#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кампании Earth Krahang Advanced Persistent Threat (APT), нацеленной на государственные структуры по всему миру с начала 2022 года. В нем обсуждаются тактика и методы, используемые субъектом угрозы, типы целей, используемые инструменты и семейства вредоносных программ, проблемы с атрибуцией, связи с другими субъектами угрозы, такими как Earth Lusca, и даются рекомендации организациям по повышению их уровня безопасности против таких киберугроз.
-----

с начала 2022 года продолжается кампания APT Earth Krahang, ориентированная на государственные структуры по всему миру.

основное внимание уделяется Юго-Восточной Азии, а также Европе, Америке, Африке.

тактика включает в себя использование общедоступных серверов, рассылку фишинговых писем с использованием бэкдоров.

независимая инфраструктура и уникальные бэкдоры отделяют Землю Краханг от Китая-нексусного участника угроз Earth Lusca.

использует VPN-серверы на скомпрометированных серверах, атаки методом перебора учетных данных электронной почты, вредоносный доступ к полезной нагрузке и прокси-атаки.

нацелен на правительственную инфраструктуру для кибершпионажа, использует такие инструменты, как инструменты сканирования с открытым исходным кодом, sqlmap, wordpresscan, отслеживает фишинговые электронные письма.

бэкдорные имена файлов, связанные с геополитическими темами, используемые для заманивания жертв.

жертвами стали примерно 70 человек в 23 странах, главным образом в Азии и Америке.

фокусируется на правительственных организациях, министерствах иностранных дел и департаментах.

переходит от семейства вредоносных программ RESHELL к XDealer, что потенциально связано с такими участниками угроз, как Luoyu.

возможная связь с китайской компанией I-Soon и независимыми группами проникновения.

рекомендации включают в себя рекомендации по обеспечению безопасности, обновлению программного обеспечения и обучению сотрудников атакам социальной инженерии.

#ParsedReport #CompletenessLow
18-03-2024

LESLIELOADER Undocumented Loader Observed

https://www.kroll.com/en/insights/publications/cyber/leslieloader-undocumented-loader-observed

Report completeness: Low

Actors/Campaigns:
Dragonspark

Threats:
Leslieloader
Spark_rat
Xzb-1248_actor
Beacon
Process_injection_technique
Cobalt_strike

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1055, T1105, T1093, T1564, T1046, T1112, T1140, T1588.002, have more...

IOCs:
File: 4
IP: 1
Hash: 26

Algorithms:
md5, aes, sha1, sha256, base64

Win Services:
Ntmssvc

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Kroll выявила новый загрузчик, связанный с вредоносным ПО SPARKRAT, которое активно модифицируется и используется участниками угроз. Этот загрузчик под названием LeslieCheungKwok написан на Golang и играет решающую роль в облегчении первоначального заражения и развертывания вредоносного ПО SPARKRAT, позволяя ему избегать обнаружения и запускаться в системах. Несмотря на усилия по противодействию этой тактике уклонения, участники угроз продолжают использовать инъекции процессов, что затрудняет исследователям безопасности выявление и смягчение действий SPARKRAT. Кроме того, участие Cobalt Strike в сочетании с загрузчиком предполагает потенциально злонамеренные намерения, стоящие за развертыванием полезных нагрузок. Kroll активно исследует и отслеживает эти события, чтобы защитить организации от развивающихся киберугроз.
-----

Компания Kroll обнаружила новый загрузчик, связанный с текущими кампаниями, связанными с вредоносным ПО SPARKRAT, при этом злоумышленники модифицируют вредоносное ПО для своих целей.

Новый загрузчик, известный под ключом AES "LeslieCheungKwok" и написанный на Golang, помогает при первоначальном заражении и развертывании полезной нагрузки вредоносного ПО SPARKRAT, внедряя ее в экземпляр notepad.exe, чтобы избежать обнаружения.

Инъекции процессов остаются распространенной тактикой уклонения, несмотря на усилия средств обнаружения по противодействию им.

SPARKRAT, первоначально инструмент удаленного администрирования с открытым исходным кодом, созданный разработчиком XZB-1248, теперь злонамеренно используется в кампаниях, подобных "DRAGONSPARK", нацеленных на организации в Восточной Азии.

Способность SPARKRAT интерпретировать исходный код Golang во время выполнения усложняет усилия по обнаружению и смягчению последствий для исследователей безопасности.

Компания Kroll обнаружила образцы погрузчиков LESLIELOADER, содержащие конфигурации Cobalt Strike и другие полезные нагрузки, что свидетельствует о универсальности погрузчика, выходящей за рамки использования SPARKRAT.

В конкретном инциденте dll-файл ntmssvc.dll попытался установить соединение с определенным IP-адресом во время выполнения, что было предотвращено путем перезаписи указателя инструкции.

Анализируя фрагменты шелл-кода и отслеживая процесс внедрения финальной полезной нагрузки SPARKRAT, Kroll смог понять сложные этапы, связанные с развертыванием вредоносного ПО.

Были обнаружены дополнительные образцы, связанные с загрузчиком, с индикаторами полезной нагрузки Cobalt Strike и внедрения шеллкода, что указывает на потенциально злонамеренные намерения.

Kroll активно участвует в текущих расследованиях и мониторинге для защиты организаций от развивающихся киберугроз.

#ParsedReport #CompletenessLow
18-03-2024

DGAMirai Nomi. Botnet Mirai Nomi using DGA

https://blog.xlab.qianxin.com/mirai-nomi

Report completeness: Low

Threats:
Mirai
Upx_tool
Endurance

ChatGPT TTPs:
do not use without manual check
T1483, T1027, T1573, T1036, T1095, T1041, T1105, T1489, T1070

IOCs:
File: 4
Hash: 2

Soft:
crontab

Algorithms:
aes, xor, md5, sha1, chacha20

Languages:
javascript

Platforms:
mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в марте 2024 года был обнаружен новый вариант ботнета Mirai под названием "Волшебным образом модифицирующий оболочку UPX", обладающий расширенными возможностями, такими как использование алгоритма генерации домена (DGA), нескольких алгоритмов шифрования и сложного механизма проверки для доступа к командам и контролю (C2) серверы. Этот вариант представляет значительную угрозу из-за его стойкости, расширенной функциональности для выполнения команд и необходимости для организаций и специалистов по безопасности быть готовыми к защите от такого продвинутого вредоносного ПО.
-----

В тексте описывается новый вариант Mirai, использующий алгоритм генерации домена (DGA), который был зарегистрирован в марте 2024 года. Этот конкретный вариант выделяется, поскольку варианты Mirai на основе DGA обычно не встречаются. Анализ показал, что этот вариант, предварительно названный "Волшебным образом модифицирующий оболочку UPX", обладает расширенными функциями, такими как использование DGA, зависящее от времени, несколько алгоритмов шифрования и механизм проверки.

Образец ELF этого варианта Mirai был получен из варианта Mirai LZRD с изменениями, включающими новые функции сохранения и возможности генерации доменных имен. Код в основном остался неизменным, за исключением модификаций оболочки UPX, включающих изменения в операции magic head и XOR. Доменные имена, сгенерированные DGA, предназначены для использования в качестве серверов командования и контроля (C2). Однако конечный адрес сервера C2 не получается напрямую, а требует сложного процесса, включающего запрос к нескольким общедоступным DNS-серверам и шаги дешифрования с использованием AES-256-CBC.

Чтобы проверить доступность сервера C2, автор реализовал механизм проверки, включающий генерацию контрольного кода на основе доменного имени и подключение к расшифрованному серверу C2. Функции этого варианта скрипта выходят за рамки типичных сценариев загрузки Mirai, включая такие функции, как удаление файлов, завершение процесса, проверка выполнения и механизмы обратной связи.

Таким образом, этот новый вариант Mirai демонстрирует сложность благодаря использованию DGA, нескольких алгоритмов шифрования и сложного процесса проверки для доступа к серверу C2. Постоянный характер вредоносного ПО, наряду с его расширенной функциональностью для выполнения различных команд, представляет значительную угрозу сетям и устройствам, на которые нацелен этот развивающийся вид ботнета Mirai. Организациям и специалистам по безопасности необходимо быть бдительными и готовыми к защите от таких продвинутых вредоносных программ, чтобы обеспечить безопасность и целостность своих систем.

#ParsedReport #CompletenessLow
18-03-2024

Analysis of Stealer Logs within the Entertainment Industry

https://socradar.io/analysis-of-stealer-logs-within-entertainment-industry

Report completeness: Low

Actors/Campaigns:
Lulzsec

Threats:
Havoc
Meta_stealer
Redline_stealer
Magnitude

Industry:
Petroleum, Financial, Entertainment, Education

Geo:
Morocco, Argentina, Russian, Mayotte, Ukraine, Colombia, Italy, France, Brazil

ChatGPT TTPs:
do not use without manual check
T1589, T1114, T1566, T1595, T1583, T1110, T1087, T1547, T1560

Soft:
Gmail, Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В этом тексте обсуждается угроза, которую представляют вредоносные программы stealer для индустрии развлечений, особенно нацеленные на такие веб-сайты, как Gamespot и Netflix. В нем объясняется, как журналы stealer, содержащие украденную информацию, такую как номера платежных карт и учетные данные пользователей, используются для кибератак, мошенничества и незаконной торговли на темных веб-форумах. В тексте также подчеркивается важность активного анализа и нейтрализации этих угроз с использованием таких инструментов, как модуль поиска угроз SOCRadar, а также внедрения мер безопасности, таких как многофакторная аутентификация и обучение сотрудников для эффективной борьбы с вредоносными программами-похитителями.
-----

Журналы Stealer - это базы данных, содержащие украденную информацию, такую как номера платежных карт и учетные данные пользователей, собранные вредоносной программой infostealer. Эти данные затем используются для мошенничества и первоначального доступа при кибератаках. Украденной информацией часто незаконно торгуют на темных веб-форумах, что представляет значительную угрозу для отраслей, включая сектор развлечений. Для устранения этих угроз SOCRadar предлагает модуль поиска угроз, который позволяет защитникам анализировать логи похитителей и превентивно нейтрализовывать угрозы.

Индустрия развлечений, охватывающая различные медиа-формы, такие как фильмы, музыка и платформы онлайн-трансляции, является главной мишенью для киберугроз, включая вредоносные программы-похитители. Наличие журналов-похитителей указывает на нарушения безопасности, потенциально раскрывающие конфиденциальную информацию, которая может быть использована для получения финансовой выгоды или злонамеренных действий. Исследования показали, что развлекательные сайты, такие как Gamespot и Netflix, часто становятся мишенями киберпреступников, стремящихся украсть информацию о пользователях.

Анализ логов stealer из 143 доменов, связанных с вредоносными программами, такими как Redline Stealer и Meta Stealer, выявил тенденции в индустрии развлечений. Gamespot и Netflix были среди доменов, подвергшихся атаке, что указывает на значительное количество скомпрометированных пользовательских данных. Журналы также выявили географическое распределение скомпрометированных данных: такие страны, как Майотта, Бразилия и Украина, наиболее подвержены киберугрозам.

Адреса электронной почты, данные кредитной карты и хэшированная информация были среди типов данных, обнаруженных в журналах stealer, причем Gmail был наиболее целевым доменом почтовой службы. Информация о кредитной карте и хэшированная информация присутствовали в значительном количестве журналов, что создавало риски финансового мошенничества и несанкционированного доступа. Чтобы смягчить угрозы вредоносных программ-похитителей, организациям рекомендуется усилить меры безопасности данных, контролировать доступ сотрудников и повышать осведомленность с помощью программ обучения безопасности.

Внедрение многофакторной аутентификации, обеспечение обновлений программного обеспечения, изоляция зараженных систем и уделение особого внимания обучению сотрудников являются важнейшими шагами в борьбе с вредоносными программами-похитителями. Служба мониторинга темной сети SOCRadar может помочь обнаружить скомпрометированную личную информацию, предоставляя оповещения в режиме реального времени для защиты от кражи личных данных и мошенничества. Оставаясь в курсе последних тенденций в области кибербезопасности и используя инструменты анализа угроз, такие как модуль поиска угроз SOCRadar, организации могут повысить уровень своей кибербезопасности и защититься от кибератак, нацеленных на индустрию развлечений.

Один неудачно загруженный в online-песок скрипт и ваш API-KEY останется в отчете песочницы. Будьте внимательны.

#ParsedReport #CompletenessLow
18-03-2024

AsukaStealer: The Next Chapter in ObserverStealer s Story

https://any.run/cybersecurity-blog/asukastealer-malware-analysis

Report completeness: Low

Threats:
Asukastealer
Observerstealer
White_snake
Terminator_tool

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1012, T1555, T1113, T1056, T1573

IOCs:
Hash: 4
File: 13
Path: 1

Soft:
Telegram, Google Chrome, Chrome

Algorithms:
sha256, md5, aes-256, base64, xor

Win API:
GetCurrentHwProfileA, GetNativeSystemInfo, GetUserDefaultLangID, GetUserNameW, EnumDisplayDevicesW, CreateToolhelp32Snapshot, Process32FirstW, GetDC, CreateCompatibleDC, GetDeviceCaps, have more...

Platforms:
intel

Links:
https://gist.github.com/RussianPanda95/c39a2954db693d50a097709228d22ee2
https://github.com/RussianPanda95/Yara-Rules/blob/main/AsukaStealer/mal\_asuka\_stealer.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ нового штамма вредоносного ПО под названием AsukaStealer, который продается за 80 долларов в месяц физическим лицом, ранее связанным с ObserverStealer. Анализ фокусируется на сходствах и различиях между двумя похитителями, особенно в их методах шифрования, методах сбора данных и тактике уклонения. В нем также обсуждается потенциальный ребрендинг ObserverStealer как AsukaStealer и освещается использование платформы ANY.RUN для анализа вредоносных программ.
-----

Анна Фам, известная как RussianPanda, старший исследователь по анализу угроз и приглашенный автор блога ANY.RUN, провела исследование AsukaStealer, которое было объявлено о продаже по цене 80 долларов в месяц физическим лицом под ником breakcore 19 мая 2023 года. AsukaStealer, разработанный на C++, предлагает возможности для развертывания дополнительных полезных нагрузок, настройки параметров FileGrabber и отправки журналов через Telegram. Ранее Breakcore продавала ObserverStealer до июля 2023 года, получив отрицательные отзывы. Этот анализ направлен на определение того, является ли AsukaStealer ребрендингом ObserverStealer.

AsukaStealer с хэшем MD5 32583272b5b5bd95e770661438b41daf - это программа на C++ с незашифрованной полезной нагрузкой размером около 440 КБ. При анализе в ANY.RUN было отмечено сходство с ObserverStealer, в частности, в кодировке base64 и шестнадцатеричных значениях. AsukaStealer использует шифрование XOR для адресов C2, используя определенный ключ для шифрования. Он отправляет системную информацию и установленные приложения на сервер C2, получая такие сведения, как профили оборудования, названия продуктов операционной системы, языковые предпочтения пользователя, архитектура системы и установленные приложения. Кроме того, он сканирует на наличие определенных процессов, таких как Telegram.exe и steam.exe, собирая соответствующие файлы, связанные с Steam Desktop Authenticator, и отправляя их на сервер для дальнейшей расшифровки.

При первоначальном заражении AsukaStealer извлекает уникальный идентификатор X-сеанса с сервера C2 для дальнейшей связи. Конфигурация stealer также получена с сервера C2 посредством специальных вызовов API. ObserverStealer и AsukaStealer имеют сходство в том, как они извлекают конфигурации, но различаются в своем подходе к анализу данных. ObserverStealer загружает DLL-зависимости для расшифровки данных на хосте, в то время как AsukaStealer выбирает операции на стороне сервера, сокращая свой цифровой след и избегая обнаружения.

AsukaStealer отличается от ObserverStealer тем, что устраняет необходимость во внешних зависимостях DLL, предпочитая операции на стороне сервера для анализа и дешифрования данных. Ребрендинг ObserverStealer как AsukaStealer, вероятно, связан с негативными отзывами и стремлением разработчиков улучшить stealer, основываясь на прошлой критике.

#ParsedReport #CompletenessLow
19-03-2024

Suspicious Text Messages Alert

https://labs.k7computing.com/index.php/suspicious-text-messages-alert

Report completeness: Low

Threats:
Cashback

Industry:
Financial

Geo:
Indian

IOCs:
File: 1
Hash: 1
Domain: 1

Soft:
Android

#ParsedReport #CompletenessHigh
18-03-2024

Securonix Threat Research Security Advisory: Analysis of New DEEP#GOSU Attack Campaign Likely Associated with North Korean Kimsuky Targeting Victims with Stealthy Malware

https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-deepgosu-attack-campaign

Report completeness: High

Actors/Campaigns:
Deep_gosu
Kimsuky
Darkpink

Threats:
Trurat
Tutclient_tool
Xrat_rat

Victims:
South korean victims, Korean airlines ceo choi hyun

Industry:
Aerospace

Geo:
Asia-pacific, Korean

TTPs:
Tactics: 7
Technics: 21

IOCs:
File: 14
Url: 4
Path: 1
Command: 2
Domain: 1
Hash: 8

Soft:
NET framework, Internet Explorer, Google Chrome, Windows Powershell

Algorithms:
base64, zip, gzip, aes

Functions:
GetWindowText

Win API:
decompress, messagebox, GetAsyncKeyState, GetClipboardSequenceNumber, GetForegroundWindow, GetTickCount

Languages:
visual_basic, powershell

Platforms:
x86

Links:
https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client/blob/master/TutClient/Program.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз Securonix обнаружила сложную многоэтапную кампанию атак, связанную с северокорейской группой Kimsuky, известной как DEEP#GOSU. Эта кампания использует этапы PowerShell и VBScript для скрытого заражения систем, используя RAT для управления, фоновые скрипты для сохранения и скрывая связь C2 через такие сервисы, как Dropbox. Вредоносная программа проникает в системы через замаскированные вложения электронной почты, выполняет сложные функции с помощью команд PowerShell, загружает дополнительный вредоносный код и использует расширенные графические возможности. Атака проходит различные этапы, демонстрируя такие возможности, как шифрование данных, эксфильтрация и непрерывный контроль над скомпрометированными системами.
-----

Исследовательская группа Securonix по изучению угроз выявила сложную многоэтапную кампанию атак, вероятно, связанную с северокорейской группой Kimsuky, обозначенной как DEEP#GOSU. Эта кампания предполагает переход к новой цепочке атак на основе сценариев с использованием этапов PowerShell и VBScript для скрытого заражения систем. Участники угрозы используют троян удаленного доступа (RAT) для полного контроля над скомпрометированными хостами, а также фоновые сценарии для сохранения и мониторинга. Связь C2 скрывается с помощью легальных сервисов, таких как Dropbox, чтобы избежать обнаружения, что позволяет выполнять динамические обновления и развертывание дополнительных модулей. Вредоносное ПО проникает в системы через вредоносные вложения электронной почты, содержащие замаскированный файл с расширением .lnk.

Метод выполнения кода в DEEP#GOSU включает в себя длинную команду PowerShell в файле быстрого доступа, предназначенную для выполнения сложных функций и извлечения встроенных файлов. Этот скрипт загружает дополнительный вредоносный код из Интернета, запускает документ PDF-приманки и запускает полезную нагрузку следующего этапа из Dropbox. Последующий этап включает загрузку и выполнение скрипта PowerShell.ЧИСТЫЙ ассемблерный код из Dropbox, обеспечивающий расширенные графические возможности. Программа RAT, известная как TruRat, TutRat или C# R.A.T., загружается в память, облегчая различные вредоносные действия, избегая при этом традиционного обнаружения антивирусом за счет выполнения без файлов.

Дальнейшие этапы включают создание и выполнение файла PowerShell на диске для систем под управлением Windows 10 или более поздней версии с использованием WMI для обеспечения сохраняемости и традиционных признаков вредоносного ПО. Скрипт PowerShell получает URL-адреса Google Docs для динамической выборки данных конфигурации для подключений к Dropbox, повышая скрытность и уменьшая возможности обнаружения. Дополнительные скрипты PowerShell выполняют расшифрованный контент непосредственно в памяти для дальнейших вредоносных действий.

Вредоносная программа проходит различные этапы, анализируя системы-жертвы, отправляя POST-запросы на отправку результатов подсчета и обеспечивая связь с сервером управления через Dropbox. Сценарии демонстрируют сложные возможности, такие как шифрование и эксфильтрация данных, шифрование/дешифрование AES, одноэлементное выполнение на основе мьютекса, переменные интервалы подключения к сети, мониторинг содержимого буфера обмена и непрерывный контроль над зараженными системами.

#ParsedReport #CompletenessLow
18-03-2024

Mirai Nomi: A Botnet Leveraging DGA. Overview

https://blog.xlab.qianxin.com/mirai-nomi-en

Report completeness: Low

Threats:
Mirai
Upx_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1568.002, T1027, T1041, T1571, T1553.002, T1486, T1070.004, T1057

IOCs:
File: 3
Hash: 3
IP: 1

Soft:
crontab

Algorithms:
aes-256-cbc, chacha20, sha1, xor, md5, aes, exhibit

Languages:
javascript

Platforms:
mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4