#ParsedReport #CompletenessMedium
14-03-2024

Beware of information-stealing malicious code disguised as installation file

https://asec.ahnlab.com/ko/62976

Report completeness: Medium

Threats:
Stealc
Heavens_gate_technique
Vidar_stealer
Lumma_stealer

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1027, T1059, T1055, T1574.002, T1546.011

IOCs:
File: 7
Hash: 10
Url: 27

Soft:
Discord, Telegram

Algorithms:
md5

Languages:
autoit

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Злоумышленники распространяют вредоносное ПО StealC, замаскированное под установщиков программного обеспечения, через различные платформы, используя сложные методы для кражи конфиденциальной информации. Вредоносная программа демонстрирует поведение, сходное с другими вредоносными программами, занимающимися кражей информации, и подчеркивает эволюционирующий характер киберугроз, подчеркивая важность бдительности и надежных мер кибербезопасности для борьбы с такой вредоносной деятельностью.
-----

Вредоносная программа StealC распространяется под видом установщика через такие платформы, как Discord, GitHub, Dropbox.

Предназначен для кражи конфиденциальной информации: сведений о системе, данных браузера, информации о криптовалютном кошельке, сообщений Discord, данных Telegram, содержимого электронной почты.

Методы, аналогичные вредоносному ПО, распространяемому в виде программных взломов; использует имена файлов, подобные setup_2024.008.20534_win64_86.exe.

Выполняется путем загрузки закодированных вредоносных данных с сайта, размещающего изображения, включая командный код и двоичные файлы для вредоносных действий.

Использует ручное отображение ntdll и технику Heaven's Gate для обхода мер безопасности.

Внедряется в автоматические Ит-процессы, чтобы избежать обнаружения; поведение аналогично вредоносному ПО Vidar.

Vidar может получать командные адреса с таких платформ, как Steam и Telegram.

Эволюционирующий характер вредоносного ПО демонстрируется новыми образцами с теми же вредоносными операциями, но разными техниками или общими адресами C2.

AhnLab предоставляет диагностические данные и хэши MD5 для обнаружения и анализа.

Пользователям рекомендуется соблюдать осторожность при загрузке исполняемых файлов и запускать файлы только из официальных источников, чтобы избежать вредоносного ПО StealC.

#ParsedReport #CompletenessLow
14-03-2024

Empty heading. The Anatomy of an ALPHA SPIDER Ransomware Attack

https://www.crowdstrike.com/blog/anatomy-of-alpha-spider-ransomware

Report completeness: Low

Actors/Campaigns:
Alpha_spider

Threats:
Blackcat
Cobalt_strike
Systembc
Pwnkit_tool
Nmap_tool
Masscan_tool
Koloveeam_tool
Winrm_tool
Lolbin_technique
Motw_bypass_technique

CVEs:
CVE-2021-21972 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.1.2, <4.2)

CVE-2021-40347 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- postorius project postorius (<1.3.5)

CVE-2021-44529 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ivanti endpoint manager cloud services appliance (le4.5, 4.6)


ChatGPT TTPs:
do not use without manual check
T1564.004, T1190, T1068, T1070.004, T1543.003, T1556.001, T1218.003, T1552.004, T1562.001, T1036.005, have more...

IOCs:
File: 4
Path: 1

Soft:
ESXi, Ivanti, Microsoft SQL Server Management Studio, Windows Service

Crypto:
bitcoin

Languages:
rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ALPHA SPIDER, группа исполнителей угроз, активно проводит операции с программами-вымогателями, используя инновационные и традиционные методы, представляя значительную угрозу для организаций. Несмотря на их успешные операции, отсутствие конкретных оперативных мер безопасности оставляет защитникам возможность эффективно обнаруживать их действия и реагировать на них.
-----

Исполнитель угроз, известный как ALPHA SPIDER, стоит за программой-вымогателем Alphv, активно проводя операции с программами-вымогателями с использованием инновационных методов.

Филиалы ALPHA SPIDER используют такие тактики, как использование уязвимостей в устройствах GNU/Linux, альтернативные потоки данных и вмешательство в файлы конфигурации сети, чтобы обойти меры безопасности.

Alphv ransomware-as-a-service предлагает расширенные функции, включая варианты программ-вымогателей, нацеленные на несколько операционных систем, и настраиваемый вариант, который ежечасно перестраивается, чтобы избежать обнаружения антивирусом.

Филиалы ALPHA SPIDER нацелены на инфраструктуру виртуализации жертв, используют такие инструменты, как Cobalt Strike и SystemBC, для разведки и используют уязвимости программного обеспечения, такие как CVE-2021-44529 и CVE-2021-40347, для первоначального доступа и повышения привилегий.

Исполнитель угроз, известный как Threat Actor 1, провел обширное сетевое обнаружение с использованием таких инструментов, как Nmap, mitm6 и responder, нацелился на утилиту резервного копирования Veeam для извлечения учетных данных и использовал альтернативные потоки данных и программное обеспечение MEGA client для эксфильтрации.

Несмотря на их изощренные методы, отсутствие конкретных оперативных мер безопасности у филиалов ALPHA SPIDER предоставляет правозащитникам возможности для эффективного обнаружения и реагирования.

#ParsedReport #CompletenessMedium
14-03-2024

Unveiling the depths of residential proxies providers

https://www.orangecyberdefense.com/global/blog/research/residential-proxies

Report completeness: Medium

Actors/Campaigns:
Duke (motivation: cyber_espionage)
0ktapus
Proxynation

Threats:
Residential_proxy_technique
Lumiproxy_tool
Pias5proxy_tool
Abcproxy_tool
922proxy_tool
Lunaproxy_tool
Piaproxy_tool
Supply_chain_technique
Luminati_tool
Iproyal_pawns_tool
Tron
Revsocks
Upx_tool
Password_spray_technique
Fineproxy
Rayobyte
Caffeine_tool
Aitm_technique
Adload_loader
Ipstorm
Spyder
Thunderproxy
Boostyproxy
Socksescort
Bhproxies
Peer2profit_tool

Victims:
Microsoft, Philippine media company rappler, Macos systems and windows users

Industry:
Media, Retail, Telco, Government, E-commerce, Financial, Iot

Geo:
Russian, Hongkong, Russia, Philippine, France, Cyprus

ChatGPT TTPs:
do not use without manual check
T1583, T1071, T1566, T1027, T1110, T1557, T1496, T1571, T1046, T1190, have more...

IOCs:
Coin: 1
IP: 8
Domain: 36
File: 19

Soft:
Telegram, WhatsApp, Discord, Android, crontab, macOS, VALORANT

Crypto:
ethereum, bitcoin, binance

Platforms:
arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что мир провайдеров локальных прокси-серверов (RESIP) представляет собой сложный и растущий ландшафт, который создает проблемы в области кибербезопасности. Эти прокси-серверы все чаще используются как киберпреступниками, так и законными пользователями, представляя угрозу в киберпространстве из-за их способности скрываться среди законного трафика. Экосистема локальных прокси-серверов характеризуется фрагментацией и дерегулированием, что затрудняет регулирование или отслеживание поставщиков, а злоумышленники часто злоупотребляют услугами провайдеров RESIP для проведения различных вредоносных кампаний. Существуют этические опасения по поводу отсутствия прозрачности в источниках и операциях многих поставщиков услуг RESIP, и усилия по нарушению работы служб RESIP были ограниченными, что позволяло продолжать их использование в злонамеренных действиях.
-----

Локальные прокси-серверы (RESIP) действуют как посредники, скрывающие исходное подключение к Интернету, предлагая повышенную конфиденциальность и доступ к контенту с географическим ограничением.

Поставщики услуг RESIP работают на фрагментированном и нерегулируемом рынке, что затрудняет регулирование или отслеживание их деятельности.

Злоумышленники часто злоупотребляют услугами провайдеров RESIP для проведения DDoS-атак, кибершпионажа, финансово мотивированных вредоносных операций и многого другого.

Усилия по нарушению работы служб RESIP были ограниченными, а действия правоохранительных органов имели минимальные долгосрочные последствия.

Сети RESIP создают свои пулы IP-адресов с помощью различных механизмов, включая привлечение заинтересованных пользователей, встраивание прокси-программ в программное обеспечение и компрометацию устройств.

Растет использование сервисов RESIP как для законных целей, так и для злонамеренных кампаний, что создает проблемы для традиционных мер безопасности.

#ParsedReport #CompletenessLow
14-03-2024

Android Phishing Scam Using Malware-as-a-Service on the Rise in India

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-phishing-scam-using-malware-as-a-service-on-the-rise-in-india

Report completeness: Low

Actors/Campaigns:
Elvia_infotech (motivation: cyber_criminal)

Threats:
Smsspy

Victims:
Android users

Industry:
Financial

Geo:
Indian, India

ChatGPT TTPs:
do not use without manual check
T1566, T1587, T1583, T1595, T1539, T1114, T1056, T1027, T1189, T1588, have more...

IOCs:
File: 5
Hash: 8
Url: 12

Soft:
Android, WhatsApp, Telegram

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Резюме: Исследовательская группа McAfee Mobile раскрыла сложную кампанию вредоносных программ-мошенников в Индии, нацеленную на пользователей Android, проводимую киберпреступной группой ELVIA INFOTECH. Кампания включает в себя несколько этапов, включая фишинговые атаки, связанные с распространенными сценариями, позволяющими обманом заставить жертв загружать вредоносные приложения. Эти приложения крадут конфиденциальную информацию, такую как банковские реквизиты, и перехватывают SMS-сообщения, чтобы обойти аутентификацию OTP для денежных переводов. ELVIA INFOTECH - профессиональная организация, продающая вредоносные программы и фишинговые веб-сайты в качестве услуг и использующая социальные сети для распространения. Индийских пользователей предупреждают быть осторожными и использовать обновленное программное обеспечение безопасности для защиты от подобных угроз.
-----

Исследовательская группа McAfee Mobile выявила продолжающуюся кампанию вредоносных программ-мошенников, нацеленную на пользователей Android в Индии, состоящую из трех этапов: разработки, расширения и активной стадии. Результатом кампании вредоносных программ стало более 800 приложений и более 3700 зараженных устройств Android. Злоумышленники создают фишинговые страницы, связанные с распространенными сценариями, такими как оплата счетов за электричество, запись в больницу и заказ посылок курьером, чтобы обмануть жертв.

Вредоносные приложения содержат более 100 уникальных фишинговых URL-адресов и командно-контрольных URL-адресов (C2), что позволяет мошенникам действовать независимо. С жертвами связываются по различным каналам, таким как телефон, электронная почта или социальные приложения, чтобы перенести предоставление услуг, что заставляет их загружать определенное приложение и предоставлять личную информацию. Примечательный инцидент связан с тем, что индийская женщина потеряла около 98 000 долларов после загрузки вредоносного ПО по ссылке WhatsApp.

Вредоносная программа не только крадет конфиденциальную информацию, такую как данные банковского счета, но и перехватывает SMS-сообщения, чтобы обойти OTP-аутентификацию для денежных переводов. Угроза, помеченная McAfee как Android/SmsSpy, размещает фишинговые страницы на законных платформах для повышения доверия и предотвращения обнаружения.

Мошеннические операции связаны с киберпреступной группой под названием ELVIA INFOTECH, которая продает вредоносные программы и фишинговые веб-сайты в качестве услуги. Эти вредоносные приложения демонстрируют уникальную особенность, заключающуюся в том, что они имеют действительный срок годности и требуют оплаты для продолжения использования после истечения срока действия.

ELVIA INFOTECH считается профессиональной киберпреступной организацией, занимающейся разработкой, обслуживанием и продажей вредоносных программ. Приложения, распространяемые группой, маскируются под законные службы, такие как служба поддержки клиентов, курьерские компании и поставщики коммунальных услуг, чтобы обмануть жертв. Вредоносная программа извлекает конфиденциальную информацию под видом предоставления основных услуг.

Жертв обманом заставляют предоставить личные данные, которые попадают в руки мошенников, способствуя несанкционированным банковским транзакциям. Вредоносная программа запрашивает разрешения на отправку SMS, что позволяет ей пересылать сообщения на сервер C2, в частности, нацеливаясь на OTP, отправляемые банками для проверки транзакций.

Разработчики вредоносных программ стратегически распространяют свои предложения через платформы социальных сетей, расширяя их распространение и затрудняя их обнаружение. Индийским пользователям рекомендуется соблюдать осторожность и устанавливать обновленное программное обеспечение для обеспечения безопасности, такое как McAfee Mobile Security, чтобы снизить риски, связанные с такими кампаниями вредоносного ПО.

#ParsedReport #CompletenessHigh
14-03-2024

Dark Web Profile: GhostSec

https://socradar.io/dark-web-profile-ghostsec

Report completeness: High

Actors/Campaigns:
Ghostsec (motivation: financially_motivated, cyber_criminal, hacktivism, propaganda)
Stormous (motivation: financially_motivated)
Stmx_ghostlocker
Siegedsec
Threatsec
Blackforums
Stormousx

Threats:
Ghostlocker
Ghostpresser_tool
Cuba_ransomware
Process_injection_technique
Timestomp_technique

Industry:
Education, Healthcare, Government

Geo:
Palestine, Africa, Uzbekistan, Thailand, Morocco, Qatar, Turkey, Russia, India, China, Iraq, Egypt, Lebanon, Israel, Indonesia, Vietnam, Moscow, Brazil, Poland, Syria, Argentina

TTPs:
Tactics: 8
Technics: 15

IOCs:
IP: 1
Hash: 13

Soft:
Telegram

Algorithms:
aes

Languages:
python, golang

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/03/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена эволюции и деятельности хакерской группы GhostSec, включая ее переход от борьбы с экстремистским контентом к участию в атаках с использованием программ-вымогателей и сотрудничеству с другими группами угроз, такими как Stormous. В нем подчеркивается изощренность их киберопераций, появление программы-вымогателя GhostLocker, создание программы STMX_GhostLocker RaaS и нацеленность группы на жертв в различных странах и отраслях промышленности. В тексте также подчеркивается растущая сложность киберугроз, важность мер кибербезопасности для снижения рисков, связанных с программами-вымогателями, и необходимость усиления организациями своей защиты от развивающихся угроз.
-----

GhostSec, член хакерского коллектива Five Families, недавно сотрудничал со Stormous в борьбе с программой-вымогателем.

Первоначально связанная с Anonymous, GhostSec фокусируется на борьбе с экстремистским контентом в Интернете, особенно нацеленным на такие группировки, как ИГИЛ.

GhostSec была создана для поддержки Палестины в конфликте между Израилем и ХАМАСОМ.

GhostSec разработала GhostLocker, программу-вымогатель как услуга (RaaS) с возможностями шифрования военного уровня.

GhostSec и Stormous сотрудничали в разработке программы двойного вымогательства под названием STMX_GhostLocker.

GhostSec нацеливалась на жертв в различных странах и отраслях промышленности с помощью передовых методов вымогательства в GhostLocker 2.0.

Сотрудничество между GhostSec и Stormous свидетельствует о растущей сложности киберугроз, особенно атак программ-вымогателей.

Организациям рекомендуется внедрять надежные меры кибербезопасности, чтобы снизить риск атак программ-вымогателей и усилить свою защиту от развивающихся угроз.

Используем YARA правила, чтобы отключить сборщик событий Windows

YARA-правила позволяют путем анализа некоторых статических данных определять аномалии хоть в памяти, хоть на диске. Например, если в лицухе у ехешника указан Benjamin DELPY, то что-то идет не так :D

Но мы можем внедрять собственные YARA-правила. Например, следующее:
rule disable { condition: true }

Это приведет к тому, что все события, поступающие в Windows Event Log Service будут им же и отброшены.

Для реализации такого необычного метода отключения логирования уже написан POC

#cyberthreattech

Наш сервис для очисти любых фидов от потенциальных фалсов теперь доступен а виде официального коннектора для OpenCTI

https://github.com/OpenCTI-Platform/connectors/tree/master/internal-enrichment/rst-noise-control

#ParsedReport #CompletenessMedium
15-03-2024

Under the Hood of SnakeKeylogger: Analyzing its Loader and its Tactics, Techniques, and Procedures

https://www.splunk.com/en_us/blog/security/under-the-hood-of-snakekeylogger-analyzing-its-loader-and-its-tactics-techniques-and-procedures.html

Report completeness: Medium

Threats:
Snake_keylogger
Runpe_tool
Agent_tesla
Phemedrone
Trickbot

TTPs:
Tactics: 6
Technics: 8

IOCs:
Url: 2
File: 5
Hash: 3

Soft:
Telegram, Outlook, Windows Security, Windows PowerShell, Microsoft Outlook, Slack

Algorithms:
exhibit, sha256, aes-ecb, aes

Links:
https://github.com/splunk/security-content/releases/tag/v3.12.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Snake Keylogger - это очень сложная и опасная киберугроза, которая сочетает в себе возможности кражи учетных данных и кейлоггинга, используя расширенные функции, такие как регистрация нажатий клавиш, кража учетных данных, захват скриншотов и разведка системы. Вредоносная программа использует различные тактики уклонения, методы шифрования и методы сокрытия вредоносной полезной нагрузки, чтобы избежать обнаружения. Аналитикам по безопасности рекомендуется сохранять бдительность, понимать ее тактику и внедрять комплексные меры безопасности для эффективной защиты от кейлоггера Snake.
-----

Snake Keylogger, троян-похититель, обнаруженный в ноябре 2020 года, представляет собой серьезную киберугрозу из-за сочетания возможностей кражи учетных данных и кейлоггинга. Разработанный в .NET, этот вредоносный инструмент обладает расширенными функциями, такими как регистрация нажатий клавиш, кража сохраненных учетных данных, захват скриншотов, сбор данных буфера обмена, учетных данных браузера и выполнение системной и сетевой разведки. Использование различных серверов управления (C2), таких как FTP, SMTP и Telegram, обеспечивает эффективную фильтрацию данных, расширяя возможности скрытой передачи данных. Команда исследователей угроз Splunk предлагает аналитикам безопасности и сотрудникам blue team идеи для защиты от изощренной тактики Snake Keylogger.

Кейлоггер Snake использует фишинговые кампании для распространения и использует шифровальщики для запутывания своего кода, тем самым усложняя анализ и уклоняясь от обнаружения. Загрузчик вредоносного ПО умело скрывает полезную нагрузку, зашифрованную AES, в записях данных .RSRC, добавляя уровни сложности. Систематический сбор системной и сетевой информации в сочетании с запросами о геолокации повышает ситуационную осведомленность вредоносного ПО о целевых атаках.

Чтобы обеспечить постоянство, Snake Keylogger использует ключи запуска реестра и включает механизм "Kill Switch", который завершает процесс вредоносного ПО на основе проверки даты, действуя как метод защиты от "песочницы". Вредоносная программа использует встроенные инструменты Windows, такие как choice.exe с задержками по таймауту для процедур очистки и завершает процессы, связанные с безопасностью, чтобы избежать обнаружения. Кроме того, Snake Keylogger позволяет избежать вредоносной полезной нагрузки, если обнаруживает изолированную среду или среду ботов, демонстрируя свою адаптивную тактику уклонения.

Нацеленный на браузеры, почтовые клиенты и данные системного буфера обмена, Snake Keylogger крадет конфиденциальную информацию, такую как учетные данные, данные кредитной карты и скриншоты. Его функция кейлоггинга записывает все нажатия клавиш, собирает пароли и другие конфиденциальные данные. Устанавливая связь с серверами C2 и используя различные каналы, такие как FTP, SMTP и Telegram, для фильтрации данных, Snake Keylogger поддерживает тайные операции, используя при этом многочисленные методы уклонения, чтобы избежать обнаружения средствами безопасности.

Исследовательская группа Splunk Threat разработала 21 средство обнаружения для Snake Keylogger, охватывающее множество методов MITRE ATT&CK, помогающих аналитикам безопасности определять тактику противника. Постоянный обмен информацией об угрозах и мониторинг имеют решающее значение для эффективной защиты от развивающихся угроз, таких как Snake Keylogger. Понимание его поведения и применение комплексных мер безопасности могут помочь организациям обнаруживать потенциальный ущерб и оперативно реагировать на него. Сотрудничество и обновленные средства защиты необходимы для того, чтобы опережать киберугрозы, такие как Snake Keylogger.

#ParsedReport #CompletenessLow
15-03-2024

Hacking damage warning due to rapid rise in Bitcoin price

https://www.genians.co.kr/blog/threat_intelligence/bitcoin

Report completeness: Low

Threats:
Konni_rat
Spear-phishing_technique

Victims:
Bitcoin traders

Geo:
Gyeonggi-do, Korea, Usa

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1059, T1071, T1105, T1547, T1056

IOCs:
File: 17
Domain: 2
Hash: 9

Soft:
Slack

Crypto:
bitcoin

Algorithms:
zip, md5, base64, rc4

Languages:
powershell