CTT Report Hub
#ParsedReport #CompletenessMedium 20-03-2024 LockBit 4.0? - An Update on the LockBit Ransomware Group https://explore.avertium.com/resource/lockbit-4-0-an-update-on-the-ransomware-group Report completeness: Medium Threats: Lockbit Mpress_tool Akira_ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа программ-вымогателей LockBit была вовлечена во вредоносную деятельность по всему миру, нацеливаясь на организации и накапливая значительные суммы выкупа. Несмотря на вмешательство правоохранительных органов, LockBit продолжает свои атаки, и в настоящее время возникают опасения по поводу потенциального появления новой версии их вредоносного ПО. Организациям рекомендуется активно защищать себя от угроз программ-вымогателей, внедряя надежные меры безопасности и сотрудничая с надежными поставщиками кибербезопасности.
-----
Avertium внимательно следит за вредоносной деятельностью LockBit, плодовитой группы программ-вымогателей, которая нацелена на организации по всему миру, в том числе в таких странах, как США, Великобритания, Германия, Китай и других. Жертвами LockBit стали более 2000 организаций, накопив выплаты выкупа, превышающие 120 миллионов долларов, и выдвинув требования на общую сумму еще в сотни миллионов. Несмотря на перебои со стороны правоохранительных органов, LockBit продолжала свои атаки до февраля 2024 года. В то время Национальное агентство по борьбе с преступностью Великобритании в сотрудничестве с международными партнерами нарушило работу LockBit, захватив контроль над серверами и общедоступными веб-сайтами, используемыми администраторами.
Это вмешательство серьезно ограничило способность LockBit атаковать сети, шифровать их и вымогать деньги у жертв. Однако возникли опасения, что LockBit, возможно, разработала новую версию своей вредоносной программы для шифрования файлов, что потенциально может привести к появлению LockBit 4.0. LockBit - это программа-вымогатель как услуга (RaaS), которая на протяжении многих лет подвергалась ребрендингу, при этом такие версии, как LockBit 2.0 и LockBit 3.0, демонстрируют разные характеристики. тактика и нацеливание на различные секторы, включая BFSI.
У LockBit есть история тщательной разведки своих целей, что видно по атакам на такие значимые организации, как Accenture, Thales, Boeing и EquiLend Holdings. Группа известна ребрендингом и развитием своих методов обхода средств защиты и запуска сложных атак. Недавние действия LockBit включают в себя нацеливание на такие организации, как Pendragon, Oomiya, Kingfisher Insurance и Thales, требуя крупных выкупов и угрожая утечкой украденных данных, если требования не будут выполнены.
LockBit столкнулась со значительными проблемами из-за действий правоохранительных органов, таких как операция Cronos, которые нарушили их работу и ограничили их способность продолжать свою незаконную деятельность. Проведенный Trend Micro анализ последней версии LockBit, LockBit-NG-Dev или LockBit 4.0, раскрывает технические подробности о новом шифровальщике, включая режимы шифрования, возможности и параметры конфигурации. Несмотря на технические достижения, вмешательство правоохранительных органов нанесло серьезный удар по операторам LockBit, затруднив им возобновление своей незаконной деятельности.
Red Sense считает, что шансы LockBit на восстановление своей инфраструктуры невелики из-за технических ограничений и ухода ключевого персонала. Упадок группы еще больше подчеркивается потерей их блога и включением членов LockBit в список OFAC. Сохраняются опасения по поводу потенциальных финансовых спонсоров и будущих действий группы, высказываются предположения, что LockBit может прибегнуть к сбросу старых данных после удаления. В целом будущее LockBit остается неопределенным, а сообщество кибербезопасности сохраняет бдительность в отношении любого потенциального возрождения или новой тактики.
Организациям рекомендуется проявлять инициативу в защите от программ-вымогателей, таких как LockBit, внедряя надежные меры безопасности и сотрудничая с надежными поставщиками услуг кибербезопасности, такими как Avertium. Опережая потенциальные атаки и будучи готовыми, организации могут снизить риски, связанные с программами-вымогателями и другими киберугрозами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что группа программ-вымогателей LockBit была вовлечена во вредоносную деятельность по всему миру, нацеливаясь на организации и накапливая значительные суммы выкупа. Несмотря на вмешательство правоохранительных органов, LockBit продолжает свои атаки, и в настоящее время возникают опасения по поводу потенциального появления новой версии их вредоносного ПО. Организациям рекомендуется активно защищать себя от угроз программ-вымогателей, внедряя надежные меры безопасности и сотрудничая с надежными поставщиками кибербезопасности.
-----
Avertium внимательно следит за вредоносной деятельностью LockBit, плодовитой группы программ-вымогателей, которая нацелена на организации по всему миру, в том числе в таких странах, как США, Великобритания, Германия, Китай и других. Жертвами LockBit стали более 2000 организаций, накопив выплаты выкупа, превышающие 120 миллионов долларов, и выдвинув требования на общую сумму еще в сотни миллионов. Несмотря на перебои со стороны правоохранительных органов, LockBit продолжала свои атаки до февраля 2024 года. В то время Национальное агентство по борьбе с преступностью Великобритании в сотрудничестве с международными партнерами нарушило работу LockBit, захватив контроль над серверами и общедоступными веб-сайтами, используемыми администраторами.
Это вмешательство серьезно ограничило способность LockBit атаковать сети, шифровать их и вымогать деньги у жертв. Однако возникли опасения, что LockBit, возможно, разработала новую версию своей вредоносной программы для шифрования файлов, что потенциально может привести к появлению LockBit 4.0. LockBit - это программа-вымогатель как услуга (RaaS), которая на протяжении многих лет подвергалась ребрендингу, при этом такие версии, как LockBit 2.0 и LockBit 3.0, демонстрируют разные характеристики. тактика и нацеливание на различные секторы, включая BFSI.
У LockBit есть история тщательной разведки своих целей, что видно по атакам на такие значимые организации, как Accenture, Thales, Boeing и EquiLend Holdings. Группа известна ребрендингом и развитием своих методов обхода средств защиты и запуска сложных атак. Недавние действия LockBit включают в себя нацеливание на такие организации, как Pendragon, Oomiya, Kingfisher Insurance и Thales, требуя крупных выкупов и угрожая утечкой украденных данных, если требования не будут выполнены.
LockBit столкнулась со значительными проблемами из-за действий правоохранительных органов, таких как операция Cronos, которые нарушили их работу и ограничили их способность продолжать свою незаконную деятельность. Проведенный Trend Micro анализ последней версии LockBit, LockBit-NG-Dev или LockBit 4.0, раскрывает технические подробности о новом шифровальщике, включая режимы шифрования, возможности и параметры конфигурации. Несмотря на технические достижения, вмешательство правоохранительных органов нанесло серьезный удар по операторам LockBit, затруднив им возобновление своей незаконной деятельности.
Red Sense считает, что шансы LockBit на восстановление своей инфраструктуры невелики из-за технических ограничений и ухода ключевого персонала. Упадок группы еще больше подчеркивается потерей их блога и включением членов LockBit в список OFAC. Сохраняются опасения по поводу потенциальных финансовых спонсоров и будущих действий группы, высказываются предположения, что LockBit может прибегнуть к сбросу старых данных после удаления. В целом будущее LockBit остается неопределенным, а сообщество кибербезопасности сохраняет бдительность в отношении любого потенциального возрождения или новой тактики.
Организациям рекомендуется проявлять инициативу в защите от программ-вымогателей, таких как LockBit, внедряя надежные меры безопасности и сотрудничая с надежными поставщиками услуг кибербезопасности, такими как Avertium. Опережая потенциальные атаки и будучи готовыми, организации могут снизить риски, связанные с программами-вымогателями и другими киберугрозами.
#ParsedReport #CompletenessMedium
19-03-2024
Malicious code disguised as installation files of domestic public institutions (Kimsuky group)
https://asec.ahnlab.com/ko/62117
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Steal-it
Threats:
Trollagent
Endoor
Spear-phishing_technique
Nikidoor
Mimikatz_tool
Appleseed
Backdoor/win.kimgoback.c5385331
Geo:
Korea, China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1204, T1547, T1112, T1059, T1071, T1027, T1553, T1140, T1564, have more...
IOCs:
File: 8
Url: 8
Domain: 1
Path: 1
Hash: 5
Soft:
task scheduler, Curl
Algorithms:
md5, zip
19-03-2024
Malicious code disguised as installation files of domestic public institutions (Kimsuky group)
https://asec.ahnlab.com/ko/62117
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Steal-it
Threats:
Trollagent
Endoor
Spear-phishing_technique
Nikidoor
Mimikatz_tool
Appleseed
Backdoor/win.kimgoback.c5385331
Geo:
Korea, China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1204, T1547, T1112, T1059, T1071, T1027, T1553, T1140, T1564, have more...
IOCs:
File: 8
Url: 8
Domain: 1
Path: 1
Hash: 5
Soft:
task scheduler, Curl
Algorithms:
md5, zip
ASEC
국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) - ASEC
국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹) ASEC
CTT Report Hub
#ParsedReport #CompletenessMedium 19-03-2024 Malicious code disguised as installation files of domestic public institutions (Kimsuky group) https://asec.ahnlab.com/ko/62117 Report completeness: Medium Actors/Campaigns: Kimsuky Steal-it Threats: Trollagent…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Группа Kimsuky распространяет вредоносное ПО, замаскированное под установщики, для корейских государственных учреждений, уделяя особое внимание вредоносному ПО-дропперу, известному как "TrollAgent". Эта вредоносная программа заражает системы во время установки программ безопасности и сопровождается вредоносным ПО с бэкдором Endoor, которое облегчает дальнейшие вредоносные действия, такие как загрузка дополнительных вредоносных программ и захват скриншотов. Злоумышленники используют законные сертификаты для повышения доверия к вредоносному ПО, а Endoor способен передавать системную информацию и выполнять различные функции. Тактика группы Kimsuky подчеркивает необходимость повышенной бдительности, и пользователям рекомендуется обновить программное обеспечение безопасности, чтобы снизить риск заражения.
-----
Kimsuky group распространяет вредоносное ПО, замаскированное под установщики для корейских государственных учреждений, используя дроппер, известный как "TrollAgent", который заражает системы во время установки программ безопасности.
В этих атаках используется вредоносное ПО с бэкдором Endoor, используемое для загрузки дополнительного вредоносного ПО или захвата скриншотов.
Endoor распространяется в рамках кампаний по борьбе с фишингом, имеет сходство с TrollAgent и способен передавать системную информацию и выполнять различные функции.
Вредоносная программа маскируется под законные установочные файлы с действительным сертификатом от отечественной компании, что повышает доверие.
Метод установки Endoor остается неподтвержденным, но он связан с инфраструктурой ASD и был обновлен для включения различных двоичных файлов.
Endoor использует бесплатный доменный адрес Ngrok в качестве сервера C&C, и в феврале и марте 2024 года было подтверждено несколько случаев его использования.
Наличие вредоносных программ-бэкдоров, таких как Endoor и AppleSeed, представляет значительную угрозу, позволяя красть конфиденциальную информацию и выполнять вредоносные команды.
Вредоносное ПО, связанное с группой Kimsuky, часто включает термин "Niki" в строки пути PDB.
Пользователям рекомендуется обновить свое программное обеспечение безопасности, например версию 3, чтобы снизить риск заражения вредоносными программами.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: Группа Kimsuky распространяет вредоносное ПО, замаскированное под установщики, для корейских государственных учреждений, уделяя особое внимание вредоносному ПО-дропперу, известному как "TrollAgent". Эта вредоносная программа заражает системы во время установки программ безопасности и сопровождается вредоносным ПО с бэкдором Endoor, которое облегчает дальнейшие вредоносные действия, такие как загрузка дополнительных вредоносных программ и захват скриншотов. Злоумышленники используют законные сертификаты для повышения доверия к вредоносному ПО, а Endoor способен передавать системную информацию и выполнять различные функции. Тактика группы Kimsuky подчеркивает необходимость повышенной бдительности, и пользователям рекомендуется обновить программное обеспечение безопасности, чтобы снизить риск заражения.
-----
Kimsuky group распространяет вредоносное ПО, замаскированное под установщики для корейских государственных учреждений, используя дроппер, известный как "TrollAgent", который заражает системы во время установки программ безопасности.
В этих атаках используется вредоносное ПО с бэкдором Endoor, используемое для загрузки дополнительного вредоносного ПО или захвата скриншотов.
Endoor распространяется в рамках кампаний по борьбе с фишингом, имеет сходство с TrollAgent и способен передавать системную информацию и выполнять различные функции.
Вредоносная программа маскируется под законные установочные файлы с действительным сертификатом от отечественной компании, что повышает доверие.
Метод установки Endoor остается неподтвержденным, но он связан с инфраструктурой ASD и был обновлен для включения различных двоичных файлов.
Endoor использует бесплатный доменный адрес Ngrok в качестве сервера C&C, и в феврале и марте 2024 года было подтверждено несколько случаев его использования.
Наличие вредоносных программ-бэкдоров, таких как Endoor и AppleSeed, представляет значительную угрозу, позволяя красть конфиденциальную информацию и выполнять вредоносные команды.
Вредоносное ПО, связанное с группой Kimsuky, часто включает термин "Niki" в строки пути PDB.
Пользователям рекомендуется обновить свое программное обеспечение безопасности, например версию 3, чтобы снизить риск заражения вредоносными программами.
#ParsedReport #CompletenessLow
20-03-2024
Attributing I-SOON: Private Contractor Linked to Multiple Chinese State-sponsored Groups
https://www.recordedfuture.com/attributing-i-soon-private-contractor-linked-chinese-state-sponsored-groups
Report completeness: Low
Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage)
Earth_empusa (motivation: cyber_espionage)
Redhotel (motivation: cyber_espionage)
Threats:
Redalpha
Victims:
Anxun information technology co., ltd. (i-soon)
Industry:
Telco
Geo:
China, Chinese
ChatGPT TTPs:
T1583, T1584, T1595, T1608, T0842
IOCs:
Domain: 24
Email: 11
IP: 7
20-03-2024
Attributing I-SOON: Private Contractor Linked to Multiple Chinese State-sponsored Groups
https://www.recordedfuture.com/attributing-i-soon-private-contractor-linked-chinese-state-sponsored-groups
Report completeness: Low
Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage)
Earth_empusa (motivation: cyber_espionage)
Redhotel (motivation: cyber_espionage)
Threats:
Redalpha
Victims:
Anxun information technology co., ltd. (i-soon)
Industry:
Telco
Geo:
China, Chinese
ChatGPT TTPs:
do not use without manual checkT1583, T1584, T1595, T1608, T0842
IOCs:
Domain: 24
Email: 11
IP: 7
CTT Report Hub
#ParsedReport #CompletenessLow 20-03-2024 Attributing I-SOON: Private Contractor Linked to Multiple Chinese State-sponsored Groups https://www.recordedfuture.com/attributing-i-soon-private-contractor-linked-chinese-state-sponsored-groups Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что результаты исследования Insikt Group раскрывают утечку i-SOON, связывающую китайскую компанию по ИТ и кибербезопасности с финансируемой государством деятельностью по кибершпионажу, в частности с участием таких групп, как RedAlpha, RedHotel и POISON CARP. Эта сложная сеть шпионских операций сосредоточена вокруг кражи телекоммуникационных данных для отслеживания отдельных лиц, выявления организационных и оперативных связей между i-SOON и этими группами кибершпионажа. Утечка информации дает защитникам сетей ценные разведданные, позволяющие понять мотивы и методологии целевых кампаний кибершпионажа. Несмотря на разоблачение, ожидается, что i-SOON продолжит свою деятельность с корректировками, что потенциально приведет к юридическим последствиям и более глубокому пониманию усилий Китая по кибершпионажу. Текущие разработки в области домена и инфраструктуры, связанные с группами, связанными с i-SOON, подчеркивают необходимость постоянной бдительности и принятия упреждающих мер кибербезопасности против спонсируемых государством угроз из Китая.
-----
Новые результаты исследования Insikt Group пролили свет на недавнюю утечку i-SOON, произошедшую 18 февраля 2024 года. Утечка касалась документов Anxun Information Technology Co., Ltd. (i-SOON), китайской компании в области информационных технологий и кибербезопасности, и раскрыла спонсируемую государством деятельность Китая по кибершпионажу. Ключевые разоблачения утечки включают связи между i-SOON и спонсируемыми китайским государством кибергруппировками, такими как RedAlpha, RedHotel и POISON CARP. Это наводит на мысль о сложной сети шпионских операций, связанных с кражей телекоммуникационных данных для отслеживания отдельных лиц.
Проведенный Insikt Group анализ просочившихся материалов подтвердил оперативные и организационные связи между i-SOON и этими группами кибершпионажа, подчеркнув роль digital quartermasters в содействии совместному использованию кибервозможностей в рамках наступательной киберэкосистемы Китая. Информация, полученная в результате утечки, дает ценную информацию сетевым защитникам, позволяя им лучше понять мотивы и методологии целенаправленных кампаний кибершпионажа, нацеленных как на организации государственного, так и частного секторов.
Несмотря на утечку, i-SOON, которая является относительно небольшим игроком в более широкой сети частных подрядчиков Китая, занимающихся спонсируемой государством киберактивностью, как ожидается, продолжит свою деятельность с незначительными корректировками. Раскрытие этих связей может иметь последствия для будущих судебных исков, предпринятых США против персонала i-SOON, а также позволит глубже понять масштабы и изощренность усилий Китая по кибершпионажу.
С тех пор как произошла утечка, группа Insikt уже выявила новые домены и инфраструктурные разработки, связанные с группами, связанными с i-SOON, такими как RedAlpha и RedHotel. Эти события еще больше подчеркивают текущую деятельность этих субъектов угроз и подчеркивают необходимость постоянной бдительности и упреждающих мер кибербезопасности для борьбы с киберугрозами, спонсируемыми государством, исходящими из Китая.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что результаты исследования Insikt Group раскрывают утечку i-SOON, связывающую китайскую компанию по ИТ и кибербезопасности с финансируемой государством деятельностью по кибершпионажу, в частности с участием таких групп, как RedAlpha, RedHotel и POISON CARP. Эта сложная сеть шпионских операций сосредоточена вокруг кражи телекоммуникационных данных для отслеживания отдельных лиц, выявления организационных и оперативных связей между i-SOON и этими группами кибершпионажа. Утечка информации дает защитникам сетей ценные разведданные, позволяющие понять мотивы и методологии целевых кампаний кибершпионажа. Несмотря на разоблачение, ожидается, что i-SOON продолжит свою деятельность с корректировками, что потенциально приведет к юридическим последствиям и более глубокому пониманию усилий Китая по кибершпионажу. Текущие разработки в области домена и инфраструктуры, связанные с группами, связанными с i-SOON, подчеркивают необходимость постоянной бдительности и принятия упреждающих мер кибербезопасности против спонсируемых государством угроз из Китая.
-----
Новые результаты исследования Insikt Group пролили свет на недавнюю утечку i-SOON, произошедшую 18 февраля 2024 года. Утечка касалась документов Anxun Information Technology Co., Ltd. (i-SOON), китайской компании в области информационных технологий и кибербезопасности, и раскрыла спонсируемую государством деятельность Китая по кибершпионажу. Ключевые разоблачения утечки включают связи между i-SOON и спонсируемыми китайским государством кибергруппировками, такими как RedAlpha, RedHotel и POISON CARP. Это наводит на мысль о сложной сети шпионских операций, связанных с кражей телекоммуникационных данных для отслеживания отдельных лиц.
Проведенный Insikt Group анализ просочившихся материалов подтвердил оперативные и организационные связи между i-SOON и этими группами кибершпионажа, подчеркнув роль digital quartermasters в содействии совместному использованию кибервозможностей в рамках наступательной киберэкосистемы Китая. Информация, полученная в результате утечки, дает ценную информацию сетевым защитникам, позволяя им лучше понять мотивы и методологии целенаправленных кампаний кибершпионажа, нацеленных как на организации государственного, так и частного секторов.
Несмотря на утечку, i-SOON, которая является относительно небольшим игроком в более широкой сети частных подрядчиков Китая, занимающихся спонсируемой государством киберактивностью, как ожидается, продолжит свою деятельность с незначительными корректировками. Раскрытие этих связей может иметь последствия для будущих судебных исков, предпринятых США против персонала i-SOON, а также позволит глубже понять масштабы и изощренность усилий Китая по кибершпионажу.
С тех пор как произошла утечка, группа Insikt уже выявила новые домены и инфраструктурные разработки, связанные с группами, связанными с i-SOON, такими как RedAlpha и RedHotel. Эти события еще больше подчеркивают текущую деятельность этих субъектов угроз и подчеркивают необходимость постоянной бдительности и упреждающих мер кибербезопасности для борьбы с киберугрозами, спонсируемыми государством, исходящими из Китая.
#ParsedReport #CompletenessMedium
20-03-2024
Android malware, Android malware and more Android malware
https://securelist.com/crimeware-report-android-malware/112121
Report completeness: Medium
Actors/Campaigns:
Triangulation
Threats:
Tambir
Godfather
Dwphon
Supply_chain_technique
Triada_trojan
Gigabud_rat
Dexguard_tool
Virbox_tool
Industry:
Retail, Financial, E-commerce, Aerospace
Geo:
Thailand, China, Peru, Chinese, Turkey, Asia, Russian, Turkish, Israeli
ChatGPT TTPs:
T1406, T1475, T1583, T1402, T1517, T1422, T1404, T1444, T1608, T1533, have more...
IOCs:
Hash: 9
Soft:
Android, Telegram
Algorithms:
exhibit
Languages:
kotlin
20-03-2024
Android malware, Android malware and more Android malware
https://securelist.com/crimeware-report-android-malware/112121
Report completeness: Medium
Actors/Campaigns:
Triangulation
Threats:
Tambir
Godfather
Dwphon
Supply_chain_technique
Triada_trojan
Gigabud_rat
Dexguard_tool
Virbox_tool
Industry:
Retail, Financial, E-commerce, Aerospace
Geo:
Thailand, China, Peru, Chinese, Turkey, Asia, Russian, Turkish, Israeli
ChatGPT TTPs:
do not use without manual checkT1406, T1475, T1583, T1402, T1517, T1422, T1404, T1444, T1608, T1533, have more...
IOCs:
Hash: 9
Soft:
Android, Telegram
Algorithms:
exhibit
Languages:
kotlin
Securelist
Kaspersky crimeware report: Android malware
In this report, we share our latest Android malware findings: the Tambir spyware, Dwphon downloader and Gigabud banking Trojan.
CTT Report Hub
#ParsedReport #CompletenessMedium 20-03-2024 Android malware, Android malware and more Android malware https://securelist.com/crimeware-report-android-malware/112121 Report completeness: Medium Actors/Campaigns: Triangulation Threats: Tambir Godfather…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в распространенности вредоносных атак на мобильные устройства в 2023 году, особенно на устройства Android, с акцентом на три конкретных экземпляра вредоносного ПО для Android - Tambir, Dwphon и Gigabud. Атаки включали в себя такие тактические приемы, как выдача себя за легальные приложения, нацеливание на определенные регионы и кража банковских учетных данных. Это также подчеркивает важность осведомленности пользователей и мер предосторожности для защиты от таких атак.
-----
В 2023 году на мобильных устройствах было заблокировано 33,8 миллиона вредоносных программ, рекламного ПО и рискованных программных продуктов, причем Android был самой популярной мишенью для киберпреступников. Одной из заметных атак была операция Triangulation на iOS, но Android оставался основным объектом внимания злоумышленников. В отчетах были выделены три конкретных экземпляра вредоносного ПО для Android:.
Тамбир: Этот Android-бэкдор был нацелен на пользователей в Турции, выдавая себя за приложение IPTV, в то время как на самом деле функционировал как шпионское ПО. Он собирал SMS-сообщения, нажатия клавиш и многое другое. Приложение запросило разрешение службы специальных возможностей на турецком языке, затем получило адрес C2 из таких источников, как Telegram или ICQ. Tambir мог выполнять более 30 команд, включая ввод с клавиатуры и отправку SMS-сообщений. Было отмечено сходство между Tambir и вредоносной программой GodFather, нацеленной на турецких пользователей и использующей Telegram для поиска C2.
Dwphon: Этот вариант вредоносного ПО был нацелен на мобильные телефоны китайских OEM-производителей, предназначенные для российского рынка. Он также был обнаружен в прошивке детских смарт-часов израильского производителя, продаваемых в Европе и на Ближнем Востоке. Dwphon появился как компонент приложения для обновления системы, собирающего информацию об устройстве и личную информацию, потенциально посредством атаки по цепочке поставок. Вредоносная программа содержала модули для сбора системной информации, данных устройства и включения других приложений. Некоторые образцы содержали троянца Triada, намекающего на связь между Dwphon и Triada.
Gigabud: Обнаруженная в начале 2023 года Android-крыса, в первую очередь нацеленная на кражу банковских учетных данных в Юго-Восточной Азии, прежде чем распространиться на другие страны, такие как Перу. Она маскировалась под приложение для местных авиакомпаний, а позже - под вредоносное ПО для поддельных займов. Написанный на Kotlin и замаскированный с помощью Dexguard и Virbox, Gigabud имитировал приложения компаний в Таиланде и Перу. Он крал учетные данные, отправляя их в C2 после имитации экранов входа в систему и отображал виртуального помощника, который помогал жертвам в подаче заявок на получение кредита. КРЫСА встроила модуль записи экрана и связалась с серверами C2 в Китае.
Кроме того, в 2023 году на Android было нацелено более 1,3 миллиона уникальных вредоносных установочных пакетов, распространяемых различными способами. Пользователям было рекомендовано избегать неофициальных рынков приложений, тщательно проверять разрешения приложений и использовать средства защиты от вредоносных программ для эффективной защиты своих устройств.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в распространенности вредоносных атак на мобильные устройства в 2023 году, особенно на устройства Android, с акцентом на три конкретных экземпляра вредоносного ПО для Android - Tambir, Dwphon и Gigabud. Атаки включали в себя такие тактические приемы, как выдача себя за легальные приложения, нацеливание на определенные регионы и кража банковских учетных данных. Это также подчеркивает важность осведомленности пользователей и мер предосторожности для защиты от таких атак.
-----
В 2023 году на мобильных устройствах было заблокировано 33,8 миллиона вредоносных программ, рекламного ПО и рискованных программных продуктов, причем Android был самой популярной мишенью для киберпреступников. Одной из заметных атак была операция Triangulation на iOS, но Android оставался основным объектом внимания злоумышленников. В отчетах были выделены три конкретных экземпляра вредоносного ПО для Android:.
Тамбир: Этот Android-бэкдор был нацелен на пользователей в Турции, выдавая себя за приложение IPTV, в то время как на самом деле функционировал как шпионское ПО. Он собирал SMS-сообщения, нажатия клавиш и многое другое. Приложение запросило разрешение службы специальных возможностей на турецком языке, затем получило адрес C2 из таких источников, как Telegram или ICQ. Tambir мог выполнять более 30 команд, включая ввод с клавиатуры и отправку SMS-сообщений. Было отмечено сходство между Tambir и вредоносной программой GodFather, нацеленной на турецких пользователей и использующей Telegram для поиска C2.
Dwphon: Этот вариант вредоносного ПО был нацелен на мобильные телефоны китайских OEM-производителей, предназначенные для российского рынка. Он также был обнаружен в прошивке детских смарт-часов израильского производителя, продаваемых в Европе и на Ближнем Востоке. Dwphon появился как компонент приложения для обновления системы, собирающего информацию об устройстве и личную информацию, потенциально посредством атаки по цепочке поставок. Вредоносная программа содержала модули для сбора системной информации, данных устройства и включения других приложений. Некоторые образцы содержали троянца Triada, намекающего на связь между Dwphon и Triada.
Gigabud: Обнаруженная в начале 2023 года Android-крыса, в первую очередь нацеленная на кражу банковских учетных данных в Юго-Восточной Азии, прежде чем распространиться на другие страны, такие как Перу. Она маскировалась под приложение для местных авиакомпаний, а позже - под вредоносное ПО для поддельных займов. Написанный на Kotlin и замаскированный с помощью Dexguard и Virbox, Gigabud имитировал приложения компаний в Таиланде и Перу. Он крал учетные данные, отправляя их в C2 после имитации экранов входа в систему и отображал виртуального помощника, который помогал жертвам в подаче заявок на получение кредита. КРЫСА встроила модуль записи экрана и связалась с серверами C2 в Китае.
Кроме того, в 2023 году на Android было нацелено более 1,3 миллиона уникальных вредоносных установочных пакетов, распространяемых различными способами. Пользователям было рекомендовано избегать неофициальных рынков приложений, тщательно проверять разрешения приложений и использовать средства защиты от вредоносных программ для эффективной защиты своих устройств.
#ParsedReport #CompletenessLow
20-03-2024
Python Ciphering : Delving into Evil Ants Ransomwares Tactics. Python Ciphering : Delving into Evil Ant s Ransomware s Tactics
https://labs.k7computing.com/index.php/python-ciphering-delving-into-evil-ants-ransomwares-tactics
Report completeness: Low
Threats:
Evil_ant
ChatGPT TTPs:
T1027, T1059, T1497, T1486, T1112, T1082, T1490, T1071
IOCs:
File: 1
Hash: 1
Email: 1
Coin: 1
Soft:
pyinstaller, Windows Defender, Telegram
Crypto:
bitcoin
Functions:
MAGIC, ALL, getlogin, bak, unlock
Win API:
ShellExecuteW
Languages:
powershell, python
20-03-2024
Python Ciphering : Delving into Evil Ants Ransomwares Tactics. Python Ciphering : Delving into Evil Ant s Ransomware s Tactics
https://labs.k7computing.com/index.php/python-ciphering-delving-into-evil-ants-ransomwares-tactics
Report completeness: Low
Threats:
Evil_ant
ChatGPT TTPs:
do not use without manual checkT1027, T1059, T1497, T1486, T1112, T1082, T1490, T1071
IOCs:
File: 1
Hash: 1
Email: 1
Coin: 1
Soft:
pyinstaller, Windows Defender, Telegram
Crypto:
bitcoin
Functions:
MAGIC, ALL, getlogin, bak, unlock
Win API:
ShellExecuteW
Languages:
powershell, python
K7 Labs
Python Ciphering : Delving into Evil Ant’s Ransomware’s Tactics
Recently we at K7Labs came across a tweet and analysed the Evil Ant ransomware sample mentioned in the tweet. Evil […]
CTT Report Hub
#ParsedReport #CompletenessLow 20-03-2024 Python Ciphering : Delving into Evil Ants Ransomwares Tactics. Python Ciphering : Delving into Evil Ant s Ransomware s Tactics https://labs.k7computing.com/index.php/python-ciphering-delving-into-evil-ants-ransomwares…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается поведение и функциональные возможности программы-вымогателя Evil Ant, подчеркивается использование языка программирования Python, скрытые операции, методы шифрования, особенности взаимодействия с пользователем и процесс дешифрования с использованием жестко закодированного ключа разблокировки.
-----
Недавно K7Labs наткнулась на твит, в котором упоминается программа-вымогатель Evil Ant, член группы программ-вымогателей, использующая Python в качестве языка программирования. Программа-вымогатель работает скрытно, скрывая окно консоли и запускаясь в фоновом режиме с помощью Windows DLL API. Чтобы избежать обнаружения, Evil Ant отключает защитник Windows с помощью команды PowerShell и проверяет наличие контролируемой среды, используя переменную окружения PROCESSOR_IDENTIFIER, прежде чем продолжить. При обнаружении на виртуальной машине программа-вымогатель завершает выполнение.
Evil Ant генерирует уникальный ключ, используя Fernet для шифрования файлов жертвы. Ключ создается и сохраняется в глобальной переменной методом MAGIC(), что облегчает его использование в других функциях. Функция ALL() сканирует и шифрует файлы в указанных каталогах на компьютере жертвы, в том числе в папке Users, извлекая текущее имя пользователя с помощью функции getlogin() из модуля os на Python. Шифрование выполняется с использованием библиотеки Fernet для криптографии.
Кроме того, программа-вымогатель включает в себя функции, направленные на привлечение внимания пользователя и посеяние паники. Он изменяет обои рабочего стола жертвы, отображает обратный отсчет в правом верхнем углу и включает кнопку "как купить биткоин", при нажатии на которую открывается ряд ссылок на Википедию с использованием библиотеки webbrowser на Python. Evil Ant также включает функцию дешифрования, но если процесс дешифрования прерывается из-за выключения системы, он завершается необратимым сбоем.
В случае оплаты жертва получает ключ разблокировки для расшифровки своих файлов. Этот ключ жестко закодирован злоумышленником в образце программы-вымогателя, и введенный пользователем ключ должен совпадать с жестко закодированным ключом для успешной расшифровки.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте описывается поведение и функциональные возможности программы-вымогателя Evil Ant, подчеркивается использование языка программирования Python, скрытые операции, методы шифрования, особенности взаимодействия с пользователем и процесс дешифрования с использованием жестко закодированного ключа разблокировки.
-----
Недавно K7Labs наткнулась на твит, в котором упоминается программа-вымогатель Evil Ant, член группы программ-вымогателей, использующая Python в качестве языка программирования. Программа-вымогатель работает скрытно, скрывая окно консоли и запускаясь в фоновом режиме с помощью Windows DLL API. Чтобы избежать обнаружения, Evil Ant отключает защитник Windows с помощью команды PowerShell и проверяет наличие контролируемой среды, используя переменную окружения PROCESSOR_IDENTIFIER, прежде чем продолжить. При обнаружении на виртуальной машине программа-вымогатель завершает выполнение.
Evil Ant генерирует уникальный ключ, используя Fernet для шифрования файлов жертвы. Ключ создается и сохраняется в глобальной переменной методом MAGIC(), что облегчает его использование в других функциях. Функция ALL() сканирует и шифрует файлы в указанных каталогах на компьютере жертвы, в том числе в папке Users, извлекая текущее имя пользователя с помощью функции getlogin() из модуля os на Python. Шифрование выполняется с использованием библиотеки Fernet для криптографии.
Кроме того, программа-вымогатель включает в себя функции, направленные на привлечение внимания пользователя и посеяние паники. Он изменяет обои рабочего стола жертвы, отображает обратный отсчет в правом верхнем углу и включает кнопку "как купить биткоин", при нажатии на которую открывается ряд ссылок на Википедию с использованием библиотеки webbrowser на Python. Evil Ant также включает функцию дешифрования, но если процесс дешифрования прерывается из-за выключения системы, он завершается необратимым сбоем.
В случае оплаты жертва получает ключ разблокировки для расшифровки своих файлов. Этот ключ жестко закодирован злоумышленником в образце программы-вымогателя, и введенный пользователем ключ должен совпадать с жестко закодированным ключом для успешной расшифровки.
#ParsedReport #CompletenessLow
20-03-2024
Tax scammer goes after small business owners and self-employed people
https://www.malwarebytes.com/blog/uncategorized/2024/03/tax-scammer-goes-after-small-business-owners-and-self-employed-people
Report completeness: Low
Threats:
Phisher
Victims:
Self-employed individuals, Small business owners
Industry:
Financial, Government
ChatGPT TTPs:
T1566, T1595, T1589, T1606
IOCs:
Email: 1
Soft:
audacity
20-03-2024
Tax scammer goes after small business owners and self-employed people
https://www.malwarebytes.com/blog/uncategorized/2024/03/tax-scammer-goes-after-small-business-owners-and-self-employed-people
Report completeness: Low
Threats:
Phisher
Victims:
Self-employed individuals, Small business owners
Industry:
Financial, Government
ChatGPT TTPs:
do not use without manual checkT1566, T1595, T1589, T1606
IOCs:
Email: 1
Soft:
audacity
Malwarebytes
Tax scammer goes after small business owners and self-employed people | Malwarebytes
We found a tax scammer that set up a fake website where targets could apply for an Employer Identification Number.
CTT Report Hub
#ParsedReport #CompletenessLow 20-03-2024 Tax scammer goes after small business owners and self-employed people https://www.malwarebytes.com/blog/uncategorized/2024/03/tax-scammer-goes-after-small-business-owners-and-self-employed-people Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - о недавней налоговой афере, нацеленной на самозанятых и владельцев малого бизнеса, когда мошенники рассылают обманчивые электронные письма с инструкциями получателям быстро подать заявку на получение идентификационного номера работодателя в Налоговой службе США (EIN). В нем предупреждается о рисках кражи личных данных и мошенничества, которые могут возникнуть, если отдельные лица воспользуются этими мошенническими электронными письмами, и подчеркивается важность бдительности, осторожности и упреждающих мер для защиты безопасности персональных данных.
-----
В тексте освещается недавняя афера, связанная с налогообложением, когда мошенники нацелены на самозанятых и владельцев малого бизнеса, отправляя электронные письма с инструкциями получателям быстро подать заявку на получение своего EIN в IRS /Федерального налогового идентификационного номера. EIN, который расшифровывается как идентификационный номер работодателя, используется различными организациями для целей налогообложения. Мошенники, вероятно, получили адреса электронной почты, соответствующие определенному профилю, например, самозанятых жителей США, возможно, через брокеров данных или темную сеть. Мошенничество не требует обширной информации о целях и может привести к краже личных данных и мошенничеству, особенно в сочетании со скомпрометированными номерами социального страхования.
Подчеркивается, что Налоговое управление США не запрашивает личную или финансовую информацию по электронной почте, текстовым сообщениям или в социальных сетях, включая пароли или информацию о доступе. Получателям рекомендуется не вступать в контакт с отправителем, не переходить по ссылкам и не открывать вложения, а также сообщать о фишинговых письмах по адресу phishing@irs.gov без изменения исходного содержимого. Клиенты Malwarebytes Премиум-класса с включенной веб-защитой защищены от этого мошенничества. Кроме того, физические лица могут использовать сканирование цифрового следа, чтобы узнать, какая часть их данных доступна онлайн, указав адрес электронной почты для получения бесплатного отчета.
Таким образом, мошенничество нацелено на частных лиц с помощью вводящих в заблуждение электронных писем, касающихся идентификационных номеров IRS EIN /Federal tax ID, используя их недостаточную осведомленность об официальных протоколах связи IRS. В тексте подчеркивается важность бдительности и осторожности при работе с нежелательными электронными письмами и даются рекомендации по упреждающим мерам, таким как сообщение о подозрительных действиях и использование защитных инструментов, таких как сканирование цифрового следа, для обеспечения безопасности персональных данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста - о недавней налоговой афере, нацеленной на самозанятых и владельцев малого бизнеса, когда мошенники рассылают обманчивые электронные письма с инструкциями получателям быстро подать заявку на получение идентификационного номера работодателя в Налоговой службе США (EIN). В нем предупреждается о рисках кражи личных данных и мошенничества, которые могут возникнуть, если отдельные лица воспользуются этими мошенническими электронными письмами, и подчеркивается важность бдительности, осторожности и упреждающих мер для защиты безопасности персональных данных.
-----
В тексте освещается недавняя афера, связанная с налогообложением, когда мошенники нацелены на самозанятых и владельцев малого бизнеса, отправляя электронные письма с инструкциями получателям быстро подать заявку на получение своего EIN в IRS /Федерального налогового идентификационного номера. EIN, который расшифровывается как идентификационный номер работодателя, используется различными организациями для целей налогообложения. Мошенники, вероятно, получили адреса электронной почты, соответствующие определенному профилю, например, самозанятых жителей США, возможно, через брокеров данных или темную сеть. Мошенничество не требует обширной информации о целях и может привести к краже личных данных и мошенничеству, особенно в сочетании со скомпрометированными номерами социального страхования.
Подчеркивается, что Налоговое управление США не запрашивает личную или финансовую информацию по электронной почте, текстовым сообщениям или в социальных сетях, включая пароли или информацию о доступе. Получателям рекомендуется не вступать в контакт с отправителем, не переходить по ссылкам и не открывать вложения, а также сообщать о фишинговых письмах по адресу phishing@irs.gov без изменения исходного содержимого. Клиенты Malwarebytes Премиум-класса с включенной веб-защитой защищены от этого мошенничества. Кроме того, физические лица могут использовать сканирование цифрового следа, чтобы узнать, какая часть их данных доступна онлайн, указав адрес электронной почты для получения бесплатного отчета.
Таким образом, мошенничество нацелено на частных лиц с помощью вводящих в заблуждение электронных писем, касающихся идентификационных номеров IRS EIN /Federal tax ID, используя их недостаточную осведомленность об официальных протоколах связи IRS. В тексте подчеркивается важность бдительности и осторожности при работе с нежелательными электронными письмами и даются рекомендации по упреждающим мерам, таким как сообщение о подозрительных действиях и использование защитных инструментов, таких как сканирование цифрового следа, для обеспечения безопасности персональных данных.
#cyberthreattech
Стиллеры любят пользоваться TG как c2, либо отстукивать в бота инфу о машине, где они поднялись.
В сканах песочниц эта сетевая коммуникация появляется при анализе ВПО с таким поведением.
Т.к. мы собираем сканы с пачки online-песочниц, то получаем соответствующие вызовы к API Telegram.
Сейчас мы допилили наш механизм проверок URL (да, мы честно переходим по всем вредоносным ссылкам, за что поставщики облачных услуг осыпают нас отбойниками :) ) и теперь он корректно проверят валидность URL вида
В нашем фиде такие URL можно найти под тегом c2.
Стиллеры любят пользоваться TG как c2, либо отстукивать в бота инфу о машине, где они поднялись.
В сканах песочниц эта сетевая коммуникация появляется при анализе ВПО с таким поведением.
Т.к. мы собираем сканы с пачки online-песочниц, то получаем соответствующие вызовы к API Telegram.
Сейчас мы допилили наш механизм проверок URL (да, мы честно переходим по всем вредоносным ссылкам, за что поставщики облачных услуг осыпают нас отбойниками :) ) и теперь он корректно проверят валидность URL вида
https://api.telegram.org/bot<id>:<secret>, делая запрос к /getMe. Такой запрос позволяет точно установить жив ли бот и валиден ли секрет. Результат проверки, естественно, влияет на score IoC.В нашем фиде такие URL можно найти под тегом c2.
#ParsedReport #CompletenessHigh
21-03-2024
Cloud Werewolf attacks civil servants in Russia and Belarus with treatment vouchers and orders from federal services
https://bi.zone/expertise/blog/cloud-werewolf-atakuet-gossluzhashchikh-rossii-i-belarusi-putevkami-na-lechenie-i-prikazami-sluzhb
Report completeness: High
Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)
Threats:
Powershower
Lazagne_tool
Anydesk_tool
Spear-phishing_technique
Industry:
Government
Geo:
Belarusian, Russian, Russia, Belarus
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
TTPs:
Tactics: 6
Technics: 15
IOCs:
File: 4
Registry: 3
Path: 1
Url: 1
Hash: 3
Domain: 3
Soft:
Microsoft Office, Component Object Model
Algorithms:
7zip, xor
Languages:
python, visual_basic
Platforms:
x64
21-03-2024
Cloud Werewolf attacks civil servants in Russia and Belarus with treatment vouchers and orders from federal services
https://bi.zone/expertise/blog/cloud-werewolf-atakuet-gossluzhashchikh-rossii-i-belarusi-putevkami-na-lechenie-i-prikazami-sluzhb
Report completeness: High
Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)
Threats:
Powershower
Lazagne_tool
Anydesk_tool
Spear-phishing_technique
Industry:
Government
Geo:
Belarusian, Russian, Russia, Belarus
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
TTPs:
Tactics: 6
Technics: 15
IOCs:
File: 4
Registry: 3
Path: 1
Url: 1
Hash: 3
Domain: 3
Soft:
Microsoft Office, Component Object Model
Algorithms:
7zip, xor
Languages:
python, visual_basic
Platforms:
x64
BI.ZONE
Cloud Werewolf атакует госслужащих России и Беларуси «путевками на лечение» и «приказами федеральных служб»
Атакующие используют фишинговые письма под видом легитимных документов и преодолевают киберзащиту организаций, размещая вредоносную нагрузку на удаленном сервере и ограничивая ее скачивание