Пока Summary тоже будет публиковаться. Через недельку сделаю голосовалку, нужно ли саммари и полезно ли вообще такое сгенерированное описание.

Vice Society spreads its own ransomware

https://www.intrinsec.com/wp-content/uploads/2023/02/20230119_TLPCLEAR_Vice_Society_BLOG_Version_EN.pdf

#ParsedReport
15-02-2023

Paradise Ransomware Distributed Through AweSun Vulnerability Exploitation

https://asec.ahnlab.com/en/47590

Threats:
Paradise_ransomware
Sliver_tool
Byovd_technique
Cobalt_strike
Xmrig_miner
Firebird_rat
Trojan/win.agent.c4590824
Ransom/mdp.decoy.m1171

Industry:
Financial

Geo:
China, Chinese

IOCs:
File: 3
Url: 2
Email: 2
Path: 2
Command: 1
Coin: 1
Hash: 1

Softs:
awesun, sunlogin, chrome, opera, mysql, mssql, microsoft sql

Algorithms:
rsa-1024

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Уязвимость в китайской программе удаленного управления AweSun недавно использовалась для распространения программы-вымогателя Paradise.

Программа-вымогатель Paradise — это программа-вымогатель на основе .NET, которая шифрует файлы с помощью ключей RSA, при этом определенные пути исключаются из шифрования.

Также было обнаружено, что тот же злоумышленник использует уязвимость Sunlogin и распространяет вредоносное ПО Sliver C2 и BYOVD, а также XMRig CoinMiner.

ASEC рекомендует пользователям обновить установленное программное обеспечение и программное обеспечение V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.

#ParsedReport
15-02-2023

Disguised as an illegal game program, ChromeLoader is distributing

https://asec.ahnlab.com/ko/47775

Threats:
Chromeloader
Trojan/bat.runner.s2119
Trojan/vbs.runner.s2120
Trojan/html.obfus

IOCs:
File: 18
Path: 1
Domain: 3
Hash: 5

Softs:
microsoft office, photoshop, chromium, chrome

Algorithms:
7zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Случаи использования файлов образов дисков, таких как ISO или VHD, для распространения вредоносного кода в прошлом году неуклонно росли.

Вредоносные файлы внутри файлов VHD содержат node-webkit (nw.js) и вредоносные файлы JS.

ChromeLoader, вредоносное ПО рекламного типа, запускается через эти вредоносные JS-файлы, выполняя вредоносные действия, такие как перенаправление на рекламные сайты, сбор пользовательских данных, сбор учетных данных и изменение настроек браузера.

Пользователям следует проявлять осторожность при загрузке файлов из неизвестных источников и загружать программное обеспечение только с официальных сайтов.

#ParsedReport
15-02-2023

Uncovering The Dark Side of DarkBit Ransomware

https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware

Threats:
Darkbit

Industry:
Financial, Education

Geo:
Israel

TTPs:
Tactics: 3
Technics: 5

IOCs:
Hash: 1
File: 2

Functions:
GetDriveType

Win API:
CreateMutexW, GetLogicalDrives, CreateProcessW, NtDeviceIoControlFile, GetQueuedCompletionStatusEx, PostQueuedCompletionStatus, ResumeThread

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Программа-вымогатель DarkBit представляет собой угрозу кибербезопасности, нацеленную на операционные системы Windows.

Он использует многопоточность для процесса шифрования и оставляет записку о выкупе с инструкциями по восстановлению.

Предполагается, что нападение на один из крупнейших университетов Израиля было совершено бывшим сотрудником или пропалестинскими активистами.

В записке о выкупе указаны политические мотивы, включая обвинения в адрес режима апартеида, военных преступлений и несправедливого увольнения квалифицированных сотрудников.

#ParsedReport
15-02-2023

Mirai Variant V3G4 Targets IoT Devices

https://unit42.paloaltonetworks.com/mirai-variant-v3g4

Threats:
Mirai
Moobot
Plugx_rat

Industry:
Iot

Geo:
Japanese, Chinese

CVEs:
CVE-2022-4257 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- cdatatec c-data web management system (-)

CVE-2020-15415 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- draytek vigor3900 firmware (<1.5.1)
- draytek vigor2960 firmware (<1.5.1)
- draytek vigor300b firmware (<1.5.1)

CVE-2014-9727 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Unavailable
Soft:
- avm fritz\!box (*)

CVE-2019-15107 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- webmin (le1.920)

CVE-2012-4869 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- sangoma freepbx (2.9, le2.10)

CVE-2022-36267 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- airspan airspot 5410 firmware (le0.3.4.1-4)

CVE-2017-5173 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- geutebrueck ip camera g-cam efd-2250 firmware (1.11.0.12)

CVE-2020-8515 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)

CVE-2022-26134 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)


IOCs:
Domain: 1
IP: 3
Hash: 43
File: 3

Softs:
freepbx elastix, confluence, curl

Algorithms:
xor, exhibit

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Unit 42 обнаружил новый вариант Mirai под названием V3G4, который использует несколько уязвимостей с июля по декабрь 2022 года.

Уязвимые устройства полностью контролируются злоумышленниками и становятся частью ботнета, способного запускать DDoS-атаки.

Субъект угрозы, стоящий за V3G4, был идентифицирован путем анализа трех кампаний, содержащих похожие строки, загрузчики сценариев оболочки вредоносного ПО, ключ дешифрования XOR и стоп-лист, а также функции.

Тринадцать эксплуатируемых уязвимостей позволили злоумышленникам удаленно выполнить код и получить контроль.

После получения доступа утилиты wget и curl используются для загрузки образцов клиента Mirai.

Анализ выявил вариант Mirai с унаследованными функциями от оригинального Mirai, включая раздел данных с зашифрованными учетными данными для входа по умолчанию.

Важно применять исправления и обновления, когда они доступны, и обеспечивать использование новейших решений безопасности для защиты от угроз.

#ParsedReport
15-02-2023

Malware Disguised as Normal Documents (Kimsuky)

https://asec.ahnlab.com/en/47585

Actors/Campaigns:
Kimsuky

Threats:
Manuscript

Geo:
Korea

IOCs:
File: 4
Url: 10
Hash: 4

Softs:
curl, task scheduler

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Вредоносное вредоносное ПО распространяется среди вещательных и обычных компаний, а также в сфере безопасности.

Вредоносные документы макросов Word используются для выполнения самих себя с изображением подсказки, побуждающим пользователей активировать макрос.

Вредоносное ПО содержит файл version.bat, который загружает дополнительный вредоносный скрипт, который собирает системную информацию ПК, установленные вирусные вакцины, список недавно открытых файлов Word, информацию о каталогах, запущенных процессах и реестрах, связанных с IE.

В последнее время вредоносное ПО было распространено среди обычных корпоративных пользователей, нацеленных на лиц, связанных с Северной Кореей.

Всем пользователям важно проявлять максимальную осторожность при работе с подозрительными электронными письмами и документами и воздерживаться от открытия электронных писем от неизвестных отправителей или включения макросов из документов Office.