#ParsedReport #CompletenessMedium
13-03-2024

What s in your notepad? Infected text editors target Chinese users

https://securelist.com/trojanized-text-editor-apps/112167

Report completeness: Medium

Actors/Campaigns:
Sea_turtle

Threats:
Redline_stealer
Typosquatting_technique
Geacon
Cobalt_strike
Portscan_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1566, T1195, T1204, T1553, T1020, T1570, T1071, T1105, T1036, T1059, have more...

IOCs:
Domain: 6
Hash: 5
Url: 2

Soft:
macOS

Algorithms:
md5

Functions:
GetComputerUUID, SetSleep

Platforms:
apple

Links:
https://github.com/Z3ratu1/geacon\_plus/
https://github.com/jas502n/BeaconTool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе недобросовестной рекламы, используемой киберпреступниками для распространения вредоносного программного обеспечения посредством вводящей в заблуждение рекламы и манипулирования результатами поиска в популярных поисковых системах и платформах, ориентируясь на пользователей, ищущих популярные программы. В тексте обсуждаются конкретные случаи вредоносных рекламных кампаний, распространяющих вредоносное ПО, такое как RedLine stealer, и модифицированные версии известных текстовых редакторов, подробно описывается, как злоумышленники используют тактику, подобную typosquatting, чтобы обманом заставить пользователей загружать вредоносные приложения, с акцентом на недавнюю угрозу, нацеленную на пользователей китайской поисковой системы, и обнаружение бэкдоров в замаскированных приложениях. как законное программное обеспечение. Упоминаются текущие исследовательские работы по дальнейшему анализу угрозы и выявлению потенциальных дополнительных этапов атаки.
-----

Вредоносная реклама обычно используется киберпреступниками для заманивания жертв на вредоносные сайты путем размещения вводящих в заблуждение рекламных блоков в верхней части результатов поиска.

Была замечена вредоносная рекламная кампания, распространявшая RedLine stealer через рекламу Google, использующая такие тактики, как опечатывание, для имитации официальных веб-сайтов.

Недавно угроза, нацеленная на пользователей популярной китайской поисковой системы, была связана с распространением модифицированных версий известных текстовых редакторов.

Скриншоты из расследования выявили вводящие в заблуждение ссылки, представленные в результатах поиска, относящиеся к популярным текстовым редакторам.

Вредоносный сайт продвигался с помощью рекламного блока, ложно рекламирующего загрузку Notepad++ и содержащего вредоносные ссылки для версий macOS и Linux.

Вредоносная версия macOS содержала исполняемый файл с именем "NotePad", который, как было обнаружено, функционировал как бэкдор, аналогичный Geacon.

Связь с сервером командования и контроля "dns.transferusee.com" осуществлялась по протоколу HTTPS.

Текущие исследовательские усилия направлены на выявление нераскрытых промежуточных стадий угрозы, отмечая существование бэкдора для Linux, аналогичного версии для macOS.

#ParsedReport #CompletenessMedium
12-03-2024

Tweaks Stealer Targets Roblox Users Through YouTube and Discord

https://www.zscaler.com/blogs/security-research/tweaks-stealer-targets-roblox-users-through-youtube-and-discord

Report completeness: Medium

Threats:
Tweaks_stealer

Victims:
Roblox users

Industry:
Financial, Entertainment

TTPs:
Tactics: 1
Technics: 10

IOCs:
File: 2
Hash: 2
Url: 4
Path: 1

Soft:
Roblox, Discord

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о киберкампании с участием инфостилера Tweaks, нацеленного на пользователей Roblox, распространяемого через популярные платформы, такие как YouTube и Discord. Злоумышленники обманом заставляют пользователей загружать вредоносные файлы, замаскированные под пакеты оптимизации FPS, воруя конфиденциальные данные, такие как информация о пользователях и пароли. Вредоносная программа отфильтровывает данные на сервер, контролируемый злоумышленником, через Discord webhooks, причем как бесплатные, так и платные версии содержат идентичную вредоносную нагрузку. Злоумышленники стремятся использовать ценные данные из огромной базы пользователей, используя тактику обмана, чтобы создать у пользователей ложное чувство безопасности и создать более широкий спектр угроз, подчеркивая необходимость осторожности и использования законных приложений для борьбы с киберугрозами.
-----

ThreatLabZ от Zscaler обнаружил новую киберкампанию, распространяющую инфостилер под названием Tweaks, нацеленный на пользователей Roblox, используя YouTube и Discord.

Tweaks маскируется под инструмент оптимизации FPS для кражи конфиденциальных данных, таких как информация о пользователях, пароли, идентификаторы Roblox и внутриигровая валюта.

Хакеры продают различные версии настроек, намекая на возможный мотив монетизации, стоящий за атаками.

Пользователей обманывают, заставляя отключать антивирусное программное обеспечение для загрузки настроек, причем как бесплатные, так и платные версии содержат одинаковую вредоносную нагрузку.

Infostealer отправляет данные на серверы, контролируемые злоумышленниками, через веб-хуки Discord, используя доверие пользователей к поддельным преимуществам безопасности.

Tweaks использует обманные методы, такие как установка веб-подключений, кража профилей Wi-Fi и паролей, а также сбор системной информации с помощью WMI.

Кража данных включает в себя IP-адреса, системные временные метки, идентификаторы Roblox и информацию о валюте, передаваемую неавторизованным лицам.

Tweaks скрывается в папке во временном каталоге, чтобы избежать обнаружения, что усложняет усилия по удалению.

#technique

The Development of a Telco Attack Testing Tool

https://research.nccgroup.com/2024/03/13/the-development-of-a-telco-attack-testing-tool/

#ParsedReport #CompletenessMedium
13-03-2024

Cisco Talos Blog. Threat actors leverage document publishing sites for ongoing credential and session token theft

https://blog.talosintelligence.com/threat-actors-leveraging-document-publishing-sites

Report completeness: Medium

Threats:
Ddp_publishing_technique
Bec_technique
Credential_harvesting_technique
Fastflux_technique

Industry:
Telco, Financial

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1566, T1114, T1556, T1584, T1583, T1071, T1598, T1190, T1020

IOCs:
Domain: 10
Url: 3
File: 1

Soft:
Publuu, Oneflow, FlipSnack, Issuu, FlippingBook, SimpleBooklet, Office 365

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Субъекты угроз используют законные сайты публикации цифровых документов для фишинга, кражи учетных данных и токенов сеанса, используя такие тактики, как отправка фишинговых электронных писем со ссылками на вредоносные документы, размещенные на этих платформах. Это создает проблемы для служб безопасности в плане быстрого обнаружения угроз и реагирования на них из-за временного характера сайтов DDP. Для защиты от этих атак командам безопасности рекомендуется блокировать распространенные сайты DDP, использовать решения EDR, настраивать средства контроля безопасности электронной почты, использовать аналитику угроз и проводить обучение пользователей.
-----

Субъекты угроз используют законные сайты публикации цифровых документов (DDP) для фишинга, кражи учетных данных и токенов сеанса.

Злоумышленники размещают фишинговые приманки на сайтах DDP, чтобы воспользоваться их хорошей репутацией, что затрудняет их блокировку веб-фильтрами.

Замечено, что злоумышленники перемещаются между сайтами DDP для быстрого развертывания и удаления вредоносных документов.

Наиболее часто используемыми сайтами DDP являются Publuu, Marq, FlipSnack, Issuu, FlippingBook, RelayTo и SimpleBooklet.

Сайты DDP предлагают варианты настройки, которые делают фишинговые атаки более убедительными и повышают количество переходов по ссылкам.

Командам безопасности рекомендуется блокировать распространенные сайты DDP, использовать EDR-решения, такие как Cisco Secure Endpoint, и обновлять обучение пользователей для защиты от фишинговых схем, основанных на DDP.

#ParsedReport #CompletenessMedium
13-03-2024

Tool of First Resort: Israel-Hamas War in Cyber

https://blog.google/technology/safety-security/tool-of-first-resort-israel-hamas-war-in-cyber

Report completeness: Medium

Actors/Campaigns:
Apt42

Threats:
Redalert
Ahmyth_rat
Blackatom
Sysjoker
Blackstem
Magnifi
Pasqotdroid
Chillwipe
Coolwipe
Lovelydroid
Moaazdroid
Bibi-wiper
Mythdroid
Solodroid
Powerpug
Redruse
Toxichelp

Industry:
Petroleum, Military, Financial

Geo:
Russia, Ukraine, Israeli, Russian, Lebanon, Palestine, Tehran, Israel, Yemen, Iran, Moscow, Iranian

IOCs:
Hash: 34
Domain: 24
IP: 6
Url: 14

Soft:
Android, outlook, Telegram

Links:
https://github.com/google/threat-team/blob/main/2024/2024-02-14-tool-of-first-resort-israel-hamas-war-cyber/indicators.csv

#ParsedReport #CompletenessMedium
13-03-2024

CVE-2024-21412: DarkGate Operators Exploit Microsoft Windows SmartScreen Bypass in Zero-Day Campaign

https://www.trendmicro.com/en_us/research/24/c/cve-2024-21412--darkgate-operators-exploit-microsoft-windows-sma.html

Report completeness: Medium

Actors/Campaigns:
Water_hydra

Threats:
Darkgate
Amos_stealer
Rhadamanthys
Motw_bypass_technique
Dll_sideloading_technique
Process_injection_technique
Process_hollowing_technique

Geo:
Africa, America, Asia

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 8.1
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...

TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1553.005, T1574, T1059, T1027, T1105, T1055, T1082, T1112, have more...

IOCs:
Domain: 2
File: 12
Hash: 10
Path: 1
Registry: 1

Soft:
macOS, Windows Defender SmartScreen, Microsoft Defender

Algorithms:
md5, sha256, zip, base64, xor

Functions:
GetHandleVerifier

Win API:
decompress, VirtualProtect, EnumWindows, VirtualAlloc, LoadLibraryA, GetProcAddress, GetTickCount, GetSystemInfo

Languages:
autoit, delphi

Platforms:
apple, x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, dump: 4, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается кампания DarkGate, выявленная инициативой Zero Day, которая использовала уязвимости с помощью поддельных установщиков программного обеспечения и PDF-файлов, содержащих перенаправления Google DDM, для компрометации систем вредоносным ПО DarkGate. Кампания приписывается финансово мотивированным злоумышленникам, использующим передовые методы уклонения, подчеркивая риски, связанные с неофициальными установщиками программного обеспечения. Клиенты Trend Micro были защищены от угрозы нулевого дня, и Microsoft выпустила исправление для устранения уязвимости.
-----

Инициатива нулевого дня (ZDI) недавно выявила кампанию DarkGate в середине января 2024 года, использующую CVE-2024-21412 с помощью поддельных установщиков программного обеспечения. В кампании использовались PDF-файлы, содержащие перенаправления Google DoubleClick Digital Marketing (DDM) на скомпрометированные сайты, на которых размещен обходной код SmartScreen CVE-2024-21412, что приводит к вредоносным установщикам Microsoft (.MSI). Эти установщики маскировались под легальное программное обеспечение, такое как Apple iTunes, Notion и NVIDIA, заражая пользователей вредоносным ПО DarkGate. DarkGate, работающий по модели "вредоносное ПО как услуга" (MaaS), представляет собой сложный штамм, часто используемый финансово мотивированными участниками угроз по всему миру. Эта кампания была частью анализа нулевого дня Water Hydra APT, подчеркивающего важность осторожного отношения к неофициальным установщикам программного обеспечения. Клиенты Trend Micro были защищены от этого "нулевого дня" с 17 января, а Microsoft официально исправила CVE-2024-21412 13 февраля.

Злоумышленники все чаще злоупотребляют технологиями Google Ads, включая открытые перенаправления в Google DDM, для распространения вредоносных программ. Используя уязвимости, такие как CVE-2024-21412, злоумышленники запустили цепочку заражения DarkGate, используя PDF-файлы с открытыми перенаправлениями на скомпрометированные серверы. С помощью серии интернет-файлов быстрого доступа и .Пакеты MSI, использующие CVE-2023-36025, DarkGate загрузили библиотеку DLL для расшифровки и развертывания полезной нагрузки вредоносного ПО. DarkGate также использовала метод боковой загрузки DLL с участием NVIDIA Share.exe для загрузки троянской библиотеки libcef.библиотека dll расшифровывала последующие полезные загрузки с использованием мастер-ключей и пользовательских алгоритмов XOR. Кампания продемонстрировала использование операторами DarkGate различных легальных приложений для дополнительной загрузки библиотек DLL, структурирования компонентов вредоносного ПО таким образом, чтобы избежать обнаружения.

Развертывание полезной нагрузки DarkGate включало автоматическую загрузку PE-файла в память с помощью загрузчика AutoIt и запуск троянца удаленного доступа DarkGate (RAT) через сложную цепочку шагов расшифровки и выполнения. RAT версии 6 DarkGate, предлагаемый как MaaS на форумах по киберпреступности, включает шифрование XOR для настройки и использует защиту от ntdll.подключение dll и динамическое разрешение API для избежания обнаружения. Вредоносная программа регистрирует зараженные системы на сервере C&C с помощью зашифрованных HTTP POST-запросов, демонстрируя сложные возможности уклонения.

#ParsedReport #CompletenessLow
13-03-2024

.NET Malware 101: Analyzing the .NET Executable File Structure

https://intezer.com/blog/incident-response/intro-to-malware-net-executable-file

Report completeness: Low

Actors/Campaigns:
Killnet

Threats:
Locky
Redline_stealer
Cryptoclippy
Doublezero
Hatef
Quasar_rat
Nanocore_rat
Sunburst

Industry:
Financial

Geo:
Israel

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1547, T1059, T1064, T1112, T1584.006

IOCs:
File: 3
Hash: 1

Soft:
NET Framework, NET Core, macOS

Functions:
DeleteDiscoveryProfileInternal

Win API:
MessageBox

Win Services:
bits

Platforms:
cross-platform

Links:
https://github.com/icsharpcode/ILSpy
https://github.com/dnSpy/dnSpy
https://github.com/dotnet/core

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте подробно исследуется мир реверс-инжиниринга вредоносных программ .NET, подчеркивается важность понимания структур кода вредоносных программ .NET для эффективной защиты от кибербезопасности. В нем обсуждается, как вредоносное ПО в .NET сложно анализировать из-за запутывания и меняющегося поведения, и подчеркивается популярность фреймворка как среди разработчиков, так и среди кибератакеров. Обсуждение охватывает библиотеку классов Framework, эволюционирующий ландшафт угроз, контролируемое выполнение управляемых языков, сложности управления памятью, анализ метаданных, методы кодирования и инструменты для анализа вредоносных программ .NET. В конечном счете, текст направлен на то, чтобы дать читателям знания и навыки, необходимые для анализа угроз на базе .NET и защиты от них с помощью обратного проектирования.
-----

В тексте содержится подробное исследование мира реверс-инжиниринга вредоносных программ .NET, подчеркивается важность понимания структур кода, лежащих в основе вредоносных программ .NET, для эффективного противодействия киберугрозам. В нем подчеркивается популярность .NET framework пользуется популярностью как у легальных разработчиков, так и у авторов вредоносных программ благодаря удобному процессу разработки и богатому набору функций. Вредоносное ПО, разработанное в .NET, может быть сложным для анализа из-за методов запутывания и его способности изменять поведение или скрываться, что затрудняет обнаружение и обратное проектирование.

В тексте обсуждается значение библиотеки классов Framework (FCL) в рамках .NET framework, предоставляющей разработчикам ряд функциональных возможностей для различных приложений. В нем также затрагивается меняющийся ландшафт угроз, где кибератаки постоянно используют адаптируемые.Сетевая платформа для создания сложных угроз, таких как программы-вымогатели, похитители учетных данных, банковские трояны, деструктивные очистители, трояны удаленного доступа и загрузчики вредоносных программ.

Кроме того, в тексте объясняется контролируемое выполнение управляемых языков, таких как C#, F# или VB.NET, средой выполнения через Intermediate Language (IL). В нем рассматриваются сложности и обязанности, связанные с управлением памятью и обработкой ошибок в контексте анализа вредоносных программ, подчеркивается важность понимания неуправляемых функций для обхода мер защиты управляемой среды.

Кроме того, в тексте рассматриваются метаданные внутри .Внутренние компоненты NET, детализирующие такие таблицы, как TypeDef, MethodDef, FieldDef и CustomAttribute, которые хранят описательную информацию о сборках, классах, методах и пользовательских атрибутах. Пример анализа таблиц метаданных приведен с помощью вредоносной программы Sunburst (SolarWinds).

В нем также объясняются методы кодирования тел методов в .NET, включая форматы Tiny и Fat, и демонстрируется, как такие инструменты, как dnSpy и IDA, могут использоваться для анализа и понимания инструкций и кодов операций внутри .NET вредоносов.

В конечном счете, цель текста - прояснить процесс обратного проектирования .NET, снабдить читателей необходимыми знаниями для анализа .NET-файлов, получить представление о функциональности вредоносных программ и усилить защиту от угроз. Анализируя сложности .NET framework, текст закладывает основу для развития у отдельных лиц навыков и знаний, необходимых для эффективного анализа и противодействия.Сетевые угрозы посредством обратного проектирования.

Как мне кажется - это пример достаточно неплохого и понятного графического представления TTP и последовательности их применения.
Нашим TI-аналитикам на заметку :)