#ParsedReport
15-02-2023

Distributed Malware Exploiting Vulnerable Innorix: Andariel

https://asec.ahnlab.com/ko/47751

Actors/Campaigns:
Lazarus

Threats:
Backdoor/win.andardoor.r558252
Backdoor/win.andardoor.c5381120
Backdoor/win.andardoor.c5382662
Backdoor/win.andardoor.c5382103
Backdoor/win.andardoor.c5382101

Geo:
Korea

IOCs:
Hash: 11
IP: 7

Softs:
task scheduler

Algorithms:
xor

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

KISA выпустила уведомление об обновлении безопасности, касающееся программы Innorix Agent, которая использовалась в злонамеренных целях.

Вредоносный код классифицируется как бэкдор и является разновидностью Andardoor.

KISA рекомендует обновлять антивирусное программное обеспечение, обновлять операционные системы Windows, использовать надежные пароли и проявлять осторожность при открытии электронных писем и переходе по ссылкам.

Пользователи должны соблюдать правила кибергигиены и предпринимать необходимые шаги для защиты от злонамеренной активности.

#ParsedReport
15-02-2023

Qakbot Being Distributed via OneNote

https://asec.ahnlab.com/en/47785

Threats:
Qakbot

TTPs:
Tactics: 1
Technics: 4

IOCs:
File: 2
Path: 1
Hash: 2
Url: 1

Softs:
onenote, microsoft onenote, curl, (onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Вредоносное ПО распространяется через Microsoft OneNote, и его становится все труднее обнаружить и защитить от него.

Отчет об анализе, выпущенный AhnLab ASEC, подробно описывает, как вредоносное ПО Qakbot распространяется через OneNote в виде вложения в электронном письме Outlook.

Когда пользователи нажимают на вложение, запускается скрытый объект HTA (HTML-приложение), который генерирует вредоносный код VBS и загружает полезную нагрузку, содержащую Qakbot.

Рекомендуется изолировать сеть ПК, если Qakbot обнаружен на раннем этапе, чтобы предотвратить дальнейший вред, поскольку ранее он был связан с атаками программ-вымогателей.

Мониторинг системы на наличие вредоносных программ, связанных с OneNote, и принятие мер по карантину любых подозрительных действий или программ важны для минимизации риска потенциальной атаки программ-вымогателей.

#ParsedReport
15-02-2023

ASEC weekly malware statistics (20230206 \~ 20230212)

https://asec.ahnlab.com/ko/47605

Actors/Campaigns:
Ta505

Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Redline_stealer
Beamwinhttp_loader
Garbage_cleaner
Njrat
Formbook
Clipboard_grabbing_technique

Industry:
Transport

IOCs:
Url: 24
Domain: 5
IP: 1
File: 17

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

С понедельника, 6 февраля 2023 г., по воскресенье, 12 февраля 2023 г., аналитическая группа ASEC собирала и анализировала данные о различных типах вредоносных программ.

Загрузчики были наиболее распространенным типом вредоносного ПО с 54,7%, за ними следуют бэкдоры (27,7%), инфостилеры (12,8%), программы-вымогатели (4,6%) и майнеры монет (0,1%).

Вредоносная программа Amadey Bot — популярная вредоносная программа-загрузчик, часто распространяемая через SmokeLoader. Он имеет возможность устанавливать дополнительные вредоносные программы или собирать информацию о пользователях из зараженной системы.

Вредоносное ПО RedLine заняло второе место с 15,7%. Это вредоносный код для кражи информации, который крадет веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК, а также может загружать дополнительные вредоносные программы с помощью команд с C&C-сервера.

BeamWinHTTP, вредоносное ПО типа загрузчика, заняло третье место с 7,9%.

На NjRAT, вредоносное ПО RAT, которое может выполнять команды злоумышленника и передавать ключевую информацию, приходится 6,1%.

Formbook — это вредоносное ПО типа кражи информации, которое часто распространяется через вложения электронной почты. Он может украсть информацию о пользователе, такую ​​​​как регистрация ключей, захват буфера обмена и захват форм веб-браузера.

#ParsedReport
15-02-2023

Hacker develops new 'Screenshotter' malware to find high-value targets

https://www.bleepingcomputer.com/news/security/hacker-develops-new-screenshotter-malware-to-find-high-value-targets

Actors/Campaigns:
Ta866 (motivation: information_theft, cyber_espionage)

Threats:
Screenshotter
Rhadamanthys

Geo:
Russian, German, Germany

Softs:
microsoft publisher, (active directory), telegram, discord, active directory

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

TA886 является активным злоумышленником, нацеленным на организации в США и Германии.

TA886 использует фишинговые электронные письма для доставки вредоносных вложений или URL-адресов, которые запускают многоступенчатую цепочку атак.

Атака TA886 включает специальные вредоносные инструменты, такие как Screenshotter и сценарий загрузки вредоносного ПО, который загружает в память похититель информации Rhadamantys.

Количество электронных писем, отправленных TA886, значительно увеличилось в декабре 2022 г. и январе 2023 г.

Имеющиеся данные свидетельствуют о том, что группа работает в часовом поясе UTC +2 или UTC +3 и может базироваться в России.

#ParsedReport
15-02-2023

. Analysis of attack activities of attackers using spam to spread malicious Trojans

https://www.antiy.cn/research/notice&report/research_report/20230213.html

Threats:
Upx_tool
Flystudio

Industry:
Government

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 7
Hash: 5

Platforms:
x86, intel, arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Атака вредоносного троянского коня распространяется через спам-письма.

Строки темы спам-писем обычно являются «заказы», ​​«счета» и «квитанции».

Основным вредоносным файлом является cl32.dll, который может позволить удаленное управление и утечку данных.

Чтобы предотвратить атаку, следует использовать антивирусное программное обеспечение для сканирования и мониторинга вложений на наличие вирусов, конфиденциальную информацию следует хранить вдали от Интернета, а для обнаружения вредоносного кода следует использовать систему обнаружения вторжений.