#ParsedReport #CompletenessMedium
24-04-2024
Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices
Report completeness: Medium
Actors/Campaigns:
Arcanedoor (motivation: cyber_espionage)
Uat4356 (motivation: cyber_espionage)
Threats:
Line_runner
Line_dancer_tool
Victims:
Cisco, Multiple telecommunications providers, Multiple energy sector organizations
Industry:
Energy, Telco, Government
Geo:
Canadian, Australian
CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2018-0101 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (<9.1.7.23, <9.4.4.16, <9.2.4.27, <9.6.4.3, <9.8.2.20, <9.7.1.21, <9.9.1.2)
- cisco firepower threat defense (6.0.0, 6.0.1, 6.2.0, 6.1.0, 6.2.2, 6.2.1)
TTPs:
Tactics: 1
Technics: 13
IOCs:
File: 10
Hash: 5
IP: 69
Algorithms:
base64, zip
Functions:
processHostScanReply
Languages:
lua
24-04-2024
Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices
Report completeness: Medium
Actors/Campaigns:
Arcanedoor (motivation: cyber_espionage)
Uat4356 (motivation: cyber_espionage)
Threats:
Line_runner
Line_dancer_tool
Victims:
Cisco, Multiple telecommunications providers, Multiple energy sector organizations
Industry:
Energy, Telco, Government
Geo:
Canadian, Australian
CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2018-0101 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (<9.1.7.23, <9.4.4.16, <9.2.4.27, <9.6.4.3, <9.8.2.20, <9.7.1.21, <9.9.1.2)
- cisco firepower threat defense (6.0.0, 6.0.1, 6.2.0, 6.1.0, 6.2.2, 6.2.1)
TTPs:
Tactics: 1
Technics: 13
IOCs:
File: 10
Hash: 5
IP: 69
Algorithms:
base64, zip
Functions:
processHostScanReply
Languages:
lua
Cisco Talos
ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices
Cisco is aware of new activity targeting certain Cisco Adaptive Security Appliances (ASA) 5500-X Series and has released three CVEs related to the event. We assess with high confidence this activity is related to same threat actor as ArcaneDoor in 2024.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о кампании ArcaneDoor, спонсируемой государством киберугрозе, нацеленной на периферийные сетевые устройства, особенно в таких секторах, как телекоммуникации и энергетика. Кампания была связана с использованием уязвимостей в Cisco Adaptive Security Appliances (ASA) злоумышленниками, зарегистрированными как UAT4356, которые использовали специализированные вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для проникновения в организации с целью разведки, изменения конфигурации и перехвата сетевого трафика. Кампания продемонстрировала передовую тактику уклонения, изощренность в развитии потенциала и использовании уязвимостей нулевого дня, что привело к сотрудничеству между различными разведывательными партнерами и агентствами для проведения расследований и установления виновных. Это подчеркивает сложную природу киберугроз, спонсируемых государством, и важность надежных мер кибербезопасности для снижения рисков.
-----
Кампания ArcaneDoor - это недавняя киберугроза, спонсируемая государством, направленная против сетевых устройств периметра от различных поставщиков, особенно в таких секторах, как телекоммуникации и энергетика.
Cisco обнаружила злоумышленника UAT4356, использующего пользовательские вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для выполнения таких операций, как разведка и манипулирование сетевым трафиком.
В ходе кампании использовались уязвимости CVE-2024-20353 и CVE-2024-20359 для внедрения пользовательских вредоносных программ и выполнения команд преимущественно в правительственных сетях по всему миру.
Компоненты вредоносного ПО включали резидентные в памяти интерпретаторы шеллкода, такие как Line Dancer и Line Runner, позволяющие выполнять произвольную полезную нагрузку и поддерживать доступ на скомпрометированных устройствах.
UAT4356 продемонстрировал продвинутую тактику уклонения, такую как обход операций AAA, отключение ведения журнала и использование анти-криминалистических мер, чтобы избежать обнаружения.
Проведение кампании приписывается спонсируемому государством субъекту, который продемонстрировал изощренность в развитии потенциала, мерах по борьбе с криминалистикой и использовании уязвимостей нулевого дня.
Разведывательные партнеры и агентства, такие как Австралийское управление связи, Канадский центр кибербезопасности и Microsoft Threat Intelligence Center, сотрудничали в расследовании, подчеркивая важность надежных мер кибербезопасности для противодействия киберугрозам, спонсируемым государством.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о кампании ArcaneDoor, спонсируемой государством киберугрозе, нацеленной на периферийные сетевые устройства, особенно в таких секторах, как телекоммуникации и энергетика. Кампания была связана с использованием уязвимостей в Cisco Adaptive Security Appliances (ASA) злоумышленниками, зарегистрированными как UAT4356, которые использовали специализированные вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для проникновения в организации с целью разведки, изменения конфигурации и перехвата сетевого трафика. Кампания продемонстрировала передовую тактику уклонения, изощренность в развитии потенциала и использовании уязвимостей нулевого дня, что привело к сотрудничеству между различными разведывательными партнерами и агентствами для проведения расследований и установления виновных. Это подчеркивает сложную природу киберугроз, спонсируемых государством, и важность надежных мер кибербезопасности для снижения рисков.
-----
Кампания ArcaneDoor - это недавняя киберугроза, спонсируемая государством, направленная против сетевых устройств периметра от различных поставщиков, особенно в таких секторах, как телекоммуникации и энергетика.
Cisco обнаружила злоумышленника UAT4356, использующего пользовательские вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для выполнения таких операций, как разведка и манипулирование сетевым трафиком.
В ходе кампании использовались уязвимости CVE-2024-20353 и CVE-2024-20359 для внедрения пользовательских вредоносных программ и выполнения команд преимущественно в правительственных сетях по всему миру.
Компоненты вредоносного ПО включали резидентные в памяти интерпретаторы шеллкода, такие как Line Dancer и Line Runner, позволяющие выполнять произвольную полезную нагрузку и поддерживать доступ на скомпрометированных устройствах.
UAT4356 продемонстрировал продвинутую тактику уклонения, такую как обход операций AAA, отключение ведения журнала и использование анти-криминалистических мер, чтобы избежать обнаружения.
Проведение кампании приписывается спонсируемому государством субъекту, который продемонстрировал изощренность в развитии потенциала, мерах по борьбе с криминалистикой и использовании уязвимостей нулевого дня.
Разведывательные партнеры и агентства, такие как Австралийское управление связи, Канадский центр кибербезопасности и Microsoft Threat Intelligence Center, сотрудничали в расследовании, подчеркивая важность надежных мер кибербезопасности для противодействия киберугрозам, спонсируемым государством.
#ParsedReport #CompletenessMedium
24-04-2024
Black Hat SEO Leveraged to Distribute Malware
https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware
Report completeness: Medium
Threats:
Blackseo_technique
Seo_poisoning_technique
Process_hollowing_technique
Dll_sideloading_technique
Screenconnect_tool
Industry:
Foodtech, Financial, Entertainment
ChatGPT TTPs:
T1566, T1199, T1027, T1064, T1059.001, T1140, T1112, T1105, T1547.001, T1574.002, have more...
IOCs:
File: 8
Path: 1
Domain: 2
Coin: 1
Hash: 3
Soft:
Chrome, gmail, bitwarden
Wallets:
coinbase, metamask
Crypto:
bitcoin, binance, kucoin
Algorithms:
base58, zip, exhibit, base64, xor
Functions:
CreateProcessInternalA
Win API:
NtQueryInformationProcess, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread
Languages:
javascript, powershell, php
24-04-2024
Black Hat SEO Leveraged to Distribute Malware
https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware
Report completeness: Medium
Threats:
Blackseo_technique
Seo_poisoning_technique
Process_hollowing_technique
Dll_sideloading_technique
Screenconnect_tool
Industry:
Foodtech, Financial, Entertainment
ChatGPT TTPs:
do not use without manual checkT1566, T1199, T1027, T1064, T1059.001, T1140, T1112, T1105, T1547.001, T1574.002, have more...
IOCs:
File: 8
Path: 1
Domain: 2
Coin: 1
Hash: 3
Soft:
Chrome, gmail, bitwarden
Wallets:
coinbase, metamask
Crypto:
bitcoin, binance, kucoin
Algorithms:
base58, zip, exhibit, base64, xor
Functions:
CreateProcessInternalA
Win API:
NtQueryInformationProcess, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread
Languages:
javascript, powershell, php
Zscaler
Black Hat SEO Leveraged to Distribute Malware | ThreatLabz
Learn how threat actors exploit search engine results and create fake sites on web hosting platforms to distribute malware.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Black Hat SEO Leveraged to Distribute Malware https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware Report completeness: Medium Threats: Blackseo_technique Seo_poisoning_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитики cyber threat intelligence выявляют тенденцию появления мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Злоумышленники стремятся манипулировать результатами поиска с помощью SEO-оптимизации, распространяя вредоносную информацию, замаскированную под различные жанры контента, такие как пиратское программное обеспечение и рецепты. Злоумышленники совершают масштабные кражи данных, в частности, нацеливаясь на электронную почту, связанную с криптовалютой. Пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения и отдавать предпочтение веб-сайтам с хорошей репутацией, чтобы снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-оптимизации.
-----
Исследователи Zscaler ThreatLabZ выявили тревожную тенденцию, связанную с появлением мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Эти сайты нацелены на манипулирование результатами поиска с помощью SEO-оптимизации, что повышает их видимость для ничего не подозревающих пользователей. Злоумышленники распространяют вредоносную информацию с помощью многоуровневых архивированных файлов, замаскированных под различные жанры контента, такие как пиратское программное обеспечение, игры и рецепты. После запуска вредоносное ПО собирает обширные данные, такие как системная информация, учетные данные и содержимое электронной почты, связанное с обменом криптовалютами. Чтобы избежать обнаружения, злоумышленники используют методы обфускации и проверяют URL-адреса ссылок, перенаправляя пользователей в зависимости от их метода доступа.
Например, распространенный сценарий заключается в том, что пользователи, ищущие взломанное программное обеспечение, попадают на вредоносный сайт, замаскированный под легитимный. Последовательность атаки включает удаление вредоносной библиотеки DLL во время установки легитимного программного обеспечения, используя дополнительную загрузку библиотеки DLL. Затем эта библиотека DLL запускает скрытые действия, используя explorer.exe с помощью методов "пустого процесса". Кроме того, команды PowerShell загружают запутанные сценарии, замаскированные под расширения браузера, и в конечном итоге подключаются к вредоносному серверу C2 для дальнейших вредоносных действий.
После установления связи с сервером C2 вредоносная программа совершает масштабную кражу данных, в частности, нацеливаясь на электронные сообщения, связанные с криптовалютой, на различных биржах. Она способна изменять содержимое электронной почты, красть коды аутентификации и внедрять код в электронные письма. Кампания по атаке является примером изощренной эксплуатации поведения пользователей, использующей тактику SEO-отравления для распространения вредоносного ПО и потенциального вымогательства у жертв финансовой выгоды.
Для предотвращения подобных угроз пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, избегать подозрительных источников и отдавать предпочтение веб-сайтам с хорошей репутацией. Такой упреждающий подход может значительно снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-анализа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что аналитики cyber threat intelligence выявляют тенденцию появления мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Злоумышленники стремятся манипулировать результатами поиска с помощью SEO-оптимизации, распространяя вредоносную информацию, замаскированную под различные жанры контента, такие как пиратское программное обеспечение и рецепты. Злоумышленники совершают масштабные кражи данных, в частности, нацеливаясь на электронную почту, связанную с криптовалютой. Пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения и отдавать предпочтение веб-сайтам с хорошей репутацией, чтобы снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-оптимизации.
-----
Исследователи Zscaler ThreatLabZ выявили тревожную тенденцию, связанную с появлением мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Эти сайты нацелены на манипулирование результатами поиска с помощью SEO-оптимизации, что повышает их видимость для ничего не подозревающих пользователей. Злоумышленники распространяют вредоносную информацию с помощью многоуровневых архивированных файлов, замаскированных под различные жанры контента, такие как пиратское программное обеспечение, игры и рецепты. После запуска вредоносное ПО собирает обширные данные, такие как системная информация, учетные данные и содержимое электронной почты, связанное с обменом криптовалютами. Чтобы избежать обнаружения, злоумышленники используют методы обфускации и проверяют URL-адреса ссылок, перенаправляя пользователей в зависимости от их метода доступа.
Например, распространенный сценарий заключается в том, что пользователи, ищущие взломанное программное обеспечение, попадают на вредоносный сайт, замаскированный под легитимный. Последовательность атаки включает удаление вредоносной библиотеки DLL во время установки легитимного программного обеспечения, используя дополнительную загрузку библиотеки DLL. Затем эта библиотека DLL запускает скрытые действия, используя explorer.exe с помощью методов "пустого процесса". Кроме того, команды PowerShell загружают запутанные сценарии, замаскированные под расширения браузера, и в конечном итоге подключаются к вредоносному серверу C2 для дальнейших вредоносных действий.
После установления связи с сервером C2 вредоносная программа совершает масштабную кражу данных, в частности, нацеливаясь на электронные сообщения, связанные с криптовалютой, на различных биржах. Она способна изменять содержимое электронной почты, красть коды аутентификации и внедрять код в электронные письма. Кампания по атаке является примером изощренной эксплуатации поведения пользователей, использующей тактику SEO-отравления для распространения вредоносного ПО и потенциального вымогательства у жертв финансовой выгоды.
Для предотвращения подобных угроз пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, избегать подозрительных источников и отдавать предпочтение веб-сайтам с хорошей репутацией. Такой упреждающий подход может значительно снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-анализа.
#ParsedReport #CompletenessHigh
24-04-2024
Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections
https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections
Report completeness: High
Actors/Campaigns:
Sidecopy
Transparenttribe
Rusticweb
Flightnight
Threats:
Allakore_rat
Crimson_rat
Spear-phishing_technique
Ares_rat
Margulasrat
Caprarat
Elizarat
Oblique_rat
Eziriz_tool
Confuserex_tool
Eazfuscator_tool
Poseidon
Dll_sideloading_technique
Victims:
Indian government entities
Industry:
Military, Financial, Government
Geo:
Pakistan, Ukraine, Pakistani, Indian, Netherlands, Germany, India, Asian
TTPs:
Tactics: 9
Technics: 38
IOCs:
File: 15
Registry: 1
Domain: 11
IP: 7
Path: 23
Hash: 43
Url: 14
Soft:
Telegram, Windows Runtime, Windows Image, BinDiff, flutter, Mailbird
Algorithms:
base64, zip
Languages:
delphi, python
Links:
24-04-2024
Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections
https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections
Report completeness: High
Actors/Campaigns:
Sidecopy
Transparenttribe
Rusticweb
Flightnight
Threats:
Allakore_rat
Crimson_rat
Spear-phishing_technique
Ares_rat
Margulasrat
Caprarat
Elizarat
Oblique_rat
Eziriz_tool
Confuserex_tool
Eazfuscator_tool
Poseidon
Dll_sideloading_technique
Victims:
Indian government entities
Industry:
Military, Financial, Government
Geo:
Pakistan, Ukraine, Pakistani, Indian, Netherlands, Germany, India, Asian
TTPs:
Tactics: 9
Technics: 38
IOCs:
File: 15
Registry: 1
Domain: 11
IP: 7
Path: 23
Hash: 43
Url: 14
Soft:
Telegram, Windows Runtime, Windows Image, BinDiff, flutter, Mailbird
Algorithms:
base64, zip
Languages:
delphi, python
Links:
https://github.com/maickonn/AllaKore\_RemoteBlogs on Information Technology, Network & Cybersecurity | Seqrite
Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections
<p>In the recent past, cyberattacks on Indian government entities by Pakistan-linked APTs have gained significant momentum. Seqrite Labs APT team has discovered multiple such campaigns during telemetry analysis and hunting in the wild. One such threat group…
CTT Report Hub
#ParsedReport #CompletenessHigh 24-04-2024 Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в росте числа кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, в частности SideCopy и APT36, с подробным описанием их тактики, методов и сходства инфраструктуры. В анализе подчеркивается растущий уровень угроз, с которыми сталкивается Индия, включая новые кампании фишинга и громкие атаки программ-вымогателей, что подчеркивает необходимость усиления мер кибербезопасности для противодействия изощренным APT-группам, нацеленным на критически важную инфраструктуру и конфиденциальные данные.
-----
Всплеск кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, таких как SideCopy и APT36.
С 2019 года SideCopy использует AllaKore RAT в многочисленных кампаниях, нацеленных на оборонные и правительственные структуры Индии.
Transparent Tribe (APT36) использовали Crimson RAT в закодированных версиях во время тех же событий.
В последнее время отмечается рост продаж доступа к индийским юридическим лицам, громкие атаки программ-вымогателей и деструктивные атаки со стороны групп хакеров Telegram.
Сходства в тактике атак в разных кампаниях, включая использование скомпрометированных доменов, скрытый фишинг и использование RAT, таких как AllaKore.
На потенциальное сотрудничество или совместное использование ресурсов между SideCopy и APT36 указывают совпадения в использовании кода между AllaKore RAT и Crimson RAT.
Тесная связь между APT36 и SideCopy с точки зрения цепочек атак и сходства инфраструктуры.
Для индийских организаций важно усилить меры кибербезопасности, чтобы снизить риски, создаваемые сложными группами APT, в преддверии предстоящих событий, таких как выборы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в росте числа кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, в частности SideCopy и APT36, с подробным описанием их тактики, методов и сходства инфраструктуры. В анализе подчеркивается растущий уровень угроз, с которыми сталкивается Индия, включая новые кампании фишинга и громкие атаки программ-вымогателей, что подчеркивает необходимость усиления мер кибербезопасности для противодействия изощренным APT-группам, нацеленным на критически важную инфраструктуру и конфиденциальные данные.
-----
Всплеск кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, таких как SideCopy и APT36.
С 2019 года SideCopy использует AllaKore RAT в многочисленных кампаниях, нацеленных на оборонные и правительственные структуры Индии.
Transparent Tribe (APT36) использовали Crimson RAT в закодированных версиях во время тех же событий.
В последнее время отмечается рост продаж доступа к индийским юридическим лицам, громкие атаки программ-вымогателей и деструктивные атаки со стороны групп хакеров Telegram.
Сходства в тактике атак в разных кампаниях, включая использование скомпрометированных доменов, скрытый фишинг и использование RAT, таких как AllaKore.
На потенциальное сотрудничество или совместное использование ресурсов между SideCopy и APT36 указывают совпадения в использовании кода между AllaKore RAT и Crimson RAT.
Тесная связь между APT36 и SideCopy с точки зрения цепочек атак и сходства инфраструктуры.
Для индийских организаций важно усилить меры кибербезопасности, чтобы снизить риски, создаваемые сложными группами APT, в преддверии предстоящих событий, таких как выборы.
#ParsedReport #CompletenessMedium
24-04-2024
APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve-2022-38028
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Vice_society
Threats:
Gooseegg_tool
Printnightmare_vuln
Magniber
Victims:
Microsoft, Governmental organizations, Non-governmental organizations, Educational institutions, Transportation organizations
Industry:
Ngo, Energy, Transport, Government
Geo:
Ukraine, Russian, America
CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
ChatGPT TTPs:
T1068, T1078, T1059, T1564, T1547, T1574, T1021
IOCs:
File: 9
Hash: 4
Soft:
Windows Print Spooler, Microsoft Outlook
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
24-04-2024
APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve-2022-38028
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Vice_society
Threats:
Gooseegg_tool
Printnightmare_vuln
Magniber
Victims:
Microsoft, Governmental organizations, Non-governmental organizations, Educational institutions, Transportation organizations
Industry:
Ngo, Energy, Transport, Government
Geo:
Ukraine, Russian, America
CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)
CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
ChatGPT TTPs:
do not use without manual checkT1068, T1078, T1059, T1564, T1547, T1574, T1021
IOCs:
File: 9
Hash: 4
Soft:
Windows Print Spooler, Microsoft Outlook
Algorithms:
sha256
Win Services:
PrintSpooler
Languages:
javascript
Platforms:
intel
SOCRadar® Cyber Intelligence Inc.
APT28 Deploys ‘GooseEgg’ in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028
Microsoft recently shed light on a campaign orchestrated by the Russian-based threat actor Forest Blizzard, employing a tool named 'GooseEgg'...
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028 https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Microsoft обнаружила киберкампанию, возглавляемую базирующимся в России агентом по борьбе с угрозами Forest Blizzard, использующим пользовательский инструмент GooseEgg для использования уязвимости в службе диспетчера очереди печати Windows. Целью Forest Blizzard является получение расширенного доступа к целевым системам, кража учетных данных и осуществление вредоносных действий, таких как повышение привилегий и перемещение по скомпрометированным сетям. Злоумышленник, связанный с российской разведкой, нацелен на различные сектора по всему миру и, как было замечено, использует другие эксплойты наряду с выявленной уязвимостью. Организации, использующие продукты Microsoft, подвергаются риску использования злоумышленниками, такими как Forest Blizzard, что подчеркивает важность получения информации и принятия строгих мер кибербезопасности для предотвращения потенциальных нарушений.
-----
Microsoft раскрыла кибератаку российского злоумышленника Forest Blizzard, который использовал инструмент GooseEgg для использования CVE-2022-38028 в службе диспетчера очереди печати Windows.
"Лесная метель" нацелена на правительственные, неправительственные, образовательные и транспортные организации в Украине, Западной Европе и Северной Америке.
GooseEgg позволяет повышать привилегии, красть учетные данные, устанавливать бэкдор, удаленно выполнять код и перемещаться по скомпрометированным сетям.
Цель Forest Blizzard - получить доступ, украсть учетные данные и информацию, развернув GooseEgg с помощью пакетных сценариев, таких как execute.bat и doit.bat.
Forest Blizzard, также известная как APT28, фокусируется на стратегических разведывательных задачах, поддерживающих цели российской внешней политики, по крайней мере, с 2010 года.
Forest Blizzard использовала другие эксплойты, такие как CVE-2023-23397, наряду со службой диспетчера очереди печати Windows.
Кампания имеет большое значение, поскольку поставщики систем безопасности ранее не сообщали об использовании GooseEgg компанией Forest Blizzard, а другие группы программ-вымогателей использовали аналогичные уязвимости.
Microsoft Threat Intelligence предоставляет информацию о тактике Forest Blizzard, уделяя особое внимание получению несанкционированного доступа и краже конфиденциальной информации.
Организации должны быть постоянно информированы о таких субъектах угрозы и инструментах для повышения уровня кибербезопасности и предотвращения нарушений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Microsoft обнаружила киберкампанию, возглавляемую базирующимся в России агентом по борьбе с угрозами Forest Blizzard, использующим пользовательский инструмент GooseEgg для использования уязвимости в службе диспетчера очереди печати Windows. Целью Forest Blizzard является получение расширенного доступа к целевым системам, кража учетных данных и осуществление вредоносных действий, таких как повышение привилегий и перемещение по скомпрометированным сетям. Злоумышленник, связанный с российской разведкой, нацелен на различные сектора по всему миру и, как было замечено, использует другие эксплойты наряду с выявленной уязвимостью. Организации, использующие продукты Microsoft, подвергаются риску использования злоумышленниками, такими как Forest Blizzard, что подчеркивает важность получения информации и принятия строгих мер кибербезопасности для предотвращения потенциальных нарушений.
-----
Microsoft раскрыла кибератаку российского злоумышленника Forest Blizzard, который использовал инструмент GooseEgg для использования CVE-2022-38028 в службе диспетчера очереди печати Windows.
"Лесная метель" нацелена на правительственные, неправительственные, образовательные и транспортные организации в Украине, Западной Европе и Северной Америке.
GooseEgg позволяет повышать привилегии, красть учетные данные, устанавливать бэкдор, удаленно выполнять код и перемещаться по скомпрометированным сетям.
Цель Forest Blizzard - получить доступ, украсть учетные данные и информацию, развернув GooseEgg с помощью пакетных сценариев, таких как execute.bat и doit.bat.
Forest Blizzard, также известная как APT28, фокусируется на стратегических разведывательных задачах, поддерживающих цели российской внешней политики, по крайней мере, с 2010 года.
Forest Blizzard использовала другие эксплойты, такие как CVE-2023-23397, наряду со службой диспетчера очереди печати Windows.
Кампания имеет большое значение, поскольку поставщики систем безопасности ранее не сообщали об использовании GooseEgg компанией Forest Blizzard, а другие группы программ-вымогателей использовали аналогичные уязвимости.
Microsoft Threat Intelligence предоставляет информацию о тактике Forest Blizzard, уделяя особое внимание получению несанкционированного доступа и краже конфиденциальной информации.
Организации должны быть постоянно информированы о таких субъектах угрозы и инструментах для повышения уровня кибербезопасности и предотвращения нарушений.
#ParsedReport #CompletenessMedium
24-04-2024
The new Scaly Wolf bootloader turned out to be unusable for attacks
https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak
Report completeness: Medium
Actors/Campaigns:
Scaly_wolf
Threats:
Donut
Whitesnake_stealer
Snake_keylogger
Spear-phishing_technique
Process_injection_technique
Geo:
Russian, Belarusian, Russia
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 6
Path: 1
Command: 1
Domain: 2
Url: 27
Hash: 3
Soft:
Windows kernel, OpenSSH
Platforms:
intel
24-04-2024
The new Scaly Wolf bootloader turned out to be unusable for attacks
https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak
Report completeness: Medium
Actors/Campaigns:
Scaly_wolf
Threats:
Donut
Whitesnake_stealer
Snake_keylogger
Spear-phishing_technique
Process_injection_technique
Geo:
Russian, Belarusian, Russia
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 6
Path: 1
Command: 1
Domain: 2
Url: 27
Hash: 3
Soft:
Windows kernel, OpenSSH
Platforms:
intel
BI.ZONE
Новый загрузчик Scaly Wolf оказался непригодным для атак
Специалисты BI.ZONE Threat Intelligence обнаружили свежую кампанию группировки, нацеленную на российские и белорусские организации
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 The new Scaly Wolf bootloader turned out to be unusable for attacks https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak Report completeness: Medium Actors/Campaigns: Scaly_wolf…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Аналитики, занимающиеся анализом киберугроз, обнаружили новую кампанию, направленную против российских и белорусских организаций, для которой характерны новые тактические приемы, такие как использование защищенных паролем архивов для распространения вредоносных программ с помощью фишинговых электронных писем. В одном из инцидентов было установлено, что федеральное агентство распространяло вредоносный контент под видом законных документов. В атаке был задействован сложный загрузчик под названием "Недействительный принтер", который внедрил вредоносный код в explorer.exe, используя передовые методы обхода. В качестве полезной нагрузки использовался White Snake stealer, способный загружать другие вредоносные программы. Для борьбы с такими угрозами организациям рекомендуется повысить безопасность конечных точек с помощью таких решений, как BI.ЗОНИРУЙТЕ EDR и используйте аналитические данные об угрозах для улучшения возможностей реагирования на инциденты.
-----
Специалисты BI.ZONE по анализу угроз обнаружили новую кампанию, направленную против российских и белорусских организаций, проводимую неустановленной группой. Кампания продолжает развиваться, в ее арсенал добавляются новые инструменты. Злоумышленники используют защищенные паролем архивы для обхода мер безопасности и эффективного распространения вредоносного ПО. Отправляя фишинговые электронные письма от имени различных подразделений, злоумышленники значительно повышают шансы жертв на взаимодействие с вредоносными вложениями.
В ходе конкретного инцидента в рамках этой кампании злоумышленники отправляли фишинговые электронные письма, представляясь федеральным агентством, прилагая, казалось бы, законный документ, чтобы усыпить бдительность пользователя. За этим документом последовал защищенный паролем архив с именем "Пароль 120917.txt", содержащий файл с названием "Права, обязанности и порядок применения статей 164, 170, 183 Уголовно-процессуального кодекса Российской Федерации.rtf". Хотя на первый взгляд это были законные документы, они должны были отвлечь пользователя от реальной угрозы - исполняемого файла с расширением ".exe", содержащего вредоносную полезную нагрузку.
Вредоносная полезная нагрузка в исполняемом файле была идентифицирована как загрузчик с именем "Недопустимый принтер", который при запуске проверял наличие виртуальной среды, прежде чем внедрить вредоносную полезную нагрузку в адресное пространство процесса "explorer.exe ." В отличие от обычных вредоносных программ, этот загрузчик напрямую обращался к ядру Windows без использования WinAPI-вызовов. Кроме того, он пытался открыть несуществующие случайные файлы и записать в них случайные данные, что потенциально могло помочь в обнаружении вредоносной активности.
Дальнейший анализ показал, что полезная нагрузка, выполняемая загрузчиком, представляет собой шеллкод, сгенерированный с использованием утилиты Donut с открытым исходным кодом. Шеллкод запускал White Snake stealer версии 1.6.1.9, последнюю версию stealer по состоянию на март 2024 года. White Snake способен использовать легальные сервисы, такие как serveo.net, и загружать OpenSSH для выполнения вредоносных действий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Аналитики, занимающиеся анализом киберугроз, обнаружили новую кампанию, направленную против российских и белорусских организаций, для которой характерны новые тактические приемы, такие как использование защищенных паролем архивов для распространения вредоносных программ с помощью фишинговых электронных писем. В одном из инцидентов было установлено, что федеральное агентство распространяло вредоносный контент под видом законных документов. В атаке был задействован сложный загрузчик под названием "Недействительный принтер", который внедрил вредоносный код в explorer.exe, используя передовые методы обхода. В качестве полезной нагрузки использовался White Snake stealer, способный загружать другие вредоносные программы. Для борьбы с такими угрозами организациям рекомендуется повысить безопасность конечных точек с помощью таких решений, как BI.ЗОНИРУЙТЕ EDR и используйте аналитические данные об угрозах для улучшения возможностей реагирования на инциденты.
-----
Специалисты BI.ZONE по анализу угроз обнаружили новую кампанию, направленную против российских и белорусских организаций, проводимую неустановленной группой. Кампания продолжает развиваться, в ее арсенал добавляются новые инструменты. Злоумышленники используют защищенные паролем архивы для обхода мер безопасности и эффективного распространения вредоносного ПО. Отправляя фишинговые электронные письма от имени различных подразделений, злоумышленники значительно повышают шансы жертв на взаимодействие с вредоносными вложениями.
В ходе конкретного инцидента в рамках этой кампании злоумышленники отправляли фишинговые электронные письма, представляясь федеральным агентством, прилагая, казалось бы, законный документ, чтобы усыпить бдительность пользователя. За этим документом последовал защищенный паролем архив с именем "Пароль 120917.txt", содержащий файл с названием "Права, обязанности и порядок применения статей 164, 170, 183 Уголовно-процессуального кодекса Российской Федерации.rtf". Хотя на первый взгляд это были законные документы, они должны были отвлечь пользователя от реальной угрозы - исполняемого файла с расширением ".exe", содержащего вредоносную полезную нагрузку.
Вредоносная полезная нагрузка в исполняемом файле была идентифицирована как загрузчик с именем "Недопустимый принтер", который при запуске проверял наличие виртуальной среды, прежде чем внедрить вредоносную полезную нагрузку в адресное пространство процесса "explorer.exe ." В отличие от обычных вредоносных программ, этот загрузчик напрямую обращался к ядру Windows без использования WinAPI-вызовов. Кроме того, он пытался открыть несуществующие случайные файлы и записать в них случайные данные, что потенциально могло помочь в обнаружении вредоносной активности.
Дальнейший анализ показал, что полезная нагрузка, выполняемая загрузчиком, представляет собой шеллкод, сгенерированный с использованием утилиты Donut с открытым исходным кодом. Шеллкод запускал White Snake stealer версии 1.6.1.9, последнюю версию stealer по состоянию на март 2024 года. White Snake способен использовать легальные сервисы, такие как serveo.net, и загружать OpenSSH для выполнения вредоносных действий.
#ParsedReport #CompletenessLow
25-04-2024
Ransomware Roundup - KageNoHitobito and DoNex
https://www.fortinet.com/blog/threat-research/ransomware-roundup-keganohitobito-and-donex
Report completeness: Low
Threats:
Kagenohitobito
Darkrace
Shadow_copies_delete_technique
Industry:
Ics
Geo:
Belgium, America, Lithuania, Czech, Netherlands, Taiwan, Chile, Italy, Germany, Iran, Peru, Japanese, China, Sweden, Romania
ChatGPT TTPs:
T1486, T1486, T1027, T1027, T1490, T1567
IOCs:
File: 14
Hash: 10
Soft:
chrome, onenote, outlook, msexchange
Win Services:
powerpnt, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr
Platforms:
x86, intel
25-04-2024
Ransomware Roundup - KageNoHitobito and DoNex
https://www.fortinet.com/blog/threat-research/ransomware-roundup-keganohitobito-and-donex
Report completeness: Low
Threats:
Kagenohitobito
Darkrace
Shadow_copies_delete_technique
Industry:
Ics
Geo:
Belgium, America, Lithuania, Czech, Netherlands, Taiwan, Chile, Italy, Germany, Iran, Peru, Japanese, China, Sweden, Romania
ChatGPT TTPs:
do not use without manual checkT1486, T1486, T1027, T1027, T1490, T1567
IOCs:
File: 14
Hash: 10
Soft:
chrome, onenote, outlook, msexchange
Win Services:
powerpnt, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr
Platforms:
x86, intel
Fortinet Blog
Ransomware Roundup - KageNoHitobito and DoNex
The KageNoHitobito and DoNex are recent ransomware that are financially motivated, demanding payment from victims to decrypt files. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Ransomware Roundup - KageNoHitobito and DoNex https://www.fortinet.com/blog/threat-research/ransomware-roundup-keganohitobito-and-donex Report completeness: Low Threats: Kagenohitobito Darkrace Shadow_copies_delete_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В двухнедельных отчетах FortiGuard Labs о вариантах программ-вымогателей основное внимание уделяется KageNoHitobito и DoNex, двум недавним угрозам-вымогателям с уникальными функциями и потенциальными связями с другими известными группами.
-----
FortiGuard Labs раз в две недели публикует отчеты о вариантах программ-вымогателей, которые набирают популярность в наборах данных и OSINT. В последнем обзоре программ-вымогателей рассматриваются KageNoHitobito и DoNex. В конце марта 2024 года появилась программа KageNoHitobito, шифрующая файлы с расширением ".hitobito" и отображающая уведомления о выкупе, требующие платы за расшифровку. Вредоносное ПО могло распространяться с помощью поддельного программного обеспечения или игровых читов на файлообменных сервисах. Он работает только на локальных дисках, прекращает активность по истечении установленного срока и направляет жертв на сайт TOR для переговоров, хотя чат, похоже, никак не связан с обсуждением вопроса о выкупе.
В начале марта 2024 года появилась новая группа программ-вымогателей DoNex, которая шифрует файлы как на локальных, так и на сетевых дисках. Программа добавляет идентификатор жертвы к зашифрованным файлам и удаляет теневые копии для предотвращения восстановления. У DoNex есть общие черты с DarkRace, что указывает на потенциальную связь между ними. Жертвы DoNex, список которых был опубликован на сайте по утечке данных TOR, охватывают Бельгию, Чехию, Италию, Нидерланды и Соединенные Штаты.
В обоих вариантах программ-вымогателей отсутствует информация об их переносчиках заражения, хотя, вероятно, применяются типичные методы. Чат, связанный с KageNoHitobito, по-видимому, не предполагает переговоров о выкупе. Примечательно, что жертвы DoNex, как было отмечено, были на сайте утечки данных до публикации отчета, что намекает на более раннее распространение.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В двухнедельных отчетах FortiGuard Labs о вариантах программ-вымогателей основное внимание уделяется KageNoHitobito и DoNex, двум недавним угрозам-вымогателям с уникальными функциями и потенциальными связями с другими известными группами.
-----
FortiGuard Labs раз в две недели публикует отчеты о вариантах программ-вымогателей, которые набирают популярность в наборах данных и OSINT. В последнем обзоре программ-вымогателей рассматриваются KageNoHitobito и DoNex. В конце марта 2024 года появилась программа KageNoHitobito, шифрующая файлы с расширением ".hitobito" и отображающая уведомления о выкупе, требующие платы за расшифровку. Вредоносное ПО могло распространяться с помощью поддельного программного обеспечения или игровых читов на файлообменных сервисах. Он работает только на локальных дисках, прекращает активность по истечении установленного срока и направляет жертв на сайт TOR для переговоров, хотя чат, похоже, никак не связан с обсуждением вопроса о выкупе.
В начале марта 2024 года появилась новая группа программ-вымогателей DoNex, которая шифрует файлы как на локальных, так и на сетевых дисках. Программа добавляет идентификатор жертвы к зашифрованным файлам и удаляет теневые копии для предотвращения восстановления. У DoNex есть общие черты с DarkRace, что указывает на потенциальную связь между ними. Жертвы DoNex, список которых был опубликован на сайте по утечке данных TOR, охватывают Бельгию, Чехию, Италию, Нидерланды и Соединенные Штаты.
В обоих вариантах программ-вымогателей отсутствует информация об их переносчиках заражения, хотя, вероятно, применяются типичные методы. Чат, связанный с KageNoHitobito, по-видимому, не предполагает переговоров о выкупе. Примечательно, что жертвы DoNex, как было отмечено, были на сайте утечки данных до публикации отчета, что намекает на более раннее распространение.
#ParsedReport #CompletenessLow
25-04-2024
Brokewell: do not go broke from new banking malware!
https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware
Report completeness: Low
Actors/Campaigns:
Hadoken_security (motivation: cyber_criminal)
Threats:
Brokewell
Victims:
Financial institutions, Buy now, pay later financial service, Austrian digital authentication application
Industry:
Financial
Geo:
Austria, Austrian
ChatGPT TTPs:
T1404, T1444, T1406, T1573, T1412, T1430, T1429
IOCs:
Hash: 2
Soft:
Android
25-04-2024
Brokewell: do not go broke from new banking malware!
https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware
Report completeness: Low
Actors/Campaigns:
Hadoken_security (motivation: cyber_criminal)
Threats:
Brokewell
Victims:
Financial institutions, Buy now, pay later financial service, Austrian digital authentication application
Industry:
Financial
Geo:
Austria, Austrian
ChatGPT TTPs:
do not use without manual checkT1404, T1444, T1406, T1573, T1412, T1430, T1429
IOCs:
Hash: 2
Soft:
Android
ThreatFabric
Brokewell: do not go broke from new banking malware!
Explore the new malware family, Brokewell, with Device Takeover capabilities. Understand the risks it poses to financial institutions and how to stay protected.
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Brokewell: do not go broke from new banking malware! https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware Report completeness: Low Actors/Campaigns: Hadoken_security (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Появление нового сложного мобильного вредоносного ПО под названием "Brokewell" с расширенными возможностями захвата устройств представляет серьезную угрозу для банковской отрасли. Вредоносное ПО использует различные методы для кражи конфиденциальной информации, удаленного управления устройствами и сбора данных, что затрудняет работу традиционных средств обнаружения мошенничества. Разработчики Brokewell не скрывают своей личности, что свидетельствует о переходе к разработке более специализированных мобильных вредоносных программ. Расширяющиеся возможности Brokewell подчеркивают необходимость в комплексных решениях по обнаружению мошенничества для эффективной борьбы с подобными угрозами и защиты клиентов финансовых учреждений.
-----
Новое семейство вредоносных программ для мобильных устройств под названием "Brokewell" обладает расширенными возможностями захвата устройств, что представляет серьезную угрозу для банковской отрасли.
Brokewell распространяется через поддельные страницы обновления браузера на устройствах Android и крадет учетные данные пользователей с помощью оверлейных атак.
Вредоносная программа может регистрировать действия устройства, перехватывать файлы cookie сеанса, собирать такие данные, как история звонков и геолокация, а также записывать аудио.
Это позволяет злоумышленникам удаленно управлять устройствами с помощью потоковой передачи с экрана, позволяя выполнять такие действия, как касания, свайпы и щелчки.
Хранилище вредоносного ПО принадлежит компании "Brokewell Cyber Labs", созданной "Бароном Самедитом", который занялся разработкой вредоносного ПО для мобильных устройств.
Brokewell обходит ограничения Android 13+ на доступность сервиса для сторонних приложений, что потенциально снижает возможности киберпреступников по распространению вредоносного ПО для мобильных устройств.
Развитие Brokewell свидетельствует о постоянном спросе киберпреступников на возможности захвата устройств, что бросает вызов инструментам обнаружения мошенничества, основанным на идентификации устройств.
Дальнейшая эволюция вредоносного ПО может включать в себя его рекламу на подпольных платформах в качестве услуги по аренде, что привлечет больше киберпреступников для его использования в различных кампаниях.
Комплексные решения для обнаружения мошенничества, основанные на множестве показателей, таких как риски для устройств, поведения и личных данных, имеют решающее значение для борьбы с угрозами, исходящими от вредоносных программ, таких как Brokewell.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Появление нового сложного мобильного вредоносного ПО под названием "Brokewell" с расширенными возможностями захвата устройств представляет серьезную угрозу для банковской отрасли. Вредоносное ПО использует различные методы для кражи конфиденциальной информации, удаленного управления устройствами и сбора данных, что затрудняет работу традиционных средств обнаружения мошенничества. Разработчики Brokewell не скрывают своей личности, что свидетельствует о переходе к разработке более специализированных мобильных вредоносных программ. Расширяющиеся возможности Brokewell подчеркивают необходимость в комплексных решениях по обнаружению мошенничества для эффективной борьбы с подобными угрозами и защиты клиентов финансовых учреждений.
-----
Новое семейство вредоносных программ для мобильных устройств под названием "Brokewell" обладает расширенными возможностями захвата устройств, что представляет серьезную угрозу для банковской отрасли.
Brokewell распространяется через поддельные страницы обновления браузера на устройствах Android и крадет учетные данные пользователей с помощью оверлейных атак.
Вредоносная программа может регистрировать действия устройства, перехватывать файлы cookie сеанса, собирать такие данные, как история звонков и геолокация, а также записывать аудио.
Это позволяет злоумышленникам удаленно управлять устройствами с помощью потоковой передачи с экрана, позволяя выполнять такие действия, как касания, свайпы и щелчки.
Хранилище вредоносного ПО принадлежит компании "Brokewell Cyber Labs", созданной "Бароном Самедитом", который занялся разработкой вредоносного ПО для мобильных устройств.
Brokewell обходит ограничения Android 13+ на доступность сервиса для сторонних приложений, что потенциально снижает возможности киберпреступников по распространению вредоносного ПО для мобильных устройств.
Развитие Brokewell свидетельствует о постоянном спросе киберпреступников на возможности захвата устройств, что бросает вызов инструментам обнаружения мошенничества, основанным на идентификации устройств.
Дальнейшая эволюция вредоносного ПО может включать в себя его рекламу на подпольных платформах в качестве услуги по аренде, что привлечет больше киберпреступников для его использования в различных кампаниях.
Комплексные решения для обнаружения мошенничества, основанные на множестве показателей, таких как риски для устройств, поведения и личных данных, имеют решающее значение для борьбы с угрозами, исходящими от вредоносных программ, таких как Brokewell.