CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
Через нас каждый день проходит много отчетов.
В них содержится описание и поведение разных угроз (малварь, рансомварь, группировки и т.д.). Мы извлекаем из отчетов названия этих угроз в привязке к предложениям из тела отчета.

На праздниках окончательно сформировалась идея: "А почему бы не сделать хранение <Угроза> - <Абзацы текста, где она фигурирует>?". На базе этих кусков и LLM можно сделать динамически перестраиваемое краткое описание каждой угрозы.
Да, описание не будет детальное, но про основную идею о том, что же эта за угроза и что она делает - будет понятно.

Т.о. можно сделать API, куда на вход подавать название угрозы, а на выходе получать саммари по ней, автоматически построенное по всем TI-отчетам, где она была упомянута.

Надеюсь, что к PhD допилю этот сервис, благо 70% уже запилено )))
Будет ли он общедоступный? Скорее всего - да, основную часть как-то сделаю открытой.
🔥14
Осталось перезачитать системные json-чики по всем отчеты с 2022 года и надеяться, что LLM-ка не убьет 3090.
#ParsedReport #CompletenessMedium
08-05-2024

From OSINT to Disk: Wave Stealer Analysis. Introduction

https://montysecurity.medium.com/from-osint-to-disk-wave-stealer-analysis-2010d2e340f0?source=rss-9369a68f4b09------2

Report completeness: Medium

Threats:
Wave_stealer
Privateloader
Procmon_tool
Dll_injection_technique
Dll_hijacking_technique

Victims:
Unity llc

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1055, T1574.001, T1547.001

IOCs:
Hash: 3
Path: 1
File: 5
Domain: 1

Soft:
Discord

Algorithms:
sha256

Functions:
CreateFile

Links:
https://github.com/montysecurity/InfraHunter
https://github.com/mandiant/flare-vm
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 From OSINT to Disk: Wave Stealer Analysis. Introduction https://montysecurity.medium.com/from-osint-to-disk-wave-stealer-analysis-2010d2e340f0?source=rss-9369a68f4b09------2 Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается анализ Wave Stealer infostealer, в котором основное внимание уделяется использованию уязвимости при внедрении библиотеки DLL в продукт, связанный с Unity, для запуска вредоносных действий и попыток создания механизмов сохранения. Несмотря на выявление уязвимости, механизм сохранения не сработал, что привело к сбоям в работе программы и пролило свет на тактику злоумышленников по внедрению инфокрадов.
-----

В тексте обсуждается процесс идентификации и анализа страницы с рекламой инфостилера Wave Stealer, получения образца и изучения методов его использования и сохранения. Автор использовал инструмент InfraHunter, чтобы найти веб-сайт, рекламирующий инфостилера, с помощью специального запроса на Shodan. Затем полученный образец загружался в FLARE VM для анализа с использованием различных инструментов, таких как Wireshark, ProcMon, ProcessExplorer, FakeNet-NG и других.

Анализ показал, что в образце была предпринята попытка использовать уязвимость при внедрении библиотеки DLL, связанную с ffmpeg.dll в программе Unity. Поместив вредоносную библиотеку DLL в ту же папку, что и уязвимая программа, образец вызвал обратный вызов домена. Наличие строк, связанных с играми, и ссылок на Unity, указывало на то, что infostealer нацелился на продукт, связанный с Unity. Однако время компиляции программы Unity совпало со временем компиляции программы Unity из ffmpeg.dll, что вызвало подозрения относительно возможной пользовательской компиляции. Вредоносная активность основывалась на ffmpeg.dll, которая не имела отношения к законному проекту FFmpeg.

В тексте также упоминалось сообщение, указывающее на наличие уязвимости при внедрении библиотеки DLL и сбой механизма сохранения в образце, что привело к сбою программы при запуске. Wave Stealer был идентифицирован как infostealer, использующий уязвимость при внедрении библиотеки DLL в ffmpeg.dll в продукте, связанном с Unity, для сохранения сохранности в папке запуска.

Таким образом, анализ выявил использование Wave Stealer уязвимости при внедрении библиотеки DLL для компрометации продукта, связанного с Unity, а также неудачный механизм сохранения данных в проанализированном примере, приводящий к сбоям программы. Исследование пролило свет на тактику и методы, используемые злоумышленниками для внедрения инфостилеров и уклонения от обнаружения.
#ParsedReport #CompletenessMedium
08-05-2024

zEus Stealer Distributed via Crafted Minecraft Source Pack

https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-crafted-minecraft-source-pack

Report completeness: Medium

Threats:
Zeus
Process_hacker_tool
Ollydbg_tool

Industry:
Financial

Geo:
French

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1056, T1049, T1552, T1496, T1053, T1114, T1090, have more...

IOCs:
Hash: 23
File: 16
Path: 5
Registry: 1
Domain: 2
Url: 8

Soft:
Discord, Chrome, Opera, Vivaldi, Roblox, Telegram

Wallets:
zcash, jaxx, exodus_wallet, atomicwallet, coinomi, metamask

Crypto:
ethereum

Algorithms:
zip

Win Services:
vgauthservice

Languages:
powershell
🔥1
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 zEus Stealer Distributed via Crafted Minecraft Source Pack https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-crafted-minecraft-source-pack Report completeness: Medium Threats: Zeus …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберугрозе, связанной с распространением вредоносного ПО под названием zEus stealer через созданный пакет исходных текстов Minecraft. Вредоносная программа предназначена для кражи широкого спектра конфиденциальной информации с компьютеров жертв с помощью обманной тактики, включая маскировку под безобидные файлы и использование различных методов для сбора данных и поддержания контроля над зараженными системами. В статье подчеркивается важность соблюдения осторожности при загрузке файлов из неизвестных источников, риски, связанные с киберугрозами, такими как zEus stealer, и даются рекомендации по наилучшей практике кибербезопасности для снижения таких рисков.
-----

Вредоносная программа под названием zEus stealer распространяется с помощью пакета исходных текстов Minecraft.

Замаскированный под файл заставки Windows в самораспаковывающемся файле WinRAR.

Собирает широкий спектр данных из системы жертвы, включая информацию о компьютере, IP-адрес, информацию об оборудовании, данные браузера, учетные данные для входа в систему.

Создает папки в каталоге C:\ProgramData для хранения украденных данных.

Проверяет на предмет анализа, сравнивая имена компьютеров и процессы с черными списками.

Использует онлайн-инструменты для сбора информации об IP-адресе жертвы, ее местоположении, использовании прокси-сервера и мобильной сети.

Использует утилиты командной строки и PowerShell для извлечения информации об оборудовании и данных браузера.

Использует данные популярных игровых компаний, чтобы понять интересы жертвы.

Удаляет дополнительные файлы, которые помогают в сборе данных, мониторинге экрана и блокировке системы.

Поддерживает контроль, отключая диспетчер задач, отправляя скриншоты, отображая поддельные системные сообщения и позволяя общаться в чате.

Устанавливает связь C2 для непрерывного контроля над системой жертвы.

Рекомендуется соблюдать осторожность при загрузке файлов, включать многофакторную аутентификацию (MFA) и использовать инструменты мониторинга, такие как FortiRecon, для снижения рисков.
#ParsedReport #CompletenessLow
08-05-2024

Alleged LockBit Ransomware Gang Leader Named

https://intel471.com/blog/alleged-lockbit-ransomware-gang-leader-named

Report completeness: Low

Actors/Campaigns:
Lockbit

Threats:
Lockbit
Wazawaka_actor

Industry:
Financial, Healthcare, Government

Geo:
Ukraine, Russian, Swedish, French, London, Canada, Russia, Australian, Australia, Canadian, Poland, Dutch

ChatGPT TTPs:
do not use without manual check
T1486, T1496, T1071.001, T1568.002, T1027

IOCs:
Email: 1

Soft:
Telegram

Algorithms:
ghostrider

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessLow 08-05-2024 Alleged LockBit Ransomware Gang Leader Named https://intel471.com/blog/alleged-lockbit-ransomware-gang-leader-named Report completeness: Low Actors/Campaigns: Lockbit Threats: Lockbit Wazawaka_actor Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа программ-вымогателей LockBit представляет серьезную угрозу во всем мире, и правоохранительные органы прилагают усилия к борьбе с этой группой и ее администратором Дмитрием Юрьевичем Хорошевым. Несмотря на сбои в работе и изъятие ключей дешифрования, LockBit продолжила свою деятельность, но столкнулась с сокращением числа жертв и ухудшением репутации, столкнувшись с проблемами в своей программе RaaS, поскольку филиалы сокращаются и теряют доверие.
-----

Атаки с целью вымогательства с помощью программ-вымогателей остаются серьезной угрозой во всем мире, особенно со стороны группы LockBit ransomware-as-a-service (RaaS), ответственной за значительную часть атак в 2023 году. Действия правоохранительных органов были направлены против LockBit, что привело к сбоям в работе и действиям против группы. Дмитрий Юрьевич Хорошев, гражданин России, обвиняемый в том, что он является администратором и разработчиком LockBit, обвиняется в мошенничестве и вымогательстве, а также в получении значительной прибыли. Против Хорошева были введены санкции, и усилия по его поимке продолжаются. Филиалы LockBit, базирующиеся в разных странах, выплачивают группе процент от выкупа за использование ее инфраструктуры. Правоохранительные органы получили ключи дешифрования из инфраструктуры LockBit, чтобы помочь жертвам, а действия по нарушению были направлены против аффилированных лиц, связанных с группой.

Операция Cronos, проводимая Национальным агентством Великобритании по борьбе с преступностью и Европолом, была нацелена на инфраструктуру LockBit в феврале 2024 года. Операция была направлена на подрыв деятельности LockBit, в результате чего были изъяты ключи для расшифровки, арестованы двое преступников и выданы международные ордера. Несмотря на эти действия, LockBit быстро возобновила свою деятельность, даже пригрозив атаковать другие правительственные учреждения. Правоохранительные органы сотрудничали с LockBitSupp для сбора разведданных, а Хорошев искал информацию о конкурентах RaaS. LockBit продолжила свою деятельность, создав новый блог об утечке данных и перечислив новых жертв вымогательства после сбоя.

Действия правоохранительных органов значительно повлияли на деятельность LockBit, поскольку число жертв, перечисленных на их сайте, сократилось, а также возникли сомнения в легитимности некоторых жертв. Количество аффилированных лиц сократилось из-за опасений по поводу взаимодействия с правоохранительными органами, снижения репутации LockBit и уровня глобальной угрозы. В настоящее время группа работает с ограниченными возможностями, сталкиваясь с трудностями в рамках своей программы RaaS, а филиалы могут потерять доверие и отказаться от проекта. Несмотря на устойчивость перед лицом действий правоохранительных органов, LockBit остается в центре внимания властей.
#ParsedReport #CompletenessLow
08-05-2024

Massive Dump of Hacked Salvadorean Headshots and PII Highlights Growing Threat-Actor Interest in Biometric Data

https://www.resecurity.com/blog/article/massive-dump-of-hacked-salvadorean-headshots-and-pii-highlights-growing-threat-actor-interest-in-biometric-data

Report completeness: Low

Actors/Campaigns:
Guacamaya (motivation: hacktivism)

Threats:
Macaw
Bec_technique

Victims:
Citizens of el salvador

Industry:
Retail, Telco, Healthcare, Military, E-commerce, Financial, Government

Geo:
Salvadorean, Guatemala, Mexico, Spanish, American, America, Latam, Salvadoreans, Chile, Colombia, Peru

ChatGPT TTPs:
do not use without manual check
T1589, T1606, T1203, T1567

Soft:
Telegram

Wallets:
coinbase

Crypto:
bitcoin, binance
CTT Report Hub
#ParsedReport #CompletenessLow 08-05-2024 Massive Dump of Hacked Salvadorean Headshots and PII Highlights Growing Threat-Actor Interest in Biometric Data https://www.resecurity.com/blog/article/massive-dump-of-hacked-salvadorean-headshots-and-pii-highlights…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в существенной утечке данных в Сальвадоре, связанной с раскрытием личной информации (PII), включая биометрические данные, более чем пяти миллионов граждан в Даркнете. Это нарушение создает высокий риск мошенничества и кражи личных данных из-за включения биометрических данных, таких как снимки головы, в личные данные жертв. Этот инцидент подчеркивает уязвимость биометрических данных к кибератакам и подчеркивает важность мер кибербезопасности и использования решений для анализа киберугроз для эффективной защиты цифровых идентификационных данных в Латинской Америке.
-----

Утечка данных в Сальвадоре выявила в Даркнете личные данные более пяти миллионов граждан, включая фотографии высокой четкости, помеченные соответствующими номерами DUI, именами, датами рождения, номерами телефонов, адресами электронной почты и адресами проживания.

Это нарушение является очевидным из-за включения биометрических данных: более пяти миллионов снимков головы индексируются с помощью PII, что создает высокий риск мошенничества и кражи личных данных для большинства населения Сальвадора.

Причастность к атаке неизвестна, есть предположения, что она связана с хакерским сообществом Guacamaya, но противоречивая информация ставит под сомнение их причастность.

Утечка подчеркивает уязвимость биометрических данных к кибератакам, как это было видно из предыдущего взлома и утечки 23andMe.

Этот инцидент подчеркивает растущий интерес участников угроз к получению биометрических данных и извлечению выгоды из них из-за их значительной ценности.

В рекомендациях FTC выражаются опасения по поводу конфиденциальности, безопасности данных, предвзятости и дискриминации, связанных с растущим использованием биометрической информации потребителей.

Преступники используют технологию deepfake для совершения мошеннических действий, в частности, нацеливаясь на влиятельных лиц в сфере криптовалют и руководителей, например, на кражу компрометирующей деловой электронной почты стоимостью 25 миллионов долларов в Гонконге.

Всплеск кибератак в Латинской Америке объясняется быстрым распространением цифровых технологий в регионе, что подвергает население повышенным рискам кражи данных и киберпреступности.

Сообщается, что учреждения и правительства в Латинской Америке более уязвимы, что подчеркивает важность повышения уровня цифровой гигиены и готовности к киберпространству.

Организациям и потребителям в Латинской Америке настоятельно рекомендуется уделять приоритетное внимание мерам кибербезопасности и использовать решения для анализа киберугроз для эффективной защиты цифровых идентификационных данных.
👍1
#ParsedReport #CompletenessLow
08-05-2024

APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C

https://www.ctfiot.com/179767.html

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Graphite

Geo:
Russian

CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.001, T1203, T1105, T1027, T1573.002

IOCs:
File: 7
Url: 2

Soft:
Microsoft OneDrive, WeChat

Algorithms:
sha256, crc-32, aes-256-cbc, xor
🔥1
CTT Report Hub
#ParsedReport #CompletenessLow 08-05-2024 APT28's backdoor Graphite uses Graph API to communicate with Microsoft OneDrive as C&C https://www.ctfiot.com/179767.html Report completeness: Low Actors/Campaigns: Fancy_bear Threats: Graphite Geo: Russian …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении важности исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей, уделяя особое внимание таким инструментам, как Graphite, которые используют законные ресурсы для вредоносной коммуникации, и подробно описывая технические аспекты их работы, включая подключение к APT28 и использование уязвимостей для вредоносных программ. развертывание.
-----

В тексте описывается текущее значение исследований и разработок в области удаленного управления и бэкдоров для наступательных и оборонительных целей в различных сценариях. В нем подчеркивается переход к злонамеренному использованию законных сторонних ресурсов для коммуникации, что позволяет организациям действовать скрытно и поддерживать стабильность. В частности, в статье рассматривается инструмент для бэкдора, известный как Graphite, который использует Microsoft Graph API для использования OneDrive в качестве сервера управления. Graphite был впервые представлен 21 декабря и с тех пор используется многими организациями для развертывания бэкдоров.

В тексте также упоминается APT28, предполагаемая хакерская группа, связанная с российским государством, известная своими изощренными кибератаками. Далее рассматриваются технические аспекты работы Graphite, начиная с начальной загрузки, которая использует уязвимость удаленного выполнения кода MSHTML для загрузки вредоносного DLL-файла для последующего развертывания вредоносного ПО. Функциональность Graphite включает в себя расшифровку полезной нагрузки на основе полученных команд с конкретными шестнадцатеричными значениями, определяющими дальнейшее выполнение.

Первоначальная полезная нагрузка замаскирована под файл Excel с именем "parliament.xlsx", предназначенный для того, чтобы побудить пользователей нажимать на вредоносные вложения в фишинговых письмах. Анализ выявил наличие OLE-объекта в документе, что приводит к использованию уязвимости CVE-2021-40444. В конечном итоге это приводит к загрузке и выполнению CAB-файла, содержащего вредоносный JavaScript-код. Дальнейшее использование уязвимости предполагает загрузку CAB-файла, скомпилированного на C/C++, для выполнения произвольных команд и поддержания контроля над взломанной системой с помощью удаленных вызовов API.

Работа Graphite включает в себя запрос команд путем проверки вложенных файлов в определенных каталогах, расшифровку нового содержимого с помощью Graph API и выполнение шелл-кода на основе полученных инструкций. В тексте упоминается проверка определенных шестнадцатеричных значений в шелл-коде для обеспечения надлежащего выполнения последующих полезных нагрузок. Однако проблемы с устаревшей инфраструктурой командования и контроля затрудняют процесс расшифровки, что приводит к трудностям при сборе и анализе образцов для дальнейшего изучения.
🔥1
#ParsedReport #CompletenessMedium
08-05-2024

Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four

https://www.elastic.co/security-labs/dissecting-remcos-rat-part-four

Report completeness: Medium

Threats:
Remcos_rat
Process_injection_technique
Uac_bypass_technique

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 7
Path: 1
Hash: 7
Domain: 5
IP: 13

Functions:
SetWindowsHookEx, SetWindowsHoook

Languages:
visual_basic

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/command\_and\_control\_connection\_to\_dynamic\_dns\_provider\_by\_an\_unsigned\_binary.toml
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Remcos.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_potential\_masquerading\_as\_svchost.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_remote\_process\_injection\_via\_mapping.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/persistence\_startup\_persistence\_by\_a\_low\_reputation\_process.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_uac\_bypass\_via\_icmluautil\_elevated\_com\_interface.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/command\_and\_control\_remcos\_rat\_exepath\_registry\_modification.toml
https://github.com/elastic/detection-rules/blob/main/rules/windows/privilege\_escalation\_disable\_uac\_registry.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/command\_and\_control\_remcos\_rat\_inetcookies\_file\_deletion.toml
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2024 Dissecting REMCOS RAT: An in-depth analysis of a widespread 2024 malware, PartFour. Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Four https://www.elastic.co/security-labs/dissecting…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста сосредоточена на анализе вредоносной программы REMCOS, в частности версии 4.9.3, с освещением ее поведения, тактики и механизмов обнаружения. В нем рассматриваются различные аспекты REMCOS, такие как структура конфигурации, команды C2, индикаторы компрометации и такие функции, как ведение кейлогга и очистка данных браузера. В тексте также подчеркивается использование эластичных технологий для обнаружения и отслеживания вредоносного ПО REMCOS и упоминается важность использования платформы MITRE ATT&CK для понимания и противодействия продвинутым постоянным угрозам. В целом, анализ направлен на улучшение понимания сообществом специалистов по кибербезопасности и защиту от угрозы REMCOS.
-----

Третья и заключительная часть серии статей, составленной исследователями вредоносного ПО из Elastic Security Labs, посвящена обнаружению и поиску вредоносного ПО REMCOS с использованием технологий Elastic. В тексте рассматриваются различные аспекты REMCOS, включая его поведение, тактику и механизмы обнаружения.

Вредоносная программа REMCOS, в частности версия 4.9.3, подробно проанализирована, особое внимание уделено ее структуре конфигурации, командам C2 и признакам компрометации. Вредоносная программа обладает такими характеристиками, как маскировка под SVCHOST, внедрение таких процессов, как Internet Explorer, и отключение контроля учетных записей пользователей (UAC) путем внесения изменений в реестр. Кроме того, большинство обнаруженных образцов REMCO используют динамический DNS для связи.

Одним из ключевых показателей компрометации, выделенных в тексте, является значение реестра exePath, используемое процессом отслеживания REMCOS, которое может быть использовано для обнаружения. Приведен пример запроса KQL, который поможет выявить потенциальные компрометации на основе этого значения реестра.

REMCOS включает функции, направленные на сбор информации из систем-жертв, такие как ведение кейлоггинга с использованием API SetWindowsHookEx. В тексте предлагается использовать запросы ES\|QL для поиска процессов, которые ведут кейлоггинг. В нем также упоминается функциональность REMCOS для очистки данных браузера, что потенциально позволяет получать веб-учетные данные для ведения кейлоггинга.

Кроме того, в тексте затрагивается использование Elastic платформы MITRE ATT&CK для документирования тактики и процедур, используемых в случае продвинутых постоянных угроз, обеспечивая структурированный подход к пониманию таких угроз и противодействию им.

Анализ REMCOS версии 4.9.3 направлен на то, чтобы предоставить информацию сообществу исследователей вредоносных программ для улучшения их понимания и защиты от этой угрозы. В тексте подчеркивается способность Elastic Defend обнаруживать и предотвращать угрозы REMCOS, при этом особое внимание уделяется простоте и эффективности языка запросов ES\|QL для поиска угроз.

Elastic Security Labs подтверждает свою приверженность обмену знаниями и сотрудничеству с сообществом кибербезопасности в рамках инициатив с открытым исходным кодом. Команда планирует продолжить анализ аналогичных семейств вредоносных программ, чтобы получить ценную информацию и укрепить коллективную защиту от возникающих киберугроз.
#ParsedReport #CompletenessMedium
08-05-2024

From Spam to AsyncRAT: Tracking the Surge in Non-PE Cyber Threats

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats

Report completeness: Medium

Threats:
Asyncrat
Process_injection_technique
Confuserex_tool
Confuser_tool

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1055

IOCs:
File: 6
Hash: 11
Path: 2
Url: 2

Soft:
node.js, Windows Task Scheduler, Task Scheduler, process explorer, Microsoft Office

Algorithms:
zip

Functions:
fun_alosh

Languages:
visual_basic, powershell, javascript