#ParsedReport
22-02-2023

Developers beware: Imposter HTTP libraries lurk on PyPI

https://www.reversinglabs.com/blog/beware-impostor-http-libraries-lurk-on-pypi

Threats:
Httpxv2_stealer
Httpsus_downloader
Typosquatting_technique

IOCs:
File: 4
Hash: 41

Softs:
discord

Algorithms:
base64

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания ReversingLabs недавно заметила увеличение количества вредоносных библиотек HTTP в репозитории Python Package Index (PyPI). Эти вредоносные пакеты называются просто аббревиатурой "HTTP" и часто маскируются под настоящие библиотеки с описанием, которое не намекает на их вредоносный замысел. Компания ReversingLabs выявила 41 вредоносный пакет PyPI, выдающий себя за библиотеки HTTP. Было установлено, что эти пакеты содержат два различных типа вредоносных модулей - загрузчики, используемые для доставки вредоносных программ второй стадии на скомпрометированные системы, и похитители информации, содержащие вредоносные функции, используемые для утечки данных.

Вредоносная полезная нагрузка этих пакетов ловко скрывается с помощью кодировки base64 или прячется внутри файлов типа setup.py или __init__.py. Вредоносные субъекты также используют типосквоттинг, когда создаются имена, похожие на имена легитимных пакетов, чтобы обмануть разработчиков и заставить их установить.

Разработчики должны знать об этой возникающей угрозе и принимать дополнительные меры предосторожности при загрузке и использовании сторонних библиотек. ReversingLabs A1000 обеспечивает тщательный статический анализ и классификацию угроз различных библиотек, а также бинарный анализ пакетов выпуска программного обеспечения, чтобы убедиться, что они не несут нежелательных рисков или поведения. Разработчикам также рекомендуется часто проводить оценку безопасности своего кода и следить за популярными библиотеками и фреймворками, используемыми сообществом разработчиков.

В заключение следует отметить, что злоумышленники используют такие платформы, как PyPI, npm, RubyGems и GitHub для распространения вредоносного ПО, и разработчикам следует сохранять бдительность при загрузке и включении сторонних библиотек в свои приложения. Результаты исследования ReversingLabs предоставляют сообществу разработчиков информацию об основных признаках вредоносных HTTP-библиотек, позволяя им обнаружить и предотвратить любую потенциальную вредоносную деятельность.

#ParsedReport
22-02-2023

From Backup to Backdoor: Exploitation of CVE-2022-36537 in R1Soft Server Backup Manager

https://blog.fox-it.com/2023/02/22/from-backup-to-backdoor-exploitation-of-cve-2022-36537-in-r1soft-server-backup-manager

Threats:
Godzilla_loader

Geo:
Netherlands, Dutch

CVEs:
CVE-2022-36537 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- zkoss zk framework (9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, 8.6.4.1)


TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 5
IP: 5

Softs:
r1soft server backup manager, zk framework, curl, unix

Languages:
java, python

Links:
https://gist.github.com/fox-srt/dc299b5e16061e19d061f490f51b6a4a#file-cve-2022-36537-rules
https://gist.github.com/fox-srt/dc299b5e16061e19d061f490f51b6a4a/raw/0f775f92ebbdcaa8d3635fb9f55977697776301c/cve-2022-36537.rules
https://github.com
https://gist.github.com/UniIsland/3346170
https://gist.github.com/fox-srt/2627f2f65ef3354b1d1a5c823cc2cd5e
https://github.com/H4ckForJob/kingkong#analysis
https://gist.github.com/fox-srt/5df012e6e780ba85897f457308c5c940#file-godzilla\_and\_simplehttpserverwithupload-rules
https://github.com/numencyber/Vulnerability\_PoC/tree/main/CVE-2022-36537
https://github.com/Malwareman007/CVE-2022-36537/
https://gist.github.com/fox-srt/5df012e6e780ba85897f457308c5c940/raw/77c7f8827f51a537f302e76911d24ffb14885a82/godzilla\_and\_simplehttpserverwithupload.rules
https://github.com/whwlsfb/cve-2022-22947-godzilla-memshell/blob/main/GMemShell.java

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В ноябре 2022 года компания Fox-IT выявила глобальную эксплуатацию серверного программного обеспечения R1Soft, использующего ZK Java Framework. Противник использовал уязвимость в фреймворке CVE-2022-36537 для развертывания вредоносного драйвера базы данных с функциями бэкдора. К январю 2023 года компания Fox-IT выявила 286 серверов с программным обеспечением R1Soft Server Backup Manager со специфическим бэкдором. После информирования голландской NCSC и координации обмена информацией компания Fox-IT опубликовала сообщение в блоге, чтобы распространить информацию о серьезности угрозы.

Вредоносный JDBC-драйвер загружался серверным ПО R1Soft при успешной эксплуатации и создавал запись в журнале {r1soft_install_location}/log/server.log, которую можно использовать для проверки его присутствия. Затем противник подбросил вредоносный JDBC-драйвер в {r1soft_install_location}/bin/mysql.jar, создав веб-фильтр с именем fa0sifjasfjai0fja и шаблоном URL /zkau/jquery. Это позволяло злоумышленнику загружать в память новые функциональные возможности, а также выполнять команды. Анализ вредоносного кода показал, что он связан с веб-оболочкой Godzilla.

Противник также использовал curl для загрузки файлов из сети жертвы на сервер с версией Python-скрипта SimpleHTTPServerWithUpload.py, что позволило ему получить файлы конфигурации VPN, информацию об ИТ-администрировании и другие конфиденциальные документы. Fox-IT предоставила правила и IOCs, чтобы помочь организациям обнаружить свои системы, если они подверглись воздействию, а также декомпилированную версию вредоносного бэкдора Driver.class.

Эта угроза все еще активно исследуется, и Fox-IT призывает всех, у кого есть вопросы или кто нуждается в помощи, обращаться к ним. Fox-IT стремится постоянно отслеживать эту угрозу и может выпустить последующий блог, если поступит достаточно новых данных.

#ParsedReport
22-02-2023

SOC Team Essentials \| How to Investigate and Track the 8220 Gang Cloud Threat

https://www.sentinelone.com/blog/soc-team-essentials-how-to-investigate-and-track-the-8220-gang-cloud-threat

Actors/Campaigns:
8220_gang

Threats:
Tsunami_botnet
Pwnrig_botnet

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 4
IP: 3
Domain: 2

Softs:
docker, confluence, redis, curl

Algorithms:
base64

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

The 8220 Gang (или восемьдесят два двадцать) - это низкоквалифицированный преступный агент, известный заражением облачных хостов через уязвимости n-day и перебором удаленного доступа. Об этой группировке впервые сообщила компания Talos в 2018 году, а ее жертвами обычно становятся пользователи уязвимых и неправильно сконфигурированных приложений и сервисов Linux. Было замечено, что The 8220 Gang переключается на новые инфраструктуры и образцы, что дает исследователям возможность изучить процесс расследования киберпреступной деятельности.

Для того чтобы отследить "Банду 8220", исследователи должны понять, как они используют вредоносные скрипты, образцы вредоносного ПО и вредоносную инфраструктуру. Например, сценарий заражения группы проходит через набор инструкций, часто на нескольких уровнях закодированных команд, направленных на установку персистенции на машине жертвы путем загрузки себя с вредоносных серверов. Кроме того, провалы в OPSEC группы позволяют отслеживать их деятельность путем мониторинга и анализа образцов вредоносного ПО, выявления закономерностей в их вредоносных скриптах и составления схемы их инфраструктуры.

Важно также отметить, что деятельность "Банды 8220" не ограничивается их собственной инфраструктурой. Обращаясь ко всем поддоменам, связанным с доменом, контролируемым актором, в дополнение ко всей истории DNS вредоносных IP-адресов, исследователи могут получить лучшее представление об активности группы. Фактически, эта техника позволяет выявить более широкий набор вредоносных действий.

Наконец, визуализируя роли инфраструктуры "банды 8220", исследователи могут лучше понять операции группы. Это включает в себя отслеживание вредоносных скриптов, образцов вредоносного ПО и вредоносной инфраструктуры группы по мере их перемещения по различным системам и сетям. Таким образом, исследователи могут лучше понять цели группы и составить более полное представление о ее угрозах.

В заключение можно сказать, что "Банда 8220" - это низкоквалифицированный преступный агент, известный тем, что заражает облачные узлы через уязвимости n-day и перебором удаленного доступа. Чтобы отследить их деятельность, исследователи должны понять, как они используют вредоносные скрипты, образцы вредоносного ПО и вредоносную инфраструктуру, а также их недостаток OPSEC. Кроме того, ориентируясь на все поддомены, связанные с доменом, контролируемым агентом, и всю историю DNS вредоносных IP-адресов, исследователи могут выявить более широкий набор вредоносной активности. Наконец, исследователи должны визуализировать роли инфраструктуры 8220 Gang, чтобы лучше понять их цели и соответствующие разведданные об угрозах.

#ParsedReport
22-02-2023

RedLine Stealer spreading through OneNote

https://labs.k7computing.com/index.php/redline-stealer-spreading-through-onenote

Threats:
Redline_stealer

IOCs:
File: 4
IP: 1
Hash: 1

Softs:
onenote

Algorithms:
base64, gzip, xor

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последнее время файлы OneNote все чаще используются для переноса вредоносных программ и обмана пользователей при их выполнении. Это серьезная проблема безопасности в настоящее время, и она стала более распространенной в последние несколько недель. Рассматриваемый образец представлял собой файл .one, содержащий RedLine info stealer, который был реплицирован с помощью CyberChef и получил полезную нагрузку .NET. При дальнейшем анализе с помощью dnSpy имя файла было определено как tmp5217. Строки в файле были декодированы с помощью CyberChef.

Полезная нагрузка.exe - это ресурс во вредоносной программе RedLine, который расшифровывается с помощью функции. Затем сервер C2 (command and control) запрашивает файлы с расширениями .txt, .doc и именами, содержащими key, wallet & seed, из папок Desktop и Documents. Он также запрашивает различные данные браузера, хранящиеся в папке AppData. В ответ хост отправляет информацию о себе, запущенных процессах и каждом файле с запрошенными расширениями.

Атаки вредоносных программ, осуществляемые через файлы OneNote, становятся все более распространенными, поэтому важно предпринять необходимые шаги, чтобы защитить себя от таких атак. Обновление продуктов безопасности и регулярное сканирование на наличие угроз может значительно обезопасить устройство от вредоносных действий.

#ParsedReport
22-02-2023

More Supply Chain Attacks via New Malicious Python Packages in PyPi

https://www.fortinet.com/blog/threat-research/more-supply-chain-attacks-via-new-malicious-python-packages-in-pypi

Threats:
Process_hollowing_technique
Kryptik_trojan

Geo:
Brazil, Portugal

IOCs:
Url: 1
Path: 2
File: 3
Hash: 2

Softs:
chrome, discord, telegram

Algorithms:
base64

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

31 января 2023 года команда FortiGuard Labs обнаружила два вредоносных пакета PyPI (xhttpsp и httpssp), содержащих вредоносный код, закодированный в Base64. Этот код включал URL-адрес, который использовался для выполнения вредоносного исполняемого файла (Rdudkye.dll). Многие производители отметили этот двоичный файл как вредоносный из-за его сильно обфусцированной природы и содержащихся в нем функций, таких как DiscordApi, TelegramApi, Inject, ProcessHollowing, RemoteThreadInjection, HiddenStartup и др.

Авторы вредоносных программ часто используют обфускацию и копирование и вставку коротких кодов для распространения вредоносных пакетов с целью кражи или утечки конфиденциальных данных. Конечные пользователи Python должны быть особенно осторожны при загрузке пакетов, поскольку вредоносные пакеты могут вызвать серьезные проблемы с безопасностью.

FortiGuard Labs уведомила администраторов Python Package Index (PyPI) об этих вредоносных пакетах, и они подтвердили, что они были удалены. Кроме того, FortiGuard AntiVirus обнаруживает вредоносные исполняемые файлы, а также FortiGuard Web Filtering Service, который блокирует любые URL загрузки, связанные с этими вредоносными пакетами.

В заключение следует отметить, что хотя вредоносные пакеты могут казаться безобидными, они могут иметь серьезные последствия, если их не обнаружить и не заблокировать. Поэтому конечным пользователям Python важно дважды проверять все пакеты, которые они загружают, чтобы убедиться, что они не содержат вредоносного кода. Компания FortiGuard Labs пошла дальше, активно отслеживая вредоносные пакеты и предупреждая администраторов PyPI об их удалении. Кроме того, их услуги антивируса и веб-фильтрации обеспечивают дополнительный уровень защиты для пользователей.

#ParsedReport
24-02-2023

#StopRansomware: Hive Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-321a

Threats:
Hive
Cuba
Vssadmin_tool

Industry:
Government, Financial, Healthcare

Geo:
Australia, Canada

CVEs:
CVE-2020-12812 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- fortinet fortios (<6.2.4, 6.4.0, <6.0.10)

CVE-2021-34523 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-42321 [Vulners]
CVSS V2: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2019)

CVE-2021-31207 [Vulners]
CVSS V2: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34473 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)


TTPs:
Tactics: 4
Technics: 10

IOCs:
File: 10
Url: 6
Command: 1
Domain: 4
IP: 24

Softs:
microsoft exchange, microsoft exchange server, windows defender, esxi, microsoft windows defender, bcdedit, active directory

Links:
https://github.com/cisagov/cset/

#ParsedReport
23-02-2023

Distribution of Malware Exploiting Vulnerable Innorix: Andariel

https://asec.ahnlab.com/en/48198

Actors/Campaigns:
Lazarus

Threats:
Kisa
Andardoor

Geo:
Korea

IOCs:
Hash: 11
IP: 7

Softs:
task scheduler

Algorithms:
xor

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Аналитическая группа Центра реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружила распространение вредоносного ПО, нацеленного на пользователей с уязвимыми версиями Innorix Agent, клиента решения для передачи файлов. Собранное вредоносное ПО представляет собой бэкдор, который пытается подключиться к командно-контрольному (C&C) серверу, который может собирать и пересылать информацию о ПК пользователя, а также делать снимки экрана, создавать файлы и выполнять файлы на компьютере пользователя.

Эта вредоносная программа, классифицированная как бэкдор, первоначально была обнаружена как разработанная на C/C++, а недавно было установлено, что она была создана с использованием .NET. Он также пытается скрыть себя, используя имя AhnLab при регистрации в планировщике задач. Значение ключа, используемого этой вредоносной программой, - 74615104773254458995125212023273, что совпадает со значением, указанным в отчете CISA 2016 года.

Корейское агентство Интернета и безопасности (KISA) выявило две уязвимые версии INNORIX Agent - версию 9.2.18.450 и более раннюю версию 9.2.18.418, которые требуют обновления безопасности. Компаниям и обычным пользователям рекомендуется обеспечить обновление и тщательное управление уязвимым программным обеспечением.

В итоге, ASEC обнаружила вредоносный бэкдор, который пытается подключиться к серверу C&C и способен собирать и пересылать информацию о ПК пользователя, делать скриншоты, создавать файлы и исполнять файлы на компьютере пользователя. Было установлено, что вредоносный код был разработан на языках C/C++ и .NET. Также были выявлены уязвимые версии INNORIX Agent, поэтому компаниям и обычным пользователям рекомендуется убедиться, что все уязвимое программное обеспечение управляется и обновляется должным образом.

#ParsedReport
23-02-2023

Emails Impersonating Shipping Companies Distributed as Guide on Submitting Import Clearance Info

https://asec.ahnlab.com/en/48304

Threats:
Cloudeye

Industry:
Transport

Geo:
Korea, Korean

IOCs:
Url: 2
Hash: 3
File: 1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) обнаружил вредоносные электронные письма, которые выдают себя за транспортные компании и распространяются в Корее. Эти фишинговые письма содержат вложение с темой "Предоставление информации о разрешении на импорт" и именем файла, начинающимся с DHL_Korea. Вероятно, эти письма предназначены для корейских пользователей.

Обнаружено еще одно электронное письмо, в котором получателя просят проверить статус таможенного оформления. При открытии вложенного файла создается впечатление, что пользователь подключен к файлу PDF. URL-адрес, связанный с кнопкой открытия, изначально был доступен и мог загрузить вредоносную программу GuLoader. К счастью, в настоящее время он недоступен.

В связи с недавним распространением этих фишинговых писем пользователи должны проявлять особую осторожность при предоставлении учетных данных и открытии любых вложенных файлов. Продукты ASEC V3 могут обнаруживать и блокировать связанные с ними вредоносные программы, используя указанные псевдонимы.

В общей сложности, ASEC выявила вредоносные фишинговые письма, направленные на корейских пользователей. Письма выдают себя за представителей транспортных компаний и просят пользователей предоставить информацию об оформлении импорта или проверить статус таможенного оформления. При открытии вложенный файл может загрузить вредоносную программу GuLoader, хотя текущий URL-адрес недоступен. Чтобы оставаться в безопасности, пользователям следует обращать внимание на подозрительные электронные письма и проявлять осторожность при открытии любых вложений или вводе учетных данных. Продукт V3 компании ASEC может помочь защитить от этого типа вредоносного ПО.

#ParsedReport
24-02-2023

Royal Ransomware Targets Linux ESXi Servers

https://www.fortinet.com/blog/threat-research/royal-ransomware-targets-linux-esxi-servers

Threats:
Royal_ransomware

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 1
Url: 1

Softs:
esxi, unix

Algorithms:
cbc, aes

Functions:
stop_vm, thread_func, search_files

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Royal Ransomware - это вредоносная программа, нацеленная на Linux-машины, о последней версии которой сообщили в FortiGuard Labs. Она содержит функции, предназначенные специально для виртуальных машин, и может быть развернута с помощью параметров командной строки, таких как идентификационная строка и процент шифрования. Программа шифрует файлы и переименовывает их, добавляя постфикс ".royal_u".

Эта программа-вымогатель особенно опасна тем, что ее операторы не включили в нее никаких защитных функций уклонения или антианализа, что затрудняет ее обнаружение и удаление. В результате она может быть легко развернута и распространена на другие цели.

Очевидно, что субъекты угроз все чаще используют среды Linux/Unix, поэтому организации должны быть готовы к этой новой волне атак. Fortinet предлагает комплексные решения для обнаружения, смягчения и предотвращения атак ransomware, позволяя компаниям опережать эту постоянно развивающуюся угрозу.

#ParsedReport
24-02-2023

#StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-040a

Threats:
Stop_ransomware
Cuba
Hive
Ransomware.gov
Mauicrypt
H0lygh0st
Log4shell_vuln
Hiddentear
Deadbolt
Qnapcrypt
Gonnacry
Jigsaw
Lockbit
Nxransomware
Ryuk
Yourransom
Revil
Kisa
Ransomware.do

Industry:
Healthcare, Government, Financial, Iot

Geo:
Canada, Dprk, Korean, Korea, Australia

CVEs:
CVE-2021-44228 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-24990 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- terra-master terramaster operating system (<4.2.31)

CVE-2021-20038 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- sonicwall sma 200 firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
- sonicwall sma 210 firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
- sonicwall sma 410 firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
- sonicwall sma 400 firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
- sonicwall sma 500v firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
have more...

TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 2
Domain: 2
IP: 2
Coin: 11
Hash: 90

Softs:
apache log4j, bitlocker, hyper-v

Languages:
php

#ParsedReport
23-02-2023

WinorDLL64: A backdoor from the vast Lazarus arsenal?

https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal

Actors/Campaigns:
Lazarus
Kimsuky

Threats:
Winordll64
Wslink_loader
Wannacryptor
Wannacry
Cobra
Bankshot

Industry:
Entertainment, Aerospace

Geo:
Belgium, Ukraine, Netherlands, America, Korean, North-korea, Korea

CVEs:
CVE-2021-21551 [Vulners]
CVSS V2: 4.6,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- dell dbutil 2 3.sys (-)


TTPs:
Tactics: 6
Technics: 20

IOCs:
File: 4
Hash: 4

Softs:
emote desktop services se, windows registry

Algorithms:
quicklz, aes-cbc

Functions:
FBI, GetLocaleInfoW

Win API:
GetTickCount, CreateProcessW, CreateProcessAsUserW, WTSQueryUserToken, etLocaleInfoW AP

YARA: Found

Links:
https://github.com/fancycode/MemoryModule

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи ESET обнаружили новую полезную нагрузку для загрузчика Wslink под названием WinorDLL64. Хотя первоначальный вектор компрометации Wslink неизвестен, вредоносная программа была приписана группе Lazarus Advanced Persistent Threat (APT) с низкой степенью достоверности. Это основано на целевых регионах и сходстве поведения и кода с ранее известными образцами Lazarus.

Lazarus APT - это связанная с Северной Кореей группировка, ответственная за различные громкие киберхулиганства и инциденты. Она состоит из большой, систематически организованной команды, использующей различные инструменты. Были выявлены совпадения в поведении и коде между WinorDLL64 и другими образцами Lazarus из Operation GhostSecret и Bankshot implant, описанными McAfee, с некоторым дублированием кода в образцах. Исследователи из AhnLab также подтвердили в своей телеметрии южнокорейских жертв Wslink, что указывает на то, что это может быть релевантным показателем, учитывая традиционные цели Lazarus.

WinorDLL64 - это бэкдор, который получает системную информацию, предоставляет средства для манипуляций с файлами и выполняет дополнительные команды. Она взаимодействует через TCP-соединение, установленное ее загрузчиком, и использует 256-битное AES-CBC шифрование для безопасного обмена данными с оператором. DLL имеет один безымянный экспорт, который принимает один параметр - структуру для связи. Она также содержит дублирование среды разработки, поведения и кода с несколькими примерами Lazarus.

Хотя атрибуция WinorDLL64 APT-группой Lazarus имеет лишь низкую степень достоверности, доказательства, подтверждающие ее, впечатляют. Вредоносный код имеет схожую функциональность с GhostSecret и Bankshot, а также совпадения в среде разработки, поведении и коде. Южнокорейские жертвы Wslink были подтверждены AhnLab, что делает их вероятной целью для Lazarus. Кроме того, полезная нагрузка WinorDLL64 направлена на предоставление средств для манипулирования файлами, выполнения дальнейшего кода и получения обширной информации о базовой системе, которая впоследствии может быть использована для латерального перемещения.

В целом, исследователи ESET обнаружили мощную полезную нагрузку загрузчика Wslink под названием WinorDLL64, которая, как полагают, связана с APT-группой Lazarus. Несмотря на то, что атрибуция имеет лишь низкую степень достоверности, доказательства, указывающие на это, весьма убедительны. Вредоносная программа предоставляет бэкдор, который получает системную информацию, предоставляет средства для манипулирования файлами и выполняет дополнительные команды. Понимая эти возможности, организации могут лучше защитить себя от этой сложной угрозы.

#ParsedReport
24-02-2023

A tale of Phobos - how we almost cracked a ransomware using CUDA

https://cert.pl/en/posts/2023/02/breaking-phobos

Threats:
Phobos
Dharma

Geo:
Polish

IOCs:
Hash: 1

Algorithms:
aes

Win API:
QueryPerformanceCounter, GetLocalTime, SystemTimeToFileTime, GetTickCount, GetCurrentProcessId, GetCurrentThreadId

Languages:
python, rust

Links:
https://github.com/CERT-Polska/phobos-cuda-decryptor-poc