CTT Report Hub
3.39K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 15-05-2024 Unearthing APT44: Russia s Notorious Cyber Sabotage Unit Sandworm https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm Report completeness: Low Actors/Campaigns: Sandworm (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберугрозная группировка Sandworm, также известная как FROZENBARENTS и теперь обозначаемая как APT44, представляет собой значительную, постоянную и серьезную угрозу во всем мире, особенно в связи с военными и стратегическими целями России. Группировка занимается целым рядом видов деятельности, включая шпионаж, кибератаки и операции по оказанию влияния, с акцентом на поддержку российских военных целей, подрыв демократических процессов и нанесение ударов по критически важной инфраструктуре. В тексте подчеркивается обеспокоенность по поводу потенциального распространения деятельности группы другими участниками, ее влияния на глобальную безопасность и ожидаемого сохранения ее значимости в контексте киберугроз. Кроме того, в нем упоминаются усилия компаний, занимающихся кибербезопасностью, таких как Mandiant и Google, по анализу и устранению угрозы, исходящей от APT44, с помощью отчетов, улучшений безопасности и возможностей обнаружения угроз.
-----

Sandworm, также известный как FROZENBARENTS, представляет серьезную киберугрозу для Украины и действует в поддержку военных целей России.

Влияние Sandworm распространяется по всему миру, и его операции наблюдаются в ключевых политических, военных и экономических точках России.

Компания Mandiant, занимающаяся кибербезопасностью, обновила Sandworm до версии Advanced Persistent Threat (APT) под названием APT44.

APT44, предположительно спонсируемая российской военной разведкой, занимается шпионажем, кибератаками и операциями влияния, нацеливаясь на критически важные объекты инфраструктуры и правительства по всему миру.

APT44 был вовлечен в подрывную деятельность против Украины, перейдя к сбору разведывательных данных для достижения российских военных целей.

APT44 рассматривается как гибкий инструмент для продвижения национальных интересов Кремля и представляет постоянную и серьезную угрозу в глобальном масштабе.

Группа анализа угроз Google (TAG) использует результаты исследований APT44 для повышения безопасности своих продуктов и оказывает поддержку пользователям с помощью различных мер безопасности.
#ParsedReport #CompletenessHigh
16-05-2024

Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns

https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed

Report completeness: High

Threats:
Grandoreiro
Bloat_technique
Fake-trusteer

Victims:
Global banks, Tax administration service of mexico, Revenue service of argentina, South african revenue service

Industry:
Financial, Government

Geo:
Brazil, Netherlands, African, Mexico, Belgium, Spain, Chile, Russia, Czechia, Indo-pacific, Pacific, Poland, Colombia, Spanish, Latam, Argentina, Portugal, Peru, America, Africa, Portuguese, Italy, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1568, T1547, T1027, T1071, T1114, T1094, T1053, T1574, T1567, have more...

IOCs:
File: 5
Domain: 2
Registry: 2
Url: 7
Hash: 14
Email: 4
IP: 4

Soft:
Outlook, Microsoft Outlook, Windows registry, Chrome, Internet Explorer, Opera

Wallets:
electrum, coinomi

Crypto:
binance, bitcoin

Algorithms:
zip, cbc, rc4, aes, sha256

Win API:
ShellExecuteW

Languages:
javascript, delphi, pascal, python

Links:
https://github.com/AArhin/delphi-oop/blob/master/Persistence/Externals/NativeXml/extlib/eldos\_aes/ElAES.pas
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Grandoreiro banking trojan unleashed: X-Force observing emerging global campaigns https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed Report completeness: High Threats: Grandoreiro Bloat_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что IBM X-Force активно отслеживает крупномасштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, который работает как вредоносное ПО как услуга (MaaS) со сложными функциями. Троянец атакует глобальные банки в нескольких регионах, выдает себя за правительственные учреждения в разных странах, использует тактику уклонения и использует алгоритм генерации доменов (DGA) для взаимодействия с серверами управления (C2). Grandoreiro также включает в себя функции для борьбы с банковским мошенничеством, распространения Outlook и использует шифрование, чтобы избежать обнаружения. Для защиты от заражения Grandoreiro рекомендуется отслеживать сетевой трафик, блокировать домены DGA и быть осторожным с вложениями электронной почты и загрузками.
-----

IBM X-Force отслеживает масштабные фишинговые кампании, распространяющие банковский троян Grandoreiro, начиная с марта 2024 года.

Grandoreiro - это троянская программа типа "Вредоносное ПО как услуга" с расширенными возможностями расшифровки строк и генерации доменов.

Троянец нацелен на более чем 1500 глобальных банков в более чем 60 странах, при этом стратегический сдвиг в сторону выдачи себя за государственные учреждения в Мексике, Аргентине и SARS.

Троянец маскируется под значок PDF в вредоносных ZIP-файлах, распространяемых по фишинговым электронным письмам под видом срочных сообщений от государственных учреждений.

Grandoreiro проверяет подлинность жертв, собирает системную информацию, взаимодействует с серверами C2, сохраняется в реестре Windows и динамически обновляет список целевых банковских приложений на основе геолокации.

Он включает в себя алгоритм генерации домена (DGA) для связи, поддерживает различные команды и распространяется через Outlook, собирая адреса электронной почты для рассылки спама.

Для защиты его строк используется шифрование, включая пользовательские ключи шифрования и режим AES ECB для декодирования.

Рекомендации по защите от Grandoreiro включают мониторинг сетевого трафика, блокировку доменов DGA и мониторинг сохраняемости ключей запуска реестра.
#ParsedReport #CompletenessHigh
17-05-2024

Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups

https://rt-solar.ru/solar-4rays/blog/4329

Report completeness: High

Actors/Campaigns:
Obstinate_mogwai
Praying_mantis
Winnti

Threats:
Villain_tool
Empire_loader
Powerpool
Process_hacker_tool
Process_injection_technique
Credential_dumping_technique

Victims:
Russian telecom company, Government iis servers

Industry:
Healthcare, Telco, Government

Geo:
Russian, Australian, Switzerland, Usa, Asian

CVEs:
CVE-2021-27852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkbox survey (<7.0)

CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)

CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019, 2010)


TTPs:

IOCs:
File: 11
IP: 6
Command: 1
Coin: 2
Registry: 1
Hash: 9

Soft:
ASP.NET, ASP.NET MSSQL, MSSQL, Microsoft Exchange, NET framework, Event Tracing for Windows

Algorithms:
aes, sha1, base64, xor, md5, sha256

Win Services:
w3svc

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash/tree/master?tab=readme-ov-file#invoke-smbclient
https://github.com/pwntester/ysoserial.net/tree/master
https://github.com/pwntester/ysoserial.net/blob/1dba9c4416ba6e79b6b262b758fa75e2ee9008e9/ysoserial/Generators/ActivitySurrogateDisableTypeCheck.cs#L48
CTT Report Hub
#ParsedReport #CompletenessHigh 17-05-2024 Deserialization of VIEWSTATE: how an unpatched vulnerability plays into the hands of pro-government groups https://rt-solar.ru/solar-4rays/blog/4329 Report completeness: High Actors/Campaigns: Obstinate_mogwai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается использование уязвимостей десериализации VIEWSTATE в ASP.NET, особое внимание уделяется инциденту с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Злоумышленники воспользовались уязвимостью для загрузки вредоносных сборок в память, что позволило осуществлять различные вредоносные действия в целевой сети. В этом отчете содержится информация о прошлых инцидентах, связанных с уязвимостями десериализации, о патче, выпущенном Microsoft для CVE-2020-0688, и о тактике, используемой группами участников угроз, такими как Praying Mantis и APT41. В тексте также освещаются проблемы, связанные с установлением авторства, и предлагаются рекомендации по обнаружению таких атак и защите от них.
-----

В тексте обсуждается использование десериализации VIEWSTATE с акцентом на инцидент с участием команды Solar 4RAYS, расследующей атаку на российскую телекоммуникационную компанию со стороны азиатской APT-группы Obstinate Mogwai. Эта группа неоднократно атаковала организацию, используя уязвимость в области десериализации ненадежных данных в ASP.NET Параметр VIEWSTATE. Инцидент был связан с загрузкой вредоносных сборок посредством десериализации VIEWSTATE, что привело к различным вредоносным действиям в затронутой сети.

В этом обзоре представлена ретроспектива важных событий, связанных с уязвимостями десериализации в ASP.NET, включая демонстрацию уязвимостей в SharePoint и на конференциях Black Hat. В нем рассказывается о патче, выпущенном Microsoft для CVE-2020-0688, уязвимости, затрагивающей серверы Exchange, которая была использована в вредоносных целях. Несколько групп участников угроз, таких как Praying Mantis и APT41, использовали уязвимости десериализации VIEWSTATE для развертывания вредоносных программ и веб-оболочек, используя слабые места в различных системах.

В тексте подробно описываются конкретные инциденты, которые команда Solar 4RAYS наблюдала в ходе своего расследования. Они обратили внимание на выполнение команд PowerShell из процесса w3wp и развертывание злоумышленниками веб-оболочек. Злоумышленники использовали уязвимость десериализации VIEWSTATE для загрузки вредоносных сборок в память, что позволило выполнять произвольные команды. Анализ инцидента выявил сходство с тактикой, ранее использовавшейся другими группами участников угроз, подчеркнув сложность идентификации из-за совместного использования инструментов азиатскими участниками угроз.

Дальнейший анализ содержимого памяти в рабочем процессе Exchange, подвергшемся атаке, выявил сложность восстановления данных из POST-запросов, отправленных злоумышленниками. Злоумышленники обошли традиционные меры безопасности, выполнив команды PowerShell непосредственно из рабочего процесса, используя методы обфускации, чтобы избежать обнаружения. Детальный анализ вредоносных сборок в памяти позволил выявить механизм, с помощью которого выполнялись команды PowerShell, что подчеркивает важность обнаружения таких действий в режиме реального времени.

В тексте приведены индикаторы компрометации и рекомендации по обнаружению вредоносных сборок, загружаемых в память с помощью атак десериализации. Рекомендации включают мониторинг конкретных событий, связанных с загрузкой сборок и модулей, а также внедрение правил обнаружения для выявления подозрительных действий. Кроме того, в качестве превентивных мер предлагаются рекомендации по защите от атак десериализации, такие как использование VPN для защиты серверов IIS.
#ParsedReport #CompletenessMedium
17-05-2024

[Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate

https://www.ctfiot.com/182058.html

Report completeness: Medium

Actors/Campaigns:
Amdc6766 (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique

Victims:
Operation and maintenance personnel

ChatGPT TTPs:
do not use without manual check
T1195, T1566, T1071, T1059, T1547, T1105, T1574, T1090

IOCs:
File: 4
Hash: 11
IP: 2
Domain: 7

Soft:
Nginx, WeChat

Algorithms:
md5
CTT Report Hub
#ParsedReport #CompletenessMedium 17-05-2024 [Advanced Persistent Threat (APT)\] amdc6766 gang attacks, supply chain poisoning attacks escalate https://www.ctfiot.com/182058.html Report completeness: Medium Actors/Campaigns: Amdc6766 (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что организация amdc6766 black production проводила целенаправленные атаки по цепочке поставок на инструменты развертывания, используемые персоналом по эксплуатации и техническому обслуживанию. Их тактика включает использование поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете для получения широкого контроля над скомпрометированными хостами для осуществления вредоносных действий. Недавняя атака на LNMP включала в себя внедрение скрытого бэкдора Nginx, что демонстрирует сходство с предыдущими инцидентами, связанными с тактикой банды amdc6766.
-----

Разведывательная лаборатория Sangfor обнаружила в мае 2024 года атаку на LNMP, связанную с отравлением в цепочке поставок, приписываемую организации amdc6766 black production.

Злоумышленники нацелены на оперативный и обслуживающий персонал, используя такие тактические приемы, как создание поддельных страниц, заражение цепочки поставок и использование уязвимостей в Интернете.

Злоумышленники обманом заставляют пользователей загружать и запускать вредоносные средства развертывания с поддельных страниц или официальных платформ, устанавливая туннельные соединения DNS с их сервером C2.

Группа amdc6766 специализируется на компрометации средств развертывания в цепочке поставок, превращении малоценных хостов в зомби и распространении руткитов и прокси-инструментов для широкого контроля над ценными объектами.

В мае 2024 года злоумышленники использовали новый метод, загрузив и скомпилировав исходный код Nginx через LNMP, чтобы внедрить скрытый бэкдор Nginx.

Конкретные TTP, обнаруженные в наборах атак, включают использование уникальных паролей, маскировку файлов под jpg, использование специальных параметров загрузки и установки, обеспечение сохраняемости с помощью службы crond, загрузку вредоносных библиотек динамической компоновки, установление туннельных подключений DNS и использование руткитов в режиме ядра для удаленного управления UDP.

Злоумышленники уже давно нацелены на широко используемое программное обеспечение эксплуатационного и обслуживающего персонала и внедряют библиотеки динамической компоновки, руткиты и вредоносные службы crond для поддержания долгосрочного контроля над скомпрометированными хостами.
#ParsedReport #CompletenessHigh
16-05-2024

Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID

https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus

Report completeness: High

Threats:
Latrodectus
Icedid
Pikabot
Qakbot
Rook
Antidebugging_technique
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 2
Technics: 6

IOCs:
File: 15
Domain: 4
Hash: 1

Soft:
Component Object Model, Flask

Algorithms:
crc-32, sha256, prng, rc4, base64

Win API:
IsWow64Process, GetAdaptersInfo, CreateToolhelp32Snapshot, InternetReadFile, CreateProcessW, RtlRandomEx

Languages:
javascript, python

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/execution\_oversized\_windows\_script\_execution.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_oversized\_windows\_script\_execution.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_remote\_file\_execution\_via\_msiexec.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_suspicious\_msiexec\_child\_process.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_virtualprotect\_api\_call\_from\_an\_unsigned\_dll.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_shellcode\_execution\_from\_low\_reputation\_module.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/persistence\_scheduled\_task\_creation\_by\_an\_unusual\_process.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_potential\_self\_deletion\_of\_a\_running\_executable.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_network\_module\_loaded\_from\_suspicious\_unbacked\_memory.toml
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/defense\_evasion\_rundll32\_or\_regsvr32\_loaded\_a\_dll\_from\_unbacked\_memory.toml
https://github.com/mandiant/capa-rules/blob/master/anti-analysis/anti-forensic/self-deletion/self-delete-using-alternate-data-streams.yml
https://github.com/elastic/labs-releases/blob/main/tools/latrodectus/latro\_str\_decrypt.py
https://github.com/LloydLabs/delete-self-poc
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Latrodectus.yar
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/execution\_command\_shell\_activity\_started\_via\_rundll32.toml
https://github.com/LloydLabs/delete-self-poc/blob/49fe92218fdcfe8e173aa60a9eb307bae07cb027/main.h#L10
https://github.com/elastic/labs-releases/tree/main/nightMARE
https://github.com/elastic/protections-artifacts/blob/72bede645f2fbb34cf3882fa2758c896a0073c6b/behavior/rules/initial\_access\_execution\_via\_a\_suspicious\_wmi\_client.toml
CTT Report Hub
#ParsedReport #CompletenessHigh 16-05-2024 Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus Report completeness: High Threats: Latrodectus Icedid Pikabot Qakbot Rook…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LATRODECTUS - это сложный и развивающийся загрузчик вредоносных программ, тесно связанный с ICEDID, обладающий расширенными возможностями, методами обхода и механизмом самоудаления. Он активно используется в киберкампаниях и представляет серьезную угрозу для организаций, что побуждает специалистов по кибербезопасности проявлять бдительность при выявлении и смягчении его последствий.
-----

LATRODECTUS - это вредоносный загрузчик, впервые обнаруженный исследователями Walmart в октябре 2023 года, набирающий популярность среди киберпреступников и демонстрирующий тесную связь с ICEDID из-за сходства в поведении и развитии. Этот загрузчик предоставляет участникам угроз различные возможности для развертывания дополнительных полезных нагрузок, включая базу кода с 11 обработчиками команд, ориентированными на перечисление и выполнение. LATRODECTUS является частью недавней тенденции создания облегченных и прямых загрузчиков, наблюдаемой специалистами по кибербезопасности.

В Elastic Security Labs отметили увеличение количества рассылок по электронной почте с рассылкой LATRODECTUS, начиная с начала марта 2024 года, в которых используются узнаваемые цепочки заражения, включающие файлы JavaScript большого размера, которые используют WMI для установки удаленного файла MSI. Поскольку другие загрузчики, такие как QBOT и ICEDID, столкнулись с закрытием или сокращением присутствия, в качестве потенциальных заменителей появляются новые, такие как PIKABOT и LATRODECTUS.

Образец вредоносной программы LATRODECTUS изначально содержит информацию о файле, маскирующуюся под компонент драйвера режима ядра Bitdefender. В нем используется простой алгоритм защиты строк и тактика, позволяющая скрыть импорт до времени выполнения. Россия- выполняя противоаналитические проверки, такие как обнаружение отладчиков и изолированных сред, LATRODECTUS обеспечивает защиту от заражения и сохранение работоспособности зараженных систем.

LATRODECTUS использует технологию самоудаления, позволяющую ему удалять себя во время выполнения процесса, чтобы препятствовать процессам реагирования на инциденты. Вредоносная программа шифрует свои запросы с помощью base64 и RC4 с помощью жестко заданного пароля и поддерживает постоянство при выполнении запланированных задач с использованием компонентной объектной модели Windows (COM). Кроме того, она поддерживает дрожание для передачи данных по маяку на сервер командования и управления, повышая скрытность за счет рандомизированных интервалов связи.

Между ICEDID и LATRODECTUS есть заметные сходства, такие как общие команды перечисления, экспорт библиотек DLL, указывающих на один и тот же адрес, и настройка запланированных задач на основе COM. Хотя исследователи окончательно не пришли к выводу о прямой взаимосвязи между этими двумя семействами, развитие LATRODECTUS может быть продолжающейся попыткой постепенно вытеснить ICEDID.

Чтобы помочь организациям обнаруживать LATRODECTUS и реагировать на него, Elastic Security разработала правила YARA и запросы для обнаружения. Кроме того, создав изолированную среду с сервером Flask, настроенным для имитации действий вредоносного ПО, защитники могут эффективно протестировать свои механизмы обнаружения и ведения журнала. Защитные функции Elastic Defend и сигнатуры памяти используются для выявления инфекций, вызванных LATRODECTUS, и реагирования на них.

Таким образом, LATRODECTUS представляет собой серьезную киберугрозу благодаря своим расширяющимся возможностям, подключениям к ICEDID и сложным методам обхода. Специалисты по кибербезопасности должны проявлять бдительность при обнаружении и устранении этого вредоносного ПО, чтобы защитить свои сети и системы от эксплуатации.
#ParsedReport #CompletenessMedium
16-05-2024

New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates

https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates

Report completeness: Medium

Threats:
Antidot
Brokewell
Chameleon
Ermac

Industry:
Financial

Geo:
German, Romanian, French, Portuguese, Russian, Spanish

TTPs:
Tactics: 4
Technics: 8

IOCs:
Url: 5
Hash: 4

Soft:
Android

Algorithms:
md5, base64, sha256, sha1
CTT Report Hub
#ParsedReport #CompletenessMedium 16-05-2024 New Antidot Android Banking Trojan Masquerading as Fake Google Play Updates https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что банковский троянец Android "Antidot" - это сложная угроза, нацеленная на пользователей Android по всему миру, использующая такие методы, как VNC, оверлейные атаки, кейлоггинг и связь с серверами управления. Вредоносная программа использует различные вредоносные функции для получения несанкционированного доступа к конфиденциальным данным, удаленного управления функциями устройства и выполнения оверлейных атак с целью получения учетных данных. Использование в нем шифрования и обфускации, наряду с расширяющимися возможностями, подчеркивает важность бдительности пользователей и постоянного анализа для борьбы с растущей изощренностью киберугроз.
-----

Банковский троянец Android "Antidot" выдает себя за приложение для обновления Google Play, предназначенное для пользователей Android по всему миру.

Он использует методы VNC и Overlay для кражи учетных данных, а также такие вредоносные функции, как кейлоггинг и атаки overlay.

Троянец взаимодействует со своим сервером управления через WebSocket для взаимодействия в режиме реального времени и выполнения команд, включая сбор SMS-сообщений и удаленное управление функциями устройства.

Лаборатории Cyble Research и Intelligence Labs обнаружили "Антидот", который использует оверлейные атаки в качестве основного метода сбора учетных данных и пользовательское шифрование для обфускации.

"Antidot" предлагает пользователям предоставить службе специальных возможностей разрешения на ее вредоносные действия и устанавливает связь со своим C&C-сервером через HTTP и WebSockets.

Всего он поддерживает 35 команд, начиная от базовых функций, таких как получение SMS-сообщений, и заканчивая сложными действиями, такими как инициализация активности VNC.

Вредоносная программа захватывает и передает содержимое экрана устройства с помощью функции MediaProjection и выполняет оверлейные атаки для перехвата учетных данных пользователя.

Он использует кейлоггинг для отслеживания и эксфильтрации введенных данных, кодирования и передачи их на сервер для анализа.

Эволюция банковских троянских программ для Android, таких как "Antidot", демонстрирует необходимость повышения бдительности пользователей и постоянного анализа для борьбы с растущими угрозами, связанными с вредоносными программами для мобильных устройств.
#ParsedReport #CompletenessMedium
16-05-2024

Analysis of APT attack cases targeting domestic companies using Dora RAT (Andariel Group)

https://asec.ahnlab.com/ko/65495

Report completeness: Medium

Actors/Campaigns:
Andariel (motivation: financially_motivated)
Lazarus
Kimsuky

Threats:
Dora_rat
Nestdoor
Log4shell_vuln
Tiger_rat
Threadneedle_tool
Spear-phishing_technique
Watering_hole_technique
Trojan/win.injector.c5610655
Trojan/win.agent.c5610733
Dropper/win.agent.c5610793
Dropper/win.agent.c5610654
Trojan/win.keylogger.c5610642
Trojan/win.launcher.c5622509
Trojan/win.pws.c5068848
Malware/mdp.fraud.m800

Victims:
Domestic manufacturing companies, Construction companies, Educational institutions

Geo:
German, Korea

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1203, T1071, T1105, T1027, T1056, T1564, T1555, T1547, have more...

IOCs:
File: 13
Hash: 13
IP: 3
Domain: 1

Soft:
VMware Horizon, task scheduler

Algorithms:
md5