#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в значительной угрозе кибербезопасности, создаваемой распространением крипто-сливщиков и эксплуатацией пользователей криптовалют субъектами угроз с помощью изощренной тактики социальной инженерии. В тексте обсуждается расследование утечки исходного кода, эволюция крипто-сливщиков, нацеленных на различные кошельки и платформы, тактика, используемая злоумышленниками для обмана жертв, эксплуатация таких платформ, как Google Ads и Twitter, и последствия распространения исходного кода вредоносного ПО в дикой природе. В нем подчеркиваются текущие проблемы, с которыми сталкиваются специалисты по кибербезопасности и правоохранительные органы в борьбе с этими растущими угрозами в сфере киберпреступности.
-----

Криптодрейнеры представляют значительную угрозу кибербезопасности, нацеливаясь на пользователей криптовалют с помощью тактики социальной инженерии.

Исходный код Solana Drainer, найденный на форумах по киберпреступности, содержит подробные инструкции по удалению криптоактивов жертв.

Злоумышленники используют поддельные веб-сайты, электронные письма и документы, чтобы обманом заставить пользователей предоставить доступ к их кошелькам.

Злоумышленники используют такие платформы, как Google Ads и X, для распространения средств для опустошения кошельков, компрометируя известные аккаунты для использования в поддельных схемах раздачи подарков.

Публикация исходного кода вредоносного ПО позволяет разрабатывать новые варианты, что приводит к увеличению числа "сливателей".

Подробные файлы конфигурации для Solana Drainer позволяют злоумышленникам настраивать поведение, настраивать фишинговые страницы и взаимодействовать с блокчейном.

Усилия по обеспечению кибербезопасности осложняются меняющейся тактикой участников угроз, влияющей на доверие к криптовалютным платформам.

#ParsedReport #CompletenessMedium
28-03-2024

Android Malware Vultur Expands Its Wingspan. Executive summary

https://research.nccgroup.com/2024/03/28/android-malware-vultur-expands-its-wingspan

Report completeness: Medium

Threats:
Vultur
Alphavnc_tool
Brunhilda
Vulture

Industry:
Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1475, T1571, T1547, T1444, T1555, T1027, T1111, T1125, T1518, T1020, have more...

IOCs:
File: 18
Hash: 26
Domain: 15

Soft:
Android, Google Chrome

Algorithms:
zip, aes, base64

Functions:
onClick, onAccessibilityEvent, onServiceConnected

Languages:
kotlin, java

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Банковская вредоносная программа для Android Vultur претерпела значительные обновления для расширения своих возможностей, включая расширенные функции удаленного управления, шифрование сообщений, использование законных маскировок приложений, методы обфускации и возможности записи экрана. Разработанный теми же участниками угроз, что и платформа dropper-framework Brunhilda, Vultur нацелен на банковские приложения для кейлоггинга и удаленного управления. Его недавняя эволюция включает развертывание нескольких зашифрованных полезных нагрузок для достижения целей вредоносного ПО, внедрение новых методов C2 и команд обмена сообщениями Firebase Cloud. Vultur использует методы обфускации и машинный код для расшифровки, чтобы избежать обнаружения, что усложняет анализ. Участники угроз используют гибридные методы атаки, чтобы обманом заставить жертв установить вредоносное ПО, уделяя особое внимание максимальному удаленному контролю над зараженными устройствами.
-----

Банковская вредоносная программа для Android Vultur, первоначально обнаруженная в марте 2021 года, недавно претерпела значительные обновления, чтобы расширить свои возможности и избежать обнаружения. Последние функции, добавленные его авторами, включают расширенную функциональность удаленного управления, шифрование связи C2, использование законных маскировок приложений и дополнительные методы запутывания. Теперь Vultur позволяет оператору вредоносного ПО скачивать, выгружать, удалять, устанавливать и находить файлы на устройстве жертвы, управлять устройством с помощью служб специальных возможностей, отображать пользовательские уведомления, отключать Keyguard и предотвращать запуск приложений.

Одним из примечательных аспектов Vultur являются возможности записи экрана, что делает его одним из первых семейств банковских вредоносных программ для Android, включающих такую функциональность. Вредоносное ПО нацелено на банковские приложения для кейлоггинга и удаленного управления. Изначально Vultur распространялся через dropper-фреймворк, известный как Brunhilda, ответственный за размещение вредоносных приложений в Google Play Store. Связь между Brunhilda и Vultur предполагает, что они разработаны одними и теми же участниками угроз.

Недавняя эволюция Vultur предполагает развертывание нескольких зашифрованных полезных нагрузок, при этом конечные полезные нагрузки работают в тандеме для достижения целей вредоносного ПО. В последней версии Vultur представлены новые методы C2 и команды обмена облачными сообщениями Firebase, расширяющие функциональность удаленного доступа с помощью специальных служб. Вредоносная программа теперь может выдавать команды для различных действий, таких как щелчки, прокрутки, свайпы и регулировка громкости, предоставляя злоумышленникам повышенный контроль над скомпрометированными устройствами.

Чтобы избежать обнаружения, Vultur использует методы обфускации и уклонения от обнаружения, включая шифрование сообщений с помощью шифрования AES и кодирования Base64. Использование вредоносным ПО собственного кода для расшифровки полезной нагрузки добавляет дополнительный уровень сложности, делая анализ и реверс-инжиниринг более сложными. Фрагментация вредоносного ПО на несколько полезных нагрузок усложняет процесс анализа и указывает на продолжающиеся усилия по разработке, направленные на дальнейшее расширение его возможностей.

Более того, злоумышленники, стоящие за Vultur, применили новые методы обмана жертв для установки вредоносного ПО, такие как использование гибридной атаки с использованием SMS-сообщений, телефонных звонков и троянских приложений. Такая тактика создает ощущение срочности и использует социальную инженерию, чтобы обманом заставить пользователей установить вредоносное программное обеспечение. Последние версии Vultur демонстрируют сдвиг в сторону максимального удаленного контроля над зараженными устройствами с акцентом на повышение гибкости и функциональности для операторов вредоносных программ.

#ParsedReport #CompletenessMedium
28-03-2024

DinodasRAT Linux implant targeting entities worldwide

https://securelist.com/dinodasrat-linux-implant/112284

Report completeness: Medium

Actors/Campaigns:
Jacana

Threats:
Dinodasrat
Xdealer
Netc

Victims:
Government entities

Industry:
Government

Geo:
Uzbekistan, China, Guyana, Taiwan, Turkey

ChatGPT TTPs:
do not use without manual check
T1059, T1027, T1036, T1136, T1060, T1574, T1071, T1543, T1555, T1041, have more...

IOCs:
Domain: 3
IP: 1
Hash: 2

Soft:
Ubuntu, SystemD, Pidgin

Algorithms:
md5, cbc

Functions:
DelDir, WriteShell

Win API:
ControlService

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание сложного мультиплатформенного бэкдора под названием DinodasRAT, в котором особое внимание уделяется открытию нового варианта Linux, адаптированного для дистрибутивов Linux на базе Red Hat и Ubuntu. Вредоносная программа устанавливает постоянство в зараженных системах, генерирует уникальные идентификаторы для жертв, взаимодействует с сервером управления по протоколу TCP или UDP и шифрует свои сообщения и данные. Участники угроз, стоящие за этим вредоносным ПО, выявленные в ходе атак, включая "Операцию Джакана", нацелены на государственные учреждения и продемонстрировали сосредоточенность на получении и поддержании доступа к серверам Linux для утечки данных и шпионажа.
-----

DinodasRAT, также известный как XDealer, представляет собой сложный мультиплатформенный бэкдор, написанный на C++, который позволяет злоумышленникам отслеживать и извлекать конфиденциальные данные с целевых компьютеров. Первоначально обнаруженная при атаках на правительственные учреждения в Гайане, Windows-версия этого RAT была задокументирована исследователями ESET под кодовым названием "Операция Jacana". После публикации ESET в начале октября 2023 года был обнаружен новый Linux-вариант DinodasRAT, идентифицированный как версия 10 в соответствии с системой управления версиями злоумышленников. Этот Linux-имплантат адаптирован для дистрибутивов на базе Red Hat и Ubuntu Linux.

После выполнения имплантат DinodasRAT Linux создает скрытый файл с определенным форматом, чтобы обеспечить постоянство, гарантируя запуск только одного экземпляра. Он использует такие методы, как вызов функции "daemon" из Linux для запуска в фоновом режиме, и использует сценарии запуска SystemV или SystemD для сохранения в зараженной системе. Имплантат генерирует уникальный идентификатор (UID) для компьютера жертвы на основе даты заражения, сведений об оборудовании, случайно сгенерированных номеров и версии бэкдора. Эта информация хранится в скрытом файле под названием "/etc/.netc.conf", содержащем профиль метаданных жертвы.

Вредоносная программа использует диспетчеры служб Linux, такие как Systemd и SystemV, для обеспечения сохраняемости, адаптируя свои скрипты для дистрибутивов на базе RedHat и систем Ubuntu. Она идентифицирует целевой дистрибутив Linux, проверяя "/proc/version", и устанавливает соответствующий скрипт для сохранения. Связь с сервером командования и контроля (C2) осуществляется по протоколу TCP или UDP, при этом домен C2 жестко закодирован в двоичном коде.

DinodasRAT шифрует свои коммуникации и данные, используя библиотечные функции Pidgin libqq qq_crypt, используя алгоритм шифрования Tiny (TEA) в режиме CBC. Были выявлены совпадения инфраструктуры ключей между версиями Linux и Windows, причем обе версии используют общие ключи шифрования. В данных телеметрии угроз Китай, Тайвань, Турция и Узбекистан были определены как страны, наиболее пострадавшие от этого варианта Linux, обнаруженного продуктами Касперского как HEUR:Backdoor.Linux.Dinodas.a.

Операторы, стоящие за операцией Jacana, продемонстрировали возможность заражения инфраструктуры Linux новым и необнаруженным вариантом DinodasRAT, подчеркнув, что угроза направлена на получение и поддержание доступа к серверам Linux для утечки данных и шпионажа. Этот бэкдор обеспечивает полный контроль над скомпрометированной системой, выявляя ее вредоносные намерения. Клиенты могут получить доступ к подробному анализу последних версий DinodasRAT с помощью частных отчетов об угрозах.

#ParsedReport #CompletenessLow
28-03-2024

PyPi Is Under Attack: Project Creation and User Registration Suspended

https://checkmarx.com/blog/pypi-is-under-attack-project-creation-and-user-registration-suspended

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
The python package index (pypi)

ChatGPT TTPs:
do not use without manual check
T1598, T1553.002, T1027, T1059.006, T1566.001, T1071.001, T1573.002, T1110, T1547.001

IOCs:
Url: 3
Hash: 2

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Недавний инцидент с индексом пакетов Python (PyPI) был связан с продолжающейся кампанией по загрузке вредоносных программ, в ходе которой злоумышленники использовали технику атаки Typosquatting для установки вредоносных пакетов Python, направленных на кражу конфиденциальной информации. Кампания, которая состоялась в марте 2024 года, подчеркнула важность мер кибербезопасности для борьбы с угрозами в экосистемах разработки программного обеспечения.
-----

Недавний инцидент привел к приостановке создания нового проекта и регистрации пользователей в Python Package Index (PyPI) из-за продолжающейся кампании по загрузке вредоносных программ. Исследовательская группа Checkmarx исследовала кампанию с участием нескольких вредоносных пакетов, связанных с одними и теми же участниками угрозы. Эти субъекты угроз использовали технику атаки с использованием Typosquatting через интерфейс командной строки PyPI для установки вредоносных пакетов Python в рамках многоэтапной атаки. Вредоносная полезная нагрузка была направлена на кражу конфиденциальной информации, такой как криптокошельки, данные браузера (файлы cookie, данные расширений) и учетные данные, а также на использование механизма сохранения после перезагрузки системы.

В ходе кампании, которая проводилась в период с 27 по 28 марта 2024 года, на PyPI было загружено несколько вредоносных пакетов Python, создание которых, возможно, было автоматизировано. Файл setup.py Каждого пакета содержал запутанный код, зашифрованный с использованием модуля шифрования Fernet, обеспечивающий автоматическое выполнение при установке. После выполнения файл setup.py попытался получить дополнительную полезную нагрузку с удаленного сервера, динамически создавая URL-адрес, добавляя имя пакета в качестве параметра запроса. Извлеченная полезная нагрузка, также зашифрованная с использованием модуля Fernet, выявила программу-похититель информации, предназначенную для сбора конфиденциальной информации с компьютера жертвы. Кроме того, вредоносная полезная нагрузка включала механизм сохранения активности в скомпрометированных системах после выполнения.

Обнаружение этих вредоносных пакетов в PyPI подчеркивает постоянные угрозы кибербезопасности в экосистеме разработки программного обеспечения. Это служит напоминанием о том, что атаки на хранилища пакетов и цепочки поставок программного обеспечения продолжаются и могут повториться в будущем. Инцидент демонстрирует важность бдительности и надежных мер безопасности для защиты от подобных вредоносных действий в цифровом пространстве.

#ParsedReport #CompletenessLow
28-03-2024

Rhadamanthys malware disguised as a groupware installer (MDS product detection)

https://asec.ahnlab.com/ko/63412

Report completeness: Low

Threats:
Rhadamanthys
Trojan/win.malware-gen.r637934

ChatGPT TTPs:
do not use without manual check
T1190, T1055, T1564, T1027, T1555

IOCs:
File: 4
Path: 2
Hash: 1
IP: 1

Algorithms:
md5

Win API:
ReadFile, NtReadFile

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного ПО Rhadamanthys, которое распространяется под видом законной программы установки группового программного обеспечения. Вредоносное ПО использует различные методы, чтобы избежать обнаружения решениями безопасности, в первую очередь фокусируясь на проведении действий по краже информации на ПК жертвы. Аналитический центр безопасности AhnLab (ASEC) выявил эту угрозу и подчеркивает важность использования своей системы защиты от вредоносных программ (MDS) для обнаружения и пресечения таких вредоносных действий, особенно в контексте атак с расширенными постоянными угрозами (APT), связанных с кражей информации.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно выявил распространение вредоносного ПО Rhadamanthys, замаскированного под программу групповой установки. Злоумышленник создал поддельный веб-сайт, который очень напоминал законный сайт, и использовал рекламную функцию поисковой системы, чтобы продвигать его пользователям для распространения. Об этом методе распространения вредоносного ПО через поисковую рекламу ранее сообщалось в блоге ASEC. Вредоносное ПО использует метод непрямого системного вызова, чтобы избежать обнаружения решениями безопасности. Используя этот метод, Rhadamanthys может обойти перехват в пользовательском режиме, обычно используемый антивирусными программами и аналитическими программами. Вредоносная программа напрямую обращается к c:\windows\system32\ntdll.dll, стандартному файлу Windows, и загружает в память отцепленную версию ntdll.dll. Чтобы избежать обнаружения, она сохраняет необходимый код и информацию о системных вызовах в отображенном в памяти ntdll.dll и напрямую переходит к адресу системного вызова подлинного модуля ntdll. Затем Rhadamanthys внедряет программу dialer.exe в путь %system32%, маскируя ее под законный системный файл Windows. Этот процесс внедрения подтверждается вредоносным кодом, распространяемым аналогичным образом.

Основной целью вредоносной программы Rhadamanthys является осуществление действий по краже информации на компьютере жертвы. Система защиты от вредоносных программ AhnLab (MDS) может идентифицировать этот тип вредоносного кода по диагностической сигнатуре "Injection/MDP.Event.M10231" при анализе в изолированной среде. Злоумышленники могут использовать такие тактики, как фишинговые электронные письма или поддельные веб-сайты для распространения вредоносного ПО, замаскированного под законный контент. Этот метод часто обманывает пользователей, заставляя их запускать вредоносное ПО без подозрений. В случае вредоносного ПО infostealer, такого как Rhadamanthys, пользователи могут даже не осознавать, что их система была скомпрометирована. AhnLab MDS, решение для анализа файлов на основе изолированной среды, способно обнаруживать действия, выполняемые вредоносным кодом во время выполнения в виртуальной среде. Сюда входят как известные, так и неизвестные вредоносные коды, используемые в атаках с расширенными постоянными угрозами (APT), которые в конечном итоге приводят к краже информации. Выявляя и анализируя эти действия по краже информации, администраторы могут превентивно предотвращать последующие атаки со стороны того же субъекта угрозы.

#ParsedReport #CompletenessMedium
28-03-2024

Election stealer: SapphireStealer disguised itself as a CEC leaflet about the presidential election

https://habr.com/ru/companies/f_a_c_c_t/articles/803339

Report completeness: Medium

Threats:
Sapphirestealer

Industry:
Government

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1552, T1560, T1105, T1059, T1071, T1140, T1027, T1189, T1193, have more...

IOCs:
Domain: 3
File: 3
Url: 4
IP: 1
Hash: 9
Path: 1
Coin: 1

Soft:
Telegram, Chrome, Opera, Microsoft Edge, Windows task scheduler, task scheduler

Algorithms:
base64, zip, sha1, md5, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Аналитики Cyber threat intelligence обнаружили сложную кампанию по борьбе с киберугрозами, включающую использование модифицированного вредоносного ПО под названием SapphireStealer, распространяемого через поддельные веб-сайты, имитирующие официальные домены российского правительства. Злоумышленники нацеливались на отдельных лиц в период выборов, маскируя вредоносное ПО под официальные избирательные документы и используя скрытые каналы связи через Telegram. Вредоносное ПО было разработано для кражи конфиденциальной информации с зараженных хостов, демонстрируя высокий уровень изощренности своих возможностей. Последствия этого открытия позволяют предположить, что аналогичные векторы атак могут быть использованы в будущих избирательных циклах, создавая значительный риск для кибербезопасности во время таких мероприятий.
-----

Специалисты по анализу угроз из F.A.C.C.T. обнаружили pdf-файл, содержащий конфиденциальную политическую информацию, связанную с прошедшими президентскими выборами, а также модифицированный штамм вредоносного ПО под названием SapphireStealer.

SapphireStealer предназначен для кражи учетных данных из веб-браузеров и платформы обмена сообщениями Telegram. Злоумышленники распространяли вредоносное ПО, используя поддельный веб-сайт, имитирующий домен российского правительства.

Этот инцидент стал первым случаем использования киберпреступниками вредоносного ПО, замаскированного под официальные документы Центральной избирательной комиссии, для нападения на отдельных лиц в период выборов.

Потенциальные последствия этого открытия предполагают, что аналогичные векторы атак могут быть использованы в будущих избирательных циклах, особенно с приближением Единого дня голосования, назначенного на 8 сентября 2024 года.

SapphireStealer в первую очередь нацелен на российских пользователей и распространяется обманными методами, такими как поддельные государственные домены, зеркально отражающие официальные.

Он работает как программа-похититель на базе C#, собирая данные из веб-браузеров, таких как Chrome, Opera, Brave и Microsoft Edge, а также захватывая файлы. Однако функциональные возможности могут отличаться из-за публичного раскрытия его исходного кода.

Вредоносная программа способна собирать конфиденциальные данные и передавать их по электронной почте. Исходный код SapphireStealer был опубликован в Telegram-канале в марте 2022 года.

Недавняя активность, связанная с SapphireStealer, выявляет корреляцию с отчетами Cyble, в которых участники угроз используют темы, связанные с российскими выборами, для обмана жертв.

Файлы-заполнители создаются для того, чтобы отвлечь внимание от вредоносных действий вредоносного ПО, подчеркивая изощренность тактики исполнителей угроз.

Вредоносная программа включает в себя компонент загрузчика, встроенный в систему при запуске, который взаимодействует с предопределенным сервером по скрытым каналам, таким как Telegram.

#ParsedReport #CompletenessLow
28-03-2024

BITTER APT Targets Chinese Government Agency

https://nsfocusglobal.com/bitter-apt-targets-chinese-government-agency

Report completeness: Low

Actors/Campaigns:
Bitter (motivation: information_theft)

Threats:
Spear-phishing_technique
Havoc

Victims:
Chinese government agency

Industry:
Military, Government

Geo:
Chinese, China, Pakistan

ChatGPT TTPs:
do not use without manual check
T1566.002, T1053.005, T1105, T1027, T1071.001, T1560

IOCs:
IP: 2
File: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4