CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessMedium
24-04-2024

Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices

Report completeness: Medium

Actors/Campaigns:
Arcanedoor (motivation: cyber_espionage)
Uat4356 (motivation: cyber_espionage)

Threats:
Line_runner
Line_dancer_tool

Victims:
Cisco, Multiple telecommunications providers, Multiple energy sector organizations

Industry:
Energy, Telco, Government

Geo:
Canadian, Australian

CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-20353 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-0101 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (<9.1.7.23, <9.4.4.16, <9.2.4.27, <9.6.4.3, <9.8.2.20, <9.7.1.21, <9.9.1.2)
- cisco firepower threat defense (6.0.0, 6.0.1, 6.2.0, 6.1.0, 6.2.2, 6.2.1)


TTPs:
Tactics: 1
Technics: 13

IOCs:
File: 10
Hash: 5
IP: 69

Algorithms:
base64, zip

Functions:
processHostScanReply

Languages:
lua
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Cisco Talos Blog. ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о кампании ArcaneDoor, спонсируемой государством киберугрозе, нацеленной на периферийные сетевые устройства, особенно в таких секторах, как телекоммуникации и энергетика. Кампания была связана с использованием уязвимостей в Cisco Adaptive Security Appliances (ASA) злоумышленниками, зарегистрированными как UAT4356, которые использовали специализированные вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для проникновения в организации с целью разведки, изменения конфигурации и перехвата сетевого трафика. Кампания продемонстрировала передовую тактику уклонения, изощренность в развитии потенциала и использовании уязвимостей нулевого дня, что привело к сотрудничеству между различными разведывательными партнерами и агентствами для проведения расследований и установления виновных. Это подчеркивает сложную природу киберугроз, спонсируемых государством, и важность надежных мер кибербезопасности для снижения рисков.
-----

Кампания ArcaneDoor - это недавняя киберугроза, спонсируемая государством, направленная против сетевых устройств периметра от различных поставщиков, особенно в таких секторах, как телекоммуникации и энергетика.

Cisco обнаружила злоумышленника UAT4356, использующего пользовательские вредоносные инструменты, такие как "Line Runner" и "Line Dancer", для выполнения таких операций, как разведка и манипулирование сетевым трафиком.

В ходе кампании использовались уязвимости CVE-2024-20353 и CVE-2024-20359 для внедрения пользовательских вредоносных программ и выполнения команд преимущественно в правительственных сетях по всему миру.

Компоненты вредоносного ПО включали резидентные в памяти интерпретаторы шеллкода, такие как Line Dancer и Line Runner, позволяющие выполнять произвольную полезную нагрузку и поддерживать доступ на скомпрометированных устройствах.

UAT4356 продемонстрировал продвинутую тактику уклонения, такую как обход операций AAA, отключение ведения журнала и использование анти-криминалистических мер, чтобы избежать обнаружения.

Проведение кампании приписывается спонсируемому государством субъекту, который продемонстрировал изощренность в развитии потенциала, мерах по борьбе с криминалистикой и использовании уязвимостей нулевого дня.

Разведывательные партнеры и агентства, такие как Австралийское управление связи, Канадский центр кибербезопасности и Microsoft Threat Intelligence Center, сотрудничали в расследовании, подчеркивая важность надежных мер кибербезопасности для противодействия киберугрозам, спонсируемым государством.
#ParsedReport #CompletenessMedium
24-04-2024

Black Hat SEO Leveraged to Distribute Malware

https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware

Report completeness: Medium

Threats:
Blackseo_technique
Seo_poisoning_technique
Process_hollowing_technique
Dll_sideloading_technique
Screenconnect_tool

Industry:
Foodtech, Financial, Entertainment

ChatGPT TTPs:
do not use without manual check
T1566, T1199, T1027, T1064, T1059.001, T1140, T1112, T1105, T1547.001, T1574.002, have more...

IOCs:
File: 8
Path: 1
Domain: 2
Coin: 1
Hash: 3

Soft:
Chrome, gmail, bitwarden

Wallets:
coinbase, metamask

Crypto:
bitcoin, binance, kucoin

Algorithms:
base58, zip, exhibit, base64, xor

Functions:
CreateProcessInternalA

Win API:
NtQueryInformationProcess, VirtualAllocEx, NtUnmapViewOfSection, WriteProcessMemory, ResumeThread

Languages:
javascript, powershell, php
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 Black Hat SEO Leveraged to Distribute Malware https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware Report completeness: Medium Threats: Blackseo_technique Seo_poisoning_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики cyber threat intelligence выявляют тенденцию появления мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Злоумышленники стремятся манипулировать результатами поиска с помощью SEO-оптимизации, распространяя вредоносную информацию, замаскированную под различные жанры контента, такие как пиратское программное обеспечение и рецепты. Злоумышленники совершают масштабные кражи данных, в частности, нацеливаясь на электронную почту, связанную с криптовалютой. Пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения и отдавать предпочтение веб-сайтам с хорошей репутацией, чтобы снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-оптимизации.
-----

Исследователи Zscaler ThreatLabZ выявили тревожную тенденцию, связанную с появлением мошеннических веб-сайтов, размещающих вредоносное ПО на популярных веб-хостингах и платформах для ведения блогов. Эти сайты нацелены на манипулирование результатами поиска с помощью SEO-оптимизации, что повышает их видимость для ничего не подозревающих пользователей. Злоумышленники распространяют вредоносную информацию с помощью многоуровневых архивированных файлов, замаскированных под различные жанры контента, такие как пиратское программное обеспечение, игры и рецепты. После запуска вредоносное ПО собирает обширные данные, такие как системная информация, учетные данные и содержимое электронной почты, связанное с обменом криптовалютами. Чтобы избежать обнаружения, злоумышленники используют методы обфускации и проверяют URL-адреса ссылок, перенаправляя пользователей в зависимости от их метода доступа.

Например, распространенный сценарий заключается в том, что пользователи, ищущие взломанное программное обеспечение, попадают на вредоносный сайт, замаскированный под легитимный. Последовательность атаки включает удаление вредоносной библиотеки DLL во время установки легитимного программного обеспечения, используя дополнительную загрузку библиотеки DLL. Затем эта библиотека DLL запускает скрытые действия, используя explorer.exe с помощью методов "пустого процесса". Кроме того, команды PowerShell загружают запутанные сценарии, замаскированные под расширения браузера, и в конечном итоге подключаются к вредоносному серверу C2 для дальнейших вредоносных действий.

После установления связи с сервером C2 вредоносная программа совершает масштабную кражу данных, в частности, нацеливаясь на электронные сообщения, связанные с криптовалютой, на различных биржах. Она способна изменять содержимое электронной почты, красть коды аутентификации и внедрять код в электронные письма. Кампания по атаке является примером изощренной эксплуатации поведения пользователей, использующей тактику SEO-отравления для распространения вредоносного ПО и потенциального вымогательства у жертв финансовой выгоды.

Для предотвращения подобных угроз пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, избегать подозрительных источников и отдавать предпочтение веб-сайтам с хорошей репутацией. Такой упреждающий подход может значительно снизить риск стать жертвой вредоносных кампаний, использующих методы SEO-анализа.
#ParsedReport #CompletenessHigh
24-04-2024

Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections

https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections

Report completeness: High

Actors/Campaigns:
Sidecopy
Transparenttribe
Rusticweb
Flightnight

Threats:
Allakore_rat
Crimson_rat
Spear-phishing_technique
Ares_rat
Margulasrat
Caprarat
Elizarat
Oblique_rat
Eziriz_tool
Confuserex_tool
Eazfuscator_tool
Poseidon
Dll_sideloading_technique

Victims:
Indian government entities

Industry:
Military, Financial, Government

Geo:
Pakistan, Ukraine, Pakistani, Indian, Netherlands, Germany, India, Asian

TTPs:
Tactics: 9
Technics: 38

IOCs:
File: 15
Registry: 1
Domain: 11
IP: 7
Path: 23
Hash: 43
Url: 14

Soft:
Telegram, Windows Runtime, Windows Image, BinDiff, flutter, Mailbird

Algorithms:
base64, zip

Languages:
delphi, python

Links:
https://github.com/maickonn/AllaKore\_Remote
CTT Report Hub
#ParsedReport #CompletenessHigh 24-04-2024 Pakistani APTs Escalate Attacks on Indian Gov. Seqrite Labs Unveils Threats and Connections https://www.seqrite.com/blog/pakistani-apts-escalate-attacks-on-indian-gov-seqrite-labs-unveils-threats-and-connections…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в росте числа кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, в частности SideCopy и APT36, с подробным описанием их тактики, методов и сходства инфраструктуры. В анализе подчеркивается растущий уровень угроз, с которыми сталкивается Индия, включая новые кампании фишинга и громкие атаки программ-вымогателей, что подчеркивает необходимость усиления мер кибербезопасности для противодействия изощренным APT-группам, нацеленным на критически важную инфраструктуру и конфиденциальные данные.
-----

Всплеск кибератак на государственные учреждения Индии со стороны связанных с Пакистаном APT, таких как SideCopy и APT36.

С 2019 года SideCopy использует AllaKore RAT в многочисленных кампаниях, нацеленных на оборонные и правительственные структуры Индии.

Transparent Tribe (APT36) использовали Crimson RAT в закодированных версиях во время тех же событий.

В последнее время отмечается рост продаж доступа к индийским юридическим лицам, громкие атаки программ-вымогателей и деструктивные атаки со стороны групп хакеров Telegram.

Сходства в тактике атак в разных кампаниях, включая использование скомпрометированных доменов, скрытый фишинг и использование RAT, таких как AllaKore.

На потенциальное сотрудничество или совместное использование ресурсов между SideCopy и APT36 указывают совпадения в использовании кода между AllaKore RAT и Crimson RAT.

Тесная связь между APT36 и SideCopy с точки зрения цепочек атак и сходства инфраструктуры.

Для индийских организаций важно усилить меры кибербезопасности, чтобы снизить риски, создаваемые сложными группами APT, в преддверии предстоящих событий, таких как выборы.
#ParsedReport #CompletenessMedium
24-04-2024

APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028

https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve-2022-38028

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Vice_society

Threats:
Gooseegg_tool
Printnightmare_vuln
Magniber

Victims:
Microsoft, Governmental organizations, Non-governmental organizations, Educational institutions, Transportation organizations

Industry:
Ngo, Energy, Transport, Government

Geo:
Ukraine, Russian, America

CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1078, T1059, T1564, T1547, T1574, T1021

IOCs:
File: 9
Hash: 4

Soft:
Windows Print Spooler, Microsoft Outlook

Algorithms:
sha256

Win Services:
PrintSpooler

Languages:
javascript

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 APT28 Deploys GooseEgg in Attacks Exploiting the Windows Print Spooler Vulnerability, CVE-2022-38028 https://socradar.io/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Microsoft обнаружила киберкампанию, возглавляемую базирующимся в России агентом по борьбе с угрозами Forest Blizzard, использующим пользовательский инструмент GooseEgg для использования уязвимости в службе диспетчера очереди печати Windows. Целью Forest Blizzard является получение расширенного доступа к целевым системам, кража учетных данных и осуществление вредоносных действий, таких как повышение привилегий и перемещение по скомпрометированным сетям. Злоумышленник, связанный с российской разведкой, нацелен на различные сектора по всему миру и, как было замечено, использует другие эксплойты наряду с выявленной уязвимостью. Организации, использующие продукты Microsoft, подвергаются риску использования злоумышленниками, такими как Forest Blizzard, что подчеркивает важность получения информации и принятия строгих мер кибербезопасности для предотвращения потенциальных нарушений.
-----

Microsoft раскрыла кибератаку российского злоумышленника Forest Blizzard, который использовал инструмент GooseEgg для использования CVE-2022-38028 в службе диспетчера очереди печати Windows.

"Лесная метель" нацелена на правительственные, неправительственные, образовательные и транспортные организации в Украине, Западной Европе и Северной Америке.

GooseEgg позволяет повышать привилегии, красть учетные данные, устанавливать бэкдор, удаленно выполнять код и перемещаться по скомпрометированным сетям.

Цель Forest Blizzard - получить доступ, украсть учетные данные и информацию, развернув GooseEgg с помощью пакетных сценариев, таких как execute.bat и doit.bat.

Forest Blizzard, также известная как APT28, фокусируется на стратегических разведывательных задачах, поддерживающих цели российской внешней политики, по крайней мере, с 2010 года.

Forest Blizzard использовала другие эксплойты, такие как CVE-2023-23397, наряду со службой диспетчера очереди печати Windows.

Кампания имеет большое значение, поскольку поставщики систем безопасности ранее не сообщали об использовании GooseEgg компанией Forest Blizzard, а другие группы программ-вымогателей использовали аналогичные уязвимости.

Microsoft Threat Intelligence предоставляет информацию о тактике Forest Blizzard, уделяя особое внимание получению несанкционированного доступа и краже конфиденциальной информации.

Организации должны быть постоянно информированы о таких субъектах угрозы и инструментах для повышения уровня кибербезопасности и предотвращения нарушений.
#ParsedReport #CompletenessMedium
24-04-2024

The new Scaly Wolf bootloader turned out to be unusable for attacks

https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak

Report completeness: Medium

Actors/Campaigns:
Scaly_wolf

Threats:
Donut
Whitesnake_stealer
Snake_keylogger
Spear-phishing_technique
Process_injection_technique

Geo:
Russian, Belarusian, Russia

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 6
Path: 1
Command: 1
Domain: 2
Url: 27
Hash: 3

Soft:
Windows kernel, OpenSSH

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 24-04-2024 The new Scaly Wolf bootloader turned out to be unusable for attacks https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak Report completeness: Medium Actors/Campaigns: Scaly_wolf…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Аналитики, занимающиеся анализом киберугроз, обнаружили новую кампанию, направленную против российских и белорусских организаций, для которой характерны новые тактические приемы, такие как использование защищенных паролем архивов для распространения вредоносных программ с помощью фишинговых электронных писем. В одном из инцидентов было установлено, что федеральное агентство распространяло вредоносный контент под видом законных документов. В атаке был задействован сложный загрузчик под названием "Недействительный принтер", который внедрил вредоносный код в explorer.exe, используя передовые методы обхода. В качестве полезной нагрузки использовался White Snake stealer, способный загружать другие вредоносные программы. Для борьбы с такими угрозами организациям рекомендуется повысить безопасность конечных точек с помощью таких решений, как BI.ЗОНИРУЙТЕ EDR и используйте аналитические данные об угрозах для улучшения возможностей реагирования на инциденты.
-----

Специалисты BI.ZONE по анализу угроз обнаружили новую кампанию, направленную против российских и белорусских организаций, проводимую неустановленной группой. Кампания продолжает развиваться, в ее арсенал добавляются новые инструменты. Злоумышленники используют защищенные паролем архивы для обхода мер безопасности и эффективного распространения вредоносного ПО. Отправляя фишинговые электронные письма от имени различных подразделений, злоумышленники значительно повышают шансы жертв на взаимодействие с вредоносными вложениями.

В ходе конкретного инцидента в рамках этой кампании злоумышленники отправляли фишинговые электронные письма, представляясь федеральным агентством, прилагая, казалось бы, законный документ, чтобы усыпить бдительность пользователя. За этим документом последовал защищенный паролем архив с именем "Пароль 120917.txt", содержащий файл с названием "Права, обязанности и порядок применения статей 164, 170, 183 Уголовно-процессуального кодекса Российской Федерации.rtf". Хотя на первый взгляд это были законные документы, они должны были отвлечь пользователя от реальной угрозы - исполняемого файла с расширением ".exe", содержащего вредоносную полезную нагрузку.

Вредоносная полезная нагрузка в исполняемом файле была идентифицирована как загрузчик с именем "Недопустимый принтер", который при запуске проверял наличие виртуальной среды, прежде чем внедрить вредоносную полезную нагрузку в адресное пространство процесса "explorer.exe ." В отличие от обычных вредоносных программ, этот загрузчик напрямую обращался к ядру Windows без использования WinAPI-вызовов. Кроме того, он пытался открыть несуществующие случайные файлы и записать в них случайные данные, что потенциально могло помочь в обнаружении вредоносной активности.

Дальнейший анализ показал, что полезная нагрузка, выполняемая загрузчиком, представляет собой шеллкод, сгенерированный с использованием утилиты Donut с открытым исходным кодом. Шеллкод запускал White Snake stealer версии 1.6.1.9, последнюю версию stealer по состоянию на март 2024 года. White Snake способен использовать легальные сервисы, такие как serveo.net, и загружать OpenSSH для выполнения вредоносных действий.
#ParsedReport #CompletenessLow
25-04-2024

Ransomware Roundup - KageNoHitobito and DoNex

https://www.fortinet.com/blog/threat-research/ransomware-roundup-keganohitobito-and-donex

Report completeness: Low

Threats:
Kagenohitobito
Darkrace
Shadow_copies_delete_technique

Industry:
Ics

Geo:
Belgium, America, Lithuania, Czech, Netherlands, Taiwan, Chile, Italy, Germany, Iran, Peru, Japanese, China, Sweden, Romania

ChatGPT TTPs:
do not use without manual check
T1486, T1486, T1027, T1027, T1490, T1567

IOCs:
File: 14
Hash: 10

Soft:
chrome, onenote, outlook, msexchange

Win Services:
powerpnt, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr

Platforms:
x86, intel
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Ransomware Roundup - KageNoHitobito and DoNex https://www.fortinet.com/blog/threat-research/ransomware-roundup-keganohitobito-and-donex Report completeness: Low Threats: Kagenohitobito Darkrace Shadow_copies_delete_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В двухнедельных отчетах FortiGuard Labs о вариантах программ-вымогателей основное внимание уделяется KageNoHitobito и DoNex, двум недавним угрозам-вымогателям с уникальными функциями и потенциальными связями с другими известными группами.
-----

FortiGuard Labs раз в две недели публикует отчеты о вариантах программ-вымогателей, которые набирают популярность в наборах данных и OSINT. В последнем обзоре программ-вымогателей рассматриваются KageNoHitobito и DoNex. В конце марта 2024 года появилась программа KageNoHitobito, шифрующая файлы с расширением ".hitobito" и отображающая уведомления о выкупе, требующие платы за расшифровку. Вредоносное ПО могло распространяться с помощью поддельного программного обеспечения или игровых читов на файлообменных сервисах. Он работает только на локальных дисках, прекращает активность по истечении установленного срока и направляет жертв на сайт TOR для переговоров, хотя чат, похоже, никак не связан с обсуждением вопроса о выкупе.

В начале марта 2024 года появилась новая группа программ-вымогателей DoNex, которая шифрует файлы как на локальных, так и на сетевых дисках. Программа добавляет идентификатор жертвы к зашифрованным файлам и удаляет теневые копии для предотвращения восстановления. У DoNex есть общие черты с DarkRace, что указывает на потенциальную связь между ними. Жертвы DoNex, список которых был опубликован на сайте по утечке данных TOR, охватывают Бельгию, Чехию, Италию, Нидерланды и Соединенные Штаты.

В обоих вариантах программ-вымогателей отсутствует информация об их переносчиках заражения, хотя, вероятно, применяются типичные методы. Чат, связанный с KageNoHitobito, по-видимому, не предполагает переговоров о выкупе. Примечательно, что жертвы DoNex, как было отмечено, были на сайте утечки данных до публикации отчета, что намекает на более раннее распространение.
#ParsedReport #CompletenessLow
25-04-2024

Brokewell: do not go broke from new banking malware!

https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware

Report completeness: Low

Actors/Campaigns:
Hadoken_security (motivation: cyber_criminal)

Threats:
Brokewell

Victims:
Financial institutions, Buy now, pay later financial service, Austrian digital authentication application

Industry:
Financial

Geo:
Austria, Austrian

ChatGPT TTPs:
do not use without manual check
T1404, T1444, T1406, T1573, T1412, T1430, T1429

IOCs:
Hash: 2

Soft:
Android
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Brokewell: do not go broke from new banking malware! https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware Report completeness: Low Actors/Campaigns: Hadoken_security (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Появление нового сложного мобильного вредоносного ПО под названием "Brokewell" с расширенными возможностями захвата устройств представляет серьезную угрозу для банковской отрасли. Вредоносное ПО использует различные методы для кражи конфиденциальной информации, удаленного управления устройствами и сбора данных, что затрудняет работу традиционных средств обнаружения мошенничества. Разработчики Brokewell не скрывают своей личности, что свидетельствует о переходе к разработке более специализированных мобильных вредоносных программ. Расширяющиеся возможности Brokewell подчеркивают необходимость в комплексных решениях по обнаружению мошенничества для эффективной борьбы с подобными угрозами и защиты клиентов финансовых учреждений.
-----

Новое семейство вредоносных программ для мобильных устройств под названием "Brokewell" обладает расширенными возможностями захвата устройств, что представляет серьезную угрозу для банковской отрасли.

Brokewell распространяется через поддельные страницы обновления браузера на устройствах Android и крадет учетные данные пользователей с помощью оверлейных атак.

Вредоносная программа может регистрировать действия устройства, перехватывать файлы cookie сеанса, собирать такие данные, как история звонков и геолокация, а также записывать аудио.

Это позволяет злоумышленникам удаленно управлять устройствами с помощью потоковой передачи с экрана, позволяя выполнять такие действия, как касания, свайпы и щелчки.

Хранилище вредоносного ПО принадлежит компании "Brokewell Cyber Labs", созданной "Бароном Самедитом", который занялся разработкой вредоносного ПО для мобильных устройств.

Brokewell обходит ограничения Android 13+ на доступность сервиса для сторонних приложений, что потенциально снижает возможности киберпреступников по распространению вредоносного ПО для мобильных устройств.

Развитие Brokewell свидетельствует о постоянном спросе киберпреступников на возможности захвата устройств, что бросает вызов инструментам обнаружения мошенничества, основанным на идентификации устройств.

Дальнейшая эволюция вредоносного ПО может включать в себя его рекламу на подпольных платформах в качестве услуги по аренде, что привлечет больше киберпреступников для его использования в различных кампаниях.

Комплексные решения для обнаружения мошенничества, основанные на множестве показателей, таких как риски для устройств, поведения и личных данных, имеют решающее значение для борьбы с угрозами, исходящими от вредоносных программ, таких как Brokewell.