#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 13, dump: 2, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о троянце удаленного доступа Remcos (RAT), методах его распространения, функциональных возможностях, методах, используемых для уклонения от обнаружения, основной полезной нагрузке и рекомендациях по обнаружению и предотвращению поставщиками услуг кибербезопасности.
-----

Троян Remcos Remote Access Trojan (RAT) активен с 2016 года и обычно распространяется с помощью вредоносных вложений, скачиваний с диска и тактик социальной инженерии. Первоначально представленный европейской компанией BreakingSecurity как законный инструмент дистанционного управления, Remcos с тех пор стал оружием злоумышленников для совершения вредоносных действий, несмотря на первоначальное намерение использовать его на законных основаниях. Вредоносная программа использует командную строку PowerShell в файле быстрого доступа для выполнения скрипта MacOSX.ps1, наряду с несколькими другими компонентами, такими как создание задач для загрузки и выполнения скриптов PowerShell, обход интерфейса проверки на наличие вредоносных программ (AMSI) и загрузка скриптов VB, замаскированных под файлы PNG.

Одним из примечательных инструментов с открытым исходным кодом, используемых Remcos, является AMSIReaper, доступный на GitHub, который помогает обойти защиту AMSI. Сценарий VB, загруженный Remcos, декодируется, чтобы выявить сценарий PowerShell, закодированный с помощью base64, который используется для выполнения опустошения процесса путем введения полезной нагрузки Remcos в новый процесс "RegAsm.exe" на компьютере жертвы. Этот метод помогает избежать обнаружения и незаметно выполнять вредоносные действия.

Основной полезной нагрузкой Remcos является скомпилированный двоичный файл VC8, содержащий зашифрованный блок конфигурации. Первый байт в большом двоичном объекте представляет размер ключа RC4, а остальные зашифрованные данные раскрывают важную информацию, такую как сведения о сервере управления (C2), функциональные возможности вредоносного ПО и настройки регистрации данных жертвы. Remcos предназначен для регистрации нажатий клавиш, данных буфера обмена, захвата аудиовхода с микрофона жертвы, сбора информации о геолокации путем подключения к определенному URL-адресу, создания скриншотов экрана жертвы, отключения контроля учетных записей пользователей (UAC) на устройстве жертвы и отправки данных обратно на сервер C2.

Чтобы избежать множественных экземпляров, Remcos создает мьютекс во время работы на компьютере жертвы. K7 Labs, поставщик услуг кибербезопасности, предлагает возможности обнаружения Remco и других возникающих угроз, рекомендуя пользователям использовать надежные решения для обеспечения безопасности, такие как "K7 Total Security", и обеспечивать регулярные обновления для защиты своих устройств от вторжений RAT и других форм киберугроз.

#technique

Inside Zyxel Devices: Firmware Extraction Analysis

https://paper.seebug.org/3137/

#ParsedReport #CompletenessMedium
27-03-2024

Agent Tesla's New Ride: The Rise of a Novel Loader

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/agent-teslas-new-ride-the-rise-of-a-novel-loader

Report completeness: Medium

Threats:
Agent_tesla
Smokeloader
Cloudeye
Polymorphism_technique
Amsi_bypass_technique
Koivm

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1055, T1563, T1071, T1112, T1105, T1027.002

IOCs:
File: 4
Hash: 12
Url: 4
Email: 2

Algorithms:
xor, base64, sha256, md5, exhibit

Functions:
GetType

Win API:
VirtualProtect, amsiScanBuffer

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении критической роли загрузчиков вредоносных программ в облегчении развертывания вредоносных программ субъектами угроз с выделением конкретных примеров, таких как Smoke Loader и GuLoader. В тексте также рассматривается недавний инцидент с вредоносным загрузчиком, замаскированным под поддельное вложение банковского платежа, что привело к внедрению агента Tesla infostealer. Кроме того, в нем содержится подробный анализ тактики уклонения недавно выявленного загрузчика, методов шифрования и передовых методов, используемых в его работе и системе командования и контроля.
-----

Загрузчики вредоносных программ играют решающую роль в облегчении развертывания вредоносных программ злоумышленниками для преступной деятельности, такой как кража данных и программы-вымогатели.

Примеры загрузчиков вредоносных программ, такие как Smoke Loader и GuLoader, используются группами угроз для расширения возможностей загрузки и выполнения вредоносных программ.

SpiderLabs выявила недавний инцидент 8 марта 2024 года, когда фишинговое электронное письмо содержало вредоносный загрузчик, замаскированный под поддельное вложение банковского платежа, что привело к развертыванию агента Tesla infostealer.

Вредоносный загрузчик проявляет полиморфное поведение, уклоняется от обнаружения, обходя антивирусную защиту, использует прокси-серверы для обфускации и выполняет полезную нагрузку полностью в памяти.

Загрузчик использует методы шифрования, дешифрования, полиморфизм и исправляет функции, такие как VirtualProtect, чтобы обойти механизмы обнаружения.

Он обходит интерфейс проверки на наличие вредоносных программ (AMSI) и подготавливает пространство памяти для входящей полезной нагрузки с определенного URL-адреса, используя строки пользовательского агента и прокси-серверы для скрытого извлечения полезной нагрузки.

Полезная нагрузка, агент Tesla infostealer, осуществляет кейлоггинг, кражу учетных данных и эксфильтрацию данных из памяти, используя для упаковки такие тактики, как KoiVM protector.

Новый загрузчик, наблюдаемый вместе с агентом Tesla, использует обманчивые вложения электронной почты, тактику запутывания, полиморфное поведение, исправления для обхода обнаружения AMSI и отражающую загрузку полезных данных для эффективного развертывания вредоносного ПО.

#ParsedReport #CompletenessMedium
27-03-2024

Ghost in the Archive: F.A.C.C.T. Experts discovered attacks by a new group of cyber spies PhantomCore

https://www.facct.ru/blog/phantomcore

Report completeness: Medium

Actors/Campaigns:
Phantomcore (motivation: cyber_espionage)

Threats:
Phantomrat
Spear-phishing_technique

Victims:
Russian companies

Geo:
Russian, Ukraine

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23, 5.20, 5.70, 4.20, 4.1.0, 6.20, 4.00, 5.50, 6.21, 4.01, 5.40, 5.01, 5.30, 4.10.2, 4.10, 6.11, 5.11, 5.00, -, 4.11, 5.21, 5.31, 5.10)


TTPs:
Tactics: 10
Technics: 19

IOCs:
File: 17
Domain: 1
Url: 9
Path: 11
Hash: 12

Soft:
Windows Task Scheduler, Telegram, Viber, WhatsApp

Algorithms:
sha1, cbc, zip, md5, sha256, aes-256, aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В начале 2024 года российские компании подверглись кибератакам со стороны новой группы под названием PhantomCore, использующей уникальный троян удаленного доступа PhantomRAT, использующий уязвимость WinRAR для проникновения в организации и установления связи с сервером управления для вредоносных действий.
-----

В начале 2024 года российские компании подверглись кибератакам со стороны группы кибершпионов, известной как PhantomCore, использующей троян удаленного доступа PhantomRAT.

Злоумышленники рассылали фишинговые электронные письма с защищенными паролем архивами RAR, содержащими PDF-документ вместе с исполняемым файлом, замаскированным в аналогичном каталоге.

PhantomRAT был разработан для скрытой работы с использованием .Сетевые приложения с однофайловым развертыванием, позволяющие избежать обнаружения в зараженных системах.

Злоумышленники воспользовались уязвимостью WinRAR CVE-2023-38831, нацеленной на архивы RAR, что позволило им установить PhantomRAT.

PhantomRAT облегчил загрузку файлов между скомпрометированными хостами и сервером управления, позволяя выполнять команды через cmd.exe.

Вредоносная программа установила соединение RSocket для связи с сервером управления, используя шифрование и специальные модели взаимодействия для эффективной передачи данных.

Структура классов PhantomRAT включала параметры конфигурации, влияющие на его работу, нацеленные на фильтрацию данных, выполнение команд и удаленное управление с помощью сетевых протоколов.

В ходе исследования были обнаружены связанные файлы, такие как PhantomCore.Загрузчик, ответственный за доставку PhantomRAT, с указанием методологий и инфраструктуры группы.

Тестовые адреса C2, найденные в некоторых образцах, предполагают потенциальную разведку перед атакой или тестирование действий субъектов угрозы.

#ParsedReport #CompletenessMedium
27-03-2024

Operation FlightNight: Indian Government Entities and Energy Sector Targeted by Cyber Espionage Campaign

https://blog.eclecticiq.com/operation-flightnight-indian-government-entities-and-energy-sector-targeted-by-cyber-espionage-campaign

Report completeness: Medium

Actors/Campaigns:
Flightnight (motivation: cyber_criminal, cyber_espionage, information_theft)

Threats:
Hackbrowserdata
Go-stealer
Spear-phishing_technique

Industry:
Petroleum, Government, Energy

Geo:
India, Indian, Ukraine, Russia

TTPs:

IOCs:
File: 3
Path: 1
Hash: 7
Domain: 5

Soft:
Slack, Microsoft Office, Google Chrome, Chromium, Microsoft Edge, Opera, OperaGX, Vivaldi, CocCoc, Internet Explorer, have more...

Algorithms:
zip, sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, windows: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что субъект киберугроз проводит кампанию кибершпионажа под названием "Операция FlightNight", нацеленную на государственные структуры Индии и энергетический сектор, используя настроенную версию программы для кражи информации с открытым исходным кодом HackBrowserData. Злоумышленник использовал фишинговые электронные письма, замаскированные под письма-приглашения от ВВС Индии, использовал каналы Slack для эксфильтрации конфиденциальных данных и хранил ключи Slack workspace и API в коде вредоносного ПО для связи. Атака включала кражу таких данных, как внутренние документы, сообщения электронной почты и данные браузера, в результате чего было отфильтровано в общей сложности 8,81 ГБ данных. Аналитики поделились своими выводами с индийскими властями, чтобы помочь в усилиях по реагированию на инциденты, и подчеркнули важность обмена разведданными, мониторинга, обнаружения на основе поведения и осведомленности сотрудников для эффективной борьбы с развивающимися киберугрозами.
-----

Начиная с 7 марта 2024 года, злоумышленник атаковал государственные учреждения Индии и энергетический сектор, используя настроенную версию программы для кражи информации HackBrowserData с помощью фишинговых электронных писем, замаскированных под письма-приглашения ВВС Индии.

Злоумышленник использовал каналы Slack для эксфильтрации данных, похитив конфиденциальные данные, такие как внутренние документы, электронные письма и данные браузера, общим объемом 8,81 ГБ.

Жертвами стали индийские правительственные учреждения, ответственные за электронные коммуникации, управление ИТ и национальную оборону, а также частные энергетические компании.

Предыдущая атака, совершенная 17 января 2024 года, имела сходство в поведении и технике доставки, что наводит на мысль о взаимосвязанной кампании.

Основным мотивом был кибершпионаж, а кража данных потенциально способствовала дальнейшим вторжениям в инфраструктуру индийского правительства.

EclecticIQ поделилась результатами с индийскими властями, чтобы помочь в выявлении жертв и реагировании на инциденты.

Вредоносная программа обладала расширенными функциями, включая связь по каналам Slack, эксфильтрацию документов и запутывание, чтобы избежать обнаружения.

В вредоносной программе были обнаружены Slack workspace и API-ключи, облегчающие взаимодействие с ботами Slack для извлечения данных.

Операция высветила тенденцию к модификации злоумышленниками инструментов с открытым исходным кодом для кибершпионажа, подчеркнув важность обмена разведданными, мониторинга, обнаружения на основе поведения и информированности сотрудников для борьбы с развивающимися киберугрозами.

#ParsedReport #CompletenessMedium
27-03-2024

Breaking Boundaries: Mispadu's Infiltration Beyond LATAM. Introduction

https://blog.morphisec.com/mispadu-infiltration-beyond-latam

Report completeness: Medium

Threats:
Mispadu
Passview_tool

Industry:
Financial

Geo:
Latam, Russian, Mexico

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1027, T1497, T1218, T1552, T1071

IOCs:
File: 3
Url: 2
Hash: 21
Domain: 8
Coin: 2

Crypto:
bitcoin

Algorithms:
zip

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расширении охвата банковского трояна Mispadu за пределы Латинской Америки и усилении его ориентации на европейские страны в ходе недавней кампании, а также в успешной краже учетных данных злоумышленником и использовании фишинговых электронных писем в качестве серьезной угрозы. Кроме того, в тексте подчеркивается эффективность Morphisec в предотвращении атак Mispadu с помощью инновационных технологий защиты, тактика уклонения Mispadu для обхода решений безопасности, а также конкретные детали цепочки заражения и поведения полезной нагрузки, связанные с Mispadu. В целом подчеркивается важность упреждающих мер кибербезопасности и передовых оборонных технологий для противодействия развивающимся киберугрозам.
-----

Mispadu, банковский троян и инфокрад, расширил свои цели за пределы Латинской Америки, включив в них европейские страны, при этом Мексика остается его основным объектом.

Злоумышленник, стоящий за Mispadu, успешно украл тысячи учетных данных с апреля 2023 года, запустив вредоносные фишинговые электронные письма, которые представляют значительную угрозу.

Morphisec, компания по кибербезопасности, эффективно обнаружила и предотвратила атаки в рамках этой кампании, используя запатентованную технологию защиты от движущихся целей.

Недавний всплеск активности Mispadu подчеркивает сохраняющуюся угрозу, исходящую от этого банковского трояна, который обходит многие существующие решения безопасности.

Цепочка заражения, организованная Mispadu, включает в себя несколько этапов, позволяющих избежать обнаружения, отфильтровать данные и использовать украденные учетные данные для дальнейших фишинговых кампаний.

Злоумышленник управляет двумя серверами управления (C2) для получения полезной нагрузки и эксфильтрации украденных учетных данных, используя украденные данные для создания дополнительных фишинговых электронных писем.

Географическое расширение и возросшая активность Mispadu подчеркивают важность упреждающих мер кибербезопасности и инвестиций в передовые решения для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessMedium
27-03-2024

CHAVECLOAK: A Complex Cyber Threat to Brazil s Financial Security

https://socradar.io/chavecloak-cyber-threat-to-brazils-financial-security

Report completeness: Medium

Threats:
Chavecloak
Dll_sideloading_technique
Credential_harvesting_technique

Industry:
Financial

Geo:
Brazilian, Portuguese, Brazil

ChatGPT TTPs:
do not use without manual check
T1566.002, T1140, T1574.002, T1082, T1547.001, T1111, T1132.001, T1059.001, T1071.001, T1041, have more...

IOCs:
File: 3
Url: 3

Soft:
Windows Defender

Crypto:
bitcoin

Algorithms:
zip

Win API:
GetForegroundWindow, GetWindowTextW

Languages:
delphi, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что бразильский финансовый сектор сталкивается со значительной угрозой со стороны банковского трояна высокой степени вредоносности под названием CHAVECLOAK. Это сложное вредоносное ПО нацелено на пользователей в Бразилии на платформах Microsoft Windows, инициируя атаку с помощью поддельных PDF-файлов и используя передовые методы для извлечения конфиденциальной финансовой информации. CHAVECLOAK работает скрытно, отслеживая действия пользователей на финансовых платформах и используя как традиционные банковские услуги, так и криптовалютные биржи, подчеркивая меняющийся характер киберугроз, с которыми сталкиваются финансовые учреждения Бразилии.
-----

Бразильский финансовый сектор в настоящее время находится под серьезной угрозой со стороны сложного банковского трояна, известного как CHAVECLOAK. Эта вредоносная программа предназначена для нарушения мер безопасности и извлечения конфиденциальной финансовой информации, в первую очередь нацелена на пользователей в Бразилии, работающих на платформах Microsoft Windows. Уровень серьезности этой угрозы классифицируется как высокий из-за ее возможностей и целенаправленной направленности на бразильский финансовый сектор.

Троянец CHAVECLOAK инициирует свое проникновение через вводящий в заблуждение PDF-файл, содержащий скрытую ссылку для скачивания, которая отображается как документы, связанные с контрактом, на португальском языке. Как только жертва нажимает на ссылку, загружается ZIP-файл, содержащий полезную нагрузку трояна. Затем вредоносная программа использует методы боковой загрузки DLL для незаметной интеграции в систему, запуская многоэтапный процесс атаки. Она собирает информацию о файловой системе, устанавливает постоянство с помощью изменений реестра и подтверждает местоположение жертвы в Бразилии, прежде чем продолжить.

CHAVECLOAK работает скрытно, отслеживая действия пользователя на финансовых платформах и связываясь со своим сервером управления (C2) при обнаружении взаимодействий, связанных с банковской деятельностью. Троянец может блокировать экраны, регистрировать нажатия клавиш и отображать обманчивые всплывающие окна для сбора учетных данных не только с традиционных банковских платформ, но и с криптовалютных бирж.

При распаковке установщика MSI, связанного с CHAVECLOAK, обнаруживаются различные файлы, включая законные исполняемые файлы и подозрительные библиотеки DLL. Троянец работает путем регистрации системной информации, создания файлов журнала и инициирования HTTP-запросов для записи данных, относящихся к жертвам в Бразилии. Он постоянно проверяет наличие активных окон, связанных с финансовой деятельностью, перехватывая конфиденциальную информацию с помощью зависающих экранов, фиксируя нажатия клавиш и отображая вводящие в заблуждение всплывающие окна. Затем украденные данные загружаются в определенные каталоги в зависимости от типа целевого финансового учреждения.

Более старый вариант CHAVECLOAK демонстрирует другой механизм доставки, использующий исполняемый файл Delphi для встраивания окончательной полезной нагрузки. Этот вариант хранит полезную нагрузку в уникальном каталоге, обеспечивает сохранение в системе и активно отслеживает взаимодействия пользователей на экранах банковского обслуживания и входа в систему с использованием биткойнов. Троянец собирает различную конфиденциальную информацию, включая имена пользователей, пароли и нажатия клавиш, которые затем отправляются на его сервер C2 для дальнейшей эксплуатации.

Таким образом, CHAVECLOAK представляет серьезную угрозу для бразильского финансового сектора, используя тактику обмана, изощренные методы и обширные возможности для извлечения конфиденциальной финансовой информации у целевых жертв. Способность трояна отслеживать как традиционные банки, так и криптовалютные биржи подчеркивает эволюционирующий характер киберугроз, с которыми сталкиваются финансовые учреждения Бразилии.