CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices https://www.volexity.com/blog/2024/05/15/detecting-compromise-of-cve-2024-3400-on-palo-alto-networks-globalprotect-devices Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и устранении уязвимости нулевого дня, нацеленной на функцию GlobalProtect в Palo Alto Networks PAN-OS, известной как CVE-2024-3400, разработанной аналитической группой Volexity, отслеживающей злоумышленника по имени UTA0218. В тексте подчеркивается быстрая реакция Palo Alto Networks на устранение уязвимости, увеличение числа случаев использования после раскрытия информации, указание на Китай как на источник угрозы, важность анализа памяти для выявления несанкционированного доступа и важность эффективных механизмов мониторинга и обнаружения сетевой безопасности для укрепления позиции кибербезопасности в отношении возникающих угроз. угрозы.
-----

В прошлом месяце аналитическая группа Volexity обнаружила эксплойт нулевого дня, нацеленный на функцию GlobalProtect в Palo Alto Networks PAN-OS, которая отслеживала злоумышленника как UTA0218. Уязвимость, идентифицированная как CVE-2024-3400, была оперативно устранена Palo Alto Networks после раскрытия информации Volexity, благодаря своевременному выпуску рекомендаций, сигнатур защиты от угроз и официальных исправлений. Впоследствии было замечено увеличение активности по сканированию и использованию CVE-2024-3400, что потенциально может быть связано с UTA0218 или другими участниками угроз, которые были осведомлены об эксплойте до его публичного раскрытия.

В конце марта 2024 года несколько организаций подверглись атаке с помощью простых команд, направленных на проверку уязвимости путем размещения файлов с нулевым байтом в скомпрометированных системах. Действия после использования часто включали в себя проверку конфигурации брандмауэра в различных секторах и местоположениях. Хотя первоначальное использование было приписано UTA0218, последующие злоумышленники также занимались аналогичными действиями после того, как информация об эксплойте стала достоянием общественности.

Анализ Volexity показывает, что UTA0218, скорее всего, является субъектом угрозы, базирующимся в Китае, что определяется на основе моделей таргетинга и инфраструктуры кампании. Примечательно, что эксплойт, предоставляющий root-доступ к устройствам брандмауэра, подчеркивает потенциальную возможность вредоносного вмешательства в важные системные файлы, подчеркивая важность анализа памяти для обнаружения несанкционированного доступа.

Усилия по обнаружению имеют решающее значение, и специальные файлы журналов в инфраструктуре Palo Alto Networks, такие как /var/log/pan/gpsvc.log и /var/log/pan/md_out.log, содержат записи, которые могут помочь в выявлении действий по эксплуатации, связанных с CVE-2024-3400. Записи, указывающие на обход пути, внедрение команд или подозрительные ключевые слова, такие как base64, bash, openssl или echo, должны тщательно отслеживаться. Кроме того, следует отслеживать журналы из /var/log/syslog-system.log и /var/log/pan/mp-monitor.журнал позволяет получить информацию о выполнении cron, сетевых подключениях, запущенных процессах и потенциальных признаках компрометации.

Надлежащий мониторинг сетевой безопасности, включая видимость трафика внутри и за пределами брандмауэра, является ключом к обнаружению вредоносного поведения, такого как обратные оболочки, боковое перемещение и утечка данных. Такие методы, как фильтры формирования трафика (TSFs), могут помочь в выявлении признаков эксплуатации, связанных с CVE-2024-3400, и расширить возможности будущих расследований в отношении устройств брандмауэра Palo Alto Networks.

Благодаря тщательному анализу записей журнала и внедрению эффективных механизмов обнаружения, основанных на вредоносных шаблонах, организации могут укрепить свои позиции в области кибербезопасности и снизить риски, связанные с новыми угрозами, такими как использование CVE-2024-3400 злоумышленниками, такими как UTA0218.
#ParsedReport #CompletenessLow
15-05-2024

Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm

https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm

Report completeness: Low

Actors/Campaigns:
Sandworm (motivation: government_sponsored, cyber_espionage)

Threats:
Eternal_petya

Victims:
Ukraine, Google

Industry:
Petroleum, Government, Military, Energy

Geo:
Ukraine, Russia, Moscow, Russian

ChatGPT TTPs:
do not use without manual check
T1562

Soft:
Jenkins, Gmail, Chrome

Platforms:
arm
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm Report completeness: Low Actors/Campaigns: Sandworm (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----

Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.

Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.

Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.

APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.

APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.

APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.

Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
#ParsedReport #CompletenessHigh
16-05-2024

Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns

https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed

Report completeness: High

Threats:
Grandoreiro
Bloat_technique
Fake-trusteer

Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service

Industry:
Financial, Government

Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...

IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4

Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera

Wallets:
electrum, coinomi

Crypto:
binance, bitcoin

Algorithms:
zip, cbc, rc4, aes, sha256

Win API:
ShellExecuteW

Languages:
javascript, delphi, pascal, python

Links:
https://github.com/AArhin/delphi-oop/blob/master/Persistence/Externals/NativeXml/extlib/eldos\_aes/ElAES.pas
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed Report completeness: High Threats: Grandoreiro Bloat_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----

IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.

Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.

Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.

Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.

Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.

Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.

Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.

Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
#ParsedReport #CompletenessHigh
17-05-2024

Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups

https://rt-solar.ru/solar-4rays/blog/4329

Report completeness: High

Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti

Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique

Victims:
Russian telecom company, Government iis servers

Industry:
Healthcare, Telco, Government

Geo:
Russian, Australian, Switzerland, Usa, Asian

CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)

CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)

CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)


TTPs:

IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9

Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows

Algorithms:
aes, sha1, base64, xor, md5, sha256

Win Services:
w3svc

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash/tree/master?tab=readme-ov-file#invoke-smbclient
https://github.com/pwntester/ysoserial.net/tree/master
https://github.com/pwntester/ysoserial.net/blob/1dba9c4416ba6e79b6b262b758fa75e2ee9008e9/ysoserial/Generators/ActivitySurrogateDisableTypeCheck.cs#L48
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups https://rt-solar.ru/solar-4rays/blog/4329 Report completeness: High Actors/Campaigns: Obstinate_mogwai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----

В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.

В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.

В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.

Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.

В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
#ParsedReport #CompletenessMedium
17-05-2024

[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate

https://www.ctfiot.com/182058.html

Report completeness: Medium

Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique

Victims:
Operation and maintenance personnel

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090

IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7

Soft:
Nginx, WeChat

Algorithms:
md5
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 [Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate https://www.ctfiot.com/182058.html Report completeness: Medium Actors/Campaigns: Amdc6766 (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----

Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.

Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.

Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.

Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.

В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.

Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.

Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
#ParsedReport #CompletenessHigh
16-05-2024

Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID

https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus

Report completeness: High

Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 2
Technics: 6

IOCs:
File: 15
Domain: 4
Hash: 1

Soft:
Component Object Model, Flask

Algorithms:
crc-32, sha256, prng, rc4, base64

Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx

Languages:
javascript, python

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_oversized\_windows\_script\_execution.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_oversized\_windows\_script\_execution.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_remote\_file\_execution\_via\_msiexec.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_suspicious\_msiexec\_child\_process.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_virtualprotect\_api\_call\_from\_an\_unsigned\_dll.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_shellcode\_execution\_from\_low\_reputation\_module.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/persistence\_scheduled\_task\_creation\_by\_an\_unusual\_process.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_potential\_self\_deletion\_of\_a\_running\_executable.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_network\_module\_loaded\_from\_suspicious\_unbacked\_memory.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_rundll32\_or\_regsvr32\_loaded\_a\_dll\_from\_unbacked\_memory.toml
https://github.com/mandiant/capa-rules/blob/master/anti-analysis/anti-forensic/self-deletion/self-delete-using-alternate-data-streams.yml
https://github.com/elastic/labs-releases/blob/main/tools/latrodectus/latro\_str\_decrypt.py
https://github.com/LloydLabs/delete-self-poc
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Latrodectus.yar
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_command\_shell\_activity\_started\_via\_rundll32.toml
https://github.com/LloydLabs/delete-self-poc/blob/49fe92218fdcfe8e173aa60a9eb307bae07cb027/main.h#L10
https://github.com/elastic/labs-releases/tree/main/nightMARE
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/initial\_access\_execution\_via\_a\_suspicious\_wmi\_client.toml
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus Report completeness: High Threats: Latrodectus Icedid Pikabot Qakbot Rook…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LATRODECTUS - это сложный и развивающийся загрузчик вредоносных программ, тесно связанный с ICEDID, обладающий расширенными возможностями, методами обхода и механизмом самоудаления. Он активно используется в киберкампаниях и представляет серьезную угрозу для организаций, что побуждает специалистов по кибербезопасности проявлять бдительность при выявлении и смягчении его последствий.
-----

LATRODECTUS - это вредоносный загрузчик, впервые обнаруженный исследователями Walmart в октябре 2023 года, набирающий популярность среди киберпреступников и демонстрирующий тесную связь с ICEDID из-за сходства в поведении и развитии. Этот загрузчик предоставляет участникам угроз различные возможности для развертывания дополнительных полезных нагрузок, включая базу кода с 11 обработчиками команд, ориентированными на перечисление и выполнение. LATRODECTUS является частью недавней тенденции создания облегченных и прямых загрузчиков, наблюдаемой специалистами по кибербезопасности.

В Elastic Security Labs отметили увеличение количества рассылок по электронной почте с рассылкой LATRODECTUS, начиная с начала марта 2024 года, в которых используются узнаваемые цепочки заражения, включающие файлы JavaScript большого размера, которые используют WMI для установки удаленного файла MSI. Поскольку другие загрузчики, такие как QBOT и ICEDID, столкнулись с закрытием или сокращением присутствия, в качестве потенциальных заменителей появляются новые, такие как PIKABOT и LATRODECTUS.

Образец вредоносной программы LATRODECTUS изначально содержит информацию о файле, маскирующуюся под компонент драйвера режима ядра Bitdefender. В нем используется простой алгоритм защиты строк и тактика, позволяющая скрыть импорт до времени выполнения. Россия- выполняя противоаналитические проверки, такие как обнаружение отладчиков и изолированных сред, LATRODECTUS обеспечивает защиту от заражения и сохранение работоспособности зараженных систем.

LATRODECTUS использует технологию самоудаления, позволяющую ему удалять себя во время выполнения процесса, чтобы препятствовать процессам реагирования на инциденты. Вредоносная программа шифрует свои запросы с помощью base64 и RC4 с помощью жестко заданного пароля и поддерживает постоянство при выполнении запланированных задач с использованием компонентной объектной модели Windows (COM). Кроме того, она поддерживает дрожание для передачи данных по маяку на сервер командования и управления, повышая скрытность за счет рандомизированных интервалов связи.

Между ICEDID и LATRODECTUS есть заметные сходства, такие как общие команды перечисления, экспорт библиотек DLL, указывающих на один и тот же адрес, и настройка запланированных задач на основе COM. Хотя исследователи окончательно не пришли к выводу о прямой взаимосвязи между этими двумя семействами, развитие LATRODECTUS может быть продолжающейся попыткой постепенно вытеснить ICEDID.

Чтобы помочь организациям обнаруживать LATRODECTUS и реагировать на него, Elastic Security разработала правила YARA и запросы для обнаружения. Кроме того, создав изолированную среду с сервером Flask, настроенным для имитации действий вредоносного ПО, защитники могут эффективно протестировать свои механизмы обнаружения и ведения журнала. Защитные функции Elastic Defend и сигнатуры памяти используются для выявления инфекций, вызванных LATRODECTUS, и реагирования на них.

Таким образом, LATRODECTUS представляет собой серьезную киберугрозу благодаря своим расширяющимся возможностям, подключениям к ICEDID и сложным методам обхода. Специалисты по кибербезопасности должны проявлять бдительность при обнаружении и устранении этого вредоносного ПО, чтобы защитить свои сети и системы от эксплуатации.
#ParsedReport #CompletenessMedium
16-05-2024

New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates

https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates

Report completeness: Medium

Threats:
Antidot
Brokewell
Chameleon
Ermac

Industry:
Financial

Geo:
German, Romanian, French, Portuguese, Russian, Spanish

TTPs:
Tactics: 4
Technics: 8

IOCs:
Url: 5
Hash: 4

Soft:
Android

Algorithms:
md5, base64, sha256, sha1
CTT Report Hub
#ParsedReport #CompletenessMedium 16-05-2024 New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что банковский троянец Android "Antidot" - это сложная угроза, нацеленная на пользователей Android по всему миру, использующая такие методы, как VNC, оверлейные атаки, кейлоггинг и связь с серверами управления. Вредоносная программа использует различные вредоносные функции для получения несанкционированного доступа к конфиденциальным данным, удаленного управления функциями устройства и выполнения оверлейных атак с целью получения учетных данных. Использование в нем шифрования и обфускации, наряду с расширяющимися возможностями, подчеркивает важность бдительности пользователей и постоянного анализа для борьбы с растущей изощренностью киберугроз.
-----

Банковский троянец Android "Antidot" выдает себя за приложение для обновления Google Play, предназначенное для пользователей Android по всему миру.

Он использует методы VNC и Overlay для кражи учетных данных, а также такие вредоносные функции, как кейлоггинг и атаки overlay.

Троянец взаимодействует со своим сервером управления через WebSocket для взаимодействия в режиме реального времени и выполнения команд, включая сбор SMS-сообщений и удаленное управление функциями устройства.

Лаборатории Cyble Research и Intelligence Labs обнаружили "Антидот", который использует оверлейные атаки в качестве основного метода сбора учетных данных и пользовательское шифрование для обфускации.

"Antidot" предлагает пользователям предоставить службе специальных возможностей разрешения на ее вредоносные действия и устанавливает связь со своим C&C-сервером через HTTP и WebSockets.

Всего он поддерживает 35 команд, начиная от базовых функций, таких как получение SMS-сообщений, и заканчивая сложными действиями, такими как инициализация активности VNC.

Вредоносная программа захватывает и передает содержимое экрана устройства с помощью функции MediaProjection и выполняет оверлейные атаки для перехвата учетных данных пользователя.

Он использует кейлоггинг для отслеживания и эксфильтрации введенных данных, кодирования и передачи их на сервер для анализа.

Эволюция банковских троянских программ для Android, таких как "Antidot", демонстрирует необходимость повышения бдительности пользователей и постоянного анализа для борьбы с растущими угрозами, связанными с вредоносными программами для мобильных устройств.