#ParsedReport #CompletenessMedium
14-03-2024

Unveiling the depths of Residential Proxies providers

https://blog.sekoia.io/unveiling-the-depths-of-residential-proxies-providers

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_espionage)
0ktapus

Threats:
Residential_proxy_technique
Lumiproxy_tool
Pias5proxy_tool
Abcproxy_tool
922proxy_tool
Lunaproxy_tool
Piaproxy_tool
Supply_chain_technique
Luminati_tool
Iproyal_pawns_tool
Tron
Revsocks
Upx_tool
Password_spray_technique
Fineproxy
Rayobyte
Caffeine_tool
Aitm_technique
Adload_loader
Ipstorm
Spyder
Thunderproxy
Peer2profit_tool

Industry:
Government, Iot, Financial, Telco, Retail, E-commerce, Media

Geo:
Hongkong, Russia, Cyprus, Russian, France, Philippine

ChatGPT TTPs:
do not use without manual check
T1020, T1583, T1071, T1090, T1059, T1203, T1047

IOCs:
Coin: 1
IP: 8
Domain: 36
File: 19

Soft:
Telegram, WhatsApp, Discord, Android, crontab, macOS, VALORANT

Crypto:
ethereum, bitcoin, binance

Platforms:
arm, x64

#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 1, chart: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается, как локальные прокси используются для сокрытия источников подключения к Интернету для повышения конфиденциальности или доступа к контенту с географическим ограничением. В нем подчеркивается растущая угроза, исходящая от фрагментированной и нерегулируемой экосистемы локальных прокси, используемых как в законных, так и в злонамеренных целях. В тексте подчеркивается необходимость повышения бдительности при выявлении источников трафика и защите от связанных с этим рисков с помощью осторожного и хорошо информированного подхода к управлению сетевым трафиком. В нем также затрагивается использование локальных прокси-серверов в киберпреступной деятельности, такой как DDoS-атаки, кибершпионаж и финансово мотивированные кампании по распространению вредоносных программ, а также этические проблемы, связанные с их поставщиками, и проблемы с обнаружением и атрибуцией вредоносных действий.
-----

Локальные прокси-серверы используются для маскировки истинного источника интернет-соединения, создавая растущую угрозу в киберпространстве из-за фрагментированных и нерегулируемых провайдеров, использующих вводящие в заблуждение методы для получения миллионов хостов и IP-адресов.

Microsoft предупредила о том, что российская разведывательная служба SVR использует службу локальных прокси-серверов (RESIP) для шпионской деятельности.

Повторные запросы являются неотъемлемой частью киберпреступности, включая DDoS-атаки, шпионаж и финансово мотивированные кампании вредоносного по, при этом провайдеры открыто размещают рекламу на форумах и в открытом доступе в Интернете.

Провайдеры дифференцируют себя на основе таких факторов, как размер пула IP-адресов, стимулы для увеличения объема трафика, способы оплаты, включая криптовалюты, и отсутствие мер "Знай своего клиента" (KYC).

Некоторые поставщики услуг RESIP проводят ребрендинг и принимают криптовалюты, при этом взаимосвязанные организации совместно используют инфраструктуру и каналы обмена криптовалютами.

Сети RESIP получают IP-адреса различными способами, включая вовлечение пользователей, встраивание прокси-программ в программное обеспечение и незаконный взлом устройств.

Несмотря на усилия правоохранительных органов, сохраняются проблемы, связанные с перебоями в предоставлении услуг RESIP из-за конкурентного и неструктурированного характера рынка.

Распространение сервисов greyhat RESIP усложняет обнаружение и атрибуцию вредоносных действий, что указывает на растущее внедрение в более широкую экосистему угроз.

#ParsedReport #CompletenessMedium
14-03-2024

Beware of information-stealing malicious code disguised as installation file

https://asec.ahnlab.com/ko/62976

Report completeness: Medium

Threats:
Stealc
Heavens_gate_technique
Vidar_stealer
Lumma_stealer

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1027, T1059, T1055, T1574.002, T1546.011

IOCs:
File: 7
Hash: 10
Url: 27

Soft:
Discord, Telegram

Algorithms:
md5

Languages:
autoit

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Злоумышленники распространяют вредоносное ПО StealC, замаскированное под установщиков программного обеспечения, через различные платформы, используя сложные методы для кражи конфиденциальной информации. Вредоносная программа демонстрирует поведение, сходное с другими вредоносными программами, занимающимися кражей информации, и подчеркивает эволюционирующий характер киберугроз, подчеркивая важность бдительности и надежных мер кибербезопасности для борьбы с такой вредоносной деятельностью.
-----

Вредоносная программа StealC распространяется под видом установщика через такие платформы, как Discord, GitHub, Dropbox.

Предназначен для кражи конфиденциальной информации: сведений о системе, данных браузера, информации о криптовалютном кошельке, сообщений Discord, данных Telegram, содержимого электронной почты.

Методы, аналогичные вредоносному ПО, распространяемому в виде программных взломов; использует имена файлов, подобные setup_2024.008.20534_win64_86.exe.

Выполняется путем загрузки закодированных вредоносных данных с сайта, размещающего изображения, включая командный код и двоичные файлы для вредоносных действий.

Использует ручное отображение ntdll и технику Heaven's Gate для обхода мер безопасности.

Внедряется в автоматические Ит-процессы, чтобы избежать обнаружения; поведение аналогично вредоносному ПО Vidar.

Vidar может получать командные адреса с таких платформ, как Steam и Telegram.

Эволюционирующий характер вредоносного ПО демонстрируется новыми образцами с теми же вредоносными операциями, но разными техниками или общими адресами C2.

AhnLab предоставляет диагностические данные и хэши MD5 для обнаружения и анализа.

Пользователям рекомендуется соблюдать осторожность при загрузке исполняемых файлов и запускать файлы только из официальных источников, чтобы избежать вредоносного ПО StealC.

#ParsedReport #CompletenessLow
14-03-2024

Empty heading. The Anatomy of an ALPHA SPIDER Ransomware Attack

https://www.crowdstrike.com/blog/anatomy-of-alpha-spider-ransomware

Report completeness: Low

Actors/Campaigns:
Alpha_spider

Threats:
Blackcat
Cobalt_strike
Systembc
Pwnkit_tool
Nmap_tool
Masscan_tool
Koloveeam_tool
Winrm_tool
Lolbin_technique
Motw_bypass_technique

CVEs:
CVE-2021-21972 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.1.2, <4.2)

CVE-2021-40347 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- postorius project postorius (<1.3.5)

CVE-2021-44529 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager cloud services appliance (le4.5, 4.6)


ChatGPT TTPs:
do not use without manual check
T1564.004, T1190, T1068, T1070.004, T1543.003, T1556.001, T1218.003, T1552.004, T1562.001, T1036.005, have more...

IOCs:
File: 4
Path: 1

Soft:
ESXi, Ivanti, Microsoft SQL Server Management Studio, Windows Service

Crypto:
bitcoin

Languages:
rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ALPHA SPIDER, группа исполнителей угроз, активно проводит операции с программами-вымогателями, используя инновационные и традиционные методы, представляя значительную угрозу для организаций. Несмотря на их успешные операции, отсутствие конкретных оперативных мер безопасности оставляет защитникам возможность эффективно обнаруживать их действия и реагировать на них.
-----

Исполнитель угроз, известный как ALPHA SPIDER, стоит за программой-вымогателем Alphv, активно проводя операции с программами-вымогателями с использованием инновационных методов.

Филиалы ALPHA SPIDER используют такие тактики, как использование уязвимостей в устройствах GNU/Linux, альтернативные потоки данных и вмешательство в файлы конфигурации сети, чтобы обойти меры безопасности.

Alphv ransomware-as-a-service предлагает расширенные функции, включая варианты программ-вымогателей, нацеленные на несколько операционных систем, и настраиваемый вариант, который ежечасно перестраивается, чтобы избежать обнаружения антивирусом.

Филиалы ALPHA SPIDER нацелены на инфраструктуру виртуализации жертв, используют такие инструменты, как Cobalt Strike и SystemBC, для разведки и используют уязвимости программного обеспечения, такие как CVE-2021-44529 и CVE-2021-40347, для первоначального доступа и повышения привилегий.

Исполнитель угроз, известный как Threat Actor 1, провел обширное сетевое обнаружение с использованием таких инструментов, как Nmap, mitm6 и responder, нацелился на утилиту резервного копирования Veeam для извлечения учетных данных и использовал альтернативные потоки данных и программное обеспечение MEGA client для эксфильтрации.

Несмотря на их изощренные методы, отсутствие конкретных оперативных мер безопасности у филиалов ALPHA SPIDER предоставляет правозащитникам возможности для эффективного обнаружения и реагирования.

#ParsedReport #CompletenessMedium
14-03-2024

Unveiling the depths of residential proxies providers

https://www.orangecyberdefense.com/global/blog/research/residential-proxies

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_espionage)
0ktapus
Proxynation

Threats:
Residential_proxy_technique
Lumiproxy_tool
Pias5proxy_tool
Abcproxy_tool
922proxy_tool
Lunaproxy_tool
Piaproxy_tool
Supply_chain_technique
Luminati_tool
Iproyal_pawns_tool
Tron
Revsocks
Upx_tool
Password_spray_technique
Fineproxy
Rayobyte
Caffeine_tool
Aitm_technique
Adload_loader
Ipstorm
Spyder
Thunderproxy
Boostyproxy
Socksescort
Bhproxies
Peer2profit_tool

Victims:
Microsoft, Philippine media company rappler, Macos systems and windows users

Industry:
Media, Retail, Telco, Government, E-commerce, Financial, Iot

Geo:
Russian, Hongkong, Russia, Philippine, France, Cyprus

ChatGPT TTPs:
do not use without manual check
T1583, T1071, T1566, T1027, T1110, T1557, T1496, T1571, T1046, T1190, have more...

IOCs:
Coin: 1
IP: 8
Domain: 36
File: 19

Soft:
Telegram, WhatsApp, Discord, Android, crontab, macOS, VALORANT

Crypto:
ethereum, bitcoin, binance

Platforms:
arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что мир провайдеров локальных прокси-серверов (RESIP) представляет собой сложный и растущий ландшафт, который создает проблемы в области кибербезопасности. Эти прокси-серверы все чаще используются как киберпреступниками, так и законными пользователями, представляя угрозу в киберпространстве из-за их способности скрываться среди законного трафика. Экосистема локальных прокси-серверов характеризуется фрагментацией и дерегулированием, что затрудняет регулирование или отслеживание поставщиков, а злоумышленники часто злоупотребляют услугами провайдеров RESIP для проведения различных вредоносных кампаний. Существуют этические опасения по поводу отсутствия прозрачности в источниках и операциях многих поставщиков услуг RESIP, и усилия по нарушению работы служб RESIP были ограниченными, что позволяло продолжать их использование в злонамеренных действиях.
-----

Локальные прокси-серверы (RESIP) действуют как посредники, скрывающие исходное подключение к Интернету, предлагая повышенную конфиденциальность и доступ к контенту с географическим ограничением.

Поставщики услуг RESIP работают на фрагментированном и нерегулируемом рынке, что затрудняет регулирование или отслеживание их деятельности.

Злоумышленники часто злоупотребляют услугами провайдеров RESIP для проведения DDoS-атак, кибершпионажа, финансово мотивированных вредоносных операций и многого другого.

Усилия по нарушению работы служб RESIP были ограниченными, а действия правоохранительных органов имели минимальные долгосрочные последствия.

Сети RESIP создают свои пулы IP-адресов с помощью различных механизмов, включая привлечение заинтересованных пользователей, встраивание прокси-программ в программное обеспечение и компрометацию устройств.

Растет использование сервисов RESIP как для законных целей, так и для злонамеренных кампаний, что создает проблемы для традиционных мер безопасности.

#ParsedReport #CompletenessLow
14-03-2024

Android Phishing Scam Using Malware-as-a-Service on the Rise in India

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-phishing-scam-using-malware-as-a-service-on-the-rise-in-india

Report completeness: Low

Actors/Campaigns:
Elvia_infotech (motivation: cyber_criminal)

Threats:
Smsspy

Victims:
Android users

Industry:
Financial

Geo:
Indian, India

ChatGPT TTPs:
do not use without manual check
T1566, T1587, T1583, T1595, T1539, T1114, T1056, T1027, T1189, T1588, have more...

IOCs:
File: 5
Hash: 8
Url: 12

Soft:
Android, WhatsApp, Telegram

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Резюме: Исследовательская группа McAfee Mobile раскрыла сложную кампанию вредоносных программ-мошенников в Индии, нацеленную на пользователей Android, проводимую киберпреступной группой ELVIA INFOTECH. Кампания включает в себя несколько этапов, включая фишинговые атаки, связанные с распространенными сценариями, позволяющими обманом заставить жертв загружать вредоносные приложения. Эти приложения крадут конфиденциальную информацию, такую как банковские реквизиты, и перехватывают SMS-сообщения, чтобы обойти аутентификацию OTP для денежных переводов. ELVIA INFOTECH - профессиональная организация, продающая вредоносные программы и фишинговые веб-сайты в качестве услуг и использующая социальные сети для распространения. Индийских пользователей предупреждают быть осторожными и использовать обновленное программное обеспечение безопасности для защиты от подобных угроз.
-----

Исследовательская группа McAfee Mobile выявила продолжающуюся кампанию вредоносных программ-мошенников, нацеленную на пользователей Android в Индии, состоящую из трех этапов: разработки, расширения и активной стадии. Результатом кампании вредоносных программ стало более 800 приложений и более 3700 зараженных устройств Android. Злоумышленники создают фишинговые страницы, связанные с распространенными сценариями, такими как оплата счетов за электричество, запись в больницу и заказ посылок курьером, чтобы обмануть жертв.

Вредоносные приложения содержат более 100 уникальных фишинговых URL-адресов и командно-контрольных URL-адресов (C2), что позволяет мошенникам действовать независимо. С жертвами связываются по различным каналам, таким как телефон, электронная почта или социальные приложения, чтобы перенести предоставление услуг, что заставляет их загружать определенное приложение и предоставлять личную информацию. Примечательный инцидент связан с тем, что индийская женщина потеряла около 98 000 долларов после загрузки вредоносного ПО по ссылке WhatsApp.

Вредоносная программа не только крадет конфиденциальную информацию, такую как данные банковского счета, но и перехватывает SMS-сообщения, чтобы обойти OTP-аутентификацию для денежных переводов. Угроза, помеченная McAfee как Android/SmsSpy, размещает фишинговые страницы на законных платформах для повышения доверия и предотвращения обнаружения.

Мошеннические операции связаны с киберпреступной группой под названием ELVIA INFOTECH, которая продает вредоносные программы и фишинговые веб-сайты в качестве услуги. Эти вредоносные приложения демонстрируют уникальную особенность, заключающуюся в том, что они имеют действительный срок годности и требуют оплаты для продолжения использования после истечения срока действия.

ELVIA INFOTECH считается профессиональной киберпреступной организацией, занимающейся разработкой, обслуживанием и продажей вредоносных программ. Приложения, распространяемые группой, маскируются под законные службы, такие как служба поддержки клиентов, курьерские компании и поставщики коммунальных услуг, чтобы обмануть жертв. Вредоносная программа извлекает конфиденциальную информацию под видом предоставления основных услуг.

Жертв обманом заставляют предоставить личные данные, которые попадают в руки мошенников, способствуя несанкционированным банковским транзакциям. Вредоносная программа запрашивает разрешения на отправку SMS, что позволяет ей пересылать сообщения на сервер C2, в частности, нацеливаясь на OTP, отправляемые банками для проверки транзакций.

Разработчики вредоносных программ стратегически распространяют свои предложения через платформы социальных сетей, расширяя их распространение и затрудняя их обнаружение. Индийским пользователям рекомендуется соблюдать осторожность и устанавливать обновленное программное обеспечение для обеспечения безопасности, такое как McAfee Mobile Security, чтобы снизить риски, связанные с такими кампаниями вредоносного ПО.

#ParsedReport #CompletenessHigh
14-03-2024

Dark Web Profile: GhostSec

https://socradar.io/dark-web-profile-ghostsec

Report completeness: High

Actors/Campaigns:
Ghostsec (motivation: financially_motivated, cyber_criminal, hacktivism, propaganda)
Stormous (motivation: financially_motivated)
Stmx_ghostlocker
Siegedsec
Threatsec
Blackforums
Stormousx

Threats:
Ghostlocker
Ghostpresser_tool
Cuba_ransomware
Process_injection_technique
Timestomp_technique

Industry:
Education, Healthcare, Government

Geo:
Palestine, Africa, Uzbekistan, Thailand, Morocco, Qatar, Turkey, Russia, India, China, Iraq, Egypt, Lebanon, Israel, Indonesia, Vietnam, Moscow, Brazil, Poland, Syria, Argentina

TTPs:
Tactics: 8
Technics: 15

IOCs:
IP: 1
Hash: 13

Soft:
Telegram

Algorithms:
aes

Languages:
python, golang

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/03/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена эволюции и деятельности хакерской группы GhostSec, включая ее переход от борьбы с экстремистским контентом к участию в атаках с использованием программ-вымогателей и сотрудничеству с другими группами угроз, такими как Stormous. В нем подчеркивается изощренность их киберопераций, появление программы-вымогателя GhostLocker, создание программы STMX_GhostLocker RaaS и нацеленность группы на жертв в различных странах и отраслях промышленности. В тексте также подчеркивается растущая сложность киберугроз, важность мер кибербезопасности для снижения рисков, связанных с программами-вымогателями, и необходимость усиления организациями своей защиты от развивающихся угроз.
-----

GhostSec, член хакерского коллектива Five Families, недавно сотрудничал со Stormous в борьбе с программой-вымогателем.

Первоначально связанная с Anonymous, GhostSec фокусируется на борьбе с экстремистским контентом в Интернете, особенно нацеленным на такие группировки, как ИГИЛ.

GhostSec была создана для поддержки Палестины в конфликте между Израилем и ХАМАСОМ.

GhostSec разработала GhostLocker, программу-вымогатель как услуга (RaaS) с возможностями шифрования военного уровня.

GhostSec и Stormous сотрудничали в разработке программы двойного вымогательства под названием STMX_GhostLocker.

GhostSec нацеливалась на жертв в различных странах и отраслях промышленности с помощью передовых методов вымогательства в GhostLocker 2.0.

Сотрудничество между GhostSec и Stormous свидетельствует о растущей сложности киберугроз, особенно атак программ-вымогателей.

Организациям рекомендуется внедрять надежные меры кибербезопасности, чтобы снизить риск атак программ-вымогателей и усилить свою защиту от развивающихся угроз.

Используем YARA правила, чтобы отключить сборщик событий Windows

YARA-правила позволяют путем анализа некоторых статических данных определять аномалии хоть в памяти, хоть на диске. Например, если в лицухе у ехешника указан Benjamin DELPY, то что-то идет не так :D

Но мы можем внедрять собственные YARA-правила. Например, следующее:
rule disable { condition: true }

Это приведет к тому, что все события, поступающие в Windows Event Log Service будут им же и отброшены.

Для реализации такого необычного метода отключения логирования уже написан POC

#cyberthreattech

Наш сервис для очисти любых фидов от потенциальных фалсов теперь доступен а виде официального коннектора для OpenCTI

https://github.com/OpenCTI-Platform/connectors/tree/master/internal-enrichment/rst-noise-control