#technique

LTair: The LTE Air Interface Tool

In this blog post, we introduce LTair, a tool that allows NCC Group to perform different attacks on the LTE Control Plane via the air interface. It gives NCC the capability to assess the correct implementation of the LTE standard in operators’ systems and user equipment.

https://research.nccgroup.com/2024/03/14/ltair-the-lte-air-interface-tool/

#ParsedReport #CompletenessMedium
14-03-2024

Unveiling the depths of Residential Proxies providers

https://blog.sekoia.io/unveiling-the-depths-of-residential-proxies-providers

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_espionage)
0ktapus

Threats:
Residential_proxy_technique
Lumiproxy_tool
Pias5proxy_tool
Abcproxy_tool
922proxy_tool
Lunaproxy_tool
Piaproxy_tool
Supply_chain_technique
Luminati_tool
Iproyal_pawns_tool
Tron
Revsocks
Upx_tool
Password_spray_technique
Fineproxy
Rayobyte
Caffeine_tool
Aitm_technique
Adload_loader
Ipstorm
Spyder
Thunderproxy
Peer2profit_tool

Industry:
Government, Iot, Financial, Telco, Retail, E-commerce, Media

Geo:
Hongkong, Russia, Cyprus, Russian, France, Philippine

ChatGPT TTPs:
do not use without manual check
T1020, T1583, T1071, T1090, T1059, T1203, T1047

IOCs:
Coin: 1
IP: 8
Domain: 36
File: 19

Soft:
Telegram, WhatsApp, Discord, Android, crontab, macOS, VALORANT

Crypto:
ethereum, bitcoin, binance

Platforms:
arm, x64

#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 1, chart: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается, как локальные прокси используются для сокрытия источников подключения к Интернету для повышения конфиденциальности или доступа к контенту с географическим ограничением. В нем подчеркивается растущая угроза, исходящая от фрагментированной и нерегулируемой экосистемы локальных прокси, используемых как в законных, так и в злонамеренных целях. В тексте подчеркивается необходимость повышения бдительности при выявлении источников трафика и защите от связанных с этим рисков с помощью осторожного и хорошо информированного подхода к управлению сетевым трафиком. В нем также затрагивается использование локальных прокси-серверов в киберпреступной деятельности, такой как DDoS-атаки, кибершпионаж и финансово мотивированные кампании по распространению вредоносных программ, а также этические проблемы, связанные с их поставщиками, и проблемы с обнаружением и атрибуцией вредоносных действий.
-----

Локальные прокси-серверы используются для маскировки истинного источника интернет-соединения, создавая растущую угрозу в киберпространстве из-за фрагментированных и нерегулируемых провайдеров, использующих вводящие в заблуждение методы для получения миллионов хостов и IP-адресов.

Microsoft предупредила о том, что российская разведывательная служба SVR использует службу локальных прокси-серверов (RESIP) для шпионской деятельности.

Повторные запросы являются неотъемлемой частью киберпреступности, включая DDoS-атаки, шпионаж и финансово мотивированные кампании вредоносного по, при этом провайдеры открыто размещают рекламу на форумах и в открытом доступе в Интернете.

Провайдеры дифференцируют себя на основе таких факторов, как размер пула IP-адресов, стимулы для увеличения объема трафика, способы оплаты, включая криптовалюты, и отсутствие мер "Знай своего клиента" (KYC).

Некоторые поставщики услуг RESIP проводят ребрендинг и принимают криптовалюты, при этом взаимосвязанные организации совместно используют инфраструктуру и каналы обмена криптовалютами.

Сети RESIP получают IP-адреса различными способами, включая вовлечение пользователей, встраивание прокси-программ в программное обеспечение и незаконный взлом устройств.

Несмотря на усилия правоохранительных органов, сохраняются проблемы, связанные с перебоями в предоставлении услуг RESIP из-за конкурентного и неструктурированного характера рынка.

Распространение сервисов greyhat RESIP усложняет обнаружение и атрибуцию вредоносных действий, что указывает на растущее внедрение в более широкую экосистему угроз.

#ParsedReport #CompletenessMedium
14-03-2024

Beware of information-stealing malicious code disguised as installation file

https://asec.ahnlab.com/ko/62976

Report completeness: Medium

Threats:
Stealc
Heavens_gate_technique
Vidar_stealer
Lumma_stealer

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1027, T1059, T1055, T1574.002, T1546.011

IOCs:
File: 7
Hash: 10
Url: 27

Soft:
Discord, Telegram

Algorithms:
md5

Languages:
autoit

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Злоумышленники распространяют вредоносное ПО StealC, замаскированное под установщиков программного обеспечения, через различные платформы, используя сложные методы для кражи конфиденциальной информации. Вредоносная программа демонстрирует поведение, сходное с другими вредоносными программами, занимающимися кражей информации, и подчеркивает эволюционирующий характер киберугроз, подчеркивая важность бдительности и надежных мер кибербезопасности для борьбы с такой вредоносной деятельностью.
-----

Вредоносная программа StealC распространяется под видом установщика через такие платформы, как Discord, GitHub, Dropbox.

Предназначен для кражи конфиденциальной информации: сведений о системе, данных браузера, информации о криптовалютном кошельке, сообщений Discord, данных Telegram, содержимого электронной почты.

Методы, аналогичные вредоносному ПО, распространяемому в виде программных взломов; использует имена файлов, подобные setup_2024.008.20534_win64_86.exe.

Выполняется путем загрузки закодированных вредоносных данных с сайта, размещающего изображения, включая командный код и двоичные файлы для вредоносных действий.

Использует ручное отображение ntdll и технику Heaven's Gate для обхода мер безопасности.

Внедряется в автоматические Ит-процессы, чтобы избежать обнаружения; поведение аналогично вредоносному ПО Vidar.

Vidar может получать командные адреса с таких платформ, как Steam и Telegram.

Эволюционирующий характер вредоносного ПО демонстрируется новыми образцами с теми же вредоносными операциями, но разными техниками или общими адресами C2.

AhnLab предоставляет диагностические данные и хэши MD5 для обнаружения и анализа.

Пользователям рекомендуется соблюдать осторожность при загрузке исполняемых файлов и запускать файлы только из официальных источников, чтобы избежать вредоносного ПО StealC.

#ParsedReport #CompletenessLow
14-03-2024

Empty heading. The Anatomy of an ALPHA SPIDER Ransomware Attack

https://www.crowdstrike.com/blog/anatomy-of-alpha-spider-ransomware

Report completeness: Low

Actors/Campaigns:
Alpha_spider

Threats:
Blackcat
Cobalt_strike
Systembc
Pwnkit_tool
Nmap_tool
Masscan_tool
Koloveeam_tool
Winrm_tool
Lolbin_technique
Motw_bypass_technique

CVEs:
CVE-2021-21972 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.1.2, <4.2)

CVE-2021-40347 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- postorius project postorius (<1.3.5)

CVE-2021-44529 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager cloud services appliance (le4.5, 4.6)


ChatGPT TTPs:
do not use without manual check
T1564.004, T1190, T1068, T1070.004, T1543.003, T1556.001, T1218.003, T1552.004, T1562.001, T1036.005, have more...

IOCs:
File: 4
Path: 1

Soft:
ESXi, Ivanti, Microsoft SQL Server Management Studio, Windows Service

Crypto:
bitcoin

Languages:
rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ALPHA SPIDER, группа исполнителей угроз, активно проводит операции с программами-вымогателями, используя инновационные и традиционные методы, представляя значительную угрозу для организаций. Несмотря на их успешные операции, отсутствие конкретных оперативных мер безопасности оставляет защитникам возможность эффективно обнаруживать их действия и реагировать на них.
-----

Исполнитель угроз, известный как ALPHA SPIDER, стоит за программой-вымогателем Alphv, активно проводя операции с программами-вымогателями с использованием инновационных методов.

Филиалы ALPHA SPIDER используют такие тактики, как использование уязвимостей в устройствах GNU/Linux, альтернативные потоки данных и вмешательство в файлы конфигурации сети, чтобы обойти меры безопасности.

Alphv ransomware-as-a-service предлагает расширенные функции, включая варианты программ-вымогателей, нацеленные на несколько операционных систем, и настраиваемый вариант, который ежечасно перестраивается, чтобы избежать обнаружения антивирусом.

Филиалы ALPHA SPIDER нацелены на инфраструктуру виртуализации жертв, используют такие инструменты, как Cobalt Strike и SystemBC, для разведки и используют уязвимости программного обеспечения, такие как CVE-2021-44529 и CVE-2021-40347, для первоначального доступа и повышения привилегий.

Исполнитель угроз, известный как Threat Actor 1, провел обширное сетевое обнаружение с использованием таких инструментов, как Nmap, mitm6 и responder, нацелился на утилиту резервного копирования Veeam для извлечения учетных данных и использовал альтернативные потоки данных и программное обеспечение MEGA client для эксфильтрации.

Несмотря на их изощренные методы, отсутствие конкретных оперативных мер безопасности у филиалов ALPHA SPIDER предоставляет правозащитникам возможности для эффективного обнаружения и реагирования.

#ParsedReport #CompletenessMedium
14-03-2024

Unveiling the depths of residential proxies providers

https://www.orangecyberdefense.com/global/blog/research/residential-proxies

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_espionage)
0ktapus
Proxynation

Threats:
Residential_proxy_technique
Lumiproxy_tool
Pias5proxy_tool
Abcproxy_tool
922proxy_tool
Lunaproxy_tool
Piaproxy_tool
Supply_chain_technique
Luminati_tool
Iproyal_pawns_tool
Tron
Revsocks
Upx_tool
Password_spray_technique
Fineproxy
Rayobyte
Caffeine_tool
Aitm_technique
Adload_loader
Ipstorm
Spyder
Thunderproxy
Boostyproxy
Socksescort
Bhproxies
Peer2profit_tool

Victims:
Microsoft, Philippine media company rappler, Macos systems and windows users

Industry:
Media, Retail, Telco, Government, E-commerce, Financial, Iot

Geo:
Russian, Hongkong, Russia, Philippine, France, Cyprus

ChatGPT TTPs:
do not use without manual check
T1583, T1071, T1566, T1027, T1110, T1557, T1496, T1571, T1046, T1190, have more...

IOCs:
Coin: 1
IP: 8
Domain: 36
File: 19

Soft:
Telegram, WhatsApp, Discord, Android, crontab, macOS, VALORANT

Crypto:
ethereum, bitcoin, binance

Platforms:
arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что мир провайдеров локальных прокси-серверов (RESIP) представляет собой сложный и растущий ландшафт, который создает проблемы в области кибербезопасности. Эти прокси-серверы все чаще используются как киберпреступниками, так и законными пользователями, представляя угрозу в киберпространстве из-за их способности скрываться среди законного трафика. Экосистема локальных прокси-серверов характеризуется фрагментацией и дерегулированием, что затрудняет регулирование или отслеживание поставщиков, а злоумышленники часто злоупотребляют услугами провайдеров RESIP для проведения различных вредоносных кампаний. Существуют этические опасения по поводу отсутствия прозрачности в источниках и операциях многих поставщиков услуг RESIP, и усилия по нарушению работы служб RESIP были ограниченными, что позволяло продолжать их использование в злонамеренных действиях.
-----

Локальные прокси-серверы (RESIP) действуют как посредники, скрывающие исходное подключение к Интернету, предлагая повышенную конфиденциальность и доступ к контенту с географическим ограничением.

Поставщики услуг RESIP работают на фрагментированном и нерегулируемом рынке, что затрудняет регулирование или отслеживание их деятельности.

Злоумышленники часто злоупотребляют услугами провайдеров RESIP для проведения DDoS-атак, кибершпионажа, финансово мотивированных вредоносных операций и многого другого.

Усилия по нарушению работы служб RESIP были ограниченными, а действия правоохранительных органов имели минимальные долгосрочные последствия.

Сети RESIP создают свои пулы IP-адресов с помощью различных механизмов, включая привлечение заинтересованных пользователей, встраивание прокси-программ в программное обеспечение и компрометацию устройств.

Растет использование сервисов RESIP как для законных целей, так и для злонамеренных кампаний, что создает проблемы для традиционных мер безопасности.

#ParsedReport #CompletenessLow
14-03-2024

Android Phishing Scam Using Malware-as-a-Service on the Rise in India

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-phishing-scam-using-malware-as-a-service-on-the-rise-in-india

Report completeness: Low

Actors/Campaigns:
Elvia_infotech (motivation: cyber_criminal)

Threats:
Smsspy

Victims:
Android users

Industry:
Financial

Geo:
Indian, India

ChatGPT TTPs:
do not use without manual check
T1566, T1587, T1583, T1595, T1539, T1114, T1056, T1027, T1189, T1588, have more...

IOCs:
File: 5
Hash: 8
Url: 12

Soft:
Android, WhatsApp, Telegram

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Резюме: Исследовательская группа McAfee Mobile раскрыла сложную кампанию вредоносных программ-мошенников в Индии, нацеленную на пользователей Android, проводимую киберпреступной группой ELVIA INFOTECH. Кампания включает в себя несколько этапов, включая фишинговые атаки, связанные с распространенными сценариями, позволяющими обманом заставить жертв загружать вредоносные приложения. Эти приложения крадут конфиденциальную информацию, такую как банковские реквизиты, и перехватывают SMS-сообщения, чтобы обойти аутентификацию OTP для денежных переводов. ELVIA INFOTECH - профессиональная организация, продающая вредоносные программы и фишинговые веб-сайты в качестве услуг и использующая социальные сети для распространения. Индийских пользователей предупреждают быть осторожными и использовать обновленное программное обеспечение безопасности для защиты от подобных угроз.
-----

Исследовательская группа McAfee Mobile выявила продолжающуюся кампанию вредоносных программ-мошенников, нацеленную на пользователей Android в Индии, состоящую из трех этапов: разработки, расширения и активной стадии. Результатом кампании вредоносных программ стало более 800 приложений и более 3700 зараженных устройств Android. Злоумышленники создают фишинговые страницы, связанные с распространенными сценариями, такими как оплата счетов за электричество, запись в больницу и заказ посылок курьером, чтобы обмануть жертв.

Вредоносные приложения содержат более 100 уникальных фишинговых URL-адресов и командно-контрольных URL-адресов (C2), что позволяет мошенникам действовать независимо. С жертвами связываются по различным каналам, таким как телефон, электронная почта или социальные приложения, чтобы перенести предоставление услуг, что заставляет их загружать определенное приложение и предоставлять личную информацию. Примечательный инцидент связан с тем, что индийская женщина потеряла около 98 000 долларов после загрузки вредоносного ПО по ссылке WhatsApp.

Вредоносная программа не только крадет конфиденциальную информацию, такую как данные банковского счета, но и перехватывает SMS-сообщения, чтобы обойти OTP-аутентификацию для денежных переводов. Угроза, помеченная McAfee как Android/SmsSpy, размещает фишинговые страницы на законных платформах для повышения доверия и предотвращения обнаружения.

Мошеннические операции связаны с киберпреступной группой под названием ELVIA INFOTECH, которая продает вредоносные программы и фишинговые веб-сайты в качестве услуги. Эти вредоносные приложения демонстрируют уникальную особенность, заключающуюся в том, что они имеют действительный срок годности и требуют оплаты для продолжения использования после истечения срока действия.

ELVIA INFOTECH считается профессиональной киберпреступной организацией, занимающейся разработкой, обслуживанием и продажей вредоносных программ. Приложения, распространяемые группой, маскируются под законные службы, такие как служба поддержки клиентов, курьерские компании и поставщики коммунальных услуг, чтобы обмануть жертв. Вредоносная программа извлекает конфиденциальную информацию под видом предоставления основных услуг.

Жертв обманом заставляют предоставить личные данные, которые попадают в руки мошенников, способствуя несанкционированным банковским транзакциям. Вредоносная программа запрашивает разрешения на отправку SMS, что позволяет ей пересылать сообщения на сервер C2, в частности, нацеливаясь на OTP, отправляемые банками для проверки транзакций.

Разработчики вредоносных программ стратегически распространяют свои предложения через платформы социальных сетей, расширяя их распространение и затрудняя их обнаружение. Индийским пользователям рекомендуется соблюдать осторожность и устанавливать обновленное программное обеспечение для обеспечения безопасности, такое как McAfee Mobile Security, чтобы снизить риски, связанные с такими кампаниями вредоносного ПО.

#ParsedReport #CompletenessHigh
14-03-2024

Dark Web Profile: GhostSec

https://socradar.io/dark-web-profile-ghostsec

Report completeness: High

Actors/Campaigns:
Ghostsec (motivation: financially_motivated, cyber_criminal, hacktivism, propaganda)
Stormous (motivation: financially_motivated)
Stmx_ghostlocker
Siegedsec
Threatsec
Blackforums
Stormousx

Threats:
Ghostlocker
Ghostpresser_tool
Cuba_ransomware
Process_injection_technique
Timestomp_technique

Industry:
Education, Healthcare, Government

Geo:
Palestine, Africa, Uzbekistan, Thailand, Morocco, Qatar, Turkey, Russia, India, China, Iraq, Egypt, Lebanon, Israel, Indonesia, Vietnam, Moscow, Brazil, Poland, Syria, Argentina

TTPs:
Tactics: 8
Technics: 15

IOCs:
IP: 1
Hash: 13

Soft:
Telegram

Algorithms:
aes

Languages:
python, golang

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/03/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена эволюции и деятельности хакерской группы GhostSec, включая ее переход от борьбы с экстремистским контентом к участию в атаках с использованием программ-вымогателей и сотрудничеству с другими группами угроз, такими как Stormous. В нем подчеркивается изощренность их киберопераций, появление программы-вымогателя GhostLocker, создание программы STMX_GhostLocker RaaS и нацеленность группы на жертв в различных странах и отраслях промышленности. В тексте также подчеркивается растущая сложность киберугроз, важность мер кибербезопасности для снижения рисков, связанных с программами-вымогателями, и необходимость усиления организациями своей защиты от развивающихся угроз.
-----

GhostSec, член хакерского коллектива Five Families, недавно сотрудничал со Stormous в борьбе с программой-вымогателем.

Первоначально связанная с Anonymous, GhostSec фокусируется на борьбе с экстремистским контентом в Интернете, особенно нацеленным на такие группировки, как ИГИЛ.

GhostSec была создана для поддержки Палестины в конфликте между Израилем и ХАМАСОМ.

GhostSec разработала GhostLocker, программу-вымогатель как услуга (RaaS) с возможностями шифрования военного уровня.

GhostSec и Stormous сотрудничали в разработке программы двойного вымогательства под названием STMX_GhostLocker.

GhostSec нацеливалась на жертв в различных странах и отраслях промышленности с помощью передовых методов вымогательства в GhostLocker 2.0.

Сотрудничество между GhostSec и Stormous свидетельствует о растущей сложности киберугроз, особенно атак программ-вымогателей.

Организациям рекомендуется внедрять надежные меры кибербезопасности, чтобы снизить риск атак программ-вымогателей и усилить свою защиту от развивающихся угроз.