#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Lazarus, организация APT из Северо-Восточной Азии, ранее работала с государственными учреждениями, но с 2014 года переключила свое внимание на глобальные финансовые институты и платформы виртуальной валюты. В последнее время они нацелились на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о приеме на работу, используя такие платформы, как LinkedIn и Upwork, для кражи конфиденциальной информации, связанной с виртуальной валютой, и внедрения вредоносных программ. Злоумышленники хранят вредоносный код в программных пакетах на таких платформах, как GitHub, GitLab и Bitbucket, что затрудняет его обнаружение. Lazarus последовательно атакует криптовалютную и блокчейн-индустрию, используя методы фишинга и социальной инженерии для кражи криптовалюты.
-----

Краткое содержание:.

Компания QiAnXin идентифицировала Lazarus, организацию APT, предположительно имеющую происхождение из Северо-Восточной Азии, по внутреннему номеру для отслеживания APT-Q-1. Группа впервые привлекла к себе внимание нападками на Sony Pictures в 2014 году и ведет свою историю с 2007 года. Изначально Lazarus был нацелен на правительственные агентства, занимающиеся кражей разведывательных данных, но с 2014 года переключился на глобальные финансовые институты и платформы виртуальной валюты, занимающиеся кражей денег и активов. В последнее время Lazarus нацелился на разработчиков в блокчейн-индустрии с помощью поддельных объявлений о вакансиях на таких платформах, как LinkedIn и Upwork. Злоумышленники используют эти объявления о приеме на работу, чтобы обманом заставить кандидатов запустить вредоносный код на их устройствах, что приводит к краже конфиденциальной информации, связанной с виртуальной валютой, и внедрению вредоносного ПО.

Злоумышленники используют такие платформы, как GitHub, GitLab и Bitbucket, для хранения пакетов программного обеспечения, содержащих вредоносный код, который может быть загружен кандидатами в блокчейн-индустрии. В примерах атак часто упоминается домен app.freebling.io, связанный с кражей криптовалютных кошельков. Вредоносный JavaScript-код вставляется в пакеты программного обеспечения, что затрудняет его обнаружение. Пример MD5-хэша показывает, как конфиденциальная информация собирается и отправляется на сервер C2 с последующей загрузкой скриптов для дальнейшей кражи данных.

Lazarus последовательно нацеливается на криптовалютную и блокчейн-индустрию, часто используя методы фишинга для привлечения технического персонала. Создавая фальшивые удостоверения личности и используя поиск работы в качестве прикрытия, злоумышленники стремятся украсть криптовалюту с помощью социальной инженерии. Считается, что продолжающиеся крупномасштабные фишинговые атаки связаны с Lazarus из-за сходства тактики и таргетинга на блокчейн-сектор.

#ParsedReport #CompletenessMedium
10-05-2024

In the Shadow of Venus: Trinity Ransomware s Covert Ties

https://cyble.com/blog/in-the-shadow-of-venus-trinity-ransomwares-covert-ties

Report completeness: Medium

Threats:
Grateful_pos
Venus_locker
2023lock
Shadow_copies_delete_technique

TTPs:
Tactics: 5
Technics: 7

IOCs:
Registry: 2
File: 3
Hash: 1

Soft:
Windows shell

Algorithms:
sha256, sha1, chacha20, md5

Functions:
GetModuleHandle, OpenMutexA

Win API:
FindResourceW, SizeofResource, LoadResource, ExitProcess, GetProcAddress, RtlInitUnicodeString, NtCreateFile, NtWriteFile, NtReadFile, NtQueryDirectoryFile, have more...

Platforms:
intel

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Компания Cyble CRIL выявила новый вариант программы-вымогателя Trinity, который использует технику двойного вымогательства и имеет сходство с другими вариантами программ-вымогателей, такими как 2023Lock и Venus. Это наводит на мысль о потенциальном сотрудничестве между группами участников угроз, что указывает на тревожную тенденцию в тактике программ-вымогателей, направленную на оказание давления на жертв с помощью утечки данных и передовых методов шифрования.
-----

**Краткое описание:**.

Компания Cyble CRIL (Cyble Research and Intelligence Labs) недавно обнаружила новый вариант программы-вымогателя Trinity, который использует метод двойного вымогательства для поиска жертв. Программа-вымогатель Trinity использует в своих операциях как поддержку жертв, так и сайты утечки данных, что указывает на изощренный подход злоумышленников. Примечательно, что CRIL обнаружил сходство между программой-вымогателем Trinity и другой программой-вымогателем под названием "2023Lock", предполагая, что Trinity может быть новым вариантом 2023Lock из-за общих форматов уведомлений о требовании выкупа и элементов кодовой базы.

Более того, CRIL обнаружил общие черты между программами-вымогателями Trinity и Venus, включая использование значений реестра и соглашения об именовании мьютексов. Этот общий код между Trinity и Venus указывает на потенциальную связь или сотрудничество между злоумышленниками, стоящими за этими вариантами программ-вымогателей. Программа-вымогатель Venus, работающая с 2022 года, в прошлом проводила крупномасштабные атаки по всему миру, что указывает на тревожный характер угроз, связанных с деятельностью этих программ-вымогателей.

Технически программа-вымогатель Trinity использует алгоритм шифрования ChaCha20, распространяет сообщения о требовании выкупа как в текстовом, так и в hta-формате, изменяет обои рабочего стола с помощью изменений в реестре и добавляет расширение ".trinitylock" к зашифрованным файлам. Программа-вымогатель извлекает информацию о требовании выкупа из своего двоичного ресурса, разрешает функции во время выполнения, устанавливает параметры безопасности, удаляет теневые копии, используя данные WMI, и использует методы для олицетворения процессов. Кроме того, Trinity использует согласованный формат именования для мьютексов в своих операциях.

Появление Trinity с ее стратегией двойного вымогательства отражает тенденцию в тактике программ-вымогателей, когда злоумышленники используют утечку конфиденциальных данных, чтобы заставить жертв заплатить выкуп. Сходство между версиями программ-вымогателей Trinity, 2023Lock и Venus предполагает потенциальное сотрудничество между группами участников угроз, ведущее к обмену методами и инструментами, которые могут повысить масштаб и изощренность будущих кампаний по борьбе с программами-вымогателями.

#cyberthreattech
Вот такие вот профили сейчас удается построить с помощью накопленных отчетов и LLM OpenChat. Залилось уже все, до 06.2023. Как все прольется, буду думать как опубликовать.
Есть идея прикрутить к существующему боту в ТГ, либо вытащить в виде API.
Ближе к теме запилю голосовалку :)

Ducktail, also known as Ducktail Malware, is a type of malware that specifically targets Facebook Business Accounts through LinkedIn Phishing Attacks. This malware poses a significant cybersecurity threat as it exploits vulnerabilities in the targeted systems and attempts to gain unauthorized access to sensitive information. The malware uses social engineering tactics to deceive users into clicking on malicious links or downloading infected files, which then enable the attackers to infiltrate the targeted accounts and steal valuable data.

The behavior of Ducktail can be described as follows:
1. Social Engineering Tactics: Ducktail uses social engineering tactics to deceive users into clicking on malicious links or downloading infected files. These links and files are disguised as genuine documents or ads, which makes it difficult for users to identify them as malicious.
2. Exploitation of Vulnerabilities: Once the user clicks on the malicious link or downloads the infected file, the malware exploits vulnerabilities in the targeted system to gain unauthorized access to sensitive information. This information can include session cookies, access tokens, user agents, and IP addresses.
3. Two-Factor Authentication Bypass: Ducktail also verifies if two-factor authentication (2FA) is mandatory for the targeted account. In such cases, it tries to acquire the recovery codes, further increasing its chances of gaining unauthorized access to the account.
4. Information Extraction: Once the malware gains access to the targeted account, it gathers various details, including victims' names, birthdays, email addresses, and user IDs. It also steals security credentials, such as session cookies.
5. Command and Control (C&C) Channel: Ducktail utilizes Telegram as its Command and Control (C&C) channel, using the Telegram Bot functionality to exfiltrate the stolen data. The malware component employs the Telegram.Bot client library for this purpose.
6. Distribution Methods: Ducktail commonly employs ZIP files to deliver the initial payload. It is possible that the group also utilizes LinkedIn messages as a distribution method. The payload files are disguised with Word/PDF icons, using deceptive tactics to deceive victims into thinking they are genuine document files.
7. Financial Motivation: Ducktail is a financially motivated malware variant, specifically aiming at individuals and businesses utilizing a Social Media Business/Ads platform. The malware is created by Threat Actors (TAs) originating from Vietnam.

In conclusion, Ducktail is a constantly evolving information stealer that poses a significant threat to user privacy and the overall security of Social Media Business accounts. Its ability to bypass most Social Media platforms' security measures, specifically targeting advertising and business accounts, makes it a dangerous tool for cybercriminals. It is crucial for businesses and individuals to be vigilant about potential phishing attacks and take necessary precautions to protect their online accounts and information.

#ParsedReport #CompletenessHigh
10-05-2024

#StopRansomware: Black Basta

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a

Report completeness: High

Threats:
Blackbasta
Akira_ransomware
Phobos
Spear-phishing_technique
Qakbot
Connectwise_rat
Bitsadmin
Cobalt_strike
Splashtop_tool
Mimikatz_tool
Zerologon_vuln
Nopac_vuln
Printnightmare_vuln
Backstab_tool
Shadow_copies_delete_technique
Screenconnect_tool

Victims:
Healthcare organizations

Industry:
Financial, Healthcare

Geo:
America, Australia

CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8, 23.8.5, 23.8.4, -, 22.7)

CVE-2021-42278 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...
CVE-2021-42287 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 2004)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (*)
have more...
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 8.1 (-)
- microsoft windows 7 (-)
- microsoft windows rt 8.1 (-)
have more...

TTPs:
Tactics: 1
Technics: 9

IOCs:
File: 6
Hash: 59
IP: 40
Domain: 107
Path: 21

Soft:
SoftPerfect network scanner, PsExec, macOS, WinSCP

Crypto:
bitcoin

Algorithms:
rsa-4096, chacha20

Win Services:
(BITS)

Languages:
powershell

Platforms:
intel, cross-platform

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Black Basta - это программа-вымогатель, предназначенная для критически важных инфраструктурных секторов, с особым акцентом на медицинские организации. Она использует модель двойного вымогательства, используя распространенные методы первоначального доступа, такие как фишинг и известные уязвимости. Стратегии смягчения последствий включают оперативную установку обновлений, внедрение MFA, защищающего от фишинга, и обучение пользователей распознавать попытки фишинга. В тексте также рассказывается о методах, инструментах и уязвимостях, используемых аффилированными лицами Black Basta, а также о рекомендациях правоохранительных органов не выплачивать выкуп в случае атаки.
-----

Black Basta - это программа-вымогатель, предназначенная для критически важных инфраструктурных секторов, с акцентом на организации здравоохранения и глобальным воздействием на более чем 500 организаций.

Он использует модель двойного вымогательства, используя системы шифрования и эксфильтрации данных, при этом требования о выкупе передаются с помощью уникального кода и URL-адреса .onion.

Организации здравоохранения особенно уязвимы для Black Basta из-за их размера, зависимости от технологий и доступа к личной медицинской информации.

Меры по смягчению последствий включают оперативную установку обновлений для операционных систем, программного обеспечения и встроенного ПО, а также внедрение защищенной от фишинга многофакторной аутентификации (MFA) и обучение пользователей распознаванию попыток фишинга и сообщению о них.

Аффилированные лица Black Basta используют такие методы, как подводная охота, Qakbot, и используют уязвимость ConnectWise CVE-2024-1709.

Они используют различные инструменты для бокового перемещения и удаленного доступа, включая BITSAdmin, PsExec, RDP, Splashtop, Screen Connect и маяки Cobalt Strike.

Для устранения угроз, связанных с программами-вымогателями, необходимо отказаться от выплаты выкупа, своевременно сообщать об инцидентах в правоохранительные органы, такие как ФБР и CISA, и взаимодействовать с властями для эффективной борьбы с угрозами.

#ParsedReport #CompletenessHigh
12-05-2024

Guntior - the story of an advanced bootkit that doesn't rely on Windows disk drivers

https://artemonsecurity.blogspot.com/2024/04/guntior-story-of-advanced-bootkit-that.html?m=1

Report completeness: High

Actors/Campaigns:
Duke
Equation (motivation: cyber_espionage)
Fancy_bear

Threats:
Guntior
Rovnix
Torpig
Windbg_tool
Gmer_tool
Necurs
Upx_tool
Trap_flag_technique
Process_hacker_tool
Edrsandblast_tool
Byovd_technique
Uac_bypass_technique
Fodhelper_technique
Remcos_rat
Grayfish
Equationdrug
Stuxnet
Finfisher
Remsec_strider

Industry:
Financial, Telco, Education

Geo:
Ukrainians, Russian, Usa, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1542.003, T1014, T1055, T1554.002, T1562.001, T1564.001, T1564, T1070.004, T1484.001, T1569.002, have more...

IOCs:
File: 96
Path: 5
Registry: 3
IP: 1
Hash: 5
Command: 3
Coin: 2

Soft:
Windows Explorer, Windows kernel, Windows security, Process Explorer, Google Chrome, Chrome

Algorithms:
base64

Functions:
FindWindow, OS, SfcFileException, CreateFile, IofCompleteRequest, Before, ReadBlock, MiModifiedPageWriterTimerDispatch, Google, ReadOnly, have more...

Win API:
NtQueryValueKey, ZwQueryValueKey, MmGetSystemRoutineAddress, KeInsertQueueApc, decompress, PsGetProcessPeb, PsGetProcessSectionBaseAddress, KeServiceDescriptorTable, KdDebuggerNotPresent, MmIsAddressValid, have more...

Win Services:
BITS, Ntmssvc, ekrn

Languages:
powershell, prolog

Platforms:
x64, x86, intel

Links:
https://github.com/winscripting/UAC-bypass/blob/master/FodhelperBypass.ps1
https://github.com/wavestone-cdt/EDRSandblast/tree/master/Offsets?trk=article-ssr-frontend-pulse\_little-text-block
https://github.com/winscripting/UAC-bypass/blob/master/FodhelperBypass.ps1?trk=article-ssr-frontend-pulse\_little-text-block
https://github.com/Mattiwatti/PPLKiller?trk=article-ssr-frontend-pulse\_little-text-block
https://github.com/microsoft/Windows-driver-samples/blob/main/storage/tools/spti/src/spti.c
https://github.com/hfiref0x/KDU?trk=article-ssr-frontend-pulse\_little-text-block

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ вредоносной программы "Guntior", обнаруженной в эпоху загрузочных программ, с освещением ее сложных функций, методов заражения, способов обхода и взаимодействия с операционной системой Windows. Кроме того, в нем рассматриваются вопросы анализа киберугроз, включая различные методы анализа вредоносных программ, архитектуру дискового ввода-вывода Windows и сценарий кибератаки на украинскую телекоммуникационную компанию. В тексте также рассматривается файл руткита в платформе кибершпионажа GrayFish, связанной с Equation Group, с акцентом на ее сложные функциональные возможности и взаимодействие с ядром Windows.
-----

Вредоносная программа "Guntior" была обнаружена десять лет назад, в эпоху загрузчиков, когда в системах отсутствовали такие механизмы защиты, как защита от исправлений ядра и принудительное подписывание драйверов.

Вредоносная программа использовала методы обхода, приемы антианализа и низкоуровневый доступ к диску через режим ATA PIO для прямой связи с жестким диском.

Установка включала в себя взлом службы надежных аудиодрайверов Microsoft, загрузку вредоносных драйверов и регистрацию полезных библиотек DLL.

Заражение систем происходит путем изменения главной загрузочной записи (MBR) и удаления вредоносных компонентов с диска.

Уникальная возможность прямого доступа к диску, сосредоточенность на отключении средств защиты и простой способ заражения без сложных механизмов сокрытия.

Вредоносное по отличалось высокой сложностью и требовало специальных знаний во внутренней части Windows, реверс-инжиниринге, анализе вредоносных программ и криминалистической экспертизе.

Вредоносная библиотека DLL реализовала API проверки системных файлов Windows, взаимодействовала с драйвером, использовала команды IOCTL и нацеливалась на определенные процессы, в том числе на процессы охранных компаний.

В тексте содержится подробная техническая информация об анализе вредоносных программ, архитектуре дискового ввода-вывода Windows, возможностях средства защиты от руткитов GMER, анализе киберугроз с акцентом на анализ вредоносных программ GMER и операции ввода-вывода файлов, а также анализ руткит-файла в рамках платформы кибершпионажа GrayFish, связанной с Equation Group.

#ParsedReport #CompletenessHigh
12-05-2024

Into the Viper s Nest: Observations from Hunt s Scanning

https://hunt.io/blog/into-the-vipers-nest-observations-from-hunts-scanning

Report completeness: High

Threats:
Viper
Cobalt_strike
Sliver_c2_tool
Yakit_tool
Mitm_technique

Victims:
Tsmc

Industry:
Semiconductor_industry

Geo:
China, Taiwanese

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1040, T1060, T1547, T1583, T1584

IOCs:
Hash: 1
IP: 8
Domain: 2

Soft:
MacOS, Ubuntu, BurpSuite

Algorithms:
sha1

Languages:
powershell, python

Links:
https://github.com/FunnyWolf/Viper/issues/185
https://github.com/FunnyWolf/Viper

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в широком внедрении и использовании злоумышленниками платформы Viper с открытым исходным кодом, а также ее интеграции с другими инструментами, такими как Cobalt Strike и Yakit, для вредоносных целей. В тексте также подчеркивается важность надежных возможностей обнаружения для противодействия рискам, связанным с этими инструментами в киберпространстве.
-----

Платформа Viper с открытым исходным кодом предлагает более 80 модулей, предназначенных для оптимизации различных этапов атаки, что делает ее популярной среди red teams и участников угроз. Она известна своим графическим интерфейсом, похожим на Cobalt Strike, и доступностью административного раздела через открытые страницы входа в систему через Интернет. Компания Hunt идентифицировала более 400 уникальных IP-адресов, на которых размещены страницы входа в систему Viper, при этом большинство серверов Viper расположены в Китае, что соответствует происхождению инструмента. Примечательно, что более половины наблюдаемой инфраструктуры Viper размещено на серверах Tencent с использованием порта 60000 по умолчанию, что указывает на региональные предпочтения и выбор сетевой среды.

Универсальность Viper позволяет операторам создавать полезные приложения для различных операционных систем и языков сценариев, таких как Python, PowerShell, Ruby и VBS. Адаптивность платформы повышает ее эффективность в различных технологических средах. Исследователи могут легко обнаружить развертывания Viper, взаимодействуя со страницами входа в систему с помощью сценариев на Python для захвата заголовков и генерации хэшей содержимого для входа. Viper включает в себя сертификат TLS по умолчанию, который облегчает идентификацию страниц входа в систему с помощью специальных запросов.

Случаи заражения Cobalt Strike были обнаружены на различных IP-адресах, расположенных рядом с серверами Viper, в частности, на серверах Tencent и Huawei. Кроме того, в Alibaba Cloud был обнаружен домен, маскирующийся под веб-сайт TSMC, работающий по модели искусственного интеллекта. Yakit, разработанный компанией Yaklang.io, предлагает такие функции кибербезопасности, как MITM, веб-фаззинг, сканирование уязвимостей и интеграцию с инструментом Project Discovery Nuclears. Несмотря на то, что Yakit признан законным средством обеспечения безопасности, злоумышленники могут использовать его в сочетании с Viper или другими платформами для использования в злонамеренных целях.

Широкое внедрение Viper в сочетании с его интеграцией с такими инструментами, как Cobalt Strike, Sliver и Yakit, подчеркивает его универсальность и эффективность для участников угроз. Эта тенденция подчеркивает постоянное использование злоумышленниками решений с открытым исходным кодом для получения и поддержания доступа в целевых средах. Проведенный анализ подчеркивает необходимость создания надежных средств обнаружения для выявления и снижения рисков, связанных с этими инструментами в киберпространстве.

#ParsedReport #CompletenessLow
12-05-2024

Unmasking Tycoon 2FA: A Stealthy Phishing Kit Used to Bypass Microsoft 365 and Google MFA

https://www.proofpoint.com/us/blog/email-and-cloud-threats/tycoon-2fa-phishing-kit-mfa-bypass

Report completeness: Low

Threats:
Tycoon_2fa
Aitm_technique
Evilginx_tool
Evilproxy_tool

Victims:
Microsoft 365 users, Gmail users

ChatGPT TTPs:
do not use without manual check
T1566, T1110, T1556, T1059, T1090, T1027

Soft:
Gmail, Telegram, WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается Tycoon 2FA, платформа для фишинга как услуги, которая представляет угрозу, обходя средства защиты от многофакторной аутентификации, в частности, для учетных записей Microsoft 365 и Gmail. Обновленная версия платформы улучшает уклонение от обнаружения и направлена на повышение скрытности при проведении фишинговых атак. Proofpoint выявила фишинговые целевые страницы, использующие Tycoon 2FA для облегчения кражи токенов MFA, что подчеркивает необходимость усиления усилий по обнаружению, устранению неполадок и управлению человеческими рисками для противодействия растущим угрозам в киберпространстве. Proofpoint предлагает защитные решения, использующие поведенческий искусственный интеллект, аналитику и инструменты повышения осведомленности о безопасности для борьбы с такими угрозами, как Tycoon 2FA. Компании, обеспокоенные этими фишинговыми наборами, могут обратиться к Proofpoint за поддержкой и стратегиями поиска угроз для улучшения своих механизмов защиты.
-----

Tycoon 2FA - это платформа "фишинг как услуга" (PhaaS), которая обходит защиту от многофакторной аутентификации (MFA).

Он нацелен на учетные записи Microsoft 365 и Gmail, собирая сессионные файлы cookie для переопределения элементов управления MFA.

В марте 2024 года была выпущена обновленная версия Tycoon 2FA с расширенными возможностями уклонения от обнаружения.

Платформа продает фишинговые страницы для Microsoft 365 и Gmail в Telegram, привлекая менее технически подготовленных злоумышленников.

Tycoon 2FA полагается на инфраструктуру, контролируемую злоумышленниками, и использует "обратный прокси" для перехвата учетных данных жертвы.

Proofpoint выявила фишинговые целевые страницы, использующие Tycoon 2FA для облегчения кражи и обхода токенов MFA.

Другие сервисы обратного прокси, такие как Evilginx и EvilProxy, были обнаружены и заблокированы Proofpoint.

Появление наборов, способных красть токены сеанса, создает растущий риск, поскольку участники фишинга используют эти инструменты.

Усилия по выявлению, устранению неполадок и управлению человеческими рисками имеют решающее значение для противодействия меняющемуся ландшафту угроз.

Proofpoint предлагает комплексные подходы к защите с использованием поведенческого искусственного интеллекта, аналитики, анализа угроз и повышения осведомленности о безопасности для борьбы с такими угрозами, как Tycoon 2FA.

Компании, обеспокоенные Tycoon 2FA, могут обратиться в Proofpoint за поддержкой в разработке стратегий поиска угроз и обучении навыкам безопасности.

#ParsedReport #CompletenessLow
12-05-2024

Malicious code created by Konni disguised as a tax evasion report - Attachment 1_List of explanatory materials (tax evasion report) (April 5, 2024)

https://wezard4u.tistory.com/6806

Report completeness: Low

Threats:
Konni_rat
Pantera
Artemis

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1027, T1564, T1105

IOCs:
Hash: 3
File: 4
Path: 1

Algorithms:
sha256, sha1, xor, md5

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ сложного вредоносного кода, известного как приложение 1_List of Explanatory Materials (Отчет об уклонении от уплаты налогов), созданного северокорейской хакерской группой Konni. Вредоносная программа замаскирована под lnk-файл, запускается через PowerShell, использует операции исключения и использует многоэтапную стратегию атаки для подрыва безопасности системы. Поставщики систем безопасности идентифицировали вредоносное ПО как Heur.BZC.YAX.Pantera.3049.815F5292, подчеркивая необходимость обмена информацией об угрозах для борьбы с киберугрозами.
-----

В тексте обсуждается вредоносный код, известный как Attachment 1_List of Explanatory Materials (Отчет об уклонении от уплаты налогов), который был создан северокорейской хакерской группой Konni. Эта вредоносная программа представлена в виде файла lnk, маскирующегося под вложение в текстовом редакторе hwp (Хангыль). Когда пользователь открывает файл, вредоносная программа запускается через PowerShell. Предоставляются хэш-значения вредоносной программы, включая имя файла, размер, контрольные суммы MD5, SHA-1 и SHA-256.

Обнаруженный в системе вредоносный скрипт PowerShell использует операции исключения с 0xD8 для изменения данных в файлах. Он также создает скрытый каталог с именем GSlLzFnTov. Указаны конкретные сведения об URL-адресе для загрузки файлов и команде для запуска загруженного файла, включая папку GSlLzFnTov, в которой обнаружены вредоносные файлы. Выявленная вредоносная программа помечена несколькими поставщиками систем безопасности как Heur.BZC.YAX.Pantera.3049.815F5292.

Анализ показывает сложную природу вредоносного ПО, поскольку северокорейский злоумышленник использует тактику обмана, чтобы заставить пользователей запустить вредоносный файл lnk. Использование PowerShell для запуска указывает на высокий уровень запутывания и потенциальный ущерб в результате изменения файлов в системе.

Наличие скрытого каталога и использование исключающих операций демонстрируют намерение вредоносной программы избежать обнаружения и манипулировать данными в скомпрометированной системе. URL-адрес для загрузки дополнительных файлов и соответствующая команда для их запуска указывают на многоэтапную стратегию атаки, направленную на дальнейшее снижение безопасности системы.

Идентификация вредоносного ПО поставщиками систем безопасности подчеркивает важность обмена информацией об угрозах и сотрудничества в борьбе с киберугрозами. Обозначение вредоносной программы как Heur.BZC.YAX.Pantera.3049.815F5292 предполагает, что она демонстрирует эвристическое поведение, указывающее на сложную и потенциально опасную угрозу.

#ParsedReport #CompletenessLow
12-05-2024

Analysis of ArcaneDoor Threat Infrastructure Suggests Potential Ties to Chinese-based Actor

https://censys.com/analysis-of-arcanedoor-threat-infrastructure-suggests-potential-ties-to-chinese-based-actor

Report completeness: Low

Actors/Campaigns:
Arcanedoor
Uat4356

Industry:
Government, Telco

Geo:
Luxembourg, Mexico, Chinese, Russian, China

CVEs:
CVE-2024-20359 [Vulners]
CVSS V3.1: 6.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)

CVE-2024-20358 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)

CVE-2024-20353 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)


ChatGPT TTPs:
do not use without manual check
T1190, T1588.006, T1595

IOCs:
Hash: 1
IP: 1

Links:
https://github.com/Gozargah
https://github.com/XTLS/Xray-core
https://github.com/Gozargah/Marzban