CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Brokewell: do not go broke from new banking malware! https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware Report completeness: Low Actors/Campaigns: Hadoken_security (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Появление нового сложного мобильного вредоносного ПО под названием "Brokewell" с расширенными возможностями захвата устройств представляет серьезную угрозу для банковской отрасли. Вредоносное ПО использует различные методы для кражи конфиденциальной информации, удаленного управления устройствами и сбора данных, что затрудняет работу традиционных средств обнаружения мошенничества. Разработчики Brokewell не скрывают своей личности, что свидетельствует о переходе к разработке более специализированных мобильных вредоносных программ. Расширяющиеся возможности Brokewell подчеркивают необходимость в комплексных решениях по обнаружению мошенничества для эффективной борьбы с подобными угрозами и защиты клиентов финансовых учреждений.
-----
Новое семейство вредоносных программ для мобильных устройств под названием "Brokewell" обладает расширенными возможностями захвата устройств, что представляет серьезную угрозу для банковской отрасли.
Brokewell распространяется через поддельные страницы обновления браузера на устройствах Android и крадет учетные данные пользователей с помощью оверлейных атак.
Вредоносная программа может регистрировать действия устройства, перехватывать файлы cookie сеанса, собирать такие данные, как история звонков и геолокация, а также записывать аудио.
Это позволяет злоумышленникам удаленно управлять устройствами с помощью потоковой передачи с экрана, позволяя выполнять такие действия, как касания, свайпы и щелчки.
Хранилище вредоносного ПО принадлежит компании "Brokewell Cyber Labs", созданной "Бароном Самедитом", который занялся разработкой вредоносного ПО для мобильных устройств.
Brokewell обходит ограничения Android 13+ на доступность сервиса для сторонних приложений, что потенциально снижает возможности киберпреступников по распространению вредоносного ПО для мобильных устройств.
Развитие Brokewell свидетельствует о постоянном спросе киберпреступников на возможности захвата устройств, что бросает вызов инструментам обнаружения мошенничества, основанным на идентификации устройств.
Дальнейшая эволюция вредоносного ПО может включать в себя его рекламу на подпольных платформах в качестве услуги по аренде, что привлечет больше киберпреступников для его использования в различных кампаниях.
Комплексные решения для обнаружения мошенничества, основанные на множестве показателей, таких как риски для устройств, поведения и личных данных, имеют решающее значение для борьбы с угрозами, исходящими от вредоносных программ, таких как Brokewell.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Появление нового сложного мобильного вредоносного ПО под названием "Brokewell" с расширенными возможностями захвата устройств представляет серьезную угрозу для банковской отрасли. Вредоносное ПО использует различные методы для кражи конфиденциальной информации, удаленного управления устройствами и сбора данных, что затрудняет работу традиционных средств обнаружения мошенничества. Разработчики Brokewell не скрывают своей личности, что свидетельствует о переходе к разработке более специализированных мобильных вредоносных программ. Расширяющиеся возможности Brokewell подчеркивают необходимость в комплексных решениях по обнаружению мошенничества для эффективной борьбы с подобными угрозами и защиты клиентов финансовых учреждений.
-----
Новое семейство вредоносных программ для мобильных устройств под названием "Brokewell" обладает расширенными возможностями захвата устройств, что представляет серьезную угрозу для банковской отрасли.
Brokewell распространяется через поддельные страницы обновления браузера на устройствах Android и крадет учетные данные пользователей с помощью оверлейных атак.
Вредоносная программа может регистрировать действия устройства, перехватывать файлы cookie сеанса, собирать такие данные, как история звонков и геолокация, а также записывать аудио.
Это позволяет злоумышленникам удаленно управлять устройствами с помощью потоковой передачи с экрана, позволяя выполнять такие действия, как касания, свайпы и щелчки.
Хранилище вредоносного ПО принадлежит компании "Brokewell Cyber Labs", созданной "Бароном Самедитом", который занялся разработкой вредоносного ПО для мобильных устройств.
Brokewell обходит ограничения Android 13+ на доступность сервиса для сторонних приложений, что потенциально снижает возможности киберпреступников по распространению вредоносного ПО для мобильных устройств.
Развитие Brokewell свидетельствует о постоянном спросе киберпреступников на возможности захвата устройств, что бросает вызов инструментам обнаружения мошенничества, основанным на идентификации устройств.
Дальнейшая эволюция вредоносного ПО может включать в себя его рекламу на подпольных платформах в качестве услуги по аренде, что привлечет больше киберпреступников для его использования в различных кампаниях.
Комплексные решения для обнаружения мошенничества, основанные на множестве показателей, таких как риски для устройств, поведения и личных данных, имеют решающее значение для борьбы с угрозами, исходящими от вредоносных программ, таких как Brokewell.
#ParsedReport #CompletenessMedium
25-04-2024
Brokewell: A New Android Banking Trojan Targeting Users In Germany
https://cyble.com/blog/brokewell-a-new-android-banking-trojan-targeting-users-in-germany
Report completeness: Medium
Industry:
Financial
Geo:
German, Swedish, Portuguese, Chinese, French, Germany, Indonesian
TTPs:
Tactics: 8
Technics: 10
IOCs:
Url: 2
Domain: 2
IP: 1
File: 2
Hash: 6
Soft:
Android, Chrome, Telegram, gmail, Unix
Algorithms:
aes, md5, sha256, sha1
Platforms:
intel
25-04-2024
Brokewell: A New Android Banking Trojan Targeting Users In Germany
https://cyble.com/blog/brokewell-a-new-android-banking-trojan-targeting-users-in-germany
Report completeness: Medium
Industry:
Financial
Geo:
German, Swedish, Portuguese, Chinese, French, Germany, Indonesian
TTPs:
Tactics: 8
Technics: 10
IOCs:
Url: 2
Domain: 2
IP: 1
File: 2
Hash: 6
Soft:
Android, Chrome, Telegram, gmail, Unix
Algorithms:
aes, md5, sha256, sha1
Platforms:
intel
Cyble
Brokewell: New Android Trojan Targeting Germany Users
Cybel uncovers the 'Brokewell' Android Banking Trojan targeting German users with overlay attacks, keylogging, and screen recording. Stay updated on threats.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-04-2024 Brokewell: A New Android Banking Trojan Targeting Users In Germany https://cyble.com/blog/brokewell-a-new-android-banking-trojan-targeting-users-in-germany Report completeness: Medium Industry: Financial Geo:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cyble обнаружила новый банковский троян для Android под названием "Brokewell", нацеленный на пользователей в Германии и потенциально распространяющийся на другие регионы. Эта вредоносная программа, управляемая разработчиком по имени "Baron Samedit" из "Brokewell Cyber Labs", использует различные вредоносные методы, такие как атаки с наложением, запись экрана, кейлоггинг и кражу файлов cookie. Она постоянно развивается, расширяя возможности и создавая серьезную угрозу безопасности мобильного банкинга. Пользователям и организациям рекомендуется сохранять бдительность и применять упреждающие меры кибербезопасности для снижения рисков, связанных с этим сложным вредоносным ПО.
-----
Cyble обнаружила новый банковский троянец для Android под названием "Brokewell", нацеленный на пользователей в Германии.
Вредоносная программа распространяется через поддельный фишинговый сайт с обновлениями Chrome и приписывается разработчику по имени "Baron Samedit", который руководит проектом "Brokewell Cyber Labs".
Brokewell использует Gitea для размещения своего репозитория проектов Android Loader project и поддерживает атаки наложением, запись экрана, кейлоггинг и кражу файлов cookie.
Изначально вредоносная программа ориентирована в основном на немецких пользователей, но имеет потенциал для распространения на другие языки и регионы.
Baron Samedit делится ссылками на подпольные форумы, страницу в Tor и Telegram-канал, связанный с проектом.
Разработчик вредоносного ПО использует уникальные методы для обхода ограничений на права доступа в версиях Android 13, 14 и 15.
Банковский троян Brokewell включает в себя расширенные возможности, такие как шифрование строк с использованием AES, проверки на наличие root-прав и поведение, зависящее от устройства.
Вредоносная программа использует оверлейные атаки, запись экрана и использует службы специальных возможностей для получения конфиденциальной информации.
Brokewell взаимодействует с сервером управления для получения команд и передачи украденных данных.
Мониторинг обновлений на подпольных форумах и портале разработчиков имеет решающее значение для понимания возникающей угрозы и принятия соответствующих мер по защите от нее.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cyble обнаружила новый банковский троян для Android под названием "Brokewell", нацеленный на пользователей в Германии и потенциально распространяющийся на другие регионы. Эта вредоносная программа, управляемая разработчиком по имени "Baron Samedit" из "Brokewell Cyber Labs", использует различные вредоносные методы, такие как атаки с наложением, запись экрана, кейлоггинг и кражу файлов cookie. Она постоянно развивается, расширяя возможности и создавая серьезную угрозу безопасности мобильного банкинга. Пользователям и организациям рекомендуется сохранять бдительность и применять упреждающие меры кибербезопасности для снижения рисков, связанных с этим сложным вредоносным ПО.
-----
Cyble обнаружила новый банковский троянец для Android под названием "Brokewell", нацеленный на пользователей в Германии.
Вредоносная программа распространяется через поддельный фишинговый сайт с обновлениями Chrome и приписывается разработчику по имени "Baron Samedit", который руководит проектом "Brokewell Cyber Labs".
Brokewell использует Gitea для размещения своего репозитория проектов Android Loader project и поддерживает атаки наложением, запись экрана, кейлоггинг и кражу файлов cookie.
Изначально вредоносная программа ориентирована в основном на немецких пользователей, но имеет потенциал для распространения на другие языки и регионы.
Baron Samedit делится ссылками на подпольные форумы, страницу в Tor и Telegram-канал, связанный с проектом.
Разработчик вредоносного ПО использует уникальные методы для обхода ограничений на права доступа в версиях Android 13, 14 и 15.
Банковский троян Brokewell включает в себя расширенные возможности, такие как шифрование строк с использованием AES, проверки на наличие root-прав и поведение, зависящее от устройства.
Вредоносная программа использует оверлейные атаки, запись экрана и использует службы специальных возможностей для получения конфиденциальной информации.
Brokewell взаимодействует с сервером управления для получения команд и передачи украденных данных.
Мониторинг обновлений на подпольных форумах и портале разработчиков имеет решающее значение для понимания возникающей угрозы и принятия соответствующих мер по защите от нее.
#ParsedReport #CompletenessLow
25-04-2024
Dark Web Profile: Red Ransomware
https://socradar.io/dark-web-profile-red-ransomware
Report completeness: Low
Threats:
Red_ransomware
Lockbit
Blackcat
Victims:
Information technology, Legal, Hospitality, Transportation, Manufacturing, Education, Electronics, Retail, Targus
Industry:
Healthcare, Transport, Retail, Education
Geo:
India, Canada, Italy, Singapore, Denmark, Spain, Mexico
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1486, T1071, T1566, T1560
Crypto:
bitcoin
25-04-2024
Dark Web Profile: Red Ransomware
https://socradar.io/dark-web-profile-red-ransomware
Report completeness: Low
Threats:
Red_ransomware
Lockbit
Blackcat
Victims:
Information technology, Legal, Hospitality, Transportation, Manufacturing, Education, Electronics, Retail, Targus
Industry:
Healthcare, Transport, Retail, Education
Geo:
India, Canada, Italy, Singapore, Denmark, Spain, Mexico
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1486, T1071, T1566, T1560
Crypto:
bitcoin
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Red Ransomware - SOCRadar® Cyber Intelligence Inc.
Red Ransomware or Red CryptoApp, a fresh ransomware group, surfaced in March 2024 and promptly revealed the data of 11 victims on its...
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Dark Web Profile: Red Ransomware https://socradar.io/dark-web-profile-red-ransomware Report completeness: Low Threats: Red_ransomware Lockbit Blackcat Victims: Information technology, Legal, Hospitality, Transportation…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление новой группы программ-вымогателей под названием Red CryptoApp, подробно описывается ее тактика, отчет о виктимологии, международный охват и внедрение группой инструментов искусственного интеллекта во взаимодействие с жертвами. В нем подчеркивается стратегия группы по борьбе с вымогателями, методы заражения и угроза кибербезопасности, исходящая от групп вымогателей. В заключении представлена стратегия защиты SOCRadar для эффективной борьбы с угрозами вымогателей, в частности, превентивный мониторинг угроз, интеллектуальные решения и управление поверхностями атак с помощью функции проверки на наличие вымогателей. Такой подход призван помочь организациям опережать возникающие угрозы, укреплять защиту от кибербезопасности и оперативно реагировать на потенциальные инциденты с программами-вымогателями.
-----
Новая группа программ-вымогателей под названием Red CryptoApp появилась в начале 2024 года, что совпало с упадком других групп, таких как Lockbit и ALPHV.
29 марта 2024 года Red CryptoApp обнародовала данные о жертвах на своем сайте по утечке данных "Стена позора", продемонстрировав намеренную задержку с публикацией данных для достижения максимального эффекта.
Группа выборочно атаковала такие отрасли, как информационные технологии, юриспруденция, гостиничный бизнес и другие в США, а жертвами стали иностранцы из таких стран, как Канада, Сингапур и других.
Red CryptoApp заражает системы через уязвимости и фишинговые электронные письма, шифруя файлы с помощью расширения .REDCryptoApp.
Группа использует в коммуникациях текст, сгенерированный с помощью искусственного интеллекта, что указывает на использование инструментов искусственного интеллекта для сложных операций с программами-вымогателями.
SOCRadar предлагает проактивный мониторинг угроз и стратегии защиты для эффективной борьбы с программами-вымогателями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается появление новой группы программ-вымогателей под названием Red CryptoApp, подробно описывается ее тактика, отчет о виктимологии, международный охват и внедрение группой инструментов искусственного интеллекта во взаимодействие с жертвами. В нем подчеркивается стратегия группы по борьбе с вымогателями, методы заражения и угроза кибербезопасности, исходящая от групп вымогателей. В заключении представлена стратегия защиты SOCRadar для эффективной борьбы с угрозами вымогателей, в частности, превентивный мониторинг угроз, интеллектуальные решения и управление поверхностями атак с помощью функции проверки на наличие вымогателей. Такой подход призван помочь организациям опережать возникающие угрозы, укреплять защиту от кибербезопасности и оперативно реагировать на потенциальные инциденты с программами-вымогателями.
-----
Новая группа программ-вымогателей под названием Red CryptoApp появилась в начале 2024 года, что совпало с упадком других групп, таких как Lockbit и ALPHV.
29 марта 2024 года Red CryptoApp обнародовала данные о жертвах на своем сайте по утечке данных "Стена позора", продемонстрировав намеренную задержку с публикацией данных для достижения максимального эффекта.
Группа выборочно атаковала такие отрасли, как информационные технологии, юриспруденция, гостиничный бизнес и другие в США, а жертвами стали иностранцы из таких стран, как Канада, Сингапур и других.
Red CryptoApp заражает системы через уязвимости и фишинговые электронные письма, шифруя файлы с помощью расширения .REDCryptoApp.
Группа использует в коммуникациях текст, сгенерированный с помощью искусственного интеллекта, что указывает на использование инструментов искусственного интеллекта для сложных операций с программами-вымогателями.
SOCRadar предлагает проактивный мониторинг угроз и стратегии защиты для эффективной борьбы с программами-вымогателями.
#ParsedReport #CompletenessMedium
25-04-2024
Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors. EARLY DRAFT - Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors
https://www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-developers-likely-associated-with-north-korean-threat-actors
Report completeness: Medium
Actors/Campaigns:
Dev_popper
Geo:
Korean
TTPs:
Tactics: 6
Technics: 10
IOCs:
File: 5
Command: 2
Url: 2
Path: 2
IP: 2
Hash: 4
Soft:
Node.js
Algorithms:
base64, xor, zip
Functions:
exec
Languages:
python, powershell, javascript
25-04-2024
Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors. EARLY DRAFT - Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors
https://www.securonix.com/blog/analysis-of-devpopper-new-attack-campaign-targeting-software-developers-likely-associated-with-north-korean-threat-actors
Report completeness: Medium
Actors/Campaigns:
Dev_popper
Geo:
Korean
TTPs:
Tactics: 6
Technics: 10
IOCs:
File: 5
Command: 2
Url: 2
Path: 2
IP: 2
Hash: 4
Soft:
Node.js
Algorithms:
base64, xor, zip
Functions:
exec
Languages:
python, powershell, javascript
Securonix
Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors
The Securonix Threat Research Team has been monitoring an ongoing social engineering attack campaign from North Korean threat actors who are targeting developers using fake interviews to deliver a Python-based RAT. Read more.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-04-2024 Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors. EARLY DRAFT - Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследовательская группа Securonix по изучению угроз выявила кампанию социальной инженерии под названием DEV#POPPER, проводимую северокорейскими злоумышленниками и нацеленную на разработчиков программного обеспечения с помощью трояна удаленного доступа на базе Python (RAT). Злоумышленники используют сложные методы социальной инженерии, такие как организация фальшивых собеседований при приеме на работу, чтобы обмануть жертв и скомпрометировать их системы, обеспечивая удаленный доступ к зараженным машинам и контроль над ними.
-----
Северокорейские злоумышленники проводят кампанию DEV#POPPER, нацеленную на разработчиков программного обеспечения с помощью трояна удаленного доступа на базе Python (RAT).
Тактика социальной инженерии используется для того, чтобы заставить разработчиков загружать вредоносное программное обеспечение, замаскированное под законные процедуры собеседования при приеме на работу.
Злоумышленники используют несколько уровней обфускации в хранилищах вредоносного программного обеспечения, чтобы избежать обнаружения.
Полезная нагрузка Python в файле ".npl" связывается с сервером управления (C2), контролируемым злоумышленниками, для передачи данных.
Скрипт "pay", идентифицированный как троян удаленного доступа (RAT), позволяет злоумышленникам удаленно получать доступ к зараженным компьютерам и манипулировать ими, включая установление TCP-соединений, извлечение файлов, выполнение удаленных команд и мониторинг активности пользователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследовательская группа Securonix по изучению угроз выявила кампанию социальной инженерии под названием DEV#POPPER, проводимую северокорейскими злоумышленниками и нацеленную на разработчиков программного обеспечения с помощью трояна удаленного доступа на базе Python (RAT). Злоумышленники используют сложные методы социальной инженерии, такие как организация фальшивых собеседований при приеме на работу, чтобы обмануть жертв и скомпрометировать их системы, обеспечивая удаленный доступ к зараженным машинам и контроль над ними.
-----
Северокорейские злоумышленники проводят кампанию DEV#POPPER, нацеленную на разработчиков программного обеспечения с помощью трояна удаленного доступа на базе Python (RAT).
Тактика социальной инженерии используется для того, чтобы заставить разработчиков загружать вредоносное программное обеспечение, замаскированное под законные процедуры собеседования при приеме на работу.
Злоумышленники используют несколько уровней обфускации в хранилищах вредоносного программного обеспечения, чтобы избежать обнаружения.
Полезная нагрузка Python в файле ".npl" связывается с сервером управления (C2), контролируемым злоумышленниками, для передачи данных.
Скрипт "pay", идентифицированный как троян удаленного доступа (RAT), позволяет злоумышленникам удаленно получать доступ к зараженным компьютерам и манипулировать ими, включая установление TCP-соединений, извлечение файлов, выполнение удаленных команд и мониторинг активности пользователей.
#ParsedReport #CompletenessMedium
25-04-2024
Unplugging PlugX: Sinkholing the PlugX USB worm botnet
https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet
Report completeness: Medium
Actors/Campaigns:
Red_delta
Threats:
Plugx_rat
Dll_sideloading_technique
Raspberry_robin
Nmap_tool
Teleport_tool
Retadup
Industry:
Telco, Government, Maritime
Geo:
Spanish, Japan, Chinese, Asia, China, India
TTPs:
ChatGPT TTPs:
T1583.001, T1583.002, T1090, T1574.002, T1095, T1071.001, T1027, T1105
IOCs:
IP: 5
File: 3
Registry: 1
Hash: 7
Soft:
Nginx
Algorithms:
rc4
Functions:
CloseFile
Win API:
WriteFile
Platforms:
x64
YARA: Found
25-04-2024
Unplugging PlugX: Sinkholing the PlugX USB worm botnet
https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet
Report completeness: Medium
Actors/Campaigns:
Red_delta
Threats:
Plugx_rat
Dll_sideloading_technique
Raspberry_robin
Nmap_tool
Teleport_tool
Retadup
Industry:
Telco, Government, Maritime
Geo:
Spanish, Japan, Chinese, Asia, China, India
TTPs:
ChatGPT TTPs:
do not use without manual checkT1583.001, T1583.002, T1090, T1574.002, T1095, T1071.001, T1027, T1105
IOCs:
IP: 5
File: 3
Registry: 1
Hash: 7
Soft:
Nginx
Algorithms:
rc4
Functions:
CloseFile
Win API:
WriteFile
Platforms:
x64
YARA: Found
Sekoia.io Blog
Unplugging PlugX: Sinkholing the PlugX USB worm botnet
Learn about our process for collecting telemetry data from PlugX worm-infected workstations, as well as how to disinfect them.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-04-2024 Unplugging PlugX: Sinkholing the PlugX USB worm botnet https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet Report completeness: Medium Actors/Campaigns: Red_delta Threats: Plugx_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Успешная операция по уничтожению червя PlugX выявила широко распространенное заражение через уникальные IP-адреса. Исследователи обнаружили потенциал использования команд для дезинфекции, проследили происхождение PlugX в китайских кампаниях, отметили эволюцию в наборах вторжений и интеграцию вредоносного компонента в Mustang Panda в 2020 году. Результаты анализа позволили получить информацию, но остаются проблемы с управлением зараженными хостами и распространением по USB. Сохраняются опасения по поводу бездействующего сервера C2, манипулирования поведением червя и ограничений в отслеживании заражений из-за отсутствия уникальных идентификаторов. Попытки сдержать распространение PlugX сталкиваются с трудностями в сетях с воздушными зазорами и на USB-устройствах, что требует строгих политик безопасности и превентивных мер.
-----
В сентябре 2023 года была проведена успешная операция по уничтожению сервера управления, связанного с червями PlugX.
Исследователи приобрели уникальный IP-адрес, связанный с разновидностью червя, за 7 долларов, что позволило им перехватывать запросы PlugX с зараженных рабочих станций.
За шесть месяцев к воронке подключилось более 2,5 миллионов уникальных IP-адресов, что указывает на широкое распространение инфекции.
Команды дезинфекции могут быть отправлены на скомпрометированные рабочие станции с помощью криптографии PlugX communications.
Истоки PlugX восходят к китайской кампании, направленной против пользователей, связанных с правительством, и конкретной организации в Японии в 2008 году.
В июле 2020 года Mustang Panda intrusion set интегрировал в PlugX вредоносный компонент, позволяющий заражать USB-накопители в неподключенных сетях.
Операции по уничтожению вредоносных инфраструктур сопряжены с техническими трудностями, но дают ценную информацию о ситуации с заражением.
Глобальное распространение червя PlugX по-прежнему вызывает озабоченность, несмотря на бездействие сервера C2.
Существуют проблемы с локализацией PlugX с помощью методов удаленной дезинфекции, особенно в сетях с воздушными зазорами и при заражении USB-устройств.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Успешная операция по уничтожению червя PlugX выявила широко распространенное заражение через уникальные IP-адреса. Исследователи обнаружили потенциал использования команд для дезинфекции, проследили происхождение PlugX в китайских кампаниях, отметили эволюцию в наборах вторжений и интеграцию вредоносного компонента в Mustang Panda в 2020 году. Результаты анализа позволили получить информацию, но остаются проблемы с управлением зараженными хостами и распространением по USB. Сохраняются опасения по поводу бездействующего сервера C2, манипулирования поведением червя и ограничений в отслеживании заражений из-за отсутствия уникальных идентификаторов. Попытки сдержать распространение PlugX сталкиваются с трудностями в сетях с воздушными зазорами и на USB-устройствах, что требует строгих политик безопасности и превентивных мер.
-----
В сентябре 2023 года была проведена успешная операция по уничтожению сервера управления, связанного с червями PlugX.
Исследователи приобрели уникальный IP-адрес, связанный с разновидностью червя, за 7 долларов, что позволило им перехватывать запросы PlugX с зараженных рабочих станций.
За шесть месяцев к воронке подключилось более 2,5 миллионов уникальных IP-адресов, что указывает на широкое распространение инфекции.
Команды дезинфекции могут быть отправлены на скомпрометированные рабочие станции с помощью криптографии PlugX communications.
Истоки PlugX восходят к китайской кампании, направленной против пользователей, связанных с правительством, и конкретной организации в Японии в 2008 году.
В июле 2020 года Mustang Panda intrusion set интегрировал в PlugX вредоносный компонент, позволяющий заражать USB-накопители в неподключенных сетях.
Операции по уничтожению вредоносных инфраструктур сопряжены с техническими трудностями, но дают ценную информацию о ситуации с заражением.
Глобальное распространение червя PlugX по-прежнему вызывает озабоченность, несмотря на бездействие сервера C2.
Существуют проблемы с локализацией PlugX с помощью методов удаленной дезинфекции, особенно в сетях с воздушными зазорами и при заражении USB-устройств.
#ParsedReport #CompletenessLow
25-04-2024
A Briefing on SIM Hijacking
https://intel471.com/blog/a-briefing-on-sim-hijacking
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal)
Lapsus (motivation: cyber_criminal)
Threats:
Sim_swapping_technique
Victims:
U.s. securities and exchange commission, Cryptocurrency users, High-profile individuals
Industry:
Retail, Telco, Financial
ChatGPT TTPs:
T1199, T1078, T1595, T1583, T1566, T1204
Soft:
Telegram, Discord
Crypto:
bitcoin, ethereum
25-04-2024
A Briefing on SIM Hijacking
https://intel471.com/blog/a-briefing-on-sim-hijacking
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal)
Lapsus (motivation: cyber_criminal)
Threats:
Sim_swapping_technique
Victims:
U.s. securities and exchange commission, Cryptocurrency users, High-profile individuals
Industry:
Retail, Telco, Financial
ChatGPT TTPs:
do not use without manual checkT1199, T1078, T1595, T1583, T1566, T1204
Soft:
Telegram, Discord
Crypto:
bitcoin, ethereum
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 A Briefing on SIM Hijacking https://intel471.com/blog/a-briefing-on-sim-hijacking Report completeness: Low Actors/Campaigns: 0ktapus (motivation: cyber_criminal) Lapsus (motivation: cyber_criminal) Threats: S…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущей угрозе атак с подменой SIM-карт в сфере кибербезопасности с акцентом на кражу криптовалюты и личной информации с помощью тактик социальной инженерии. Несмотря на такие меры безопасности, как PIN-код, обмен SIM-картами остается постоянной угрозой, что приводит к повышению осведомленности, освещению в средствах массовой информации, судебным искам против нарушителей и появлению подпольных сервисов, обслуживающих незаконную деятельность. Кроме того, в тексте упоминаются случаи крупномасштабной кражи криптовалюты, сотрудничество между участниками угроз и усилия регулирующих органов по усилению защиты потребителей от атак с использованием SIM-карт.
-----
В тексте обсуждается растущая угроза подмены SIM-карты, форма кибератаки, при которой злоумышленники незаконно переносят номер телефона жертвы на другую SIM-карту. Это позволяет злоумышленникам получить доступ к личной информации и учетным записям жертвы, уделяя особое внимание краже криптовалюты из-за необратимого характера транзакций. Этот тип атак осуществляется с помощью тактик социальной инженерии, таких как олицетворение и обман телекоммуникационных компаний, и стал серьезной проблемой в сфере кибербезопасности.
Рост числа атак с использованием SIM-карт привел к повышению осведомленности, освещению в средствах массовой информации и судебным искам против нарушителей. Злоумышленники используют SIM-карты для получения конфиденциальной информации, такой как адреса, даты рождения, номера социального страхования и ответы на секретные вопросы, для получения несанкционированного доступа к учетным записям. Телекоммуникационные компании внедрили такие меры безопасности, как персональные идентификационные номера (PIN-коды), для предотвращения подобных атак, но замена SIM-карт остается постоянной угрозой.
В тексте освещаются случаи, когда отдельным лицам предъявлялись обвинения в крупномасштабной краже криптовалюты с помощью схем обмена SIM-карт, а также группам, обвиняемым в организации сложных операций по обмену SIM-карт, которые привели к значительным финансовым потерям. В нем обсуждается, как участники угроз сотрудничают в этих операциях, нацеливаясь на высокопоставленных лиц в криптовалютном и технологическом секторах из-за потенциальной финансовой выгоды.
В течение 2023 года на подпольных форумах, в Telegram и Discord участилась реклама услуг по замене SIM-карт. Эти сервисы ориентированы на нескольких операторов и предлагают замену SIM-карт за отдельную плату, а некоторые злоумышленники предоставляют доступ к инсайдерским контактам в телекоммуникационных компаниях. Кроме того, для удовлетворения спроса на такую незаконную деятельность появились сопутствующие субуслуги, такие как услуги doxxing, создание фишинговых страниц и услуги наставничества для начинающих пользователей SIM-карт.
В тексте также упоминается наличие таких платформ, как IntelX, которые предоставляют субъектам угроз доступ к широкому спектру данных, облегчая сбор информации о потенциальных целях. Это также касается правил, введенных Федеральной комиссией по связи США (FCC) для усиления защиты потребителей от атак, связанных со сменой SIM-карт. Операторы мобильной связи теперь обязаны внедрять более безопасные процедуры аутентификации и уведомлять клиентов о любых запросах на смену SIM-карты, чтобы предотвратить несанкционированную передачу телефонных номеров.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в растущей угрозе атак с подменой SIM-карт в сфере кибербезопасности с акцентом на кражу криптовалюты и личной информации с помощью тактик социальной инженерии. Несмотря на такие меры безопасности, как PIN-код, обмен SIM-картами остается постоянной угрозой, что приводит к повышению осведомленности, освещению в средствах массовой информации, судебным искам против нарушителей и появлению подпольных сервисов, обслуживающих незаконную деятельность. Кроме того, в тексте упоминаются случаи крупномасштабной кражи криптовалюты, сотрудничество между участниками угроз и усилия регулирующих органов по усилению защиты потребителей от атак с использованием SIM-карт.
-----
В тексте обсуждается растущая угроза подмены SIM-карты, форма кибератаки, при которой злоумышленники незаконно переносят номер телефона жертвы на другую SIM-карту. Это позволяет злоумышленникам получить доступ к личной информации и учетным записям жертвы, уделяя особое внимание краже криптовалюты из-за необратимого характера транзакций. Этот тип атак осуществляется с помощью тактик социальной инженерии, таких как олицетворение и обман телекоммуникационных компаний, и стал серьезной проблемой в сфере кибербезопасности.
Рост числа атак с использованием SIM-карт привел к повышению осведомленности, освещению в средствах массовой информации и судебным искам против нарушителей. Злоумышленники используют SIM-карты для получения конфиденциальной информации, такой как адреса, даты рождения, номера социального страхования и ответы на секретные вопросы, для получения несанкционированного доступа к учетным записям. Телекоммуникационные компании внедрили такие меры безопасности, как персональные идентификационные номера (PIN-коды), для предотвращения подобных атак, но замена SIM-карт остается постоянной угрозой.
В тексте освещаются случаи, когда отдельным лицам предъявлялись обвинения в крупномасштабной краже криптовалюты с помощью схем обмена SIM-карт, а также группам, обвиняемым в организации сложных операций по обмену SIM-карт, которые привели к значительным финансовым потерям. В нем обсуждается, как участники угроз сотрудничают в этих операциях, нацеливаясь на высокопоставленных лиц в криптовалютном и технологическом секторах из-за потенциальной финансовой выгоды.
В течение 2023 года на подпольных форумах, в Telegram и Discord участилась реклама услуг по замене SIM-карт. Эти сервисы ориентированы на нескольких операторов и предлагают замену SIM-карт за отдельную плату, а некоторые злоумышленники предоставляют доступ к инсайдерским контактам в телекоммуникационных компаниях. Кроме того, для удовлетворения спроса на такую незаконную деятельность появились сопутствующие субуслуги, такие как услуги doxxing, создание фишинговых страниц и услуги наставничества для начинающих пользователей SIM-карт.
В тексте также упоминается наличие таких платформ, как IntelX, которые предоставляют субъектам угроз доступ к широкому спектру данных, облегчая сбор информации о потенциальных целях. Это также касается правил, введенных Федеральной комиссией по связи США (FCC) для усиления защиты потребителей от атак, связанных со сменой SIM-карт. Операторы мобильной связи теперь обязаны внедрять более безопасные процедуры аутентификации и уведомлять клиентов о любых запросах на смену SIM-карты, чтобы предотвратить несанкционированную передачу телефонных номеров.
#ParsedReport #CompletenessLow
25-04-2024
Sifting through the spines: identifying (potential) Cactus ransomware victims. Qlik Sense vulnerabilities
https://research.nccgroup.com/2024/04/25/sifting-through-the-spines-identifying-potential-cactus-ransomware-victims
Report completeness: Low
Threats:
Cactus
Melissa
Zeroqlik_vuln
Geo:
Italy, Spain, Dutch, Germany, Nederland, Ireland, Brazil, Netherlands
CVEs:
CVE-2023-41266 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)
CVE-2023-48365 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, august_2023, february_2022, february_2023, may_2022, may_2023, november_2021, november_2022)
CVE-2023-41265 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)
ChatGPT TTPs:
T1190, T1078, T1027, T1583
IOCs:
File: 3
Soft:
Qlik Sense, cURL
25-04-2024
Sifting through the spines: identifying (potential) Cactus ransomware victims. Qlik Sense vulnerabilities
https://research.nccgroup.com/2024/04/25/sifting-through-the-spines-identifying-potential-cactus-ransomware-victims
Report completeness: Low
Threats:
Cactus
Melissa
Zeroqlik_vuln
Geo:
Italy, Spain, Dutch, Germany, Nederland, Ireland, Brazil, Netherlands
CVEs:
CVE-2023-41266 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)
CVE-2023-48365 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, august_2023, february_2022, february_2023, may_2022, may_2023, november_2021, november_2022)
CVE-2023-41265 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)
ChatGPT TTPs:
do not use without manual checkT1190, T1078, T1027, T1583
IOCs:
File: 3
Soft:
Qlik Sense, cURL
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
CTT Report Hub
#ParsedReport #CompletenessLow 25-04-2024 Sifting through the spines: identifying (potential) Cactus ransomware victims. Qlik Sense vulnerabilities https://research.nccgroup.com/2024/04/25/sifting-through-the-spines-identifying-potential-cactus-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В блоге обсуждается деятельность группы программ-вымогателей Cactus, нацеленной на серверы Qlik Sense посредством использования уязвимостей и тактики дезориентации, с акцентом на конкретные уязвимости, такие как ZeroQlik и DoubleQlik. Сотрудничество между голландскими фирмами по кибербезопасности и государственными органами направлено на смягчение последствий этих атак во всем мире путем обмена результатами и направления ответственных уведомлений о раскрытии информации пострадавшим администраторам.
-----
В блоге обсуждаются выводы голландских компаний, занимающихся кибербезопасностью, относительно использования вымогателями Cactus серверов Qlik Sense для первоначального доступа. Партнерство Melissa с участием различных фирм, таких как Fox-IT, выявило специфическую тактику вымогателей, используемую Cactus. Партнеры поделились информацией, полученной в ходе мероприятий по реагированию на инциденты, что привело к разработке компанией Fox-IT технологии снятия отпечатков пальцев для выявления уязвимых систем по всему миру. С ноября 2023 года Qlik Sense, инструмент визуализации данных, стал ключевой целью Cactus.
Группа Cactus не только использует уязвимости в программном обеспечении, но и вводит жертв в заблуждение с помощью сфабрикованных историй, чтобы скрыть их способ проникновения. К числу конкретных используемых уязвимостей относятся CVE-2023-41266, CVE-2023-41265 (ZeroQlik) и, возможно, CVE-2023-48365 (DoubleQlik). Значительное количество серверов Qlik Sense по всему миру, в том числе 241 сервер в Нидерландах, уязвимы для эксплойтов Cactus. Голландский институт по раскрытию уязвимостей, NCSC и DTC сотрудничают в целях информирования потенциальных жертв и предотвращения дальнейшего ущерба.
Дальнейшие исследования уязвимостей, таких как ZeroQlik и DoubleQlik, позволили идентифицировать версии серверов, используя файл product-info.json для оценки уязвимостей. В блоге обсуждается использование шаблонов Nuclears для проверки уязвимостей и метод доступа к файлам шрифтов без проверки подлинности. Оценка потенциальных уязвимостей Qlik на основе версий серверов и ярлыков релизов выявила большинство уязвимых серверов в Соединенных Штатах.
Было замечено, что группа Cactus перенаправляет выходные данные команд в файл шрифта с именем qle.ttf, вероятно, в целях использования. В блоге приводятся примеры выполняемых команд и перенаправления вывода с помощью Cactus. Доступ к файлам шрифтов без аутентификации объясняет, почему выходные данные команд хранятся в этих файлах, что служит индикатором компрометации. В результате сканирования было обнаружено 122 сервера с таким показателем, причем наибольшее количество эксплуатируемых серверов приходится на Соединенные Штаты.
Ответственность за раскрытие уязвимостей лежит на таких организациях, как Голландский институт раскрытия уязвимостей, который поделился своими выводами с целью направления ответственных уведомлений администраторам сервера Qlik Sense. Совместные усилия охранных фирм, государственных органов и институтов по раскрытию уязвимостей направлены на смягчение последствий атак программ-вымогателей Cactus во всем мире.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В блоге обсуждается деятельность группы программ-вымогателей Cactus, нацеленной на серверы Qlik Sense посредством использования уязвимостей и тактики дезориентации, с акцентом на конкретные уязвимости, такие как ZeroQlik и DoubleQlik. Сотрудничество между голландскими фирмами по кибербезопасности и государственными органами направлено на смягчение последствий этих атак во всем мире путем обмена результатами и направления ответственных уведомлений о раскрытии информации пострадавшим администраторам.
-----
В блоге обсуждаются выводы голландских компаний, занимающихся кибербезопасностью, относительно использования вымогателями Cactus серверов Qlik Sense для первоначального доступа. Партнерство Melissa с участием различных фирм, таких как Fox-IT, выявило специфическую тактику вымогателей, используемую Cactus. Партнеры поделились информацией, полученной в ходе мероприятий по реагированию на инциденты, что привело к разработке компанией Fox-IT технологии снятия отпечатков пальцев для выявления уязвимых систем по всему миру. С ноября 2023 года Qlik Sense, инструмент визуализации данных, стал ключевой целью Cactus.
Группа Cactus не только использует уязвимости в программном обеспечении, но и вводит жертв в заблуждение с помощью сфабрикованных историй, чтобы скрыть их способ проникновения. К числу конкретных используемых уязвимостей относятся CVE-2023-41266, CVE-2023-41265 (ZeroQlik) и, возможно, CVE-2023-48365 (DoubleQlik). Значительное количество серверов Qlik Sense по всему миру, в том числе 241 сервер в Нидерландах, уязвимы для эксплойтов Cactus. Голландский институт по раскрытию уязвимостей, NCSC и DTC сотрудничают в целях информирования потенциальных жертв и предотвращения дальнейшего ущерба.
Дальнейшие исследования уязвимостей, таких как ZeroQlik и DoubleQlik, позволили идентифицировать версии серверов, используя файл product-info.json для оценки уязвимостей. В блоге обсуждается использование шаблонов Nuclears для проверки уязвимостей и метод доступа к файлам шрифтов без проверки подлинности. Оценка потенциальных уязвимостей Qlik на основе версий серверов и ярлыков релизов выявила большинство уязвимых серверов в Соединенных Штатах.
Было замечено, что группа Cactus перенаправляет выходные данные команд в файл шрифта с именем qle.ttf, вероятно, в целях использования. В блоге приводятся примеры выполняемых команд и перенаправления вывода с помощью Cactus. Доступ к файлам шрифтов без аутентификации объясняет, почему выходные данные команд хранятся в этих файлах, что служит индикатором компрометации. В результате сканирования было обнаружено 122 сервера с таким показателем, причем наибольшее количество эксплуатируемых серверов приходится на Соединенные Штаты.
Ответственность за раскрытие уязвимостей лежит на таких организациях, как Голландский институт раскрытия уязвимостей, который поделился своими выводами с целью направления ответственных уведомлений администраторам сервера Qlik Sense. Совместные усилия охранных фирм, государственных органов и институтов по раскрытию уязвимостей направлены на смягчение последствий атак программ-вымогателей Cactus во всем мире.
#ParsedReport #CompletenessLow
25-04-2024
CHM malware that steals user information is distributed domestically.
https://asec.ahnlab.com/ko/64612
Report completeness: Low
ChatGPT TTPs:
T1566.001, T1204.002, T1105, T1001.003, T1059.001, T1027
IOCs:
File: 2
Path: 1
Hash: 1
Soft:
OneNote
Algorithms:
base64
Win API:
decompress
Languages:
php, powershell
Platforms:
x86
25-04-2024
CHM malware that steals user information is distributed domestically.
https://asec.ahnlab.com/ko/64612
Report completeness: Low
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1105, T1001.003, T1059.001, T1027
IOCs:
File: 2
Path: 1
Hash: 1
Soft:
OneNote
Algorithms:
base64
Win API:
decompress
Languages:
php, powershell
Platforms:
x86
ASEC
사용자 정보를 탈취하는 CHM 악성코드 국내 유포 - ASEC
사용자 정보를 탈취하는 CHM 악성코드 국내 유포 ASEC