#ParsedReport
15-02-2023
Malware Disguised as Normal Documents (Kimsuky)
https://asec.ahnlab.com/en/47585
Actors/Campaigns:
Kimsuky
Threats:
Manuscript
Geo:
Korea
IOCs:
File: 4
Url: 10
Hash: 4
Softs:
curl, task scheduler
15-02-2023
Malware Disguised as Normal Documents (Kimsuky)
https://asec.ahnlab.com/en/47585
Actors/Campaigns:
Kimsuky
Threats:
Manuscript
Geo:
Korea
IOCs:
File: 4
Url: 10
Hash: 4
Softs:
curl, task scheduler
ASEC BLOG
Malware Disguised as Normal Documents (Kimsuky) - ASEC BLOG
The ASEC analysis team has recently discovered that the malware introduced in the post, <Malware Disguised as a Manuscript Solicitation Letter (Targeting Security-Related Workers)>, is being distributed to broadcasting and ordinary companies as well as those…
CTT Report Hub
#ParsedReport 15-02-2023 Malware Disguised as Normal Documents (Kimsuky) https://asec.ahnlab.com/en/47585 Actors/Campaigns: Kimsuky Threats: Manuscript Geo: Korea IOCs: File: 4 Url: 10 Hash: 4 Softs: curl, task scheduler
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Вредоносное вредоносное ПО распространяется среди вещательных и обычных компаний, а также в сфере безопасности.
Вредоносные документы макросов Word используются для выполнения самих себя с изображением подсказки, побуждающим пользователей активировать макрос.
Вредоносное ПО содержит файл version.bat, который загружает дополнительный вредоносный скрипт, который собирает системную информацию ПК, установленные вирусные вакцины, список недавно открытых файлов Word, информацию о каталогах, запущенных процессах и реестрах, связанных с IE.
В последнее время вредоносное ПО было распространено среди обычных корпоративных пользователей, нацеленных на лиц, связанных с Северной Кореей.
Всем пользователям важно проявлять максимальную осторожность при работе с подозрительными электронными письмами и документами и воздерживаться от открытия электронных писем от неизвестных отправителей или включения макросов из документов Office.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Вредоносное вредоносное ПО распространяется среди вещательных и обычных компаний, а также в сфере безопасности.
Вредоносные документы макросов Word используются для выполнения самих себя с изображением подсказки, побуждающим пользователей активировать макрос.
Вредоносное ПО содержит файл version.bat, который загружает дополнительный вредоносный скрипт, который собирает системную информацию ПК, установленные вирусные вакцины, список недавно открытых файлов Word, информацию о каталогах, запущенных процессах и реестрах, связанных с IE.
В последнее время вредоносное ПО было распространено среди обычных корпоративных пользователей, нацеленных на лиц, связанных с Северной Кореей.
Всем пользователям важно проявлять максимальную осторожность при работе с подозрительными электронными письмами и документами и воздерживаться от открытия электронных писем от неизвестных отправителей или включения макросов из документов Office.
CTT Report Hub
#ParsedReport 15-02-2023 Malware Disguised as Normal Documents (Kimsuky) https://asec.ahnlab.com/en/47585 Actors/Campaigns: Kimsuky Threats: Manuscript Geo: Korea IOCs: File: 4 Url: 10 Hash: 4 Softs: curl, task scheduler
chatgpt_summary_eng.txt
1.7 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.4 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family
https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family
Threats:
Globeimposter
Tzw_ransomware
Lolnek
Lolkek
Geo:
Korean
TTPs:
IOCs:
Hash: 10
Domain: 2
15-02-2023
Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family
https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family
Threats:
Globeimposter
Tzw_ransomware
Lolnek
Lolkek
Geo:
Korean
TTPs:
IOCs:
Hash: 10
Domain: 2
SentinelOne
Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family
Evidence of shared infrastructure and close file similarities link new TZW ransomware to a rebrand of GlobeImposter.
CTT Report Hub
#ParsedReport 15-02-2023 Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family Threats: Globeimposter Tzw_ransomware Lolnek Lolkek Geo:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Программа-вымогатель TZW является частью известного семейства вредоносных программ GlobeImposter.
Злоумышленники, стоящие за GlobeImposter, переименовывают свои полезные нагрузки и запутывают свою инфраструктуру, чтобы оставаться анонимными.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Программа-вымогатель TZW является частью известного семейства вредоносных программ GlobeImposter.
Злоумышленники, стоящие за GlobeImposter, переименовывают свои полезные нагрузки и запутывают свою инфраструктуру, чтобы оставаться анонимными.
CTT Report Hub
#ParsedReport 15-02-2023 Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family Threats: Globeimposter Tzw_ransomware Lolnek Lolkek Geo:…
chatgpt_summary_eng.txt
1.5 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Distributed Malware Exploiting Vulnerable Innorix: Andariel
https://asec.ahnlab.com/ko/47751
Actors/Campaigns:
Lazarus
Threats:
Backdoor/win.andardoor.r558252
Backdoor/win.andardoor.c5381120
Backdoor/win.andardoor.c5382662
Backdoor/win.andardoor.c5382103
Backdoor/win.andardoor.c5382101
Geo:
Korea
IOCs:
Hash: 11
IP: 7
Softs:
task scheduler
Algorithms:
xor
15-02-2023
Distributed Malware Exploiting Vulnerable Innorix: Andariel
https://asec.ahnlab.com/ko/47751
Actors/Campaigns:
Lazarus
Threats:
Backdoor/win.andardoor.r558252
Backdoor/win.andardoor.c5381120
Backdoor/win.andardoor.c5382662
Backdoor/win.andardoor.c5382103
Backdoor/win.andardoor.c5382101
Geo:
Korea
IOCs:
Hash: 11
IP: 7
Softs:
task scheduler
Algorithms:
xor
ASEC BLOG
취약한 Innorix 악용한 악성코드 유포 : Andariel - ASEC BLOG
ASEC(AhnLab Security Emergengy response Center) 분석팀은 취약한 버전의 Innorix Agent 사용자를 타겟으로 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 백도어로 C&C 서버로 접속을 시도한다. 유포에 악용된 Innorix Agent 프로그램은 파일 전송 솔루션 클라이언트 프로그램으로, 한국인터넷진흥원(KISA)[1]에서 취약점 관련 내용을 게시하고 보안 업데이트가 권고된 INNORIX Agent 9.2.18.450…
CTT Report Hub
#ParsedReport 15-02-2023 Distributed Malware Exploiting Vulnerable Innorix: Andariel https://asec.ahnlab.com/ko/47751 Actors/Campaigns: Lazarus Threats: Backdoor/win.andardoor.r558252 Backdoor/win.andardoor.c5381120 Backdoor/win.andardoor.c5382662 Bac…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
KISA выпустила уведомление об обновлении безопасности, касающееся программы Innorix Agent, которая использовалась в злонамеренных целях.
Вредоносный код классифицируется как бэкдор и является разновидностью Andardoor.
KISA рекомендует обновлять антивирусное программное обеспечение, обновлять операционные системы Windows, использовать надежные пароли и проявлять осторожность при открытии электронных писем и переходе по ссылкам.
Пользователи должны соблюдать правила кибергигиены и предпринимать необходимые шаги для защиты от злонамеренной активности.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
KISA выпустила уведомление об обновлении безопасности, касающееся программы Innorix Agent, которая использовалась в злонамеренных целях.
Вредоносный код классифицируется как бэкдор и является разновидностью Andardoor.
KISA рекомендует обновлять антивирусное программное обеспечение, обновлять операционные системы Windows, использовать надежные пароли и проявлять осторожность при открытии электронных писем и переходе по ссылкам.
Пользователи должны соблюдать правила кибергигиены и предпринимать необходимые шаги для защиты от злонамеренной активности.
CTT Report Hub
#ParsedReport 15-02-2023 Distributed Malware Exploiting Vulnerable Innorix: Andariel https://asec.ahnlab.com/ko/47751 Actors/Campaigns: Lazarus Threats: Backdoor/win.andardoor.r558252 Backdoor/win.andardoor.c5381120 Backdoor/win.andardoor.c5382662 Bac…
chatgpt_summary_eng.txt
1.7 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.2 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Qakbot Being Distributed via OneNote
https://asec.ahnlab.com/en/47785
Threats:
Qakbot
TTPs:
Tactics: 1
Technics: 4
IOCs:
File: 2
Path: 1
Hash: 2
Url: 1
Softs:
onenote, microsoft onenote, curl, (onenote
15-02-2023
Qakbot Being Distributed via OneNote
https://asec.ahnlab.com/en/47785
Threats:
Qakbot
TTPs:
Tactics: 1
Technics: 4
IOCs:
File: 2
Path: 1
Hash: 2
Url: 1
Softs:
onenote, microsoft onenote, curl, (onenote
ASEC
Qakbot Being Distributed via OneNote - ASEC
Qakbot Being Distributed via OneNote ASEC
CTT Report Hub
#ParsedReport 15-02-2023 Qakbot Being Distributed via OneNote https://asec.ahnlab.com/en/47785 Threats: Qakbot TTPs: Tactics: 1 Technics: 4 IOCs: File: 2 Path: 1 Hash: 2 Url: 1 Softs: onenote, microsoft onenote, curl, (onenote
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Вредоносное ПО распространяется через Microsoft OneNote, и его становится все труднее обнаружить и защитить от него.
Отчет об анализе, выпущенный AhnLab ASEC, подробно описывает, как вредоносное ПО Qakbot распространяется через OneNote в виде вложения в электронном письме Outlook.
Когда пользователи нажимают на вложение, запускается скрытый объект HTA (HTML-приложение), который генерирует вредоносный код VBS и загружает полезную нагрузку, содержащую Qakbot.
Рекомендуется изолировать сеть ПК, если Qakbot обнаружен на раннем этапе, чтобы предотвратить дальнейший вред, поскольку ранее он был связан с атаками программ-вымогателей.
Мониторинг системы на наличие вредоносных программ, связанных с OneNote, и принятие мер по карантину любых подозрительных действий или программ важны для минимизации риска потенциальной атаки программ-вымогателей.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Вредоносное ПО распространяется через Microsoft OneNote, и его становится все труднее обнаружить и защитить от него.
Отчет об анализе, выпущенный AhnLab ASEC, подробно описывает, как вредоносное ПО Qakbot распространяется через OneNote в виде вложения в электронном письме Outlook.
Когда пользователи нажимают на вложение, запускается скрытый объект HTA (HTML-приложение), который генерирует вредоносный код VBS и загружает полезную нагрузку, содержащую Qakbot.
Рекомендуется изолировать сеть ПК, если Qakbot обнаружен на раннем этапе, чтобы предотвратить дальнейший вред, поскольку ранее он был связан с атаками программ-вымогателей.
Мониторинг системы на наличие вредоносных программ, связанных с OneNote, и принятие мер по карантину любых подозрительных действий или программ важны для минимизации риска потенциальной атаки программ-вымогателей.
CTT Report Hub
#ParsedReport 15-02-2023 Qakbot Being Distributed via OneNote https://asec.ahnlab.com/en/47785 Threats: Qakbot TTPs: Tactics: 1 Technics: 4 IOCs: File: 2 Path: 1 Hash: 2 Url: 1 Softs: onenote, microsoft onenote, curl, (onenote
chatgpt_summary_eng.txt
1.8 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.5 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
ASEC weekly malware statistics (20230206 \~ 20230212)
https://asec.ahnlab.com/ko/47605
Actors/Campaigns:
Ta505
Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Redline_stealer
Beamwinhttp_loader
Garbage_cleaner
Njrat
Formbook
Clipboard_grabbing_technique
Industry:
Transport
IOCs:
Url: 24
Domain: 5
IP: 1
File: 17
15-02-2023
ASEC weekly malware statistics (20230206 \~ 20230212)
https://asec.ahnlab.com/ko/47605
Actors/Campaigns:
Ta505
Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Redline_stealer
Beamwinhttp_loader
Garbage_cleaner
Njrat
Formbook
Clipboard_grabbing_technique
Industry:
Transport
IOCs:
Url: 24
Domain: 5
IP: 1
File: 17
ASEC BLOG
ASEC 주간 악성코드 통계 (20230206 ~ 20230212) - ASEC BLOG
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 2월 6일 월요일부터 2월 12일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 54.7%로 1위를 차지하였으며, 그 다음으로는 백도어가 27.7%, 이어서 인포스틸러 12.8%, 랜섬웨어 4.6%, 코인마이너 0.1%로 집계되었다. Top 1 – Amadey Amadey…
CTT Report Hub
#ParsedReport 15-02-2023 ASEC weekly malware statistics (20230206 \~ 20230212) https://asec.ahnlab.com/ko/47605 Actors/Campaigns: Ta505 Threats: Amadey Smokeloader Lockbit Gandcrab Flawedammyy Clop Redline_stealer Beamwinhttp_loader Garbage_cleaner Njrat…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
С понедельника, 6 февраля 2023 г., по воскресенье, 12 февраля 2023 г., аналитическая группа ASEC собирала и анализировала данные о различных типах вредоносных программ.
Загрузчики были наиболее распространенным типом вредоносного ПО с 54,7%, за ними следуют бэкдоры (27,7%), инфостилеры (12,8%), программы-вымогатели (4,6%) и майнеры монет (0,1%).
Вредоносная программа Amadey Bot — популярная вредоносная программа-загрузчик, часто распространяемая через SmokeLoader. Он имеет возможность устанавливать дополнительные вредоносные программы или собирать информацию о пользователях из зараженной системы.
Вредоносное ПО RedLine заняло второе место с 15,7%. Это вредоносный код для кражи информации, который крадет веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК, а также может загружать дополнительные вредоносные программы с помощью команд с C&C-сервера.
BeamWinHTTP, вредоносное ПО типа загрузчика, заняло третье место с 7,9%.
На NjRAT, вредоносное ПО RAT, которое может выполнять команды злоумышленника и передавать ключевую информацию, приходится 6,1%.
Formbook — это вредоносное ПО типа кражи информации, которое часто распространяется через вложения электронной почты. Он может украсть информацию о пользователе, такую как регистрация ключей, захват буфера обмена и захват форм веб-браузера.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
С понедельника, 6 февраля 2023 г., по воскресенье, 12 февраля 2023 г., аналитическая группа ASEC собирала и анализировала данные о различных типах вредоносных программ.
Загрузчики были наиболее распространенным типом вредоносного ПО с 54,7%, за ними следуют бэкдоры (27,7%), инфостилеры (12,8%), программы-вымогатели (4,6%) и майнеры монет (0,1%).
Вредоносная программа Amadey Bot — популярная вредоносная программа-загрузчик, часто распространяемая через SmokeLoader. Он имеет возможность устанавливать дополнительные вредоносные программы или собирать информацию о пользователях из зараженной системы.
Вредоносное ПО RedLine заняло второе место с 15,7%. Это вредоносный код для кражи информации, который крадет веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК, а также может загружать дополнительные вредоносные программы с помощью команд с C&C-сервера.
BeamWinHTTP, вредоносное ПО типа загрузчика, заняло третье место с 7,9%.
На NjRAT, вредоносное ПО RAT, которое может выполнять команды злоумышленника и передавать ключевую информацию, приходится 6,1%.
Formbook — это вредоносное ПО типа кражи информации, которое часто распространяется через вложения электронной почты. Он может украсть информацию о пользователе, такую как регистрация ключей, захват буфера обмена и захват форм веб-браузера.
CTT Report Hub
#ParsedReport 15-02-2023 ASEC weekly malware statistics (20230206 \~ 20230212) https://asec.ahnlab.com/ko/47605 Actors/Campaigns: Ta505 Threats: Amadey Smokeloader Lockbit Gandcrab Flawedammyy Clop Redline_stealer Beamwinhttp_loader Garbage_cleaner Njrat…
chatgpt_summary_eng.txt
2.3 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
5 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Hacker develops new 'Screenshotter' malware to find high-value targets
https://www.bleepingcomputer.com/news/security/hacker-develops-new-screenshotter-malware-to-find-high-value-targets
Actors/Campaigns:
Ta866 (motivation: information_theft, cyber_espionage)
Threats:
Screenshotter
Rhadamanthys
Geo:
Russian, German, Germany
Softs:
microsoft publisher, (active directory), telegram, discord, active directory
Languages:
javascript
15-02-2023
Hacker develops new 'Screenshotter' malware to find high-value targets
https://www.bleepingcomputer.com/news/security/hacker-develops-new-screenshotter-malware-to-find-high-value-targets
Actors/Campaigns:
Ta866 (motivation: information_theft, cyber_espionage)
Threats:
Screenshotter
Rhadamanthys
Geo:
Russian, German, Germany
Softs:
microsoft publisher, (active directory), telegram, discord, active directory
Languages:
javascript
BleepingComputer
Hacker develops new 'Screenshotter' malware to find high-value targets
A new threat actor tracked as TA886 targets organizations in the United States and Germany with new custom malware to perform surveillance and data theft on infected systems.