#ParsedReport
20-02-2023

Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity Part 1

https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-part-1

Actors/Campaigns:
Eternity

Threats:
Stealc
Vidar_stealer
Raccoon_stealer
Plymouth_actor
Redline_stealer
Process_injection_technique
Aurora
Risepro
Privateloader
Bluefox_stealer
Traffer

Industry:
Financial, E-commerce

Geo:
Russian

TTPs:
Tactics: 7
Technics: 25

IOCs:
Url: 108
Hash: 4
File: 20
Command: 1
Coin: 6
Domain: 7
IP: 37

Softs:
telegram, microsoft defender, google chrome, chrome\|google chrome, chrome\|chromium, chrome\|amigo, chrome\|torch, chrome\|vivaldi, chrome\|comodo dragon, chrome\|epicprivacybrowser, have more...

Algorithms:
base64, rc4

Win API:
GetProcAddress, LoadLibraryA, LoadLibrary

Languages:
php

YARA: Found

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/stealc/suricata\_rules/
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/stealc/stealc\_iocs\_20230220.csv

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Stealc - это программа для кражи информации, продаваемая компанией Plymouth с начала 2023 года как MaaS (malware-as-a-service), нацеленная на конфиденциальные данные из веб-браузеров, расширений браузеров, настольных кошельков и почтовых клиентов. SEKOIA.IO выявил более 40 серверов команд и управления в феврале 2023 года, что свидетельствует о широком распространении и популярности вредоносной программы среди киберпреступников.

Чтобы завоевать доверие клиентов, разработчик вносил депозит в размере 0,02 биткоина (около 400 долларов на момент внесения депозита) и предлагал бесплатные тесты вредоносного ПО на подпольных форумах. Вредоносная программа продолжала совершенствоваться, еженедельно добавляя новые функции.

SEKOIA.IO провела углубленный анализ вредоносной программы, подробно описав ее возможности и связанную с ней цепочку заражения. Вредоносная программа предназначена для сбора данных отпечатков пальцев, загрузки семи легитимных DLL сторонних разработчиков, эксфильтрации файлов из Discord, Telegram, Tox, Outlook и Steam, а затем удаления с зараженного узла.

Вредоносная программа может быть обнаружена с помощью правил YARA, основанных на строках, включенных в образец, или специфических командах, выполняемых Stealc или C2-коммуникациями. Динамическое обнаружение также возможно путем написания правила YARA для VirusTotal Livehunt.

Отследить серверы Stealc C2 можно с помощью ответов HTTP и HTML по умолчанию, которые кажутся характерными. На момент написания статьи SEKOIA.IO с высокой степенью достоверности обнаружил 35 активных серверов, связанных со Stealc C2.

Вполне вероятно, что Stealc infostealer получит широкое распространение в ближайшей перспективе, поскольку множество субъектов угроз добавляют эту вредоносную программу в свой арсенал, пока она плохо отслеживается. Компаниям, столкнувшимся с компрометацией stealer, необходимо знать об этой вредоносной программе. Аналитики SEKOIA.IO будут продолжать следить за появляющимися и распространенными похитителями информации, включая Stealc.

#ParsedReport
20-02-2023

HardBit 2.0 Ransomware

https://www.varonis.com/blog/hardbit-2.0-ransomware

Threats:
Hardbit

Industry:
Financial, Government

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 4
File: 7
Email: 4
Hash: 6

Softs:
windows registry, windows defender, defwatch, msexchange, sqlagent, sqlbrowser

Win API:
BCryptGetFipsAlgorithmMode

Win Services:
AcronisAgent, AcrSch2Svc, ARSM, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, have more...

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

HardBit - это вредоносная программа-вымогатель, нацеленная на организации и требующая криптовалютных платежей за расшифровку их данных. Она активна с ноября 2022 года и не имеет сайта утечки или двойного метода вымогательства. Полезная нагрузка HardBit ransomware выполняет нацеливание и шифрование данных жертвы, а также собирает информацию о хосте жертвы через веб-интерфейс управления предприятием и Windows Management Instrumentation (WMI). Кроме того, она помещает в папку документов жертвы пользовательский значок файла HardBit, который используется для добавления фирменного стиля ко всем зашифрованным файлам.

После выполнения полезной нагрузки ransomware начинает снижать уровень безопасности компьютера жертвы, отключая функции антивируса Windows Defender и завершая работу служб, чтобы снизить вероятность обнаружения и восстановления. Затем он копирует себя в папку Startup жертвы, чтобы автоматически запускаться при каждой перезагрузке системы, и ищет на машине жертвы данные для шифрования.

Организациям следует принять меры по защите от угроз вымогательства, подобных HardBit. В частности, необходимо внедрить надежные методы кибербезопасности и защиты данных, ограничить риски и избегать выплаты выкупа. Кроме того, им следует запланировать демонстрационную сессию с экспертами, загрузить бесплатные отчеты, чтобы узнать больше о рисках, связанных с SaaS-данными, и поделиться информацией об угрозах вымогательства в социальных сетях. Предпринимая эти шаги, организации смогут лучше защитить себя от пагубного воздействия ransomware.

#ParsedReport
20-02-2023

How AsyncRAT is escaping security defenses

https://seguranca-informatica.pt/how-asyncrat-is-escaping-security-defenses

Threats:
Asyncrat_rat
Mispadu
Process_hollowing_technique

Industry:
Iot

Geo:
American, Portuguese, Japanese

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 7

Softs:
windows defender, active directory

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

AsyncRat - троян с открытым исходным кодом для удаленного доступа (RAT), который в последние месяцы используется преступниками для атак на жертв. Он использует специально созданный .bat-файл для обхода средств защиты и внедрения вредоносного кода в память целевого компьютера. Код обфусцирован нежелательными строками кода, что затрудняет обнаружение и блокирование вредоносной программы антивирусными программами и решениями для обнаружения и реагирования на конечные точки (EDR).

После внедрения AsyncRat может использоваться для управления зараженной машиной с помощью графического интерфейса пользователя (GUI). Он может просматривать и записывать экран жертвы, перехватывать нажатия клавиш, загружать и скачивать файлы, выполнять дополнительные полезные нагрузки, общаться со злоумышленником и создавать механизмы сохранения. Он также способен отключать Windows Defender, выключать и перезагружать систему или проводить атаки типа "отказ в обслуживании".

Учитывая изощренность AsyncRat и других вредоносных программ, важно быть на шаг впереди, знать о новых угрозах и применять новейшие меры безопасности и передовые методы. Привлекая опытных специалистов по безопасности, таких как Педро Таварес, организации и частные лица могут лучше защитить себя от постоянно растущего числа кибератак.

#ParsedReport
20-02-2023

Cyber Threat Report: RambleOn Android Malware

https://interlab.or.kr/archives/2567

Actors/Campaigns:
Kimsuky
Apt37

Threats:
Rambleon
Imminentmonitor_rat

Geo:
Korea

IOCs:
File: 9
Coin: 1
Hash: 3
Email: 1

Softs:
android, wechat, burp suite

Algorithms:
aes

Functions:
OAuth, openConnection, onStart, onResume, aesEncrypt, aesDecrypt, appendCL, appendLog, AR, ARStop, have more...

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно южнокорейский журналист стал объектом атаки злоумышленников с помощью APK-файла, отправленного анонимным отправителем. После анализа, проведенного исследователем угроз Interlabs Ови Либером, было установлено, что APK-файл содержал критически важные вредоносные функции, включая возможность чтения и утечки списка контактов цели, SMS, содержимого голосовых вызовов, местоположения и многого другого. Вредоносная программа получила название "RambleOn" благодаря своим уникальным характеристикам, таким как инфраструктура pCloud и Yandex, а также использование сервиса FCM для связи C&C.

Вредоносная программа имеет несколько этапов и полезную нагрузку, что позволяет ей постоянно осуществлять утечку данных с устройства Android. Все начинается с того, что злоумышленник заманивает жертву и заставляет ее установить вредоносное приложение (в данном случае Fizzle). Затем Fizzle загружает файл .Dex с конечных точек облачного хранилища pCloud или Yandex и динамически загружает файл .Dex, вызывая метод, который эксфильтрирует данные на конечные точки облачного хранилища. При этом также загружается вторичная полезная нагрузка, которая облегчает непрерывную эксфильтрацию и механизмы C2. Вторичная полезная нагрузка регистрирует устройство в Google Firebase Cloud Messaging для обеспечения механизмов C2 и запускает несколько сервисов, которые передают данные в конечные точки облачного хранилища pCloud или Yandex. Команды C2 отправляются с помощью Firebase Cloud Messaging, инициируя службы во второй полезной нагрузке, которые динамически загружают классы, содержащиеся в первой полезной нагрузке. Затем эти классы выполняют методы C2 и передают любые данные обратно в облачное хранилище.

Interlab работает с правозащитниками и журналистами над документированием и индексированием цифровых угроз и их атрибуцией злоумышленникам. В случае с атакой вредоносного ПО "RambleOn" имеется мало данных, указывающих на четкую и прямую атрибуцию. Несмотря на то, что виктимологическая картина вписывается в модус операнди таких групп, как APT 37 и Kimsuky, пока недостаточно информации, чтобы окончательно идентифицировать злоумышленников. Сама вредоносная программа приписывается Kimsuky из-за корреляции методов и имен классов, а также инфраструктуры pCloud, Yandex и Firebase Cloud Messaging.

В целом, атака вредоносного ПО "RambleOn" служит напоминанием о важности цифровой безопасности для журналистов. Поскольку киберугрозы с политической подоплекой, направленные на журналистов, становятся все более распространенными, журналисты должны принимать дополнительные меры предосторожности для обеспечения своей цифровой безопасности и защиты от злоумышленников. Понимая механизм работы 'RambleOn' и подобных вредоносных программ, журналисты могут лучше защитить себя и оставаться в безопасности при выполнении своей работы.

#technique

Direct Kernel Object Manipulation (DKOM) Attacks on ETW Providers

https://securityintelligence.com/posts/direct-kernel-object-manipulation-attacks-etw-providers/

#technique

Securonix Threat Research Knowledge Sharing Series: Hiding the PowerShell Execution Flow

https://www.securonix.com/blog/hiding-the-powershell-execution-flow/

#ParsedReport
21-02-2023

SoulSearcher Worm

https://research.openanalysis.net/yara/soulsearcher/intel/malpedia/worm/2023/02/16/soulsearcher-worm.html

Threats:
Soulsearcher

IOCs:
Hash: 12
File: 3

Platforms:
intel

YARA: Found

Links:
https://github.com/OALabs/research/tree/master/\_notebooks/2023-02-16-soulsearcher-worm.ipynb

#ParsedReport
21-02-2023

ASEC Weekly Phishing Email Threat Trends (February 5th, 2023 February 11th, 2023)

https://asec.ahnlab.com/en/48093

Threats:
Agent_tesla
Formbook

Industry:
Financial

Geo:
Korean, Austria

TTPs:

IOCs:
File: 39
Url: 6

Algorithms:
zip

#ParsedReport
21-02-2023

Magniber ransomware redo technique (Magniber)

https://asec.ahnlab.com/ko/47997

Threats:
Magniber
Typosquatting_technique

IOCs:
File: 1
Registry: 1
Path: 1
Hash: 10

Softs:
(internet explorer), chrome

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) следит за вымогательской программой Magniber, которая все чаще распространяется в последние несколько лет. Она возникла как уязвимость Internet Explorer (IE), но после прекращения поддержки IE стала распространяться как файл установочного пакета Windows (.msi) с использованием браузеров Edge и Chrome. Недавно сообщалось о случае повторного заражения уже зараженной системы, когда Magniber загружался и шифровался при каждом перезапуске системы, что приводило к еще большему ущербу.

Причиной повторного заражения является код-инжектор, который запускается в msiexec.exe при выполнении MSI-файла. Он внедряет полезную нагрузку Magniber ransomware в обычные пользовательские процессы через цикл (do-while). Код ransomware имеет случайную функцию (Func_Random), которая генерирует случайное число, и в зависимости от того, четное оно или нечетное, выполняется либо код сохранения (Persistence_RegistryEdit), либо предпринимается попытка шифрования без регистрации повторного выполнения. Если реестр в ключе Run зарегистрирован с расширением .3fr, реестр, назначенный для дополнительной операции, будет загружать и шифровать новый Magniber при каждой перезагрузке системы.

Компания AhnLab подтвердила, что распространение Magniber прекратилось со второй половины дня 20 февраля, однако неизвестно, когда оно может начаться снова. Он распространяется через Typosquatting, используя опечатки в доменах, ориентированных на пользователей последних версий браузеров Chrome и Edge для Windows. Если пользователь неправильно вводит домен, он рискует стать жертвой заражения ransomware, как и в предыдущем случае. Поэтому необходимо проявить особое внимание.

В настоящее время компания AhnLab реагирует на Magniber Ransomware, отслеживая ее распространение и оказывая помощь пострадавшим. Они советуют пользователям обновлять свои операционные системы, а также использовать антивирусное и антивредоносное программное обеспечение для защиты от инфекций. Кроме того, из-за риска опечаток пользователям следует быть особенно осторожными при вводе доменов.

#ParsedReport
21-02-2023

Phylum Discovers Go-Based RAT Spark Being Distributed on PyPI

https://blog.phylum.io/phylum-discovers-go-based-rat-spark-being-distributed-on-pypi

Threats:
Spark_rat
Starjacking_technique

Industry:
Government

Softs:
apache spark)

Languages:
python, golang

Links:
https://github.com/getCUJO/ThreatIntel/tree/master/Scripts/Ghidra
https://github.com/XZB-1248/Spark
https://github.com/goretk/redress
https://github.com/nccgroup/ghostrings

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа Phylum недавно обнаружила случай, когда вредоносные пакеты Python распространяли вредоносное ПО Golang rat на PyPI. После расследования они установили, что автор вредоносной программы взял существующий пакет и добавил в него свою полезную нагрузку. Вредоносный код был обнаружен на глубине 436 строк в файле colored.py, и он создавал структуру папок в '/home/username/.msfdb/update', если она еще не существовала. Затем он брал сценарий оболочки из ссылки на dropbox и использовал subprocess.call для запуска сценария bash и уничтожения всего вывода, чтобы пользователь ничего не увидел.

Анализ двоичного файла показал, что он был создан с помощью Golang и использовал несколько модулей Go с открытым исходным кодом. Дальнейшее расследование показало, что вредоносный код, скорее всего, был Spark или очень близким вариантом, который представляет собой веб-ориентированный, кроссплатформенный, полнофункциональный инструмент удаленного администрирования (RAT), написанный на языке Go, который позволяет пользователю контролировать все свои устройства из любого места.

Для защиты от таких атак Phylum советует устанавливать пакеты в песочнице, так как это защищает разработчиков от атак с открытым исходным кодом и непреднамеренных последствий. Кроме того, разработчиков предупреждают, что следует опасаться нелегальных пакетов, выдаваемых за легитимные, с большим количеством звезд на GitHub, поскольку они называются "sporks" - подделка форка относительно малоизвестного пакета.

#ParsedReport
21-02-2023

Mylobot: Investigating a proxy botnet

https://www.bitsight.com/blog/mylobot-investigating-proxy-botnet

Threats:
Mylobot
Fakedga
Bhproxies
Process_hollowing_technique
Kpot_stealer
Tinba

Geo:
Lithuania, Netherlands, Indonesia, Iran, Latvia, India

IOCs:
File: 4
Path: 2
Domain: 20
IP: 36
Hash: 11

Softs:
windows defender, telegram

Algorithms:
aes, rc4, base64

Win API:
CreateTimerQueueTimer, SetUnhandledExceptionFilter, WriteProcessMemory, CreateRemoteThread

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Mylobot - это вредоносная компьютерная программа, которая появилась в 2017 году и с тех пор используется для превращения зараженных систем Windows в прокси-серверы. Она полагается на дроппер под названием WillExec для установки полезной нагрузки и подключения к своему командно-контрольному серверу, который загружает дополнительные этапы вредоносной программы. С начала 2022 года количество жестко закодированных доменов в бинарном файле изменилось с примерно 1000 до всего 3.

Анализ отпечатков сети Mylobot выявил связь между ним и BHProxies, сервисом бытовых прокси, предоставляющим бесплатную пробную версию. Тестирование этой пробной версии подтвердило, что 28 из 48 восстановленных IP-адресов бытовых прокси-сервисов уже присутствовали в системах выгребной ямы Mylobot.

С 2018 года, когда начался синкхолинг, максимальное количество уникальных ежедневно заражаемых машин достигло 250 000 в начале 2020 года. С начала 2022 года мы не можем получить телеметрию заражения от последней версии Mylobot, поскольку в выборке больше нет незарегистрированных доменов DGA. Однако мы по-прежнему наблюдаем более 50 000 уникальных зараженных систем каждый день, и вполне вероятно, что полный ботнет намного больше этой цифры.

Учитывая его способность загружать и запускать другие образцы, Mylobot является эффективным инструментом для вредоносной деятельности. Его эволюция на протяжении многих лет и связь с BHProxies делает его еще более проблематичным, поскольку он демонстрирует потенциальную возможность операторов зарабатывать деньги на своих ботнетах. Команды безопасности должны знать о возможностях этой вредоносной программы и принять необходимые меры для защиты своих систем.

#ParsedReport
21-02-2023

Technical Analysis of Rhadamanthys Obfuscation Techniques. Key Points

https://www.zscaler.com/blogs/security-research/technical-analysis-rhadamanthys-obfuscation-techniques

Threats:
Rhadamanthys
Hades

IOCs:
File: 6
Path: 1
Hash: 3
Url: 3

Softs:
keepass

Algorithms:
murmur2, rc4, xor, aes, lzma, base32

Win API:
GetProcAddress, VirtualProtect

Languages:
lua

Links:
https://github.com/jnz/q3vm
https://github.com/ladislav-zezula/StormLib/blob/master/src/SBaseCommon.cpp#L274
https://github.com/LordNoteworthy/al-khaser

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Rhadamanthys - это вредоносный похититель информации, написанный на языке C++, который впервые был замечен в декабре 2022 года. Считается, что он распространяется в основном через вредоносную рекламу Google и предназначен для кражи учетных данных из веб-браузеров, VPN-клиентов, почтовых клиентов, чат-клиентов и криптовалютных кошельков. Вредоносная программа состоит из двух компонентов: загрузчика и основного модуля, которые отвечают за эксфильтрацию собранных учетных данных.

Вредоносная программа способна применять сложные методы антианализа, используя публичную библиотеку с открытым исходным кодом. Она также реализует виртуальную машину на основе Quake III для защиты некоторых частей своего кода. Кроме того, Rhadamnthys использует вариацию формата Hidden Bee, который уже был в значительной степени описан Malwarebytes. Кроме того, он содержит встроенную файловую систему, которая включает дополнительный набор модулей.

Стоит отметить, что и загрузчик, и сетевые коммуникации главного модуля могут быть расшифрованы из-за изъяна реализации в их коде. На этапе инициализации Rhadamanthys декодирует встроенный блок и передает выполнение туда. Кроме того, он обнаруживает и передает в следующую фазу определенную информацию, такую как URL-путь для загрузки основного модуля. Для 64-битных хостов загрузчик распаковывает (LZMA) встроенную файловую систему, которая включает несколько модулей, помогающих процессу выполнения основного модуля.

Кроме того, сетевое взаимодействие шифруется путем генерации во время выполнения программы пары закрытых и открытых ключей Elliptic Curve. Однако процедура, которую Rhadamanthys использует для генерации ключей, страдает от серьезной ошибки, позволяющей взломать шифрование.

В заключение можно сказать, что Rhadamanthys - это сложная вредоносная программа, которая использует сложные методы антианализа и обфускации, чтобы остаться незамеченной. Несмотря на то, что она появилась совсем недавно, ее присутствие уже было обнаружено различными решениями безопасности, и она продолжает представлять серьезную угрозу. Поэтому пользователям следует помнить о возможности столкнуться с этой вредоносной программой и предпринять необходимые шаги для защиты своих систем.

#ParsedReport
22-02-2023

A Closer Look at QakBot

https://www.avertium.com/resources/threat-reports/a-closer-look-at-qakbot

Actors/Campaigns:
Qaknote
Ta577

Threats:
Qakbot
Blackbasta
Brc4_tool
Cobalt_strike
Asyncrat_rat
Quasar_rat
Xworm_rat
Redline_stealer
Agent_tesla
Netwire_rat
Credential_harvesting_technique
Dll_sideloading_technique

Industry:
Transport, Financial

Geo:
French

IOCs:
File: 12
Hash: 13
Path: 1
Registry: 1
Url: 13
IP: 1
Domain: 1

Softs:
onenote, microsoft onenote, internet explorer, microsoft edge, windows defender

Algorithms:
base64, zip