#ParsedReport #CompletenessLow
22-03-2024

New Go loader pushes Rhadamanthys stealer

https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys

Report completeness: Low

Threats:
Rhadamanthys
Putty_tool
Fakebat

Victims:
Putty users

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1204.002, T1140, T1105, T1020, T1059.003, T1547.001, T1566.001

IOCs:
Domain: 4
File: 2
Hash: 2
IP: 1

Soft:
Telnet client

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в рекламной кампании, использующей новый загрузчик, написанный на языке Go, для развертывания Rhadamanthys stealer в качестве дополнительной полезной нагрузки. Злоумышленник использовал тактику обмана с использованием PuTTY, чтобы обмануть ничего не подозревающих жертв и доставить вредоносную полезную нагрузку по двухэтапной цепочке перенаправления. Меры безопасности от Malwarebytes и ThreatDown выделяются в качестве основных средств защиты от таких угроз.
-----

Загрузчики вредоносных программ, также известные как дропперы или загрузчики-загрузчицы, широко востребованы в криминальном подполье за их способность компрометировать систему и доставлять дополнительную полезную нагрузку. Успех загрузчика зависит от его способности избегать обнаружения и точно нацеливаться на законных жертв, а не на изолированные среды. Эффективность загрузчика имеет решающее значение, поскольку она напрямую влияет на удовлетворенность его "клиентов", а именно других киберпреступников. В сообщении в блоге описана рекламная кампания с использованием нового загрузчика, написанного на языке Go, который использует уникальный метод для развертывания Rhadamanthys stealer в качестве дополнительной полезной нагрузки.

Злоумышленник, стоящий за этой кампанией, использовал PuTTY, популярный клиент SSH и Telnet для Windows, для обмана пользователей. Купив рекламу, которая маскируется под домашнюю страницу PuTTY, и стратегически разместив ее в верхней части результатов поиска Google, злоумышленник стремился обмануть ничего не подозревающих жертв. Само объявление вызвало подозрения из-за включения несвязанного доменного имени "arnaudpairoto . com.". Хотя в этом конкретном объявлении были очевидные "красные флажки", многие вредоносные объявления имитируют законные бренды, чтобы увеличить показатели успеха.

Вредоносная полезная нагрузка в данном случае была доставлена по двухэтапной цепочке перенаправления, тактика, обычно не наблюдаемая. Вредоносное ПО под названием PuTTy.exe функционирует как дроппер, закодированный на языке Go версии 1.21.0, который его создатель потенциально окрестил "Дроппер 1.3". Различные типы загрузчиков были выявлены в ходе кампаний по вредоносной рекламе, в частности, недавно в центре внимания оказался FakeBat. Вероятно, за загрузчиком и инфраструктурой вредоносной рекламы стоит один и тот же субъект угрозы, предлагающий комплексную услугу доставки вредоносных программ другим киберпреступникам. О кампании было сообщено в Google для принятия дальнейших мер.

Пользователи Malwarebytes и ThreatDown защищены от поддельного установщика PuTTY, идентифицированного как троян.Script.GO. Кроме того, пользователи ThreatDown, использующие фильтрацию DNS, имеют возможность активировать блокировку рекламы в своей консоли, чтобы предотвратить атаки, исходящие от вредоносной рекламы. Эти действия служат важной гарантией от угроз, распространяемых с помощью схем недобросовестной рекламы, подчеркивая текущие риски, с которыми сталкивается среда кибербезопасности.

#ParsedReport #CompletenessLow
22-03-2024

Large-Scale StrelaStealer Campaign in Early 2024

https://unit42.paloaltonetworks.com/strelastealer-campaign

Report completeness: Low

Threats:
Strela_stealer
Polyglot
Spear-phishing_technique

Victims:
Over 100 organizations

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1204.002, T1547.001, T1027, T1071, T1552.001

IOCs:
File: 4
Path: 1
Hash: 7
IP: 1

Algorithms:
zip, xor, base64

Languages:
jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что StrelaStealer - это стойкая и развивающаяся вредоносная программа, предназначенная для кражи учетных данных для входа в систему электронной почты с помощью сложных методов уклонения, и организациям необходимо внедрять упреждающие меры кибербезопасности для эффективной защиты от нее.
-----

StrelaStealer - это вредоносное программное обеспечение, предназначенное для кражи данных для входа в систему электронной почты из популярных почтовых клиентов и передачи украденной информации на сервер управления (C2) злоумышленника. Исполнитель угроз, стоящий за StrelaStealer, активно проводит крупномасштабные кампании по электронной почте с момента своего появления в 2022 году, в первую очередь нацеленные на организации по всему ЕС и США. Вредоносное ПО доставляется через спам-письма с вложениями, которые запускают установку полезной нагрузки DLL StrelaStealer.

Чтобы избежать обнаружения, злоумышленники часто изменяют формат файлов вложений электронной почты в каждой кампании, что затрудняет аналитикам и продуктам безопасности идентификацию вредоносного ПО на основе предыдущих шаблонов или сигнатур. Автор вредоносного ПО регулярно обновляет полезную нагрузку библиотеки DLL с помощью улучшенных методов запутывания и антианализа, что еще больше усложняет процесс анализа для специалистов по безопасности.

Недавние наблюдения исследователей выявили значительное увеличение числа кампаний StrelaStealer, затрагивающих более 100 организаций в ЕС и США. Эти кампании используют эволюционирующую тактику, позволяющую избежать обнаружения и проводить успешные атаки. Advanced WildFire, решение для обеспечения безопасности, предоставляемое Palo Alto Networks, обеспечивает защиту от StrelaStealer путем обнаружения новых вариантов и предотвращения цепочки атак вредоносного ПО.

В первоначальных версиях StrelaStealer использовался метод, при котором вложенный iso-файл содержал файл .lnk и HTML-файл, который выполнял полезную нагрузку при взаимодействии. Однако последняя версия StrelaStealer распространяется с помощью фишинговых электронных писем с вложениями в ZIP-файлы. При загрузке и открытии архива файл JScript удаляет файл, зашифрованный в Base64, который декодируется для создания вредоносного DLL-файла. Этот DLL-файл выполняется через rundll32.exe с целью кражи данных для входа по электронной почте у жертв.

В последней кампании, проведенной в январе 2024 года, вариант StrelaStealer демонстрирует эволюцию в своей технологии упаковки, используя запутывание потока управления для затруднения анализа. Полезная нагрузка вредоносного ПО, DLL-файл с функцией экспорта вредоносных программ, была обновлена, чтобы упростить обнаружение и анализ. Заметные изменения в этом варианте включают отсутствие строк PDB, которые присутствовали в более ранних версиях, что указывает на преднамеренную попытку помешать обнаружению, полагаясь на менее очевидные характеристики вредоносного ПО.

StrelaStealer остается активной угрозой в сфере кибербезопасности, поскольку субъекты угроз постоянно адаптируют вредоносное ПО, чтобы избежать обнаружения решениями безопасности, полагающимися на реактивные сигнатуры или шаблоны. В статье подчеркивается изощренность методов уклонения и обновлений StrelaStealer, подчеркивается важность упреждающих мер безопасности для эффективной борьбы с такими похитителями учетных данных электронной почты. Организациям рекомендуется использовать решения для кибербезопасности, такие как Cortex XDR, брандмауэры следующего поколения и Prisma Cloud Defender, для усиления своей защиты от развивающихся угроз, таких как StrelaStealer.

#ParsedReport #CompletenessLow
24-03-2024

APT-C-09. 1. Analysis of attack activities

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247495954&idx=1&sn=d1b69cdc1465a9c0c033fe88e5c9ce51

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Victims:
Palestinian federal tax office

Geo:
Palestinian, Pakistan, Asian

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1547, T1071, T1027, T1573, T1041

IOCs:
Hash: 2
Url: 3
File: 3

Algorithms:
rc4, aes, base64, md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 7, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ кибератаки, приписываемой организации Mahagrass, с подробным описанием тактики и методов, используемых группой threat actor, а также их эволюции в использовании полезных бэкдоров на основе C#. Анализ подчеркивает настойчивость группы, адаптацию к мерам безопасности, историческую ориентацию на конкретные регионы и постоянные усилия по совершенствованию своих вредоносных инструментов для будущих операций.
-----

Проанализированный образец выявляет кибератаку, соответствующую тактике организации Mahagrass. Атака включает использование вредоносных файлов lnk для загрузки документов-приманки и полезной нагрузки с удаленных серверов, создания запланированных задач для сохранения и использования URL-адресов, содержащих строки "b-cdn.net". Вредоносная полезная нагрузка содержит подпись "RUNSWITHSCISSORS LTD", характерную для предыдущих действий группы Mahagrass. Примечательно, что значение IV в алгоритме AES соответствует значению, ранее определенному в анализе, связанном с Махараштрой, что указывает на потенциальную связь. Кроме того, формат URL для загрузки данных отражает прошлые действия. Использование алгоритма RC4 и определенных ключевых начальных символов еще больше увязывает эту атаку с предыдущими действиями Mahaca. Выбор злоумышленником адреса для загрузки в Пакистане в сочетании с историческими нападениями на Федеральное налоговое управление Палестины усиливает подозрения в принадлежности к группе Mahagrass.

APT-C-09 Mahagrass, также известный как White Elephant, Patchwork и Dropping Elephant, является объектом повышенной постоянной угрозы (APT), возникшим в Южной Азии и активно действующим с 2015 года. Известная тем, что нацелена на соседние страны с целью кражи конфиденциальной информации, организация постоянно совершенствует свою тактику обхода сетевой безопасности. Недавние наблюдения указывают на использование полезных бэкдоров на основе C#, что свидетельствует о расширении возможностей злоумышленника. Это дополнение является отходом от их предыдущих атак, предполагая новый этап в разработке их вредоносных инструментов. Переход к полезным нагрузкам на C# означает постоянные усилия Mahagrass по расширению своих арсеналов и адаптации к меняющимся мерам безопасности.

Фишинговый файл, использованный при атаке, запускает PowerShell для выполнения вредоносных инструкций при открытии файла lnk. Это действие инициирует загрузку содержимого-приманки и вредоносных полезных нагрузок с определенных URL-адресов, а также обеспечивает сохранение с помощью запланированных задач. Загруженная полезная нагрузка шифрует такие данные, как MAC-адрес, имя хоста, выполненные команды и результаты, которые впоследствии отправляются обратно на сервер C2. Процесс шифрования включает методы RC4 и Base64 перед передачей данных с использованием POST-запроса на указанный адрес сервера.

Принимая во внимание исторический контекст, Mahagrass постоянно участвовала в кибератаках, нацеленных на Пакистан и соседние страны, сохраняя постоянное внимание к своим целям. Преступники, стоящие за группой APT-C-09, демонстрируют твердую решимость постоянно совершенствовать свои методы атаки и адаптироваться к контрмерам. Внедрение полезных бэкдоров C# означает расширение их возможностей, что свидетельствует о намерении развивать и диверсифицировать их инструменты для будущих операций. В то время как текущая полезная нагрузка на C# относительно проста, организация, вероятно, со временем усложнит свой вредоносный код, что потребует постоянного изучения их эволюционирующей тактики.

#ParsedReport #CompletenessLow
24-03-2024

Cybercriminals Accelerate Online Scams During Ramadan and Eid Fitr

https://www.resecurity.com/blog/article/cybercriminals-accelerate-online-scams-during-ramadan-and-eid-fitr

Report completeness: Low

Actors/Campaigns:
Smishing_triad (motivation: cyber_criminal)

Industry:
Financial, Transport, Government, Logistic, E-commerce, Retail

Geo:
Mena

ChatGPT TTPs:
do not use without manual check
T1566, T1598, T1199, T1114, T1606, T1566.002, T1110, T1589, T1059

IOCs:
Domain: 12

Soft:
iMessage, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что во время Рамадана наблюдается значительный рост мошеннических действий, направленных против ближневосточных предприятий, особенно в секторе электронной коммерции в Саудовской Аравии. Киберпреступники используют онлайн-платформы с помощью различных тактик, таких как выдача себя за поставщиков логистических услуг, фишинговые схемы, нацеленные на финансовые учреждения и платформы, такие как SADAD, и использование многоступенчатых фишинговых наборов для перехвата 2FA и OTP. Эти мероприятия привели, по оценкам, к финансовому эффекту в размере от 70 до 100 миллионов долларов, что сказалось на экспатриантах, жителях и посетителях региона. Служба безопасности приняла меры по блокировке мошеннических сайтов, и для интернет-пользователей крайне важно проявлять осторожность при обмене личной и платежной информацией, чтобы снизить потенциальные риски мошенничества.
-----

Всплеск мошеннических действий, направленных против ближневосточных предприятий во время Рамадана.

Предполагаемый финансовый эффект составит 70-100 миллионов долларов, что затронет экспатриантов, местных жителей и иностранных гостей.

Выдача себя за поставщиков логистических услуг, таких как Aramex, SMSA Express и Zajil Express, посредством вводящих в заблуждение SMS-сообщений.

Жертв обманом заставляли совершать немедленные платежи или раскрывать данные кредитной карты и онлайн-банкинга.

Личная информация часто используется в Даркнете для дальнейших мошеннических схем.

Мошенники имитируют платежные формы финансовых учреждений, таких как SNB и Riyad Bank, для получения конфиденциальной информации.

Фишинговые схемы, нацеленные на учетные данные для входа на такие платформы, как SADAD, широко используемые для оплаты счетов в Саудовской Аравии.

Использование многоступенчатых фишинговых наборов для перехвата 2FA или OTP-сообщений, обеспечивающих несанкционированный доступ к учетной записи.

Мошенники вербуют жертв в качестве "денежных мулов" с помощью информации, связанной с работой, в рамках фишинговых схем.

Мошеннический таргетинг на официальные программы, такие как Ajeer и Ejar, путем создания поддельных предложений о работе с целью эксплуатации работников.

Служба безопасности заблокировала более 320 мошеннических сайтов, выдающих себя за ключевых поставщиков логистических услуг и услуг электронного правительства на Ближнем Востоке.

Пользователям Интернета рекомендуется избегать обмена личной и платежной информацией с подозрительными сайтами или лицами, выдающими себя за представителей банка или правительства.

Важность сообщения о подозрительных действиях местным правоохранительным органам и назначенным контактам внутри организаций.

Ожидание дальнейшей активизации мошеннических действий, использующих тактику социальной инженерии и облачные сервисы хостинга.

#cyberthreattech
На канале Кода Безопасности опубликована запись нашего совместного вебминара про Континент 4 и TI в нем.
В моей части попробовал рассказать основные особенности подготовки IoC и работы с ними именно в NGFW, т.к. там есть много нюансов, отличных от IoC в SIEM.
https://youtu.be/NRCt27PJirI?si=w1aO1GQ5bw5iG6be&t=1051

#technique

Generic and Automated Drive-by GPU Cache Attacks from the Browser

https://ginerlukas.com/publications/papers/WebGPUAttacks.pdf

#technique

Using Tailscale for persistence

https://raesene.github.io/blog/2024/03/24/Using-Tailscale-for-persistence/

#technique

(Anti-)Anti-Rootkit Techniques - Part I: UnKovering mapped rootkits

https://eversinc33.com/posts/anti-anti-rootkit-part-i/

#ParsedReport #CompletenessMedium
25-03-2024

Tycoon 2FA: an in-depth analysis of the latest version of the AiTM phishing kit

https://blog.sekoia.io/tycoon-2fa-an-in-depth-analysis-of-the-latest-version-of-the-aitm-phishing-kit

Report completeness: Medium

Actors/Campaigns:
Saad_tycoon

Threats:
Tycoon_2fa
Aitm_technique
Caffeine_tool
Dadsec_tool
Evilproxy_tool
Nakedpages_tool
Redrum

ChatGPT TTPs:
do not use without manual check
T1059, T1566.002, T1190, T1204.002, T1584.002, T1071.001, T1110.004, T1550.005, T1027, T1047, have more...

IOCs:
File: 3
Domain: 55
Url: 15
Email: 1

Soft:
Telegram, Gmail, chrome

Crypto:
bitcoin

Algorithms:
xor, base64

Languages:
javascript

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/tycoon2fa/tycoon2fa\_iocs\_20240325.csv
https://github.com/javascript-obfuscator/javascript-obfuscator/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и влиянии фишингового набора Tycoon 2FA, включая его методы, операторов, методы распространения, сходства с другими наборами и текущие усилия Sekoia по мониторингу для борьбы с угрозами в киберпространстве.
-----

Tycoon 2FA, фишинговый набор "Противник посередине" (AiTM), недавно стал одним из самых распространенных фишинговых наборов в мире угроз. Платформа Tycoon 2FA "Фишинг как услуга" (PhaaS) активна по меньшей мере с августа 2023 года, а команда Sekoia по обнаружению и исследованию угроз (TDR) выявила ее связь с несколькими участниками угроз, проводящими широкомасштабные и эффективные атаки. Набор быстро расширялся, и в период с октября 2023 по февраль 2024 года было обнаружено более 1100 доменных имен.

Оператор Tycoon 2FA, известный под такими именами, как Tycoon Group, SaaadFridi и Mr_XaaD, продвигает PhaaS с помощью Telegram с октября 2023 года. Они предлагают различные фишинговые шаблоны и шаблоны вложений по ценам, начинающимся от 120 долларов США в течение 10 дней, с различными уровнями цен в зависимости от домена верхнего уровня. Платформа Tycoon 2FA имеет сходство с другим известным набором для фишинга под названием Dadsec OTT, что предполагает потенциальную взаимосвязь между ними с точки зрения повторного использования кода и функциональности.

Фишинговый набор Tycoon 2FA основан на методах AiTM, перехватывающих вводимые пользователем данные во время процессов аутентификации, чтобы украсть сеансовые файлы cookie и обойти многофакторную аутентификацию (MFA). Операции с набором включают перенаправление пользователей на различные этапы, включая проверку турникета Cloudflare и поддельные страницы аутентификации Microsoft, для сбора конфиденциальной информации. Разработка и обслуживание набора, по-видимому, выполняются отдельным лицом, что приводит к ограниченной сложности и постепенным улучшениям.

Недавние обновления Tycoon 2FA расширили его возможности запутывания и защиты от обнаружения, изменив структуру сетевого трафика и улучшив тактику уклонения, чтобы избежать обнаружения ботов и сред анализа. Фишинговый набор распространяется через вложения электронной почты и перенаправления QR-кодов, в первую очередь ориентируясь на организации по всему миру, ориентируясь на сотрудников финансовых, бухгалтерских и исполнительных отделов, чтобы использовать их привилегии доступа.

Отслеживание и мониторинг инфраструктуры Tycoon 2FA были ключевым направлением деятельности Sekoia, при этом были разработаны передовые эвристические методы для выявления и отслеживания последних версий фишингового набора. Благодаря этим усилиям с августа 2023 года были выявлены тысячи фишинговых страниц, связанных с Tycoon 2FA, что свидетельствует о его широком распространении среди участников угроз. Анализируя биткойн-транзакции, связанные с Saad Tycoon Group, аналитики оценивают значительную финансовую выгоду от операций Tycoon 2FA PhaaS, что подтверждает ее прибыльный характер.

Поскольку Tycoon 2FA продолжает представлять существенную угрозу на рынке фишинга AiTM, Sekoia сохраняет бдительность в мониторинге и отслеживании своей деятельности. Оперативная информация, полученная в результате текущего анализа и расследований, позволит принимать упреждающие меры для снижения рисков, связанных с меняющейся тактикой участников угроз Tycoon 2FA.