#ParsedReport
15-02-2023

Anti-forensic techniques used by the Lazarus group

https://asec.ahnlab.com/ko/47820

Actors/Campaigns:
Lazarus

Threats:
Steganography_technique
Lazarshell
Lazarloader
Lazardoor

IOCs:
Path: 2
File: 2
Hash: 22

Softs:
windows file system

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Lazarus Group — это группа вредоносных атак, которая была обнаружена в различных компаниях.

Аналитическая группа ASEC AhnLab следит за группой и связанными с ней тактиками, методами и процедурами (TTP).

Lazarus Group применяет антикриминалистические методы, чтобы избежать обнаружения и сбора доказательств.

Эти методы включают сокрытие данных, стирание артефактов, запутывание следов, манипулирование временем и предотвращение восстановления данных.

Группа Lazarus скрывает свой вредоносный код в системных папках, маскирует их под обычные файлы и манипулирует информацией о времени, чтобы помешать анализу временной шкалы.

Важно сохранять бдительность в отношении этих групп, чтобы защитить наши системы от атак.

#ParsedReport
15-02-2023

Dont Sleep on the New ProxyShellMiner Campaign

https://blog.morphisec.com/proxyshellminer-campaign

Threats:
Proxyshell_vuln
Xmrig_miner
Confuser

CVEs:
CVE-2021-31207 [Vulners]
CVSS V2: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34473 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34523 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)


IOCs:
File: 12
Url: 1
Path: 2
Domain: 4
Hash: 70

Softs:
task scheduler, windows firewall

Algorithms:
xor

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Компания Morphisec выявила кампанию вредоносных программ с высокой степенью уклонения, доставляющую ProxyShellMiner на конечные точки Windows.

Это вредоносное ПО использует уязвимости ProxyShell CVE-2021-34473 и CVE-2021-34523 на серверах Windows Exchange для получения первоначального доступа и компрометации организации.

Вредоносная программа использует папку NETLOGON контроллера домена, чтобы обеспечить запуск майнера во всем домене.

Добыча криптовалюты в сети организации может привести к снижению производительности системы, повышенному энергопотреблению и перегреву оборудования.

Вредоносная программа использует параметры командной строки, законные, скомпрометированные почтовые серверы и запланированные задачи для обеспечения устойчивости.

#ParsedReport
15-02-2023

8220 Gang Continues to Evolve With Each New Campaign

https://sysdig.com/blog/8220-gang-continues-to-evolve

Actors/Campaigns:
8220_gang (motivation: script_kiddie)
Teamtnt

Threats:
Whatminer
Xmrig_miner
Pwnrig_botnet
Tsunami_botnet
Purecryptor
Masscan_tool

TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 6
File: 1
Hash: 14

Softs:
redis, docker, discord

Algorithms:
base64

Win Services:
sysdown

Languages:
perl, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)

Банда 8220 — печально известная группа низкоуровневых сценаристов.

Было замечено, что они крадут инструменты у TeamTNT, Rocke Group и WatchDog.

Было замечено, что они используют неправильно настроенные и уязвимые общедоступные хосты.

Для своего обнаружения они используют веб-серверы Masscan, Spirit, Oracle Weblogic и Apache.

Они используют сценарии оболочки, cron для постоянства и чередуют домены и IP-адреса.

Они используют тактику уклонения от защиты, такую ​​как использование bash -sh для стирания своих шагов и использование скрипта Python в кодировке base64 для сбора своего набора инструментов.

Если Вы голосуете за "шляпу", напишите, пожалуйста, в личку какие были у Вас ожидания от Автотекста.

#ParsedReport
16-02-2023

Forta GoAnywhere Zero-Day Exploited By Threat Actors

https://blog.qualys.com/vulnerabilities-threat-research/2023/02/15/forta-goanywhere-zero-day-exploited-by-threat-actors

CVEs:
CVE-2023-0669 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)


IOCs:
Hash: 4

Softs:
mastodon

Functions:
OpenPGP

#ParsedReport
16-02-2023

ASEC Weekly Malware Statistics (February 6th, 2023 February 12th, 2023)

https://asec.ahnlab.com/en/47925

Threats:
Amadey
Smokeloader
Lockbit
Redline_stealer
Beamwinhttp_loader
Garbage_cleaner
Njrat
Formbook
Clipboard_grabbing_technique

Industry:
Transport

IOCs:
Url: 24
Domain: 5
IP: 1
File: 17

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

На этой неделе автоматизированная система анализа RAPIT компании ASEC выявила ряд различных вредоносных программ. Пятью основными категориями вредоносных программ являются загрузчик (54,7%), бэкдор (27,7%), infostealer (12,8%), ransomware (4,6%) и CoinMiner (0,1%). Наиболее часто выявляемой угрозой был Amadey Bot - 43,9% всех обнаружений. Это загрузчик, который может получать команды от злоумышленников для загрузки дополнительных вредоносных программ, а при использовании модулей для кражи информации может собирать учетные данные пользователей в зараженной системе. SmokeLoader является одним из основных способов доставки Amadey. RedLine занял второе место с 15,7% и представляет собой вредоносную программу, похищающую различную информацию, такую как веб-браузеры, FTP-клиенты, криптовалютные кошельки и настройки ПК. BeamWinHTTP занял третье место с 7,9% и представляет собой вредоносную программу-загрузчик, распространяемую через PUP-установщик. Эта вредоносная программа обычно устанавливает Garbage Cleaner, а также может загружать и устанавливать другие вредоносные программы.

Четвертым в списке стал njRAT с 6,1%. Этот троян удаленного доступа (RAT) обычно распространяется через фишинговые кампании, часто маскируясь под обычные файлы, такие как взломанные игры или взломанные программы. Наконец, Formbook был обнаружен на пятом месте с 5,0%. Этот похититель информации распространяется в основном через спам по электронной почте и, попав на компьютер, может украсть учетные данные пользователя и различную другую информацию с помощью кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.

#ParsedReport
16-02-2023

Operation Silent Watch: Desktop Surveillance in Azerbaijan and Armenia

https://research.checkpoint.com/2023/operation-silent-watch-desktop-surveillance-in-azerbaijan-and-armenia

Actors/Campaigns:
Silent_watch

Threats:
Oxtarat
Polyglot
Tightvnc_tool
Plink
Portscan_tool
Autoitspy
Trickgate_tool
Wannacry
Rubyminer
Adwind_rat

Industry:
Education, Financial, Government

Geo:
Azerbaijan, Russian, Armenia, Turkish, Belarus, Israel, Azerbaijani

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 27
Path: 6
Domain: 6
Url: 4
Command: 4
IP: 2
Hash: 8

Softs:
curl, curl), (curl, android, microsoft access

Algorithms:
zip

Languages:
php, autoit

Links:
https://github.com/dulldusk/phpfm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В конце 2022 года компания Check Point Research обнаружила вредоносную кампанию, направленную на организации в Армении и использующую новую версию бэкдора под названием OxtaRAT. Вредоносная программа представляет собой полиглот файл, объединяющий скомпилированный AutoIT скрипт и изображение, что позволяет ей выполнять различные вредоносные действия, такие как поиск и извлечение файлов с зараженной машины, запись видео с веб-камеры и рабочего стола, удаленное управление зараженной машиной с помощью TightVNC, установка веб-оболочки, сканирование портов и многое другое. Это первый случай, когда данный угрожающий агент атакует армянские цели, хотя в течение нескольких лет он атаковал правозащитные организации, диссидентов и независимые СМИ в Азербайджане.

Для распространения вредоносного бэкдора OxtaRAT злоумышленники использовали фишинговую рассылку по электронной почте, выдавая себя за журналистов BBC, предлагающих интервью о текущих событиях. Письма содержали ссылку на защищенный паролем RAR-архив, содержащий скомпилированный AutoIT исполняемый файл, который затем загружал основную вредоносную программу с C&C-сервера. Вредоносная программа могла собирать данные о скомпрометированной системе, загружать дополнительные полезные нагрузки и записывать данные с веб-камеры и рабочего стола. Для защиты своей инфраструктуры злоумышленники оградили домены C&C, ограничив доступ к ним машинами, расположенными в Армении.

Атака, вероятно, была проведена азербайджанскими интересами, исходя из последовательных нападений на правозащитников и политических активистов в Азербайджане, а также использования приманок, связанных с продолжающимся конфликтом между Арменией и Азербайджаном. Эволюция инструментов, использованных в кампании, указывает на то, что субъекты угроз поддерживали разработку вредоносного ПО на базе Auto-IT в течение последних семи лет и используют его в кампаниях по слежке, цели которых соответствуют интересам Азербайджана. Эти атаки демонстрируют важность бдительности при борьбе с киберугрозами, поскольку субъекты угроз продолжают совершенствовать свою тактику, чтобы получить доступ к конфиденциальной информации и нарушить ход операций.