#ParsedReport #CompletenessLow
03-05-2024

DNS Early Detection - Breaking the GoldFamily Kill Chain

https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-goldfamily-kill-chain

Report completeness: Low

Threats:
Goldfamily
Goldpickaxe
Golddigger
Microsocks_tool

Victims:
Iphone and ipad users, Android users

Industry:
Government, Financial

Geo:
Thailand, Vietnam

ChatGPT TTPs:
do not use without manual check
T1566, T1565, T1595, T1090, T1608, T1590

IOCs:
Domain: 15

Soft:
Android

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что недавно выявленная группа троянских программ GoldFamily представляет серьезную угрозу для пользователей iPhone и iPad, поскольку использует их данные для распознавания лиц для взлома банковских счетов. Группа вредоносных программ использует поддельные фотографии с использованием искусственного интеллекта, чтобы обманом заставить пользователей предоставлять конфиденциальную информацию, и нацелена на устройства Android и iOS с помощью тактики социальной инженерии. Программа раннего обнаружения DNS от Infoblox играет решающую роль в борьбе с этими угрозами, выявляя потенциально вредоносные домены на ранней стадии и предлагая превентивные меры защиты.
-----

GoldFamily - это недавно выявленная группа троянских программ, нацеленных на пользователей iPhone и iPad, которые используют поддельные фотографии с использованием искусственного интеллекта, чтобы обманом заставить пользователей предоставлять конфиденциальную информацию, такую как данные распознавания лиц и изображения удостоверений личности.

Используя технологию искусственного интеллекта, GoldFamily может обманывать процессы аутентификации, включая биометрические данные, создавая значительную угрозу для банковских счетов пользователей.

GoldFamily нацеливается на пользователей с помощью фишинговых электронных писем, SMS-сообщений или онлайн-приложений, выдавая себя за государственные учреждения.

Программа раннего обнаружения DNS от Infoblox использует уникальные методы для быстрого выявления потенциально вредоносных доменов, связанных с деятельностью GoldFamily, предлагая превентивные меры защиты до того, как они будут официально объявлены вредоносными в публикациях с открытым исходным кодом.

GoldFamily работает на устройствах Android и iOS, собирает данные о лицах, перехватывает SMS-сообщения и запрашивает изображения удостоверений личности, а также обменивается данными с сервером управления для отправки данных в облачную среду.

Infoblox предоставляет оповещения об угрозах в режиме реального времени и отчеты на основе данных о подозрительных доменах, которые позволяют организациям заблаговременно блокировать вредоносные домены и разрабатывать надежные стратегии защиты.

#ParsedReport #CompletenessLow
03-05-2024

Graph: Growing number of threats leveraging Microsoft API

https://symantec-enterprise-blogs.security.com/threat-intelligence/graph-api-threats

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)
Playful_taurus (motivation: cyber_espionage)

Threats:
Bluelight
Graphite
Spear-phishing_technique
Empire_loader
Siestagraph
Graphican
Ketrican
Bs2005
Cobalt_strike

Victims:
Organizations in ukraine, Governments in europe, Governments in asia, Foreign affairs ministries in the americas

Industry:
Government

Geo:
Asia, Ukraine, Korea, Americas, Russian

CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1574.002, T1566.001

IOCs:
File: 5
Hash: 10

Soft:
Microsoft OneDrive

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей тенденции использования злоумышленниками Microsoft Graph API для установления связи с инфраструктурой управления (C&C), размещенной в облачных службах Microsoft, для осуществления вредоносных действий. Упоминаются многочисленные варианты вредоносных программ и шпионские группы, использующие Graph API, в частности, нацеленные на такие сервисы, как OneDrive, что указывает на растущее предпочтение этого канала связи среди участников угроз из-за его предполагаемой скрытности и экономичности. Эта тенденция подчеркивает необходимость того, чтобы организации усиливали бдительность и механизмы обнаружения угроз для противодействия этим эволюционирующим киберугрозам.
-----

Злоумышленники все чаще используют Microsoft Graph API для операций C&C, размещенных в облачных службах Microsoft.

Вредоносный вариант BirdyClient использовал Microsoft OneDrive для операций C&C.

BirdyClient маскировался под законную библиотеку DLL, связанную с указательными устройствами Alps.

Другие вредоносные программы, такие как Bluelight, Graphite, SiestaGraph и Backdoor.Graphican также использовал Graph API.

RedSiege разработала наборы инструментов для полезной нагрузки Cobalt Strike Beacon, чтобы использовать Graph API для C&C коммуникаций.

Злоумышленники находят Graph API привлекательным из-за его неприметности и интеграции с известными облачными сервисами, такими как OneDrive.

Тенденция использования Graph API подчеркивает необходимость повышения бдительности и создания механизмов обнаружения угроз в организациях.

#ParsedReport #CompletenessLow
03-05-2024

Mal.Metrica Redirects Users to Scam Sites

https://blog.sucuri.net/2024/05/mal-metrica-redirects-users-to-scam-sites.html

Report completeness: Low

Threats:
Balada_injector
Sign1

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1547

IOCs:
File: 3
Domain: 18

Soft:
WordPress, tagDiv

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается новая мошенническая программа перенаправления Mal.Metrica, нацеленная на взломанные веб-сайты и заставляющая пользователей нажимать на поддельную кнопку проверки подлинности, что приводит к вредоносным перенаправлениям. В нем рассказывается о тактике, используемой злоумышленниками, стоящими за кампанией, и об использовании ими уязвимостей в популярных плагинах WordPress. В результате совместной работы в 2024 году было выявлено 17 449 взломанных веб-сайтов, и была подчеркнута важность автоматических обновлений и брандмауэров веб-приложений для обеспечения безопасности. В тексте также рассказывается об аналитике по безопасности Бене Мартине, который специализируется на обнаружении вредоносных программ и тенденциях в области безопасности веб-сайтов.
-----

В тексте обсуждается новая афера с перенаправлением Mal.Metrica, которая была выявлена аналитиком на взломанных веб-сайтах. Эта афера обманывает пользователей, заставляя их нажимать на поддельную кнопку проверки подлинности пользователя, что приводит к перенаправлению на вредоносные веб-сайты. Вместо использования JavaScript-инъекций мошенники создают наложение изображения со ссылкой на вредоносный домен, rapid.tmediacontent.com.

Мошенничество, по-видимому, является частью новой кампании злоумышленников, создавших кампанию Mal.Metrica, известную тем, что она нацелена на уязвимости в популярных плагинах WordPress. Эти злоумышленники используют обнаруженные уязвимости для внедрения внешних скриптов, похожих на CDN или сервисы веб-аналитики, при этом вредоносное ПО внедряется в Яндекс.Скрипты Metrica для отслеживания эффективности их внедрения. Группа установила такие плагины, как tagDiv Composer, Popup Builder, WP Go Maps и красивый баннер согласия на использование файлов cookie. В 2024 году было выявлено 17 449 скомпрометированных веб-сайтов.

В последнем отчете PatchStack, опубликованном в рамках совместной работы, были выявлены участники угроз Mal.Metrica, подчеркивающие взаимосвязь между использованием уязвимостей и серьезными заражениями вредоносными программами. В тексте также упоминаются случаи заражения вредоносным ПО Sign1, о которых ранее сообщалось в блоге компании, подчеркивая важность того, чтобы владельцы веб-сайтов включали автоматическое обновление основных файлов, плагинов и тем, а также рассматривали брандмауэры веб-приложений для виртуального исправления известных уязвимостей.

Кроме того, в тексте рассказывается о Бене Мартине, аналитике по безопасности и исследователе, работающем в компании с 2013 года. Бен специализируется на выявлении новых необнаруженных вредоносных программ, изучении тенденций в области безопасности веб-сайтов и очистке зараженных веб-сайтов, уделяя особое внимание вредоносным программам для электронной коммерции и кражи кредитных карт. Помимо своей работы, Бен увлекается продюсированием музыки, садоводством и катанием на скейтборде в окрестностях Виктории.

#ParsedReport #CompletenessLow
03-05-2024

D3F@ck Loader, the New MaaS Loader

https://www.esentire.com/blog/d3f-ck-loader-the-new-maas-loader

Report completeness: Low

Threats:
Raccoon_stealer
Danabot

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1204, T1112, T1071, T1027, T1059, T1090, T1140

IOCs:
Command: 7
File: 7
Hash: 6
IP: 3
Url: 1

Soft:
Google Chrome, Windows Defender, scripting engine, curl, Windows Malicious Software Removal Tool

Algorithms:
md5, base64, zip

Languages:
java, pascal

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/D3F%40ck\_Loader/iocs\_4-19-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе случая с загрузчиком D3F@ck, проведенном отделом реагирования на угрозы eSentire, с акцентом на изощренность тактики вредоносных программ, использование EV-сертификатов для обхода мер безопасности и важность передовых методов обеспечения безопасности для защиты от развивающихся киберугроз.
-----

Подразделение eSentire Threat Response (TRU) специализируется на повышении устойчивости организации к киберугрозам посредством поиска угроз, исследований и сотрудничества с подразделениями безопасности клиентов.

Загрузчик D3F@ck, о котором идет речь в тексте, стоит 70 долларов в день или 490 долларов в неделю и удаляет вредоносные программы, такие как Raccoon Stealer и Danabot.

Загрузчик использует EV-сертификаты для эффективного обхода предупреждений системы безопасности, таких как SmartScreen, при этом были выявлены три вредоносные EV-сигнатуры, о двух из которых уже было сообщено и они были отозваны.

Источником заражения является доступ к вредоносному веб-сайту через спонсируемую рекламу Google, при этом злоумышленники выдают себя за законные приложения, такие как Calendly и Rufus.

Загрузчик использует скриптовый движок Pascal, пользовательские строки в кодировке Base64 и пакетный скрипт для скрытия команд, получения URL-адреса с сервера C2 злоумышленника и самоуничтожения после выполнения.

Сервер C2 предоставляет zip-архив с зависимостями Java и полезной нагрузкой с именем "125.exe", для запуска которой требуются права администратора. Затем он развертывает .NET-дроппер, внедряющий Raccoon Stealer в процесс RegAsm.exe.

Пример с загрузчиком D3F@ck иллюстрирует эволюцию тактики "Вредоносное ПО как услуга" (MaaS), подчеркивая использование EV-сертификатов для обхода мер безопасности и важность постоянного обновления стратегий борьбы с угрозами.

В нем подчеркиваются ограничения автоматизированных механизмов безопасности, таких как SmartScreen и функции безопасности Chrome, пропагандируются методы безопасного просмотра веб-страниц и скептицизм по отношению к незнакомым загрузкам.

#ParsedReport #CompletenessMedium
03-05-2024

LOLBin to INC Ransomware

https://www.huntress.com/blog/lolbin-to-inc-ransomware

Report completeness: Medium

Threats:
Inc_ransomware
Lolbin_technique
Deathransom
Screenconnect_tool
Megasync_tool

TTPs:
Tactics: 1
Technics: 12

IOCs:
File: 10
Path: 1
Hash: 2

Soft:
Windows Defender, Sophos Anti-Virus, wordpad, Windows Service

Algorithms:
7zip, sha256

Links:
https://github.com
https://gist.github.com/ald3n5/b1a3f4138b1a1624f7e183a3d0859d17#file-susp\_adminflows\_tampering\_defender-yml
https://gist.github.com/ald3n5/b1a3f4138b1a1624f7e183a3d0859d17/raw/29e6f67fa3920a39cb4c4bc5226f21a6057fa5ad/susp\_adminflows\_tampering\_defender.yml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Краткое описание: Аналитики Huntress обнаружили атаку программы-вымогателя, нацеленную на конечные точки CylancePROTECT. Они провели упреждающий поиск моделей активности злоумышленников, выявили вредоносные действия до развертывания программы-вымогателя и заблаговременно уведомили клиентов, чтобы предотвратить дальнейший ущерб. Выявляя аналогичные атаки в других средах, Huntress способствовала эффективному реагированию. Рекомендации включают использование одобренных инструментов RMM, ограничение использования неутвержденных приложений и уделение особого внимания постоянному мониторингу и быстрому реагированию для защиты от киберугроз.
-----

Аналитики Huntress недавно обнаружили специфический вариант программы-вымогателя, который был развернут в среде клиента. Было замечено, что участники этой атаки проверяли эффективность своего развертывания с помощью специальной командной строки. Дальнейшее расследование выявило закономерность активности, связанную с злоумышленником, на промежуточных этапах атаки, перед внедрением программы-вымогателя. Эта закономерность позволила аналитикам провести упреждающий поиск по всей инфраструктуре, чтобы выявить другие затронутые конечные точки и уведомить клиентов, чтобы предотвратить дальнейший ущерб.

Злоумышленник атаковал конечные точки, на которых запущен CylancePROTECT, пытаясь отключить антивирусное программное обеспечение, скомпрометировав службу. Аналитики обнаружили постоянную вредоносную активность на затронутых конечных точках, что позволило своевременно обнаружить программу-вымогателя до ее развертывания. Злоумышленник получил доступ к конечным точкам, используя такие методы, как ScreenConnect, RDP и скомпрометированные учетные записи. Было обнаружено, что они использовали MEGAsync.exe для архивации данных на скомпрометированной конечной точке с последующей деинсталляцией программного обеспечения.

Время начала действий злоумышленника позволяет предположить, что он заранее знал об инфраструктуре или принимал активное участие в подготовке к развертыванию программы-вымогателя INC. В ходе тщательного расследования действий злоумышленника Huntress выявила других клиентов, столкнувшихся с подобными атаками. Своевременное уведомление позволило этим клиентам эффективно реагировать, реализовывать свои планы реагирования на инциденты и предотвращать действия по шифрованию файлов.

Для устранения таких угроз рекомендуется использовать одобренные средства удаленного мониторинга и управления (RMM) и инструменты удаленного управления/настольного компьютера, такие как ScreenConnect. Организациям также следует ограничить использование неутвержденных приложений и утилит синхронизации файлов или резервного копирования, которые не разрешены для использования в среде.

Таким образом, упреждающий поиск угроз, проведенный аналитиками Huntress, помог выявить и смягчить атаку программ-вымогателей, выявив закономерности вредоносной активности, заблаговременно уведомив клиентов и предоставив рекомендации по защите конечных точек от дальнейшего взлома. Этот инцидент подчеркивает важность постоянного мониторинга, быстрого реагирования и упреждающего анализа угроз для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessLow
03-05-2024

Dj Vu or New View: Latest Okta Credential Stuffing Campaign

https://permiso.io/blog/latest-okta-credential-stuffing-campaign

Report completeness: Low

Threats:
Password_spray_technique
Residential_proxy_technique

Victims:
Okta, F3 netze e.v., Microtronix-esolutions, Orange romania communication, Ovh sas

Geo:
Indonesia, Romania

ChatGPT TTPs:
do not use without manual check
T1110, T1596, T1590

IOCs:
File: 2
IP: 105

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Okta сообщила об изменениях в инфраструктуре, связанных с атакой с использованием паролей, нацеленной на клиентов Okta, и имеющей сходство с кампанией, ранее выявленной Cisco Talos. В ходе атаки использовались пользовательские агенты и конкретные IP-адреса, в основном исходящие от локальных прокси-серверов и TOR. Для организаций, на которые нацелена эта кампания, подчеркивается важность обмена информацией об угрозах и принятия упреждающих мер кибербезопасности для обнаружения и смягчения последствий подобных атак.
-----

26 апреля 2024 года Okta сообщила о серьезной атаке с использованием учетных данных, которая использует инфраструктуру совместно с кампанией, ранее идентифицированной Cisco Talos. Кампания, за которой наблюдала Cisco, началась 18 марта и продолжалась до 16 апреля 2024 года, в основном нацеленная на VPN-устройства. Однако 19 апреля Okta заметила изменения в этой инфраструктуре, поскольку начала проводить атаки с использованием паролей против клиентов Okta. Большинство попыток использования паролей исходили от ASN, которые обычно ассоциируются с локальными прокси-серверами и TOR.

Кампания по распространению паролей имела ограниченный успех и характеризовалась определенными показателями, включая агенты пользователей и список IP-адресов, связанных с кампанией. В этой кампании были задействованы такие организации, как F3 Netze e.V., MICROTRONIX-ESOLUTIONS, Orange Romania Communication, OVH SAS и другие. Некоторые известные IP-адреса, участвовавшие в кампании, включали 185.220.100.241, 185.220.100.240, 185.220.100.243, 185.220.100.242, 23.155.24.6, и многое другое. Пользовательский агент, использовавшийся в кампании, был идентифицирован как Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0.

Совпадение результатов наблюдений Okta и Cisco Talos свидетельствует о более широком спектре угроз, в котором участники угроз адаптивно меняют тактику для устранения уязвимостей в различных системах и организациях. Подробные отчеты об IP-адресах и агентах пользователей предоставляют организациям ценную информацию об угрозах, позволяющую повысить уровень их кибербезопасности, а также эффективно выявлять и смягчать подобные атаки. Организациям, на которые нацелена эта кампания, следует пересмотреть свои меры безопасности, включая внедрение политики надежного использования паролей, мониторинг подозрительных попыток входа в систему и использование служб репутации IP-адресов для выявления и блокировки вредоносных IP-адресов, используемых в этих атаках.

#ParsedReport #CompletenessLow
03-05-2024

Watch out for tech support scams lurking in sponsored search results

https://www.malwarebytes.com/blog/news/2024/05/watch-out-for-tech-support-scams-lurking-in-sponsored-search-results

Report completeness: Low

Threats:
Teamviewer_tool
Logmein_tool

Victims:
Users clicking on malicious ads

Industry:
Financial

Geo:
Australia, Canada

ChatGPT TTPs:
do not use without manual check
T1204, T1497, T1566, T1059, T1547

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от злоумышленников, которые манипулируют результатами спонсируемого поиска, чтобы обманом заставить пользователей переходить по мошенническим объявлениям, что приводит к потенциальному взлому системы и мошенничеству, такому как мошенничество с технической поддержкой. В нем также подчеркиваются шаги, которые отдельные лица могут предпринять, чтобы смягчить последствия того, что они становятся жертвами подобных мошенничеств, и важность повышения осведомленности, чтобы другие не становились их жертвами.
-----

Спонсируемые результаты поиска - это рекламные объявления, отображаемые в верхней части результатов поиска с пометкой "Спонсируемые". Как правило, бренды платят за эти рекламные объявления, чтобы привлечь трафик на свои веб-сайты. Однако злоумышленники могут переплачивать за законные бренды, чтобы их мошеннические объявления появлялись в списке первыми. Эти вредоносные рекламные объявления часто выдаются за законные бренды, что заставляет пользователей переходить по ним обманом. При переходе по этим объявлениям системы пользователей могут подвергаться дактилоскопии для определения наиболее выгодного последующего действия.

Например, пользователи в системах Windows, которые нажимают на эти вредоносные объявления, могут быть перенаправлены на мошеннические веб-сайты технической поддержки. Эти мошеннические сайты используют такие тактические приемы, как отображение всплывающих окон со срочными сообщениями, звуковых фрагментов и подсказок, предписывающих пользователям позвонить по определенному номеру, утверждая, что их системы заражены вредоносным ПО. Мошенники выдают себя за известные компании, такие как Microsoft, и заставляют жертв платить непомерные суммы за поддельные услуги по удалению вредоносных программ.

Чтобы избежать последствий, связанных с тем, что вы становитесь жертвой подобных мошенничеств, физическим лицам рекомендуется предпринять определенные действия. Во-первых, им следует отменить любой удаленный доступ, который мог получить мошенник, путем перезагрузки своих компьютеров. Также рекомендуется выполнить проверку на наличие вредоносных программ с помощью таких инструментов, как Malwarebytes, для обнаружения и удаления любых угроз, которые могли быть установлены. Кроме того, изменение всех паролей, включая логин Windows, учетные записи электронной почты и банковские данные, имеет решающее значение для защиты личной информации.

В случае, если мошенник получил доступ к системе пользователя с помощью приложений для удаленного рабочего стола, таких как TeamViewer, пользователям рекомендуется записать идентификатор TeamViewer и сообщить об этом в соответствующую службу поддержки. Эта информация поможет предотвратить попытки несанкционированного доступа в будущем. Аналогичным образом, если такие сервисы, как LogMeIn, использовались не по назначению, пользователи должны сообщать об этом.

Кроме того, важно повышать осведомленность друзей, членов семьи и других лиц о том, как они становились жертвами подобных мошенничеств. Хотя признание в том, что они были обмануты, может вызывать дискомфорт, информирование других может помочь предотвратить подобные инциденты и удержать мошенников от поиска новых жертв.