#technique

Securonix Threat Research Knowledge Sharing Series: Hiding the PowerShell Execution Flow

https://www.securonix.com/blog/hiding-the-powershell-execution-flow/

#ParsedReport
21-02-2023

SoulSearcher Worm

https://research.openanalysis.net/yara/soulsearcher/intel/malpedia/worm/2023/02/16/soulsearcher-worm.html

Threats:
Soulsearcher

IOCs:
Hash: 12
File: 3

Platforms:
intel

YARA: Found

Links:
https://github.com/OALabs/research/tree/master/\_notebooks/2023-02-16-soulsearcher-worm.ipynb

#ParsedReport
21-02-2023

ASEC Weekly Phishing Email Threat Trends (February 5th, 2023 February 11th, 2023)

https://asec.ahnlab.com/en/48093

Threats:
Agent_tesla
Formbook

Industry:
Financial

Geo:
Korean, Austria

TTPs:

IOCs:
File: 39
Url: 6

Algorithms:
zip

#ParsedReport
21-02-2023

Magniber ransomware redo technique (Magniber)

https://asec.ahnlab.com/ko/47997

Threats:
Magniber
Typosquatting_technique

IOCs:
File: 1
Registry: 1
Path: 1
Hash: 10

Softs:
(internet explorer), chrome

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) следит за вымогательской программой Magniber, которая все чаще распространяется в последние несколько лет. Она возникла как уязвимость Internet Explorer (IE), но после прекращения поддержки IE стала распространяться как файл установочного пакета Windows (.msi) с использованием браузеров Edge и Chrome. Недавно сообщалось о случае повторного заражения уже зараженной системы, когда Magniber загружался и шифровался при каждом перезапуске системы, что приводило к еще большему ущербу.

Причиной повторного заражения является код-инжектор, который запускается в msiexec.exe при выполнении MSI-файла. Он внедряет полезную нагрузку Magniber ransomware в обычные пользовательские процессы через цикл (do-while). Код ransomware имеет случайную функцию (Func_Random), которая генерирует случайное число, и в зависимости от того, четное оно или нечетное, выполняется либо код сохранения (Persistence_RegistryEdit), либо предпринимается попытка шифрования без регистрации повторного выполнения. Если реестр в ключе Run зарегистрирован с расширением .3fr, реестр, назначенный для дополнительной операции, будет загружать и шифровать новый Magniber при каждой перезагрузке системы.

Компания AhnLab подтвердила, что распространение Magniber прекратилось со второй половины дня 20 февраля, однако неизвестно, когда оно может начаться снова. Он распространяется через Typosquatting, используя опечатки в доменах, ориентированных на пользователей последних версий браузеров Chrome и Edge для Windows. Если пользователь неправильно вводит домен, он рискует стать жертвой заражения ransomware, как и в предыдущем случае. Поэтому необходимо проявить особое внимание.

В настоящее время компания AhnLab реагирует на Magniber Ransomware, отслеживая ее распространение и оказывая помощь пострадавшим. Они советуют пользователям обновлять свои операционные системы, а также использовать антивирусное и антивредоносное программное обеспечение для защиты от инфекций. Кроме того, из-за риска опечаток пользователям следует быть особенно осторожными при вводе доменов.

#ParsedReport
21-02-2023

Phylum Discovers Go-Based RAT Spark Being Distributed on PyPI

https://blog.phylum.io/phylum-discovers-go-based-rat-spark-being-distributed-on-pypi

Threats:
Spark_rat
Starjacking_technique

Industry:
Government

Softs:
apache spark)

Languages:
python, golang

Links:
https://github.com/getCUJO/ThreatIntel/tree/master/Scripts/Ghidra
https://github.com/XZB-1248/Spark
https://github.com/goretk/redress
https://github.com/nccgroup/ghostrings

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа Phylum недавно обнаружила случай, когда вредоносные пакеты Python распространяли вредоносное ПО Golang rat на PyPI. После расследования они установили, что автор вредоносной программы взял существующий пакет и добавил в него свою полезную нагрузку. Вредоносный код был обнаружен на глубине 436 строк в файле colored.py, и он создавал структуру папок в '/home/username/.msfdb/update', если она еще не существовала. Затем он брал сценарий оболочки из ссылки на dropbox и использовал subprocess.call для запуска сценария bash и уничтожения всего вывода, чтобы пользователь ничего не увидел.

Анализ двоичного файла показал, что он был создан с помощью Golang и использовал несколько модулей Go с открытым исходным кодом. Дальнейшее расследование показало, что вредоносный код, скорее всего, был Spark или очень близким вариантом, который представляет собой веб-ориентированный, кроссплатформенный, полнофункциональный инструмент удаленного администрирования (RAT), написанный на языке Go, который позволяет пользователю контролировать все свои устройства из любого места.

Для защиты от таких атак Phylum советует устанавливать пакеты в песочнице, так как это защищает разработчиков от атак с открытым исходным кодом и непреднамеренных последствий. Кроме того, разработчиков предупреждают, что следует опасаться нелегальных пакетов, выдаваемых за легитимные, с большим количеством звезд на GitHub, поскольку они называются "sporks" - подделка форка относительно малоизвестного пакета.

#ParsedReport
21-02-2023

Mylobot: Investigating a proxy botnet

https://www.bitsight.com/blog/mylobot-investigating-proxy-botnet

Threats:
Mylobot
Fakedga
Bhproxies
Process_hollowing_technique
Kpot_stealer
Tinba

Geo:
Lithuania, Netherlands, Indonesia, Iran, Latvia, India

IOCs:
File: 4
Path: 2
Domain: 20
IP: 36
Hash: 11

Softs:
windows defender, telegram

Algorithms:
aes, rc4, base64

Win API:
CreateTimerQueueTimer, SetUnhandledExceptionFilter, WriteProcessMemory, CreateRemoteThread

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Mylobot - это вредоносная компьютерная программа, которая появилась в 2017 году и с тех пор используется для превращения зараженных систем Windows в прокси-серверы. Она полагается на дроппер под названием WillExec для установки полезной нагрузки и подключения к своему командно-контрольному серверу, который загружает дополнительные этапы вредоносной программы. С начала 2022 года количество жестко закодированных доменов в бинарном файле изменилось с примерно 1000 до всего 3.

Анализ отпечатков сети Mylobot выявил связь между ним и BHProxies, сервисом бытовых прокси, предоставляющим бесплатную пробную версию. Тестирование этой пробной версии подтвердило, что 28 из 48 восстановленных IP-адресов бытовых прокси-сервисов уже присутствовали в системах выгребной ямы Mylobot.

С 2018 года, когда начался синкхолинг, максимальное количество уникальных ежедневно заражаемых машин достигло 250 000 в начале 2020 года. С начала 2022 года мы не можем получить телеметрию заражения от последней версии Mylobot, поскольку в выборке больше нет незарегистрированных доменов DGA. Однако мы по-прежнему наблюдаем более 50 000 уникальных зараженных систем каждый день, и вполне вероятно, что полный ботнет намного больше этой цифры.

Учитывая его способность загружать и запускать другие образцы, Mylobot является эффективным инструментом для вредоносной деятельности. Его эволюция на протяжении многих лет и связь с BHProxies делает его еще более проблематичным, поскольку он демонстрирует потенциальную возможность операторов зарабатывать деньги на своих ботнетах. Команды безопасности должны знать о возможностях этой вредоносной программы и принять необходимые меры для защиты своих систем.

#ParsedReport
21-02-2023

Technical Analysis of Rhadamanthys Obfuscation Techniques. Key Points

https://www.zscaler.com/blogs/security-research/technical-analysis-rhadamanthys-obfuscation-techniques

Threats:
Rhadamanthys
Hades

IOCs:
File: 6
Path: 1
Hash: 3
Url: 3

Softs:
keepass

Algorithms:
murmur2, rc4, xor, aes, lzma, base32

Win API:
GetProcAddress, VirtualProtect

Languages:
lua

Links:
https://github.com/jnz/q3vm
https://github.com/ladislav-zezula/StormLib/blob/master/src/SBaseCommon.cpp#L274
https://github.com/LordNoteworthy/al-khaser

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Rhadamanthys - это вредоносный похититель информации, написанный на языке C++, который впервые был замечен в декабре 2022 года. Считается, что он распространяется в основном через вредоносную рекламу Google и предназначен для кражи учетных данных из веб-браузеров, VPN-клиентов, почтовых клиентов, чат-клиентов и криптовалютных кошельков. Вредоносная программа состоит из двух компонентов: загрузчика и основного модуля, которые отвечают за эксфильтрацию собранных учетных данных.

Вредоносная программа способна применять сложные методы антианализа, используя публичную библиотеку с открытым исходным кодом. Она также реализует виртуальную машину на основе Quake III для защиты некоторых частей своего кода. Кроме того, Rhadamnthys использует вариацию формата Hidden Bee, который уже был в значительной степени описан Malwarebytes. Кроме того, он содержит встроенную файловую систему, которая включает дополнительный набор модулей.

Стоит отметить, что и загрузчик, и сетевые коммуникации главного модуля могут быть расшифрованы из-за изъяна реализации в их коде. На этапе инициализации Rhadamanthys декодирует встроенный блок и передает выполнение туда. Кроме того, он обнаруживает и передает в следующую фазу определенную информацию, такую как URL-путь для загрузки основного модуля. Для 64-битных хостов загрузчик распаковывает (LZMA) встроенную файловую систему, которая включает несколько модулей, помогающих процессу выполнения основного модуля.

Кроме того, сетевое взаимодействие шифруется путем генерации во время выполнения программы пары закрытых и открытых ключей Elliptic Curve. Однако процедура, которую Rhadamanthys использует для генерации ключей, страдает от серьезной ошибки, позволяющей взломать шифрование.

В заключение можно сказать, что Rhadamanthys - это сложная вредоносная программа, которая использует сложные методы антианализа и обфускации, чтобы остаться незамеченной. Несмотря на то, что она появилась совсем недавно, ее присутствие уже было обнаружено различными решениями безопасности, и она продолжает представлять серьезную угрозу. Поэтому пользователям следует помнить о возможности столкнуться с этой вредоносной программой и предпринять необходимые шаги для защиты своих систем.

#ParsedReport
22-02-2023

A Closer Look at QakBot

https://www.avertium.com/resources/threat-reports/a-closer-look-at-qakbot

Actors/Campaigns:
Qaknote
Ta577

Threats:
Qakbot
Blackbasta
Brc4_tool
Cobalt_strike
Asyncrat_rat
Quasar_rat
Xworm_rat
Redline_stealer
Agent_tesla
Netwire_rat
Credential_harvesting_technique
Dll_sideloading_technique

Industry:
Transport, Financial

Geo:
French

IOCs:
File: 12
Hash: 13
Path: 1
Registry: 1
Url: 13
IP: 1
Domain: 1

Softs:
onenote, microsoft onenote, internet explorer, microsoft edge, windows defender

Algorithms:
base64, zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Qakbot - это сложный штамм вредоносного ПО с долгой историей эволюции, чтобы не отставать от новых защитных систем и методов. Он использовался в многочисленных кампаниях, включая недавно выявленную кампанию QakNote, которая распространяет вредоносные файлы OneNote через перехват электронной почты. Вредоносная программа способна обходить механизмы обнаружения и внедряться в существующие процессы для дальнейшего распространения.

После запуска Qakbot выполняет ряд вредоносных действий, таких как загрузка полезной нагрузки, установка механизмов сохранения, извлечение электронной почты и распространение среди других пользователей. Обычно он распространяется через вредоносные электронные письма с ранее невидимых адресов электронной почты или в качестве ответов на текущие электронные разговоры. Он является полиморфным, что делает его неотслеживаемым и трудно обнаруживаемым.

Организациям следует принять меры для защиты от Qakbot, например, регулярно применять системные исправления и поддерживать антивирусное программное обеспечение в актуальном состоянии, следовать принципу наименьших привилегий для учетных записей пользователей, отключать макросы по умолчанию и отключать автоматическое монтирование файлов образов дисков. Кроме того, пользователи должны быть осторожны при получении вложений с конкретными инструкциями по их открытию, а администраторы электронной почты должны блокировать расширения файлов .one.

В целом, Qakbot - это продвинутый и постоянно развивающийся штамм вредоносного ПО, который может легко ускользнуть от обнаружения и нанести значительный ущерб организациям. Чтобы защититься от этой угрозы, организации должны сохранять бдительность и предпринимать проактивные шаги по защите своих сетей.

#ParsedReport
22-02-2023

Hydrochasma: Previously Unknown Group Targets Medical and Shipping Organizations in Asia

https://symantec-enterprise-blogs.security.com/threat-intelligence/hydrochasma-asia-medical-shipping-intelligence-gathering

Actors/Campaigns:
Hydrochasma

Threats:
Meterpreter_tool
Metasploit_tool
Cobalt_strike
Beacon
Fscan_tool
Procdump_tool
Browserghost_tool

Industry:
Transport, Healthcare

Geo:
Asia

IOCs:
File: 3
Hash: 52
IP: 4
Domain: 3
Url: 14

Softs:
microsoft edge update, sysinternals, task scheduler

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В октябре 2022 года актор, известный как Hydrochasma, начал атаковать транспортные компании и медицинские лаборатории в Азии в рамках очевидной кампании по сбору разведданных. Цели указывают на то, что мотивация может быть связана с лечением или вакцинами COVID-19. Для осуществления атаки Hydrochasma использовал фишинговые электронные письма в качестве вектора заражения и применял ряд общедоступных и "живых" инструментов, таких как Fast Reverse Proxy, Meterpreter, Gogo scanning tool, crlf Process Dumper, Cobalt Strike Beacon, AlliN scanning tool, Fscan, Dogz proxy tool, SoftEtherVPN, Procdump, BrowserGhost, Gost proxy, Ntlmrelay, Task Scheduler, Go-strip и HackBrowserData.

Использование общедоступных инструментов для атаки затрудняет отслеживание ее происхождения. Угрожающий субъект не был связан с какой-либо ранее идентифицированной группой и, по-видимому, является новой личностью, что затрудняет возложение ответственности. Symantec не обнаружила утечки данных в ходе этой кампании, что говорит о том, что основной целью, скорее всего, был сбор разведданных, а не их кража.

Атака Hydrochasma подчеркивает необходимость проактивного подхода к кибербезопасности и обеспечения того, чтобы предприятия принимали меры по защите своих систем от злоумышленников. Это включает в себя обучение сотрудников тому, как распознавать подозрительные электронные письма, ограничение доступа к конфиденциальным данным, обеспечение актуальности защитного программного обеспечения и операционных систем, а также проведение регулярного тестирования на проникновение и оценки уязвимостей. Это поможет организациям быть на шаг впереди злоумышленников и снизить риск стать жертвой подобных кампаний.

#ParsedReport
22-02-2023

The Rise of Agent Tesla: Understanding the Notorious Keylogger

https://cofense.com/blog/the-rise-of-agent-tesla-understanding-the-notorious-keylogger

Threats:
Agent_tesla
Gotomypc_tool
Logmein_tool

Geo:
Turkish

CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


IOCs:
File: 1

Softs:
telegram

Languages:
csharp

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Agent Tesla - это кейлоггер, написанный на .NET, который используется акторами с 2014 года. Он отслеживает нажатия клавиш, делает скриншоты и может красть пароли из различных приложений. Agent Tesla относительно недорог по сравнению с другими семействами вредоносных программ и обладает высокой функциональностью, что привело к резкому росту его использования в 2020 и 2021 годах. Обычно он передается через вложение или ссылку в фишинговом письме, а собранные им данные отправляются обратно злоумышленнику через FTP, SMTP, HTTP или сообщения Telegram.

Современные комплекты защиты конечных точек должны быть способны обнаружить Agent Tesla на конечной точке, но есть также возможности для обнаружения с помощью мониторинга трафика. Исходящий веб-трафик через порт 20 или 21 (FTP) и порт 25 или 587 (стандартные SMTP-порты) с клиентских устройств на неизвестные серверы следует отслеживать на предмет возможной активности Agent Tesla. Трафик на api.telegram.org также следует отслеживать или регулировать с помощью политик.

Как и в случае с любой другой инфекцией, профилактика является лучшей защитой от Agent Tesla. Обучение пользователей тому, как распознать фишинговые письма, имеет большое значение. Обновление всех систем последними исправлениями и установка надежного антивирусного программного обеспечения также помогут обеспечить безопасность ваших систем. Кроме того, ведение журнала и мониторинг активности в сети могут обеспечить дополнительную видимость потенциального вредоносного поведения. Отслеживая признаки наличия Agent Tesla Keylogger, администраторы могут защитить свои сети от этой угрозы.

#ParsedReport
22-02-2023

Multilingual skimmer fingerprints 'secret shoppers' via Cloudflare endpoint API

https://www.malwarebytes.com/blog/threat-intelligence/2023/02/multilingual-skimmer-fingerprints-users-via-cloudflare-endpoint-api

Actors/Campaigns:
Magecart

Industry:
Financial, E-commerce

IOCs:
Domain: 2

Softs:
chrome

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Угрозы Magecart продолжают свои атаки на сайты электронной коммерции, и они также разработали новый скиммер, который собирает не только платежную информацию, но и IP-адрес и пользовательский агента браузера жертвы. Это попытка установить отпечатки пальцев жертвы и собрать больше данных, чем в традиционных кампаниях вредоносного ПО. Скиммер использует iframe, который загружается, когда клиент находится на странице оформления заказа, а код собирает контактные и платежные формы клиентов.

Эта информация так же ценна для преступников, как и в случае утечки данных, и может быть использована для других видов мошенничества. Мы наблюдали скиммеры Magecart, нацеленные на платформы Magento и WordPress/WooCommerce, и продавцы должны принять меры для своей защиты. Служба Page Shield от Cloudflare может помочь защитить посетителей, блокируя вредоносные сторонние библиотеки, а Malwarebytes и Browser Guard обеспечивают защиту от инфраструктуры скимминга.

#ParsedReport
22-02-2023

ASEC weekly malware statistics (20230213 \~ 20230219)

https://asec.ahnlab.com/ko/48135

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Snake_keylogger

Industry:
Transport, Financial

Geo:
Korea

IOCs:
Url: 20
Domain: 3
Email: 6
File: 10

Softs:
telegram, discord

#ParsedReport
22-02-2023

Attackers Abuse Cron Jobs to Reinfect Websites

https://blog.sucuri.net/2023/02/attackers-abuse-cron-jobs-to-reinfect-websites.html

Threats:
Anonymousfox_tool
Socgholish_loader

Industry:
Healthcare

Geo:
Japanese

IOCs:
Domain: 1

Softs:
wordpress, crontab

Algorithms:
base64

Languages:
php