#ParsedReport #CompletenessLow
28-04-2024

New Redline Version: Uses Lua Bytecode, Propagates Through GitHub

https://any.run/cybersecurity-blog/new-redline-version

Report completeness: Low

Threats:
Redline_stealer

Geo:
Australia, America, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1195, T1053, T1574.001, T1071, T1105, T1129

IOCs:
File: 6
Path: 1
Url: 1

Languages:
lua

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового варианта вредоносной программы Redline, которая использует сложные методы для повышения своих скрытных возможностей и уклонения от обнаружения программным обеспечением безопасности. Вредоносная программа распространяется через GitHub, использует байт-код Lua для обфускации и взаимодействует с сервером управления для сбора информации и выполнения вредоносных действий. В тексте также подчеркивается важность использования таких инструментов, как ANY.RUN, для анализа и обнаружения вредоносных программ, а также подчеркивается глобальная распространенность семейства вредоносных программ Redline Stealer.
-----

Последняя версия вредоносной программы Redline использует байт-код Lua для упаковки, что затрудняет ее обнаружение и анализ.

Вредоносное ПО Redline распространяется через GitHub, используя коммерческую защиту платформы, чтобы избежать обнаружения.

Цепочка заражения вредоносной программой включает запуск установщика MSI, установку механизмов сохранения и взаимодействие с сервером C2 по протоколу HTTP.

Вредоносная программа использует FFI Lua для прямого вызова функций Windows API, минуя стандартные механизмы обнаружения.

Анализ в программной среде ANY.RUN malware sandbox выявил вредоносное ПО, размещенное в репозитории GitHub с именем Cheat.Lab.2.7.2.zip.

Семейство вредоносных программ Redline Stealer широко распространено во всем мире, и данные McAfee свидетельствуют о его присутствии в различных регионах.

Использование таких инструментов, как ANY.RUN with YARA, Suricata и других методов обнаружения, может помочь в выявлении вредоносных программ Redline.

Платформа ANY.RUN предлагает решения для анализа вредоносных программ, анализа угроз, поиска IOC и бесплатные услуги по исследованию вредоносных программ для расширения возможностей реагирования на киберугрозы.

#ParsedReport #CompletenessMedium
28-04-2024

LightSpy Malware Variant Targeting macOS

https://www.huntress.com/blog/lightspy-malware-variant-targeting-macos

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Lightspy
Chrysaor
Wyrmspy

Geo:
India

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1547.013, T1552.002, T1105, T1573.001, T1553.007, T1129, T1071, T1566.001

IOCs:
Hash: 26
IP: 1
Url: 3
File: 4

Soft:
macOS, Android, WeChat, Telegram

Algorithms:
aes, sha256, xor, md5

Functions:
bytearray

Platforms:
arm, apple, intel

YARA: Found
SIGMA: Found

Links:
https://gist.github.com/stuartjash/8af9d8780c31e4b5020a89e4267f21a2#file-lightspy\_macos\_config
https://gist.github.com/stuartjash/6b99df52125ea0c16d1fd30104c0b72b/raw/26dcbcfbcf97b1ca5c3302ce5179de3d7433473f/lightspy\_macos\_yara
https://gist.github.com/stuartjash/6b99df52125ea0c16d1fd30104c0b72b#file-lightspy\_macos\_yara
https://gist.github.com/stuartjash/22bb1f3da61b842b0a143947056eff52/raw/0be0264a5e2d4429bc48f21743a5df90786b1d72/lightspy\_macos\_proc\_shared\_yml
https://github.com/facebookincubator/SocketRocket
https://github.com
https://gist.github.com/stuartjash/fecf3c8983fed564f58a95e3112ca8cf/raw/38229e9bc678c9503a9b864ee03320f5f739d400/lightspy\_macos\_payload\_verification
https://gist.github.com/stuartjash/fecf3c8983fed564f58a95e3112ca8cf#file-lightspy\_macos\_payload\_verification
https://gist.github.com/stuartjash/3c5c836dd3ed0e31bd3e96b75d57e0ee/raw/c3fb617a6713dd8cce21a07b2867663f5443e237/lightspy\_macos\_integrity\_verification\_json
https://gist.github.com/stuartjash/22bb1f3da61b842b0a143947056eff52#file-lightspy\_macos\_proc\_shared\_yml
https://gist.github.com/stuartjash/a3923c0632fc642f1ce19e262f06831d/raw/a9e22963554925919171d4bcf46bda4d8d72fde6/lightspy\_macos\_xor\_decode\_py
https://gist.github.com/stuartjash/f9b01d9a7c7b05e424ee4d8b5ca1cf0b#file-lightspy\_macos\_directory\_structure
https://gist.github.com/stuartjash/3c5c836dd3ed0e31bd3e96b75d57e0ee#file-lightspy\_macos\_integrity\_verification\_json
https://gist.github.com/stuartjash/8af9d8780c31e4b5020a89e4267f21a2/raw/5f9edaaad4412aba0ec56681cdf29f8cf6fbea4c/lightspy\_macos\_config
https://gist.github.com/stuartjash/a3923c0632fc642f1ce19e262f06831d#file-lightspy\_macos\_xor\_decode\_py
https://github.com/huntresslabs/threat-intel/tree/main/2024/2024-04/macos-lightspy
https://gist.github.com/stuartjash/f9b01d9a7c7b05e424ee4d8b5ca1cf0b/raw/ed7585b6c22f30ff93fdebe79100ce574659b109/lightspy\_macos\_directory\_structure

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена новая версия шпионской платформы LightSpy, ориентированная на macOS, что означает переход от прежней ориентации на iOS. Эта разработка, совпадающая с предупреждениями Apple о шпионских атаках, свидетельствует о повышении сложности шпионских угроз, таких как Pegasus. В версии для macOS применялись более продвинутые методы разработки по сравнению с версией для iOS, применялись повышенные меры операционной безопасности. Связь с сервером управления осуществляется через WebSockets, при этом вредоносное ПО загружает множество полезных данных, адаптированных для конкретных функций. Хотя в данном анализе основное внимание уделяется macOS, вредоносная программа исторически связана с APT 41, что подчеркивает ее связь с платформой LightSpy.
-----

11 апреля 2024 года на VirusTotal был загружен новый вариант платформы для мобильных шпионских программ LightSpy. Первоначально считалось, что BlackBerry внедрила iOS, но исследование, проведенное Huntress, показало, что образцы на самом деле были нацелены на macOS, о чем ранее не сообщалось. Это открытие указывает на то, что эта вредоносная программа потенциально может быть нацелена не только на пользователей iOS и Android, но и на пользователей macOS.

Появление этой новой функции совпало с выпуском компанией Apple "предупреждений о шпионских атаках", вероятно, в ответ на растущие угрозы, исходящие от сложных программ-шпионов, таких как Pegasus от NSO Group. Несмотря на то, что версия вредоносного ПО для Android была обнаружена на том же сервере управления, что и версия для macOS, не было никаких свидетельств наличия версии для iOS, что привело к тому, что в ходе анализа основное внимание было уделено внедрению macOS.

Платформа LightSpy получила признание в 2020 году благодаря своей версии для iOS, документально подтвержденной Kaspersky и TrendMicro. При сравнении версий для macOS и iOS стало очевидно, что версия для macOS отличается более совершенными методами разработки и улучшенной операционной безопасностью. В то время как в версии для iOS информация C2 хранилась в виде обычного текста, в версии для macOS использовался манифест плагина, повышающий гибкость и снижающий частоту обнаружения. Однако в обеих версиях были обнаружены артефакты, обнаруженные разработчиками, что указывает на необходимость улучшения мер по предотвращению анализа.

В версии вредоносной программы для macOS в качестве начальной стадии используется dropper, за которым следует dylib основного имплантата, который проверяется с помощью файла идентификационного номера процесса (PID). Данные конфигурации шифруются с помощью AES и добавляются в двоичный файл. Вредоносная программа запрашивает файл манифеста, содержащий информацию о подключаемом модуле, с сервера C2 перед загрузкой дополнительной полезной нагрузки для выполнения определенных задач.

Связь с сервером C2 осуществляется через WebSockets, используя библиотеку SocketRocket для стандартных функций, таких как сообщения heartbeat и обмен командами. Версия для macOS загружает десять дополнительных полезных приложений, каждое из которых предназначено для определенных функций, а в IOCs перечислены соответствующие плагины (dylibs).

Хотя LightSpy исторически был нацелен на устройства с iOS, новый вариант отличается тем, что он ориентирован на системы с macOS. Меняющийся ландшафт угроз для macOS обусловил необходимость обнаружения таких атак в экосистеме Apple. Хотя загруженный образец был получен из Индии, что указывает на присутствие в этом регионе, он не является окончательным доказательством активной кампании без дополнительных доказательств механизмов доставки. Предыдущее исследование связало это вредоносное ПО с APT 41, подчеркнув его связь с платформой LightSpy, без явных утверждений об авторстве в текущем анализе.

#ParsedReport #CompletenessLow
29-04-2024

Wpeeper. Suspense of fake death: What is the Wpeeper Trojan trying to do?

https://blog.xlab.qianxin.com/playing-possum-whats-the-wpeeper-backdoor-up-to_cn

Report completeness: Low

Threats:
Wpeeper

Industry:
Healthcare, Foodtech, Telco

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1573, T1547, T1059

IOCs:
File: 4
Hash: 3
Url: 48

Soft:
Android

Algorithms:
aes, base64, cbc, md5

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
** Основная идея:** В тексте рассказывается об обнаружении и анализе сложного вредоносного ПО для Android под названием Wpeeper, которое работает как бэкдор-троян, нацеленный на системы Android. В нем описываются расширенные функциональные возможности Wpeeper, операции на сетевом уровне, использование взломанных сайтов WORDPRESS в качестве серверов управления, механизмы шифрования и потенциальные мотивы его создателей. В анализе подчеркивается сложная инфраструктура вредоносного ПО и тактика уклонения от обнаружения, что подчеркивает необходимость принятия упреждающих мер кибербезопасности для противодействия растущим угрозам, исходящим от такого продвинутого вредоносного ПО.
-----

Wpeeper - это продвинутый троян-бэкдор для Android, обнаруженный в апреле 2024 года, который использует взломанный сайт WORDPRESS в качестве сервера управления (C2).

Эта вредоносная программа может собирать конфиденциальную информацию об устройстве, управлять файлами, выполнять команды и многое другое.

Wpeeper использует сложные операции сетевого уровня, используя многоуровневую архитектуру C2 для маскировки реального C2 и шифрования инструкций с использованием сигнатур AES и эллиптических кривых.

Он распространялся через "вторичную упаковку" в приложении UPtodown Store, что позволяло избежать обнаружения антивирусом.

Вредоносная программа внезапно прекратила свою активность 22 апреля, что вызвало опасения по поводу ее будущих действий и потенциального более масштабного заговора.

Он опирается на 45 серверов C2, в основном на взломанные сайты WORDPRESS, и различает общие команды и жестко запрограммированные C2s.

Wpeeper использует библиотеку libcurl для создания POST-запросов, выделяет поля cookie и сеанса для идентификации запроса и использует ответы JSON для выполнения команд.

Анализ дает представление о механизмах работы Wpeeper, методах шифрования, командных структурах и стратегических решениях, принимаемых для того, чтобы избежать обнаружения.

XLabs приглашает к сотрудничеству затронутые организации для дальнейшего понимания поведения Wpeeper и подчеркивает важность упреждающих мер кибербезопасности.

#ParsedReport #CompletenessLow
29-04-2024

Romance scam recommending coin investment

https://asec.ahnlab.com/ko/64753

Report completeness: Low

Threats:
Coinscam

Industry:
Financial

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1566, T1584, T1583, T1591

IOCs:
Hash: 6

Wallets:
coinbase

Crypto:
bitcoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда мобильного анализа AhnLab раскрыла случай романтической аферы, связанной с выдачей себя за зарубежных друзей или возлюбленных для вымогательства денег под видом инвестиций в криптовалюту. Этот тип мошенничества использует эмоции людей в целях получения финансовой выгоды, при этом мошенники используют изощренные тактики, такие как поддельные криптовалютные биржи и обманные методы обмана жертв по всему миру. Пользователям рекомендуется быть осторожными с незнакомыми криптовалютными биржами и использовать современное антивирусное программное обеспечение, чтобы защитить себя от подобных мошеннических схем.
-----

Команда мобильного анализа AhnLab раскрыла случай любовной аферы, в ходе которой люди выдавали себя за зарубежного друга или возлюбленную, чтобы завязать отношения, а затем вымогали деньги под видом инвестирования в криптовалюту. Термин "романтическая афера" представляет собой смесь слов "романтика" и "мошенничество", обозначающий тип кредитного мошенничества, который использует эмоции людей для получения финансовой выгоды. В то время как традиционные любовные аферы, как правило, связаны с прямым вымогательством денег после завоевания доверия, мошенники научились включать в свои схемы фальшивые криптовалютные биржи, банки и платформы онлайн-покупок. Эти мошеннические действия не ограничиваются Кореей, а осуществляются по всему миру с использованием переводческих сервисов для облегчения общения между преступниками и жертвами.

В данном случае преступник, представлявшийся гражданином Китая и Японии, который искал друзей за рубежом, в течение нескольких дней вступал с жертвой в разговоры, чтобы оценить ее пригодность в качестве мишени. Выявив потенциальную жертву, мошенник тонко внедрил идею получения прибыли от секретной информации о криптовалюте, которой он поделился через знакомых, подготовив почву для последующей финансовой эксплуатации. Для дальнейшего обмана жертвам предоставляются поддельные платформы обмена криптовалютами с ограниченными функциональными возможностями, чтобы создать иллюзию легитимности и свести к минимуму шансы на обнаружение.

В ходе тщательного расследования команда мобильного анализа AhnLab выявила множество поддельных приложений для обмена криптовалютами и веб-сайтов, связанных с любовными аферами. Некоторые из этих мошеннических платформ уже были отмечены за их мошеннические действия, что побудило мошенников закрыть свои сервисы и провести ребрендинг под новыми названиями, чтобы продолжить свою незаконную деятельность. Выявленные приложения были классифицированы как PUP /Android.CoinScam, подчеркивая обманчивый характер этих схем и проблемы, связанные с упреждающим выявлением злонамеренных намерений исключительно на основе внешнего вида приложения или содержимого веб-сайта.

Учитывая изощренную тактику социальной инженерии, используемую в мошеннических действиях, пользователям сложно обнаружить их заранее. В качестве меры предосторожности физическим лицам рекомендуется избегать незнакомых криптовалютных бирж и использовать современное антивирусное программное обеспечение, чтобы снизить риск стать жертвой таких мошеннических схем. Оставаясь бдительными и осторожными в Сети, пользователи могут лучше защитить себя от финансовой эксплуатации, организованной с помощью любовных афер, использующих инвестиции в криптовалюту.

#technique

Новая интересная статья про PEB, а именно про DLL Spoofing.
Автору респект!

#ParsedReport #CompletenessLow
30-04-2024

EDR detection of Danabot malware distributed in word documents

https://asec.ahnlab.com/ko/64906

Report completeness: Low

Threats:
Danabot

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1105, T1059.001, T1027, T1547.003, T1005

IOCs:
File: 9
Hash: 3

Soft:
outlook

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Название: Поток распространения и заражения вредоносной программой Danabot через вложения электронной почты.
Основная идея: В тексте обсуждается недавняя тенденция распространения вредоносных программ для документов по электронной почте, использующих уязвимости в редакторах формул и документах с внешними адресами подключения, с акцентом на поток заражения вредоносным ПО Danabot. В нем содержится информация о тактике, применяемой злоумышленниками, процессе выполнения и методах обнаружения с использованием продукта EDR. В статье подчеркивается необходимость принятия надежных мер безопасности и бдительности пользователей для предотвращения и смягчения таких киберугроз.
-----

В тексте описывается недавняя тенденция, когда вредоносное ПО для документов, распространяемое по электронной почте, в основном использует уязвимости в редакторах формул и документах, содержащих адреса внешних подключений. В сообщении в блоге подробно описывается поток заражения вредоносным ПО Danabot, которое распространяется в виде документа с адресом внешнего подключения. В статье дается представление о трассировках и методах обнаружения с использованием схемы продукта EDR (Endpoint Detection and Response) компании.

Текст электронного письма на рисунке 1 выглядит как замаскированное электронное письмо с заявлением о приеме на работу, предназначенное для обмана получателя. Прикрепленный документ Word (.docx) содержит адрес внешнего подключения. На рисунке 2 показаны следы EDR с компьютера, который открыл электронное письмо и запустил вложенный файл, демонстрируя создание и выполнение файла документа (.docx) с помощью таких процессов, как Outlook (outlook.exe ), Слово (winword.exe ), Командное окно (cmd.exe ), Powershell (powershell.exe ) и, в конечном счете, ведущий к выполнению исполняемого файла (iu4t4.exe) и rundll32.exe.

На рисунке 3 показана функция вредоносного документа Word, которая заключается в загрузке файла документа (w1p3nx.dotm) по адресу внешнего подключения. На рисунке 6 показан код макроса в загруженном впоследствии документе макроса (w1p4nx.dotm), расшифровка и выполнение закодированной команды cmd. Расшифрованная команда, как показано на рисунке 7, приводит к тому, что команда Powershell загружает вредоносную программу DanaBot (iu4t4.exe) с сервера управления (C2).

На рисунках 8 и 9 показано создание вредоносной программы DanaBot (iu4t4.exe) с помощью Powershell и путь ее загрузки с помощью C:\Users\Public. Кроме того, на рисунке 10 показано, как запущенная вредоносная программа DanaBot повторно запускает себя с параметрами через rundll32.exe, где shell32.dll показан процесс, стоящий за этой операцией.

После заражения Danabot предназначен для кражи различной информации с зараженного ПК, причем сбор данных происходит даже без подключения к серверу C2. На рисунке 11 показаны действия пользователя rundll32.exe, включая сбор снимков экрана, информации о компьютере и данных учетной записи браузера.

Тактика злоумышленника заключается в сокрытии вредоносных макросов, используя документ с адресом внешней ссылки в качестве фактического вложения. Электронные письма создаются так, чтобы они выглядели как законные заявления о приеме на работу, чтобы побудить получателей открыть файл вредоносного документа. Пользователям рекомендуется проявлять осторожность при открытии вложений, чтобы предотвратить выполнение потенциально опасного кода. Использование продуктов безопасности для мониторинга доступа и оперативного реагирования на любые выявленные угрозы имеет важное значение для смягчения и предотвращения их возникновения.

Таким образом, в тексте описывается процесс распространения и заражения вредоносного ПО Danabot через электронные письма, содержащие адреса внешних подключений, подчеркивается важность надежных мер безопасности и бдительности пользователей при обнаружении и предотвращении таких киберугроз.

#ParsedReport #CompletenessLow
29-04-2024

A Cunning Operator: Muddling Meerkat and China s Great Firewall

https://blogs.infoblox.com/threat-intelligence/a-cunning-operator-muddling-meerkat-and-chinas-great-firewall

Report completeness: Low

Actors/Campaigns:
Muddling_meerkat (motivation: cyber_espionage)
Volt_typhoon

Threats:
Exploderbot_actor

Industry:
Education, Government

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1568.002, T1071.004, T1568.003

IOCs:
Domain: 41
IP: 6

Soft:
Active Directory

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленник по имени Muddling Meerkat, который, как полагают, связан с государственным деятелем Китая, использует сложную тактику, включающую манипулирование DNS, открытые распознаватели DNS, ложные записи MX и операции, связанные с Большим брандмауэром Китая. Их деятельность, начатая в октябре 2019 года, демонстрирует высокий уровень компетентности и сложности, что затрудняет их обнаружение и потенциально создает угрозы для критически важной инфраструктуры. Обманчивая тактика злоумышленника и использование открытых распознавателей приводят к прерывистой активности, что затрудняет распознавание подлинных событий, связанных с китайскими IP-адресами, от вредоносных.
-----

Злоумышленник по имени Muddling Meerkat, вероятно, связанный с китайским государственным деятелем, использует сложную тактику манипулирования DNS с октября 2019 года.

Тактика включает в себя генерацию больших объемов DNS-запросов, ложных MX-записей со случайных китайских IP-адресов и использование открытых DNS-распознавателей.

Операции связаны с серверами в китайском IP-пространстве, непрерывными кампаниями продолжительностью от одного до трех дней и трудностями обнаружения из-за смешивания с обычной сетевой активностью.

Действия компании пересекаются с китайскими DDoS-атаками Great Firewall и Slow Drip DNS, создавая угрозу критически важной инфраструктуре.

Actor вводит ложные ответы MX-записи с китайских IP-адресов, запрашивает случайные поддомены целевых доменов.

Использует динамичный и развивающийся метод работы, чередует IP-адреса назначения для DNS-запросов.

Мотивы неясны, тактика заключается в выборочном срабатывании ответов с помощью сигнатур пакетов, нацеливании MX-запросов на целевые домены и случайные поддомены.

Домены, связанные с Muddling Meerkat, разнообразны и не обязательно указывают на злой умысел: от припаркованных доменов до законных.

#ParsedReport #CompletenessLow
01-05-2024

Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Two

https://www.elastic.co/security-labs/dissecting-remcos-rat-part-two

Report completeness: Low

Threats:
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1053, T1055, T1543, T1056, T1562, T1113, T1123, T1071

IOCs:
File: 4
Registry: 2

Algorithms:
rc4

Win API:
ShellExecuteW, SetWindowsHookExA, CreateCompatibleBitmap, BitBlt, GetCursorInfo, GetIconInfo, DrawIcon