#ParsedReport #CompletenessMedium
04-09-2024

Mallox ransomware: in-depth analysis and evolution

https://securelist.com/mallox-ransomware/113529

Report completeness: Medium

Threats:
Targetcompany
Bozon
Xollam
Remcos_rat
Shadow_copies_delete_technique
Sandbox_evasion_technique

Industry:
Healthcare

Geo:
Brazil, China, Belarusian, Ukrainian, Russian, Vietnam

CVEs:
CVE-2020-0618 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2012, 2014, 2016)

CVE-2019-1068 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2014, 2016, 2017)


ChatGPT TTPs:
do not use without manual check
T1583.001, T1190, T1486, T1041, T1069.002

IOCs:
Path: 1
File: 7
Hash: 15
Url: 2

Soft:
Jabber, MS SQL, PostgreSQL, MySQL, remote desktop services

Crypto:
tether

Algorithms:
aes-128-ctr, aes, ecdh, chacha20, ecc, sha256, aes-256, xor, prng, curve25519, md5, aes-128, aes-256-gcm

Win API:
SeTakeOwnershipPrivilege, SeDebugPrivilege, SHDeleteKeyW, TerminateProcess, ControlService, ShutdownBlockReasonCreate, GetSystemInfo, CryptGenRandom, QueryPerformanceCounter, GetTickCount, have more...

Win Services:
WebClient

Languages:
powershell, php

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2, code: 8, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Mallox - это изощренное и опасное семейство программ-вымогателей, которое эволюционировало с момента своего появления в 2021 году, насчитывая более 700 идентифицированных образцов и активную партнерскую программу поиска партнеров в даркнете. Программа-вымогатель нацелена на состоятельные компании по всему миру, использует различные методы для взлома сетей жертв, использует сложные схемы шифрования и взаимодействует с злоумышленниками через специальный сайт TOR. Организациям рекомендуется применять надежные меры безопасности для защиты от Mallox и подобных угроз.
-----

Mallox - это изощренное и опасное семейство программ-вымогателей, наносящее значительный ущерб по всему миру. В период с 2023 по первую половину 2024 года было обнаружено более 700 образцов.

Вредоносная программа постоянно развивается, ежемесячно выпускаются новые версии, а на форумах темного интернета действует партнерская программа Mallox RaaS.

Первоначально появившийся в первой половине 2021 года, Mallox в основном использовался для целенаправленных атак на компании, управляемых людьми.

Mallox RaaS сотрудничает с опытными партнерами, ориентируясь на состоятельные компании и избегая образовательных, правительственных и медицинских организаций.

Аффилированные лица используют множество методов для компрометации сетей жертв, таких как спам-кампании и использование уязвимостей в серверах, таких как MS SQL или PostgreSQL.

Mallox использует сложную схему шифрования, включающую криптографические алгоритмы и многопоточность для процессов шифрования.

Было идентифицировано более 700 образцов Mallox, которые были классифицированы по 12 версиям в зависимости от функциональности или изменений в криптографии.

В последних версиях были внесены существенные изменения для устранения уязвимостей, включая усовершенствованные технические структуры буферов в зашифрованных файлах.

Программа-вымогатель отправляет информацию об устройстве на сервер злоумышленника по протоколу HTTP, собирая данные об идентификаторах жертв, именах компьютеров и DNS-доменах.

В записке о выкупе содержатся инструкции о том, как жертвы могут договориться о выплате, направляя их на указанный сайт TOR, указывая цену выкупа в долларах США и BTC, платежные адреса и виджет чата.

Филиалы Mallox ransomware нацелены на компании по всему миру, уделяя особое внимание таким регионам, как Бразилия, Вьетнам и Китай.

Для защиты от Mallox организациям рекомендуется усилить меры безопасности, в том числе избегать доступа к службам удаленного рабочего стола, использовать надежные пароли, регулярно обновлять программное обеспечение, создавать резервные копии данных, отслеживать несанкционированный доступ, обучать сотрудников передовым методам кибербезопасности и внедрять передовые решения для обеспечения безопасности.

#ParsedReport #CompletenessLow
04-09-2024

Patchwork activity in July, and Widnows' main remote control weapon BADNEWS was upgraded again.

https://www.ctfiot.com/203033.html

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Badnews_rat

ChatGPT TTPs:
do not use without manual check
T1566.001, T1105, T1027, T1071.001, T1132.001, T1573.001

IOCs:
File: 1
Domain: 8
IP: 4
Hash: 2
Url: 1

Soft:
WeChat

Algorithms:
aes-128-cbc, xor, base64, aes

Win API:
GetSystemFirmwareTable, GetAdaptersInfo, HttpOpenRequestA, InternetReadFile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробное описание кибератаки, проведенной организацией Patchwork APT в июле 2024 года с использованием трояна BADNEWS. Атака включала в себя сложную фишинговую кампанию, замаскированную под научно-техническое мероприятие по распространению вредоносного ПО, которая включала в себя расширенные возможности, такие как шифрование, обфускация, меры защиты от обнаружения и сложную инфраструктуру связи с сервером управления (C2). Ключевые усовершенствования в выборке, представленной в июле 2024 года, включали сложный цикл обработки данных, позволяющий избежать обнаружения, и хранение ключей шифрования в сегменте шеллкодов.
-----

В тексте описывается кибератака, проведенная организацией Advanced Persistent Threat (APT), известной как Patchwork, в июле 2024 года. Злоумышленники использовали фишинговую кампанию, замаскированную под "7-ю Международную неделю инноваций в области науки и техники COMAC", для доставки вредоносной информации. Первоначальная полезная нагрузка, выполненная по ссылке, в конечном итоге привела к запуску троянца BADNEWS, который является инструментом удаленного доступа, обычно используемым компанией Patchwork.

За последние три года троянская программа BADNEWS претерпела множество изменений, постоянно обновляясь для расширения своих возможностей и предотвращения обнаружения. Разработчики сосредоточились на совершенствовании протоколов связи, алгоритмов шифрования, методов обфускации и механизмов защиты от обнаружения вредоносной программы. В образце, выпущенном в июле 2024 года, были предприняты значительные усилия для сокрытия функций хоста и связи, удаления символов и усиления мер по предотвращению уничтожения и отладки. Также были внесены изменения в цикл ожидания пакета heartbeat, чтобы сделать обнаружение более сложным на сетевом уровне по сравнению с предыдущими версиями.

Образец троянской программы BADNEWS, выпущенный в июле 2024 года, включал в себя два процесса выпуска шеллкода с размером полезной нагрузки 692 КБ для начальной полезной нагрузки и 280 КБ для полезной нагрузки BADNEWSB, которая является упрощенной версией. Вредоносная программа использовала шифрование и кодирующие режимы, такие как AES-CBC-128, XOR и BASE64, а также различные методы хэширования и проверки. В этом примере были использованы новые методы получения ключей шифрования и векторов инициализации в сегменте шеллкода, что усложнило логику взаимодействия с сервером управления (C2).

Одним из заметных улучшений в выборке за июль 2024 года стало введение более сложного цикла сердцебиений, который динамически корректировал интервалы сердцебиений в зависимости от состояния сервера, чтобы избежать обнаружения вредоносного трафика. Коммуникационное сердцебиение троянца было спроектировано таким образом, чтобы его было сложно обнаружить из-за случайности и различных типов циклов ожидания, генерируемых на основе различных состояний сервера.

Ключ алгоритма AES-CBC-128 и вектор инициализации были сохранены в виде обычного текста в сегменте шеллкода, и вредоносная программа выполнила цикл отправки пакетов с сигнальными сигналами для проверки сервера C2. Пакеты онлайн-данных, передаваемые вредоносной программой, содержали идентификационную информацию, зашифрованную с помощью UUID для уникальной идентификации каждого клиента. После успешной передачи образец ожидал инструкций от сервера C2, которые были получены с помощью API InternetReadFile.

#ParsedReport #CompletenessLow
04-09-2024

Emansrepo Stealer: Multi-Vector Attack Chains

https://www.fortinet.com/blog/threat-research/emansrepo-stealer-multi-vector-attack-chains

Report completeness: Low

Threats:
Emansrepo
Prysmax
Phantomcore
Remcos_rat
Dbatloader

IOCs:
Email: 12
File: 9
Path: 1
Hash: 21
Url: 5
IP: 2

Soft:
Chrome, opera, 360browser, UCBrowser, QQBrowser, PyInstaller, amigo, torch, kometa, orbitum, have more...

Wallets:
atomicwallet, zcash, exodus_wallet, electrum, coinomi, jaxx, metamask, coinbase, ronin_wallet, venom_wallet, have more...

Crypto:
binance, multiversx, tezos

Algorithms:
zip

Functions:
click

Languages:
javascript, autoit, python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 6, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе разработчика информации на python под названием Emansrepo аналитиками cyber threat intelligence из FortiGuard Labs, которые освещают его распространение через вредоносные электронные письма, поведение, эволюцию с течением времени, сходство с другими вариантами вредоносного ПО, такими как Prysmax Premium, и связанную с этим кампанию атак с использованием вредоносного ПО Remcos. В тексте подчеркивается постоянное развитие Emansrepo как киберугрозы и содержится призыв к организациям сохранять бдительность и поддерживать высокий уровень осведомленности о кибербезопасности для противодействия таким меняющимся векторам атак.
-----

В августе 2024 года аналитики FortiGuard Labs, занимающиеся анализом киберугроз, обнаружили разработчика python по имени Emansrepo, который распространял вредоносные электронные письма, содержащие поддельные заказы на покупку и счета-фактуры. Эта вредоносная программа сжимает данные из браузеров жертвы и пути к определенным файлам в zip-файл, который затем отправляется на электронную почту злоумышленника. Кампания с участием Emansrepo ведется с ноября 2023 года, что указывает на постоянное присутствие угрозы. Злоумышленники используют фишинговые электронные письма с HTML-вложениями, которые ссылаются на загрузку Emansrepo. Этот конкретный вариант Emansrepo упакован с использованием PyInstaller, что повышает его способность работать на системах без установленного Python. Вложение в фишинговом письме функционирует как дроппер, который имитирует страницу загрузки, перенаправляя пользователей на другой веб-сайт через несколько секунд.

Дальнейший анализ показал, что вложение загружает файл с именем Purchase-Order.7z, в который встроен Purchase-Order.exe, автоматически скомпилированный исполняемый файл, содержащий вредоносный скрипт для кражи информации. Этот скрипт загружает дополнительные компоненты из zip-файла, хранящегося во временной папке, извлекая необходимые модули Python и основной вредоносный скрипт, tester.py. При более тщательной проверке в Zip-архиве был обнаружен HTA-файл, основанный на JavaScript-файле, который облегчает загрузку и выполнение сценария PowerShell script.ps1 с помощью VBScript.

Поведение инфокрада было разделено на три части, каждая из которых включала создание папок временного хранения для систематизации украденных данных перед передачей их злоумышленнику по электронной почте. Первая часть включала сбор конфиденциальной информации, такой как данные для входа в систему, данные кредитной карты, веб-история и т.д., из определенных системных папок. Сравнение с предыдущим вариантом, использующим Prysmax Premium, показало сходство функций, хотя изначально в Emansrepo было меньше возможностей. Однако последующие усовершенствования в частях 2 и 3 сделали Emansrepo отличным от его первоначального варианта и более близким к Prysmax stealer.

Кроме того, была выявлена отдельная кампания атаки, в которой участвовала вредоносная программа Remcos, потенциально связанная с атакующим Emansrepo на основе сходства тактики фишинговой рассылки по электронной почте. В рамках этой кампании Remcos распространялась через фишинговые электронные письма, содержащие вредоносное вложение под названием DBatLoader. Этот загрузчик расшифровывает и выполняет полезную нагрузку, вариант Remcos, защищенный упаковщиком, иллюстрирующий другой метод атаки по сравнению с Emansrepo.

Постоянное развитие Emansrepo с ноября подчеркивает постоянно меняющийся ландшафт киберугроз. Организациям рекомендуется поддерживать высокий уровень осведомленности о кибербезопасности и бдительности, чтобы противостоять таким разнообразным и меняющимся направлениям атак. FortiGuard Labs обязуется тщательно отслеживать эти угрозы и обеспечивать необходимую защиту для снижения рисков для организаций.

#ParsedReport #CompletenessLow
04-09-2024

Luxy: A Stealer and a Ransomware in one

https://labs.k7computing.com/index.php/luxy-a-stealer-and-a-ransomware-in-one

Report completeness: Low

Threats:
Luxy
Umbral

ChatGPT TTPs:
do not use without manual check
T1057, T1539, T1552.001, T1119, T1490

IOCs:
File: 2
Hash: 1

Soft:
Telegram, Chrome, Microsoft Store, Roblox

Wallets:
zcash, jaxx, exodus_wallet, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
ethereum

Algorithms:
aes-256, aes

Languages:
powershell

Links:
https://github.com/Blank-c/Umbral-Stealer
https://github.com/ayuly0/Luxy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается недавно обнаруженная вредоносная программа Luxy, которая сочетает в себе функции похитителя и вымогателя. Luxy использует различные методы защиты от обнаружения и нацелена на криптовалютные кошельки и другую конфиденциальную информацию. Для борьбы с такими вредоносными программами, как Luxy, пользователям рекомендуется использовать надежные решения для обеспечения безопасности и проявлять активность при внедрении методов кибербезопасности.
-----

В тексте обсуждается недавно обнаруженная вредоносная программа Luxy, которая сочетает в себе функции stealer и программы-вымогателя. Компонент stealer, созданный по мотивам Umbral stealer, предназначен для сбора паролей пользователей и данных браузера с помощью Telegram. С другой стороны, программа-вымогатель шифрует все файлы и оставляет записку с требованием выкупа, содержащую ключ для расшифровки. Вредоносная программа состоит из трех основных модулей: BlockAvSites, Stealer и Ransomware.

Luxy использует различные методы для определения того, запущен ли он на виртуальной машине, такие как проверка системного UUID, имени компьютера, имени пользователя, запущенных процессов и отладчиков. Процесс SystemID сравнивает текущий системный UUID с черным списком и завершает процесс в случае совпадения. Он также идентифицирует и завершает работу известных инструментов мониторинга, запущенных в системе, путем сверки с заранее определенным списком.

Вредоносная программа содержит список занесенных в черный список идентификаторов UUID, имен компьютеров, пользователей и задач, позволяющих избежать обнаружения и мониторинга с помощью инструментов безопасности и изолированных программ. Она нацелена на несколько приложений для криптовалютных кошельков, включая Zcash, Armory, Bytecoin и другие. Вредоносная программа ищет информацию о кошельке и сохраняет ее в текстовых файлах, как только находит. Кроме того, она крадет информацию о сеансах Minecraft из различных клиентов и браузеров.

Кроме того, Luxy включает компонент под названием RobloxCookieStealer, который извлекает файлы cookie Roblox из реестров и браузеров. Он использует команды PowerShell для сбора файлов cookie и обрабатывает их с помощью задач извлечения файлов cookie из браузера. Модуль программы-вымогателя отвечает за шифрование всех файлов на пути выполнения вредоносной программы и отправку письма с требованием выкупа с контактными данными для получения ключа расшифровки.

Чтобы противостоять растущей угрозе атак вредоносных программ, таких как Luxy, пользователям рекомендуется принять меры по защите своих данных. Использование надежных решений для обеспечения безопасности, таких как K7 Total Security, и обеспечение своевременного обновления являются важнейшими мерами защиты от таких угроз. Проявляйте бдительность и инициативу при внедрении методов обеспечения кибербезопасности, чтобы снизить риски, связанные с развитием тактики вредоносных программ.

#ParsedReport #CompletenessLow
04-09-2024

New Android SpyAgent Campaign Steals Crypto Credentials via Image Recognition

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-android-spyagent-campaign-steals-crypto-credentials-via-image-recognition

Report completeness: Low

Threats:
Fakecop
Typosquatting_technique

Industry:
Financial, Government, Media

Geo:
Korea, The uk

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1071.001, T1113, T1185, T1083, T1070, T1503, T1534, T1583.001, have more...

IOCs:
Hash: 20

Soft:
Android

Algorithms:
sha256

Languages:
javascript, python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, windows: 3, dump: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея заключается в том, что исследовательская группа McAfee Mobile Research обнаружила новую мобильную вредоносную программу под названием SpyAgent, которая нацелена на мнемонические ключи, связанные с криптовалютными кошельками на устройствах Android. Вредоносная программа маскируется под поддельные приложения, тайно собирает конфиденциальную информацию, такую как текстовые сообщения и изображения, распространяется с помощью фишинговых кампаний и использует обманную тактику, чтобы избежать обнаружения. Продукты McAfee для обеспечения безопасности мобильных устройств активно отслеживают и защищают от этой угрозы, подчеркивая важность бдительности пользователей и принятия упреждающих мер безопасности для защиты от вредоносных программ для мобильных устройств.
-----

Новая мобильная вредоносная программа под названием SpyAgent нацелена на мнемонические ключи, связанные с криптовалютными кошельками на устройствах Android.

Вредоносное ПО, замаскированное под поддельные приложения, которые собирают и передают текстовые сообщения, контакты и изображения на удаленные серверы.

С января 2024 года в рамках этой схемы было выявлено более 280 поддельных приложений, нацеленных на пользователей в Корее.

Вредоносное ПО в основном распространяется посредством фишинговых кампаний с помощью текстовых сообщений или сообщений в социальных сетях, содержащих вредоносные ссылки.

Вредоносная программа крадет конфиденциальную информацию у пользователей и может получать команды с удаленных серверов.

Вредоносное ПО переключилось на WebSocket-соединения для связи C2 и использует методы обфускации, чтобы избежать обнаружения.

Распространение вредоносного ПО на Великобританию и потенциальное манипулирование личными эмоциями с помощью некрологов.

Использование контактов жертв для усиления фишинговых атак.

Крайне важна бдительность пользователей при установке приложений, управлении разрешениями и обеспечении безопасности данных.

Продукты McAfee для обеспечения безопасности мобильных устройств активно отслеживают эту угрозу и обеспечивают ее защиту.

#ParsedReport #CompletenessLow
04-09-2024

FudModule Rootkit Targets Crypto, Linked to North Korean Citrine Sleet Group

https://cyble.com/blog/fudmodule-rootkit-targets-crypto-linked-to-north-korean-citrine-sleet-group

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Fudmodule_rootkit
Kaolin_rat

Geo:
North korea, North korean

CVEs:
CVE-2024-7971 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)


ChatGPT TTPs:
do not use without manual check
T1105, T1189, T1203, T1068, T1140, T1036.005, T1568.001

IOCs:
Domain: 1

Soft:
Chromium

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские злоумышленники, в частности группа, известная как Citrine Sleet, активно используют уязвимости, в том числе уязвимость нулевого дня в Chromium (CVE-2024-7971), для развертывания сложного руткита FudModule. Их целями в первую очередь являются финансовые учреждения, особенно те, которые занимаются криптовалютой, с целью получения финансовой выгоды. Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от этих злоумышленников, и важность того, чтобы организации, особенно в финансовом секторе, сохраняли бдительность, обновляли свои системы и применяли строгие меры кибербезопасности для защиты от подобных атак.
-----

Северокорейские злоумышленники, в частности группа, известная как Citrine Sleet, а также под другими псевдонимами, такими как AppleJeus, Labyrinth Chollima, UNC4736 и Hidden Cobra, активно использовали уязвимости для развертывания руткита FudModule. Citrine Sleet, связанная с бюро 121 Главного разведывательного управления Северной Кореи, нацелена на финансовые учреждения, особенно те, которые занимаются криптовалютой, с целью получения финансовой выгоды. Эта группа злоумышленников недавно воспользовалась уязвимостью нулевого дня в Chromium, идентифицированной как CVE-2024-7971, для удаленного выполнения кода (RCE). Воспользовавшись этой уязвимостью, им удалось выполнить вредоносный код в изолированном процессе рендеринга Chromium.

Цепочка атак, наблюдавшаяся в этом инциденте, началась с того, что пользователи были перенаправлены на домен, контролируемый Citrine Sleet, с помощью тактики социальной инженерии. При подключении был активирован эксплойт RCE нулевого дня для CVE-2024-7971, позволяющий злоумышленникам внедрить шелл-код в память. Этот шеллкод включал в себя эксплойт для выхода из изолированной среды Windows и руткит FudModule, сложную вредоносную программу, предназначенную для доступа к ядру, избегая обнаружения. Руткит FudModule, предназначенный только для обработки данных, использовался злоумышленниками для получения доступа администратора к ядру в системах Windows, что позволяет им выполнять примитивные операции чтения/записи и прямое манипулирование объектами ядра (DKOM).

Кроме того, исследование показало, что FudModule эволюционировал в вариант, известный как "FudModule 2.0", что было замечено в аналогичной цепочке атак Avast. Этот обновленный вариант включает в себя вредоносные загрузчики и троянскую программу удаленного доступа поздней стадии разработки (RAT) под названием Kaolin RAT, ответственную за развертывание руткита FudModule на целевых устройствах. С тех пор Google выпустила исправление для уязвимости CVE-2024-7971, используемой Citrine Sleet, и пользователям настоятельно рекомендуется обновить свой браузер Chromium до последней версии, чтобы снизить риск подобных атак.

Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от северокорейских злоумышленников, особенно в сфере финансовых киберпреступлений и криптовалют. Использование ими уязвимостей нулевого дня в сочетании с продвинутыми вредоносными программами, такими как руткит FudModule, демонстрирует изощренность и настойчивость этих групп участников угроз. Для организаций, особенно в финансовом секторе, крайне важно сохранять бдительность в отношении подобных угроз, постоянно обновлять свои системы с помощью последних исправлений и внедрять надежные меры кибербезопасности для защиты от потенциальных эксплойтов и атак со стороны таких групп, как Citrine Sleet и связанных с ними субъектов.