициатива нулевого дня (ZDI) недавно выявила кампанию DarkGate в середине января 2024 года, использующую CVE-2024-21412 с помощью поддельных установщиков программного обеспечения. В кампании использовались PDF-файлы, содержащие перенаправления Google DoubleClick Digital Marketing (DDM) на скомпрометированные сайты, на которых размещен обходной код SmartScreen CVE-2024-21412, что приводит к вредоносным установщикам Microsoft (.MSI). Эти установщики маскировались под легальное программное обеспечение, такое как Apple iTunes, Notion и NVIDIA, заражая пользователей вредоносным ПО DarkGate. DarkGate, работающий по модели "вредоносное ПО как услуга" (MaaS), представляет собой сложный штамм, часто используемый финансово мотивированными участниками угроз по всему миру. Эта кампания была частью анализа нулевого дня Water Hydra APT, подчеркивающего важность осторожного отношения к неофициальным установщикам программного обеспечения. Клиенты Trend Micro были защищены от этого "нулевого дня" с 17 января, а Microsoft официально исправила CVE-2024-21412 13 февраля.

Злоумышленники все чаще злоупотребляют технологиями Google Ads, включая открытые перенаправления в Google DDM, для распространения вредоносных программ. Используя уязвимости, такие как CVE-2024-21412, злоумышленники запустили цепочку заражения DarkGate, используя PDF-файлы с открытыми перенаправлениями на скомпрометированные серверы. С помощью серии интернет-файлов быстрого доступа и .Пакеты MSI, использующие CVE-2023-36025, DarkGate загрузили библиотеку DLL для расшифровки и развертывания полезной нагрузки вредоносного ПО. DarkGate также использовала метод боковой загрузки DLL с участием NVIDIA Share.exe для загрузки троянской библиотеки libcef.библиотека dll расшифровывала последующие полезные загрузки с использованием мастер-ключей и пользовательских алгоритмов XOR. Кампания продемонстрировала использование операторами DarkGate различных легальных приложений для дополнительной загрузки библиотек DLL, структурирования компонентов вредоносного ПО таким образом, чтобы избежать обнаружения.

Развертывание полезной нагрузки DarkGate включало автоматическую загрузку PE-файла в память с помощью загрузчика AutoIt и запуск троянца удаленного доступа DarkGate (RAT) через сложную цепочку шагов расшифровки и выполнения. RAT версии 6 DarkGate, предлагаемый как MaaS на форумах по киберпреступности, включает шифрование XOR для настройки и использует защиту от ntdll.подключение dll и динамическое разрешение API для избежания обнаружения. Вредоносная программа регистрирует зараженные системы на сервере C&C с помощью зашифрованных HTTP POST-запросов, демонстрируя сложные возможности уклонения.

#ParsedReport #CompletenessLow
13-03-2024

.NET Malware 101: Analyzing the .NET Executable File Structure

https://intezer.com/blog/incident-response/intro-to-malware-net-executable-file

Report completeness: Low

Actors/Campaigns:
Killnet

Threats:
Locky
Redline_stealer
Cryptoclippy
Doublezero
Hatef
Quasar_rat
Nanocore_rat
Sunburst

Industry:
Financial

Geo:
Israel

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1547, T1059, T1064, T1112, T1584.006

IOCs:
File: 3
Hash: 1

Soft:
NET Framework, NET Core, macOS

Functions:
DeleteDiscoveryProfileInternal

Win API:
MessageBox

Win Services:
bits

Platforms:
cross-platform

Links:
https://github.com/icsharpcode/ILSpy
https://github.com/dnSpy/dnSpy
https://github.com/dotnet/core

#ParsedReport #GeneratedSchema
Generated with GPT-4