#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

DarkBit - это новый вид вымогательского ПО, который недавно атаковал Технион - Израильский технологический институт, один из ведущих исследовательских университетов Израиля. Угрожающий агент, стоящий за этой программой-выкупом, по-видимому, политически мотивирован и включил в записку о выкупе антиизраильскую и антиправительственную риторику, а также упоминания о недавних увольнениях в технологической отрасли. Они потребовали 80 биткойнов (BTC) за расшифровщик, что на момент написания статьи составляет около 1 869 760 долларов США. После первоначальной атаки они также потребовали дополнительный штраф в размере 30% (24 BTC).

DarkBit ransomware использует Advanced Encryption Standard 256-bits (AES-256) в процессе шифрования и поражает широкий спектр типов файлов. У нее есть веб-страница .onion, аккаунт в Telegram и страница в Twitter, содержащая политические сообщения и продвигающая хэштег #HackForGood. В настоящее время Технион проводит мероприятия по ликвидации последствий инцидента, чтобы определить масштаб атаки.

Единственной известной целью этой ransomware пока является Технион - Израильский технологический институт, но в ближайшем будущем могут появиться и другие цели в Израиле. Эксперты по кибербезопасности считают, что эта атака могла быть осуществлена недовольным сотрудником или группой сотрудников, хотя это не может быть подтверждено. Несомненно то, что эта атака показывает, как ransomware все чаще используется в качестве оружия в геополитике. Украина была первым примером этой тенденции, но теперь мы видим ее и в Израиле. Ransomware - это мощный инструмент для субъектов угроз, позволяющий распространять собственную пропаганду, нарушать работу систем и потенциально получать финансовую выгоду в случае уплаты выкупа.

Это не единичный случай: в списке самых разыскиваемых киберугроз ФБР есть еще несколько политически мотивированных угроз от иранских угроз, российских хактивистских групп и NewsPenguin, ранее неизвестного угрожающего субъекта, который нацелился на Пакистан с помощью передовых инструментов шпионажа, а также Hive Ransomware, который заработал 100 миллионов долларов прибыли до того, как ФБР проникло в его сеть.

Очевидно, что ransomware теперь не просто финансовая выгода, а мощное оружие, используемое в геополитических конфликтах. Поэтому в ближайшем будущем следует ожидать увеличения числа атак на выкупное ПО с политической подоплекой.

#ParsedReport
16-02-2023

Frebniis: New Malware Abuses Microsoft IIS Feature to Establish Backdoor

https://symantec-enterprise-blogs.security.com/threat-intelligence/frebniis-malware-iis

Threats:
Frebniis

Geo:
Taiwan

IOCs:
File: 6
Hash: 2

Algorithms:
base64, xor

Functions:
CreateConnect, ReadScoket, CloseScoket, HTTP

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Symantec, поставщик программного обеспечения Broadcom, обнаружила новую вредоносную программу под названием "Frebniis" (Backdoor.Frebniis), которая использует функцию Microsoft Internet Information Services (IIS) для установки бэкдора в целевые системы. Этот вредоносный код был обнаружен при атаках на объекты в Тайване.

Атака Frebniis работает путем внедрения вредоносного кода в память DLL-файла, связанного с функцией IIS под названием Failed Request Event Buffering (FREB). FREB собирает данные и подробности о запросах, такие как IP-адрес и порт отправителя, HTTP-заголовки с cookies и т.д. Вредоносный код перехватывает указатель функции в iisfreb.dll, который вызывается iiscore.dll всякий раз, когда в IIS поступает любой HTTP-запрос от веб-клиента. Затем Frebniis анализирует эти запросы в поисках определенных страниц и параметров для расшифровки и выполнения кода.

Этот код обеспечивает функциональность бэкдора и прокси для отправки и получения данных с других компьютеров. Он также позволяет удаленно выполнять код C#, закодированный в XML-документах. Кроме того, он разработан для скрытности и не сохраняет файлы на диск.

Чтобы использовать эту технику, злоумышленнику необходимо получить доступ к системе Windows, на которой работает сервер IIS, каким-либо другим способом. Хотя точный метод, использованный в данном случае, пока неизвестен, очевидно, что Фребнис демонстрирует сложную атаку, которая может легко обойти меры безопасности. Поэтому организациям важно убедиться в актуальности мер сетевой безопасности и предпринять необходимые шаги для защиты от подобных атак.

#ParsedReport
16-02-2023

Emails purporting to be transport companies distributed as Import Customs Information Submission Guidelines

https://asec.ahnlab.com/ko/47968

Threats:
Cloudeye

Industry:
Transport

Geo:
Korea

IOCs:
Url: 2
Hash: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно компания ASEC подтвердила факт распространения вредоносных электронных писем, выдающих себя за транспортную компанию в Корее. В письме пользователям предлагалось открыть вложенный HTML-файл под предлогом предоставления информации о таможенном оформлении импорта. Этот HTML-файл был назван DHL_KOREA, что указывает на то, что он был распространен среди отечественных пользователей. При попытке войти в систему пользователи были перенаправлены на файл Excel, хранящийся в персональном облачном хранилище OneDrive. Однако файл Excel не мог быть выполнен, так как превышал предельный размер, что затрудняло распознавание фишинговой атаки. Кроме того, было подтверждено еще одно электронное письмо с запросом на подтверждение таможенного оформления. При открытии вложенного файла появлялся экран, замаскированный под PDF, на котором была ссылка на URL-адрес, откуда загружалась вредоносная программа GuLoader при действительном соединении.

#ParsedReport
16-02-2023

ALTOUFAN TEAM Targets the Middle East

https://blog.cyble.com/2023/02/16/altoufan-team-targets-the-middle-east

Actors/Campaigns:
Altoufan (motivation: politically_motivated, hacktivism)
Wayback

Threats:
Mosesstaff

Industry:
Government, Aerospace, Financial

Geo:
Bahraini, Bahrainis, Bahrains, Iranian, Israel, Bahrain, Israeli

TTPs:
Tactics: 1
Technics: 0

Softs:
telegram, instagram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Threat Actor (TA) ALTOUFAN TEAM провела кампанию против бахрейнских и израильских веб-сайтов в знак протеста против нормализации отношений между двумя странами. 14 февраля 2023 года группа объявила об успешном взломе Организации социального страхования (SIO), Бахрейн, на своей учетной записи в Twitter и канале Telegram. Хактивистская группа разместила видео, демонстрирующее использование украденных учетных данных для входа на портал работодателей социального страхования Бахрейна и изменения базовой заработной платы. Затем они атаковали сайт аэропорта Бахрейна, сайт Национальной финансовой и биржевой компании и сайт Бахрейнского информационного агентства.

ALTOUFAN - политически мотивированная хактивистская группа с антисионистскими, антимонархическими и про-февральскими настроениями. Они используют логотип кулака и иконографию, похожую на иранские хактивистские группы Moses Staff и Abrahams Ax, и поддерживают свое присутствие на таких платформах социальных сетей, как Instagram, YouTube, Twitter и Telegram. Их атаки направлены на распространение своих идей, потерю доходов, репутационный ущерб, кампании по дезинформации и продвижение своих политических программ.

Атаки группы ТА ALTOUFAN TEAM демонстрируют, как политически мотивированные хактивисты могут вызывать нарушения и наносить ущерб через киберпространство. В данном случае она была использована для выражения неодобрения нормализации отношений между Бахрейном и Израилем. Организациям важно сохранять бдительность и осведомленность о подобных угрозах и принимать соответствующие меры для защиты от потенциальных атак.

Не думал, что TI-отчеты придется цензурировать ... но все к этому идет.

Пока решил оставить отчеты в таком формате. Через неделю проведем опрос и по результатам решим что делать дальше.

К вопросу о выделении TTP из текста отчета через ChatGPT.
Без дообучения это не работает. (модель Davinci)

Вот пример последнего отчета, который создан людьми. Кажется, что AI с переводом не так уж и плохо справились (https://t.me/aptreports/2771).

Хакеры внедряют новое вредоносное ПО Frebniss в службы Microsoft Internet Information Services (IIS), которое скрытно выполняет команды, отправляемые через веб-запросы.

Frebniis был обнаружен исследователями Symantec Threat Hunter Team, сообщившими о его использовании неизвестным злоумышленником в отношении целей в Тайване.

Microsoft IIS — это программное обеспечение с функционалом веб-сервера для размещения приложений для таких служб, как Outlook в Интернете для Microsoft Exchange.

В атаках, замеченных Symantec, хакеры злоупотребляют функцией буферизации событий неудачных запросов FREB в IIS, отвечающей за сбор метаданных запросов (IP-адрес, заголовки HTTP, файлы cookie). Его цель — помочь администраторам серверов устранить неожиданные коды состояния HTTP или проблемы с обработкой запросов.

Вредоносное ПО внедряет код в функцию DLL-файла, который управляет FREB («iisfreb.dll»), позволяя злоумышленнику перехватывать и отслеживать все HTTP-запросы POST, отправляемые на сервер ISS.

Когда вредоносная программа обнаруживает определенные HTTP-запросы, которые отправляет злоумышленник, она анализирует запрос, чтобы определить, какие команды выполнять на сервере.

Symantec сообщает, что злоумышленники сначала взломавают сервер IIS для дальнейшей компрометации модуля FREB, но исследователи не смогли определить метод, который использовался для получения доступа.

Внедренный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода C#, даже не касаясь диска, что делает его полностью незаметным. Он ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.

Второй параметр HTTP, представляющий собой строку в кодировке base64, указывает Frebniis на связь и выполнение команд в других системах через скомпрометированный IIS, потенциально достигая защищенных внутренних систем, которые не доступны в Интернете.

Основным преимуществом использования компонента FREB в описанных целях является уклонение от обнаружения инструментами безопасности. Этот уникальный HTTP-бэкдор не оставляет следов или файлов и не создает подозрительных процессов в системе.

Хотя первоначальный путь компрометации неизвестен, обычно рекомендуется обновить ПО, чтобы свести к минимуму вероятность того, что хакеры воспользуются известными уязвимостями.

Расширенные инструменты мониторинга сетевого трафика также могут помочь обнаружить необычную активность таких вредоносных программ, как Frebniis.

#ParsedReport
17-02-2023

WordPress sites backdoored with ad fraud plugin

https://www.malwarebytes.com/blog/threat-intelligence/2023/02/wordpress-sites-backdoored-with-ad-fraud-plugin

Threats:
Popunder_technique
Fuser-master

IOCs:
Domain: 41

Softs:
wordpress

Algorithms:
exhibit

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вкратце, в тексте обсуждается, как popunder-реклама используется мошенниками для получения дохода путем рекламного мошенничества.

Схема предполагает использование плагина WordPress под названием "fuser-master", который срабатывает, когда посетитель заходит на определенный URL с параметрами. Затем этот плагин загружает блог на отдельной странице, под которой отображается ряд рекламных объявлений. Код также имитирует действия пользователя, такие как прокрутка и нажатие на ссылки. Мошенническая деятельность может длиться от нескольких минут до нескольких часов, пока ее не прервет реальный человек. Для того чтобы избежать обнаружения, используется хитроумный трюк: обнаруживается движение мыши, и при этом фальшивая прокрутка немедленно прекращается. Хотя всплывающие окна являются законной формой рекламы, сам их формат может быть использован мошенниками для получения денежной выгоды.

#ParsedReport
17-02-2023

Tracking Distribution Site of Magniber Ransomware Using EDR

https://asec.ahnlab.com/en/47909

Threats:
Magniber
Typosquatting_technique

Geo:
Korea

IOCs:
Path: 1
File: 1
IP: 4

#ParsedReport
17-02-2023

Ransomware Roundup CatB Ransomware

https://www.fortinet.com/blog/threat-research/ransomware-roundup-catb-ransomware

Threats:
Catb_ransomware
Dll_sideloading_technique
Upx_tool

Industry:
Financial

IOCs:
File: 3
Path: 1
Hash: 6

Win API:
GetSystemInfo, GlobalMemoryStatus

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Атаки Ransomware растут, и организациям необходимо быть к ним готовыми. Последний вариант ransomware, набирающий обороты, - CatB, который впервые был замечен в декабре 2022 года. FortiGuard Labs также обнаружила дополнительные образцы от ноября 2022 года, которые, предположительно, принадлежат тому же субъекту угрозы. Вредоносная программа поставляется через файл Microsoft Windows Dynamic Link Library (.dll), упакованный с помощью UPX, и выполняется с помощью приложения Windows rundll32.exe. Она не шифрует функциональные системные файлы и добавляет записку с выкупом к каждому зашифрованному файлу. На момент написания статьи на Bitcoin-адрес, связанный с этим образцом, не было отправлено никаких средств.

Организациям и частным лицам, пострадавшим от ransomware, следует воздержаться от выплаты выкупа, поскольку оплата не гарантирует восстановления файлов.

#ParsedReport
17-02-2023

ASEC Weekly Phishing Email Threat Trend (20230205 \~ 20230211)

https://asec.ahnlab.com/ko/47945

Threats:
Agent_tesla
Formbook

Industry:
Financial

Geo:
Austria, Korean

TTPs:

IOCs:
File: 39
Url: 6

Algorithms:
zip

#ParsedReport
17-02-2023

Earth Zhulong: Familiar Patterns Target Southeast Asian Firms

https://www.trendmicro.com/en_us/research/23/b/earth-zhulong-familiar-patterns-target-southeast-asian-firms.html

Actors/Campaigns:
Earth_zhulong
1937cn

Threats:
Shellfang
Cobalt_strike
Bloodhound_tool
Dll_sideloading_technique
Beacon
Macamax
Themida_tool
Earthworm_tool
Api_obfuscation_technique
Process_injection_technique
Timestomp_technique

Industry:
Telco, Aerospace

Geo:
Chinese, Vietnamese, Vietnam, Asia, Asian

TTPs:
Tactics: 6
Technics: 14

IOCs:
File: 10
Hash: 28
Domain: 2

Softs:
pyinstaller

Algorithms:
aes, rc4, base64, xor

Languages:
golang, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Zhulong - это связанная с Китаем хакерская группа, которая с 2020 года атакует организации в Юго-Восточной Азии. Группа отличается изощренностью и тщательностью, используя множество подходов для маскировки своих инструментов, сокрытия следов и запуска вредоносного ПО на свои цели. Было установлено, что Earth Zhulong использует различные вредоносные программы, такие как W2KM_POWLOAD.SME, Trojan.Win32.SHELLFANG.ZBJK, Trojan.Win32.SHELLFANG.ZAJI, Trojan.Win32.SHELLFANG.ZYJK, Trojan.Win32.SHELLFANG.ZYJJ, Backdoor.Win32.COBEACON.ZBJk.enc, Backdoor.Win32.COBEACON.ZBJI.enc, Backdoor.Win32.COBEACON.ZCJH.enc, Backdoor.Win64.MACAMAX.ZYJK, HackTool.Win64.Macamax.A, HackTool.Win32.EARTHWORM.ZBJJ, HackTool.Win32.EARTHWORM.ZAJJ и HackTool.MSIL.SHARPHOUND.ZCJK.

Их тактика включает использование документов-приманок с вредоносными макросами, которые внедряют шеллкод в файл rundll32.exe, исследование домена, манипуляции с GPO, боковую загрузку DLL, многоуровневое шифрование AES, кодирование base64, хеширование API, обфускацию потока выполнения, сетевое туннелирование, сканирование портов, кражу информации, атаки на понижение рейтинга и стирание файлов для очистки следов вторжения. Считается, что эта группа связана с другим известным агентом угроз, 1937CN, из-за сходства в структуре кода, алгоритмах дешифровки и виктимологии.

Earth Zhulong в основном нацелен на телекоммуникационный, технологический и медийный секторы в Юго-Восточной Азии, захватывая экраны информации о рейсах для трансляции антивьетнамской и антифилиппинской пропаганды.

#ParsedReport
16-02-2023

Detecting the Undetected: The Risk to Your Info

https://securityintelligence.com/detecting-undetected-info-stealers

Threats:
Redline_stealer
Raccoon_stealer
Vidar_stealer

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Domain: 1
Command: 1
Hash: 7

Softs:
chrome, microsoft edge, telegram, discord

Algorithms:
7zip