#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Royal Ransomware - это вредоносная программа, нацеленная на Linux-машины, о последней версии которой сообщили в FortiGuard Labs. Она содержит функции, предназначенные специально для виртуальных машин, и может быть развернута с помощью параметров командной строки, таких как идентификационная строка и процент шифрования. Программа шифрует файлы и переименовывает их, добавляя постфикс ".royal_u".

Эта программа-вымогатель особенно опасна тем, что ее операторы не включили в нее никаких защитных функций уклонения или антианализа, что затрудняет ее обнаружение и удаление. В результате она может быть легко развернута и распространена на другие цели.

Очевидно, что субъекты угроз все чаще используют среды Linux/Unix, поэтому организации должны быть готовы к этой новой волне атак. Fortinet предлагает комплексные решения для обнаружения, смягчения и предотвращения атак ransomware, позволяя компаниям опережать эту постоянно развивающуюся угрозу.

#ParsedReport
24-02-2023

#StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-040a

Threats:
Stop_ransomware
Cuba
Hive
Ransomware.gov
Mauicrypt
H0lygh0st
Log4shell_vuln
Hiddentear
Deadbolt
Qnapcrypt
Gonnacry
Jigsaw
Lockbit
Nxransomware
Ryuk
Yourransom
Revil
Kisa
Ransomware.do

Industry:
Healthcare, Government, Financial, Iot

Geo:
Canada, Dprk, Korean, Korea, Australia

CVEs:
CVE-2021-44228 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-24990 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- terra-master terramaster operating system (<4.2.31)

CVE-2021-20038 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- sonicwall sma 200 firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
- sonicwall sma 210 firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
- sonicwall sma 410 firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
- sonicwall sma 400 firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
- sonicwall sma 500v firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)
have more...

TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 2
Domain: 2
IP: 2
Coin: 11
Hash: 90

Softs:
apache log4j, bitlocker, hyper-v

Languages:
php

#ParsedReport
23-02-2023

WinorDLL64: A backdoor from the vast Lazarus arsenal?

https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal

Actors/Campaigns:
Lazarus
Kimsuky

Threats:
Winordll64
Wslink_loader
Wannacryptor
Wannacry
Cobra
Bankshot

Industry:
Entertainment, Aerospace

Geo:
Belgium, Ukraine, Netherlands, America, Korean, North-korea, Korea

CVEs:
CVE-2021-21551 [Vulners]
CVSS V2: 4.6,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- dell dbutil 2 3.sys (-)


TTPs:
Tactics: 6
Technics: 20

IOCs:
File: 4
Hash: 4

Softs:
emote desktop services se, windows registry

Algorithms:
quicklz, aes-cbc

Functions:
FBI, GetLocaleInfoW

Win API:
GetTickCount, CreateProcessW, CreateProcessAsUserW, WTSQueryUserToken, etLocaleInfoW AP

YARA: Found

Links:
https://github.com/fancycode/MemoryModule

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи ESET обнаружили новую полезную нагрузку для загрузчика Wslink под названием WinorDLL64. Хотя первоначальный вектор компрометации Wslink неизвестен, вредоносная программа была приписана группе Lazarus Advanced Persistent Threat (APT) с низкой степенью достоверности. Это основано на целевых регионах и сходстве поведения и кода с ранее известными образцами Lazarus.

Lazarus APT - это связанная с Северной Кореей группировка, ответственная за различные громкие киберхулиганства и инциденты. Она состоит из большой, систематически организованной команды, использующей различные инструменты. Были выявлены совпадения в поведении и коде между WinorDLL64 и другими образцами Lazarus из Operation GhostSecret и Bankshot implant, описанными McAfee, с некоторым дублированием кода в образцах. Исследователи из AhnLab также подтвердили в своей телеметрии южнокорейских жертв Wslink, что указывает на то, что это может быть релевантным показателем, учитывая традиционные цели Lazarus.

WinorDLL64 - это бэкдор, который получает системную информацию, предоставляет средства для манипуляций с файлами и выполняет дополнительные команды. Она взаимодействует через TCP-соединение, установленное ее загрузчиком, и использует 256-битное AES-CBC шифрование для безопасного обмена данными с оператором. DLL имеет один безымянный экспорт, который принимает один параметр - структуру для связи. Она также содержит дублирование среды разработки, поведения и кода с несколькими примерами Lazarus.

Хотя атрибуция WinorDLL64 APT-группой Lazarus имеет лишь низкую степень достоверности, доказательства, подтверждающие ее, впечатляют. Вредоносный код имеет схожую функциональность с GhostSecret и Bankshot, а также совпадения в среде разработки, поведении и коде. Южнокорейские жертвы Wslink были подтверждены AhnLab, что делает их вероятной целью для Lazarus. Кроме того, полезная нагрузка WinorDLL64 направлена на предоставление средств для манипулирования файлами, выполнения дальнейшего кода и получения обширной информации о базовой системе, которая впоследствии может быть использована для латерального перемещения.

В целом, исследователи ESET обнаружили мощную полезную нагрузку загрузчика Wslink под названием WinorDLL64, которая, как полагают, связана с APT-группой Lazarus. Несмотря на то, что атрибуция имеет лишь низкую степень достоверности, доказательства, указывающие на это, весьма убедительны. Вредоносная программа предоставляет бэкдор, который получает системную информацию, предоставляет средства для манипулирования файлами и выполняет дополнительные команды. Понимая эти возможности, организации могут лучше защитить себя от этой сложной угрозы.

#ParsedReport
24-02-2023

A tale of Phobos - how we almost cracked a ransomware using CUDA

https://cert.pl/en/posts/2023/02/breaking-phobos

Threats:
Phobos
Dharma

Geo:
Polish

IOCs:
Hash: 1

Algorithms:
aes

Win API:
QueryPerformanceCounter, GetLocalTime, SystemTimeToFileTime, GetTickCount, GetCurrentProcessId, GetCurrentThreadId

Languages:
python, rust

Links:
https://github.com/CERT-Polska/phobos-cuda-decryptor-poc

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последнее время семейство программ-вымогателей Phobos становится все более активным, поражая многие организации и побуждая исследователей искать уязвимости, которые можно использовать для создания дешифровщика. После некоторого расследования было обнаружено, что эта программа-рансомвар имеет функцию планирования ключей с необычными слабыми местами, которые потенциально могут быть использованы для создания такого дешифратора.

Для этого исследователям пришлось повысить вычислительную сложность и производительность своего пробного дешифратора за счет использования нескольких источников плохой энтропии. Это включало в себя знание PID и TID процесса выкупа, точное измерение времени, дрейф часов и преднамеренный шум, вносимый Windows, а также различение уязвимых и неуязвимых версий Phobos.

Несмотря на эти усовершенствования, полученный дешифратор все еще был слишком медленным для работы на машинах потребительского класса, и исследователи не смогли помочь ни одной реальной жертве. Поэтому они решили опубликовать свои находки и инструменты в надежде, что кто-то еще найдет их полезными или продолжит свои исследования. Исходный код почти работающего расшифровщика доступен по адресу CERT-Polska/phobos-cuda-decryptor-poc, и все, у кого есть вопросы или кто использовал скрипт для помощи жертвам ransomware, могут связаться с исследователями.

В целом, исследование семейства Phobos ransomware выявило интересные уязвимости, которые потенциально могут быть использованы для создания дешифровщика. Несмотря на то, что текущая концепция непрактична в использовании, исследователи выложили свои находки и инструменты в открытый доступ в надежде, что кто-то сможет продвинуться дальше и помочь реальным жертвам.

#ParsedReport
23-02-2023

The DoNot APT

https://labs.k7computing.com/index.php/the-donot-apt

Actors/Campaigns:
Donot

Industry:
Telco, Government, Financial

Geo:
Pakistan, Asia, Asian, Bangladesh, India

IOCs:
File: 1
Hash: 19
Url: 10
Domain: 2
IP: 8

Softs:
android

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

DoNot APT - это группа, действующая с 2016 года и нацеленная на правительственные и военные организации, министерства иностранных дел и посольства в странах Южной Азии, таких как Индия, Пакистан, Шри-Ланка, Бангладеш. Известно, что в качестве первоначального вектора доступа группа использует фишинговые электронные письма, содержащие вредоносные вложения. В последнее время для доставки полезной нагрузки они стали использовать ZIP-файлы в комплекте с исполняемыми файлами WinRAR SFX.

Указанные исполняемые файлы содержат DLL-файл, который отвечает за подключение к серверу Command and Control (C2) и отправку основной информации о ПК жертвы, такой как имя пользователя, имя компьютера, идентификатор процессора. Кроме того, DLL создает мьютекс в качестве маркера заражения и устанавливает новую запланированную задачу на выполнение каждые четыре минуты для поддержания постоянства.

Домен C2 URL TLD, используемый группой APT с сентября 2022 года, - .buzz, а регистратором DNS является NameSilo Inc. Отслеживание IP-адреса, связанного с этим доменом, привело к поставщику услуг виртуального выделенного сервера (VPS) под названием BitLaunch, который принимает криптовалютные платежи. Это указывает на то, что субъекты угроз, скорее всего, используют услуги VPS для своих вредоносных кампаний.

Лучший способ защитить себя от подобных угроз - использовать надежный продукт безопасности, такой как K7 Total Security, и поддерживать его в актуальном состоянии.

DoNot APT - группа, действующая с 2016 года и нацеленная на правительственные и военные организации, министерства иностранных дел и посольства в Южной Азии. Первоначально группа использовала фишинговые электронные письма с вредоносными вложениями для получения доступа к целевым системам. Недавно APT начала использовать для доставки полезной нагрузки ZIP-файлы с исполняемыми файлами WinRAR SFX. Эти исполняемые файлы содержат DLL-файл, который отвечает за подключение к командно-контрольному серверу (C2) и отправку основной информации о целевой системе. Кроме того, DLL устанавливает новую запланированную задачу на выполнение каждые четыре минуты, чтобы обеспечить устойчивость.

Отслеживание IP-адресов, связанных с доменом .buzz, используемым APT-группой с сентября 2022 года, показало, что субъекты угрозы, скорее всего, используют виртуальный выделенный сервер (VPS), предоставляемый провайдером услуг BitLaunch, который принимает криптовалютные платежи.

Основным способом защиты от таких угроз является обновление надежного продукта безопасности, такого как K7 Total Security. Также рекомендуется придерживаться правил безопасной работы в Интернете и остерегаться любых подозрительных писем или вложений.

#ParsedReport
24-02-2023

#StopRansomware: Daixin Team

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-294a

Threats:
Cuba
Passthehash_technique
Babuk
Daxin

Industry:
Healthcare, Financial, Iot

Geo:
Australia, Canada

TTPs:
Tactics: 6
Technics: 10

IOCs:
Hash: 5

Softs:
esxi, rclonean

Links:
https://github.com/cisagov/cset/releases/tag/v10.3.0.0

#ParsedReport
23-02-2023

WhiskerSpy: New Backdoor Spread via Watering Hole Attack by Earth Kitsune

https://www.secureblink.com/threat-research/whisker-spy-new-backdoor-spread-via-watering-hole-attack-by-earth-kitsune

Actors/Campaigns:
Earth_kitsune

Threats:
Watering_hole_technique
Whiskerspy
Agfspy
Clouddragon

Geo:
Belarus, Russia, Korean, Chinese, Ukraine

IOCs:
Domain: 5
IP: 2

Softs:
windows task scheduler

Algorithms:
ecc

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

WhiskerSpy - это недавно обнаруженная вредоносная программа с бэкдором, связанная с группой угроз Earth Kitsune, которая активна как минимум с 2018 года. Впервые он был обнаружен в начале 2021 года и предназначен для предоставления злоумышленникам полного контроля над скомпрометированной системой. WhiskerSpy представляет собой 64-битный исполняемый файл, который может быть установлен различными способами, включая наборы эксплойтов, вредоносные вложения электронной почты и атаки "водяной скважины". После установки он связывается с командно-контрольным сервером (C&C), получая инструкции от злоумышленников и сообщая о состоянии взломанной системы.

Бэкдор реализует ряд функций, включая интерактивную оболочку, загрузку и скачивание файлов, листинг файлов, удаление файлов и т.д. Он генерирует уникальные идентификаторы машины и сессии, используя комбинацию алгоритмов хэширования MD5 и SHA-1, и использует криптографию эллиптической кривой (ECC) для защиты ключей шифрования. Злоумышленники используют такие техники, как упаковка и обфускация, чтобы избежать обнаружения антивирусным программным обеспечением. Они также используют уникальную технику для поддержания постоянства, скрывая свой код в планировщике задач Windows с помощью XML-файла.

WhiskerSpy был в основном развернут через атаку Watering Hole, направленную на пользователей в России, Беларуси и Украине. Предполагается, что за этой атакой стоит одна и та же группа угроз из-за схожего способа действия и виктимологии. Кроме того, сервер доставки и C&C-сервер WhiskerSpy имели две инфраструктуры, совпадающие с ранее замеченной деятельностью группы.

Организациям следует принять меры по защите от современных угроз, подобных WhiskerSpy. Необходимо применять многоуровневый подход к обеспечению безопасности и использовать технологии, способные обнаруживать и блокировать проникновение подобных угроз в систему через конечные точки, серверы, сети и электронную почту. Необходимо регулярно обновлять все системы и обучать пользователей передовым методам обеспечения безопасности.

#ParsedReport
23-02-2023

Magniber Ransomwares Relaunch Technique

https://asec.ahnlab.com/en/48312

Threats:
Magniber
Typosquatting_technique

IOCs:
File: 2
Registry: 1
Path: 1
Hash: 10

Softs:
(internet explorer), windows installer, chrome

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) следит за вымогательской программой Magniber, которая все чаще распространяется в последние несколько лет. Первоначально она использовала уязвимость Internet Explorer, но после прекращения поддержки этого браузера ее распространение прекратилось. В последнее время она распространяется в виде файла пакета установщика Windows (.msi) в браузерах Edge и Chrome. Поступали сообщения о повторном заражении некоторых систем из-за того, что Magniber предназначен для загрузки нового экземпляра при каждой перезагрузке системы.

При выполнении Magniber внедряет код в процесс пользователя через API, показанный на рисунке. Инжектируемый код содержит случайную функцию (Func_Random), которая генерирует либо четное, либо нечетное число. Если число нечетное, выполняется код сохранения (Persistence_RegistryEdit); если четное, вместо этого предпринимается попытка шифрования. Затем программа-вымогатель регистрирует себя в ключе реестра Run, создавая бессмысленный файл .3fr, а также фиктивный файл. Одновременно она сохраняет в зарегистрированном реестре команду, загружающую Magniber. Следовательно, при каждой перезагрузке системы Magniber будет загружен и зашифрован.

Компания AhnLab подтвердила, что распространение Magniber прекращено с 20 февраля, но предупредила пользователей о необходимости сохранять бдительность. В настоящее время он распространяется с помощью typosquatting - метода, который использует опечатки в доменах и может заставить пользователей по ошибке загрузить вредоносные файлы. В настоящее время компания AhnLab принимает различные меры безопасности в ответ на Magniber.

В заключение можно сказать, что Magniber - это опасная программа-вымогатель, которая может легко заразить компьютер пользователя и зашифровать его данные. Важно, чтобы пользователи знали о его присутствии и предпринимали шаги по защите. Также важно поддерживать актуальность всех программ и операционных систем, чтобы снизить риск заражения.

#ParsedReport
24-02-2023

#StopRansomware: Cuba Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a

Actors/Campaigns:
Lapsus

Threats:
Romcom_rat
Hive
Hancitor
Kerberoasting_technique
Kerbercache_tool
Zerologon_vuln
Qakbot
Impacket_tool
Meterpreter_tool
Iobit_tool
Powerview

Industry:
Foodtech, Government, Healthcare, E-commerce, Financial

CVEs:
CVE-2022-24521 [Vulners]
CVSS V2: 4.6,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, *)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 20h2)
have more...
CVE-2020-1472 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...

TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 73
Path: 1
Hash: 48
IP: 53
Domain: 3
Email: 4

Softs:
active directory, local security authority, keepass

#ParsedReport
24-02-2023

. The Rattlesnake Group uses the theme of the epidemic to target my country's cyber attacks

https://www.antiy.cn/research/notice&report/research_report/20230223.html

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Harpoon

Industry:
Education, Government

Geo:
India, Nepal, Chinese

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 9
Hash: 5
Path: 4
Command: 1

Algorithms:
gzip, xor, zip, base64

Functions:
Program

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В ноябре 2022 года Antiy CERT обнаружил случай рассылки фишинговых писем, направленных на китайский университет злоумышленником Rattlesnake из Индии. Злоумышленник использовал поддельное доменное имя и замаскированный личный адрес электронной почты для отправки пакета вложений, содержащего вредоносный файл-ярлык. При нажатии на него вызывалась команда для выполнения удаленного сценария JavaScript. Этот сценарий загружает в память инсценированную вредоносную программу для получения информации о локальном антивирусном ПО.

Анализ статических характеристик вредоносного ярлыка показал, что он связан с другим образцом, нацеленным на правительство Непала. Этот образец назывался "National Pride Project Research Report, 2079.docx.lNK" и был связан с отчетом об исследовании национальной гордости, опубликованным в первый день Нового года Непала 2079 (14 апреля 2022 года).

Дальнейшее расследование показало, что вредоносный файл был упакован в 2022-11-23 15:50:08, что произошло через день после атаки на китайский университет. Предполагается, что Rattlesnake пытался похитить конфиденциальную информацию как из китайского университета, так и из правительства Непала.

В атаке использовалась сложная комбинация методов социальной инженерии и вредоносного ПО, направленная на два разных учреждения. Вредоносные файлы были отправлены в составе ZIP-пакета, содержащего вредоносный ярлык и недействительные файлы. После щелчка мышью вредоносный ярлык вызывал команду на выполнение удаленного сценария JavaScript, который загружал в память компьютера срежиссированную вредоносную программу для получения информации о локальном антивирусном программном обеспечении.

#ParsedReport
23-02-2023

ChromeLoader Disguised as Illegal Game Programs Being Distributed

https://asec.ahnlab.com/en/48211

Threats:
Chromeloader
Trojan/bat.runner.s2119
Trojan/vbs.runner.s2120
Trojan/html.obfus

IOCs:
File: 18
Path: 1
Domain: 3
Hash: 4

Softs:
microsoft office, photoshop, chromium, chrome

Algorithms:
7zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Распространение вредоносного ПО через файлы образов дисков, такие как ISO и VHD, растет с прошлого года. В этом блоге мы сосредоточимся на недавнем обнаружении распространения ChromeLoader в VHD-файлах с именами файлов, которые делают их похожими на игровые хаки или крэки для игр Nintendo и Steam.

Вредоносные файлы были обнаружены на многочисленных веб-сайтах, распространяющих нелегальные программы, такие как взломы игр и крэки, в верхней части результатов поиска Google для любого из имен файлов, используемых в распространении. Загрузка нелегальной программы с любого из этих сайтов ведет на многочисленные сайты с вредоносной рекламой. Предполагается, что файлы VHD были загружены с одного из этих рекламных сайтов.

Когда файл VHD загружается через этот процесс, он содержит обычные файлы, вредоносный js-файл, связанный с node-webkit(nw.js), и Install.lnk, который запускает файл properties.bat. Он распаковывает файл files.zip по пути %AppData% командой tar, в котором содержится вредоносный js-файл start.html, содержащий обфусцированный код. Выполнение videos.exe запускает nw.exe и обращается к package.json для выполнения скрипта, обозначенного свойством main, который является вредоносным JS.

Этот вредоносный JS подключается к адресам и пытается загрузить ChromeLoader - рекламное ПО, выполняющее вредоносные действия через расширение Chrome. После установки ChromeLoader перенаправляет пользователей на рекламные веб-сайты, собирает данные о просмотре сайтов, может собирать учетные данные браузера и изменять его настройки.

Учитывая растущую распространенность вредоносных программ, использующих файлы образов дисков, пользователи должны помнить о потенциальных рисках при загрузке файлов из неизвестных источников. Рекомендуется загружать программы только с их официальных сайтов. Антивирусный продукт АнЛабс, V3, может обнаружить и блокировать данный тип вредоносного ПО, используя указанный псевдоним.

В целом, использование файлов образов дисков для распространения вредоносного ПО стремительно растет. Злоумышленники часто маскируют вредоносные программы под игровые хаки или крэки, чтобы обманом заставить пользователей загрузить их. Недавно было обнаружено, что ChromeLoader распространяется в VHD-файлах с именами файлов, позволяющими предположить, что они связаны с играми Nintendo и Steam. Затем вредоносный JS подключается к веб-сайтам и пытается загрузить ChromeLoader - рекламное ПО, которое крадет данные пользователя и изменяет настройки браузера. Поэтому пользователям следует проявлять осторожность при загрузке файлов из неизвестных источников и загружать программы только с соответствующих официальных сайтов.

#ParsedReport
23-02-2023

Anti-Forensic Techniques Used By Lazarus Group

https://asec.ahnlab.com/en/48223

Actors/Campaigns:
Lazarus

Threats:
Steganography_technique
Lazarshell
Lazarloader
Lazardoor

Geo:
Korean

IOCs:
Path: 2
File: 2
Hash: 22

Softs:
windows file system

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Lazarus представляет серьезную угрозу для корейских компаний, связанных с национальной обороной, спутниками, программным обеспечением и прессой, примерно с года. Группа анализа AhnLab ASEC внимательно следила за их деятельностью, а также за другими тактиками и процедурами угроз (TTP). Цель этой заметки - поделиться антикриминалистическими следами и деталями, обнаруженными в системах, в которые проникла группа Lazarus.

Для сокрытия своих вредоносных действий группа Lazarus использовала различные антикриминалистические методы. В частности, для выделения и анализа мер по сокрытию информации, предпринятых группой Lazarus, была использована наиболее распространенная классификация антикриминалистики, предложенная доктором Маркусом Роджером. Согласно этой классификации, существует пять основных категорий: сокрытие данных, стирание артефактов, обфускация следов, атаки против компьютерной криминалистики и физические. Из этих пяти категорий группа Lazarus использовала три техники - сокрытие данных, уничтожение артефактов и обфускация следов.

Скрытие данных относится к методу сокрытия данных, который затрудняет их обнаружение. Основные примеры включают обфускацию данных, шифрование, стеганографию и сокрытие данных в нераспределенных областях. Группа Lazarus замаскировала свою вредоносную программу в трех частях - загрузчик, исполняемый файл и файл конфигурации. Загрузчик расшифровывает зашифрованные PE-файлы и загружает их в память, а исполняемый файл после расшифровки в памяти связывается с адресом C2. Наконец, конфигурационный файл содержит информацию C2 и передается в зашифрованном виде, чтобы избежать обнаружения продуктами безопасности.

Группа Lazarus скрывала свою вредоносную программу либо путем создания аналогичной папки в системе, либо маскируя ее под обычный файл в скрытой системной папке по умолчанию. Они также удаляли вредоносную программу, ее артефакты и отчеты об ошибках, сгенерированные в результате атаки на уязвимость. Обфускация следов - еще одна техника, использованная группой Lazarus, которая включала в себя запутывание процесса экспертизы для сокрытия вредоносного поведения. Сюда входили модификация/удаление журналов, подмена, вставка неверной информации и прыжки по магистрали. Чтобы обойти анализ временной шкалы, временные метки файлов изменялись и копировались из системных файлов по умолчанию.

Важно учитывать возможность использования субъектом угрозы антикриминалистических методов при расследовании и анализе инцидентов, учитывая, что такие же методы используются другими группами перспективных постоянных угроз (APT). Для обеспечения возможности отслеживания вредоносного ПО даже при применении антикриминалистических методов необходимо постоянно проводить исследования методов отслеживания.

#ParsedReport
24-02-2023

Mallox Group Claims Ransomware Attack on FICCI

https://blog.cyble.com/2023/02/24/mallox-group-claims-ransomware-attack-on-ficci

Actors/Campaigns:
Mallox

Threats:
Mallox_ransomware
Bozon
Snake_keylogger
Agent_tesla
Remcos_rat
Intellilock_tool

Industry:
Financial, Government

Geo:
India, Indian, Emirates, Korea, France, Spain, Asia, Taiwan, Turkey, Portugal

TTPs:
Tactics: 6
Technics: 8

IOCs:
IP: 2
Hash: 30

Algorithms:
aes