#ParsedReport
17-02-2023

ASEC Weekly Phishing Email Threat Trend (20230205 \~ 20230211)

https://asec.ahnlab.com/ko/47945

Threats:
Agent_tesla
Formbook

Industry:
Financial

Geo:
Austria, Korean

TTPs:

IOCs:
File: 39
Url: 6

Algorithms:
zip

#ParsedReport
17-02-2023

Earth Zhulong: Familiar Patterns Target Southeast Asian Firms

https://www.trendmicro.com/en_us/research/23/b/earth-zhulong-familiar-patterns-target-southeast-asian-firms.html

Actors/Campaigns:
Earth_zhulong
1937cn

Threats:
Shellfang
Cobalt_strike
Bloodhound_tool
Dll_sideloading_technique
Beacon
Macamax
Themida_tool
Earthworm_tool
Api_obfuscation_technique
Process_injection_technique
Timestomp_technique

Industry:
Telco, Aerospace

Geo:
Chinese, Vietnamese, Vietnam, Asia, Asian

TTPs:
Tactics: 6
Technics: 14

IOCs:
File: 10
Hash: 28
Domain: 2

Softs:
pyinstaller

Algorithms:
aes, rc4, base64, xor

Languages:
golang, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Zhulong - это связанная с Китаем хакерская группа, которая с 2020 года атакует организации в Юго-Восточной Азии. Группа отличается изощренностью и тщательностью, используя множество подходов для маскировки своих инструментов, сокрытия следов и запуска вредоносного ПО на свои цели. Было установлено, что Earth Zhulong использует различные вредоносные программы, такие как W2KM_POWLOAD.SME, Trojan.Win32.SHELLFANG.ZBJK, Trojan.Win32.SHELLFANG.ZAJI, Trojan.Win32.SHELLFANG.ZYJK, Trojan.Win32.SHELLFANG.ZYJJ, Backdoor.Win32.COBEACON.ZBJk.enc, Backdoor.Win32.COBEACON.ZBJI.enc, Backdoor.Win32.COBEACON.ZCJH.enc, Backdoor.Win64.MACAMAX.ZYJK, HackTool.Win64.Macamax.A, HackTool.Win32.EARTHWORM.ZBJJ, HackTool.Win32.EARTHWORM.ZAJJ и HackTool.MSIL.SHARPHOUND.ZCJK.

Их тактика включает использование документов-приманок с вредоносными макросами, которые внедряют шеллкод в файл rundll32.exe, исследование домена, манипуляции с GPO, боковую загрузку DLL, многоуровневое шифрование AES, кодирование base64, хеширование API, обфускацию потока выполнения, сетевое туннелирование, сканирование портов, кражу информации, атаки на понижение рейтинга и стирание файлов для очистки следов вторжения. Считается, что эта группа связана с другим известным агентом угроз, 1937CN, из-за сходства в структуре кода, алгоритмах дешифровки и виктимологии.

Earth Zhulong в основном нацелен на телекоммуникационный, технологический и медийный секторы в Юго-Восточной Азии, захватывая экраны информации о рейсах для трансляции антивьетнамской и антифилиппинской пропаганды.

#ParsedReport
16-02-2023

Detecting the Undetected: The Risk to Your Info

https://securityintelligence.com/detecting-undetected-info-stealers

Threats:
Redline_stealer
Raccoon_stealer
Vidar_stealer

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Domain: 1
Command: 1
Hash: 7

Softs:
chrome, microsoft edge, telegram, discord

Algorithms:
7zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда IBM Advanced Threat Detection and Response Team (ATDR) за последний год отметила рост использования семейства вредоносных программ, известных как похитители информации. Похитители информации - это вредоносные программы, которые сканируют и изымают данные, в том числе веб-страницы и данные для входа в систему из таких браузеров, как Chrome, Firefox и Microsoft Edge, а также из чат-программ, таких как Telegram и Discord. Среди распространенных в природе программ для кражи информации - Redline, Raccoon и Vidar.

Похитители информации обычно приходят в виде троянских программ, которые пользователи скачивают с файлообменных сайтов или фишинговых писем. Злоумышленники изменяют файл, увеличивая его размер, чтобы он не сканировался антивирусными программами. После выполнения вредоносная полезная нагрузка устанавливает командно-контрольное (C2) соединение и сбрасывает несколько библиотек динамических связей (DLL). Затем DLL получают доступ к конфиденциальным каталогам, в которых хранится веб-информация. Вредоносная программа также может выполнять команды, например, удалять себя после завершения атаки.

Для обнаружения и предотвращения этих типов вредоносного ПО организациям следует искать аномальные процессы, обращающиеся к определенным местам расположения файлов, небраузерные исполняемые файлы, устанавливающие соединения с Telegram, а также встроенные или загруженные исполняемые файлы, которые не должны этого делать. Кроме того, они должны быть начеку в случае эксфильтрации данных или создания C2, а также выполнения подозрительных команд с аналогичными параметрами. Также рекомендуется следовать лучшим практикам при работе в Интернете.

Похитителей информации трудно обнаружить из-за их способности обходить решения EDR и AV. Однако, обращая внимание на упомянутые выше TTP, организации могут эффективно обнаруживать и предотвращать эти вредоносные программы. Важно быть в курсе последних киберугроз и способов защиты от них, чтобы оставаться в безопасности.

#ParsedReport
17-02-2023

Overview of AhnLabs Response to Joint Cybersecurity Advisory Between South Korea and the United States on North Korean Ransomware

https://asec.ahnlab.com/en/47906

Threats:
Mauicrypt
H0lygh0st
Nukesped_rat
Andardoor
Trojan/win.agent.c4979106
Trojan/win32.injector.c4107561
Dropper/win.agent.c4950284
Akdoor
Trojan/win.agent.r557572
Dropper/win.agent.c4950294
Siennapurple
Trojan/win.agent.c5098032
Trojan/win.generic.c5161421
Backdoor/win.preft.c5104667
Trojan/win.agent.c4928860
Malware/win.generic.c5272184
Infostealer/win.pwstealer.c4510631
Infostealer/win.agent.c5094347
Backdoor/win.agent.c4635580
Passview_tool
Malware/win.generic.c5207114
Infostealer/win.agent.c4997514
Ransomware/win.generic.c5207111
Dropper/win.agent.c5082187
Backdoor/win.agent.c5067856
Dropper/win.agent.c5379005
Malware/win64.generic.c4293634
Trojan/win32.agent.c4250642
Malware/win.generic.c5207113

Industry:
Healthcare

Geo:
Northkorea, Dprk, Koreas, Korean, Korea

IOCs:
Hash: 67

Languages:
php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

10 февраля разведывательные службы Южной Кореи и США обнародовали совместный совет по кибербезопасности, предупреждающий о потенциальных атаках на программы-выкупы из Северной Кореи. Доклад, выпущенный Национальной разведывательной службой Южной Кореи (NIS) и Агентством национальной безопасности США (NSA), Федеральным бюро расследований (FBI), Агентством кибербезопасности и безопасности инфраструктуры (CISA) и Министерством здравоохранения и социальных служб (HHS), знаменует собой первый случай сотрудничества обеих стран по вопросам кибербезопасности.

Совет посвящен двум случаям ransomware - Maui и H0lyGh0st, которые недавно были использованы для атак на учреждения в США, отвечающие за медицинский сектор и здравоохранение, а также другие критически важные объекты инфраструктуры. Анализ этих случаев позволил установить, что они исходят из Северной Кореи. Кроме того, в рекомендацию включены данные о TTP (тактике, методах и процедурах) и индикаторах компрометации, позволяющие получить более полное представление о вредоносной деятельности КНДР.

#ParsedReport
17-02-2023

No Surprise! ESXiArgs Ransomware Attacks Exploit 2-Year-Old Vulnerability

https://www.deepinstinct.com/blog/no-surprise-esxiargs-ransomware-attacks-exploit-2-year-old-vulnerability

Actors/Campaigns:
Nevada

Threats:
Esxiargs
Babuk
Avoslocker
Blackcat
Reveton
Exxroute
Hellokitty
Log4shell_vuln
Lockbit
Cheerscrypt
Nevada_ransomware

Industry:
Financial

Geo:
French, London, France

CVEs:
CVE-2021-21974 [Vulners]
CVSS V2: 5.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- vmware cloud foundation (<3.10.1.2, <4.2)
- vmware esxi (6.5, 6.7, 7.0.0)

CVE-2013-1493 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- oracle jre (1.7.0, le1.5.0, 1.6.0)
- sun jre (1.5.0, 1.6.0)
- sun jdk (1.6.0, 1.5.0)
- oracle jdk (1.6.0, le1.5.0, 1.7.0)

CVE-2019-7481 [Vulners]
CVSS V2: 5.0,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- sonicwall sma 100 firmware (le9.0.0.3)

CVE-2021-21985 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.2.1, <4.2.1)


TTPs:
Tactics: 3
Technics: 3

IOCs:
Hash: 10

Softs:
esxi, unix

Functions:
OpenSLP

Languages:
java

Links:
https://github.com/Shadow0ps/CVE-2021-21974
https://github.com/CERT-hr/ESXI-Ransomware-Removal-FlowChart
https://github.com/n2x4/Feb2023-CVE-2021-21974-OSINT
https://github.com/cisagov/ESXiArgs-Recover
https://gist.github.com/cablej/b15edac9c45faa258e1b94bc0a454551

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Кампания ESXiArgs - это масштабная атака вымогателей, направленная на VMware ESXi, которая началась в конце 2022 года. Уникальность этой атаки заключается в том, что она использует уязвимость двухлетней давности, приводящую к удаленному выполнению кода (RCE). По данным Censys, большинство жертв этой атаки находятся во Франции.

Считается, что ESXiArgs использовал исходный код предыдущих атак вымогателей, таких как Babuk, AvosLocker, BlackCat, Hive и других. ESXiArgs также воспользовалась отвлекающим моментом вокруг ChatGPT и дебатами о Google и Microsoft, чтобы осуществить свою атаку. Уязвимости, эксплуатируемые ESXiArgs, включают CVE-2013-0431 из JRE, используемую Reveton Ransomware, CVE-2013-1493 из Oracle Java, используемую Exxroute Ransomware, и CVE-2019-7481 из SonicWall, используемую HelloKitty Ransomware.

Из извлеченных кошельков (\~2 800) только четыре получили выплаты, причем одна жертва из Лондона заплатила $44 742. К сожалению, несмотря на эту выплату, сервер по-прежнему открыт для доступа в Интернет и не имеет исправлений. В январе 2023 года компания LockBit объявила о новом варианте ESXi Ransomware, а также произошла утечка информации о Royal Mail Group, хотя неясно, связаны ли эти инциденты между собой. Исследователь безопасности Майкл Гиллеспи считает, что этот штамм основан на утечке исходного кода от Babuk ransomware, аналогичной CheersCrypt ransomware, которая нацелилась на ESXi в середине 2022 года. Наконец, компания OVHCloud отказалась от своих первоначальных выводов, предполагающих связь с вариантом вымогательского ПО Nevada.

В целом, очевидно, что ESXiArgs - это комбинация различных штаммов вымогательского ПО и использования старых уязвимостей. Компаниям важно иметь хорошие резервные копии, чтобы не пришлось платить выкуп, и обновлять все программное обеспечение, чтобы не стать жертвой такой атаки.

#ParsedReport
17-02-2023

The Many Faces of Qakbot Malware: A Look at Its Diverse Distribution Methods

https://blog.cyble.com/2023/02/17/the-many-faces-of-qakbot-malware-a-look-at-its-diverse-distribution-methods

Threats:
Qakbot
Beacon
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 7
Technics: 17

IOCs:
File: 9
Url: 4
Hash: 12

Softs:
onenote

Algorithms:
zip

Languages:
jscript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Акторы угроз (АУ) используют вложения OneNote как часть спам-кампаний Qakbot, чтобы обмануть пользователей и заставить их дважды щелкнуть по вложению и запустить процесс заражения Qakbot.

Вредоносная программа Qakbot распространяется через вредоносный спам с вложениями OneNote, вредоносный спам с zip-файлами, содержащими WSF, и другими способами.

Qakbot - это сложная форма банковского трояна, который может похищать конфиденциальную информацию, выводить конфиденциальные данные и распространяться на другие машины в сети для установки других вредоносных программ.

Qakbot можно противостоять, применяя эффективные методы обеспечения кибербезопасности, например, не открывать электронные письма от неизвестных отправителей, не загружать пиратское программное обеспечение, использовать надежные пароли и антивирусные решения.

#ParsedReport
16-02-2023

Detecting the Undetected: The Risk to Your Info

https://securityintelligence.com/posts/detecting-undetected-info-stealers

Threats:
Redline_stealer
Raccoon_stealer
Vidar_stealer

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Domain: 1
Command: 1
Hash: 7

Softs:
chrome, microsoft edge, telegram, discord

Algorithms:
7zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда IBM Advanced Threat Detection and Response (ATDR) отмечает рост числа вредоносных программ семейства, известных как похитители информации или info stealers. Эти вредоносные программы предназначены для поиска и утечки данных и учетных данных с устройств, таких как веб-страницы и данные для входа в Chrome, Firefox и Microsoft Edge, а также учетные данные чат-программ Telegram и Discord. Наиболее популярными программами для кражи информации в природе являются Redline, Raccoon и Vidar.

Во многих случаях эти вредоносные программы приходят в виде троянца, который загружается с сайта обмена файлами или из фишингового письма. После выполнения полезная нагрузка устанавливает командно-контрольное соединение (C2), сбрасывает несколько Dll, затем получает доступ к конфиденциальным каталогам, в которых хранится веб-информация. Он также может выполнять команды, например, удалять себя после завершения атаки.

Из-за способности этих похитителей информации обходить традиционные антивирусы (AV) и решения для обнаружения и реагирования на конечные точки (EDR), организации должны знать о тактике, методах и процедурах (TTP), которые используют злоумышленники для их поиска. Обнаружение может включать поиск исполняемого файла, который создает 6 или более Dlls в течение секунды, а также обнаружение неподписанного исполняемого файла, устанавливающего сетевое соединение, за которым следует создание этих Dlls. Организациям также следует искать аномальные процессы, обращающиеся к определенным местоположениям файлов, а также небраузерные исполняемые файлы, устанавливающие несколько соединений с Telegram.

Для предотвращения заражения организациям следует придерживаться лучших практик при работе в Интернете, а также отслеживать ложные срабатывания решений AV и EDR. Важно помнить, что методы действий злоумышленников быстро меняются, чтобы не быть обнаруженными, поэтому организациям необходимо постоянно обновлять свои усилия по обеспечению безопасности.

#ParsedReport
17-02-2023

These arent the apps youre looking for: fake installers targeting Southeast and East Asia

https://www.welivesecurity.com/2023/02/16/these-arent-apps-youre-looking-for-fake-installers

Actors/Campaigns:
Dragon_breath

Threats:
Fatalrat_rat
Typosquatting_technique
Alien
Dll_sideloading_technique

Industry:
Financial

Geo:
Asia, Indonesia, Japan, Thailand, Taiwan, China, Malaysia, Philippines, Ukraine, Myanmar, Chinese, Singapore

TTPs:
Tactics: 8
Technics: 22

IOCs:
Domain: 22
Path: 4
File: 9
Command: 1
Hash: 19
IP: 7

Softs:
telegram, chrome, electrum, qqbrowser, - chinese, m chinese)

Algorithms:
xor

Win API:
DisableThreadLibraryCalls, VirtualAlloc

Links:
https://github.com/aliyun/ossutil

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи из ESET выявили кампанию по распространению вредоносного ПО, направленную на китайскоговорящих жителей Восточной и Юго-Восточной Азии. Злоумышленники покупают вводящую в заблуждение рекламу в результатах поиска Google, чтобы направить жертв на поддельные веб-сайты, которые выглядят как популярные приложения, такие как Firefox, WhatsApp или Telegram. Эти вредоносные сайты затем доставляют троян удаленного доступа FatalRAT (RAT).

Впервые атаки были замечены в период с августа 2022 года по январь 2023 года. Однако исследователи обнаружили, что предыдущие версии программ установки использовались с мая 2022 года. Это позволяет предположить, что злоумышленники активно занимались этим видом атак в течение некоторого времени и со временем усовершенствовали свою тактику.

Вредоносные веб-сайты и программы установки в основном ориентированы на китайцев и включают такие приложения, как Chrome, Firefox, Telegram, WhatsApp, Line, Signal, Skype, Electrum Bitcoin wallet, Sogou Pinyin Method, Youdao, WPS Office и Electrumx.org. Злоумышленники могут использовать рекламу Google для направления потенциальных жертв на эти сайты, а также typosquatting для привлечения жертв на свои сайты.

Злоумышленники зарегистрировали различные доменные имена и направили их на один и тот же IP-адрес, на котором размещено несколько вредоносных веб-сайтов. Как только жертва посещает веб-сайт, ее обманом заставляют загрузить вредоносные программы установки, размещенные на Alibaba Cloud Object Storage Service, который был загружен в облачное хранилище 6 января 2023 года. Вредоносные программы установки сбрасывают и выполняют вредоносный загрузчик и файлы, необходимые для запуска вредоносной программы FatalRAT в каталоге %PROGRAMDATA%\Progtmy.

FatalRAT задокументирован исследователями AT&T в августе 2021 года и предоставляет различные функциональные возможности для выполнения вредоносных действий на компьютере жертвы. Он содержит различные проверки для определения того, запущен ли он в виртуализированной среде, в зависимости от конфигурации. Было обнаружено, что ранняя версия программы установки содержит зашифрованную XOR полезную нагрузку, разделенную на три файла: Micr.flv, Micr2.flv и Micr3.flv, каждый из которых зашифрован однобайтовым XOR-ключом.

Поскольку вредоносная программа, использованная в этой кампании, содержит команды для манипулирования данными из различных браузеров, пострадать может любой человек. Не исключено, что злоумышленники заинтересованы в краже информации, например, учетных данных веб-страниц, чтобы продать их на подпольных форумах или использовать для другого типа криминальных кампаний. Однако конкретная атрибуция этой кампании известному или новому субъекту угрозы пока невозможна.

#ParsedReport
17-02-2023

Earth Kitsune Delivers New WhiskerSpy Backdoor via Watering Hole Attack. Introduction

https://www.trendmicro.com/en_us/research/23/b/earth-kitsune-delivers-new-whiskerspy-backdoor.html

Actors/Campaigns:
Earth_kitsune

Threats:
Watering_hole_technique
Whiskerspy
Agfspy

Geo:
Chinese, Brazil, China, Korean, Korea, Japan

IOCs:
File: 15
Hash: 1
Domain: 5
IP: 2
Path: 1

Softs:
nsis installer, google chrome, chrome

Algorithms:
ecdh, ecc, aes, murmur3, xor

Win API:
GetSystemFirmwareTable

Languages:
javascript

Links:
https://github.com/alexmgr/tinyec/blob/master/tinyec/registry.py

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно мы обнаружили новый бэкдор, приписываемый агенту продвинутых постоянных угроз Earth Kitsune. Earth Kitsune действует с 2019 года, нацеливаясь на лиц, интересующихся Северной Кореей, используя тактику "watering hole". В последней атаке вместо браузерных эксплойтов использовалась социальная инженерия: был взломан веб-сайт просеверокорейской организации и выведено сообщение, уведомляющее жертв об ошибке видеокодека, чтобы побудить их загрузить троянский установщик. Эта программа установки была исправлена, чтобы загрузить ранее невидимый бэкдор под названием WhiskerSpy.

WhiskerSpy использует криптографию с эллиптическими кривыми (ECC) для шифрования, генерируя случайный 16-байтовый ключ AES и 32-битный хэш Murmur3 от этого ключа. Он запрашивает задания у своего командно-контрольного сервера, отправляя коды состояния, предназначенные для сообщения о состоянии задания. Старые версии WhiskerSpy представляют собой 32-битные исполняемые файлы, реализующие лишь часть функций. Кроме того, он проверяет наличие отладчика, отправляя в случае его присутствия специальный код состояния.

Угрожающий субъект также применил интересную технику сохранения, которая злоупотребляет встроенным узлом обмена сообщениями Google Chromes. В частности, вредоносный скрипт добавляет слушателя в сообщение onStartup, который отправляет команду inject на родной узел обмена сообщениями. В результате вредоносная полезная нагрузка выполняется при каждом запуске Chrome.

Наши результаты позволяют нам со средней степенью уверенности приписать эту атаку угрожающему субъекту Earth Kitsune. Более того, сервер доставки и командно-контрольный сервер WhiskerSpy, использованные в этой атаке, имели два совпадения инфраструктуры с нашими предыдущими исследованиями операции Earth Kitsune.

Мастерство Earth Kitsune и эволюция их инструментов, тактик и процедур (TTP) очевидны в использовании ими таких технических мер, как исправление легитимных инсталляторов, использование малоизвестных алгоритмов хэширования для вычисления идентификаторов машин и идентификаторов сессий, а также применение ECC для защиты ключей шифрования. Они также используют уникальные и редко встречающиеся методы сохранения. Все это свидетельствует о том, что Earth Kitsune со временем развивают свои возможности и остаются значительной угрозой.

#ParsedReport
20-02-2023

Where there is love, there is ...malware?

https://objective-see.org/blog/blog_0x72.html


Threats:
Iwebupdate

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 1
File: 3
IP: 3

Softs:
macos, curl

Algorithms:
zip

Languages:
php

Platforms:
apple, intel

Links:
https://github.com/objective-see/Malware/raw/main/iWebUpdate.zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Сегодня, в День святого Валентина, был идеальный день для целенаправленного исследования и анализа вредоносного ПО. В результате был обнаружен подозрительный файл iWebUpdate. После сортировки и анализа двоичного кода выяснилось, что файл содержит сетевые функции, возможности самостоятельной установки, загрузки и выполнения, а также командно-контрольный сервер, расположенный по адресу iwebservicescloud[.]com. Метаданные и другие характеристики двоичного файла и его компонентов, а также отсутствие информации о нем в Интернете позволили сделать вывод, что это неизвестная вредоносная программа для Mac.

Дальнейший анализ показал, что iWebUpdate можно сделать постоянным, сохранив себя в \~/Library/Services/iWebUpdate и создав список свойств в \~/Library/LaunchAgents/iwebupdate.plist. После установки вредоносная программа выполнялась ежечасно через launchctl. Также было обнаружено, что командно-контрольный сервер имеет историю разрешения на IP-адреса, связанные со злоумышленниками, такими как те, которые, согласно отчету CISA, связаны с группой Lazarus.

Легкость, с которой iWebUpdate удалось избежать обнаружения антивирусными системами на VirusTotal, служит еще одним напоминанием о риске заражения даже на системах Mac. К счастью, пользователи могут защитить себя от этой и подобных угроз, регулярно устанавливая последние обновления безопасности, используя надежные антивирусные программы и проявляя осторожность при загрузке файлов и приложений. Кроме того, бесплатные инструменты Objective-See с открытым исходным кодом могут помочь обнаружить iWebUpdate, даже если он не был обнаружен в течение пяти лет. В целом, обнаружение iWebUpdate служит напоминанием о том, что в мире существует гораздо больше вредоносных программ для Mac, чем нам известно, и что пользователи должны предпринимать активные шаги для защиты от этих угроз.

#ParsedReport
20-02-2023

Decoding the Inner Workings of DarkCloud Stealer

https://blog.cyble.com/2023/02/20/decoding-the-inner-workings-of-darkcloud-stealer

Threats:
Darkcloud

Industry:
Retail, Financial

TTPs:
Tactics: 7
Technics: 13

IOCs:
Hash: 8
File: 10
Path: 2

Softs:
chromium, telegram, task scheduler, net framework, winscp, windows registry, coreftp, internet explorer, microsoft edge

Algorithms:
zip, des

Functions:
CompileAssemblyFromSource, CompileCode, ExecGGFHGFDute, ExtractCredentials, decryptLogins, Grab, GetWinSCP

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

DarkCloud - это вредоносная программа для кражи информации, впервые замеченная исследователями в 2022 году. Она способна собирать конфиденциальную информацию с компьютера или мобильного устройства жертвы, включая пароли, номера кредитных карт, номера социального страхования и другую личную или финансовую информацию. Лаборатория Cyble Research and Intelligence Labs (CRIL) заметила рост распространенности DarkCloud Stealer, причем акторы угроз (TA) используют различные спам-кампании для распространения этой вредоносной программы по всему миру.

DarkCloud Stealer работает через многоступенчатый процесс, на последнем этапе которого в память загружается конечная полезная нагрузка, написанная на Visual Basic. Программа может пересылать украденные данные различными способами, включая SMTP, Telegram, веб-панель и FTP. Кроме того, пользователи могут настроить полезную нагрузку крадущего в соответствии со своими требованиями, включив в нее функции граббера и клиппера. TA утверждает, что кража может быть нацелена на различные приложения, такие как VPN-сервисы, приложения для обмена сообщениями, менеджеры паролей и криптовалютные приложения.

Начальный файл, доставленный через спам-кампанию, представляет собой двоичный файл .Net, который действует как дроппер. Этот файл копирует себя в каталог Users\\\AppData\\\Roaming, а затем создает запись в планировщике задач с помощью schtasks.exe для сохранения. После этого вредоносная программа запускает себя и загружает двоичный файл следующего уровня в память запущенного процесса. После выполнения credentials.exe начинает собирать конфиденциальную информацию из нескольких приложений, установленных на целевой системе, после чего отправляет украденные данные на командно-контрольный сервер (C&C).

DarkCloud Stealer представляет собой серьезную угрозу безопасности устройств, пользователей и предприятий по всему миру. Мы рекомендуем следовать некоторым основным правилам кибербезопасности, чтобы создать первую линию контроля против злоумышленников, например, регулярно обновлять систему, избегать подозрительных ссылок и регулярно создавать резервные копии данных.