#ParsedReport #CompletenessLow
01-09-2024

The PolySwarm Blog

https://blog.polyswarm.io/devpopper-campaign-targets-software-developers

Report completeness: Low

Actors/Campaigns:
Dev_popper

Victims:
Software developers

Industry:
Software_development

Geo:
America, North korean, North korea, Middle east, Korea

ChatGPT TTPs:
do not use without manual check
T1059.007, T1059.006, T1083, T1059, T1082

IOCs:
Hash: 4

Soft:
MacOS, curl, Node.js

Algorithms:
zip

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания социальной инженерии нацелена на разработчиков программного обеспечения и распространяет троянскую программу удаленного доступа (RAT) на базе Python под названием DevPopper. Участники кампании изменили свою тактику, в результате чего появился новый вариант DevPopper с расширенными возможностями для атак на устройства Linux, Windows и macOS. Кампания включает в себя маскировку под потенциальных работодателей во время фальшивых собеседований, инструктаж разработчиков о загрузке и выполнении кода, который устанавливает вредоносное ПО для удаленного доступа к компьютеру жертвы. DevPopper способен собирать системную информацию, устанавливать соединения для удаленного управления, выполнять удаленные команды, вести кейлоггинг и многое другое. Злоумышленники расширили сферу своей деятельности и внедрили дополнительные варианты вредоносных программ, в последней версии DevPopper появились расширенные функциональные возможности FTP, улучшенное шифрование для передачи файлов, поддержка нескольких операционных систем, улучшенное кодирование и возможности кражи учетных данных. Несколько организаций, занимающихся обеспечением безопасности, выявили и собрали образцы, связанные с этой кампанией.
-----

Продолжающаяся кампания социальной инженерии, нацеленная на разработчиков программного обеспечения с помощью трояна удаленного доступа на базе Python под названием DevPopper.

Злоумышленники, выдающие себя за подставных работодателей, проводят собеседования с разработчиками программного обеспечения, чтобы обманом заставить их загрузить и запустить вредоносное ПО.

DevPopper использует многоступенчатую цепочку заражения с тактикой, сильно зависящей от социальной инженерии.

Процесс заражения включает загрузку ZIP-файла, содержащего пакет NPM, выполнение запутанного файла JavaScript и получение последующей полезной нагрузки с сервера C2.

Возможности DevPopper включают сбор данных, удаленный доступ, создание сетей, постоянные подключения, исследование файловой системы, выполнение команд, ведение журнала в буфере обмена и кейлоггинге.

Недавнее обновление показывает, что злоумышленники адаптируют TTP для устройств с Linux, Windows и macOS, вводя дополнительные варианты вредоносного ПО.

Последняя версия DevPopper включает расширенную функциональность FTP, улучшенную передачу зашифрованных файлов, поддержку нескольких ОС, улучшенное кодирование и запутывание, обход каталогов и кражу учетных данных.

PolySwarm собрала несколько образцов DevPopper, что указывает на широко распространенную угрозу.

Аналитики по безопасности посоветовали использовать специальные команды CLI для поиска образцов DevPopper для анализа и устранения неполадок.

#ParsedReport #CompletenessLow
01-09-2024

Malware created by North Korean hacking group Konni (Koni) - integration.pdf.lnk (2024.8.22)

https://wezard4u.tistory.com/429260

Report completeness: Low

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Phonzy
Boxter
Powecod
Artemis
Remcos_rat

Geo:
North korean, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1027, T1486

IOCs:
File: 3
Hash: 3
Url: 1

Algorithms:
xor, zip, md5, base64, sha256, sha1

Win API:
decompress

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Integration.pdf.lnk - это вредоносный файл, связанный с северокорейской хакерской группой Konni, известной своими изощренными методами и связями с другими северокорейскими хакерскими группами. Файл содержит полезную нагрузку, которая при запуске загружает и сохраняет дополнительные вредоносные файлы в папке AppData пользователя, используя скрипт AutoIt для выполнения своих вредоносных действий. Многие поставщики систем безопасности определяют это вредоносное ПО как троянскую программу из-за его сложной и запутанной природы.
-----

Integration.pdf.lnk (2024.8.22) - это вредоносный файл, связанный с северокорейской хакерской группой Konni, первоначально идентифицированный исследователями Cisco Talos в 2017 году. Конни связан с Thallium, APT 37 и, возможно, Kimsuky - всеми известными северокорейскими хакерскими группами, действующими под эгидой Главного разведывательного управления. Вредоносный файл имеет размер 122 КБ и хэш-значения MD5: ffde299028d48cb2258d274f44d56766, SHA-1: 678fe2a8a01339138194a70763d69d18d2772beb и SHA-256: 3a37c34e5b677b4388176fdcb41ce5c8971f6dc82116adc99309ca744c58ba66.

Когда файл malware LNK открывается, в нем обнаруживается содержимое, закодированное в Base64. Файл был загружен с hxxp://2(.)58(.)56(.)124/ API481f(.)zip и использует технологию загрузки и сохранения ZIP-файлов в папке AppData пользователя. Вредоносная программа распаковывает загруженный ZIP-файл и сохраняет его содержимое в папке AppData. Вредоносные действия выполняются с помощью AutoIt3.exe и файла скрипта с именем script(.)a3x. Скрипт создает несколько графических пользовательских интерфейсов и шифрует входные данные с помощью указанного ключа. Зашифрованные команды выполняются в скрипте AutoIt с помощью функции Execute.

Различные поставщики систем безопасности обнаруживают вредоносное ПО как различные типы троянских программ. В это вредоносное ПО включены многие функции, характерные для угроз, основанных на AutoIt. В версиях для компиляции сценариев AutoIt используются магические строки EA06 и 90C01. Это указывает на то, что вредоносная программа является сложной и использует методы обфускации, чтобы избежать обнаружения.

#ParsedReport #CompletenessMedium
01-09-2024

North Korean threat actor Citrine Sleet exploiting Chromium zero-day

https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day

Report completeness: Medium

Actors/Campaigns:
Lazarus
Bluenoroff

Threats:
Fudmodule_rootkit
Byovd_technique
Kaolin_rat

Industry:
Government, Entertainment

Geo:
North korea, North korean

CVEs:
CVE-2024-4947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.60)

CVE-2024-21338 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...
CVE-2024-38193 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2024-5274 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.112)

CVE-2024-38106 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2024-7971 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)


ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1068, T1003, T1059, T1105, T1562, T1189, T1071

IOCs:
Domain: 2
File: 2

Soft:
Chromium, Microsoft Defender for Endpoint, Microsoft Defender, Windows kernel, Google Chrome, Microsoft Edge

Algorithms:
aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейский злоумышленник, идентифицированный Microsoft, использовал уязвимость нулевого дня в Chromium, известную как CVE-2024-7971, для удаленного выполнения кода (RCE) с целью получения финансовой выгоды в секторе криптовалют. Исполнитель угрозы, Цитрин Слит, связана с бюро 121 Главного разведывательного управления Северной Кореи и использует тактику социальной инженерии для нападения на финансовые учреждения и частных лиц, связанных с криптовалютой. В тексте подчеркивается важность обновления программного обеспечения для предотвращения подобных киберугроз и даются рекомендации по защите от этих атак.
-----

Microsoft выявила северокорейского злоумышленника, который использовал уязвимость нулевого дня в Chromium, теперь известную как CVE-2024-7971, для удаленного выполнения кода (RCE) 19 августа 2024 года. Эта деятельность была нацелена на криптовалютный сектор с целью получения финансовой выгоды, и средняя степень уверенности была приписана Citrine Sleet, северокорейской организации, известной своими атаками на финансовые учреждения и частных лиц, занимающихся управлением криптовалютами. Руткит FudModule, использованный в этой атаке, также был связан с Diamond Sleet, другим северокорейским агентом, создающим угрозы, что указывает на общую инфраструктуру и инструменты между этими группами.

CVE-2024-7971 - это уязвимость, вызывающая путаницу типов в движке JavaScript и WebAssembly версии 8, которая затрагивает более ранние версии Chromium до 128.0.6613.84. Использование этой уязвимости может позволить злоумышленникам достичь RCE в изолированном процессе рендеринга Chromium. 21 августа 2024 года Google выпустила исправление для этой уязвимости. Кроме того, это уже третья уязвимость типа путаницы в версии 8, используемая в этом году, что подчеркивает важность поддержания программного обеспечения в актуальном состоянии.

Citrine Sleet, также известный как AppleJeus, Labyrinth Chollima, UNC4736 и Hidden Cobra, связан с бюро 121 Главного разведывательного управления Северной Кореи. Этот злоумышленник в основном использует тактику социальной инженерии, например, создает поддельные платформы для торговли криптовалютами для распространения вредоносных инструментов, таких как криптокошельки с оружием. Одним из последствий стало использование организации, ранее ставшей мишенью Sapphire Sleet.

Атака Citrine Sleet проводилась по типичной цепочке браузерных эксплойтов, направляя цели на контролируемый домен, где использовался эксплойт RCE нулевого дня для CVE-2024-7971. Атака также включала в себя эксплойт sandbox escape и развертывание руткита FudModule, который использует технологии DKOM для манипулирования объектами ядра. Несмотря на успешное использование, на целевых устройствах не наблюдалось дополнительной активности вредоносного ПО.

FudModule - это сложная вредоносная программа-руткит, которая нацелена на доступ к ядру, избегая обнаружения. Diamond Sleet использует FudModule с октября 2021 года с обновленным вариантом, известным как "FudModule 2.0", который включает вредоносные загрузчики и троянскую программу удаленного доступа (RAT), такую как Kaolin RAT. Этот вариант использует уязвимость нулевого дня в appid.sys, что делает ее очень сложной для обнаружения.

Для устранения этих угроз крайне важно поддерживать операционные системы и приложения в актуальном состоянии, своевременно устанавливать исправления безопасности и обеспечивать использование обновленных веб-браузеров, таких как Google Chrome и Microsoft Edge. Кроме того, включение защиты от несанкционированного доступа и защиты сети в Microsoft Defender для Endpoint может помочь блокировать вредоносные артефакты и снизить риск взломов. Клиенты Майкрософт могут получать доступ к отчетам в продуктах Майкрософт для получения аналитических данных, сведений о защите и практических рекомендаций по предотвращению, смягчению последствий или реагированию на связанные с ними угрозы.

#ParsedReport #CompletenessLow
01-09-2024

The Emerging Dynamics of Deepfake Scam Campaigns on the Web

https://unit42.paloaltonetworks.com/dynamics-of-deepfake-scams

Report completeness: Low

Industry:
Energy, Financial, Government, Petroleum

Geo:
Mexico, Czechia, Russian, Netherlands, Australian, Kazakhstan, Canada, Singapore, Czech, Turkish, France, French, India, Spanish, Italy, Uzbekistan, Turkey, Ukrainian, Italian, Russia, Canadian, Mexican

ChatGPT TTPs:
do not use without manual check
T1078, T1566.002

IOCs:
Domain: 420
Url: 22

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается о мошенничестве с квантовым ИИ, которое заключается в использовании поддельных видеороликов общественных деятелей для продвижения инвестиционных схем и фишинговых атак. Мошенники используют рекламу в социальных сетях и поддельные новостные статьи, чтобы перенаправить жертв на мошеннические веб-страницы, запрашивающие контактную информацию. Многочисленные мошеннические кампании с использованием поддельных видеороликов нацелены на жертв по всему миру, на разных языках и в разных странах. Несмотря на использование искусственного интеллекта, традиционные методы расследования эффективны для выявления инфраструктуры хостинга, используемой злоумышленниками. Расширенная фильтрация URL-адресов от Palo Alto Networks помогает обнаруживать и блокировать веб-сайты, распространяющие мошеннические кампании на основе deepfake. Распространение технологии deepfake в вредоносных целях выходит за рамки мошенничества с квантовым ИИ: киберпреступники используют ее для выдачи себя за общественных деятелей и проведения мошеннических и фишинговых атак. Организации должны активно защищаться от атак с использованием deepfake, отслеживая и расследуя такие кампании для защиты от мошенничества и дезинформации.
-----

Мошенничество с квантовым ИИ включает в себя подделку видеороликов общественных деятелей для продвижения инвестиционных схем и фишинговых атак.

Мошенники используют рекламу в социальных сетях и поддельные новостные статьи, чтобы перенаправить жертв на мошеннические веб-сайты.

Многочисленные мошеннические кампании с использованием фальшивых видеороликов на разных языках были нацелены на жертв в таких странах, как Канада, Мексика, Франция, Италия и Турция.

Исследователи выявили сотни доменов, продвигающих эти кампании, к каждому из которых по всему миру обращались в среднем 114 000 раз.

Традиционные методы расследования эффективны при выявлении хостинговой инфраструктуры, используемой участниками угроз.

Кампания Quantum AI привела к обнаружению дополнительных кампаний по глубокой фальсификации, проводимых одной и той же группой участников угроз и использующих различные стратегии таргетинга.

Расширенная фильтрация URL-адресов Palo Alto Networks позволяет обнаруживать и блокировать веб-сайты, распространяющие мошеннические кампании на основе deepfake.

Было обнаружено, что мошеннические веб-сайты, размещающие поддельные видеоролики в качестве приманки, делятся идентичным контентом, что указывает на скоординированные крупные кампании, проводимые одной группой участников угроз.

Киберпреступники используют технологию глубокой подделки, чтобы выдавать себя за таких общественных деятелей, как Илон Маск, Билл Гейтс и Уоррен Баффет, для совершения мошеннических и фишинговых атак.

Организациям необходимо постоянно отслеживать и расследовать мошеннические кампании, основанные на глубокой подделке, для защиты от мошенничества и дезинформации.

#ParsedReport #CompletenessLow
01-09-2024

Ransomware Roundup - Underground

https://www.fortinet.com/blog/threat-research/ransomware-roundup-underground

Report completeness: Low

Actors/Campaigns:
Void_rabisu

Threats:
Underground_ransomware
Shadow_copies_delete_technique

Industry:
Financial, Healthcare

Geo:
Russia, Germany, Slovakia, Korea, Taiwan, Usa, Spain, Canada, Singapore, France

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20107)
- microsoft windows 10 1607 (<10.0.14393.6167)
- microsoft windows 10 1809 (<10.0.17763.4737)
- microsoft windows 10 21h2 (<10.0.19044.3324)
- microsoft windows 10 22h2 (<10.0.19044.3324)
have more...

ChatGPT TTPs:
do not use without manual check
T1486, T1070.001, T1490, T1070.004, T1071.001, T1566.001

IOCs:
Command: 1
File: 3
Registry: 1
Hash: 6

Soft:
Microsoft Office, MS SQL, Telegram

Win Services:
MSSQLSERVER

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В обзорном отчете FortiGuard Labs о программах-вымогателях освещается появление подпольных программ-вымогателей, подробно описываются их характеристики, тактика, используемая группой, создающей угрозы (RomCom group), и важность мер безопасности, таких как своевременное внесение исправлений, для устранения угроз со стороны программ-вымогателей.
-----

FortiGuard Labs отслеживает варианты программ-вымогателей, которые набирают популярность в своих наборах данных и в сообществе OSINT. В отчете Roundup Ransomware представлена информация об изменяющемся ландшафте программ-вымогателей и представлены решения Fortinet, которые обеспечивают защиту от этих угроз. Недавний выпуск обзора программ-вымогателей посвящен подпольным программам-вымогателям.

Программа-вымогатель Underground была впервые обнаружена в начале июля 2023 года на общедоступном сайте для сканирования файлов. Примерно в то же время, 13 июля 2023 года, была опубликована первая утечка данных о жертве. Эта программа-вымогатель, как и ее типичные варианты, шифрует файлы в системах Windows и требует выкуп за расшифровку с помощью отправленных сообщений о выкупе.

Согласно сообщениям, подпольная программа-вымогатель внедряется группой компаний RomCom, также известной как Storm-0978, базирующейся в России. Эта группа угроз использует CVE-2023-36884 (уязвимость Microsoft Office и Windows HTML RCE) в качестве потенциального источника заражения для программ-вымогателей. 13 июля 2024 года лаборатория FortiGuard выпустила предупреждение о вспышке CVE-2023-36884.

После запуска программа-вымогатель Underground удаляет теневые копии и изменяет максимальное время активности для сеансов удаленного рабочего стола/терминального сервера. Она также генерирует уведомление о требовании с именем "!!readme!!!.txt" и выполняет различные задачи, такие как шифрование файлов без изменения расширений, выполнение temp.cmd для определенных действий и удаление журналов событий Windows.

Программа-вымогатель Underground использует сайт для утечки данных, где публикуется информация о жертвах, включая украденные данные. На момент публикации отчета в списке было 16 жертв, последняя публикация была опубликована 3 июля 2024 года. Жертвами становятся представители различных отраслей, а на сайте утечки данных представлен список отраслей, на которые нацелена группа вымогателей. Кроме того, у группы есть канал в Telegram, созданный 21 марта 2024 года, с помощью которого они предоставляют доступ к украденным данным в облачном сервисе хранения Mega.

Подводя итог, можно сказать, что программа-вымогатель Underground представляет собой серьезную угрозу, поскольку известно об использовании уязвимостей, активных утечках данных и склонности нацеливаться на жертв в различных отраслях. Организациям настоятельно рекомендуется сохранять бдительность и принимать надежные меры безопасности для снижения рисков, связанных с атаками программ-вымогателей.

Отчет проливает свет на тактику и методы, используемые группой RomCom для развертывания программы-вымогателя Underground, подчеркивает важность своевременного исправления для предотвращения использования уязвимостей, подобных CVE-2023-36884, и подчеркивает необходимость принятия упреждающих мер безопасности для защиты от появляющихся угроз со стороны программ-вымогателей.

#ParsedReport #CompletenessLow
01-09-2024

Malware disguised as an invoice for the construction of the expressway No. 29 between Sejong and Anseong by Kimsuky - Dox Enterprise 20240610 invoice.bmp.lnk (2024.7.30)

https://wezard4u.tistory.com/429261

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Pantera
Powecod
Quickheal
Artemis

Victims:
Dox enterprise, Doyang enterprise

Industry:
Military

ChatGPT TTPs:
do not use without manual check
T1105, T1059.001, T1027, T1053.005, T1070.004

IOCs:
File: 3
Hash: 5

Soft:
chrome

Algorithms:
sha1, md5, sha256

Functions:
GetTempPath

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается вредоносная кампания, замаскированная под поддельные счета-фактуры, связанные со строительным проектом, использующая такие методы, как код PowerShell и расшифровка base64, для использования уязвимостей в системе безопасности и кражи конфиденциальной информации у субподрядчиков.
-----

В тексте обсуждается вредоносная кампания, связанная со счетом-фактурой на строительство участка Седжонг-Ансонг Национального шоссе № 29, предположительно от компании Kimsuky - Dox Enterprise. Вредоносное ПО замаскировано под BMP-файл, но на самом деле является файлом lnk. Сжатый файл называется 1.zip размером 6,14 КБ и хэш-значениями MD5: 4ac2192b01fce9e793f544d09877d16b, SHA-1: d83f47dfe20c38ccec3b9869f644fd4c128a94d0 и SHA-256: 3d3cc980ccf97cde5f3272fdc4c88569b77afe3f88e2e62186861daae99644d0. Соответствующий вредоносный файл с именем Doyang Enterprise 20240610 Invoice Gapji.bmp.lnk имеет размер 310 КБАЙТ и содержит хэш-значения MD5: 09b1213c8a336541a4849d65b937293f, SHA-1: 9e6e4ecaea18171e2266899f1bffda5de1091a2f и SHA-256: 44ff60d352169f280801cf2075295aab0a6151ff8f77b66d16c82776efce7fea.

Вредоносная программа использует код PowerShell и расшифровку base64 в вредоносных файлах для своих операций. Он распространяется в виде поддельного BMP-файла с именем Doyang Enterprise 20240608 Invoice Gapji(.)bmp, полученного по ссылке из Dropbox и запускаемого при загрузке. Вредоносная программа включает в себя вредоносный скрипт под названием chrome(.)ps, замаскированный под связанный с браузером Chrome, который настроен на запуск каждые 30 минут с помощью запланированной задачи под названием ChromeUpdateCoreTaskMachineKOR в скрытом режиме. Кроме того, другой вредоносный скрипт с именем system_first(.)ps1 загружается, запускается и быстро удаляется, чтобы избежать обнаружения, маскируясь под транзакционный отчет. Основная цель вредоносного ПО - использовать уязвимости в системах безопасности субподрядчиков для кражи конфиденциальной информации.

Таким образом, вредоносная кампания включает распространение вредоносных файлов, замаскированных под законные счета-фактуры, связанные со строительным проектом. Файлы выглядят как изображения в формате BMP, но на самом деле являются файлами lnk, содержащими вредоносное ПО. Вредоносное ПО использует различные методы, такие как код PowerShell и декодирование base64 для своих операций. Он предназначен для периодического выполнения с помощью вводящих в заблуждение скриптов с именами chrome(.)ps и system_first(.)ps1, целью которых является утечка конфиденциальных данных путем использования слабых мест в мерах безопасности субподрядчиков.

#ParsedReport #CompletenessMedium
01-09-2024

Kimsuky VBS RAT Malware Analysis Report

https://m.blog.naver.com/nurilab1/223556640169

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Babyshark
Spear-phishing_technique
Qshing_technique

Victims:
Korean university faculty, University professors

Industry:
Education

Geo:
North korean, Korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1070.004, T1059.005, T1027

IOCs:
File: 7
IP: 1
Hash: 7
Path: 1

Soft:
Gmail

Algorithms:
md5, sha1, sha256, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе скрипта VBS RAT, связанного с вредоносным ПО BabyShark, и его использовании в кибератаке на преподавателей Корейского университета группой разработчиков угроз Kimsuky. В нем рассказывается о методологии атаки, включающей в себя фишинговые электронные письма, вводящие в заблуждение ссылки, передачу данных на сервер командно-диспетчерского управления, а также о возможностях скрипта RAT для кражи данных и выполнения дополнительных вредоносных программ. В тексте также подчеркивается важность надежных мер кибербезопасности и постоянного обновления системы безопасности для эффективного противодействия возникающим киберугрозам, особенно для таких важных секторов, как научные круги.
-----

В отчете Nurilab Tech по анализу вредоносного ПО Kimsuky VBS RAT, опубликованном в отчете Nurilab Tech по анализу вредоносного ПО Kimsuky VBS RAT, обнаружен скрипт VBS RAT, предположительно связанный с вредоносным ПО BabyShark, который был использован в недавней атаке на преподавателей Корейского университета группой разработчиков угроз Kimsuky 31 июля. Методология атаки заключалась в рассылке фишинговых электронных писем с использованием инструмента SendMail, модифицированного PHPMailer, на почтовые аккаунты Gmail и Daum. Эти электронные письма содержали обманчивую ссылку, замаскированную под логин Naver или университетский портал. Получателям, которые переходили по ссылке, предлагалось открыть PDF-файл, что запускало выполнение вредоносной программы BabyShark и загружало текущий образец в целевую систему. Впоследствии вредоносная программа устанавливала соединения с сервером управления (C2) для сбора данных. Скрипт VBS установил ранее проанализированный RAT на взломанную систему, предоставив ей возможность считывать и передавать все файлы и диски, что позволило осуществить кражу данных. Кроме того, скрипт RAT включал функции загрузки и выполнения, облегчающие передачу и выполнение дополнительных вредоносных программ или скриптов. Кроме того, скрипт обладал функцией удаления, позволяющей удалять файлы после выполнения, чтобы скрыть нарушение от жертв.

В контексте этой кибератаки северокорейская группа кибершпионажа Kimsuky предположительно была ответственна за нападение на университетских профессоров. В отчете The Hacker News указывалось на использование бэкдоров PowerShell, ранее обнаруженных в вредоносном ПО DropBox, в рамках кампании BabyShark, проводимой группой Kimsuky. Инструмент AskURL от Nurilab сыграл важную роль в быстром обнаружении и анализе фишингового сайта, выдающего себя за Naver. Функциональность AskURL включает в себя обнаружение различных киберугроз в режиме реального времени, включая фишинг, smishing и qshing, на таких платформах, как веб-почта, SMS и приложения для обмена сообщениями.

Обнаружение этого скрипта VBS RAT проливает свет на сложные методы, используемые злоумышленниками, такими как Kimsuky, для проведения целенаправленных кибератак. Сложная цепочка атак, включающая в себя фишинговые электронные письма, перенаправление вредоносных ссылок и сложные вредоносные программы, подчеркивает важность надежных мер кибербезопасности, таких как фильтрация электронной почты, повышение осведомленности пользователей и защита конечных точек, для снижения рисков, связанных с такими угрозами. Организациям, особенно работающим в академических кругах или других отраслях с высокой добавленной стоимостью, следует сохранять бдительность в отношении таких угроз и постоянно обновлять свои средства защиты, чтобы эффективно противостоять возникающим киберугрозам.