#ParsedReport #CompletenessLow
01-09-2024

Malware disguised as an invoice for the construction of the expressway No. 29 between Sejong and Anseong by Kimsuky - Dox Enterprise 20240610 invoice.bmp.lnk (2024.7.30)

https://wezard4u.tistory.com/429261

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Pantera
Powecod
Quickheal
Artemis

Victims:
Dox enterprise, Doyang enterprise

Industry:
Military

ChatGPT TTPs:
do not use without manual check
T1105, T1059.001, T1027, T1053.005, T1070.004

IOCs:
File: 3
Hash: 5

Soft:
chrome

Algorithms:
sha1, md5, sha256

Functions:
GetTempPath

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается вредоносная кампания, замаскированная под поддельные счета-фактуры, связанные со строительным проектом, использующая такие методы, как код PowerShell и расшифровка base64, для использования уязвимостей в системе безопасности и кражи конфиденциальной информации у субподрядчиков.
-----

В тексте обсуждается вредоносная кампания, связанная со счетом-фактурой на строительство участка Седжонг-Ансонг Национального шоссе № 29, предположительно от компании Kimsuky - Dox Enterprise. Вредоносное ПО замаскировано под BMP-файл, но на самом деле является файлом lnk. Сжатый файл называется 1.zip размером 6,14 КБ и хэш-значениями MD5: 4ac2192b01fce9e793f544d09877d16b, SHA-1: d83f47dfe20c38ccec3b9869f644fd4c128a94d0 и SHA-256: 3d3cc980ccf97cde5f3272fdc4c88569b77afe3f88e2e62186861daae99644d0. Соответствующий вредоносный файл с именем Doyang Enterprise 20240610 Invoice Gapji.bmp.lnk имеет размер 310 КБАЙТ и содержит хэш-значения MD5: 09b1213c8a336541a4849d65b937293f, SHA-1: 9e6e4ecaea18171e2266899f1bffda5de1091a2f и SHA-256: 44ff60d352169f280801cf2075295aab0a6151ff8f77b66d16c82776efce7fea.

Вредоносная программа использует код PowerShell и расшифровку base64 в вредоносных файлах для своих операций. Он распространяется в виде поддельного BMP-файла с именем Doyang Enterprise 20240608 Invoice Gapji(.)bmp, полученного по ссылке из Dropbox и запускаемого при загрузке. Вредоносная программа включает в себя вредоносный скрипт под названием chrome(.)ps, замаскированный под связанный с браузером Chrome, который настроен на запуск каждые 30 минут с помощью запланированной задачи под названием ChromeUpdateCoreTaskMachineKOR в скрытом режиме. Кроме того, другой вредоносный скрипт с именем system_first(.)ps1 загружается, запускается и быстро удаляется, чтобы избежать обнаружения, маскируясь под транзакционный отчет. Основная цель вредоносного ПО - использовать уязвимости в системах безопасности субподрядчиков для кражи конфиденциальной информации.

Таким образом, вредоносная кампания включает распространение вредоносных файлов, замаскированных под законные счета-фактуры, связанные со строительным проектом. Файлы выглядят как изображения в формате BMP, но на самом деле являются файлами lnk, содержащими вредоносное ПО. Вредоносное ПО использует различные методы, такие как код PowerShell и декодирование base64 для своих операций. Он предназначен для периодического выполнения с помощью вводящих в заблуждение скриптов с именами chrome(.)ps и system_first(.)ps1, целью которых является утечка конфиденциальных данных путем использования слабых мест в мерах безопасности субподрядчиков.

#ParsedReport #CompletenessMedium
01-09-2024

Kimsuky VBS RAT Malware Analysis Report

https://m.blog.naver.com/nurilab1/223556640169

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Babyshark
Spear-phishing_technique
Qshing_technique

Victims:
Korean university faculty, University professors

Industry:
Education

Geo:
North korean, Korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1070.004, T1059.005, T1027

IOCs:
File: 7
IP: 1
Hash: 7
Path: 1

Soft:
Gmail

Algorithms:
md5, sha1, sha256, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе скрипта VBS RAT, связанного с вредоносным ПО BabyShark, и его использовании в кибератаке на преподавателей Корейского университета группой разработчиков угроз Kimsuky. В нем рассказывается о методологии атаки, включающей в себя фишинговые электронные письма, вводящие в заблуждение ссылки, передачу данных на сервер командно-диспетчерского управления, а также о возможностях скрипта RAT для кражи данных и выполнения дополнительных вредоносных программ. В тексте также подчеркивается важность надежных мер кибербезопасности и постоянного обновления системы безопасности для эффективного противодействия возникающим киберугрозам, особенно для таких важных секторов, как научные круги.
-----

В отчете Nurilab Tech по анализу вредоносного ПО Kimsuky VBS RAT, опубликованном в отчете Nurilab Tech по анализу вредоносного ПО Kimsuky VBS RAT, обнаружен скрипт VBS RAT, предположительно связанный с вредоносным ПО BabyShark, который был использован в недавней атаке на преподавателей Корейского университета группой разработчиков угроз Kimsuky 31 июля. Методология атаки заключалась в рассылке фишинговых электронных писем с использованием инструмента SendMail, модифицированного PHPMailer, на почтовые аккаунты Gmail и Daum. Эти электронные письма содержали обманчивую ссылку, замаскированную под логин Naver или университетский портал. Получателям, которые переходили по ссылке, предлагалось открыть PDF-файл, что запускало выполнение вредоносной программы BabyShark и загружало текущий образец в целевую систему. Впоследствии вредоносная программа устанавливала соединения с сервером управления (C2) для сбора данных. Скрипт VBS установил ранее проанализированный RAT на взломанную систему, предоставив ей возможность считывать и передавать все файлы и диски, что позволило осуществить кражу данных. Кроме того, скрипт RAT включал функции загрузки и выполнения, облегчающие передачу и выполнение дополнительных вредоносных программ или скриптов. Кроме того, скрипт обладал функцией удаления, позволяющей удалять файлы после выполнения, чтобы скрыть нарушение от жертв.

В контексте этой кибератаки северокорейская группа кибершпионажа Kimsuky предположительно была ответственна за нападение на университетских профессоров. В отчете The Hacker News указывалось на использование бэкдоров PowerShell, ранее обнаруженных в вредоносном ПО DropBox, в рамках кампании BabyShark, проводимой группой Kimsuky. Инструмент AskURL от Nurilab сыграл важную роль в быстром обнаружении и анализе фишингового сайта, выдающего себя за Naver. Функциональность AskURL включает в себя обнаружение различных киберугроз в режиме реального времени, включая фишинг, smishing и qshing, на таких платформах, как веб-почта, SMS и приложения для обмена сообщениями.

Обнаружение этого скрипта VBS RAT проливает свет на сложные методы, используемые злоумышленниками, такими как Kimsuky, для проведения целенаправленных кибератак. Сложная цепочка атак, включающая в себя фишинговые электронные письма, перенаправление вредоносных ссылок и сложные вредоносные программы, подчеркивает важность надежных мер кибербезопасности, таких как фильтрация электронной почты, повышение осведомленности пользователей и защита конечных точек, для снижения рисков, связанных с такими угрозами. Организациям, особенно работающим в академических кругах или других отраслях с высокой добавленной стоимостью, следует сохранять бдительность в отношении таких угроз и постоянно обновлять свои средства защиты, чтобы эффективно противостоять возникающим киберугрозам.

#ParsedReport #CompletenessLow
31-08-2024

ManticoraLoader: New Loader Announced from the Developers of AresLoader

https://cyble.com/blog/manticoraloader-new-loader-announced-from-the-developers-of-aresloader

Report completeness: Low

Actors/Campaigns:
Phantom_dev

Threats:
Manticora_loader
Aresloader
Aidlocker

IOCs:
Hash: 1
Url: 5

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе новой киберугрозы, известной как ManticoraLoader, - вредоносного ПО как услуги, разработанного участниками угроз DeadXInject, которые также ответственны за вредоносное ПО AresLoader. ManticoraLoader предназначен для сбора конфиденциальной информации с зараженных устройств и поддержания контроля над скомпрометированными системами и обладает передовыми методами обфускации и возможностями сохранения. Появление ManticoraLoader наряду с AresLoader указывает на стратегический шаг злоумышленников, направленный на максимизацию их прибыли. Эта новая угроза создает проблемы для специалистов по безопасности из-за ее расширенных функциональных возможностей, потенциально усложняя усилия по обнаружению и устранению последствий.
-----

Cyble Research & Intelligence Labs (CRIL) обнаружила новую угрозу в киберпространстве - ManticoraLoader, вредоносное ПО как услуга, предлагаемое теми же участниками, которые ответственны за печально известный AresLoader. Эти злоумышленники, известные как DeadXInject, начали продвигать ManticoraLoader на подпольных форумах и в своем Telegram-канале 8 августа 2024 года. У этой группы есть опыт создания мощных вредоносных программ, о чем свидетельствуют их предыдущие разработки, такие как AresLoader и AiDLocker ransomware.

ManticoraLoader может похвастаться передовыми методами обфускации и предназначен для работы в широком спектре систем Windows, включая Windows 7 и более поздние версии, а также Windows Server. Его основная функция заключается в сборе подробной информации с зараженных устройств, такой как IP-адреса, имена пользователей, системные языковые настройки, установленное антивирусное программное обеспечение, UUID и временные метки. Затем эти данные отправляются обратно на центральную панель управления, предоставляя злоумышленникам средства для составления профиля жертв, планирования дальнейших атак и поддержания контроля над скомпрометированными системами.

Кроме того, ManticoraLoader предлагает возможности для обеспечения сохранности в скомпрометированных системах путем размещения файлов в местах автоматического запуска и может быть настроен с помощью модульной конструкции в соответствии с различными целями злоумышленников. Вредоносная программа использует сложные методы обфускации, чтобы избежать обнаружения, и доступна для аренды за ежемесячную плату в размере 500 долларов США. Злоумышленники, стоящие за ManticoraLoader, установили строгие условия его использования, ограничив число клиентов до 10 и используя для транзакций услуги условного депонирования на форумах или прямое общение через Telegram или TOX.

Несмотря на появление ManticoraLoader, CRIL отмечает, что AresLoader продолжает активно использоваться злоумышленниками. Внедрение ManticoraLoader наряду с AresLoader предполагает стратегию, позволяющую извлечь максимальную выгоду из их нынешнего успеха. Однако остается неясным, почему злоумышленники оставались неактивными более года, прежде чем запустить ManticoraLoader, особенно учитывая их прошлые достижения с программами-вымогателями AiDLocker и AresLoader.

Несмотря на то, что рекламируемые функции ManticoraLoader изначально кажутся похожими на его предшественника, если заявления о расширенных функциональных возможностях верны, это может создать проблемы для специалистов по безопасности при обнаружении и устранении заражений. Потенциальные улучшения в ManticoraLoader могут усложнить идентификацию действий злоумышленников и ботнетов, как это наблюдалось в предыдущих кампаниях AresLoader.

#ParsedReport #CompletenessLow
01-09-2024

Rocinante: The trojan horse that wanted to fly

https://www.threatfabric.com/blogs/the-trojan-horse-that-wanted-to-fly-rocinante

Report completeness: Low

Threats:
Rocinante
Chrysaor
Ermac
Cerberus

Industry:
Financial

Geo:
Brasil, Brazilian, Latam, Brazil

ChatGPT TTPs:
do not use without manual check
T1556.001, T1513, T1071.001, T1078.003, T1560, T1202

IOCs:
Hash: 4

Soft:
Telegram

Algorithms:
gzip, base64, deflate, des

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и развитии угрозы, исходящей от нового вида вредоносного ПО для мобильных устройств под названием Rocinante, которое происходит из Бразилии и нацелено на бразильские банковские учреждения с такими ключевыми функциями, как кейлоггинг, фишинговые атаки и возможность захвата устройств. Вредоносная программа использует различные коммуникационные протоколы для своих операций и представляет серьезную угрозу для банковских клиентов, потенциально компрометируя конфиденциальные финансовые данные и делая возможными несанкционированные переводы.
-----

В последние годы рынок мобильных вредоносных программ стремительно развивается, привлекая новых участников в связи с широким использованием мобильных устройств для транзакций. Был обнаружен новый вид вредоносного ПО под названием Rocinante, который происходит из Бразилии и обладает такими ключевыми функциями, как кейлоггинг, фишинговые атаки и возможность захвата устройств. Эта вредоносная программа нацелена на бразильские банковские учреждения и использует для своих операций различные коммуникационные протоколы, такие как Firebase messaging, HTTP-трафик, WebSocket-трафик и Telegram API.

Участники, стоящие за Rocinante, называют его "Pegasus", что может привести к путанице с другим печально известным семейством шпионских программ, разработанных NSO Group. Однако Rocinante отличается своей направленностью и возможностями, ориентированными на финансовую выгоду, а не на слежку. Чтобы избежать путаницы, аналитики решили назвать эту вредоносную программу Rocinante в честь коня Дон Кихота.

Rocinante использует Firebase messaging для регистрации установок, взаимодействует с несколькими серверами C2 и использует привилегии службы специальных возможностей для ведения кейлоггинга и удаленных действий. Вредоносная программа извлекает личную информацию с помощью фишинговых экранов, выдавая себя за банковские учреждения, и отправляет ее боту Telegram, контролируемому злоумышленниками. Он может имитировать нажатия и жесты на зараженном устройстве для инициирования несанкционированных транзакций.

Со временем вредоносная программа претерпела значительные изменения в коде, включив элементы из семейства вредоносных программ Ermac. Такая гибридизация с внешними источниками свидетельствует о растущем интересе латиноамериканских киберпреступников к использованию технологий, не относящихся к их региону. Rocinante представляет серьезную угрозу для банковских клиентов, потенциально подвергая риску конфиденциальные финансовые данные и делая возможными несанкционированные переводы.

#ParsedReport #CompletenessLow
01-09-2024

Malware targeting aerospace engineering and related people created by Kimsuky - Lecture request form (2024.8.29)

https://wezard4u.tistory.com/429266

Report completeness: Low

Actors/Campaigns:
Kimsuky

Victims:
Professor bang hyo-chung

Industry:
Education, Aerospace

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1204.002, T1059.007

IOCs:
File: 1
Hash: 3
Url: 2

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ кампании вредоносного ПО, нацеленной на специалистов в области аэрокосмической техники, с особым упором на инцидент с участием профессора Банг Хе Чунга из KAIST. Вредоносная программа под названием Lecture Request Form (2024.8.29) принадлежит группе разработчиков угроз Kimsuky, и ее ключевые данные указаны в целях идентификации. Электронное письмо, использованное при атаке, выглядит как законное приглашение на лекцию, чтобы обманом заставить получателей открыть вредоносное вложение. В тексте также обсуждаются средства обнаружения вредоносных программ, подчеркивающие, что вредоносное ПО классифицируется как общая угроза, связанная с Kimsuky, с высокой степенью достоверности. Кроме того, в нем содержится информация о потенциальной троянской природе вредоносного ПО, его формате файла с расширением msc и рекомендации по его анализу для извлечения важной информации и понимания его поведения.
-----

В тексте обсуждается кампания вредоносного ПО, нацеленная на специалистов в области аэрокосмической техники, в частности, на инцидент с участием профессора Банг Хе Чунга из департамента аэрокосмической техники в KAIST. Вредоносная программа, о которой идет речь, называется Lecture Request Form (2024.8.29) и принадлежит группе разработчиков угроз Kimsuky. Электронное письмо, использованное при атаке, было оформлено как приглашение на лекцию от профессора Банг Хе Чунга.

Основные сведения о вредоносном ПО включают имя файла, размер и хэш-значения для целей идентификации:.

Имя файла: Форма запроса на лекцию.msc.

Размер: 142 КБ.

MD5: ef8947d291107256cb5883ac3bc163d0.

SHA-1: cf8555a2d9fc8081ba8c8e29f7905dd926655df1.

SHA-256: 8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4.

Текст также содержит образец содержимого вредоносной программы, имитирующий форму запроса на лекцию, отправляемую жертве. В сообщении указывается принимающая организация, информация о лекторе (профессор Банг Хе Чунг), тема лекции, дата, время, местоположение, целевая аудитория, стоимость лекции и другие технические детали. На первый взгляд содержание кажется законным и направлено на то, чтобы обманом заставить получателя открыть вредоносное вложение.

Кроме того, в тексте содержится информация об обнаружении вредоносного ПО различными средствами безопасности, в том числе с помощью ALYac, Arcabit, BitDefender, Emsisoft, eScan, GData, Ikarus, Kaspersky, MAX, Trellix (HX), VIPRE, VirIT и ZoneAlarm от Check Point. Результаты обнаружения свидетельствуют о том, что вредоносное ПО идентифицировано как общая угроза, связанная с группой Kimsuky, с высокой степенью достоверности - 99%.

В тексте содержится намек на то, что вредоносная программа может быть трояном, предназначенным для выполнения вредоносных сценариев или действий в зараженной системе. Формат файла с расширением msc выделен, что указывает на то, что вредоносная программа может использовать этот формат для уклонения от обнаружения или выполнения определенных функций. Кроме того, есть упоминания об анализе вредоносного ПО в Notepad++ для извлечения важной информации и понимания его поведения.

#ParsedReport #CompletenessMedium
01-09-2024

Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool. Summary and introduction

https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Interactsh_tool

Industry:
Critical_infrastructure

Geo:
Emirates, Middle east

ChatGPT TTPs:
do not use without manual check
T1071.004, T1566.002, T1059.001, T1140, T1105, T1005, T1071.001

IOCs:
File: 4
Domain: 4
Url: 2
Hash: 2
IP: 1

Algorithms:
base64, aes

Languages:
powershell

Links:
https://github.com/projectdiscovery/interactsh

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники проводят сложную вредоносную кампанию на Ближнем Востоке, маскируя вредоносное ПО под законный инструмент Palo Alto GlobalProtect. Вредоносная программа использует передовые технологии, в том числе двухэтапные процедуры заражения, передовую инфраструктуру C&C, строковое шифрование, тактику обхода и использование проекта Interactsh для создания маяков. Он нацелен на конкретные организации на Ближнем Востоке, потенциально предназначенные для геополитического или экономического шпионажа, и подчеркивает важность того, чтобы специалисты по кибербезопасности оставались информированными и бдительными для эффективной борьбы с такими передовыми угрозами.
-----

Злоумышленники активно атакуют пользователей на Ближнем Востоке с помощью сложной вредоносной кампании, которая заключается в маскировке вредоносного ПО под законный инструмент Palo Alto GlobalProtect. Вредоносное ПО использует двухэтапную процедуру заражения и использует передовую инфраструктуру командования и контроля (C&C) для взаимодействия. Он использует проект Interactsh для создания маяков, подключаясь к определенным именам хостов в домене Interactsh. Вредоносная программа способна выполнять удаленные команды PowerShell, загружать и извлекать файлы, шифровать сообщения и обходить безопасные решения.

Конкретный способ доставки этой вредоносной программы остается неясным, хотя есть подозрения, что она является частью фишинговой атаки, которая вводит жертв в заблуждение, заставляя их поверить, что они устанавливают подлинный агент GlobalProtect. Цепочка заражения обычно начинается с файла с именем setup.exe, который развертывает основной компонент вредоносной программы, GlobalProtect.exe а также файлы конфигурации в определенном каталоге на компьютере жертвы.

Чтобы избежать обнаружения, вредоносная программа использует методы обхода анализа поведения и изолированных решений, проверяя наличие определенных файлов и процессов перед выполнением своего основного блока кода. Он также извлекает различную информацию из файлов конфигурации, такую как IP-адрес жертвы, сведения об операционной системе, имя пользователя, название компьютера и ключ шифрования трафика, отправляемого на сервер C&C.

Вредоносная программа использует строковое шифрование с использованием алгоритма AES и использует для своих операций четыре типа команд. Он использует проект Interactsh для создания маяков, отправляя DNS-запросы после каждого этапа процесса заражения в домен, который включает уникальные идентификаторы компьютеров и этапы работы, что позволяет отслеживать продвижение вредоносного ПО.

Обнаруженный образец вредоносного ПО, нацеленного на объекты на Ближнем Востоке, демонстрирует изощренное использование инфраструктуры C&C и методы обхода. Вредоносное ПО динамически переключается на зарегистрированные URL-адреса, имитирующие легальные сервисы в регионе, что повышает его способность вписываться в ожидаемый сетевой трафик. Маскируясь под знакомые региональные службы, злоумышленники используют доверительные отношения для повышения уровня успешности взаимодействия с C&C.

Использование недавно зарегистрированных доменов для ведения информационной деятельности позволяет злоумышленникам избегать попадания в черные списки и усложняет идентификацию. Специфика вредоносного ПО, нацеленного на объекты на Ближнем Востоке, предполагает потенциальную кампанию геополитического или экономического шпионажа. В целом, специалисты по кибербезопасности должны оставаться информированными и бдительными, чтобы эффективно противостоять таким распространенным угрозам.

#ParsedReport #CompletenessLow
31-08-2024

Atlassian CVE-2023-22527 Cryptojacking Full-Scale Exploitation

https://www.secureblink.com/cyber-security-news/atlassian-cve-2023-22527-cryptojacking-full-scale-exploitation

Report completeness: Low

Threats:
Xmrig_miner
Coinminer
Malxmr_miner

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 7
Technics: 9

IOCs:
Hash: 6
File: 1
Url: 7

Soft:
Confluence, Unix

#ParsedReport #GeneratedSchema
Generated with GPT-4