#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии ФБР схемы вредоносного ПО WarzoneRAT, выявлении кампании вредоносного ПО Cyble Research и Intelligence Labs с использованием WarzoneRAT, функциональных возможностях RAT, ее эволюции, тактике, используемой в кампании вредоносного ПО, и вызовах, создаваемых участниками угроз, использующими сложные методы для распространения и запуска вредоносных программ.
-----

В феврале ФБР провело операцию по ликвидации вредоносной схемы WarzoneRAT, что привело к захвату ее инфраструктуры и аресту двух лиц, связанных с операцией по борьбе с киберпреступностью. После этого Cyble Research and Intelligence Labs (CRIL) выявила образцы вредоносной кампании, распространяемой через спам-письма на налоговую тематику, развернув WarzoneRAT (также известный как Avemaria) в качестве конечной полезной нагрузки в двух различных сценариях.

В первом случае вложение электронной почты содержало сжатый файл с файлом LNK, который запускал серию действий, приводящих к выполнению WarzoneRAT. Это включало загрузку HTA-файла, запуск команд PowerShell для дальнейшей загрузки и, в конечном итоге, ввод конечной полезной нагрузки в RegSvcs.exe с использованием метода отражающей загрузки. Во втором сценарии вложение включало исполняемый файл, который использовал стороннюю загрузку библиотеки DLL для загрузки вредоносного модуля WarzoneRAT DLL при выполнении, устанавливая соединение с сервером управления (C&C).

AveMaria, характеризуемая как вредоносная программа для удаленного администрирования (RAT), предоставляет возможности удаленного управления для выполнения вредоносных действий при получении команд с сервера C&C. RAT впервые появилась в ходе фишинговой кампании 2018 года и была пресечена ФБР в феврале. Впоследствии ThreatMon анонсировал новые функции для WarZoneRAT v3, направленные на повышение эффективности вредоносного ПО.

Кампания вредоносных программ, раскрытая CRIL, использовала различные тактики обмана, включая маскировку файла быстрого доступа под изображение в спам-письме на налоговую тематику, чтобы запустить цепочку заражения. После запуска вредоносная программа выполнила несколько шагов для загрузки и выполнения конечной полезной нагрузки WarzoneRAT, используя методы обфускации для обхода мер безопасности и внедрения вредоносного кода в законные процессы.

WarzoneRAT, или Avemaria, - это троян удаленного доступа, предназначенный для обеспечения несанкционированного доступа к системам жертв и контроля над ними. Avemaria, способный выполнять такие действия, как утечка данных, повышение привилегий, кейлоггинг и многое другое, представляет серьезную угрозу для скомпрометированных систем. Анализ, проведенный Splunk, дает более глубокое представление о функциональных возможностях RAT и выявляет жестко закодированные строки в его двоичном исполняемом файле.

Другой пример кампании включал сжатый ZIP-файл с тремя файлами, один из которых был идентифицирован как двоичный файл вредоносной программы WarzoneRAT. Вредоносная программа использовала стороннюю загрузку DLL для постоянной загрузки в системную память, устанавливая соединения с доменами C&C для удаленного управления и вредоносных действий.

Злоумышленники часто используют тематические спам-вложения в электронных письмах, чтобы обманом заставить пользователей открывать вредоносный контент, как это наблюдалось в этой кампании, использующей электронные письма налоговой тематики для распространения WarzoneRAT. Используя отражающую загрузку, стороннюю загрузку библиотек DLL и другие сложные методы, участники угроз стремятся повысить сложность своих атак и обойти механизмы обнаружения, создавая проблемы для защитников в обнаружении, предотвращении и реагировании на такие киберугрозы.

#ParsedReport #CompletenessMedium
28-03-2024

Phobos Ransomware

https://explore.avertium.com/resource/phobos-ransomware

Report completeness: Medium

Threats:
Phobos
Smokeloader
Cobalt_strike
Bloodhound_tool
Dharma
Backmydata
Devos
Elking
8base
Snatch_ransomware

Victims:
County governments, Emergency services, Educational institutions, Government agencies, Healthcare facilities, Critical infrastructure organizations

Industry:
Healthcare, Financial, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1562.001, T1489, T1027, T1041, T1485, T1563.002, T1071.001, T1566.001, T1110.001, have more...

IOCs:
File: 7
Hash: 37
Domain: 3
IP: 4

Soft:
Windows shell, outlook, WinSCP

Algorithms:
aes, sha256, md5, sha1, cbc

Win Services:
sqlservr

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о программе-вымогателе Phobos, сложной угрозе, которая с 2019 года нацелена на критически важные сектора инфраструктуры. Он работает по модели "программа-вымогатель как услуга", сотрудничая с различными инструментами для шифрования данных, требуя крупных выкупов и демонстрируя высокий уровень изощренности своей тактики. В тексте освещается влияние Phobos на различные секторы, его эволюция, процесс шифрования, тактика проникновения, модульная архитектура и стратегии смягчения последствий для организаций, позволяющие эффективно защищаться от подобных атак программ-вымогателей.
-----

Программа-вымогатель Phobos нацелена на критически важные секторы инфраструктуры с 2019 года, требуя миллионных выплат выкупа и действуя по модели "программа-вымогатель как услуга".

Phobos сотрудничает с инструментами с открытым исходным кодом, такими как SmokeLoader, Cobalt Strike и Bloodhound, что делает его популярным благодаря простоте использования и эффективности для участников угроз.

В недавних рекомендациях подчеркивается влияние субъектов, представляющих угрозу Фобоса, на правительства округов, службы экстренной помощи и образовательные учреждения.

Phobos шифрует файлы в зараженных системах, используя различные тактики проникновения, включая скомпрометированные подключения к удаленному рабочему столу (RDP), фишинговые электронные письма и атаки методом перебора.

Phobos использует стандартизированный трехэтапный процесс, используя Smokeloader для скрытого развертывания дополнительных вредоносных программ и применяя сложные методы шифрования.

Варианты Phobos, такие как Backmydata, Devos и другие, нацелены на различные секторы по всему миру, демонстрируя изощренность с помощью социальной инженерии и использования уязвимостей.

Участники Phobos извлекают файлы с помощью таких инструментов, как WinSCP и Mega.io, определяют приоритетность определенных типов данных для кражи и удаляют резервные копии, чтобы предотвратить восстановление, прежде чем шифровать подключенные диски.

Снижение угрозы, исходящей от Phobos и аналогичных программ-вымогателей, требует от организаций внедрения надежных мер кибербезопасности, включая методы безопасного удаленного доступа, резервное копирование данных и обучение сотрудников, а также сетевую архитектуру с нулевым доверием и решения SIEM для раннего обнаружения угроз.

#ParsedReport #CompletenessLow
28-03-2024

Solana Drainer s Source Code Saga: Tracing Its Lineage to the Developers of MS Drainer

https://cyble.com/blog/solana-drainers-source-code-saga-tracing-its-lineage-to-the-developers-of-ms-drainer

Report completeness: Low

Victims:
Cryptocurrency users, 63,000 individuals, 63,210 victims

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1193, T1566.002, T1566.001, T1204.002, T1027, T1583.002, T1589.002, T1598.002, T1114.001

IOCs:
File: 18
Url: 4
Hash: 2

Soft:
Telegram, ChatGPT, Ubuntu

Wallets:
metamask, trezor, solflare_wallet, solflare

Crypto:
solana, ethereum

Algorithms:
zip, sha256

Functions:
sendMessageToChat

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в значительной угрозе кибербезопасности, создаваемой распространением крипто-сливщиков и эксплуатацией пользователей криптовалют субъектами угроз с помощью изощренной тактики социальной инженерии. В тексте обсуждается расследование утечки исходного кода, эволюция крипто-сливщиков, нацеленных на различные кошельки и платформы, тактика, используемая злоумышленниками для обмана жертв, эксплуатация таких платформ, как Google Ads и Twitter, и последствия распространения исходного кода вредоносного ПО в дикой природе. В нем подчеркиваются текущие проблемы, с которыми сталкиваются специалисты по кибербезопасности и правоохранительные органы в борьбе с этими растущими угрозами в сфере киберпреступности.
-----

Криптодрейнеры представляют значительную угрозу кибербезопасности, нацеливаясь на пользователей криптовалют с помощью тактики социальной инженерии.

Исходный код Solana Drainer, найденный на форумах по киберпреступности, содержит подробные инструкции по удалению криптоактивов жертв.

Злоумышленники используют поддельные веб-сайты, электронные письма и документы, чтобы обманом заставить пользователей предоставить доступ к их кошелькам.

Злоумышленники используют такие платформы, как Google Ads и X, для распространения средств для опустошения кошельков, компрометируя известные аккаунты для использования в поддельных схемах раздачи подарков.

Публикация исходного кода вредоносного ПО позволяет разрабатывать новые варианты, что приводит к увеличению числа "сливателей".

Подробные файлы конфигурации для Solana Drainer позволяют злоумышленникам настраивать поведение, настраивать фишинговые страницы и взаимодействовать с блокчейном.

Усилия по обеспечению кибербезопасности осложняются меняющейся тактикой участников угроз, влияющей на доверие к криптовалютным платформам.

#ParsedReport #CompletenessMedium
28-03-2024

Android Malware Vultur Expands Its Wingspan. Executive summary

https://research.nccgroup.com/2024/03/28/android-malware-vultur-expands-its-wingspan

Report completeness: Medium

Threats:
Vultur
Alphavnc_tool
Brunhilda
Vulture

Industry:
Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1475, T1571, T1547, T1444, T1555, T1027, T1111, T1125, T1518, T1020, have more...

IOCs:
File: 18
Hash: 26
Domain: 15

Soft:
Android, Google Chrome

Algorithms:
zip, aes, base64

Functions:
onClick, onAccessibilityEvent, onServiceConnected

Languages:
kotlin, java

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Банковская вредоносная программа для Android Vultur претерпела значительные обновления для расширения своих возможностей, включая расширенные функции удаленного управления, шифрование сообщений, использование законных маскировок приложений, методы обфускации и возможности записи экрана. Разработанный теми же участниками угроз, что и платформа dropper-framework Brunhilda, Vultur нацелен на банковские приложения для кейлоггинга и удаленного управления. Его недавняя эволюция включает развертывание нескольких зашифрованных полезных нагрузок для достижения целей вредоносного ПО, внедрение новых методов C2 и команд обмена сообщениями Firebase Cloud. Vultur использует методы обфускации и машинный код для расшифровки, чтобы избежать обнаружения, что усложняет анализ. Участники угроз используют гибридные методы атаки, чтобы обманом заставить жертв установить вредоносное ПО, уделяя особое внимание максимальному удаленному контролю над зараженными устройствами.
-----

Банковская вредоносная программа для Android Vultur, первоначально обнаруженная в марте 2021 года, недавно претерпела значительные обновления, чтобы расширить свои возможности и избежать обнаружения. Последние функции, добавленные его авторами, включают расширенную функциональность удаленного управления, шифрование связи C2, использование законных маскировок приложений и дополнительные методы запутывания. Теперь Vultur позволяет оператору вредоносного ПО скачивать, выгружать, удалять, устанавливать и находить файлы на устройстве жертвы, управлять устройством с помощью служб специальных возможностей, отображать пользовательские уведомления, отключать Keyguard и предотвращать запуск приложений.

Одним из примечательных аспектов Vultur являются возможности записи экрана, что делает его одним из первых семейств банковских вредоносных программ для Android, включающих такую функциональность. Вредоносное ПО нацелено на банковские приложения для кейлоггинга и удаленного управления. Изначально Vultur распространялся через dropper-фреймворк, известный как Brunhilda, ответственный за размещение вредоносных приложений в Google Play Store. Связь между Brunhilda и Vultur предполагает, что они разработаны одними и теми же участниками угроз.

Недавняя эволюция Vultur предполагает развертывание нескольких зашифрованных полезных нагрузок, при этом конечные полезные нагрузки работают в тандеме для достижения целей вредоносного ПО. В последней версии Vultur представлены новые методы C2 и команды обмена облачными сообщениями Firebase, расширяющие функциональность удаленного доступа с помощью специальных служб. Вредоносная программа теперь может выдавать команды для различных действий, таких как щелчки, прокрутки, свайпы и регулировка громкости, предоставляя злоумышленникам повышенный контроль над скомпрометированными устройствами.

Чтобы избежать обнаружения, Vultur использует методы обфускации и уклонения от обнаружения, включая шифрование сообщений с помощью шифрования AES и кодирования Base64. Использование вредоносным ПО собственного кода для расшифровки полезной нагрузки добавляет дополнительный уровень сложности, делая анализ и реверс-инжиниринг более сложными. Фрагментация вредоносного ПО на несколько полезных нагрузок усложняет процесс анализа и указывает на продолжающиеся усилия по разработке, направленные на дальнейшее расширение его возможностей.

Более того, злоумышленники, стоящие за Vultur, применили новые методы обмана жертв для установки вредоносного ПО, такие как использование гибридной атаки с использованием SMS-сообщений, телефонных звонков и троянских приложений. Такая тактика создает ощущение срочности и использует социальную инженерию, чтобы обманом заставить пользователей установить вредоносное программное обеспечение. Последние версии Vultur демонстрируют сдвиг в сторону максимального удаленного контроля над зараженными устройствами с акцентом на повышение гибкости и функциональности для операторов вредоносных программ.

#ParsedReport #CompletenessMedium
28-03-2024

DinodasRAT Linux implant targeting entities worldwide

https://securelist.com/dinodasrat-linux-implant/112284

Report completeness: Medium

Actors/Campaigns:
Jacana

Threats:
Dinodasrat
Xdealer
Netc

Victims:
Government entities

Industry:
Government

Geo:
Uzbekistan, China, Guyana, Taiwan, Turkey

ChatGPT TTPs:
do not use without manual check
T1059, T1027, T1036, T1136, T1060, T1574, T1071, T1543, T1555, T1041, have more...

IOCs:
Domain: 3
IP: 1
Hash: 2

Soft:
Ubuntu, SystemD, Pidgin

Algorithms:
md5, cbc

Functions:
DelDir, WriteShell

Win API:
ControlService

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание сложного мультиплатформенного бэкдора под названием DinodasRAT, в котором особое внимание уделяется открытию нового варианта Linux, адаптированного для дистрибутивов Linux на базе Red Hat и Ubuntu. Вредоносная программа устанавливает постоянство в зараженных системах, генерирует уникальные идентификаторы для жертв, взаимодействует с сервером управления по протоколу TCP или UDP и шифрует свои сообщения и данные. Участники угроз, стоящие за этим вредоносным ПО, выявленные в ходе атак, включая "Операцию Джакана", нацелены на государственные учреждения и продемонстрировали сосредоточенность на получении и поддержании доступа к серверам Linux для утечки данных и шпионажа.
-----

DinodasRAT, также известный как XDealer, представляет собой сложный мультиплатформенный бэкдор, написанный на C++, который позволяет злоумышленникам отслеживать и извлекать конфиденциальные данные с целевых компьютеров. Первоначально обнаруженная при атаках на правительственные учреждения в Гайане, Windows-версия этого RAT была задокументирована исследователями ESET под кодовым названием "Операция Jacana". После публикации ESET в начале октября 2023 года был обнаружен новый Linux-вариант DinodasRAT, идентифицированный как версия 10 в соответствии с системой управления версиями злоумышленников. Этот Linux-имплантат адаптирован для дистрибутивов на базе Red Hat и Ubuntu Linux.

После выполнения имплантат DinodasRAT Linux создает скрытый файл с определенным форматом, чтобы обеспечить постоянство, гарантируя запуск только одного экземпляра. Он использует такие методы, как вызов функции "daemon" из Linux для запуска в фоновом режиме, и использует сценарии запуска SystemV или SystemD для сохранения в зараженной системе. Имплантат генерирует уникальный идентификатор (UID) для компьютера жертвы на основе даты заражения, сведений об оборудовании, случайно сгенерированных номеров и версии бэкдора. Эта информация хранится в скрытом файле под названием "/etc/.netc.conf", содержащем профиль метаданных жертвы.

Вредоносная программа использует диспетчеры служб Linux, такие как Systemd и SystemV, для обеспечения сохраняемости, адаптируя свои скрипты для дистрибутивов на базе RedHat и систем Ubuntu. Она идентифицирует целевой дистрибутив Linux, проверяя "/proc/version", и устанавливает соответствующий скрипт для сохранения. Связь с сервером командования и контроля (C2) осуществляется по протоколу TCP или UDP, при этом домен C2 жестко закодирован в двоичном коде.

DinodasRAT шифрует свои коммуникации и данные, используя библиотечные функции Pidgin libqq qq_crypt, используя алгоритм шифрования Tiny (TEA) в режиме CBC. Были выявлены совпадения инфраструктуры ключей между версиями Linux и Windows, причем обе версии используют общие ключи шифрования. В данных телеметрии угроз Китай, Тайвань, Турция и Узбекистан были определены как страны, наиболее пострадавшие от этого варианта Linux, обнаруженного продуктами Касперского как HEUR:Backdoor.Linux.Dinodas.a.

Операторы, стоящие за операцией Jacana, продемонстрировали возможность заражения инфраструктуры Linux новым и необнаруженным вариантом DinodasRAT, подчеркнув, что угроза направлена на получение и поддержание доступа к серверам Linux для утечки данных и шпионажа. Этот бэкдор обеспечивает полный контроль над скомпрометированной системой, выявляя ее вредоносные намерения. Клиенты могут получить доступ к подробному анализу последних версий DinodasRAT с помощью частных отчетов об угрозах.

#ParsedReport #CompletenessLow
28-03-2024

PyPi Is Under Attack: Project Creation and User Registration Suspended

https://checkmarx.com/blog/pypi-is-under-attack-project-creation-and-user-registration-suspended

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
The python package index (pypi)

ChatGPT TTPs:
do not use without manual check
T1598, T1553.002, T1027, T1059.006, T1566.001, T1071.001, T1573.002, T1110, T1547.001

IOCs:
Url: 3
Hash: 2

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Недавний инцидент с индексом пакетов Python (PyPI) был связан с продолжающейся кампанией по загрузке вредоносных программ, в ходе которой злоумышленники использовали технику атаки Typosquatting для установки вредоносных пакетов Python, направленных на кражу конфиденциальной информации. Кампания, которая состоялась в марте 2024 года, подчеркнула важность мер кибербезопасности для борьбы с угрозами в экосистемах разработки программного обеспечения.
-----

Недавний инцидент привел к приостановке создания нового проекта и регистрации пользователей в Python Package Index (PyPI) из-за продолжающейся кампании по загрузке вредоносных программ. Исследовательская группа Checkmarx исследовала кампанию с участием нескольких вредоносных пакетов, связанных с одними и теми же участниками угрозы. Эти субъекты угроз использовали технику атаки с использованием Typosquatting через интерфейс командной строки PyPI для установки вредоносных пакетов Python в рамках многоэтапной атаки. Вредоносная полезная нагрузка была направлена на кражу конфиденциальной информации, такой как криптокошельки, данные браузера (файлы cookie, данные расширений) и учетные данные, а также на использование механизма сохранения после перезагрузки системы.

В ходе кампании, которая проводилась в период с 27 по 28 марта 2024 года, на PyPI было загружено несколько вредоносных пакетов Python, создание которых, возможно, было автоматизировано. Файл setup.py Каждого пакета содержал запутанный код, зашифрованный с использованием модуля шифрования Fernet, обеспечивающий автоматическое выполнение при установке. После выполнения файл setup.py попытался получить дополнительную полезную нагрузку с удаленного сервера, динамически создавая URL-адрес, добавляя имя пакета в качестве параметра запроса. Извлеченная полезная нагрузка, также зашифрованная с использованием модуля Fernet, выявила программу-похититель информации, предназначенную для сбора конфиденциальной информации с компьютера жертвы. Кроме того, вредоносная полезная нагрузка включала механизм сохранения активности в скомпрометированных системах после выполнения.

Обнаружение этих вредоносных пакетов в PyPI подчеркивает постоянные угрозы кибербезопасности в экосистеме разработки программного обеспечения. Это служит напоминанием о том, что атаки на хранилища пакетов и цепочки поставок программного обеспечения продолжаются и могут повториться в будущем. Инцидент демонстрирует важность бдительности и надежных мер безопасности для защиты от подобных вредоносных действий в цифровом пространстве.

#ParsedReport #CompletenessLow
28-03-2024

Rhadamanthys malware disguised as a groupware installer (MDS product detection)

https://asec.ahnlab.com/ko/63412

Report completeness: Low

Threats:
Rhadamanthys
Trojan/win.malware-gen.r637934

ChatGPT TTPs:
do not use without manual check
T1190, T1055, T1564, T1027, T1555

IOCs:
File: 4
Path: 2
Hash: 1
IP: 1

Algorithms:
md5

Win API:
ReadFile, NtReadFile

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4