#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно мы обнаружили новый бэкдор, приписываемый агенту продвинутых постоянных угроз Earth Kitsune. Earth Kitsune действует с 2019 года, нацеливаясь на лиц, интересующихся Северной Кореей, используя тактику "watering hole". В последней атаке вместо браузерных эксплойтов использовалась социальная инженерия: был взломан веб-сайт просеверокорейской организации и выведено сообщение, уведомляющее жертв об ошибке видеокодека, чтобы побудить их загрузить троянский установщик. Эта программа установки была исправлена, чтобы загрузить ранее невидимый бэкдор под названием WhiskerSpy.

WhiskerSpy использует криптографию с эллиптическими кривыми (ECC) для шифрования, генерируя случайный 16-байтовый ключ AES и 32-битный хэш Murmur3 от этого ключа. Он запрашивает задания у своего командно-контрольного сервера, отправляя коды состояния, предназначенные для сообщения о состоянии задания. Старые версии WhiskerSpy представляют собой 32-битные исполняемые файлы, реализующие лишь часть функций. Кроме того, он проверяет наличие отладчика, отправляя в случае его присутствия специальный код состояния.

Угрожающий субъект также применил интересную технику сохранения, которая злоупотребляет встроенным узлом обмена сообщениями Google Chromes. В частности, вредоносный скрипт добавляет слушателя в сообщение onStartup, который отправляет команду inject на родной узел обмена сообщениями. В результате вредоносная полезная нагрузка выполняется при каждом запуске Chrome.

Наши результаты позволяют нам со средней степенью уверенности приписать эту атаку угрожающему субъекту Earth Kitsune. Более того, сервер доставки и командно-контрольный сервер WhiskerSpy, использованные в этой атаке, имели два совпадения инфраструктуры с нашими предыдущими исследованиями операции Earth Kitsune.

Мастерство Earth Kitsune и эволюция их инструментов, тактик и процедур (TTP) очевидны в использовании ими таких технических мер, как исправление легитимных инсталляторов, использование малоизвестных алгоритмов хэширования для вычисления идентификаторов машин и идентификаторов сессий, а также применение ECC для защиты ключей шифрования. Они также используют уникальные и редко встречающиеся методы сохранения. Все это свидетельствует о том, что Earth Kitsune со временем развивают свои возможности и остаются значительной угрозой.

#ParsedReport
20-02-2023

Where there is love, there is ...malware?

https://objective-see.org/blog/blog_0x72.html


Threats:
Iwebupdate

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 1
File: 3
IP: 3

Softs:
macos, curl

Algorithms:
zip

Languages:
php

Platforms:
apple, intel

Links:
https://github.com/objective-see/Malware/raw/main/iWebUpdate.zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Сегодня, в День святого Валентина, был идеальный день для целенаправленного исследования и анализа вредоносного ПО. В результате был обнаружен подозрительный файл iWebUpdate. После сортировки и анализа двоичного кода выяснилось, что файл содержит сетевые функции, возможности самостоятельной установки, загрузки и выполнения, а также командно-контрольный сервер, расположенный по адресу iwebservicescloud[.]com. Метаданные и другие характеристики двоичного файла и его компонентов, а также отсутствие информации о нем в Интернете позволили сделать вывод, что это неизвестная вредоносная программа для Mac.

Дальнейший анализ показал, что iWebUpdate можно сделать постоянным, сохранив себя в \~/Library/Services/iWebUpdate и создав список свойств в \~/Library/LaunchAgents/iwebupdate.plist. После установки вредоносная программа выполнялась ежечасно через launchctl. Также было обнаружено, что командно-контрольный сервер имеет историю разрешения на IP-адреса, связанные со злоумышленниками, такими как те, которые, согласно отчету CISA, связаны с группой Lazarus.

Легкость, с которой iWebUpdate удалось избежать обнаружения антивирусными системами на VirusTotal, служит еще одним напоминанием о риске заражения даже на системах Mac. К счастью, пользователи могут защитить себя от этой и подобных угроз, регулярно устанавливая последние обновления безопасности, используя надежные антивирусные программы и проявляя осторожность при загрузке файлов и приложений. Кроме того, бесплатные инструменты Objective-See с открытым исходным кодом могут помочь обнаружить iWebUpdate, даже если он не был обнаружен в течение пяти лет. В целом, обнаружение iWebUpdate служит напоминанием о том, что в мире существует гораздо больше вредоносных программ для Mac, чем нам известно, и что пользователи должны предпринимать активные шаги для защиты от этих угроз.

#ParsedReport
20-02-2023

Decoding the Inner Workings of DarkCloud Stealer

https://blog.cyble.com/2023/02/20/decoding-the-inner-workings-of-darkcloud-stealer

Threats:
Darkcloud

Industry:
Retail, Financial

TTPs:
Tactics: 7
Technics: 13

IOCs:
Hash: 8
File: 10
Path: 2

Softs:
chromium, telegram, task scheduler, net framework, winscp, windows registry, coreftp, internet explorer, microsoft edge

Algorithms:
zip, des

Functions:
CompileAssemblyFromSource, CompileCode, ExecGGFHGFDute, ExtractCredentials, decryptLogins, Grab, GetWinSCP

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

DarkCloud - это вредоносная программа для кражи информации, впервые замеченная исследователями в 2022 году. Она способна собирать конфиденциальную информацию с компьютера или мобильного устройства жертвы, включая пароли, номера кредитных карт, номера социального страхования и другую личную или финансовую информацию. Лаборатория Cyble Research and Intelligence Labs (CRIL) заметила рост распространенности DarkCloud Stealer, причем акторы угроз (TA) используют различные спам-кампании для распространения этой вредоносной программы по всему миру.

DarkCloud Stealer работает через многоступенчатый процесс, на последнем этапе которого в память загружается конечная полезная нагрузка, написанная на Visual Basic. Программа может пересылать украденные данные различными способами, включая SMTP, Telegram, веб-панель и FTP. Кроме того, пользователи могут настроить полезную нагрузку крадущего в соответствии со своими требованиями, включив в нее функции граббера и клиппера. TA утверждает, что кража может быть нацелена на различные приложения, такие как VPN-сервисы, приложения для обмена сообщениями, менеджеры паролей и криптовалютные приложения.

Начальный файл, доставленный через спам-кампанию, представляет собой двоичный файл .Net, который действует как дроппер. Этот файл копирует себя в каталог Users\\\AppData\\\Roaming, а затем создает запись в планировщике задач с помощью schtasks.exe для сохранения. После этого вредоносная программа запускает себя и загружает двоичный файл следующего уровня в память запущенного процесса. После выполнения credentials.exe начинает собирать конфиденциальную информацию из нескольких приложений, установленных на целевой системе, после чего отправляет украденные данные на командно-контрольный сервер (C&C).

DarkCloud Stealer представляет собой серьезную угрозу безопасности устройств, пользователей и предприятий по всему миру. Мы рекомендуем следовать некоторым основным правилам кибербезопасности, чтобы создать первую линию контроля против злоумышленников, например, регулярно обновлять систему, избегать подозрительных ссылок и регулярно создавать резервные копии данных.

#ParsedReport
20-02-2023

Royal Ransomware expands attacks by targeting Linux ESXi servers. Deep roots , strong start

https://www.trendmicro.com/en_us/research/23/b/royal-ransomware-expands-attacks-by-targeting-linux-esxi-servers.html

Actors/Campaigns:
Darkside

Threats:
Royal_ransomware
Cheerscrypt
Conti
Lockbit
Blackcat
Zeon
Opendir
Ransom.linux

Industry:
Healthcare, Foodtech, Financial

Geo:
Africa, Pacific, America, Asia

IOCs:
Hash: 2

Softs:
esxi, unix

Algorithms:
aes

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Royal ransomware - это новый вариант ransomware, который был замечен в атаках на системы Linux. Считается, что это дело рук опытных киберпреступников, ранее входивших в группу Conti Team One. В четвертом квартале 2022 года она входила в тройку самых распространенных групп ransomware.

Royal ransomware сочетает в себе старые и новые методы. Она нацелена на предприятия малого и среднего бизнеса, а ее основными объектами являются ИТ, финансы, материалы, здравоохранение, пищевая и основная промышленность. Три четверти ее жертв в четвертом квартале 2022 года находились в Северной Америке, однако она также атаковала предприятия в Европе, Латинской Америке, Азиатско-Тихоокеанском регионе, Африке и на Ближнем Востоке.

Основные особенности программы Royal ransomware включают использование для шифрования стандарта OpenSSL Advanced Encryption Standard (AES), прерывистое шифрование с параметром 0-100, RSA-шифрование AES и IV ключа, а также добавление расширения royal_u для зашифрованных файлов. Он также принимает аргументы командной строки -id и -path и создает потоки в зависимости от количества процессоров зараженной машины.

Для защиты от этого типа атак с использованием вымогательского ПО организациям следует применять передовые методы защиты данных, резервного копирования и восстановления. Это включает в себя проведение регулярной оценки уязвимостей и исправление систем, использование многофакторной аутентификации для предотвращения латерального перемещения в сети, а также следование правилу 3-2-1 для резервного копирования важных файлов. Кроме того, необходимо поддерживать системы в актуальном состоянии и соблюдать протоколы управления исправлениями.

#ParsedReport
20-02-2023

Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity Part 1

https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-part-1

Actors/Campaigns:
Eternity

Threats:
Stealc
Vidar_stealer
Raccoon_stealer
Plymouth_actor
Redline_stealer
Process_injection_technique
Aurora
Risepro
Privateloader
Bluefox_stealer
Traffer

Industry:
Financial, E-commerce

Geo:
Russian

TTPs:
Tactics: 7
Technics: 25

IOCs:
Url: 108
Hash: 4
File: 20
Command: 1
Coin: 6
Domain: 7
IP: 37

Softs:
telegram, microsoft defender, google chrome, chrome\|google chrome, chrome\|chromium, chrome\|amigo, chrome\|torch, chrome\|vivaldi, chrome\|comodo dragon, chrome\|epicprivacybrowser, have more...

Algorithms:
base64, rc4

Win API:
GetProcAddress, LoadLibraryA, LoadLibrary

Languages:
php

YARA: Found

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/stealc/suricata\_rules/
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/stealc/stealc\_iocs\_20230220.csv

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Stealc - это программа для кражи информации, продаваемая компанией Plymouth с начала 2023 года как MaaS (malware-as-a-service), нацеленная на конфиденциальные данные из веб-браузеров, расширений браузеров, настольных кошельков и почтовых клиентов. SEKOIA.IO выявил более 40 серверов команд и управления в феврале 2023 года, что свидетельствует о широком распространении и популярности вредоносной программы среди киберпреступников.

Чтобы завоевать доверие клиентов, разработчик вносил депозит в размере 0,02 биткоина (около 400 долларов на момент внесения депозита) и предлагал бесплатные тесты вредоносного ПО на подпольных форумах. Вредоносная программа продолжала совершенствоваться, еженедельно добавляя новые функции.

SEKOIA.IO провела углубленный анализ вредоносной программы, подробно описав ее возможности и связанную с ней цепочку заражения. Вредоносная программа предназначена для сбора данных отпечатков пальцев, загрузки семи легитимных DLL сторонних разработчиков, эксфильтрации файлов из Discord, Telegram, Tox, Outlook и Steam, а затем удаления с зараженного узла.

Вредоносная программа может быть обнаружена с помощью правил YARA, основанных на строках, включенных в образец, или специфических командах, выполняемых Stealc или C2-коммуникациями. Динамическое обнаружение также возможно путем написания правила YARA для VirusTotal Livehunt.

Отследить серверы Stealc C2 можно с помощью ответов HTTP и HTML по умолчанию, которые кажутся характерными. На момент написания статьи SEKOIA.IO с высокой степенью достоверности обнаружил 35 активных серверов, связанных со Stealc C2.

Вполне вероятно, что Stealc infostealer получит широкое распространение в ближайшей перспективе, поскольку множество субъектов угроз добавляют эту вредоносную программу в свой арсенал, пока она плохо отслеживается. Компаниям, столкнувшимся с компрометацией stealer, необходимо знать об этой вредоносной программе. Аналитики SEKOIA.IO будут продолжать следить за появляющимися и распространенными похитителями информации, включая Stealc.

#ParsedReport
20-02-2023

HardBit 2.0 Ransomware

https://www.varonis.com/blog/hardbit-2.0-ransomware

Threats:
Hardbit

Industry:
Financial, Government

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 4
File: 7
Email: 4
Hash: 6

Softs:
windows registry, windows defender, defwatch, msexchange, sqlagent, sqlbrowser

Win API:
BCryptGetFipsAlgorithmMode

Win Services:
AcronisAgent, AcrSch2Svc, ARSM, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, have more...

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

HardBit - это вредоносная программа-вымогатель, нацеленная на организации и требующая криптовалютных платежей за расшифровку их данных. Она активна с ноября 2022 года и не имеет сайта утечки или двойного метода вымогательства. Полезная нагрузка HardBit ransomware выполняет нацеливание и шифрование данных жертвы, а также собирает информацию о хосте жертвы через веб-интерфейс управления предприятием и Windows Management Instrumentation (WMI). Кроме того, она помещает в папку документов жертвы пользовательский значок файла HardBit, который используется для добавления фирменного стиля ко всем зашифрованным файлам.

После выполнения полезной нагрузки ransomware начинает снижать уровень безопасности компьютера жертвы, отключая функции антивируса Windows Defender и завершая работу служб, чтобы снизить вероятность обнаружения и восстановления. Затем он копирует себя в папку Startup жертвы, чтобы автоматически запускаться при каждой перезагрузке системы, и ищет на машине жертвы данные для шифрования.

Организациям следует принять меры по защите от угроз вымогательства, подобных HardBit. В частности, необходимо внедрить надежные методы кибербезопасности и защиты данных, ограничить риски и избегать выплаты выкупа. Кроме того, им следует запланировать демонстрационную сессию с экспертами, загрузить бесплатные отчеты, чтобы узнать больше о рисках, связанных с SaaS-данными, и поделиться информацией об угрозах вымогательства в социальных сетях. Предпринимая эти шаги, организации смогут лучше защитить себя от пагубного воздействия ransomware.

#ParsedReport
20-02-2023

How AsyncRAT is escaping security defenses

https://seguranca-informatica.pt/how-asyncrat-is-escaping-security-defenses

Threats:
Asyncrat_rat
Mispadu
Process_hollowing_technique

Industry:
Iot

Geo:
American, Portuguese, Japanese

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 7

Softs:
windows defender, active directory

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

AsyncRat - троян с открытым исходным кодом для удаленного доступа (RAT), который в последние месяцы используется преступниками для атак на жертв. Он использует специально созданный .bat-файл для обхода средств защиты и внедрения вредоносного кода в память целевого компьютера. Код обфусцирован нежелательными строками кода, что затрудняет обнаружение и блокирование вредоносной программы антивирусными программами и решениями для обнаружения и реагирования на конечные точки (EDR).

После внедрения AsyncRat может использоваться для управления зараженной машиной с помощью графического интерфейса пользователя (GUI). Он может просматривать и записывать экран жертвы, перехватывать нажатия клавиш, загружать и скачивать файлы, выполнять дополнительные полезные нагрузки, общаться со злоумышленником и создавать механизмы сохранения. Он также способен отключать Windows Defender, выключать и перезагружать систему или проводить атаки типа "отказ в обслуживании".

Учитывая изощренность AsyncRat и других вредоносных программ, важно быть на шаг впереди, знать о новых угрозах и применять новейшие меры безопасности и передовые методы. Привлекая опытных специалистов по безопасности, таких как Педро Таварес, организации и частные лица могут лучше защитить себя от постоянно растущего числа кибератак.

#ParsedReport
20-02-2023

Cyber Threat Report: RambleOn Android Malware

https://interlab.or.kr/archives/2567

Actors/Campaigns:
Kimsuky
Apt37

Threats:
Rambleon
Imminentmonitor_rat

Geo:
Korea

IOCs:
File: 9
Coin: 1
Hash: 3
Email: 1

Softs:
android, wechat, burp suite

Algorithms:
aes

Functions:
OAuth, openConnection, onStart, onResume, aesEncrypt, aesDecrypt, appendCL, appendLog, AR, ARStop, have more...

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно южнокорейский журналист стал объектом атаки злоумышленников с помощью APK-файла, отправленного анонимным отправителем. После анализа, проведенного исследователем угроз Interlabs Ови Либером, было установлено, что APK-файл содержал критически важные вредоносные функции, включая возможность чтения и утечки списка контактов цели, SMS, содержимого голосовых вызовов, местоположения и многого другого. Вредоносная программа получила название "RambleOn" благодаря своим уникальным характеристикам, таким как инфраструктура pCloud и Yandex, а также использование сервиса FCM для связи C&C.

Вредоносная программа имеет несколько этапов и полезную нагрузку, что позволяет ей постоянно осуществлять утечку данных с устройства Android. Все начинается с того, что злоумышленник заманивает жертву и заставляет ее установить вредоносное приложение (в данном случае Fizzle). Затем Fizzle загружает файл .Dex с конечных точек облачного хранилища pCloud или Yandex и динамически загружает файл .Dex, вызывая метод, который эксфильтрирует данные на конечные точки облачного хранилища. При этом также загружается вторичная полезная нагрузка, которая облегчает непрерывную эксфильтрацию и механизмы C2. Вторичная полезная нагрузка регистрирует устройство в Google Firebase Cloud Messaging для обеспечения механизмов C2 и запускает несколько сервисов, которые передают данные в конечные точки облачного хранилища pCloud или Yandex. Команды C2 отправляются с помощью Firebase Cloud Messaging, инициируя службы во второй полезной нагрузке, которые динамически загружают классы, содержащиеся в первой полезной нагрузке. Затем эти классы выполняют методы C2 и передают любые данные обратно в облачное хранилище.

Interlab работает с правозащитниками и журналистами над документированием и индексированием цифровых угроз и их атрибуцией злоумышленникам. В случае с атакой вредоносного ПО "RambleOn" имеется мало данных, указывающих на четкую и прямую атрибуцию. Несмотря на то, что виктимологическая картина вписывается в модус операнди таких групп, как APT 37 и Kimsuky, пока недостаточно информации, чтобы окончательно идентифицировать злоумышленников. Сама вредоносная программа приписывается Kimsuky из-за корреляции методов и имен классов, а также инфраструктуры pCloud, Yandex и Firebase Cloud Messaging.

В целом, атака вредоносного ПО "RambleOn" служит напоминанием о важности цифровой безопасности для журналистов. Поскольку киберугрозы с политической подоплекой, направленные на журналистов, становятся все более распространенными, журналисты должны принимать дополнительные меры предосторожности для обеспечения своей цифровой безопасности и защиты от злоумышленников. Понимая механизм работы 'RambleOn' и подобных вредоносных программ, журналисты могут лучше защитить себя и оставаться в безопасности при выполнении своей работы.

#technique

Direct Kernel Object Manipulation (DKOM) Attacks on ETW Providers

https://securityintelligence.com/posts/direct-kernel-object-manipulation-attacks-etw-providers/

#technique

Securonix Threat Research Knowledge Sharing Series: Hiding the PowerShell Execution Flow

https://www.securonix.com/blog/hiding-the-powershell-execution-flow/

#ParsedReport
21-02-2023

SoulSearcher Worm

https://research.openanalysis.net/yara/soulsearcher/intel/malpedia/worm/2023/02/16/soulsearcher-worm.html

Threats:
Soulsearcher

IOCs:
Hash: 12
File: 3

Platforms:
intel

YARA: Found

Links:
https://github.com/OALabs/research/tree/master/\_notebooks/2023-02-16-soulsearcher-worm.ipynb

#ParsedReport
21-02-2023

ASEC Weekly Phishing Email Threat Trends (February 5th, 2023 February 11th, 2023)

https://asec.ahnlab.com/en/48093

Threats:
Agent_tesla
Formbook

Industry:
Financial

Geo:
Korean, Austria

TTPs:

IOCs:
File: 39
Url: 6

Algorithms:
zip

#ParsedReport
21-02-2023

Magniber ransomware redo technique (Magniber)

https://asec.ahnlab.com/ko/47997

Threats:
Magniber
Typosquatting_technique

IOCs:
File: 1
Registry: 1
Path: 1
Hash: 10

Softs:
(internet explorer), chrome

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) следит за вымогательской программой Magniber, которая все чаще распространяется в последние несколько лет. Она возникла как уязвимость Internet Explorer (IE), но после прекращения поддержки IE стала распространяться как файл установочного пакета Windows (.msi) с использованием браузеров Edge и Chrome. Недавно сообщалось о случае повторного заражения уже зараженной системы, когда Magniber загружался и шифровался при каждом перезапуске системы, что приводило к еще большему ущербу.

Причиной повторного заражения является код-инжектор, который запускается в msiexec.exe при выполнении MSI-файла. Он внедряет полезную нагрузку Magniber ransomware в обычные пользовательские процессы через цикл (do-while). Код ransomware имеет случайную функцию (Func_Random), которая генерирует случайное число, и в зависимости от того, четное оно или нечетное, выполняется либо код сохранения (Persistence_RegistryEdit), либо предпринимается попытка шифрования без регистрации повторного выполнения. Если реестр в ключе Run зарегистрирован с расширением .3fr, реестр, назначенный для дополнительной операции, будет загружать и шифровать новый Magniber при каждой перезагрузке системы.

Компания AhnLab подтвердила, что распространение Magniber прекратилось со второй половины дня 20 февраля, однако неизвестно, когда оно может начаться снова. Он распространяется через Typosquatting, используя опечатки в доменах, ориентированных на пользователей последних версий браузеров Chrome и Edge для Windows. Если пользователь неправильно вводит домен, он рискует стать жертвой заражения ransomware, как и в предыдущем случае. Поэтому необходимо проявить особое внимание.

В настоящее время компания AhnLab реагирует на Magniber Ransomware, отслеживая ее распространение и оказывая помощь пострадавшим. Они советуют пользователям обновлять свои операционные системы, а также использовать антивирусное и антивредоносное программное обеспечение для защиты от инфекций. Кроме того, из-за риска опечаток пользователям следует быть особенно осторожными при вводе доменов.