#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Резюме: Исследовательская группа McAfee Mobile раскрыла сложную кампанию вредоносных программ-мошенников в Индии, нацеленную на пользователей Android, проводимую киберпреступной группой ELVIA INFOTECH. Кампания включает в себя несколько этапов, включая фишинговые атаки, связанные с распространенными сценариями, позволяющими обманом заставить жертв загружать вредоносные приложения. Эти приложения крадут конфиденциальную информацию, такую как банковские реквизиты, и перехватывают SMS-сообщения, чтобы обойти аутентификацию OTP для денежных переводов. ELVIA INFOTECH - профессиональная организация, продающая вредоносные программы и фишинговые веб-сайты в качестве услуг и использующая социальные сети для распространения. Индийских пользователей предупреждают быть осторожными и использовать обновленное программное обеспечение безопасности для защиты от подобных угроз.
-----

Исследовательская группа McAfee Mobile выявила продолжающуюся кампанию вредоносных программ-мошенников, нацеленную на пользователей Android в Индии, состоящую из трех этапов: разработки, расширения и активной стадии. Результатом кампании вредоносных программ стало более 800 приложений и более 3700 зараженных устройств Android. Злоумышленники создают фишинговые страницы, связанные с распространенными сценариями, такими как оплата счетов за электричество, запись в больницу и заказ посылок курьером, чтобы обмануть жертв.

Вредоносные приложения содержат более 100 уникальных фишинговых URL-адресов и командно-контрольных URL-адресов (C2), что позволяет мошенникам действовать независимо. С жертвами связываются по различным каналам, таким как телефон, электронная почта или социальные приложения, чтобы перенести предоставление услуг, что заставляет их загружать определенное приложение и предоставлять личную информацию. Примечательный инцидент связан с тем, что индийская женщина потеряла около 98 000 долларов после загрузки вредоносного ПО по ссылке WhatsApp.

Вредоносная программа не только крадет конфиденциальную информацию, такую как данные банковского счета, но и перехватывает SMS-сообщения, чтобы обойти OTP-аутентификацию для денежных переводов. Угроза, помеченная McAfee как Android/SmsSpy, размещает фишинговые страницы на законных платформах для повышения доверия и предотвращения обнаружения.

Мошеннические операции связаны с киберпреступной группой под названием ELVIA INFOTECH, которая продает вредоносные программы и фишинговые веб-сайты в качестве услуги. Эти вредоносные приложения демонстрируют уникальную особенность, заключающуюся в том, что они имеют действительный срок годности и требуют оплаты для продолжения использования после истечения срока действия.

ELVIA INFOTECH считается профессиональной киберпреступной организацией, занимающейся разработкой, обслуживанием и продажей вредоносных программ. Приложения, распространяемые группой, маскируются под законные службы, такие как служба поддержки клиентов, курьерские компании и поставщики коммунальных услуг, чтобы обмануть жертв. Вредоносная программа извлекает конфиденциальную информацию под видом предоставления основных услуг.

Жертв обманом заставляют предоставить личные данные, которые попадают в руки мошенников, способствуя несанкционированным банковским транзакциям. Вредоносная программа запрашивает разрешения на отправку SMS, что позволяет ей пересылать сообщения на сервер C2, в частности, нацеливаясь на OTP, отправляемые банками для проверки транзакций.

Разработчики вредоносных программ стратегически распространяют свои предложения через платформы социальных сетей, расширяя их распространение и затрудняя их обнаружение. Индийским пользователям рекомендуется соблюдать осторожность и устанавливать обновленное программное обеспечение для обеспечения безопасности, такое как McAfee Mobile Security, чтобы снизить риски, связанные с такими кампаниями вредоносного ПО.

#ParsedReport #CompletenessHigh
14-03-2024

Dark Web Profile: GhostSec

https://socradar.io/dark-web-profile-ghostsec

Report completeness: High

Actors/Campaigns:
Ghostsec (motivation: financially_motivated, cyber_criminal, hacktivism, propaganda)
Stormous (motivation: financially_motivated)
Stmx_ghostlocker
Siegedsec
Threatsec
Blackforums
Stormousx

Threats:
Ghostlocker
Ghostpresser_tool
Cuba_ransomware
Process_injection_technique
Timestomp_technique

Industry:
Education, Healthcare, Government

Geo:
Palestine, Africa, Uzbekistan, Thailand, Morocco, Qatar, Turkey, Russia, India, China, Iraq, Egypt, Lebanon, Israel, Indonesia, Vietnam, Moscow, Brazil, Poland, Syria, Argentina

TTPs:
Tactics: 8
Technics: 15

IOCs:
IP: 1
Hash: 13

Soft:
Telegram

Algorithms:
aes

Languages:
python, golang

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/03/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена эволюции и деятельности хакерской группы GhostSec, включая ее переход от борьбы с экстремистским контентом к участию в атаках с использованием программ-вымогателей и сотрудничеству с другими группами угроз, такими как Stormous. В нем подчеркивается изощренность их киберопераций, появление программы-вымогателя GhostLocker, создание программы STMX_GhostLocker RaaS и нацеленность группы на жертв в различных странах и отраслях промышленности. В тексте также подчеркивается растущая сложность киберугроз, важность мер кибербезопасности для снижения рисков, связанных с программами-вымогателями, и необходимость усиления организациями своей защиты от развивающихся угроз.
-----

GhostSec, член хакерского коллектива Five Families, недавно сотрудничал со Stormous в борьбе с программой-вымогателем.

Первоначально связанная с Anonymous, GhostSec фокусируется на борьбе с экстремистским контентом в Интернете, особенно нацеленным на такие группировки, как ИГИЛ.

GhostSec была создана для поддержки Палестины в конфликте между Израилем и ХАМАСОМ.

GhostSec разработала GhostLocker, программу-вымогатель как услуга (RaaS) с возможностями шифрования военного уровня.

GhostSec и Stormous сотрудничали в разработке программы двойного вымогательства под названием STMX_GhostLocker.

GhostSec нацеливалась на жертв в различных странах и отраслях промышленности с помощью передовых методов вымогательства в GhostLocker 2.0.

Сотрудничество между GhostSec и Stormous свидетельствует о растущей сложности киберугроз, особенно атак программ-вымогателей.

Организациям рекомендуется внедрять надежные меры кибербезопасности, чтобы снизить риск атак программ-вымогателей и усилить свою защиту от развивающихся угроз.

Используем YARA правила, чтобы отключить сборщик событий Windows

YARA-правила позволяют путем анализа некоторых статических данных определять аномалии хоть в памяти, хоть на диске. Например, если в лицухе у ехешника указан Benjamin DELPY, то что-то идет не так :D

Но мы можем внедрять собственные YARA-правила. Например, следующее:
rule disable { condition: true }

Это приведет к тому, что все события, поступающие в Windows Event Log Service будут им же и отброшены.

Для реализации такого необычного метода отключения логирования уже написан POC

#cyberthreattech

Наш сервис для очисти любых фидов от потенциальных фалсов теперь доступен а виде официального коннектора для OpenCTI

https://github.com/OpenCTI-Platform/connectors/tree/master/internal-enrichment/rst-noise-control

#ParsedReport #CompletenessMedium
15-03-2024

Under the Hood of SnakeKeylogger: Analyzing its Loader and its Tactics, Techniques, and Procedures

https://www.splunk.com/en_us/blog/security/under-the-hood-of-snakekeylogger-analyzing-its-loader-and-its-tactics-techniques-and-procedures.html

Report completeness: Medium

Threats:
Snake_keylogger
Runpe_tool
Agent_tesla
Phemedrone
Trickbot

TTPs:
Tactics: 6
Technics: 8

IOCs:
Url: 2
File: 5
Hash: 3

Soft:
Telegram, Outlook, Windows Security, Windows PowerShell, Microsoft Outlook, Slack

Algorithms:
exhibit, sha256, aes-ecb, aes

Links:
https://github.com/splunk/security-content/releases/tag/v3.12.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Snake Keylogger - это очень сложная и опасная киберугроза, которая сочетает в себе возможности кражи учетных данных и кейлоггинга, используя расширенные функции, такие как регистрация нажатий клавиш, кража учетных данных, захват скриншотов и разведка системы. Вредоносная программа использует различные тактики уклонения, методы шифрования и методы сокрытия вредоносной полезной нагрузки, чтобы избежать обнаружения. Аналитикам по безопасности рекомендуется сохранять бдительность, понимать ее тактику и внедрять комплексные меры безопасности для эффективной защиты от кейлоггера Snake.
-----

Snake Keylogger, троян-похититель, обнаруженный в ноябре 2020 года, представляет собой серьезную киберугрозу из-за сочетания возможностей кражи учетных данных и кейлоггинга. Разработанный в .NET, этот вредоносный инструмент обладает расширенными функциями, такими как регистрация нажатий клавиш, кража сохраненных учетных данных, захват скриншотов, сбор данных буфера обмена, учетных данных браузера и выполнение системной и сетевой разведки. Использование различных серверов управления (C2), таких как FTP, SMTP и Telegram, обеспечивает эффективную фильтрацию данных, расширяя возможности скрытой передачи данных. Команда исследователей угроз Splunk предлагает аналитикам безопасности и сотрудникам blue team идеи для защиты от изощренной тактики Snake Keylogger.

Кейлоггер Snake использует фишинговые кампании для распространения и использует шифровальщики для запутывания своего кода, тем самым усложняя анализ и уклоняясь от обнаружения. Загрузчик вредоносного ПО умело скрывает полезную нагрузку, зашифрованную AES, в записях данных .RSRC, добавляя уровни сложности. Систематический сбор системной и сетевой информации в сочетании с запросами о геолокации повышает ситуационную осведомленность вредоносного ПО о целевых атаках.

Чтобы обеспечить постоянство, Snake Keylogger использует ключи запуска реестра и включает механизм "Kill Switch", который завершает процесс вредоносного ПО на основе проверки даты, действуя как метод защиты от "песочницы". Вредоносная программа использует встроенные инструменты Windows, такие как choice.exe с задержками по таймауту для процедур очистки и завершает процессы, связанные с безопасностью, чтобы избежать обнаружения. Кроме того, Snake Keylogger позволяет избежать вредоносной полезной нагрузки, если обнаруживает изолированную среду или среду ботов, демонстрируя свою адаптивную тактику уклонения.

Нацеленный на браузеры, почтовые клиенты и данные системного буфера обмена, Snake Keylogger крадет конфиденциальную информацию, такую как учетные данные, данные кредитной карты и скриншоты. Его функция кейлоггинга записывает все нажатия клавиш, собирает пароли и другие конфиденциальные данные. Устанавливая связь с серверами C2 и используя различные каналы, такие как FTP, SMTP и Telegram, для фильтрации данных, Snake Keylogger поддерживает тайные операции, используя при этом многочисленные методы уклонения, чтобы избежать обнаружения средствами безопасности.

Исследовательская группа Splunk Threat разработала 21 средство обнаружения для Snake Keylogger, охватывающее множество методов MITRE ATT&CK, помогающих аналитикам безопасности определять тактику противника. Постоянный обмен информацией об угрозах и мониторинг имеют решающее значение для эффективной защиты от развивающихся угроз, таких как Snake Keylogger. Понимание его поведения и применение комплексных мер безопасности могут помочь организациям обнаруживать потенциальный ущерб и оперативно реагировать на него. Сотрудничество и обновленные средства защиты необходимы для того, чтобы опережать киберугрозы, такие как Snake Keylogger.

#ParsedReport #CompletenessLow
15-03-2024

Hacking damage warning due to rapid rise in Bitcoin price

https://www.genians.co.kr/blog/threat_intelligence/bitcoin

Report completeness: Low

Threats:
Konni_rat
Spear-phishing_technique

Victims:
Bitcoin traders

Geo:
Gyeonggi-do, Korea, Usa

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1059, T1071, T1105, T1547, T1056

IOCs:
File: 17
Domain: 2
Hash: 9

Soft:
Slack

Crypto:
bitcoin

Algorithms:
zip, md5, base64, rc4

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 6, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается предупреждение хакерской группы Konni о целенаправленных кибератаках на биткоин-трейдеров, использующих вредоносные файлы, замаскированные под законные документы, для получения несанкционированного доступа к системам. Злоумышленники используют такую тактику, как рассылка фишинговых электронных писем для распространения этих файлов, при этом вредоносное ПО предназначено для использования возросшего интереса к торговле биткоинами. Для защиты от этих сложных атак рекомендуются передовые решения для обнаружения угроз, такие как Genian EDR.
-----

В тексте обсуждается предупреждение хакерской группы Konni о целенаправленных атаках на биткоин-трейдеров на фоне резкого роста цен на биткоин. Высказывались опасения по поводу растущих киберугроз в связи с ростом популярности и стоимости Биткоина, когда злоумышленники пытаются замаскировать хакерские атаки под законную работу. Хакеры используют вредоносные файлы, замаскированные под законные документы, для нацеливания на пользователей биржи виртуальных активов, чтобы получить несанкционированный доступ к их системам. Вредоносное ПО, управляемое Konni APT group, специально разработано для использования повышенного интереса к торговле биткоинами.

Центр безопасности Genius (GSC) определил конкретный вектор атаки, в результате которой вредоносный файл с именем "attached.zip" был распространен в Корее. Этот файл содержит два файла - один действует как приманка, а другой называется "Приложение 1_name_ Соглашение о сборе и использовании персональной информации.docx.lnk", которое является вредоносным компонентом атаки. Злоумышленники используют такую тактику, как рассылка фишинговых писем по электронной почте, чтобы распространять эти вредоносные файлы и заманивать пользователей к их открытию. Вредоносный файл содержит запутанные команды PowerShell, и после выполнения он инициирует ряд действий, таких как сбор пользовательской информации, ее утечка и установка дополнительных вредоносных файлов в целевой системе.

Метод атаки, используемый Konni group, имеет сходство с их предыдущими кампаниями, направленными против биткоин-трейдеров и частных лиц, работающих в Северной Корее. Для своих атак они в основном используют вредоносные программы типа LNK, VBS и BAT. Для защиты от этих атак пользователям рекомендуется проявлять осторожность при работе с файлами быстрого доступа (LNK) и быть бдительными в отношении любого ненормального поведения, такого как последовательное выполнение пакетных файлов (BAT). Субъекты угроз часто меняют свой сервер управления (C2) и командные коды, чтобы избежать обнаружения, что затрудняет обнаружение этих атак с использованием традиционных методов, основанных на сигнатурах.

Genian EDR рекомендуется в качестве механизма проактивной защиты от этих угроз. Он может обнаруживать события ненормального поведения терминала и реагировать на них на ранней стадии, обеспечивая немедленное оповещение при возникновении подозрительных действий, таких как выполнение команд PowerShell и пакетных файлов с помощью файлов быстрого доступа. Кроме того, Genian EDR может использовать известные индикаторы компрометации (IoC) для диагностики потенциальных вредоносных угроз и позволяет администраторам отслеживать угрозы и реагировать на них с начальной стадии выполнения файла вредоносного ярлыка (LNK). Это решение позволяет детально исследовать ход атаки, включая отслеживание ненормальных процессов, инициируемых с помощью команд Cmd и PowerShell, а также мониторинг связи с серверами C2.

Таким образом, предупреждение от хакерской группы Konni подчеркивает возросшие киберугрозы, с которыми сталкиваются биткоин-трейдеры, поскольку злоумышленники используют растущий интерес к биткоину для проведения целенаправленных атак. Пользователям настоятельно рекомендуется быть осторожными с вредоносными файлами, распространяемыми по электронной почте, и использовать передовые решения для обнаружения угроз, такие как Genian EDR, для защиты от этих сложных киберугроз.

#ParsedReport #CompletenessLow
15-03-2024

Using Backup Utilities for Data Exfiltration

https://www.huntress.com/blog/using-backup-utilities-for-data-exfiltration

Report completeness: Low

Threats:
Megasync_tool
Restic_tool

TTPs:

IOCs:
File: 3
Domain: 2
Path: 3
Command: 1
Registry: 1
Hash: 3

Soft:
debian, Windows Registry, Windows Error Reporting

Algorithms:
sha256

Win API:
NetBIOS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте освещается случай, когда участники угроз злоупотребляли широко используемыми приложениями, такими как программное обеспечение для резервного копирования restic, для эксфильтрации данных, подчеркивая необходимость мониторинга, расследования подозрительных действий и внедрения надежных мер кибербезопасности для эффективного обнаружения таких угроз в корпоративных сетях и реагирования на них.
-----

Huntress, поставщик MDR с широкой клиентской базой, столкнулся со случаями, когда злоумышленники злоупотребляли часто используемыми приложениями для вредоносных действий. В августе 2023 года аналитики Huntress выявили случай, когда приложение MegaSync использовалось для эксфильтрации данных. Впоследствии GBHackers опубликовали статью, в которой подробно описывались злоумышленники-вымогатели, использующие инструменты для извлечения данных, включая приложение для резервного копирования restic. После этого аналитик Huntress SOC проанализировал предупреждения с двух серверов Windows 2019 в сети клиента, показывающие подозрительное использование приложения restic backup для эксфильтрации данных.

Хронология расследования показала, что исполнитель угрозы использовал приложение резервного копирования restic, чтобы попытаться извлечь данные из инфраструктуры клиента, переименовав его в dns.exe. Субъект инициировал взаимодействие с определенными конечными точками в инфраструктуре, на что указывают сообщения DCOM/10028, связанные с system.exe. Затем субъект угрозы подключился к указанным доменам и загрузил архив, содержащий приложение резервного копирования restic, которое они позже запустили. Кроме того, анализ показал, что субъект угрозы получил доступ ко второй конечной точке с первой, где он попытался запустить приложение резервного копирования, не меняя его имени.

Приложение для резервного копирования, используемое злоумышленником, отличалось от законного программного обеспечения для резервного копирования, используемого в сети клиента. Примечательно, что перед попытками резервного копирования злоумышленник провел сканирование сети и кратко просмотрел содержимое файлов, таких как файлы CSV и PDF. Однако не было никаких свидетельств более широких разведывательных усилий до того, как исполнитель начал создавать резервные копии всего содержимого папки.

Этот инцидент подчеркивает важность мониторинга и расследования подозрительных действий, связанных с широко используемыми приложениями, такими как программное обеспечение для резервного копирования, в корпоративных сетях. Использование субъектом угрозы законных инструментов для вредоносных целей подчеркивает необходимость принятия надежных мер кибербезопасности для эффективного обнаружения таких угроз и реагирования на них. Подробный анализ хронологии расследования дает ценную информацию о тактике и методах, используемых участниками угроз для компрометации сетевой безопасности и извлечения конфиденциальных данных. Бдительность и упреждающий поиск угроз имеют решающее значение для выявления и смягчения последствий таких инцидентов безопасности для защиты активов организации и целостности данных. Специалисты по кибербезопасности должны постоянно адаптировать и усиливать свою защиту, чтобы опережать возникающие угрозы в постоянно меняющемся ландшафте угроз.

#ParsedReport #CompletenessLow
15-03-2024

CGSI Probes: ShadowSyndicate Group s Possible Exploitation of Aiohttp Vulnerability (CVE-2024-23334)

https://cyble.com/blog/cgsi-probes-shadowsyndicate-groups-possible-exploitation-of-aiohttp-vulnerability-cve-2024-23334

Report completeness: Low

Actors/Campaigns:
Shadowsyndicate

Threats:
Lockbit
Quantum_locker
Nokoyawa
Blackcat

Geo:
Germany, Spain

CVEs:
CVE-2024-23334 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.9
X-Force: Patch: Official fix
Soft:
- aiohttp (<3.9.2)


ChatGPT TTPs:
do not use without manual check
T1190, T1595, T1588.002, T1486

IOCs:
IP: 5

Languages:
python

Links:
https://github.com/aio-libs/aiohttp/commit/1c335944d6a8b1298baf179b7c0b3069f10c514b

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении уязвимости обхода каталогов (CVE-2024-23334) во фреймворке Aiohttp, которая может быть использована участниками угроз, такими как группа ShadowSyndicate. В тексте подчеркивается важность применения исправлений безопасности для снижения рисков, связанных с уязвимостью, и приводятся подробные сведения о действиях по сканированию, выполняемых злоумышленниками, нацеленными на серверы, работающие на непатченных версиях Aiohttp.
-----

Недавно CGSI обнаружила потенциальное использование уязвимости Aiohttp группой ShadowSyndicate. В конце января 2024 года было выпущено исправление для системы безопасности, устраняющее уязвимость, затрагивающую версии aiohttp до версии 3.9.2. Выявленный недостаток безопасности, обозначенный как CVE-2024-23334, представляет собой уязвимость обхода каталогов в aiohttp, которая при успешном использовании может позволить удаленным злоумышленникам, не прошедшим проверку подлинности, получить доступ к конфиденциальной информации из различных файлов на сервере. Aiohttp - это широко используемая асинхронная клиент-серверная платформа HTTP, разработанная специально для asyncio и Python, которая удовлетворяет широкому спектру асинхронных задач благодаря своей гибкости и расширенным функциональным возможностям.

Сканер ODIN от Cyble выявил более 43 000 подключенных к Интернету экземпляров aiohttp по всему миру, с заметным присутствием, в частности, в таких странах, как Соединенные Штаты, Германия и Испания. Учитывая широкое распространение этих экземпляров, они являются основными мишенями для участников угроз. Настоятельно рекомендуется немедленное внедрение последних исправлений для снижения рисков, связанных с уязвимостью.

Уязвимость обхода каталогов в aiohttp (CVE-2024-23334) имеет рейтинг серьезности 7,5 в соответствии с системой оценки CVSS:3.1. Эта уязвимость затрагивает версии aiohttp, предшествующие версии 3.9.2, и создает значительные риски для безопасности, потенциально позволяя несанкционированный удаленный доступ к критически важной информации сервера.

29 февраля 2024 года CGSI инициировала обнаружение множественных операций сканирования, нацеленных на уязвимость CVE-2024-23334, и впоследствии такие попытки сканирования продолжались. Изображение, опубликованное CGSI, иллюстрирует наблюдаемые действия по атаке на датчик.

Aiohttp, являясь библиотекой / фреймворком Python с открытым исходным кодом, адаптированной для асинхронных функций HTTP клиент/сервер, требует тщательной настройки при установке веб-серверов и определении статических маршрутов для файловой службы, чтобы указать точный корневой каталог статических файлов.

При анализе действий сканирования, выявленных с помощью платформы Cyble Global Sensor Intelligence (CGSI), было отмечено, что IP-адрес, обозначенный как 81.19.136.251, был связан с несколькими действиями LockBit и связан с группой ShadowSyndicate. ShadowSyndicate, работающий с июля 2022 года, функционирует как филиал Ransomware-as-a-Service (RaaS), использующий различные разновидности программ-вымогателей для своих вредоносных операций. Исследователи из Group-IB связали эту группу с различными инцидентами с программами-вымогателями в прошлом, включая действия, связанные с программами-вымогателями Quantum в сентябре 2022 года, кампании программ-вымогателей Nokoyawa в октябре 2022 года, ноябре 2022 года и марте 2023 года, а также операции программ-вымогателей ALPHV в феврале 2023 года. Эти случаи подчеркивают широкое участие ShadowSyndicate в деятельности программ-вымогателей в относительно сжатые сроки.

Потенциальный риск, создаваемый серверами, работающими на непатченных версиях платформы aiohttp, является существенным в области кибербезопасности. Хотя до сих пор не наблюдалось активных атак, использующих выявленную уязвимость, действия по сканированию, проведенные группой ShadowSyndicate, подчеркивают неминуемую угрозу, исходящую от злоумышленников, использующих эту лазейку в системе безопасности.

#ParsedReport #CompletenessMedium
15-03-2024

NIKKI STEALER: EX-DEFACER TURNS SELLER OF DISCORD STEALER

https://www.cyfirma.com/outofband/nikki-stealer-ex-defacer-turns-seller-of-discord-stealer

Report completeness: Medium

Threats:
Nikki
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Geo:
Portuguese, Portugal, Brazil

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 5
Hash: 4

Soft:
DISCORD, Telegram, macOS, Chromium, Node.js, Chrome, Opera, Microsoft Edge, Instagram

Algorithms:
sha256, md5, 7zip

Languages:
powershell, javascript

Platforms:
cross-platform