#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в открытии нового сложного IoT-ботнета под названием "Goldoon", который отличается высокой инновационностью, универсальностью и сложностью обнаружения. Уникальные функции Goldoon, модульная конструкция, поэтапное управление и совместимость с различными архитектурами делают его мощной угрозой в среде Интернета вещей. Возможности ботнета, включая инициализацию библиотеки шифрования и методы обхода, указывают на постоянное развитие и усовершенствование, подчеркивая необходимость повышения бдительности и мониторинга в отношении этой продвинутой угрозы.
-----

Компания Venustech ADLab обнаружила новый ботнет интернета вещей под названием "Goldoon", который отличается высокой сложностью и представляет серьезную угрозу для устройств Интернета вещей благодаря своему инновационному дизайну и возможностям.

Goldoon уникален тем, что это новый ботнет, разработанный с нуля, поддерживающий до 18 различных наборов команд, включая редкие архитектуры, такие как alpha и hppa, что делает его универсальным и трудноопределимым.

Модульная и поэтапная разработка Goldoon направлена на то, чтобы обойти программное обеспечение для обеспечения безопасности, позволяя ему работать с широким спектром устройств, работающих под управлением различных операционных систем и нишевых архитектур.

Было идентифицировано более 80 образцов, связанных с Goldoon, предназначенных как для традиционных ПК-устройств, так и для устройств Интернета вещей, а мероприятия по тестированию указывают на потенциал для быстрого создания и дальнейшего расширения.

Ботнет использует различные методы уклонения, включая изменение параметров выполнения команд, инкапсуляцию функций и кодовые факторы, чтобы избежать обнаружения.

Процесс атаки Goldoon включает в себя методы разделения модулей для платформ Linux и Windows, включая сканирование уязвимостей, выполнение скриптов, загрузчик, дроппер и окончательное выполнение программы-зомби.

Хотя библиотека шифрования Goldoon, wolfSSL, была инициализирована в ее кодовой базе, шифрование коммуникационного трафика еще не реализовано.

Постоянный мониторинг и анализ деятельности Goldoon имеют решающее значение для понимания всех его возможностей и снижения рисков, связанных с этой продвинутой IoT-ботнетом.

#ParsedReport #CompletenessMedium
29-04-2024

Analysis of Serwent loader: Old ways die hard. Code analysis

https://securite360.net/analysis-of-serwent-loadercaption-checking-if-common-security-tools-are-running-on-the-host-analysis-of-serwent-loader

Report completeness: Medium

Threats:
Sarwent

Victims:
Amnesty international

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1053, T1055, T1063, T1497, T1012, T1082, T1001, T1105, T1569

IOCs:
Domain: 1
Hash: 1
File: 1
IP: 1
Url: 1
Command: 1

Soft:
Windows registry, VirtualBox

Algorithms:
sha1

Win API:
CreateMutexA, CreateToolhelp32Snapshot, CheckRemoteDebuggerPresent, VirtualAllocExNuma, GetSystemWow64DirectoryA

Win Services:
bits

Languages:
delphi, powershell

Links:
https://github.com/silence-is-best/c2db
https://github.com/sandboxie-plus/Sandboxie

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена загрузчику вредоносных программ, известному как Sarwent, с подробным описанием его характеристик, тактики и поведения, включая создание мьютекса для предотвращения повторного заражения, методы сохранения, меры по борьбе с анализом, взаимодействие с сервером управления, а также его эволюцию с Delphi на C/C++ в качестве программного обеспечения. загрузчик.
-----

Sarwent - это загрузчик вредоносных программ, который создает мьютекс (NnhqndT7TRPSJtt) с помощью функции CreateMutexA, чтобы предотвратить многократное заражение одного и того же хоста. Он известен как минимум с 2018 года и использовался в кампании, связанной с Amnesty International, в 2021 году. Аналитик наткнулся на ссылку на Sarwent в Twitter и решил изучить ее, хотя они признают, что плохо разбираются в обратном проектировании.

Анализируемый образец Sarwent представляет собой 32-разрядный исполняемый файл с хэшем SHA1 bc647a5b99428ca2e01c1172174f7e4da2de0f5d, предположительно скомпилированный 16 апреля 2024 года. Примечательно, что она больше не разрабатывается на Delphi. У вредоносной программы отсутствует упаковка, которая может относительно упростить анализ.

Для обеспечения постоянства Sarwent создает раздел реестра в HKEY_CURRENT_USER, позволяющий пользователям, не имеющим прав администратора, изменять подразделы. Он также выполняет поиск ключей, относящихся к Vmware или VirtualBox, и использует различные методы антианализа. К ним относятся проверка на наличие средств анализа безопасности, отладка, наличие изолированной среды и использование функции Windows API VirtualAllocExNuma для обнаружения эмуляции. Этот пример не содержит антивирусных строк, что является отличием от предыдущих известных примеров.

Sarwent распознает зараженный компьютер, собирая информацию о версии Windows, определяя 32- или 64-разрядную архитектуру и проверяя наличие прав администратора. Он использует GetSystemWow64DirectoryA для различения версий Windows и пытается создать раздел реестра в Software\\Microsoft для определения прав администратора.

Вредоносная программа взаимодействует с сервером управления (C2) по IPv4-адресу 81.19.141.173 по протоколу HTTP с помощью таких команд, как загрузка, обновление и удаление. Получив команду на удаление, Sarwent удаляет свой исходный файл и сообщает об этом C2. Он может загружать, выполнять файлы и отправлять отчеты C2, пока его панель C2 работает через порт 80. Недавний анализ показывает, что Sarwent был перепрограммирован на C/C++, поддерживает меры по предотвращению анализа и функционирует скорее как загрузчик, чем как загрузчица файлов.

#ParsedReport #CompletenessHigh
29-04-2024

From IcedID to Dagon Locker Ransomware in 29 Days

https://thedfirreport.com/2024/04/29/from-icedid-to-dagon-locker-ransomware-in-29-days

Report completeness: High

Threats:
Dagon_locker
Icedid
Adfind_tool
Cobalt_strike
Awscollector_tool
Netscan_tool
Nbtscan_tool
Anydesk_tool
Seatbelt_tool
Sharefinder_tool
Nltest_tool
Shadow_copies_delete_technique
Process_injection_technique
Lokibot_stealer
Portproxy_tool
Mimikatz_tool
Conti
Netstat_tool
Bloodhound_tool
Winrm_tool
Meterpreter_tool
Revil
Quantum_locker
Cylance
Remoteexec_tool
Wmiexec_tool
Egregor
Mount_locker

TTPs:
Tactics: 12
Technics: 36

IOCs:
Domain: 10
Path: 14
Url: 2
Command: 4
File: 29
IP: 17
Hash: 13
Email: 1

Soft:
curl, Local Security Authority, active directory, Microsoft Defender, Chrome, Windows PowerShell, PsExec, Windows Security, telegram, Windows Defender, have more...

Algorithms:
7zip, base64, xor

Functions:
GetSystem, Invoke, PowerShell, FindHosts

Win API:
GetModuleHandleA, GetProcAddress, VirtualAlloc, InternetConnectA, NETBIOS, SetThreadContext, NtQueueApcThread-s, LoadLibraryA, CreateRemoteThread, RtlCreateUserThread, have more...

Win Services:
WebClient), eventlog, SntpService, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, YooBackup, YooIT, VSNAPVSS, have more...

Languages:
powershell, javascript

Platforms:
x64, x86, apple

YARA: Found
SIGMA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
https://github.com/mkellerman/Invoke-CommandAs
https://github.com/Sentinel-One/CobaltStrikeParser
https://github.com/EmpireProject/Empire/blob/master/data/module\_source/lateral\_movement/Invoke-DCOM.ps1
https://github.com/GhostPack/Seatbelt
https://github.com/OneScripter/WmiExec/blob/main/WmiExec.ps1
https://github.com/darkoperator/Veil-PowerView/blob/master/PowerView/functions/Invoke-ShareFinder.ps1
https://github.com/search?q=repo%3ANeo23x0%2Fsignature-base%20cobalt%20strike&type=code
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-SMBExec.ps1
https://github.com/The-DFIR-Report/Sigma-Rules
https://github.com/BloodHoundAD/SharpHound
https://github.com/0xThiebaut/PCAPeek/
https://github.com/SigmaHQ/sigma
https://github.com/ufrisk/MemProcFS
https://github.com/EmpireProject/Empire/blob/master/data/module\_source/lateral\_movement/Invoke-PsExec.ps1
https://github.com/elastic/protections-artifacts/blob/72fd8cad90189e9d145d22eb3d4fee2fe3d5902f/yara/rules/Windows\_Trojan\_CobaltStrike.yar#L1011

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Краткое содержание: В тексте описывается кибератака, произошедшая в конце августа 2023 года, инициированная с помощью фишинговой кампании с использованием PrometheusTDS для распространения вредоносного ПО IcedID. Атака включала в себя использование маяка Cobalt Strike beacon для таких вредоносных действий, как утечка данных, перемещение по сети и внедрение программ-вымогателей. Злоумышленник использовал различные инструменты, включая AWScollector, Rclone, Netscan и AnyDesk. Применяемые тактические приемы включали внедрение процессов, манипулирование токенами доступа и шифрование данных. Злоумышленник использовал функциональные возможности Cobalt Strike, сценарии PowerShell для разведки и реализовал различные варианты программ-вымогателей, такие как Dagon Locker. В результате вторжения срок действия программы-вымогателя составил 29 дней, при этом злоумышленник маскировал командный и контрольный трафик и пытался перемещаться в сторону, используя различные методы.
-----

В тексте подробно описывается кибератака, произошедшая в конце августа 2023 года, инициированная фишинговой кампанией с использованием PrometheusTDS для распространения вредоносного ПО IcedID. Атака привела к развертыванию маяка Cobalt Strike, который использовался для различных вредоносных действий, таких как обнаружение, боковое перемещение, утечка данных и внедрение программ-вымогателей. Злоумышленник использовал специально разработанный инструмент PowerShell под названием AWScollector, а также другие инструменты, такие как Rclone, Netscan, Nbtscan, AnyDesk, Seatbelt, Sharefinder и AdFind, для поддержки своей работы.

Вторжение началось с того, что жертвы загрузили вредоносный файл JavaScript с поддельного портала Azure, что привело к запуску вредоносной программы IcedID. Вредоносная программа установила постоянство с помощью запланированного задания, а затем развернула маяк Cobalt Strike для горизонтального перемещения по сети. Злоумышленник выполнял целый ряд действий, включая повышение привилегий, утечку данных и изучение общих сетевых ресурсов с использованием различных инструментов и методов. Кульминацией атаки стало развертывание программы-вымогателя Dagon Locker на нескольких системах, в результате чего время действия программы-вымогателя составило 29 дней.

Во время вторжения были применены различные тактики и приемы, включая внедрение процессов, манипулирование токенами доступа, шифрование данных, отключение мер безопасности, эксфильтрацию в облачное хранилище, создание запланированных задач и многое другое. Злоумышленник использовал функциональные возможности Cobalt Strike, такие как logonpassword, для извлечения учетных данных, WinRM для горизонтального перемещения и AnyDesk для удаленного доступа и взаимодействия с инструментами графического интерфейса.

Злоумышленник использовал скрипт awscollector.ps1 PowerShell, содержащий множество функций, таких как запуск SharpHound для разведки Active Directory, отключение продуктов безопасности, утечка данных и развертывание программ-вымогателей, таких как Revil, Xing, Quantum и Dagon Locker. Скрипт также облегчал обмен данными и выполнение команд между хостами, предоставляя возможность отправлять обновления через Telegram.

Во время вторжения злоумышленник получал доступ к файлам, связанным с ИТ, загружал журналы событий безопасности Windows с контроллера домена и проводил различные разведывательные действия с использованием таких инструментов, как Netscan, Sharefinder, AdFind и других. Злоумышленник замаскировал трафик управления Cobalt Strike, внедрил вредоносную полезную нагрузку в легитимные процессы и попытался обойти их, используя различные методы.

#ParsedReport #CompletenessLow
01-05-2024

Latin America Under Threat: The Venom RAT Campaign s Cyber Invasion Initiative

https://socradar.io/latin-america-under-threat-the-venom-rat-campaigns-cyber-invasion-initiative

Report completeness: Low

Actors/Campaigns:
Ta558

Threats:
Venomrat

Geo:
Mexico, Portugal, Spain, Colombia, America, Latam, Brazil, Dominican, Argentina

ChatGPT TTPs:
do not use without manual check
T1569, T1548, T1078

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания Venom RAT, организованная злоумышленником TA558, представляет собой серьезную киберугрозу в Латинской Америке и других странах, нацеленную на различные сектора и подчеркивающую необходимость немедленных действий и превентивных мер для эффективной борьбы с вредоносным ПО.
-----

Кампания VenomRat, организованная печально известным злоумышленником TA558, представляет собой серьезную киберугрозу в Латинской Америке, требующую немедленных действий. Эта сложная кампания затронула различные сектора в таких странах, как Испания, Мексика и Соединенные Штаты, от жилищного строительства до государственного управления. VenomRAT - это троян удаленного доступа (RAT), специально разработанный для проникновения в системы незаконной финансовой деятельности, предоставления злоумышленникам удаленного контроля над скомпрометированными компьютерами и создания угрозы для конфиденциальных данных. Вредоносная программа использует методы повышения привилегий для получения разрешений более высокого уровня и продолжает свое существование, используя уязвимости системы и неправильные настройки.

Сфера действия VenomRAT распространяется за пределы Латинской Америки и затрагивает такие страны, как Испания, Мексика, Соединенные Штаты, Колумбия, Португалия, Бразилия, Доминиканская Республика и Аргентина. Для эффективной борьбы с VenomRAT и подобными вредоносными программами крайне важно предотвратить первоначальное заражение. Ключевые стратегии включают своевременное обновление системы безопасности, внедрение многофакторной аутентификации (MFA), использование передового антивирусного программного обеспечения с актуальными определениями угроз и надежных протоколов защиты электронной почты для блокирования попыток фишинга.

Скрытый доступ, предоставляемый Venom RAT злоумышленникам, позволяет осуществлять различные вредоносные действия, что подчеркивает важность для организаций сохранения бдительности и активного обновления средств защиты от этой развивающейся угрозы. Чтобы получить доступ к более подробной информации о кампании VenomRAT и других мероприятиях, пользователи могут посетить страницу кампаний на платформе SOCRadar.

https://www.securitylab.ru/analytics/539139.php

Понял, принял.
FB - это не место для кибербеза.

#ParsedReport #CompletenessLow
01-05-2024

macOS Adload \| Prolific Adware Pivots Just Days After Apple s XProtect Clampdown

https://www.sentinelone.com/blog/macos-adload-prolific-adware-pivots-just-days-after-apples-xprotect-clampdown

Report completeness: Low

Threats:
Adload_loader
Pirrit
Bundlore

TTPs:

ChatGPT TTPs:
do not use without manual check
T1082

IOCs:
File: 5
Hash: 9
Domain: 9
Url: 1

Soft:
macOS

Algorithms:
gzip, sha1

Platforms:
apple, intel

Links:
https://github.com/denisbrodbeck/machineid
https://github.com/SentineLabs/XProtect-Malware-Families

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Apple выпустила обновления для своего списка сигнатур вредоносных программ XProtect, нацеленные на распространителя рекламного по Adload, атакующего устройства macOS, но, несмотря на их усилия, создатели Adload быстро адаптировались к новым вариантам, которые не были обнаружены. Это свидетельствует о продолжающейся игре в кошки-мышки между создателями вредоносных программ и решениями в области кибербезопасности, подчеркивая важность решений безопасности сторонних производителей для комплексной защиты от развивающихся угроз.
-----

Недавно Apple выпустила значительное обновление списка сигнатур вредоносных программ XProtect, включив в версию 2192 74 новых правила, а всего неделю спустя - еще 10 правил в версии 2193. Обновление было специально нацелено на распространителя рекламного ПО, известного как Adload, которое атакует устройства macOS. Несмотря на усилия Apple по пресечению деятельности Adload, создатели рекламного ПО быстро адаптировались, создав новые образцы, которые могли бы обойти новые сигнатуры.

До этого обновления существовало около двух десятков правил, ориентированных на предыдущие версии Adload. С добавлением новых правил их количество увеличилось до 279 в версии 2192 и еще больше - до 289 в версии 2193. Хотя количество правил может показаться скромным по сравнению с данными внешних поставщиков систем безопасности, увеличение на 24% за одно обновление отражает значительные усилия, затраченные на изучение и тестирование каждого правила для предотвращения ложных срабатываний.

В то время как Apple, вероятно, ожидала, что обновление приведет к сбоям в работе распространителя рекламного ПО, злоумышленники быстро отреагировали, внедрив новые варианты загрузки рекламы, которые не учитывали новые сигнатуры. Этим вариантам удалось обойти обнаружение как XProtect, так и другими системами VirusTotal.

Один из примечательных новых вариантов Adload был минимально обнаружен ядрами VirusTotal и был скомпилирован исключительно для архитектуры Intel x86_64. Эти двоичные файлы выполняли роль начальных загрузчиков для полезной нагрузки следующего этапа, но не имели связи с родительским исполняемым файлом или приложением. Методы распространения этих образцов оставались неясными, хотя в них был встроен уникальный пользовательский домен, соответствующий известным шаблонам загрузки рекламы.

После выполнения дропперы выполнили обнаружение системной информации с помощью утилиты ioreg, а затем разрешили жестко запрограммированное доменное имя для получения удаленного файла gzip с помощью HTTP-запроса. Ответ был записан в подкаталог в каталоге /tmp. Несмотря на то, что Apple отслеживала артефакты в своих сигнатурах, вредоносное ПО продолжало ускользать от обнаружения XProtect.

Несмотря на то, что XProtect успешно справился с этим обходом, решения безопасности, такие как SentinelOne Singularity, смогли обнаружить эти образцы Adload. Платформа использовала статические и динамические движки для комплексной защиты. Было предложено, чтобы предприятия использовали сторонние решения безопасности для защиты своих устройств macOS от новых угроз, таких как Adload.

#ParsedReport #CompletenessMedium
01-05-2024

Eight Arms to Hold You: The Cuttlefish Malware

https://blog.lumen.com/eight-arms-to-hold-you-the-cuttlefish-malware

Report completeness: Medium

Actors/Campaigns:
Duke
Storm-0558

Threats:
Cuttlefish
Credential_harvesting_technique
Hiatusrat
Moon_botnet
Dns_hijacking_technique
Netstat_tool
Libpcap_tool
Dns_hijack_technique
Zuo_rat
Vpnfilter
Attor

Victims:
Turkish telecommunications providers, Us-based data center, Global satellite phone providers

Industry:
Aerospace, Iot, Telco

Geo:
Turkish, China, Turkey

ChatGPT TTPs:
do not use without manual check
T1566, T1041, T1557, T1543, T1573, T1065, T1027, T1036, T1040, T1496, have more...

IOCs:
Url: 6
IP: 8
Domain: 3

Soft:
BinDiff

Algorithms:
gzip, base64

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Cuttlefish\_IOCs.txt
https://github.com/fgssfgss/socks\_proxy/tree/a40dceb86e3f2602dc9ba0e86f45887d16332d7e
https://github.com/ntop/n2n/tree/dev

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Black Lotus Labs из Lumen Technologies обнаружила сложную вредоносную платформу под названием Cuttlefish, которая нацелена на маршрутизаторы small office/home office (SOHO), используемые предприятиями. Cuttlefish предназначен для кражи аутентификационных данных из веб-запросов, проходящих через локальную сеть маршрутизатора (LAN), что позволяет злоумышленникам создавать VPN или прокси-туннели для доступа к целевым ресурсам, используя украденные учетные данные. Вредоносная программа была активна в основном в Турции, но также затронула других жертв, таких как глобальные операторы спутниковой связи и центры обработки данных в США. Рекомендации по устранению угрозы включают шифрование сетевого трафика, регулярную проверку устройств SOHO на наличие аномалий и принятие мер безопасности, таких как смена паролей по умолчанию. Компания Lumen Technologies предприняла шаги по блокированию трафика, связанного с Cuttlefish, и распространению индикаторов компрометации для усиления усилий по анализу угроз.
-----

Команда Black Lotus Labs из Lumen Technologies обнаружила вредоносную платформу Cuttlefish, предназначенную для маршрутизаторов SOHO, используемых предприятиями для кражи аутентификационных данных из веб-запросов, проходящих через локальную сеть.

Компания Cuttlefish связана с Китаем и в основном принимала активное участие в кампаниях, направленных против Турции, жертвами которых стали мировые операторы спутниковой связи и центр обработки данных в США.

Вредоносные файлы, связанные с Cuttlefish, включают в себя bash-скрипт для сбора данных, сервер полезной нагрузки для поиска троянских программ и файл конфигурации для мониторинга сетевого трафика.

Вредоносная программа использует libpcap для прослушивания и перехвата диапазонов IP-адресов, нацеливаясь на определенный исходящий сетевой трафик, чтобы перехватить маркеры учетных данных для облачных сервисов.

Cuttlefish использует функциональность VPN на базе n2n и прокси-модуль для обратной маршрутизации трафика через скомпрометированные устройства.

Вредоносная программа способна перенаправлять соединения на частные IP-адреса, перехватывать трафик на таких портах, как 80 и 53, и использовать код ответа HTTP "302" для перенаправления внутреннего IP-адреса.

Среди известных жертв - турецкая авиакомпания, поставщики спутниковых услуг и центр обработки данных в США, которые подключались к серверам C2 в основном с турецких IP-адресов и двух турецких операторов сотовой связи.

Cuttlefish связан с кластером активности HiatusRat, что позволяет предположить, что за обоими семействами вредоносных программ стоят общие разработчики.

Рекомендации по устранению угрозы включают шифрование сетевого трафика, регулярную проверку устройств SOHO, использование закрепления сертификатов, изменение паролей по умолчанию, защиту интерфейсов управления устройствами и замену устаревших устройств.

#ParsedReport #CompletenessLow
02-05-2024

ViperSoftX steals information using deep learning-based Tesseract

https://asec.ahnlab.com/ko/64931

Report completeness: Low

Threats:
Vipersoftx
Tesseract_stealer
Quasar_rat
Venomsoftx
Trojan/win.generic.c5440564
Trojan/win32.agent.c2862808
Trojan/win32.rl_downeks.c4069173
Trojan/win32.subti.r285137
Malware/mdp.inject.m2907

ChatGPT TTPs:
do not use without manual check
T1059, T1140, T1547, T1083, T1113, T1027, T1574, T1566

IOCs:
File: 14
Hash: 15
Url: 5
Domain: 7

Soft:
KeePass, 1Password, task scheduler

Wallets:
electrum

Algorithms:
md5, base64

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развитии угрозы, исходящей от вредоносного ПО ViperSoftX, которое используется для распространения других вредоносных программ, таких как Quasar RAT и TesseractStealer. Злоумышленники используют тактику, подобную использованию Tesseract для извлечения текста из изображений, для кражи конфиденциальной информации и подчеркивают важность бдительности и активных мер кибербезопасности для снижения рисков, связанных с этими угрозами.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно выявил новую тактику, применяемую злоумышленником ViperSoftX, который использовал Tesseract, распознавательный движок с открытым исходным кодом, для кражи файлов изображений пользователей. ViperSoftX - это стойкая вредоносная программа, которая работает в скомпрометированных системах, облегчая выполнение вредоносных команд и кражу данных, связанных с криптовалютой. Эта последняя версия ViperSoftX использовала Tesseract для извлечения текста из изображений, хранящихся в зараженных системах. Если бы извлеченный текст содержал ссылки на пароли или адреса криптовалютных кошельков, изображение было бы удалено злоумышленником.

ViperSoftX, вредоносное ПО, распространяющееся уже несколько лет, выполняет основные функции по выполнению команд и сбору информации, связанной с криптовалютой. Примечательно, что злоумышленники использовали ViperSoftX для внедрения новых вредоносных программ в различные системы. Некоторые примеры вредоносного программного обеспечения, распространяемого через ViperSoftX, включают Quasar RAT и TesseractStealer.

Quasar RAT, троян с открытым исходным кодом для удаленного доступа (RAT), разработанный в .NET, предоставляет широкий спектр функциональных возможностей, типичных для RATs, таких как системные операции, удаленное выполнение команд и утечка данных. Кроме того, он предлагает функции для ведения кейлоггинга и сбора информации об учетной записи для кражи данных из зараженных систем и позволяет осуществлять контроль в режиме реального времени с помощью удаленного доступа к рабочему столу. Было замечено, что злоумышленники распространяют Quasar RAT через ViperSoftX, внедряя это вредоносное ПО в многочисленные системы, а не нацеливаясь на конкретные объекты. Недавние случаи указывают на резкий рост числа установок Quasar RAT, причем в некоторых случаях используется сеть Tor для связи с серверами командования и контроля (C&C).

В дополнение к Quasar RAT злоумышленники внедрили TesseractStealer, вредоносную программу для кражи информации, которая использует Tesseract для извлечения текста из изображений. TesseractStealer инициализирует необходимые библиотечные файлы и файлы обучающих данных для извлечения строк из изображений, а затем тщательно проверяет содержимое на наличие определенных текстовых строк, связанных с конфиденциальной информацией. В случае обнаружения скомпрометированные изображения отправляются злоумышленником на сервер C&C.

Недавняя активизация деятельности ViperSoftX, приведшая к установке Quasar RAT и TesseractStealer, подчеркивает повышенный риск, связанный с этим меняющимся ландшафтом угроз. Пользователям рекомендуется проявлять осторожность при загрузке исполняемых файлов из ненадежных источников и приобретать программное обеспечение исключительно у официальных дистрибьюторов. Кроме того, поддержание актуальности программного обеспечения для обеспечения безопасности имеет решающее значение для превентивной защиты от заражения вредоносными программами.

Использование сценариев PowerShell, разработка командных структур для поддержки распространения вредоносных программ и установка дополнительных вредоносных кодов подчеркивают сложность и постоянство этих киберугроз. Бдительность и превентивные меры кибербезопасности имеют решающее значение для снижения рисков, связанных с ViperSoftX и связанными с ним вариантами вредоносных программ.

#ParsedReport #CompletenessLow
01-05-2024

Stories from the SOC - Combating "Security Alert" Scams

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-combating-security-alert-scams

Report completeness: Low

Victims:
Windows users, Apple users

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1595, T1584, T1219

IOCs:
Domain: 2
Hash: 1

Soft:
Microsoft Teams

Algorithms:
zip

Platforms:
apple