#ParsedReport #CompletenessHigh
19-06-2025

Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication

https://www.proofpoint.com/us/blog/threat-insight/amatera-stealer-rebranded-acr-stealer-improved-evasion-sophistication

Report completeness: High

Threats:
Amatera_stealer
Acr_stealer
Lumma_stealer
Clearfake
Etherhiding_technique
Rhadamanthys
Clickfix_technique
Fakecaptcha_technique
Null-amsi_tool
Dead_drop_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.012, T1059.001, T1071.001, T1090.001, T1105, T1140, T1218.005, T1562.001, have more...

IOCs:
File: 2
Domain: 4
Hash: 6
Url: 3
Coin: 1
IP: 2

Soft:
Telegram, Event Tracing for Windows, Steam

Crypto:
binance

Algorithms:
xor, base64

Functions:
by, Write-Host, CreateTcpSocket, CreateEvent

Win API:
AcquireCredentialsHandleA, InitializeSecurityContextA, EncryptMessage, DecryptMessage, ShellExecuteA, NtCreateFile, NtQueryDirectoryFile

Languages:
javascript, powershell

Platforms:
x64, x86

Links:
https://github.com/BlackShell256/Null-AMSI
https://github.com/CBLabresearch/Clematis

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amatera Stealer, ребрендированный вариант ACR Stealer, работает как вредоносное ПО как услуга с использованием передовых методов обхода, включая обмен данными через NTSockets и жестко закодированные CDN-IP-адреса. Он использует сложные веб-технологии и тактику социальной инженерии для распространения, нацеливаясь на конфиденциальные данные из браузеров и кошельков в обход таких мер безопасности, как AMSI.
-----

Proofpoint недавно обнаружила новый вариант вредоносной программы-похитителя, известный как Amatera Stealer, который является ребрендинговой версией ACR Stealer. Amatera Stealer позиционируется как вредоносное ПО как услуга (MaaS) и был разработан с расширенными функциональными возможностями, включая улучшенные возможности антианализа. Вредоносная программа распространяется с помощью сложных веб-внедрений и необычных цепочек атак, значительно совпадая по коду со своим предшественником, ACR Stealer. Примечательно, что в последних версиях были отменены функции Steam и Telegram для управления (C2).

Amatera Stealer представляет несколько технических новшеств, в том числе использование NTSockets для связи со своим сервером C2 вместо обычных сетевых API Windows, что повышает его скрытность. Вредоносная программа устанавливает контакт со своим C2 по протоколу HTTP вскоре после запуска, запрашивая конфигурацию в формате JSON, которая направляет ее последующие действия. Чтобы еще больше усложнить обнаружение, Amatera избегает разрешения DNS, подключаясь напрямую к жестко закодированному общедоступному IP-адресу CDN, связанному с Cloudflare, и использует сложные HTTP-запросы, в которых используется неразрешаемый домен в заголовке хоста.

Метод распространения Amatera Stealer упрощается с помощью ClearFake, операции, которая внедряет вредоносные скрипты на законные сайты. Это включает в себя блокчейн-смарт-контракты с использованием технологии EtherHiding, которая выполняет вторичный скрипт, генерирующий поддельные наложения капчи, чтобы ввести пользователей в заблуждение и заставить их непреднамеренно предоставлять конфиденциальную информацию. Другой метод, называемый ClickFix, сочетает в себе тактику социальной инженерии с командами PowerShell, чтобы гарантировать соответствие пользователя требованиям к выполнению вредоносных программ. Этот метод открывает "окно проверки", в котором фактически выполняется сценарий PowerShell, который восстанавливает и запускает закодированную полезную нагрузку, отключая ведение журнала и обходя многочисленные меры безопасности, включая AMSI и ETW.

Amatera Stealer предназначен для извлечения конфиденциальных данных из веб-браузеров, криптовалютных кошельков и приложений для обмена сообщениями. Он использует передовые механизмы внедрения шелл-кода для получения доступа к целевым файлам, что позволяет избежать обнаружения конечными устройствами. Обработанная информация агрегируется и впоследствии передается обратно на сервер C2 посредством закодированных HTTP POST-запросов.

Разработка Amatera Stealer подчеркивает растущую угрозу, исходящую от похитителей информации, особенно в свете усиления конкуренции из-за сбоев в работе других популярных решений MAAS, таких как Lumma Stealer. Поскольку вредоносное ПО продолжает активно развиваться, оно использует изощренные тактики обхода, которые требуют принятия надежных мер кибербезопасности. Организациям крайне важно усилить свою защиту от подобных угроз, повышая уровень информированности пользователей о методах социальной инженерии и ограничивая выполнение несанкционированных сценариев.

#ParsedReport #CompletenessLow
19-06-2025

Threat Insight: Cybercriminals Abusing Vercel to Deliver Remote Access Malware

https://cyberarmor.tech/threat-insight-cybercriminals-abusing-vercel-to-deliver-remote-access-malware/

Report completeness: Low

Threats:
Logmein_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1219, T1566, T1566.002, T1584.006

IOCs:
File: 1
Hash: 3

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использует платформу Vercel для распространения вредоносной версии LogMeIn, обеспечивающей удаленный доступ к зараженным системам. В ней используется поддельный Adobe PDF Viewer, чтобы обманом заставить пользователей загружать вредоносное ПО, повысить легитимность и избежать обнаружения.
-----

Компания CyberArmor выявила недавнюю фишинговую кампанию, которая использует Vercel, легальную платформу для размещения веб-сайтов, для распространения вредоносной версии LogMeIn. Киберпреступники злоупотребляют этим законным инструментом удаленного доступа для получения полного контроля над системами жертв. Фишинговые электронные письма, распространяемые этими хакерами, содержат ссылки, которые направляют получателей на вредоносную веб-страницу, размещенную на Vercel. Эта страница имитирует программу просмотра Adobe PDF и предлагает посетителям загрузить то, что выглядит как подлинный документ.

После выполнения файла он устанавливается в целевую систему и инициирует подключение к серверу LogMeIn. Это подключение предоставляет злоумышленникам удаленный доступ к взломанному компьютеру, облегчая дальнейшую эксплуатацию. Одной из характерных особенностей этой атаки является злоупотребление авторитетной платформой — использование доменов под *.vercel.app повышает видимость легитимности фишингового сайта, тем самым повышая вероятность успешного заражения. Кроме того, поскольку LogMeIn является легальным приложением, его использование сводит к минимуму риски обнаружения традиционным программным обеспечением безопасности, облегчая хакерам обход средств защиты.

Кампания в значительной степени опирается на тактику социальной инженерии, эффективно вводя жертв в заблуждение, заставляя их поверить в то, что поддержка, связанная с инструментом, является подлинной. Эта манипуляция приводит к тому, что люди невольно устанавливают инструмент, что еще больше помогает злоумышленникам в их попытках взломать системы. В целом, сочетание законного использования платформы, хорошо известного программного приложения и убедительной социальной инженерии создает мощный вектор угрозы, требующий повышенной осведомленности и осторожности потенциальных целей.

#ParsedReport #CompletenessMedium
19-06-2025

Uncovering a Tor-Enabled Docker Exploit

https://www.trendmicro.com/ru_ru/research/25/f/tor-enabled-docker-exploit.html

Report completeness: Medium

Threats:
Xmrig_miner
Masscan_tool
Libpcap_tool
Coinminer
Malxmr_miner

Industry:
Healthcare, Critical_infrastructure

TTPs:
Tactics: 6
Technics: 10

IOCs:
IP: 1
Hash: 4
Url: 3

Soft:
Docker, alpine, curl, Unix, Linux

Algorithms:
base64

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали неправильно настроенные API-интерфейсы Docker для развертывания скрытных майнеров криптовалюты, используя Tor для обеспечения анонимности. Они создали постоянный бэкдор и использовали massscan и torsocks для бокового перемещения, в конечном итоге развернув майнер XMRig с помощью полезной нагрузки, сжатой по стандарту Z.
-----

Недавняя кампания по кибератакам использовала неправильно настроенные удаленные API-интерфейсы Docker в сочетании с сетью Tor для развертывания операций скрытого майнинга криптовалют. Злоумышленники получили доступ к контейнерным средам, используя открытые API-интерфейсы Docker, и использовали анонимность Tor для маскировки своих действий во время установки криптомайнеров. В ходе кампании, в частности, использовался инструмент zstd, известный своими эффективными возможностями сжатия и распаковки.

Последовательность атак была инициирована запросом с IP-адреса 198.199.72.27, направленным на удаленный API-сервер Docker для получения списка активных контейнеров. Злоумышленники создали контейнер, используя образ "alpine", при монтировании корневого каталога хоста, что является распространенным подходом для манипулирования хост-системой. Они скрыли свою полезную нагрузку, закодировав команды в base64, которые впоследствии были расшифрованы и выполнены для создания среды Tor внутри контейнера. Это облегчало анонимную загрузку и выполнение вредоносного ПО со скрытого сервера ".onion", эффективно скрывая инфраструктуру управления.

В основе атаки лежал вредоносный shell-скрипт "docker-init.sh", который изменил конфигурацию SSH хоста, чтобы включить вход root, и добавил открытый SSH-ключ в файл authorized_keys, создав, таким образом, постоянный бэкдор. Злоумышленники использовали такие инструменты, как massscan для бокового перемещения и torsocks, чтобы обеспечить передачу всех сообщений через сеть Tor. Эта настройка позволила злоумышленникам эффективно передавать системные данные обратно.

Установив точку опоры, злоумышленники загрузили полезную нагрузку, сжатую по стандарту Z, специально разработанную для архитектуры цели. После распаковки и выполнения эта полезная нагрузка служила дроппером для майнера криптовалюты XMRig, содержащим все необходимые компоненты для работы и устраняющим необходимость в загрузке извне. Этот метод значительно уменьшил масштаб атаки и повысил скрытность при развертывании.

#ParsedReport #CompletenessLow
19-06-2025

TxTag Takedown: Busting Phishing Email Schemes

https://cofense.com/blog/txtag-takedown-busting-phishing-email-schemes

Report completeness: Low

Industry:
Government

IOCs:
Domain: 1
Url: 4
IP: 1

#ParsedReport #CompletenessMedium
18-06-2025

Fileless AsyncRAT Distributed Via Clickfix Technique Targeting German Speaking Users

https://www.cloudsek.com/blog/fileless-asyncrat-distributed-via-clickfix-technique-targeting-german-speaking-users

Report completeness: Medium

Threats:
Asyncrat
Clickfix_technique
Lolbin_technique
Process_injection_technique

Geo:
German

TTPs:
Tactics: 2
Technics: 12

IOCs:
Command: 4
Path: 2
File: 8
Registry: 9
Url: 2
IP: 14
Domain: 1

Soft:
Windows registry

Algorithms:
base64

Functions:
Set-ItemProperty, ma, CreateNoWindow, Connect

Win API:
GetCurrentProcess

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания выявила бесфайловый вариант AsyncRAT, ориентированный на немецкоговорящих пользователей с помощью запутанного скрипта PowerShell. Он использует загрузку в оперативную память, изменяет ключи реестра для обеспечения сохраняемости и взаимодействует с сервером C2 через порт 4444, обеспечивая кражу учетных данных и эксфильтрацию данных, избегая при этом хранения файлов.
-----

Недавно была выявлена кампания, в которой использовался файловый вариант AsyncRAT, реализованный с помощью запутанного сценария PowerShell. Эта атака нацелена конкретно на немецкоговорящих пользователей, о чем свидетельствует язык, используемый в поддельном приглашении для подтверждения, которое убеждает жертв выполнить вредоносную команду. Вредоносная программа использует легальные системные утилиты и хитроумно манипулирует загрузчиками C# в памяти, чтобы избежать обнаружения. Как только вредоносная программа запускается, она устанавливает постоянство, изменяя ключи реестра, и подключается к серверу удаленного управления (C2) через порт 4444, что позволяет злоумышленникам поддерживать полный удаленный контроль, осуществлять кражу учетных данных и эксфильтрацию данных без записи каких-либо файлов на диск.

При запуске вредоносной программы используются определенные флаги PowerShell: -w hidden для скрытия окна PowerShell, -nop для предотвращения загрузки профилей пользователей и -c для непосредственного выполнения команд. Вредоносный скрипт предназначен для обеспечения его повторного выполнения при следующем входе в систему путем внесения изменений в путь к реестру RunOnce. Обратный класс C# используется в полезной нагрузке для создания бэкдора, который облегчает передачу данных по TCP-сокету, управление процессами и перенаправление ввода/вывода между скомпрометированной системой и сервером C2.

В этой атаке используется несколько тактик и приемов, отличающихся от методологии работы AsyncRAT. Вредоносная программа использует PowerShell (TTP: T1059.001) для выполнения, используя метод обфускации путем вызова conhost.exe. Основные функциональные возможности AsyncRAT динамически загружаются с помощью этой команды PowerShell и компилируются в памяти с помощью функции PowerShell Add-Type, что является примером метода компиляции после доставки (TTP: T1127.001). Кроме того, используется подписанный двоичный прокси-сервер, использующий rundll32 для облегчения дальнейшего выполнения полезной нагрузки.

Коммуникационные соглашения AsyncRAT включают использование нестандартных портов (TTP: T1571), в частности, для постоянных подключений через порты, подобные 4444, что свидетельствует о его долгосрочных эксплуатационных возможностях. Устойчивость достигается главным образом за счет изменений реестра в HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, что позволяет вредоносному ПО беспрепятственно запускаться при входе пользователя в систему без необходимости получения повышенных привилегий, что позволяет избежать контроля учетных записей пользователей (UAC).

Таким образом, AsyncRAT предоставляет злоумышленникам обширный удаленный доступ, позволяя выполнять различные вредоносные действия, такие как кейлоггинг, извлечение учетных данных из браузеров и удаленное выполнение команд, сохраняя при этом скрытность благодаря методам выполнения в памяти и запутанным каналам связи. Меры по устранению неполадок направлены на мониторинг активности PowerShell, изменений в реестре и использование сканирования памяти для обнаружения этих все более сложных полезных нагрузок.

#ParsedReport #CompletenessLow
18-06-2025

Cloaked Shadow APT Group: Tactics, Techniques, and Procedures Underway

https://redsecurity.ru/news/apt-gruppirovka-cloaked-shadow-razbor-taktik-tekhnik-i-protsedur

Report completeness: Low

Actors/Campaigns:
Cloaked_shadow (motivation: cyber_espionage)
C0met

Threats:
Timestomp_technique
Tinyshell
Dropbear_tool
Dns_tunneling_technique
Chisel_tool
Impacket_tool
Ollvm_tool

Victims:
Major russian companies, Organizations in the defense industry, Organizations in it

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1003.001, T1003.003, T1005, T1021.001, T1027, T1036, T1053.005, T1059, T1070.004, have more...

IOCs:
File: 3
IP: 5
Hash: 10

Soft:
Linux

Links:
https://github.com/Acebond/ReverseSocks5
https://github.com/creaktive/tsh
have more...
https://github.com/Fahrj/reverse-ssh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT Cloaked Shadow нацелена на российский оборонный и ИТ-сектор, используя для шпионажа такие методы, как очистка журналов и отслеживание времени. Они используют запланированные задачи Windows и повышенные привилегии, используют системы Linux для операций и такие инструменты, как Dropbear, с модифицированными SSH-ключами для скрытого доступа. Их сосредоточенность на извлечении данных из пользовательских каталогов и передовых технологиях C2, включая туннелирование DNS, иллюстрирует их растущие возможности в поддержании постоянства и предотвращении обнаружения.
-----

Недавно выявленная APT-группа Cloaked Shadow ("Скрытая тень") нацелена на крупные российские компании, особенно в оборонном и IT-секторах, с упором на шпионаж. Группа использует ряд передовых методов для сокрытия своей деятельности, включая очистку журналов, отслеживание времени и изощренные методы противодействия коррупции. Они используют различные инструменты с открытым исходным кодом, которые часто не обнаруживаются системами безопасности и в основном работают в системах Linux. Их методы получения доступа включают использование запланированных задач в инфраструктурах Windows и использование законных учетных записей с повышенными привилегиями, таких как учетная запись ansible, распространенная в крупных средах Linux.

Чтобы перемещаться по сетям своих целей, Cloaked Shadow использует различные утилиты для повышения разрешений и сброса учетных данных из процесса LSASS. Они также используют учетные записи доменов, полученные в системах Linux. Это включает использование уязвимостей в серии ESC и кражу данных с использованием ntds.база данных dit. Их оперативный подход предполагает создание обширных цепочек скомпрометированных серверов в сетях жертв, часто превышающих пять узлов, для облегчения дальнейшего проникновения и сокрытия их деятельности. Они даже сконфигурировали локальные серверы жертв как серверы управления (C2) для доступа к другим сегментам сети.

Во время фильтрации данных группа нацелена на домашние каталоги пользователей, пароли, ключи, сертификаты и конфиденциальные документы. Примечательно, что они упаковывают инструменты в пользовательские загрузчики ELF, шифруя полезную нагрузку и используя дочерний процесс для маскировки своих действий. Такие инструменты, как Dropbear и reverse-SSH, позволяют им обходить журналы и оставаться незамеченными. Злоумышленники модифицировали Dropbear для встраивания SSH-ключей в исполняемые файлы, используя методы, предотвращающие успешную аутентификацию по паролю, тем самым обеспечивая постоянный доступ.

Специалисты Cloaked Shadow умеют устранять следы своей деятельности, удаляя журналы регистрации ключей и используя методы отслеживания времени, чтобы скрыть временные метки вредоносных файлов. Они используют передовые методы, включая процессы монтирования в procfs для сокрытия запущенного вредоносного ПО. Взаимодействуя с компаниями-жертвами, они умело маскировали свои операции C2, используя обычные сервисы, такие как подключение к сервису youtube-dl, чтобы оставаться незамеченными.

По мере развития хакеров они переходят от базовых инструментов с открытым исходным кодом к более сложным проприетарным вредоносным программам, включая образцы, которые взаимодействуют через туннели DNS и используют зашифрованные строки для предотвращения обнаружения. Их образцы бэкдоров связываются с управляющими серверами посредством DNS-запросов, и определение их инструментов, тактик, методов и процедур (TTP) имеет решающее значение для совершенствования стратегий обнаружения и предотвращения. Аналитики постоянно следят за деятельностью этой группы, чтобы лучше понять ее развивающиеся возможности и расширить набор показателей для будущих анализов.

#ParsedReport #CompletenessLow
19-06-2025

Expanding on ChunkyIngress - Clippy Goes Rogue (GoClipC2)

https://blog.zsec.uk/clippy-goes-rogue/

Report completeness: Low

Threats:
Goclipc2
Coffloader

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1086, T1095, T1105, T1548.002

IOCs:
File: 4

Algorithms:
aes-gcm, base64

Functions:
Write-Output, Set-Clipboard, Read-Host

Win API:
CloseClipboard, EmptyClipboard

Languages:
golang, powershell

Platforms:
apple

Links:
have more...
https://github.com/inguardians/Invoke-Clipboard?ref=blog.zsec.uk
https://github.com/ZephrFish/ChunkyIngress?ref=blog.zsec.uk

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoClipC2 - это платформа управления, которая использует буфер обмена Windows для скрытой связи в средах VDI/RDP. Он обходит мониторинг сети, используя зашифрованные сообщения Base64, что облегчает проникновение данных и их эксфильтрацию при обходе ограничений UAC. Платформа поддерживает мониторинг буфера обмена для выполнения команд и передачи файлов, маскируя сообщения под безопасные действия, чтобы избежать обнаружения. Будущие улучшения могут улучшить обфускацию и управление трассировкой выполнения.
-----

GoClipC2 - это инновационная платформа управления (C2), которая использует буфер обмена Windows в качестве скрытого канала связи, специально разработанного для сред VDI (инфраструктура виртуальных рабочих столов) и RDP (протокол удаленного рабочего стола). Он работает в обход традиционных средств сетевого мониторинга за счет использования зашифрованных сообщений в кодировке Base64, тем самым обеспечивая как проникновение, так и эксфильтрацию информации в ситуациях, когда доступен PowerShell.

Разработка GoClipC2 основана на существующих методологиях выполнения команд на основе буфера обмена, которые можно увидеть в таких инструментах, как Invoke-Clipboard, но направлена на расширение возможностей и универсальности, предоставляемых языком программирования Go. Платформа обеспечивает поддержку более сложных форматов данных и эффективно управляет операциями с буфером обмена, которые ранее сталкивались с ограничениями из-за контроля учетных записей пользователей (UAC) в средах Windows, начиная с XP и заканчивая Windows 10/11. Эти ограничения UAC препятствуют взаимодействию с буфером обмена между приложениями с разными уровнями привилегий, и GoClipC2 стремится учесть этот фактор, используя взаимодействия приложений, разработанные в Go.

GoClipC2 работает путем установления отношений клиент-сервер — развертывания сервера на компьютере-контроллере, а клиентского двоичного файла - на целевых узлах VDI/RDP. Механизм C2 предназначен для отслеживания изменений в буфере обмена с регулярными интервалами (первоначально планировалось, что они будут составлять 500 миллисекунд), чтобы облегчить выполнение команд и передачу данных. Платформа поддерживает ряд действий на уровне C2, включая адаптивную систему мониторинга состояния соединения, выполнение команд с помощью таких типов сообщений, как MSG_COMMAND и MSG_RESPONSE, а также передачу файлов с помощью обмена сообщениями на основе фрагментов с помощью MSG_FILE_CHUNK и MSG_FILE_COMPLETE для обеспечения надежности.

Сообщения, передаваемые в рамках платформы GoClipC2, маскируются под вредоносную активность системы с помощью префикса SYUPD, что затрудняет их обнаружение при случайном мониторинге буфера обмена и снижает вероятность возникновения предупреждений от автоматизированных средств безопасности. Инфраструктура может обнаруживать специфические операционные действия, такие как выполнение скрытых процессов, запуск дочерних процессов, связанных с PowerShell или cmd.exe, и отслеживать разведывательные действия с помощью взаимодействий со службой буфера обмена. Кроме того, особое внимание уделяется распознаванию потенциальных попыток повышения привилегий, что еще больше повышает операционную безопасность.

Будущие усовершенствования для GoClipC2 могут включать в себя дополнение для выполнения в процессе и улучшения, направленные на обфускацию следов выполнения с использованием большего количества встроенных функций Go, а не традиционных дочерних процессов, что указывает на непрерывную эволюцию тактики, направленной на усиление скрытой функциональности этой платформы C2 и уклонение от обнаружения механизмами безопасности в современных средах.

#ParsedReport #CompletenessHigh
20-06-2025

Shadow Vector targets Colombian users via privilege escalation and court-themed SVG decoys

https://www.acronis.com/en-us/cyber-protection-center/posts/shadow-vector-targets-colombian-users-via-privilege-escalation-and-court-themed-svg-decoys/

Report completeness: High

Actors/Campaigns:
Shadow_vector (motivation: information_theft, cyber_criminal, financially_motivated)

Threats:
Asyncrat
Dll_sideloading_technique
Spear-phishing_technique
Katz_loader
Uac_bypass_technique
Process_injection_technique
Smuggling_technique
Dllsearchorder_hijacking_technique
Process_hollowing_technique
Killproxy_tool
Anydesk_tool
Remcos_rat
Zemana_tool
Icarus
Putty_tool

Victims:
Individuals, Organizations, Judicial employees, Citizens

Industry:
Financial, Transport

Geo:
Colombian, Portuguese, Latin american, Brazil, Colombia, Brazilian, Latin america, Spanish

CVEs:
CVE-2022-42045 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchdog anti-virus (4.1.422)
- zemana antimalware (3.2.28)

CVE-2023-1486 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wisecleaner wise force deleter (1.5.3.54)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1021.001, T1027, T1027.002, T1041, T1053.005, T1055.012, T1056.001, T1057, have more...

IOCs:
Hash: 157
File: 30
Domain: 1
Coin: 1
Command: 3
Path: 1

Soft:
Dropbox, Discord, VirtualBox, Ledger_Live, Chrome

Wallets:
ergo_wallet, exodus_wallet, coinomi, bitcoincore

Crypto:
binance

Algorithms:
base64, sha256, zip, rc4, xor, aes

Functions:
BrotliEncoderCreateInstance, Windows, ProcessStartInfo, SetWindowsHookEx, HookCallback, Plugins

Win API:
NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, NtWriteVirtualMemory, NtResumeThread, CheckRemoteDebuggerPresent, Decompress, GetFileVersionInfoSizeW, GetProcAddress, Process32First, have more...

Win Services:
ekrn, mfemms, McShield, AvastSvc, MsMpEng

Languages:
javascript, powershell

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_katz\_stealer.yar
https://github.com/Securityinbits/AsyncRAT-Analysis/blob/main/CyberChef\_Recipe.md