#ParsedReport
15-02-2023
. Analysis of attack activities of attackers using spam to spread malicious Trojans
https://www.antiy.cn/research/notice&report/research_report/20230213.html
Threats:
Upx_tool
Flystudio
Industry:
Government
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 7
Hash: 5
Platforms:
x86, intel, arm
15-02-2023
. Analysis of attack activities of attackers using spam to spread malicious Trojans
https://www.antiy.cn/research/notice&report/research_report/20230213.html
Threats:
Upx_tool
Flystudio
Industry:
Government
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 7
Hash: 5
Platforms:
x86, intel, arm
www.antiy.cn
攻击者利用垃圾邮件传播恶意木马的攻击活动分析
近日,哈工大安天联合CERT实验室监测到多起利用垃圾邮件传播恶意木马的攻击活动
CTT Report Hub
#ParsedReport 15-02-2023 . Analysis of attack activities of attackers using spam to spread malicious Trojans https://www.antiy.cn/research/notice&report/research_report/20230213.html Threats: Upx_tool Flystudio Industry: Government TTPs: Tactics: 5 Technics:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Атака вредоносного троянского коня распространяется через спам-письма.
Строки темы спам-писем обычно являются «заказы», «счета» и «квитанции».
Основным вредоносным файлом является cl32.dll, который может позволить удаленное управление и утечку данных.
Чтобы предотвратить атаку, следует использовать антивирусное программное обеспечение для сканирования и мониторинга вложений на наличие вирусов, конфиденциальную информацию следует хранить вдали от Интернета, а для обнаружения вредоносного кода следует использовать систему обнаружения вторжений.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Атака вредоносного троянского коня распространяется через спам-письма.
Строки темы спам-писем обычно являются «заказы», «счета» и «квитанции».
Основным вредоносным файлом является cl32.dll, который может позволить удаленное управление и утечку данных.
Чтобы предотвратить атаку, следует использовать антивирусное программное обеспечение для сканирования и мониторинга вложений на наличие вирусов, конфиденциальную информацию следует хранить вдали от Интернета, а для обнаружения вредоносного кода следует использовать систему обнаружения вторжений.
CTT Report Hub
#ParsedReport 15-02-2023 . Analysis of attack activities of attackers using spam to spread malicious Trojans https://www.antiy.cn/research/notice&report/research_report/20230213.html Threats: Upx_tool Flystudio Industry: Government TTPs: Tactics: 5 Technics:…
chatgpt_summary_eng.txt
1.9 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
4 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
GuLoader a highly effective and versatile malware that can evade detection
https://cybersecurity.att.com/blogs/security-essentials/guloader-a-highly-effective-and-versatile-malware-that-can-evade-detection
Threats:
Cloudeye
Process_hollowing_technique
Ratdispenser_rat
Ryuk
Industry:
Healthcare, Financial, Government
IOCs:
File: 1
Algorithms:
base64
Languages:
javascript, visual_basic
15-02-2023
GuLoader a highly effective and versatile malware that can evade detection
https://cybersecurity.att.com/blogs/security-essentials/guloader-a-highly-effective-and-versatile-malware-that-can-evade-detection
Threats:
Cloudeye
Process_hollowing_technique
Ratdispenser_rat
Ryuk
Industry:
Healthcare, Financial, Government
IOCs:
File: 1
Algorithms:
base64
Languages:
javascript, visual_basic
AT&T Cybersecurity
GuLoader – a highly effective and versatile malware that can evade detection
The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article.
This blog was jointly authored with Arjun Patel.
GuLoader is a malware…
This blog was jointly authored with Arjun Patel.
GuLoader is a malware…
CTT Report Hub
#ParsedReport 15-02-2023 GuLoader a highly effective and versatile malware that can evade detection https://cybersecurity.att.com/blogs/security-essentials/guloader-a-highly-effective-and-versatile-malware-that-can-evade-detection Threats: Cloudeye Pro…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
GuLoader — это вредоносный загрузчик, используемый для распространения других вредоносных программ, таких как программы-вымогатели и банковские трояны, которые используются для уклонения от обнаружения.
Обычно он распространяется посредством фишинговых кампаний или загрузок из машины.
Он использует упаковку и шифрование, а также законные веб-сайты и службы в качестве серверов управления и контроля (C2), чтобы оставаться незамеченным.
Он использует передовые методы защиты от отладки и анализа, чтобы затруднить обратный инжиниринг и анализ.
Он успешно использовался в громких атаках, таких как атака программы-вымогателя Ryuk, и был нацелен на правительственные учреждения и организации здравоохранения, а также на частных лиц и малый бизнес.
Для борьбы с этим вредоносным ПО организациям необходимо внедрить комбинацию межсетевого экрана следующего поколения (NGFW), решений безопасности для управления информацией и событиями (SIEM) и EDR, а также передовые методы обеспечения безопасности на каждом уровне своей инфраструктуры.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
GuLoader — это вредоносный загрузчик, используемый для распространения других вредоносных программ, таких как программы-вымогатели и банковские трояны, которые используются для уклонения от обнаружения.
Обычно он распространяется посредством фишинговых кампаний или загрузок из машины.
Он использует упаковку и шифрование, а также законные веб-сайты и службы в качестве серверов управления и контроля (C2), чтобы оставаться незамеченным.
Он использует передовые методы защиты от отладки и анализа, чтобы затруднить обратный инжиниринг и анализ.
Он успешно использовался в громких атаках, таких как атака программы-вымогателя Ryuk, и был нацелен на правительственные учреждения и организации здравоохранения, а также на частных лиц и малый бизнес.
Для борьбы с этим вредоносным ПО организациям необходимо внедрить комбинацию межсетевого экрана следующего поколения (NGFW), решений безопасности для управления информацией и событиями (SIEM) и EDR, а также передовые методы обеспечения безопасности на каждом уровне своей инфраструктуры.
CTT Report Hub
#ParsedReport 15-02-2023 GuLoader a highly effective and versatile malware that can evade detection https://cybersecurity.att.com/blogs/security-essentials/guloader-a-highly-effective-and-versatile-malware-that-can-evade-detection Threats: Cloudeye Pro…
chatgpt_summary_eng.txt
2.7 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
5.3 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes
https://asec.ahnlab.com/en/47739
Threats:
Lockbit
Trojan/win.generic.r553808
Ransomware/mdp.command.m1751
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 3
Command: 1
Hash: 2
Softs:
bcdedit
15-02-2023
Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes
https://asec.ahnlab.com/en/47739
Threats:
Lockbit
Trojan/win.generic.r553808
Ransomware/mdp.command.m1751
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 3
Command: 1
Hash: 2
Softs:
bcdedit
ASEC BLOG
Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes - ASEC BLOG
The ASEC analysis team has identified that Lockbit 2.0 is being distributed in a MalPE format instead of the NSIS format which the team had introduced it with previously. The MalPE format is a type of packing method that disrupts the analysis of the actual…
CTT Report Hub
#ParsedReport 15-02-2023 Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes https://asec.ahnlab.com/en/47739 Threats: Lockbit Trojan/win.generic.r553808 Ransomware/mdp.command.m1751 TTPs: Tactics: 1 Technics: 0 IOCs: File: 3 Command:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Lockbit 2.0 — это тип программы-вымогателя, который с января 2021 года распространяется через электронные письма, замаскированные под заявления о приеме на работу.
Он имеет несколько характеристик, которые отличают его от других типов вредоносного программного обеспечения, в том числе измененный значок, напоминающий хангыль, удаление журналов событий и создание примечания о выкупе с именем файла Restore-My-Files.txt.
Компании должны убедиться, что их программное обеспечение для защиты от вредоносных программ обновлено, а пользователи должны принимать дополнительные меры предосторожности при работе с незнакомыми электронными письмами.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Lockbit 2.0 — это тип программы-вымогателя, который с января 2021 года распространяется через электронные письма, замаскированные под заявления о приеме на работу.
Он имеет несколько характеристик, которые отличают его от других типов вредоносного программного обеспечения, в том числе измененный значок, напоминающий хангыль, удаление журналов событий и создание примечания о выкупе с именем файла Restore-My-Files.txt.
Компании должны убедиться, что их программное обеспечение для защиты от вредоносных программ обновлено, а пользователи должны принимать дополнительные меры предосторожности при работе с незнакомыми электронными письмами.
CTT Report Hub
#ParsedReport 15-02-2023 Continuous Distribution of LockBit 2.0 Ransomware Disguised as Resumes https://asec.ahnlab.com/en/47739 Threats: Lockbit Trojan/win.generic.r553808 Ransomware/mdp.command.m1751 TTPs: Tactics: 1 Technics: 0 IOCs: File: 3 Command:…
chatgpt_summary_eng.txt
1.5 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.1 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator
https://asec.ahnlab.com/en/47789
Threats:
Pybot
Vidar_stealer
Cryptbot_stealer
Redline_stealer
Mirai
Bashlite
Tsunami_botnet
Tcpsynflood_technique
Trojan/lnk.runner
Dropper/win.agent.c5377911
Dropper/win.agent.c5377914
Industry:
Iot
IOCs:
File: 6
Hash: 6
Url: 3
Domain: 1
Softs:
discord, nitro generator, discord nitro generator, pyinstaller, bat2exe, curl
Languages:
python
15-02-2023
PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator
https://asec.ahnlab.com/en/47789
Threats:
Pybot
Vidar_stealer
Cryptbot_stealer
Redline_stealer
Mirai
Bashlite
Tsunami_botnet
Tcpsynflood_technique
Trojan/lnk.runner
Dropper/win.agent.c5377911
Dropper/win.agent.c5377914
Industry:
Iot
IOCs:
File: 6
Hash: 6
Url: 3
Domain: 1
Softs:
discord, nitro generator, discord nitro generator, pyinstaller, bat2exe, curl
Languages:
python
ASEC BLOG
PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator - ASEC BLOG
A major method through which threat actors distribute malware is by uploading them to sites disguised as cracks or illegal software. After a threat actor uploads their malware disguised as a crack or serial keygen for some paid software, users become infected…
CTT Report Hub
#ParsedReport 15-02-2023 PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator https://asec.ahnlab.com/en/47789 Threats: Pybot Vidar_stealer Cryptbot_stealer Redline_stealer Mirai Bashlite Tsunami_botnet Tcpsynflood_technique…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Наиболее важные факты из этого текста:.
Злоумышленники используют взломщики и серийные генераторы ключей для нелегального программного обеспечения как способ распространения вредоносного ПО.
Pybot, вредоносное ПО DDoS Bot с открытым исходным кодом, разработанное с помощью Python, распространяется через эти нелегальные программы.
Вредонос скачивается в виде установщика и запускается под именем азот.exe или ntrg.exe.
Недавно PYbot был обнаружен вместе с нелегальной программой, связанной с платным сервисом Discord под названием Nitro.
Системы пользователей могут использоваться в качестве ботов для выполнения DDoS-атак против определенных целей по команде злоумышленника.
Важно соблюдать осторожность при загрузке программ из неизвестных источников и постоянно обновлять антивирусную защиту, чтобы свести к минимуму риск заражения.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Наиболее важные факты из этого текста:.
Злоумышленники используют взломщики и серийные генераторы ключей для нелегального программного обеспечения как способ распространения вредоносного ПО.
Pybot, вредоносное ПО DDoS Bot с открытым исходным кодом, разработанное с помощью Python, распространяется через эти нелегальные программы.
Вредонос скачивается в виде установщика и запускается под именем азот.exe или ntrg.exe.
Недавно PYbot был обнаружен вместе с нелегальной программой, связанной с платным сервисом Discord под названием Nitro.
Системы пользователей могут использоваться в качестве ботов для выполнения DDoS-атак против определенных целей по команде злоумышленника.
Важно соблюдать осторожность при загрузке программ из неизвестных источников и постоянно обновлять антивирусную защиту, чтобы свести к минимуму риск заражения.
CTT Report Hub
#ParsedReport 15-02-2023 PYbot DDoS Malware Being Distributed Disguised as a Discord Nitro Code Generator https://asec.ahnlab.com/en/47789 Threats: Pybot Vidar_stealer Cryptbot_stealer Redline_stealer Mirai Bashlite Tsunami_botnet Tcpsynflood_technique…
chatgpt_summary_eng.txt
1.4 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
2.9 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Anti-forensic techniques used by the Lazarus group
https://asec.ahnlab.com/ko/47820
Actors/Campaigns:
Lazarus
Threats:
Steganography_technique
Lazarshell
Lazarloader
Lazardoor
IOCs:
Path: 2
File: 2
Hash: 22
Softs:
windows file system
15-02-2023
Anti-forensic techniques used by the Lazarus group
https://asec.ahnlab.com/ko/47820
Actors/Campaigns:
Lazarus
Threats:
Steganography_technique
Lazarshell
Lazarloader
Lazardoor
IOCs:
Path: 2
File: 2
Hash: 22
Softs:
windows file system
ASEC
라자루스 그룹이 사용한 안티 포렌식 기법 - ASEC
라자루스 그룹이 사용한 안티 포렌식 기법 ASEC
CTT Report Hub
#ParsedReport 15-02-2023 Anti-forensic techniques used by the Lazarus group https://asec.ahnlab.com/ko/47820 Actors/Campaigns: Lazarus Threats: Steganography_technique Lazarshell Lazarloader Lazardoor IOCs: Path: 2 File: 2 Hash: 22 Softs: windows file…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Lazarus Group — это группа вредоносных атак, которая была обнаружена в различных компаниях.
Аналитическая группа ASEC AhnLab следит за группой и связанными с ней тактиками, методами и процедурами (TTP).
Lazarus Group применяет антикриминалистические методы, чтобы избежать обнаружения и сбора доказательств.
Эти методы включают сокрытие данных, стирание артефактов, запутывание следов, манипулирование временем и предотвращение восстановления данных.
Группа Lazarus скрывает свой вредоносный код в системных папках, маскирует их под обычные файлы и манипулирует информацией о времени, чтобы помешать анализу временной шкалы.
Важно сохранять бдительность в отношении этих групп, чтобы защитить наши системы от атак.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Lazarus Group — это группа вредоносных атак, которая была обнаружена в различных компаниях.
Аналитическая группа ASEC AhnLab следит за группой и связанными с ней тактиками, методами и процедурами (TTP).
Lazarus Group применяет антикриминалистические методы, чтобы избежать обнаружения и сбора доказательств.
Эти методы включают сокрытие данных, стирание артефактов, запутывание следов, манипулирование временем и предотвращение восстановления данных.
Группа Lazarus скрывает свой вредоносный код в системных папках, маскирует их под обычные файлы и манипулирует информацией о времени, чтобы помешать анализу временной шкалы.
Важно сохранять бдительность в отношении этих групп, чтобы защитить наши системы от атак.
CTT Report Hub
#ParsedReport 15-02-2023 Anti-forensic techniques used by the Lazarus group https://asec.ahnlab.com/ko/47820 Actors/Campaigns: Lazarus Threats: Steganography_technique Lazarshell Lazarloader Lazardoor IOCs: Path: 2 File: 2 Hash: 22 Softs: windows file…
chatgpt_summary_eng.txt
2.3 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
4.4 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Dont Sleep on the New ProxyShellMiner Campaign
https://blog.morphisec.com/proxyshellminer-campaign
Threats:
Proxyshell_vuln
Xmrig_miner
Confuser
CVEs:
CVE-2021-31207 [Vulners]
CVSS V2: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34473 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34523 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
IOCs:
File: 12
Url: 1
Path: 2
Domain: 4
Hash: 70
Softs:
task scheduler, windows firewall
Algorithms:
xor
15-02-2023
Dont Sleep on the New ProxyShellMiner Campaign
https://blog.morphisec.com/proxyshellminer-campaign
Threats:
Proxyshell_vuln
Xmrig_miner
Confuser
CVEs:
CVE-2021-31207 [Vulners]
CVSS V2: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34473 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34523 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
IOCs:
File: 12
Url: 1
Path: 2
Domain: 4
Hash: 70
Softs:
task scheduler, windows firewall
Algorithms:
xor
Morphisec
ProxyShellMiner Campaign Creating Dangerous Backdoors
A new ProxyShellMiner campaign is compromising a range of Windows endpoints, leaving them vulnerable not just to crypto mining, but ransomware too.