CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Smart-sex-toy users targeted by clicker trojan https://news.drweb.com/show/?i=14860&lng=en&c=5 Report completeness: Low Victims: Users of love spouse app, Users of qrunning app, Users of v88mini tv box, Users of…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе вирусными аналитиками "Доктор Веб" троянца Android clicker, подчеркивающих его возможности, распространение в популярных приложениях, а также важность сохранения бдительности и принятия строгих мер безопасности против появляющихся вредоносных программ, нацеленных на устройства Android.
-----
Вирусные аналитики "Доктор Веб" недавно обнаружили Android-приложение, содержащее троянскую программу clicker, предназначенную для подпольного открытия рекламных сайтов и перехода по веб-страницам. Эти трояны известны тем, что генерируют мошенничество с кликами, показывают рекламу, подписывают ничего не подозревающих жертв на платные подписки и запускают DDoS-атаки. Технология Origins Tracing, используемая антивирусом "Доктор Веб" для Android, сыграла решающую роль в обнаружении троянца Android.Click.414.origin clicker в приложении Love Party, которое обычно используется для управления игрушками для взрослых. Троянец был замаскирован в библиотеке com.android.logcatch и поначалу не был замечен пользователями. Кроме того, тот же троянец был обнаружен в приложении для отслеживания физической активности QRunning, разработанном китайскими разработчиками и в совокупности установленном на более чем 1,5 миллионах устройств.
Примечательно, что вредоносный код был представлен в последних версиях этих приложений, и хотя разработчик Love Cousse оперативно удалил троянца в версии 1.8.8 после его обнаружения, никаких корректирующих мер для приложения QRunning предпринято не было. Этот троян-кликер является усовершенствованной формой трояна Android.Click.410.origin, который привлек к себе внимание в апреле прошлого года, когда был обнаружен на телевизоре V88mini, а затем на телевизоре X96Q. В последнем случае троянец распространялся через приложение Desk Clock на устройстве.
Троянец имеет модульную структуру, в которой один модуль собирает информацию об устройстве, в то время как два других модуля автоматически выполняют такие действия, как загрузка веб-страниц, показ рекламы и выполнение кликов. Троянец может даже определить, работает ли он в контролируемой среде, и воздержаться от отправки рекламных заданий в таких сценариях. Кроме того, троянец имеет языковую защиту и позволяет избежать работы на устройствах с настройками интерфейса на китайском языке.
После запуска троянец передает подробную информацию об устройстве на свой управляющий сервер, активирует определенные стратегии, незаметно загружает веб-страницы, используя для взаимодействия компонент Android WebView, выполняет код JavaScript, полученный с сервера, и даже может захватывать и анализировать скриншоты веб-контента. Для решения определенных задач он использует поисковые системы, такие как Bing, Yahoo и Google, для предоставления настраиваемых рекламных ссылок на основе ключевых слов. Проникновение троянца в официальный магазин Google Play в феврале 2024 года, в частности, через скомпрометированное приложение Love Wife после версии 1.8.1, вызвало опасения по поводу безопасности широко используемых платформ, таких как Google Play.
В ответ на эти угрозы "Доктор Веб" подчеркивает важность соблюдения бдительности при установке программного обеспечения и подчеркивает защитные возможности Dr.Web Security Space для Android в выявлении и нейтрализации троянских программ Android.Click. Это расследование подчеркивает непрерывную эволюцию и изощренность вредоносных программ, нацеленных на устройства Android, что требует постоянной бдительности и надежных мер безопасности для защиты от подобных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе вирусными аналитиками "Доктор Веб" троянца Android clicker, подчеркивающих его возможности, распространение в популярных приложениях, а также важность сохранения бдительности и принятия строгих мер безопасности против появляющихся вредоносных программ, нацеленных на устройства Android.
-----
Вирусные аналитики "Доктор Веб" недавно обнаружили Android-приложение, содержащее троянскую программу clicker, предназначенную для подпольного открытия рекламных сайтов и перехода по веб-страницам. Эти трояны известны тем, что генерируют мошенничество с кликами, показывают рекламу, подписывают ничего не подозревающих жертв на платные подписки и запускают DDoS-атаки. Технология Origins Tracing, используемая антивирусом "Доктор Веб" для Android, сыграла решающую роль в обнаружении троянца Android.Click.414.origin clicker в приложении Love Party, которое обычно используется для управления игрушками для взрослых. Троянец был замаскирован в библиотеке com.android.logcatch и поначалу не был замечен пользователями. Кроме того, тот же троянец был обнаружен в приложении для отслеживания физической активности QRunning, разработанном китайскими разработчиками и в совокупности установленном на более чем 1,5 миллионах устройств.
Примечательно, что вредоносный код был представлен в последних версиях этих приложений, и хотя разработчик Love Cousse оперативно удалил троянца в версии 1.8.8 после его обнаружения, никаких корректирующих мер для приложения QRunning предпринято не было. Этот троян-кликер является усовершенствованной формой трояна Android.Click.410.origin, который привлек к себе внимание в апреле прошлого года, когда был обнаружен на телевизоре V88mini, а затем на телевизоре X96Q. В последнем случае троянец распространялся через приложение Desk Clock на устройстве.
Троянец имеет модульную структуру, в которой один модуль собирает информацию об устройстве, в то время как два других модуля автоматически выполняют такие действия, как загрузка веб-страниц, показ рекламы и выполнение кликов. Троянец может даже определить, работает ли он в контролируемой среде, и воздержаться от отправки рекламных заданий в таких сценариях. Кроме того, троянец имеет языковую защиту и позволяет избежать работы на устройствах с настройками интерфейса на китайском языке.
После запуска троянец передает подробную информацию об устройстве на свой управляющий сервер, активирует определенные стратегии, незаметно загружает веб-страницы, используя для взаимодействия компонент Android WebView, выполняет код JavaScript, полученный с сервера, и даже может захватывать и анализировать скриншоты веб-контента. Для решения определенных задач он использует поисковые системы, такие как Bing, Yahoo и Google, для предоставления настраиваемых рекламных ссылок на основе ключевых слов. Проникновение троянца в официальный магазин Google Play в феврале 2024 года, в частности, через скомпрометированное приложение Love Wife после версии 1.8.1, вызвало опасения по поводу безопасности широко используемых платформ, таких как Google Play.
В ответ на эти угрозы "Доктор Веб" подчеркивает важность соблюдения бдительности при установке программного обеспечения и подчеркивает защитные возможности Dr.Web Security Space для Android в выявлении и нейтрализации троянских программ Android.Click. Это расследование подчеркивает непрерывную эволюцию и изощренность вредоносных программ, нацеленных на устройства Android, что требует постоянной бдительности и надежных мер безопасности для защиты от подобных угроз.
#ParsedReport #CompletenessLow
13-05-2024
LNK File Disguised as Certificate Distributing RokRAT Malware
https://asec.ahnlab.com/en/65076
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Victims:
Individuals associated with korean unification, Military, Education
Industry:
Education, Military
Geo:
Korean, Korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.002, T1059.001, T1204.002, T1547.009, T1027, T1047, T1071.001, T1105
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
13-05-2024
LNK File Disguised as Certificate Distributing RokRAT Malware
https://asec.ahnlab.com/en/65076
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Victims:
Individuals associated with korean unification, Military, Education
Industry:
Education, Military
Geo:
Korean, Korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.002, T1059.001, T1204.002, T1547.009, T1027, T1047, T1071.001, T1105
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
ASEC
LNK File Disguised as Certificate Distributing RokRAT Malware - ASEC
LNK File Disguised as Certificate Distributing RokRAT Malware ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 LNK File Disguised as Certificate Distributing RokRAT Malware https://asec.ahnlab.com/en/65076 Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Dropper/lnk.s2343 Trojan/bat.runner Infostea…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение файлов быстрого доступа ненормального размера, содержащих вредоносное ПО типа "черный ход", предназначенное для южнокорейских пользователей, имеющих связи с Северной Кореей, в частности, использующее вредоносное ПО RokRAT backdoor. Эта кампания включает в себя сложные действия, инициируемые командами PowerShell, встроенными в файлы LNK, для выполнения вредоносных действий, ведущих к краже данных, компрометации системы и шпионажу, что подчеркивает необходимость бдительности и усиления мер кибербезопасности в целевых секторах.
-----
Аналитический центр безопасности AhnLab (ASEC) обнаружил продолжающееся распространение файлов быстрого доступа ненормального размера (*.LNK), содержащих вредоносное ПО типа "черного хода", специально предназначенное для южнокорейских пользователей, имеющих связи с Северной Кореей. Было обнаружено, что файлы LNK содержат команды PowerShell, выполняемые с помощью CMD, аналогично предыдущим случаям, о которых сообщала служба ASEC. Эти файлы выделяются тем, что в них встроены файлы подлинных документов, код скрипта и вредоносные PE-данные. Работу вредоносной программы можно разбить на несколько этапов: при запуске файл LNK запускает команды PowerShell для создания и запуска файла легитимного документа с именем "find.bat". Затем "find.bat" запускает "search.dat" через PowerShell, который затем считывает файл "viewer.dat" и управляет им без использования файлов. В конечном счете, содержимое "viewer.dat" оказалось вредоносной программой RokRAT backdoor, сложной угрозой, способной использовать облачные API для сбора пользовательских данных и выполнения ряда вредоносных действий в соответствии с инструкциями злоумышленника.
Потенциальные вредоносные действия, которые могут быть организованы злоумышленниками с помощью RokRAT, включают кражу данных, компрометацию системы, шпионаж и многое другое. Кроме того, собранные данные временно хранятся в каталоге %TEMP% перед передачей на облачный сервер злоумышленника. Адреса электронной почты, связанные с этими злоумышленниками, были выявлены в ходе анализа этой вредоносной кампании. ASEC постоянно сообщала о распространении вредоносных файлов быстрого доступа в своем блоге, подчеркивая распространенность таких инцидентов и особое внимание уделяя лицам, связанным с объединением Кореи, военным и образовательным секторами. Эта устойчивая тенденция подчеркивает важность проявления бдительности и внедрения соответствующих мер кибербезопасности в этих целевых секторах для эффективного устранения потенциальных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение файлов быстрого доступа ненормального размера, содержащих вредоносное ПО типа "черный ход", предназначенное для южнокорейских пользователей, имеющих связи с Северной Кореей, в частности, использующее вредоносное ПО RokRAT backdoor. Эта кампания включает в себя сложные действия, инициируемые командами PowerShell, встроенными в файлы LNK, для выполнения вредоносных действий, ведущих к краже данных, компрометации системы и шпионажу, что подчеркивает необходимость бдительности и усиления мер кибербезопасности в целевых секторах.
-----
Аналитический центр безопасности AhnLab (ASEC) обнаружил продолжающееся распространение файлов быстрого доступа ненормального размера (*.LNK), содержащих вредоносное ПО типа "черного хода", специально предназначенное для южнокорейских пользователей, имеющих связи с Северной Кореей. Было обнаружено, что файлы LNK содержат команды PowerShell, выполняемые с помощью CMD, аналогично предыдущим случаям, о которых сообщала служба ASEC. Эти файлы выделяются тем, что в них встроены файлы подлинных документов, код скрипта и вредоносные PE-данные. Работу вредоносной программы можно разбить на несколько этапов: при запуске файл LNK запускает команды PowerShell для создания и запуска файла легитимного документа с именем "find.bat". Затем "find.bat" запускает "search.dat" через PowerShell, который затем считывает файл "viewer.dat" и управляет им без использования файлов. В конечном счете, содержимое "viewer.dat" оказалось вредоносной программой RokRAT backdoor, сложной угрозой, способной использовать облачные API для сбора пользовательских данных и выполнения ряда вредоносных действий в соответствии с инструкциями злоумышленника.
Потенциальные вредоносные действия, которые могут быть организованы злоумышленниками с помощью RokRAT, включают кражу данных, компрометацию системы, шпионаж и многое другое. Кроме того, собранные данные временно хранятся в каталоге %TEMP% перед передачей на облачный сервер злоумышленника. Адреса электронной почты, связанные с этими злоумышленниками, были выявлены в ходе анализа этой вредоносной кампании. ASEC постоянно сообщала о распространении вредоносных файлов быстрого доступа в своем блоге, подчеркивая распространенность таких инцидентов и особое внимание уделяя лицам, связанным с объединением Кореи, военным и образовательным секторами. Эта устойчивая тенденция подчеркивает важность проявления бдительности и внедрения соответствующих мер кибербезопасности в этих целевых секторах для эффективного устранения потенциальных угроз.
#ParsedReport #CompletenessLow
13-05-2024
GoTo Meeting loads Remcos RAT via Rust Shellcode Loader
https://www.gdatasoftware.com/blog/2024/05/37906-gotomeeting-loads-remcos
Report completeness: Low
Threats:
Remcos_rat
Dll_sideloading_technique
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1204, T1055, T1547, T1027, T1059
IOCs:
Hash: 17
Url: 1
Soft:
Speakeasy
Algorithms:
zip
Languages:
rust, jscript, powershell
Links:
13-05-2024
GoTo Meeting loads Remcos RAT via Rust Shellcode Loader
https://www.gdatasoftware.com/blog/2024/05/37906-gotomeeting-loads-remcos
Report completeness: Low
Threats:
Remcos_rat
Dll_sideloading_technique
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1204, T1055, T1547, T1027, T1059
IOCs:
Hash: 17
Url: 1
Soft:
Speakeasy
Algorithms:
zip
Languages:
rust, jscript, powershell
Links:
https://github.com/mandiant/speakeasyGdatasoftware
GoTo Meeting loads Remcos RAT via Rust Shellcode Loader
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 GoTo Meeting loads Remcos RAT via Rust Shellcode Loader https://www.gdatasoftware.com/blog/2024/05/37906-gotomeeting-loads-remcos Report completeness: Low Threats: Remcos_rat Dll_sideloading_technique Geo: Russian…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте подробно описывается, как злоумышленники манипулируют законными приложениями, такими как GoTo Meeting, для развертывания вредоносного ПО Remcos RAT, используя обманчивые приманки и цепочки выполнения, чтобы обманом заставить пользователей запустить вредоносное ПО.
-----
В тексте описывается, как можно манипулировать законными приложениями, такими как GoTo Meeting, для развертывания вредоносных программ, таких как Remcos RAT. Злоумышленники используют различные приманки, включая загрузку порнографии, файлы настройки программного обеспечения и налоговые формы с именами файлов на русском и английском языках, чтобы обманом заставить пользователей запустить вредоносное ПО. Цепочка выполнения Remcos RAT, злоупотребляющей исполняемым файлом GoTo Meeting, включает в себя ряд шагов, которые облегчают развертывание вредоносного ПО.
При двойном щелчке по определенному файлу, myrecentfiles.lnk, открывается безвредный PDF-файл с именем MLD.pdf и одновременно выполняется файл GoTo Meeting PE32, подписанный winsys.odt. Затем исполняемый файл GoTo Meeting загружает DLL-файл с именем g2m.dll из той же папки. В этом случае для запуска вредоносной библиотеки DLL-файлов вместо чистого файла g2m.dll, который обычно загружается GoTo Meeting, используется метод дополнительной загрузки DLL-файлов.
Вредоносная библиотека DLL, написанная на Rust, экспортирует 20 функций для GoTo Meeting, но все они указывают на один и тот же пустой адрес из-за отсутствия реализации. Несмотря на нерабочие функции, DllMain из g2m.dll будет запущена, что позволит загрузчику вредоносного по выполнить свою работу. Код Rust в вредоносной программе считывает файл с именем data.bin, выделяет для него память RWX и создает новый поток для выполнения содержащегося в нем шелл-кода, который также включает зашифрованные полезные данные. Шелл-код расшифровывает и выполняет полезную нагрузку, что приводит к развертыванию исполняемого файла Remcos RAT.
Далее в тексте обсуждаются различные мошеннические файлы, в том числе поддельные настройки LeonardoAI2, поддельные настройки OnlyFans Livestreams, поддельные налоговые документы, поддельные налоговые органайзеры и русский ZIP-файл с именем __.rar.zip, что переводится как "приложение для геодезических устройств". Эти файлы предназначены для того, чтобы обманом заставить пользователей невольно запустить вредоносную программу. У каждого файла может быть несколько иная цепочка выполнения, например, у JScript-файла Teen Girl Leak Porn.js, предназначенного для пользователей контента для взрослых.
В случае с файлом JScript он инициирует цепочку заражения, загружая скрипт PowerShell из службы вставки markdown. Затем скрипт PowerShell загружает файл file2.zip и создает постоянство, добавляя файл RunBatchFile.lnk в папку автозагрузки. Этот ярлык запускает run.bat из архива, перезапуская ту же цепочку выполнения, что и ранее, но через другую точку входа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте подробно описывается, как злоумышленники манипулируют законными приложениями, такими как GoTo Meeting, для развертывания вредоносного ПО Remcos RAT, используя обманчивые приманки и цепочки выполнения, чтобы обманом заставить пользователей запустить вредоносное ПО.
-----
В тексте описывается, как можно манипулировать законными приложениями, такими как GoTo Meeting, для развертывания вредоносных программ, таких как Remcos RAT. Злоумышленники используют различные приманки, включая загрузку порнографии, файлы настройки программного обеспечения и налоговые формы с именами файлов на русском и английском языках, чтобы обманом заставить пользователей запустить вредоносное ПО. Цепочка выполнения Remcos RAT, злоупотребляющей исполняемым файлом GoTo Meeting, включает в себя ряд шагов, которые облегчают развертывание вредоносного ПО.
При двойном щелчке по определенному файлу, myrecentfiles.lnk, открывается безвредный PDF-файл с именем MLD.pdf и одновременно выполняется файл GoTo Meeting PE32, подписанный winsys.odt. Затем исполняемый файл GoTo Meeting загружает DLL-файл с именем g2m.dll из той же папки. В этом случае для запуска вредоносной библиотеки DLL-файлов вместо чистого файла g2m.dll, который обычно загружается GoTo Meeting, используется метод дополнительной загрузки DLL-файлов.
Вредоносная библиотека DLL, написанная на Rust, экспортирует 20 функций для GoTo Meeting, но все они указывают на один и тот же пустой адрес из-за отсутствия реализации. Несмотря на нерабочие функции, DllMain из g2m.dll будет запущена, что позволит загрузчику вредоносного по выполнить свою работу. Код Rust в вредоносной программе считывает файл с именем data.bin, выделяет для него память RWX и создает новый поток для выполнения содержащегося в нем шелл-кода, который также включает зашифрованные полезные данные. Шелл-код расшифровывает и выполняет полезную нагрузку, что приводит к развертыванию исполняемого файла Remcos RAT.
Далее в тексте обсуждаются различные мошеннические файлы, в том числе поддельные настройки LeonardoAI2, поддельные настройки OnlyFans Livestreams, поддельные налоговые документы, поддельные налоговые органайзеры и русский ZIP-файл с именем __.rar.zip, что переводится как "приложение для геодезических устройств". Эти файлы предназначены для того, чтобы обманом заставить пользователей невольно запустить вредоносную программу. У каждого файла может быть несколько иная цепочка выполнения, например, у JScript-файла Teen Girl Leak Porn.js, предназначенного для пользователей контента для взрослых.
В случае с файлом JScript он инициирует цепочку заражения, загружая скрипт PowerShell из службы вставки markdown. Затем скрипт PowerShell загружает файл file2.zip и создает постоянство, добавляя файл RunBatchFile.lnk в папку автозагрузки. Этот ярлык запускает run.bat из архива, перезапуская ту же цепочку выполнения, что и ранее, но через другую точку входа.
#ParsedReport #CompletenessLow
13-05-2024
Security Brief: Millions of Messages Distribute LockBit Black Ransomware
https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware
Report completeness: Low
Threats:
Lockbit
Phorpiex
Phorphiex_botnet
Emotet
ChatGPT TTPs:
T1566, T1193, T1090, T1486, T1027, T1071
IOCs:
Email: 1
IP: 2
Hash: 14
Algorithms:
zip, exhibit, sha256
13-05-2024
Security Brief: Millions of Messages Distribute LockBit Black Ransomware
https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware
Report completeness: Low
Threats:
Lockbit
Phorpiex
Phorphiex_botnet
Emotet
ChatGPT TTPs:
do not use without manual checkT1566, T1193, T1090, T1486, T1027, T1071
IOCs:
Email: 1
IP: 2
Hash: 14
Algorithms:
zip, exhibit, sha256
Proofpoint
Millions of Emails Distribute LockBit Black 3.0 Ransomware | Proofpoint US
Proofpoint observed millions of emails delivering LockBit Black 3.0 ransomware. Learn more about what it is, who is distributing it, and why it matters.
CTT Report Hub
#ParsedReport #CompletenessLow 13-05-2024 Security Brief: Millions of Messages Distribute LockBit Black Ransomware https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается кампания по борьбе с киберугрозами, в ходе которой ботнет Phorpiex использовался для распространения программы-вымогателя LockBit Black с помощью массовых рассылок по электронной почте. Кампания была нацелена на организации по всему миру, демонстрируя эволюцию киберугроз и необходимость принятия надежных мер кибербезопасности.
-----
Кампания началась 24 апреля 2024 года с масштабных рассылок по электронной почте через ботнет Phorpiex, распространяющий программу-вымогатель LockBit Black.
Первый обнаруженный случай массового распространения программы-вымогателя LockBit Black через Phorpiex, вероятно, связанный с утечкой LockBit builder.
Электронные письма, приписываемые "Дженни Грин", содержали вложенный ZIP-файл с исполняемым файлом, который загружал полезную нагрузку программы-вымогателя при запуске.
Атакуйте организации по всему миру, работающие в различных отраслях, без каких-либо конкретных намерений.
Кампания отражает эволюцию ландшафта киберугроз, делая упор на адаптацию и эволюцию участников угроз.
Конвергенция LockBit Black builder с ботнетом Phorpiex увеличивает угрозу успешных атак программ-вымогателей.
Кампания не была связана с известным субъектом угрозы, Phorpiex работает как базовый ботнет, предоставляющий вредоносное ПО как услугу.
LockBit Black - это усовершенствованная версия, представленная в июне 2022 года, и ее использование в кампаниях по борьбе с угрозами по электронной почте в глобальном масштабе является редкостью.
Важность IOCS для специалистов по кибербезопасности заключается в выявлении и устранении аналогичных угроз в их среде.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается кампания по борьбе с киберугрозами, в ходе которой ботнет Phorpiex использовался для распространения программы-вымогателя LockBit Black с помощью массовых рассылок по электронной почте. Кампания была нацелена на организации по всему миру, демонстрируя эволюцию киберугроз и необходимость принятия надежных мер кибербезопасности.
-----
Кампания началась 24 апреля 2024 года с масштабных рассылок по электронной почте через ботнет Phorpiex, распространяющий программу-вымогатель LockBit Black.
Первый обнаруженный случай массового распространения программы-вымогателя LockBit Black через Phorpiex, вероятно, связанный с утечкой LockBit builder.
Электронные письма, приписываемые "Дженни Грин", содержали вложенный ZIP-файл с исполняемым файлом, который загружал полезную нагрузку программы-вымогателя при запуске.
Атакуйте организации по всему миру, работающие в различных отраслях, без каких-либо конкретных намерений.
Кампания отражает эволюцию ландшафта киберугроз, делая упор на адаптацию и эволюцию участников угроз.
Конвергенция LockBit Black builder с ботнетом Phorpiex увеличивает угрозу успешных атак программ-вымогателей.
Кампания не была связана с известным субъектом угрозы, Phorpiex работает как базовый ботнет, предоставляющий вредоносное ПО как услугу.
LockBit Black - это усовершенствованная версия, представленная в июне 2022 года, и ее использование в кампаниях по борьбе с угрозами по электронной почте в глобальном масштабе является редкостью.
Важность IOCS для специалистов по кибербезопасности заключается в выявлении и устранении аналогичных угроз в их среде.
Будете рядом, заходите.
В этом году расскажу про нашу ML и AI часть движочка анализа отчетов.
23 мая 11:00–11:45
https://phdays.com/forum/program/?tags=ai&talk-id=669
В этом году расскажу про нашу ML и AI часть движочка анализа отчетов.
23 мая 11:00–11:45
https://phdays.com/forum/program/?tags=ai&talk-id=669
phdays.com
Positive Hack Days
An international cyberfestival for those who want to dive into the world of cybersecurity and have a great time
👍4
#ParsedReport #CompletenessHigh
14-05-2024
Foxit PDF Flawed Design Exploitation. Introduction
https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation
Report completeness: High
Actors/Campaigns:
Donot
Threats:
Venomrat
Agent_tesla
Remcos_rat
Njrat
Nanocore_rat
Pony
Xworm_rat
Asyncrat
Dcrat
Byroda
Blankgrabber
Dynamicwrapperx
Rafel_rat
Ahmyth_rat
Cobalt_strike
Sliver_c2_tool
Xmrig_miner
Lolminer
Uac_bypass_technique
Vmprotect_tool
Ollydbg_tool
Wevtutil_tool
Fodhelper_technique
Victims:
Foxit reader users
Industry:
Government, Education, Religion, Military
Geo:
Korean, Vietnam, Vietnamese, Asia, Korea, Portuguese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1204, T1566, T1203, T1105, T1059, T1027, T1547
IOCs:
Command: 10
File: 56
Hash: 41
Url: 16
Path: 4
Registry: 4
IP: 1
Soft:
Foxit, android, curl, Chrome, virtualbox, Discord, Telegram, TikTok, Gmail
Wallets:
harmony_wallet
Algorithms:
exhibit, aes, zip, base64
Functions:
CreateObject, Main, checkUUID, checkComputerName, checkUsers, checkHosting, checkHTTPSimulation, checkRegistry, killTasks, isVM, have more...
Win API:
DeleteFile
Win Services:
WebClient)
Languages:
powershell, php, swift, python
Platforms:
intel, cross-platform
YARA: Found
Links:
14-05-2024
Foxit PDF Flawed Design Exploitation. Introduction
https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation
Report completeness: High
Actors/Campaigns:
Donot
Threats:
Venomrat
Agent_tesla
Remcos_rat
Njrat
Nanocore_rat
Pony
Xworm_rat
Asyncrat
Dcrat
Byroda
Blankgrabber
Dynamicwrapperx
Rafel_rat
Ahmyth_rat
Cobalt_strike
Sliver_c2_tool
Xmrig_miner
Lolminer
Uac_bypass_technique
Vmprotect_tool
Ollydbg_tool
Wevtutil_tool
Fodhelper_technique
Victims:
Foxit reader users
Industry:
Government, Education, Religion, Military
Geo:
Korean, Vietnam, Vietnamese, Asia, Korea, Portuguese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1204, T1566, T1203, T1105, T1059, T1027, T1547
IOCs:
Command: 10
File: 56
Hash: 41
Url: 16
Path: 4
Registry: 4
IP: 1
Soft:
Foxit, android, curl, Chrome, virtualbox, Discord, Telegram, TikTok, Gmail
Wallets:
harmony_wallet
Algorithms:
exhibit, aes, zip, base64
Functions:
CreateObject, Main, checkUUID, checkComputerName, checkUsers, checkHosting, checkHTTPSimulation, checkRegistry, killTasks, isVM, have more...
Win API:
DeleteFile
Win Services:
WebClient)
Languages:
powershell, php, swift, python
Platforms:
intel, cross-platform
YARA: Found
Links:
https://github.com/K3rnel-Dev/pdf-exploit/https://github.com/Blank-c/Blank-GrabberCheck Point Research
Foxit PDF “Flawed Design” Exploitation - Check Point Research
Check Point Research has identified an unusual pattern of behavior involving PDF exploitation, mainly targeting users of Foxit Reader. This exploit triggers security warnings that could deceive unsuspecting users into executing harmful commands. Check Point…
CTT Report Hub
#ParsedReport #CompletenessHigh 14-05-2024 Foxit PDF Flawed Design Exploitation. Introduction https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation Report completeness: High Actors/Campaigns: Donot Threats: Venomrat Agent_tesla Remcos_rat…
#ParsedReport #ExtractedSchema
Classified images:
windows: 4, dump: 1, code: 7, table: 1, chart: 2, schema: 2, chats: 1
Classified images:
windows: 4, dump: 1, code: 7, table: 1, chart: 2, schema: 2, chats: 1
CTT Report Hub
#ParsedReport #CompletenessHigh 14-05-2024 Foxit PDF Flawed Design Exploitation. Introduction https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation Report completeness: High Actors/Campaigns: Donot Threats: Venomrat Agent_tesla Remcos_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что компания Check Point Research обнаружила схему использования PDF-файлов, ориентированную на пользователей Foxit Reader. Эксплойт предназначен для того, чтобы обманом заставить пользователей выполнять вредоносные команды, имеет низкий уровень обнаружения из-за распространенности Adobe Reader и используется для различных вредоносных целей, включая электронную преступность и шпионаж. Злоумышленники распространяют вредоносные PDF-файлы с помощью нетрадиционных средств, таких как Facebook, и в этих кампаниях используются различные вредоносные инструменты и вредоносное ПО, в том числе троян Remcos для удаленного доступа. Решения Check Point Research направлены на обеспечение комплексной защиты от подобных киберугроз.
-----
Обнаруженный исследователями Check Point шаблон использования PDF предназначен для пользователей Foxit Reader.
Эксплойт имеет низкий уровень обнаружения из-за широкого использования Adobe Reader в изолированных системах и антивирусных решениях.
Разработчики эксплойтов, закодированных на .NET и Python, наблюдали за развертыванием эксплойтов для электронных преступлений и шпионажа.
Вредоносные PDF-файлы, распространяемые с помощью нетрадиционных средств, таких как Facebook.
Вредоносная команда, выполняемая через PowerShell, загружает и запускает вредоносный файл.
Эксплойт использует такие ключи, как /S, /Launch, /Win, запускающие выполнение в Foxit Reader, а не в Adobe Reader.
Шпионская кампания, включающая распространение вредоносных PDF-файлов с военной направленностью.
Заражение Android с помощью Rafel RAT указывает на шпионскую кампанию злоумышленников, потенциально принадлежащих к команде APT-C-35 / DoNot.
Вредоносные действия включают загрузку вредоносных файлов, кражу учетных данных пользователя и файлов cookie, запуск майнеров.
Вредоносные инструменты, распространяемые злоумышленниками через такие платформы, как Telegram и DiscordApp, включая Remcos RAT.
Инфокрады с открытым исходным кодом, такие как Blank-Grabber, и вредоносные инструменты, используемые для обхода механизмов безопасности.
Часто используется PDF Exploit Builder, что указывает на потенциальное совместное авторство участников угроз.
Check Point предлагает решения для эмуляции угроз, Harmony Endpoint и Harmony Mobile Protect, обеспечивающие всестороннюю защиту от атак и эксплойтов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что компания Check Point Research обнаружила схему использования PDF-файлов, ориентированную на пользователей Foxit Reader. Эксплойт предназначен для того, чтобы обманом заставить пользователей выполнять вредоносные команды, имеет низкий уровень обнаружения из-за распространенности Adobe Reader и используется для различных вредоносных целей, включая электронную преступность и шпионаж. Злоумышленники распространяют вредоносные PDF-файлы с помощью нетрадиционных средств, таких как Facebook, и в этих кампаниях используются различные вредоносные инструменты и вредоносное ПО, в том числе троян Remcos для удаленного доступа. Решения Check Point Research направлены на обеспечение комплексной защиты от подобных киберугроз.
-----
Обнаруженный исследователями Check Point шаблон использования PDF предназначен для пользователей Foxit Reader.
Эксплойт имеет низкий уровень обнаружения из-за широкого использования Adobe Reader в изолированных системах и антивирусных решениях.
Разработчики эксплойтов, закодированных на .NET и Python, наблюдали за развертыванием эксплойтов для электронных преступлений и шпионажа.
Вредоносные PDF-файлы, распространяемые с помощью нетрадиционных средств, таких как Facebook.
Вредоносная команда, выполняемая через PowerShell, загружает и запускает вредоносный файл.
Эксплойт использует такие ключи, как /S, /Launch, /Win, запускающие выполнение в Foxit Reader, а не в Adobe Reader.
Шпионская кампания, включающая распространение вредоносных PDF-файлов с военной направленностью.
Заражение Android с помощью Rafel RAT указывает на шпионскую кампанию злоумышленников, потенциально принадлежащих к команде APT-C-35 / DoNot.
Вредоносные действия включают загрузку вредоносных файлов, кражу учетных данных пользователя и файлов cookie, запуск майнеров.
Вредоносные инструменты, распространяемые злоумышленниками через такие платформы, как Telegram и DiscordApp, включая Remcos RAT.
Инфокрады с открытым исходным кодом, такие как Blank-Grabber, и вредоносные инструменты, используемые для обхода механизмов безопасности.
Часто используется PDF Exploit Builder, что указывает на потенциальное совместное авторство участников угроз.
Check Point предлагает решения для эмуляции угроз, Harmony Endpoint и Harmony Mobile Protect, обеспечивающие всестороннюю защиту от атак и эксплойтов.
#ParsedReport #CompletenessLow
14-05-2024
GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure
https://www.recordedfuture.com/gitcaught-threat-actor-leverages-github-repository-for-malicious-infrastructure
Report completeness: Low
Threats:
Amos_stealer
Vidar_stealer
Lumma_stealer
Exobot
ChatGPT TTPs:
T1587.002, T1071.001, T1583.001, T1584.002
IOCs:
Domain: 28
Hash: 31
IP: 16
Soft:
1Password, macOS
Algorithms:
sha256, aes
14-05-2024
GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure
https://www.recordedfuture.com/gitcaught-threat-actor-leverages-github-repository-for-malicious-infrastructure
Report completeness: Low
Threats:
Amos_stealer
Vidar_stealer
Lumma_stealer
Exobot
ChatGPT TTPs:
do not use without manual checkT1587.002, T1071.001, T1583.001, T1584.002
IOCs:
Domain: 28
Hash: 31
IP: 16
Soft:
1Password, macOS
Algorithms:
sha256, aes
CTT Report Hub
#ParsedReport #CompletenessLow 14-05-2024 GitCaught: Threat Actor Leverages GitHub Repository for Malicious Infrastructure https://www.recordedfuture.com/gitcaught-threat-actor-leverages-github-repository-for-malicious-infrastructure Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изощренной киберпреступной кампании, организованной русскоязычными злоумышленниками из Содружества Независимых Государств, использующими GitHub для выдачи себя за известные программные приложения и распространения вредоносных программ для кражи личной информации. В тексте подчеркивается мастерство участников в создании поддельных профилей, разработке вариантов вредоносного ПО, использовании общей инфраструктуры командования и контроля, а также проблемы, связанные с традиционными средствами защиты от кибербезопасности. В нем подчеркивается важность упреждающих и адаптируемых мер кибербезопасности, включая строгие протоколы безопасности, процессы проверки кода в масштабах всей организации и сотрудничество в рамках сообщества кибербезопасности для борьбы с развивающимися киберугрозами.
-----
Группа Insikt из Recorded Future недавно обнаружила сложную кампанию киберпреступников, организованную русскоязычными злоумышленниками из Содружества Независимых Государств (СНГ). Эти злоумышленники использовали профиль на GitHub, чтобы выдавать себя за хорошо известные программные приложения, такие как 1Password, Bartender 5 и Pixelmator Pro, для распространения вредоносных программ, таких как Atomic macOS Stealer (AMOS) и Vidar. Такое использование надежных интернет-сервисов демонстрирует способность участников угроз осуществлять кибератаки, направленные на кражу личной информации.
Злоумышленники проявили значительное мастерство в создании поддельных профилей и репозиториев на GitHub, предлагая поддельные версии популярных пакетов программного обеспечения. Варианты вредоносного ПО, размещенные в этих хранилищах, были специально созданы для проникновения в системы пользователей и извлечения конфиденциальных данных, демонстрируя опыт участников в разработке программного обеспечения и повышая доверие пользователей к таким платформам. Примечательно, что такие вредоносные программы, как AMOS, Vidar, Lumma и Octo, имели общую инфраструктуру управления (C2), что свидетельствует о сплоченных усилиях по усилению воздействия их атак. Такое скоординированное использование инфраструктуры C2 предполагает наличие хорошо организованной группы с надежными ресурсами, способной осуществлять устойчивые кибератаки с использованием различных операционных систем и устройств.
Эволюционирующий характер этих разновидностей вредоносных программ представляет собой серьезную проблему для традиционных средств защиты от кибербезопасности, которые часто оказываются недостаточными для защиты от сложных и постоянно меняющихся угроз. Сложность кампании и постоянное развитие тактики вредоносных программ подчеркивают необходимость упреждающего и адаптируемого подхода к кибербезопасности. В ближайшей перспективе организациям рекомендуется внедрять строгие протоколы безопасности, особенно при внедрении внешнего кода в свои системы. Чтобы обнаружить потенциальное вредоносное ПО или подозрительные шаблоны в коде, организациям следует внедрить процессы проверки кода в масштабах всей организации и использовать автоматизированные средства сканирования, такие как GitGuardian, Checkmarx или GitHub Advanced Security.
Заглядывая в среднесрочную перспективу, компании должны укрепить свои позиции в области кибербезопасности, разработав стратегии мониторинга и блокирования несанкционированных приложений и сторонних скриптов, которые могут служить точками входа для вредоносных программ. Сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для эффективной борьбы со сложными кампаниями, подобными той, о которой стало известно в ходе этого расследования. Укрепляя совместные усилия и проявляя бдительность в отношении возникающих киберугроз, организации могут лучше защитить свои системы и данные от злоумышленников, стремящихся использовать уязвимости в надежных платформах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в изощренной киберпреступной кампании, организованной русскоязычными злоумышленниками из Содружества Независимых Государств, использующими GitHub для выдачи себя за известные программные приложения и распространения вредоносных программ для кражи личной информации. В тексте подчеркивается мастерство участников в создании поддельных профилей, разработке вариантов вредоносного ПО, использовании общей инфраструктуры командования и контроля, а также проблемы, связанные с традиционными средствами защиты от кибербезопасности. В нем подчеркивается важность упреждающих и адаптируемых мер кибербезопасности, включая строгие протоколы безопасности, процессы проверки кода в масштабах всей организации и сотрудничество в рамках сообщества кибербезопасности для борьбы с развивающимися киберугрозами.
-----
Группа Insikt из Recorded Future недавно обнаружила сложную кампанию киберпреступников, организованную русскоязычными злоумышленниками из Содружества Независимых Государств (СНГ). Эти злоумышленники использовали профиль на GitHub, чтобы выдавать себя за хорошо известные программные приложения, такие как 1Password, Bartender 5 и Pixelmator Pro, для распространения вредоносных программ, таких как Atomic macOS Stealer (AMOS) и Vidar. Такое использование надежных интернет-сервисов демонстрирует способность участников угроз осуществлять кибератаки, направленные на кражу личной информации.
Злоумышленники проявили значительное мастерство в создании поддельных профилей и репозиториев на GitHub, предлагая поддельные версии популярных пакетов программного обеспечения. Варианты вредоносного ПО, размещенные в этих хранилищах, были специально созданы для проникновения в системы пользователей и извлечения конфиденциальных данных, демонстрируя опыт участников в разработке программного обеспечения и повышая доверие пользователей к таким платформам. Примечательно, что такие вредоносные программы, как AMOS, Vidar, Lumma и Octo, имели общую инфраструктуру управления (C2), что свидетельствует о сплоченных усилиях по усилению воздействия их атак. Такое скоординированное использование инфраструктуры C2 предполагает наличие хорошо организованной группы с надежными ресурсами, способной осуществлять устойчивые кибератаки с использованием различных операционных систем и устройств.
Эволюционирующий характер этих разновидностей вредоносных программ представляет собой серьезную проблему для традиционных средств защиты от кибербезопасности, которые часто оказываются недостаточными для защиты от сложных и постоянно меняющихся угроз. Сложность кампании и постоянное развитие тактики вредоносных программ подчеркивают необходимость упреждающего и адаптируемого подхода к кибербезопасности. В ближайшей перспективе организациям рекомендуется внедрять строгие протоколы безопасности, особенно при внедрении внешнего кода в свои системы. Чтобы обнаружить потенциальное вредоносное ПО или подозрительные шаблоны в коде, организациям следует внедрить процессы проверки кода в масштабах всей организации и использовать автоматизированные средства сканирования, такие как GitGuardian, Checkmarx или GitHub Advanced Security.
Заглядывая в среднесрочную перспективу, компании должны укрепить свои позиции в области кибербезопасности, разработав стратегии мониторинга и блокирования несанкционированных приложений и сторонних скриптов, которые могут служить точками входа для вредоносных программ. Сотрудничество и обмен информацией в рамках сообщества кибербезопасности имеют решающее значение для эффективной борьбы со сложными кампаниями, подобными той, о которой стало известно в ходе этого расследования. Укрепляя совместные усилия и проявляя бдительность в отношении возникающих киберугроз, организации могут лучше защитить свои системы и данные от злоумышленников, стремящихся использовать уязвимости в надежных платформах.
#ParsedReport #CompletenessHigh
14-05-2024
The Overlapping Cyber Strategies of Transparent Tribe and SideCopy Against India
https://cyble.com/blog/the-overlapping-cyber-strategies-of-transparent-tribe-and-sidecopy-against-india
Report completeness: High
Actors/Campaigns:
Transparenttribe
Sidecopy
Sidewinder
Threats:
Dll_sideloading_technique
Reverserat_rat
Victims:
University students
Industry:
Military, Government, Education
Geo:
Asian, India, Indian
TTPs:
Tactics: 6
Technics: 13
IOCs:
File: 47
Path: 2
Url: 7
IP: 3
Domain: 2
Hash: 7
Soft:
Windows registry
Algorithms:
base64, sha1, sha256, md5, exhibit, zip
Functions:
DoMainWork, DoUSBWork, Work, IsInternetAvailableV2, IsConnectionAvailable, RecoverFile, copyNewFile, AVGCopyDLL, doitReg, It, have more...
Win API:
CreateDirectory
Win Services:
webClient
Languages:
swift, php
Platforms:
intel
14-05-2024
The Overlapping Cyber Strategies of Transparent Tribe and SideCopy Against India
https://cyble.com/blog/the-overlapping-cyber-strategies-of-transparent-tribe-and-sidecopy-against-india
Report completeness: High
Actors/Campaigns:
Transparenttribe
Sidecopy
Sidewinder
Threats:
Dll_sideloading_technique
Reverserat_rat
Victims:
University students
Industry:
Military, Government, Education
Geo:
Asian, India, Indian
TTPs:
Tactics: 6
Technics: 13
IOCs:
File: 47
Path: 2
Url: 7
IP: 3
Domain: 2
Hash: 7
Soft:
Windows registry
Algorithms:
base64, sha1, sha256, md5, exhibit, zip
Functions:
DoMainWork, DoUSBWork, Work, IsInternetAvailableV2, IsConnectionAvailable, RecoverFile, copyNewFile, AVGCopyDLL, doitReg, It, have more...
Win API:
CreateDirectory
Win Services:
webClient
Languages:
swift, php
Platforms:
intel
Cyble
Cyber Strategies Of Transparent Tribe & SideCopy Vs India
Explore Cyble's insights on the Babylon RAT campaign targeting Malaysian politicians and government officials through malicious ISO files.