#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается возникновение атак с использованием внедрения AppDomainManager для запуска вредоносного ПО, подчеркивается относительная неизвестность этого метода, несмотря на его потенциал для проведения сложных киберкампаний. Атаки связаны с использованием вредоносных файлов MSC, использующих GrimResource, с выявленными схемами доставки через вредоносные веб-сайты и фишинговые электронные письма. В тексте также затрагивается использование радиомаяков CobaltStrike и потенциальное участие государства, что подчеркивает необходимость для организаций усилить свои возможности обнаружения и меры защиты от этой передовой техники.
-----

Атаки, использующие внедрение AppDomainManager для запуска вредоносного ПО, наблюдались примерно с июля 2024 года.

Несмотря на то, что этот метод был публично представлен в 2017 году, количество сообщений о реальных атаках с использованием этого метода было ограничено, что привело к его относительной малоизвестности.

В последнее время наблюдались атаки по двум основным схемам: загрузка ZIP-файла с вредоносного веб-сайта или получение ZIP-файла в виде вложения в электронном письме, предназначенном для фишинга. ZIP-файл содержит вредоносный MSC-файл, который запускает атаку при открытии.

Вредоносные файлы MSC используют технологию, известную как GrimResource, позволяющую выполнять вредоносные действия при открытии без необходимости перехода пользователя по каким-либо ссылкам.

В этих атаках использовались маяки CobaltStrike, указывающие на изощренность и соответствие тактике, связанной с APT41.

Спонсируемые государством атакующие группы используют скрытность внедрения AppDomainManager, что предполагает возможность более широкого использования в будущих киберкампаниях.

Организациям рекомендуется расширить свои возможности обнаружения для выявления и смягчения последствий атак, связанных с внедрением AppDomainManager.

#ParsedReport #CompletenessLow
01-09-2024

TLD Tracker: Exploring Newly Released Top-Level Domains

https://unit42.paloaltonetworks.com/tracking-newly-released-top-level-domains

Report completeness: Low

Threats:
Zipbomb_technique

Geo:
Apac, Emea, America, German, Japan

ChatGPT TTPs:
do not use without manual check
T1566, T1499, T1553

IOCs:
Domain: 29
File: 13

Soft:
YouTube music

Algorithms:
zip

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании недавно освобожденных доменов верхнего уровня (TLD) и связанных с ними вредоносных действий, таких как фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. В нем освещаются проблемы, с которыми сталкиваются организации при регистрации своих имен в этих новых доменах верхнего уровня, методы сбора данных, используемые для выявления вредоносных действий, и конкретные примеры, демонстрирующие различные типы вредоносных кампаний. Кроме того, подчеркивается важность мониторинга доменов в рамках новых TLD и роль своевременного обмена разведывательной информацией в борьбе с киберугрозами, а также решения для сетевой безопасности, предлагаемые Palo Alto Networks.
-----

В тексте обсуждается расследование 19 новых доменов верхнего уровня (TLD) за последний год, в ходе которого были выявлены различные вредоносные действия, такие как крупномасштабные фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. Поскольку в настоящее время существует более 1000 общих доменов верхнего уровня, добавление новых доменов верхнего уровня увеличивает риск вредоносных действий, таких как захват домена и фишинг, особенно если эти домены верхнего уровня напоминают популярные расширения файлов или идентификаторы сервисов.

В отчете подчеркиваются проблемы, с которыми сталкиваются организации при регистрации своих имен в целях защиты во всех недавно выпущенных доменах верхнего уровня, что дает злоумышленникам возможность использовать эти домены в злонамеренных целях. В нем также освещаются обязательные этапы, связанные с запуском новых доменов верхнего уровня, при этом важное значение имеют период запуска и общая доступность.

Методы сбора данных, упомянутые в тексте, включают пассивный DNS, WHOIS, сторонние источники информации об угрозах, статический и динамический анализ вредоносных программ, а также данные активного веб-обхода. Используя эти источники, была разработана автоматизированная система обнаружения для извлечения связанных данных, таких как URL, IP-адреса и образцы вредоносных программ. Система выявила кластеры доменов, связанных с недобросовестными действиями, такими как фишинговые кампании и перенаправление пользователей на вредоносные веб-сайты.

Представлены конкретные примеры, в том числе домены в TLD, используемые для фишинговых кампаний и атак с перенаправлением. Также обсуждаются такие тенденции, как использование QR-кодов для вовлечения жертв в SMS-мошенничество. В тексте указываются кампании, использующие популярные расширения файлов в качестве TLD для торрент- и пиратского распространения, иллюстрирующие потенциальные риски и уязвимости.

Заслуживающие внимания результаты включают анализ ранее зарегистрированных вредоносных доменов .zip, которые теперь превратились в NX-домены, заблокированные страницы или страницы, критикующие TLD. Некоторые из этих доменов теперь содержат розыгрышный контент вместо вредоносных действий, в то время как другие распространяют зараженный вредоносным по контент. Подчеркивается важность мониторинга доменов в рамках новых TLD для отслеживания вредоносных тенденций и атак.

Palo Alto Networks предлагает решения для сетевой безопасности, такие как расширенная защита DNS и фильтрация URL-адресов, для защиты от угроз, описанных в статье. Делясь результатами с членами Альянса по борьбе с киберугрозами, Palo Alto Networks стремится способствовать быстрому внедрению средств защиты от киберугроз. Подчеркивается роль своевременного обмена разведывательными данными в пресечении действий злоумышленников в киберпространстве как коллективных усилий в рамках сообщества кибербезопасности.

#ParsedReport #CompletenessLow
01-09-2024

Malware Detailed Analysis Report

https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=68&file=.pdf

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Babyshark

Geo:
Taiwan, Korean, North korean

ChatGPT TTPs:
do not use without manual check
T1140, T1059.005, T1036.005, T1053.005, T1204.002

IOCs:
File: 15
Path: 4
Url: 13
Hash: 7

Soft:
curl, task scheduler

Algorithms:
base64, md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании BabyShark, проводимой северокорейской хакерской группой Kimsuky. Кампания включает в себя изощренную тактику борьбы с киберугрозами, включая использование различных типов файлов, команд CMD, маскировку Google Docs, подключение к C&C серверам, вредоносные программы-бэкдоры и индивидуальные атаки на конкретных жертв. Злоумышленники постоянно совершенствуют свои методы, позволяющие избежать обнаружения, подчеркивая необходимость проведения углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от подобных угроз.
-----

В тексте описывается киберугроза, связанная с кампанией BabyShark, проводимой северокорейской хакерской группой Kimsuky. Эта кампания действует с 2018 года и продолжает развиваться. Изначально в кампании использовались файлы HWP с OLE-объектами, а также файлы .BAT и .VBS. Однако недавние изменения включают использование файлов MSC, чтобы избежать обнаружения решениями безопасности, и использование VbsEdits Launcher для запуска вредоносных программ вместо программ Windows по умолчанию для выполнения VBScript.

Атака включает в себя выполнение команд CMD, которые используют команду curl для загрузки вредоносных кодов и доступа к документам Google, чтобы замаскировать их под обычные файлы. Документ Google, связанный с вредоносными действиями, сохраняется как "Joka.DOCX", название которого отличается от названия в запущенном MSC-файле. Информация о конкретном северокорейском перебежчике включена в документ как на английском, так и на корейском языках. Кроме того, выполняемые команды получают доступ к серверу C&C с помощью команды curl для прямой загрузки и выполнения файлов документа с определенного URL-адреса.

Более подробная информация показывает, что файл с именем SAM1(default1.vbs) зарегистрирован в планировщике задач и запускается через 19 минут. Этот файл пытается загрузить вредоносное ПО, сохраняя его в пути %Appdata%wadoobe.gif в случае успешной загрузки. Загруженное вредоносное ПО представляет собой вредоносную программу-бэкдор, специально предназначенную для конкретной жертвы, что затрудняет дальнейший анализ.

Более того, запущенный VBScript устанавливает соединение с C&C-сервером для загрузки вредоносного ПО в формате "shinefrom- (данные BASE64)-shineto". Данные BASE64 извлекаются, декодируются и сохраняются по пути %Appdata%\Microsoft\Wqer.bat, где они впоследствии выполняются.

В тексте также упоминается выполнение MSC-файлов, которые побуждают пользователей нажать кнопку, чтобы открыть файл документа. Нажатие кнопки "Открыть" запускает выполнение вредоносной CMD-команды. Эти команды не имеют доступа к Google Docs, но напрямую взаимодействуют с сервером C&C для загрузки и выполнения файлов документов.

Таким образом, кампания BabyShark, организованная хакерской группой Kimsuky, включает в себя сложную тактику доставки и выполнения вредоносных программ. Со временем злоумышленники адаптировали свои методы, чтобы избежать обнаружения и нацеливаться на конкретные жертвы с помощью специальных команд бэкдора. Понимание таких угроз и противодействие им требуют углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от потенциальных нарушений.

#ParsedReport #CompletenessHigh
02-09-2024

Head Mare: adventures of a unicorn in Russia and Belarus

https://securelist.com/head-mare-hacktivists/113555

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: hacktivism, financially_motivated)

Threats:
Lockbit
Babuk
Phantomdl
Phantomcore
Sliver_c2_tool
Mimikatz_tool
Garble_tool
Meterpreter_tool
Nssm_tool
Xmrig_miner
Credential_harvesting_technique
Xenarmor_tool

Industry:
Transport, Entertainment, Energy, Government

Geo:
Belarus, Russian, Belarusian, Russia

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1486, T1547.001, T1071.001, T1003.001

IOCs:
IP: 11
Command: 5
Registry: 1
File: 23
Path: 16
Url: 2
Hash: 41

Soft:
ESXi, XenAllPasswordPro, Unix, esxcli

Algorithms:
curve25519, sha256, sosemanuk

Win API:
NetGetJoinInformation

Languages:
powershell, php

Platforms:
cross-platform, x64, amd64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, table: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Head Mare - это группа хактивистов, нацеленная на компании в России и Беларуси с помощью фишинговых кампаний, семейств программ-вымогателей и пользовательских вредоносных программ, которые наносят значительный ущерб и требуют выкуп за расшифровку данных. Их тактика заключается в использовании уязвимостей, различных инструментов в своих атаках и сохранении систем с помощью тактики маскировки и обфускации. Деятельность группы подчеркивает важность усиления защиты от кибербезопасности в организациях, сталкивающихся с растущими угрозами.
-----

Head Mare - это хактивистская группа, которая появилась в 2023 году в социальной сети X (ранее Twitter). Группа атакует компании в России и Беларуси, публикуя информацию о жертвах в публичных публикациях. Они были связаны с атаками на российские организации и используют фишинговые кампании для использования уязвимостей, таких как CVE-2023-38831 в WinRAR, для получения первоначального доступа. Head Mare использует два семейства программ-вымогателей - LockBit для Windows и Babuk для Linux (ESXi) - для шифрования устройств жертв.

Эта группа хакеров стремится нанести значительный ущерб компаниям в России и Беларуси, часто требуя выкуп за расшифровку данных. Руководитель Mare использует общедоступное программное обеспечение для своих атак, а также использует пользовательские вредоносные программы, такие как PhantomDL и PhantomCore, в фишинговых электронных письмах для получения первоначального доступа. Они используют различные инструменты, такие как Mimikatz и Sliver, как часть своей инфраструктуры атак.

В ходе расследования было обнаружено, что Head Mare использует образцы PhantomDL и PhantomCore в фишинговых кампаниях. Эти образцы используют уязвимость WinRAR и после выполнения устанавливают соединения с командными серверами. Группа продолжает работать в системах, добавляя образцы в разделы реестра или создавая запланированные задачи, а также используя тактику маскировки в своих фишинговых кампаниях. Они маскируют свои образцы и используют для этой цели такие инструменты, как Garble.

Более того, злоумышленники используют платформу Sliver C2 для управления скомпрометированными системами, что позволяет им выполнять команды и собирать данные после первоначального доступа. Они часто используют серверы VPS/VDS в качестве серверов C2 и утилиту rsockstun для обеспечения безопасных подключений. Для сбора учетных данных используются такие инструменты, как mimikatz и XenArmor All-In-One Password Recovery Pro3.

Head Mare использует два семейства программ-вымогателей - Babuk для Linux (ESXi) и LockBit для Windows - со специфическими функциями и алгоритмами шифрования. Злоумышленники распространяют эти варианты программ-вымогателей под разными именами и путями, последовательно шифруя файлы с помощью версий LockBitLite и LockbitHard. Kaspersky Threat Intelligence отмечает, что все образцы Head Mare были обнаружены только в России и Беларуси.

TTP группы похожи на другие кластеры, нацеленные на организации в России и Беларуси в условиях российско-украинского конфликта. Однако глава Mare выделяется тем, что использует пользовательское вредоносное ПО и новые уязвимости, подчеркивая необходимость совершенствования мер кибербезопасности. Организации в России и Беларуси должны быть осведомлены о возникающих угрозах и укреплять свою защиту от таких группировок.

#ParsedReport #CompletenessMedium
02-09-2024

Dark Web Profile: Abyss Ransomware

https://socradar.io/dark-web-profile-abyss-ransomware

Report completeness: Medium

Threats:
Abyss_locker
Hellokitty
Shadow_copies_delete_technique

Victims:
Medical institutions, Manufacturing companies, Tech firms

Industry:
Healthcare, Financial

Geo:
Italy, Canada, Germany, United kingdom, Switzerland, Hong kong, Georgia, Sweden

TTPs:
Tactics: 11
Technics: 18

IOCs:
Command: 1
File: 1
Hash: 25

Soft:
ESXi, Microsoft Exchange, bcdedit, esxcli

Win Services:
MSSQLServer

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Abyss Locker представляет собой серьезную угрозу кибербезопасности, нацеленную как на системы Windows, так и на Linux в различных отраслях промышленности, использующую передовые методы шифрования, агрессивную тактику и стратегии множественного вымогательства. Группа программ-вымогателей ведет свое происхождение от программы-вымогателя HelloKitty и демонстрирует особое внимание к Соединенным Штатам, применяя изощренную тактику для достижения максимального эффекта. Организациям рекомендуется принимать упреждающие меры кибербезопасности для борьбы с угрозой, исходящей от программы-вымогателя Abyss Locker.
-----

Программа-вымогатель Abyss Locker - это серьезная угроза кибербезопасности, нацеленная на системы Windows и Linux в различных отраслях, таких как финансы, производство, здравоохранение и технологии.

Группа программ-вымогателей, известная как Abyss Ransomware, приобрела дурную славу благодаря своей агрессивной тактике, передовым методам шифрования и стратегиям множественного вымогательства.

Программа-вымогатель Abyss произошла от программы-вымогателя HelloKitty, использующей ее исходный код для улучшения работы.

Группа расширила свою деятельность, ориентируясь на среды Linux, особенно на виртуализированные платформы VMware ESXi, со специализированным Linux-шифровальщиком, разработанным для критически важных виртуальных сред.

Тактика включает в себя горизонтальное перемещение внутри сетей, прекращение работы критически важных служб/процессов и передовые методы шифрования.

Программа-вымогатель Abyss работает как многопрофильная группа вымогателей, шифрующая файлы и извлекающая конфиденциальные данные для использования в переговорах о выкупе.

Программа-вымогатель использует алгоритм шифрования salsa_20 и занимается утечкой данных, чтобы оказать давление на жертв.

Основными направлениями деятельности группы являются Соединенные Штаты, где она ориентируется на медицинские учреждения, производственные компании и технологические фирмы.

Первоначальный доступ осуществляется с помощью фишинговых писем, слабых конфигураций SSH или известных уязвимостей в незащищенных серверах.

Упреждающие меры, такие как обновление системы, надежная аутентификация, планирование резервного копирования и непрерывный мониторинг, имеют решающее значение в борьбе с программами-вымогателями Abyss Locker.

Понимание тактики, методов и процедур, связанных с программой-вымогателем Abyss Locker, необходимо для разработки эффективных стратегий защиты, согласованных с платформой MITRE ATT&CK.

#ParsedReport #CompletenessMedium
02-09-2024

Iranian State-Sponsored Hackers Have Become Access Brokers for Ransomware Gangsca

https://cyble.com/blog/iranian-state-sponsored-hackers-have-become-access-brokers-for-ransomware-gangsca

Report completeness: Medium

Actors/Campaigns:
Fox_kitten

Threats:
Blackcat
Noescape
Pay2key
Ligolo
Dll_sideloading_technique
Anydesk_tool
Meshcentral_tool
Ligolo-ng

Industry:
E-commerce, Government, Healthcare, Education, Critical_infrastructure, Financial

Geo:
Iranian, Iran, Israel, Israeli, Azerbaijan

CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum security gateway firmware (r80.40)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...

TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 1
IP: 12
Domain: 5
Coin: 14

Soft:
gatekeepers, PAN-OS, BIG-IP, PanOS, Windows service, Windows PowerShell

Crypto:
bitcoin

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участники киберугроз из Ирана, действующие под различными псевдонимами, все больше внимания уделяют критически важной инфраструктуре, выступая в качестве посредников для филиалов программ-вымогателей и занимаясь шпионажем в интересах иранского правительства. Группа угроз демонстрирует адаптивность, использует известные уязвимости и представляет постоянную и серьезную угрозу для организаций США во всех критически важных секторах. Организациям США рекомендуется усилить свою защиту от этих развивающихся угроз и сохранять бдительность в отношении несанкционированных установок и подозрительного сетевого трафика.
-----

Иранские злоумышленники, действующие под псевдонимами, такими как "Pioneer Kitten", стали выступать в качестве посредников для филиалов программ-вымогателей, нацеленных на сектора критической инфраструктуры, имеющие решающее значение для США и их союзников.

Эти злоумышленники демонстрируют высокую адаптивность, постоянно совершенствуя тактику использования уязвимостей в широко используемых сетевых устройствах и предлагая группам программ-вымогателей контроль над доменами, что сигнализирует о переходе к информационной войне.

Группа точно использует незащищенные уязвимости, создавая постоянную угрозу для организаций США в ключевых секторах, таких как образование, финансы, здравоохранение и оборона, с признаками государственного спонсорства из-за демонстрируемой сложности и целей, соответствующих национальным интересам Ирана.

Группа по борьбе с угрозами сотрудничает с такими группами программ-вымогателей, как ALPHV и NoEscape, используя известные уязвимости и тактику, описанные в платформе MITRE ATT&CK, такие как использование CVE-2024-3400 в Palo Alto Networks PAN-OS, а также бэкдоры и методы маскировки для обеспечения длительного доступа.

ФБР, CISA и DC3 выпустили рекомендации, содержащие индикаторы компрометации (IOCS) и предложения по устранению последствий, подчеркивающие критическую важность исправления уязвимостей, мониторинга сетевого трафика на предмет подозрительного поведения и усиления защиты от этих развивающихся киберугроз, включая программы-вымогатели, шпионаж и информационную войну.

#ParsedReport #CompletenessLow
03-09-2024

Advanced Cyberchef Techniques - Defeating Nanocore Obfuscation With Math and Flow Control

https://www.embeeresearch.io/advanced-cyberchef-techniques-defeating-nanocore-obfuscation-with-math-and-flow-control

Report completeness: Low

Threats:
Nanocore_rat

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1036.004

IOCs:
Hash: 1

Algorithms:
sha256

Languages:
powershell, visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте объясняется использование Cyberchef, инструмента анализа, для деобфускации загрузчика .vbs, связанного с вредоносным ПО Nanocore. В нем подробно рассказывается о том, как управление потоком и математические операции в Cyberchef помогают раскрыть методы обфускации, и подчеркивается важность четкого представления логики в Python для понимания процесса деобфускации. Кроме того, в комментариях к скрипту упоминается обнаружение скрытой полезной нагрузки Nanocore и приводится подробная информация о доступности образца вредоносного ПО для дальнейшего изучения на Malware Bazaar. Для эффективного анализа особое внимание уделяется преобразованию кода Visual Basic в формат, совместимый с Cyberchef, и различению шестнадцатеричных и десятичных чисел.
-----

В тексте обсуждается использование Cyberchef, инструмента с мощными, но недокументированными функциями, для деобфускации загрузчика .vbs для вредоносного ПО Nanocore. Аналитик исследует применение управления потоком данных и математических операторов для выявления методов обфускации, использованных в образце вредоносного ПО.

В начале статьи подчеркивается важность Cyberchef в оказании помощи аналитикам в деобфускации вредоносных программ, а также упоминается, что основное внимание уделяется изучению его возможностей для преодоления обфускации недавнего загрузчика .vbs, связанного с вредоносным ПО Nanocore. В тексте подчеркивается ясность логики, представленной на языке Python, на примере выражения, соответствующего символу "D", что еще больше улучшает понимание процесса деобфускации.

Работа по деобфускации продолжается по мере того, как аналитик успешно расшифровывает строку 2 исходного сценария, который впоследствии выполняет команду PowerShell, ответственную за запуск полезной нагрузки Nanocore. Заслуживает внимания тот факт, что полезная нагрузка Nanocore скрыта в комментариях к исходному сценарию, что подчеркивает тонкость методов обфускации, используемых злоумышленниками, чтобы избежать обнаружения.

Кроме того, содержится ссылка на доступность образца вредоносного ПО на Malware Bazaar, с указанием его хэша SHA256 и ссылки для дальнейшего анализа и исследований. Подчеркивается необходимость преобразования исходного кода Visual Basic в формат, понятный для Cyberchef, при этом подчеркивается важность различения шестнадцатеричных и десятичных чисел для эффективной деобфускации.