#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Symantec, поставщик программного обеспечения Broadcom, обнаружила новую вредоносную программу под названием "Frebniis" (Backdoor.Frebniis), которая использует функцию Microsoft Internet Information Services (IIS) для установки бэкдора в целевые системы. Этот вредоносный код был обнаружен при атаках на объекты в Тайване.

Атака Frebniis работает путем внедрения вредоносного кода в память DLL-файла, связанного с функцией IIS под названием Failed Request Event Buffering (FREB). FREB собирает данные и подробности о запросах, такие как IP-адрес и порт отправителя, HTTP-заголовки с cookies и т.д. Вредоносный код перехватывает указатель функции в iisfreb.dll, который вызывается iiscore.dll всякий раз, когда в IIS поступает любой HTTP-запрос от веб-клиента. Затем Frebniis анализирует эти запросы в поисках определенных страниц и параметров для расшифровки и выполнения кода.

Этот код обеспечивает функциональность бэкдора и прокси для отправки и получения данных с других компьютеров. Он также позволяет удаленно выполнять код C#, закодированный в XML-документах. Кроме того, он разработан для скрытности и не сохраняет файлы на диск.

Чтобы использовать эту технику, злоумышленнику необходимо получить доступ к системе Windows, на которой работает сервер IIS, каким-либо другим способом. Хотя точный метод, использованный в данном случае, пока неизвестен, очевидно, что Фребнис демонстрирует сложную атаку, которая может легко обойти меры безопасности. Поэтому организациям важно убедиться в актуальности мер сетевой безопасности и предпринять необходимые шаги для защиты от подобных атак.

#ParsedReport
16-02-2023

Emails purporting to be transport companies distributed as Import Customs Information Submission Guidelines

https://asec.ahnlab.com/ko/47968

Threats:
Cloudeye

Industry:
Transport

Geo:
Korea

IOCs:
Url: 2
Hash: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно компания ASEC подтвердила факт распространения вредоносных электронных писем, выдающих себя за транспортную компанию в Корее. В письме пользователям предлагалось открыть вложенный HTML-файл под предлогом предоставления информации о таможенном оформлении импорта. Этот HTML-файл был назван DHL_KOREA, что указывает на то, что он был распространен среди отечественных пользователей. При попытке войти в систему пользователи были перенаправлены на файл Excel, хранящийся в персональном облачном хранилище OneDrive. Однако файл Excel не мог быть выполнен, так как превышал предельный размер, что затрудняло распознавание фишинговой атаки. Кроме того, было подтверждено еще одно электронное письмо с запросом на подтверждение таможенного оформления. При открытии вложенного файла появлялся экран, замаскированный под PDF, на котором была ссылка на URL-адрес, откуда загружалась вредоносная программа GuLoader при действительном соединении.

#ParsedReport
16-02-2023

ALTOUFAN TEAM Targets the Middle East

https://blog.cyble.com/2023/02/16/altoufan-team-targets-the-middle-east

Actors/Campaigns:
Altoufan (motivation: politically_motivated, hacktivism)
Wayback

Threats:
Mosesstaff

Industry:
Government, Aerospace, Financial

Geo:
Bahraini, Bahrainis, Bahrains, Iranian, Israel, Bahrain, Israeli

TTPs:
Tactics: 1
Technics: 0

Softs:
telegram, instagram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Threat Actor (TA) ALTOUFAN TEAM провела кампанию против бахрейнских и израильских веб-сайтов в знак протеста против нормализации отношений между двумя странами. 14 февраля 2023 года группа объявила об успешном взломе Организации социального страхования (SIO), Бахрейн, на своей учетной записи в Twitter и канале Telegram. Хактивистская группа разместила видео, демонстрирующее использование украденных учетных данных для входа на портал работодателей социального страхования Бахрейна и изменения базовой заработной платы. Затем они атаковали сайт аэропорта Бахрейна, сайт Национальной финансовой и биржевой компании и сайт Бахрейнского информационного агентства.

ALTOUFAN - политически мотивированная хактивистская группа с антисионистскими, антимонархическими и про-февральскими настроениями. Они используют логотип кулака и иконографию, похожую на иранские хактивистские группы Moses Staff и Abrahams Ax, и поддерживают свое присутствие на таких платформах социальных сетей, как Instagram, YouTube, Twitter и Telegram. Их атаки направлены на распространение своих идей, потерю доходов, репутационный ущерб, кампании по дезинформации и продвижение своих политических программ.

Атаки группы ТА ALTOUFAN TEAM демонстрируют, как политически мотивированные хактивисты могут вызывать нарушения и наносить ущерб через киберпространство. В данном случае она была использована для выражения неодобрения нормализации отношений между Бахрейном и Израилем. Организациям важно сохранять бдительность и осведомленность о подобных угрозах и принимать соответствующие меры для защиты от потенциальных атак.

Не думал, что TI-отчеты придется цензурировать ... но все к этому идет.

Пока решил оставить отчеты в таком формате. Через неделю проведем опрос и по результатам решим что делать дальше.

К вопросу о выделении TTP из текста отчета через ChatGPT.
Без дообучения это не работает. (модель Davinci)

Вот пример последнего отчета, который создан людьми. Кажется, что AI с переводом не так уж и плохо справились (https://t.me/aptreports/2771).

Хакеры внедряют новое вредоносное ПО Frebniss в службы Microsoft Internet Information Services (IIS), которое скрытно выполняет команды, отправляемые через веб-запросы.

Frebniis был обнаружен исследователями Symantec Threat Hunter Team, сообщившими о его использовании неизвестным злоумышленником в отношении целей в Тайване.

Microsoft IIS — это программное обеспечение с функционалом веб-сервера для размещения приложений для таких служб, как Outlook в Интернете для Microsoft Exchange.

В атаках, замеченных Symantec, хакеры злоупотребляют функцией буферизации событий неудачных запросов FREB в IIS, отвечающей за сбор метаданных запросов (IP-адрес, заголовки HTTP, файлы cookie). Его цель — помочь администраторам серверов устранить неожиданные коды состояния HTTP или проблемы с обработкой запросов.

Вредоносное ПО внедряет код в функцию DLL-файла, который управляет FREB («iisfreb.dll»), позволяя злоумышленнику перехватывать и отслеживать все HTTP-запросы POST, отправляемые на сервер ISS.

Когда вредоносная программа обнаруживает определенные HTTP-запросы, которые отправляет злоумышленник, она анализирует запрос, чтобы определить, какие команды выполнять на сервере.

Symantec сообщает, что злоумышленники сначала взломавают сервер IIS для дальнейшей компрометации модуля FREB, но исследователи не смогли определить метод, который использовался для получения доступа.

Внедренный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода C#, даже не касаясь диска, что делает его полностью незаметным. Он ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.

Второй параметр HTTP, представляющий собой строку в кодировке base64, указывает Frebniis на связь и выполнение команд в других системах через скомпрометированный IIS, потенциально достигая защищенных внутренних систем, которые не доступны в Интернете.

Основным преимуществом использования компонента FREB в описанных целях является уклонение от обнаружения инструментами безопасности. Этот уникальный HTTP-бэкдор не оставляет следов или файлов и не создает подозрительных процессов в системе.

Хотя первоначальный путь компрометации неизвестен, обычно рекомендуется обновить ПО, чтобы свести к минимуму вероятность того, что хакеры воспользуются известными уязвимостями.

Расширенные инструменты мониторинга сетевого трафика также могут помочь обнаружить необычную активность таких вредоносных программ, как Frebniis.

#ParsedReport
17-02-2023

WordPress sites backdoored with ad fraud plugin

https://www.malwarebytes.com/blog/threat-intelligence/2023/02/wordpress-sites-backdoored-with-ad-fraud-plugin

Threats:
Popunder_technique
Fuser-master

IOCs:
Domain: 41

Softs:
wordpress

Algorithms:
exhibit

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вкратце, в тексте обсуждается, как popunder-реклама используется мошенниками для получения дохода путем рекламного мошенничества.

Схема предполагает использование плагина WordPress под названием "fuser-master", который срабатывает, когда посетитель заходит на определенный URL с параметрами. Затем этот плагин загружает блог на отдельной странице, под которой отображается ряд рекламных объявлений. Код также имитирует действия пользователя, такие как прокрутка и нажатие на ссылки. Мошенническая деятельность может длиться от нескольких минут до нескольких часов, пока ее не прервет реальный человек. Для того чтобы избежать обнаружения, используется хитроумный трюк: обнаруживается движение мыши, и при этом фальшивая прокрутка немедленно прекращается. Хотя всплывающие окна являются законной формой рекламы, сам их формат может быть использован мошенниками для получения денежной выгоды.

#ParsedReport
17-02-2023

Tracking Distribution Site of Magniber Ransomware Using EDR

https://asec.ahnlab.com/en/47909

Threats:
Magniber
Typosquatting_technique

Geo:
Korea

IOCs:
Path: 1
File: 1
IP: 4

#ParsedReport
17-02-2023

Ransomware Roundup CatB Ransomware

https://www.fortinet.com/blog/threat-research/ransomware-roundup-catb-ransomware

Threats:
Catb_ransomware
Dll_sideloading_technique
Upx_tool

Industry:
Financial

IOCs:
File: 3
Path: 1
Hash: 6

Win API:
GetSystemInfo, GlobalMemoryStatus

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Атаки Ransomware растут, и организациям необходимо быть к ним готовыми. Последний вариант ransomware, набирающий обороты, - CatB, который впервые был замечен в декабре 2022 года. FortiGuard Labs также обнаружила дополнительные образцы от ноября 2022 года, которые, предположительно, принадлежат тому же субъекту угрозы. Вредоносная программа поставляется через файл Microsoft Windows Dynamic Link Library (.dll), упакованный с помощью UPX, и выполняется с помощью приложения Windows rundll32.exe. Она не шифрует функциональные системные файлы и добавляет записку с выкупом к каждому зашифрованному файлу. На момент написания статьи на Bitcoin-адрес, связанный с этим образцом, не было отправлено никаких средств.

Организациям и частным лицам, пострадавшим от ransomware, следует воздержаться от выплаты выкупа, поскольку оплата не гарантирует восстановления файлов.

#ParsedReport
17-02-2023

ASEC Weekly Phishing Email Threat Trend (20230205 \~ 20230211)

https://asec.ahnlab.com/ko/47945

Threats:
Agent_tesla
Formbook

Industry:
Financial

Geo:
Austria, Korean

TTPs:

IOCs:
File: 39
Url: 6

Algorithms:
zip

#ParsedReport
17-02-2023

Earth Zhulong: Familiar Patterns Target Southeast Asian Firms

https://www.trendmicro.com/en_us/research/23/b/earth-zhulong-familiar-patterns-target-southeast-asian-firms.html

Actors/Campaigns:
Earth_zhulong
1937cn

Threats:
Shellfang
Cobalt_strike
Bloodhound_tool
Dll_sideloading_technique
Beacon
Macamax
Themida_tool
Earthworm_tool
Api_obfuscation_technique
Process_injection_technique
Timestomp_technique

Industry:
Telco, Aerospace

Geo:
Chinese, Vietnamese, Vietnam, Asia, Asian

TTPs:
Tactics: 6
Technics: 14

IOCs:
File: 10
Hash: 28
Domain: 2

Softs:
pyinstaller

Algorithms:
aes, rc4, base64, xor

Languages:
golang, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Zhulong - это связанная с Китаем хакерская группа, которая с 2020 года атакует организации в Юго-Восточной Азии. Группа отличается изощренностью и тщательностью, используя множество подходов для маскировки своих инструментов, сокрытия следов и запуска вредоносного ПО на свои цели. Было установлено, что Earth Zhulong использует различные вредоносные программы, такие как W2KM_POWLOAD.SME, Trojan.Win32.SHELLFANG.ZBJK, Trojan.Win32.SHELLFANG.ZAJI, Trojan.Win32.SHELLFANG.ZYJK, Trojan.Win32.SHELLFANG.ZYJJ, Backdoor.Win32.COBEACON.ZBJk.enc, Backdoor.Win32.COBEACON.ZBJI.enc, Backdoor.Win32.COBEACON.ZCJH.enc, Backdoor.Win64.MACAMAX.ZYJK, HackTool.Win64.Macamax.A, HackTool.Win32.EARTHWORM.ZBJJ, HackTool.Win32.EARTHWORM.ZAJJ и HackTool.MSIL.SHARPHOUND.ZCJK.

Их тактика включает использование документов-приманок с вредоносными макросами, которые внедряют шеллкод в файл rundll32.exe, исследование домена, манипуляции с GPO, боковую загрузку DLL, многоуровневое шифрование AES, кодирование base64, хеширование API, обфускацию потока выполнения, сетевое туннелирование, сканирование портов, кражу информации, атаки на понижение рейтинга и стирание файлов для очистки следов вторжения. Считается, что эта группа связана с другим известным агентом угроз, 1937CN, из-за сходства в структуре кода, алгоритмах дешифровки и виктимологии.

Earth Zhulong в основном нацелен на телекоммуникационный, технологический и медийный секторы в Юго-Восточной Азии, захватывая экраны информации о рейсах для трансляции антивьетнамской и антифилиппинской пропаганды.

#ParsedReport
16-02-2023

Detecting the Undetected: The Risk to Your Info

https://securityintelligence.com/detecting-undetected-info-stealers

Threats:
Redline_stealer
Raccoon_stealer
Vidar_stealer

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Domain: 1
Command: 1
Hash: 7

Softs:
chrome, microsoft edge, telegram, discord

Algorithms:
7zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда IBM Advanced Threat Detection and Response Team (ATDR) за последний год отметила рост использования семейства вредоносных программ, известных как похитители информации. Похитители информации - это вредоносные программы, которые сканируют и изымают данные, в том числе веб-страницы и данные для входа в систему из таких браузеров, как Chrome, Firefox и Microsoft Edge, а также из чат-программ, таких как Telegram и Discord. Среди распространенных в природе программ для кражи информации - Redline, Raccoon и Vidar.

Похитители информации обычно приходят в виде троянских программ, которые пользователи скачивают с файлообменных сайтов или фишинговых писем. Злоумышленники изменяют файл, увеличивая его размер, чтобы он не сканировался антивирусными программами. После выполнения вредоносная полезная нагрузка устанавливает командно-контрольное (C2) соединение и сбрасывает несколько библиотек динамических связей (DLL). Затем DLL получают доступ к конфиденциальным каталогам, в которых хранится веб-информация. Вредоносная программа также может выполнять команды, например, удалять себя после завершения атаки.

Для обнаружения и предотвращения этих типов вредоносного ПО организациям следует искать аномальные процессы, обращающиеся к определенным местам расположения файлов, небраузерные исполняемые файлы, устанавливающие соединения с Telegram, а также встроенные или загруженные исполняемые файлы, которые не должны этого делать. Кроме того, они должны быть начеку в случае эксфильтрации данных или создания C2, а также выполнения подозрительных команд с аналогичными параметрами. Также рекомендуется следовать лучшим практикам при работе в Интернете.

Похитителей информации трудно обнаружить из-за их способности обходить решения EDR и AV. Однако, обращая внимание на упомянутые выше TTP, организации могут эффективно обнаруживать и предотвращать эти вредоносные программы. Важно быть в курсе последних киберугроз и способов защиты от них, чтобы оставаться в безопасности.

#ParsedReport
17-02-2023

Overview of AhnLabs Response to Joint Cybersecurity Advisory Between South Korea and the United States on North Korean Ransomware

https://asec.ahnlab.com/en/47906

Threats:
Mauicrypt
H0lygh0st
Nukesped_rat
Andardoor
Trojan/win.agent.c4979106
Trojan/win32.injector.c4107561
Dropper/win.agent.c4950284
Akdoor
Trojan/win.agent.r557572
Dropper/win.agent.c4950294
Siennapurple
Trojan/win.agent.c5098032
Trojan/win.generic.c5161421
Backdoor/win.preft.c5104667
Trojan/win.agent.c4928860
Malware/win.generic.c5272184
Infostealer/win.pwstealer.c4510631
Infostealer/win.agent.c5094347
Backdoor/win.agent.c4635580
Passview_tool
Malware/win.generic.c5207114
Infostealer/win.agent.c4997514
Ransomware/win.generic.c5207111
Dropper/win.agent.c5082187
Backdoor/win.agent.c5067856
Dropper/win.agent.c5379005
Malware/win64.generic.c4293634
Trojan/win32.agent.c4250642
Malware/win.generic.c5207113

Industry:
Healthcare

Geo:
Northkorea, Dprk, Koreas, Korean, Korea

IOCs:
Hash: 67

Languages:
php