#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ киберкампании, нацеленной на ИТ-специалистов с помощью Google maldvertising, направленной на распространение нового бэкдора под названием MadMxShell. Злоумышленники использовали различные методы, такие как имитация домена, дополнительная загрузка библиотек DLL, зашифрованные шелл-коды и запросы DNS, чтобы избежать обнаружения и связаться со своим сервером управления (C2). Анализ также охватывает использование законных серверов сети доставки контента (CDN) для маскировки вредоносной инфраструктуры, обнаружение вредоносных доменных имен, действия по удалению опечаток и важность мониторинга подозрительных доменов и DNS-центров для выявления потенциальных угроз.
-----

Киберкампания, нацеленная на ИТ-специалистов с помощью недобросовестной рекламы Google, распространяла бэкдор под названием MadMxShell.

Злоумышленники использовали домены, имитирующие популярные IP-сканеры, чтобы обманом заставить жертв загрузить zip-файл с вредоносной DLL-библиотекой.

Использовал несколько этапов дополнительной загрузки библиотеки DLL с зашифрованными shell-кодами и запросами DNS для связи C2.

Список вредоносных доменов привел к расследованию, в ходе которого были выявлены IP-адреса, размещенные на законных серверах CDN, таких как CloudFlare и Datacamp, которые использовались злоумышленниками.

Обнаружение вредоносных доменов, связанных с сервисами проверки подлинных IP-адресов с опечатками, размещенными на серверах OVH во Франции.

Злоумышленники использовали панель управления хостингом Vesta для управления вредоносными веб-сайтами.

Сеть серверов, связанных с серверами OVH и аналогичными шаблонами хостинга, обнаруженными с помощью сводных данных DNS.

Известный IP-адрес 51.222.204.42 вызвал подозрения из-за связи с несвязанными доменами и OVH.

Рекомендации по мониторингу подозрительных доменов и продолжению проверки DNS для выявления дополнительных вредоносных IP-адресов.

Рекомендуется соблюдать осторожность при отличении законных сервисов от вредоносных действий, особенно когда злоумышленники используют сервисы CDN.

Анализ домена C2 litterbolo.com преобразован в IP-адреса Cloudflare, что затрудняет идентификацию IP-адресов серверов злоумышленников.

Разрешения DNS, связанные с IP-адресом Horizon LLC в России, показали прошлые ассоциации с доменами с опечатками.

#ParsedReport #CompletenessHigh
28-04-2024

Uncorking Old Wine: Zero-Day from 2017 + Cobalt Strike Loader in Unholy Alliance

https://www.deepinstinct.com/blog/uncorking-old-wine-zero-day-cobalt-strike-loader

Report completeness: High

Threats:
Cobalt_strike
Sandbox_evasion_technique
Bloat_technique
Dll_injection_technique
Process_injection_technique

Victims:
Ukraine

Industry:
Military

Geo:
Russian, Poland, Ukraine

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2017-8570 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 5
Technics: 9

IOCs:
Domain: 2
File: 4
Path: 2
Registry: 2
Command: 1
IP: 1
Hash: 3

Soft:
AnyConnect

Functions:
WinAPI, Windows

Win API:
DllRegisterServer, NtDelayExecution, OpenProcess, WriteProcessMemory, CreateRemoteThread, WaitForSingleObject, CryptDecrypt

Languages:
javascript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе целенаправленной кибероперации, направленной против Украины, с использованием CVE-2017-8570 в качестве исходного вектора атаки. Злоумышленники остаются неустановленными, несмотря на тщательное расследование, и они использовали различные методы для сокрытия своей деятельности, включая размещение вредоносного контента на российском VPS-сервере и регистрацию сервера командования и контроля в Польше. Целью атаки были военнослужащие, которые использовали замаскированные доменные имена для проведения атаки.
-----

Лаборатория по борьбе с угрозами Deep Instinct недавно обнаружила предполагаемую целенаправленную кибероперацию, направленную против Украины, в ходе которой в качестве исходного вектора атаки использовался CVE-2017-8570. Интересно, что эта операция не могла быть напрямую связана с какими-либо известными участниками угроз, что добавляло загадочности ситуации. Злоумышленники использовали пользовательский загрузчик для Cobalt Strike Beacon, хорошо известного инструмента, используемого для учений red team и оценки безопасности.

Атака была впервые обнаружена, когда вредоносный файл PPSX был загружен из Украины на VirusTotal в конце 2023 года. Анализ показал, что использование префикса "script:" перед URL-адресом https указывает на использование CVE-2017-8570 для обхода более известного CVE-2017-0199. Удаленный скрипт с именем "widget_iframe.617766616773726468746672726a6834.html" был размещен на домене "weavesilk.space", который изначально был защищен CloudFlare. Однако более тщательное расследование, проведенное лабораторией угроз Deep Instinct, показало, что хостинг, стоящий за доменом, был российским VPS-провайдером.

На втором этапе атаки был задействован HTML-файл с кодом JavaScript, который выполнялся через Windows cscript.exe. На этом этапе в системе была удалена полезная нагрузка, замаскированная под файл Cisco AnyConnect VPN, который был размещен по определенному пути. Чтобы сохранить работоспособность скомпрометированной системы, злоумышленники изменили разделы реестра, гарантируя, что вредоносная программа будет выполняться каждый раз при запуске определенных команд. Образец вредоносной программы также содержал библиотеку динамической компоновки загрузчика/упаковщика (DLL) под названием vpn.sessings, которая отвечает за загрузку маяка Cobalt Strike в память и ожидание инструкций от сервера управления и контроля (C&C).

Примечательное поведение загрузчика включало выполнение CPUID с использованием встроенной инструкции ASM, чтобы определить, запущена ли вредоносная программа на виртуальной машине, - распространенный метод, используемый для предотвращения обнаружения антивирусными системами. Злоумышленники также внедрили дополнительные уловки для замедления анализа, такие как вставка ненужного кода для создания путаницы и задержки идентификации.

Конфигурация Cobalt Beacon включала открытый ключ для зашифрованного обмена данными с сервером C&C, что свидетельствовало о том, что это была взломанная версия Cobalt Strike, о чем свидетельствует идентификатор лицензии. Было обнаружено, что сервером C&C является petapixel.fun, замаскированный под популярный фотосайт и зарегистрированный в Варшаве, Польша, что обеспечивает анонимность и затрудняет отслеживание злоумышленников.

Несмотря на детальный анализ, проведенный лабораторией Deep Instinct Threat Lab, окончательно установить виновных в этих атаках не удалось. Доказательства указывали на образец, загруженный из Украины, второй этап, размещенный на российском VPS-сервере, и сервер C&C, зарегистрированный в Польше. Злоумышленники специально нацеливались на военнослужащих с помощью контента военной тематики, используя такие доменные имена, как weavesilk.space и petapixel.fun, для маскировки своей вредоносной деятельности.

#ParsedReport #CompletenessLow
28-04-2024

New Malware Campaign Targets WP-Automatic Plugin

https://wpscan.com/blog/new-malware-campaign-targets-wp-automatic-plugin

Report completeness: Low

CVEs:
CVE-2024-27956 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1133, T1105, T1027, T1036

IOCs:
Hash: 2
File: 2

Soft:
WordPress

Algorithms:
sha1

Languages:
php, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте обсуждается критическая уязвимость SQL-инъекции, обнаруженная в плагине WordPress WPAutomatic, которая позволяет злоумышленникам компрометировать веб-сайты, выполняя несанкционированные запросы к базе данных, создавая учетные записи уровня администратора, загружая вредоносные файлы и получая полный контроль над уязвимыми сайтами. В нем подчеркивается важность обновления плагина, аудита учетных записей пользователей, использования инструментов мониторинга безопасности и сохранения резервных копий для снижения риска, связанного с этой уязвимостью. Кроме того, для защиты от потенциальных угроз рекомендуются такие защитные меры, как использование Jetpack WAF и специальные правила для блокирования доступа к уязвимому файлу.
-----

В тексте подчеркивается критическая уязвимость, обнаруженная в популярном плагине WordPress WPAutomatic, которая заключается в внедрении SQL-кода (SQLi). Эта уязвимость позволяет злоумышленникам получать несанкционированный доступ к веб-сайтам, создавать учетные записи пользователей на уровне администратора, загружать вредоносные файлы и потенциально получать полный контроль над скомпрометированными сайтами. Ошибка связана с неправильным использованием плагином механизма аутентификации пользователя, что позволяет злоумышленникам выполнять вредоносные SQL-запросы, отправляя специально созданные запросы для ввода произвольного SQL-кода в базу данных сайта.

Уязвимость была публично раскрыта PatchStack 13 марта 2024 года, что привело к значительному увеличению числа попыток атаки: с момента раскрытия было зарегистрировано более 5,5 миллионов атак. Злоумышленники используют уязвимость SQL-инъекции для выполнения несанкционированных запросов к базе данных, создания учетных записей уровня администратора в WordPress, загрузки вредоносных файлов (таких как веб-оболочки или бэкдоры) и потенциального переименования уязвимого файла WPAutomatic для сохранения эксклюзивного доступа к нему. Как только сайт WordPress оказывается взломанным, злоумышленники внедряют бэкдоры, запутывают код и устанавливают плагины / темы для облегчения загрузки файлов или редактирования кода.

Чтобы снизить риск, связанный с этой уязвимостью, рекомендуется принять несколько защитных мер. К ним относятся обновление плагина WPAutomatic до последней версии, регулярный просмотр и аудит учетных записей пользователей в WordPress для удаления неавторизованных или подозрительных пользователей, использование надежных инструментов мониторинга безопасности, таких как Jetpack Scan, и поддержание актуальных резервных копий данных веб-сайта для быстрого восстановления в случае взлома. Пользователям Jetpack WAF рекомендуется включить функцию "Усилить защиту", чтобы брандмауэр веб-приложений (WAF) мог проверять запросы, направленные на уязвимые файлы PHP, и обеспечивать защиту от потенциальных угроз.

Пользователи Jetpack WAF с устаревшими версиями плагина WPAutomatic могут воспользоваться правилом, специально разработанным для блокирования доступа к уязвимому файлу PHP, отклоняя таким образом все вредоносные запросы. Кроме того, в базу данных вредоносных программ Jetpack были добавлены новые правила для обнаружения и очистки вредоносных программ, связанных с этой кампанией.

#ParsedReport #CompletenessLow
28-04-2024

Nation-State Threat Actors Renew Publications to npm

https://blog.phylum.io/north-korean-state-actors

Report completeness: Low

Threats:
Supply_chain_technique

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1195, T1059.007, T1027, T1070.004, T1105, T1574.002

IOCs:
File: 7
Domain: 1

Soft:
macOS

Languages:
javascript

Links:
https://github.com/node-config/node-config/tree/master
https://github.com/marketplace/phylum-io
https://github.com/node-config/node-config/blob/master/defer.js

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается сложная кампания кибератак, связанная с Северной Кореей, нацеленная на npm с использованием таких тактик, как скрытый JavaScript-файл и троянский пакет. В нем освещаются новые стратегии злоумышленников, в том числе нацеленные на компьютеры, отличающиеся от Windows, и подчеркивается сохраняющаяся угроза кибератак, спонсируемых государством. В анализе рекомендуется проявлять бдительность и осуществлять постоянный мониторинг для борьбы с такими угрозами и подчеркивается важность изучения тактики злоумышленников для улучшения защиты от кибербезопасности.
-----

В ноябре 2023 года было опубликовано сообщение в блоге, в котором подробно описывалась сложная атака в npm, связанная с Северной Кореей, а в январе 2024 года - еще одно, посвященное истории атаки и северокорейским APT в экосистемах с открытым исходным кодом. В апреле 2024 года Phylum отметил новые публикации, связанные с той же кампанией, но с другим подходом. Злоумышленники использовали предустановленный хук для выполнения произвольного кода, но на этот раз они запустили один запутанный JavaScript-файл с именем deference.js, троянскую версию файла из легитимного пакета node-config.

Злоумышленники использовали тактику, характерную для предыдущих версий, такую как вызов rundll32 в data.tmp и использование домена matrixane.com. Однако заметным дополнением стало включение команд на случай сбоя проверки операционной системы, что указывает на изменение стратегии развертывания. Это изменение подчеркивается условием if "Windows_NT" === os.type(), которое запускает серию команд в случае сбоя, в отличие от предыдущих версий, где компьютеры, отличающиеся от Windows, не были нацелены. Изменение стратегии развертывания было замечено при использовании логического оператора OR (\|\|), предназначенного для работы с компьютерами Linux; однако из-за ошибки в кодировании указанное условие всегда будет приводить к выполнению второй команды.

Анализ показывает, что двоичный файл, извлеченный из домена matrixane.com, является той же вредоносной программой, которая использовалась на предыдущих этапах кампании. Это свидетельствует о постоянных усилиях хакеров, специалистов по обработке данных и инженеров по противодействию злоумышленникам в цепочке поставок программного обеспечения и устранению их недостатков.

В сообщении в блоге подчеркивается эволюционный характер кампании по борьбе с кибератаками, демонстрируя способность злоумышленников обходить меры обнаружения. В нем подчеркивается важность бдительности и постоянного мониторинга для борьбы с изощренными киберугрозами, исходящими от спонсируемых государством субъектов, таких как Северная Корея. Технические подробности, представленные в этом посте, служат ценной информацией для специалистов в области кибербезопасности и организаций, стремящихся усилить свою защиту от подобных целенаправленных атак.

Настойчивость кампании отражает сохраняющуюся угрозу, исходящую от злоумышленников, использующих уязвимости цепочки поставок для проникновения в системы и компрометации конфиденциальных данных. Анализируя тактику злоумышленников и изменения в их методах с течением времени, эксперты по кибербезопасности могут расширить свои возможности в области анализа угроз и упреждающей защиты от подобных атак в будущем.

#ParsedReport #CompletenessMedium
28-04-2024

PrickSense: How Cactus exploits Qlik Sense. We are here for you

https://northwave-cybersecurity.com/whitepapers-articles/pricksense-how-cactus-exploits-qlik-sense

Report completeness: Medium

Actors/Campaigns:
Cactus

Threats:
Cactus_ransomware
Melissa
Zeroqlik_vuln
Doubleqlik_vuln
Plink_tool
Dwagent_tool
Shadow_copies_delete_technique
Putty_tool
Uac_bypass_technique
Rustdesk_tool

Geo:
Nederland, Dutch

CVEs:
CVE-2023-48365 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, august_2023, february_2022, february_2023, may_2022)

CVE-2023-41265 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)

CVE-2023-41266 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qlik qlik sense (august_2022, february_2023, may_2023, november_2022)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1567, T1021, T1071, T1114

IOCs:
File: 7
IP: 17
Domain: 2
Path: 19
Hash: 11
Command: 12

Soft:
Qlik Sense, QlikSense

Algorithms:
sha1, sha256

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается деятельность группы программ-вымогателей Cactus, в частности, использование ими уязвимостей в платформе анализа данных Qlik Sense, что приводит к атакам программ-вымогателей на множество организаций. В нем подчеркивается важность своевременных процедур исправления, совместных усилий в рамках альянса Melissa по борьбе с программами-вымогателями и необходимость того, чтобы организации определяли приоритетность мер кибербезопасности для защиты от постоянных угроз со стороны киберпреступников.
-----

В 2023 году было раскрыто 26 447 уязвимостей, три из которых в Qlik Sense привели к атакам программ-вымогателей Cactus group на 122 сервера.

Northwave отреагировала на два инцидента, произошедших в начале 2024 года, когда Cactus использовала уязвимости Qlik Sense для атак программ-вымогателей.

Cactus нацелился на более чем 115 организаций по всему миру, особенно в США и Европе, используя сложные тактические приемы и методы шифрования.

Группа получает первоначальный доступ, используя уязвимости VPN или периферийных устройств, и использует партнерские сети, похожие на программы-вымогатели как услугу.

Cactus упорно продолжала использовать незащищенные системы, используя уязвимости Qlik Sense, для установления несанкционированных сеансов и утечки данных.

Совместные усилия в рамках альянса Melissa способствовали обмену данными и разработке таких инструментов, как механизм снятия отпечатков пальцев, для выявления уязвимых экземпляров Qlik Sense.

Задержка с исправлением систем из-за информационной перегрузки создает возможности для участников угроз; упреждающие уведомления и унифицированные меры реагирования имеют решающее значение в борьбе с атаками программ-вымогателей.

#ParsedReport #CompletenessLow
28-04-2024

Phishing Email Investigation: A Step-by-Step Analysis

https://0xhacker55.medium.com/dissecting-a-phishing-attack-a-step-by-step-analysis-2fa5f96e9bc1

Report completeness: Low

Threats:
Cryxos

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1027, T1064, T1140, T1046, T1480

IOCs:
File: 1
Url: 1
IP: 2

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сообщении в блоге содержится подробный анализ личного опыта, связанного с попыткой фишинга, с выделением ключевых признаков атаки, таких как бессмысленные строки темы, недействительные домены отправителей и вредоносные HTML-вложения. В ходе расследования автор обнаружил запутанный код JavaScript в кодировке base64 и идентифицировал вредоносный URL-адрес и адрес электронной почты. Дальнейший анализ с использованием VirusTotal выявил вредоносную природу URL-адреса, и 9 из 92 поисковых систем отметили его. В этом посте подчеркивается важность доверия к своим инстинктам и осторожности при получении подозрительных электронных писем, а также использования таких инструментов безопасности, как VirusTotal, для защиты от развивающейся тактики фишинга.
-----

В сообщении в блоге подробно описывается личный опыт, связанный с попыткой фишинга, и приводится тщательный анализ атаки в образовательных целях. Автор выделяет ключевые признаки фишингового электронного письма, в том числе бессмысленную строку темы, неверный домен для адреса отправителя, нерелевантное содержимое в тексте электронного письма и вложение HTML-файла, призывающее получателя принять меры. Изучив HTML-вложение, автор обнаруживает запутанный JavaScript-код, указывающий на потенциальный злой умысел.

Дальнейшее расследование выявило наличие в коде кодировки base64, которая при расшифровке раскрывает ключевые слова JavaScript, вредоносный URL-адрес и целевой адрес электронной почты. Автор проводит проверку предоставленного URL-адреса на VirusTotal, в результате которой 9 из 92 поисковых систем помечают его как вредоносный, фишинговый и подозрительный. Анализ также распространяется на основной SHA-хэш электронного письма, что позволяет идентифицировать значительное число антивирусных систем, помечающих его как троянца, связанного с семейством троянских программ Cryxos.

Более того, автор идентифицирует два IP-адреса, связанных с центрами обработки данных и хостинговыми службами, которые были отмечены в базе данных AbuseIPDB. Подчеркивается важность доверия к своим инстинктам при обнаружении необычных характеристик электронной почты, таких как неизвестные отправители и необычное содержимое. Кроме того, в сообщении в блоге подчеркивается важность соблюдения осторожности перед переходом по ссылкам и вложениям, а также использования инструментов безопасности, таких как VirusTotal и Cyberchef, для анализа и сохранения бдительности в отношении новых тактик фишинга для усиления защиты.

#ParsedReport #CompletenessLow
28-04-2024

New Redline Version: Uses Lua Bytecode, Propagates Through GitHub

https://any.run/cybersecurity-blog/new-redline-version

Report completeness: Low

Threats:
Redline_stealer

Geo:
Australia, America, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1195, T1053, T1574.001, T1071, T1105, T1129

IOCs:
File: 6
Path: 1
Url: 1

Languages:
lua

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового варианта вредоносной программы Redline, которая использует сложные методы для повышения своих скрытных возможностей и уклонения от обнаружения программным обеспечением безопасности. Вредоносная программа распространяется через GitHub, использует байт-код Lua для обфускации и взаимодействует с сервером управления для сбора информации и выполнения вредоносных действий. В тексте также подчеркивается важность использования таких инструментов, как ANY.RUN, для анализа и обнаружения вредоносных программ, а также подчеркивается глобальная распространенность семейства вредоносных программ Redline Stealer.
-----

Последняя версия вредоносной программы Redline использует байт-код Lua для упаковки, что затрудняет ее обнаружение и анализ.

Вредоносное ПО Redline распространяется через GitHub, используя коммерческую защиту платформы, чтобы избежать обнаружения.

Цепочка заражения вредоносной программой включает запуск установщика MSI, установку механизмов сохранения и взаимодействие с сервером C2 по протоколу HTTP.

Вредоносная программа использует FFI Lua для прямого вызова функций Windows API, минуя стандартные механизмы обнаружения.

Анализ в программной среде ANY.RUN malware sandbox выявил вредоносное ПО, размещенное в репозитории GitHub с именем Cheat.Lab.2.7.2.zip.

Семейство вредоносных программ Redline Stealer широко распространено во всем мире, и данные McAfee свидетельствуют о его присутствии в различных регионах.

Использование таких инструментов, как ANY.RUN with YARA, Suricata и других методов обнаружения, может помочь в выявлении вредоносных программ Redline.

Платформа ANY.RUN предлагает решения для анализа вредоносных программ, анализа угроз, поиска IOC и бесплатные услуги по исследованию вредоносных программ для расширения возможностей реагирования на киберугрозы.

#ParsedReport #CompletenessMedium
28-04-2024

LightSpy Malware Variant Targeting macOS

https://www.huntress.com/blog/lightspy-malware-variant-targeting-macos

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Lightspy
Chrysaor
Wyrmspy

Geo:
India

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1547.013, T1552.002, T1105, T1573.001, T1553.007, T1129, T1071, T1566.001

IOCs:
Hash: 26
IP: 1
Url: 3
File: 4

Soft:
macOS, Android, WeChat, Telegram

Algorithms:
aes, sha256, xor, md5

Functions:
bytearray

Platforms:
arm, apple, intel

YARA: Found
SIGMA: Found

Links:
https://gist.github.com/stuartjash/8af9d8780c31e4b5020a89e4267f21a2#file-lightspy\_macos\_config
https://gist.github.com/stuartjash/6b99df52125ea0c16d1fd30104c0b72b/raw/26dcbcfbcf97b1ca5c3302ce5179de3d7433473f/lightspy\_macos\_yara
https://gist.github.com/stuartjash/6b99df52125ea0c16d1fd30104c0b72b#file-lightspy\_macos\_yara
https://gist.github.com/stuartjash/22bb1f3da61b842b0a143947056eff52/raw/0be0264a5e2d4429bc48f21743a5df90786b1d72/lightspy\_macos\_proc\_shared\_yml
https://github.com/facebookincubator/SocketRocket
https://github.com
https://gist.github.com/stuartjash/fecf3c8983fed564f58a95e3112ca8cf/raw/38229e9bc678c9503a9b864ee03320f5f739d400/lightspy\_macos\_payload\_verification
https://gist.github.com/stuartjash/fecf3c8983fed564f58a95e3112ca8cf#file-lightspy\_macos\_payload\_verification
https://gist.github.com/stuartjash/3c5c836dd3ed0e31bd3e96b75d57e0ee/raw/c3fb617a6713dd8cce21a07b2867663f5443e237/lightspy\_macos\_integrity\_verification\_json
https://gist.github.com/stuartjash/22bb1f3da61b842b0a143947056eff52#file-lightspy\_macos\_proc\_shared\_yml
https://gist.github.com/stuartjash/a3923c0632fc642f1ce19e262f06831d/raw/a9e22963554925919171d4bcf46bda4d8d72fde6/lightspy\_macos\_xor\_decode\_py
https://gist.github.com/stuartjash/f9b01d9a7c7b05e424ee4d8b5ca1cf0b#file-lightspy\_macos\_directory\_structure
https://gist.github.com/stuartjash/3c5c836dd3ed0e31bd3e96b75d57e0ee#file-lightspy\_macos\_integrity\_verification\_json
https://gist.github.com/stuartjash/8af9d8780c31e4b5020a89e4267f21a2/raw/5f9edaaad4412aba0ec56681cdf29f8cf6fbea4c/lightspy\_macos\_config
https://gist.github.com/stuartjash/a3923c0632fc642f1ce19e262f06831d#file-lightspy\_macos\_xor\_decode\_py
https://github.com/huntresslabs/threat-intel/tree/main/2024/2024-04/macos-lightspy
https://gist.github.com/stuartjash/f9b01d9a7c7b05e424ee4d8b5ca1cf0b/raw/ed7585b6c22f30ff93fdebe79100ce574659b109/lightspy\_macos\_directory\_structure

#ParsedReport #GeneratedSchema
Generated with GPT-4