#ParsedReport
24-02-2023

#StopRansomware: Cuba Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a

Actors/Campaigns:
Lapsus

Threats:
Romcom_rat
Hive
Hancitor
Kerberoasting_technique
Kerbercache_tool
Zerologon_vuln
Qakbot
Impacket_tool
Meterpreter_tool
Iobit_tool
Powerview

Industry:
Foodtech, Government, Healthcare, E-commerce, Financial

CVEs:
CVE-2022-24521 [Vulners]
CVSS V2: 4.6,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, *)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 20h2)
have more...
CVE-2020-1472 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...

TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 73
Path: 1
Hash: 48
IP: 53
Domain: 3
Email: 4

Softs:
active directory, local security authority, keepass

#ParsedReport
24-02-2023

. The Rattlesnake Group uses the theme of the epidemic to target my country's cyber attacks

https://www.antiy.cn/research/notice&report/research_report/20230223.html

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Harpoon

Industry:
Education, Government

Geo:
India, Nepal, Chinese

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 9
Hash: 5
Path: 4
Command: 1

Algorithms:
gzip, xor, zip, base64

Functions:
Program

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В ноябре 2022 года Antiy CERT обнаружил случай рассылки фишинговых писем, направленных на китайский университет злоумышленником Rattlesnake из Индии. Злоумышленник использовал поддельное доменное имя и замаскированный личный адрес электронной почты для отправки пакета вложений, содержащего вредоносный файл-ярлык. При нажатии на него вызывалась команда для выполнения удаленного сценария JavaScript. Этот сценарий загружает в память инсценированную вредоносную программу для получения информации о локальном антивирусном ПО.

Анализ статических характеристик вредоносного ярлыка показал, что он связан с другим образцом, нацеленным на правительство Непала. Этот образец назывался "National Pride Project Research Report, 2079.docx.lNK" и был связан с отчетом об исследовании национальной гордости, опубликованным в первый день Нового года Непала 2079 (14 апреля 2022 года).

Дальнейшее расследование показало, что вредоносный файл был упакован в 2022-11-23 15:50:08, что произошло через день после атаки на китайский университет. Предполагается, что Rattlesnake пытался похитить конфиденциальную информацию как из китайского университета, так и из правительства Непала.

В атаке использовалась сложная комбинация методов социальной инженерии и вредоносного ПО, направленная на два разных учреждения. Вредоносные файлы были отправлены в составе ZIP-пакета, содержащего вредоносный ярлык и недействительные файлы. После щелчка мышью вредоносный ярлык вызывал команду на выполнение удаленного сценария JavaScript, который загружал в память компьютера срежиссированную вредоносную программу для получения информации о локальном антивирусном программном обеспечении.

#ParsedReport
23-02-2023

ChromeLoader Disguised as Illegal Game Programs Being Distributed

https://asec.ahnlab.com/en/48211

Threats:
Chromeloader
Trojan/bat.runner.s2119
Trojan/vbs.runner.s2120
Trojan/html.obfus

IOCs:
File: 18
Path: 1
Domain: 3
Hash: 4

Softs:
microsoft office, photoshop, chromium, chrome

Algorithms:
7zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Распространение вредоносного ПО через файлы образов дисков, такие как ISO и VHD, растет с прошлого года. В этом блоге мы сосредоточимся на недавнем обнаружении распространения ChromeLoader в VHD-файлах с именами файлов, которые делают их похожими на игровые хаки или крэки для игр Nintendo и Steam.

Вредоносные файлы были обнаружены на многочисленных веб-сайтах, распространяющих нелегальные программы, такие как взломы игр и крэки, в верхней части результатов поиска Google для любого из имен файлов, используемых в распространении. Загрузка нелегальной программы с любого из этих сайтов ведет на многочисленные сайты с вредоносной рекламой. Предполагается, что файлы VHD были загружены с одного из этих рекламных сайтов.

Когда файл VHD загружается через этот процесс, он содержит обычные файлы, вредоносный js-файл, связанный с node-webkit(nw.js), и Install.lnk, который запускает файл properties.bat. Он распаковывает файл files.zip по пути %AppData% командой tar, в котором содержится вредоносный js-файл start.html, содержащий обфусцированный код. Выполнение videos.exe запускает nw.exe и обращается к package.json для выполнения скрипта, обозначенного свойством main, который является вредоносным JS.

Этот вредоносный JS подключается к адресам и пытается загрузить ChromeLoader - рекламное ПО, выполняющее вредоносные действия через расширение Chrome. После установки ChromeLoader перенаправляет пользователей на рекламные веб-сайты, собирает данные о просмотре сайтов, может собирать учетные данные браузера и изменять его настройки.

Учитывая растущую распространенность вредоносных программ, использующих файлы образов дисков, пользователи должны помнить о потенциальных рисках при загрузке файлов из неизвестных источников. Рекомендуется загружать программы только с их официальных сайтов. Антивирусный продукт АнЛабс, V3, может обнаружить и блокировать данный тип вредоносного ПО, используя указанный псевдоним.

В целом, использование файлов образов дисков для распространения вредоносного ПО стремительно растет. Злоумышленники часто маскируют вредоносные программы под игровые хаки или крэки, чтобы обманом заставить пользователей загрузить их. Недавно было обнаружено, что ChromeLoader распространяется в VHD-файлах с именами файлов, позволяющими предположить, что они связаны с играми Nintendo и Steam. Затем вредоносный JS подключается к веб-сайтам и пытается загрузить ChromeLoader - рекламное ПО, которое крадет данные пользователя и изменяет настройки браузера. Поэтому пользователям следует проявлять осторожность при загрузке файлов из неизвестных источников и загружать программы только с соответствующих официальных сайтов.

#ParsedReport
23-02-2023

Anti-Forensic Techniques Used By Lazarus Group

https://asec.ahnlab.com/en/48223

Actors/Campaigns:
Lazarus

Threats:
Steganography_technique
Lazarshell
Lazarloader
Lazardoor

Geo:
Korean

IOCs:
Path: 2
File: 2
Hash: 22

Softs:
windows file system

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Lazarus представляет серьезную угрозу для корейских компаний, связанных с национальной обороной, спутниками, программным обеспечением и прессой, примерно с года. Группа анализа AhnLab ASEC внимательно следила за их деятельностью, а также за другими тактиками и процедурами угроз (TTP). Цель этой заметки - поделиться антикриминалистическими следами и деталями, обнаруженными в системах, в которые проникла группа Lazarus.

Для сокрытия своих вредоносных действий группа Lazarus использовала различные антикриминалистические методы. В частности, для выделения и анализа мер по сокрытию информации, предпринятых группой Lazarus, была использована наиболее распространенная классификация антикриминалистики, предложенная доктором Маркусом Роджером. Согласно этой классификации, существует пять основных категорий: сокрытие данных, стирание артефактов, обфускация следов, атаки против компьютерной криминалистики и физические. Из этих пяти категорий группа Lazarus использовала три техники - сокрытие данных, уничтожение артефактов и обфускация следов.

Скрытие данных относится к методу сокрытия данных, который затрудняет их обнаружение. Основные примеры включают обфускацию данных, шифрование, стеганографию и сокрытие данных в нераспределенных областях. Группа Lazarus замаскировала свою вредоносную программу в трех частях - загрузчик, исполняемый файл и файл конфигурации. Загрузчик расшифровывает зашифрованные PE-файлы и загружает их в память, а исполняемый файл после расшифровки в памяти связывается с адресом C2. Наконец, конфигурационный файл содержит информацию C2 и передается в зашифрованном виде, чтобы избежать обнаружения продуктами безопасности.

Группа Lazarus скрывала свою вредоносную программу либо путем создания аналогичной папки в системе, либо маскируя ее под обычный файл в скрытой системной папке по умолчанию. Они также удаляли вредоносную программу, ее артефакты и отчеты об ошибках, сгенерированные в результате атаки на уязвимость. Обфускация следов - еще одна техника, использованная группой Lazarus, которая включала в себя запутывание процесса экспертизы для сокрытия вредоносного поведения. Сюда входили модификация/удаление журналов, подмена, вставка неверной информации и прыжки по магистрали. Чтобы обойти анализ временной шкалы, временные метки файлов изменялись и копировались из системных файлов по умолчанию.

Важно учитывать возможность использования субъектом угрозы антикриминалистических методов при расследовании и анализе инцидентов, учитывая, что такие же методы используются другими группами перспективных постоянных угроз (APT). Для обеспечения возможности отслеживания вредоносного ПО даже при применении антикриминалистических методов необходимо постоянно проводить исследования методов отслеживания.

#ParsedReport
24-02-2023

Mallox Group Claims Ransomware Attack on FICCI

https://blog.cyble.com/2023/02/24/mallox-group-claims-ransomware-attack-on-ficci

Actors/Campaigns:
Mallox

Threats:
Mallox_ransomware
Bozon
Snake_keylogger
Agent_tesla
Remcos_rat
Intellilock_tool

Industry:
Financial, Government

Geo:
India, Indian, Emirates, Korea, France, Spain, Asia, Taiwan, Turkey, Portugal

TTPs:
Tactics: 6
Technics: 8

IOCs:
IP: 2
Hash: 30

Algorithms:
aes

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Федерация индийских торгово-промышленных палат (FICCI) подверглась кибератаке 23 февраля 2023 года. Mallox Ransomware Group скомпрометировала ее данные, которые включали финансовые балансы, конфиденциальные кредитные ноты, данные о возмещении расходов сотрудникам, счета GST, банковские выписки, протоколы заседаний, данные о консультантах и поставщиках, статус соответствия KYC, документы, связанные с различными подкомитетами, и PII выдающихся деятелей отрасли. В ответ на это компания Cyble Research & Intelligence Labs (CRIL) провела расследование утечки образцов, чтобы убедиться в обоснованности заявлений Mallox.

Программа Mallox ransomware активна с октября 2021 года и с тех пор изменила свою тактику и методы. Она распространяется через спам по электронной почте с помощью неизвестного загрузчика и в январе 2023 года стала жертвой Navnit Group, конгломерата в Индии, а также 10 других организаций в разных странах. Анализ его полезной нагрузки позволяет предположить, что он способен поражать организации критической инфраструктуры. Чтобы противостоять этой угрозе, CRIL выпустила подробный технический анализ группы Mallox ransomware в декабре 2022 года.

Чтобы защитить организацию от таких атак, необходимо следовать передовым методам обеспечения безопасности. К ним относятся установка антивирусного программного обеспечения, регулярное обновление систем, обучение сотрудников безопасной работе в Интернете и внедрение двухфакторной аутентификации учетных записей. Организации также должны обеспечить сегментацию своих сетей и ограничение доступа к конфиденциальным данным. Кроме того, важно регулярно создавать резервные копии данных и использовать шифрование для защиты данных как в состоянии покоя, так и при передаче. Наконец, организациям следует отслеживать свои системы на предмет подозрительной активности и иметь планы реагирования на инциденты в случае нарушения безопасности.

Следуя вышеуказанным передовым методам обеспечения кибербезопасности, организации могут свести к минимуму риск стать жертвой таких злоумышленников, как Mallox ransomware. Организациям необходимо знать о потенциальных угрозах, с которыми они сталкиваются, и предпринимать активные шаги по защите своих сетей и данных.

#ParsedReport
24-02-2023

Clasiopa: New Group Targets Materials Research

https://symantec-enterprise-blogs.security.com/threat-intelligence/clasiopa-materials-research

Actors/Campaigns:
Clasiopa

Threats:
Atharvan
Lilith_rat

Geo:
Korea, Asia, India

IOCs:
File: 4
Hash: 11

Algorithms:
zip

Functions:
Symantec

Win Services:
SepMasterService

Languages:
php

Platforms:
x64

Links:
https://github.com/werkamsus/Lilith

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Clasiopa - недавно обнаруженная группа злоумышленников, которая атаковала организацию по исследованию материалов в Азии. В набор инструментов группы входит разработанное на заказ вредоносное ПО под названием Backdoor.Atharvan, используемое для получения доступа с помощью атак методом грубой силы на публичные серверы. Злоумышленники использовали множество бэкдоров для создания списков файлов и их эксфильтрации, а также отключения Symantec Endpoint Protection (SEP), очистки журналов Sysmon с помощью wsmprovhost и очистки журналов событий с помощью PowerShell. Также были использованы два легальных пакета программного обеспечения - Agile DGS, Agile FD и HCL Domino (ранее IBM Domino).

Бэкдор Atharvan создает мьютекс с именем: "SAPTARISHI-ATHARVAN-101" для обеспечения работы только одной копии, связываясь при этом с жестко закодированным C&C-сервером, расположенным в регионе Amazon AWS South Korea (Seoul). Связь осуществляется в виде HTTP POST-запросов с жестко закодированным заголовком Host "update.microsoft.com". Он использует собственный алгоритм шифрования для зашифровки и расшифровки значений "msg", а также имеет конфигурацию связи по расписанию, которая не часто встречается в подобных вредоносных программах.

Помимо бэкдора Atharvan, злоумышленники использовали модифицированные версии crlf Lilith RAT, а также хакерский инструмент Thumbsender, который может перечислять имена файлов на компьютере и сохранять их в файл перед отправкой на назначенный IP-адрес. Также использовался пользовательский прокси-инструмент.

Хотя использование мьютекса на хинди в бэкдоре Atharvan может свидетельствовать о том, что Clasiopa базируется в Индии, более вероятно, что эта информация была подброшена в качестве ложного флага. В настоящее время нет твердых доказательств того, где базируется Clasiopa или от чьего имени она действует. Однако ясно, что Clasiopa представляет значительную угрозу для организаций в Азии и за ее пределами, и за ней следует внимательно следить.

#ParsedReport
24-02-2023

Iranian Government-Sponsored APT Actors Compromise Federal Network, Deploy Crypto Miner, Credential Harvester

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-320a

Threats:
Log4shell_vuln
Xmrig_miner
Mimikatz_tool
Dumplsass_tool
Credential_stealing_technique
Kerberoasting_technique

Geo:
Iranian

CVEs:
CVE-2021-44228 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 14
IP: 4
Domain: 4
Command: 2
Path: 1
Registry: 1

Softs:
vmware horizon, windows defender, psexec, active directory, local security authority, mware horizon se, windows task scheduler, windows registry, microsoft security advisory, windows defender credential guard, have more...

Algorithms:
base64

#ParsedReport
24-02-2023

ASEC Weekly Phishing Email Threat Trend (20230212 to 20230218)

https://asec.ahnlab.com/ko/48295

Actors/Campaigns:
Calypso

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Financial, Transport

Geo:
Italia, Korean

TTPs:

IOCs:
File: 85
Url: 17

Algorithms:
zip

#ParsedReport
24-02-2023

EXFILTRATOR-22 An Emerging Post-Exploitation Framework

https://www.cyfirma.com/outofband/exfiltrator-22-an-emerging-post-exploitation-framework

Threats:
Exfiltrator-22_tool
Lockbit
Domain_fronting_technique
Uac_bypass_technique
Process_injection_technique

Industry:
Financial

Geo:
Singapore, China, Asia, Taiwan, Philippines, Malaysia

TTPs:
Tactics: 8
Technics: 17

IOCs:
Hash: 2
File: 2
IP: 2

Softs:
telegram, (local security authority

Algorithms:
rc4

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

EXFILTRATOR-22 (он же EX-22) - это новый фреймворк для пост-эксплуатации, разработанный квалифицированными субъектами угроз, действующими из Северной, Восточной или Юго-Восточной Азии. По данным CYFIRMA Research, вредоносная программа была выпущена в конце 2022 года и по состоянию на 13 февраля 2023 года имела 5/70 обнаружений в онлайновых песочницах. Модель оплаты основана на подписке, и покупателям предоставляется панель входа для доступа к серверу Ex22, размещенному на пуленепробиваемом VPS.

Вредоносная программа нацелена на устройства с архитектурой x64 и использует методы антианализа и уклонения от защиты. Для маскировки командно-контрольного трафика (C2) вредоносная программа также использует доменное прикрытие и серверы отражения Meek в CDN. Исследователи безопасности обнаружили сходство между образцами EX-22 и LockBit3.0 в дикой природе.

EX-22 обладает широким спектром возможностей, включая Elevated Reverse-shell, загрузку и выгрузку файлов, кейлоггер, Ransomware, снимок экрана, Live session VNC, повышение привилегий, стойкость, Lateral movement worm, LSASS dump, хэширование, список задач и Steal Token. Панель администрирования позволяет субъектам угроз удаленно управлять вредоносным ПО, автоматизировать задачи и уклоняться от обнаружения.

Субъекты угроз создали партнерскую программу, чтобы увеличить охват и ресурсы, а также потенциальную прибыль. Аффилированные лица берут на себя ответственность за продвижение и распространение вредоносного ПО, снижая риск для субъекта угрозы. Аффилированные лица могут обладать специальными навыками или доступом к определенным сетям или технологиям, которых у угрожающего субъекта может не быть.

EXFILTRATOR-22 - это очень сложная вредоносная программа, созданная организованными, хорошо осведомленными субъектами угроз. Она предназначена для использования в процессах после эксплуатации, обладает широким набором возможностей и трудно обнаруживается. Эта вредоносная программа является частью более широкой тенденции создания субъектами угроз сложных инструментов для постэксплуатационных целей, поэтому организациям важно быть в курсе таких угроз. Чтобы защитить себя от атак, организациям следует обеспечить обновление своих систем последними исправлениями безопасности, инвестировать в передовые решения безопасности и регулярно проверять свои сети на наличие признаков вредоносной активности.

Who’s Behind the Botnet-Based Service BHProxies?

https://krebsonsecurity.com/2023/02/whos-behind-the-botnet-based-service-bhproxies/

#technique

bootlicker is a legacy, extensible UEFI firmware rootkit targeting vmware hypervisor virtual machines. It is designed to achieve initial code execution within the context of the windows kernel, regardless of security settings configured.

https://github.com/realoriginal/bootlicker

#technique

Kraken, a modular multi-language webshell

https://github.com/kraken-ng/Kraken

#technique

PowerShell script to exploit ESC1/retrieve your own NTLM password hash.

https://gist.github.com/b4cktr4ck2/95a9b908e57460d9958e8238f85ef8ee

#ParsedReport
26-02-2023

Evasive cryptojacking malware targeting macOS found lurking in pirated applications

https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs

Threats:
Xmrig_miner

TTPs:
Tactics: 1
Technics: 0

IOCs:
Coin: 1
File: 1
Hash: 79

Softs:
macos, photoshop, curl, gatekeeper, utorrent), sudo

Algorithms:
base64

Platforms:
apple, arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатория Jamf Threat Labs недавно обнаружила семейство вредоносных программ, которые действовали в дикой природе и использовали XMRig для майнинга криптовалют. Замаскированная под программное обеспечение для редактирования видео Final Cut Pro, разработанное компанией Apple, вредоносная программа не была обнаружена ни одним поставщиком средств безопасности на момент ее обнаружения. Для связи она использует проект Invisible Internet Project (i2p), и было установлено, что Final Cut Pro был получен из торрентов. Пройдя три этапа эволюции с использованием творческих методов уклонения, вредоносное ПО становилось все труднее обнаружить.

Образцы первого поколения устанавливали демон запуска для обеспечения постоянства, в то время как более поздние образцы использовали пользовательский агент запуска, чтобы избежать запроса пароля. Образцы второго поколения полагаются на запуск пользователем пакета приложений для запуска процесса майнинга, а образцы третьего поколения содержат два больших блоба в кодировке base64 и команды оболочки в исполняемом файле приложения. Когда пользователь дважды щелкает по иконке Final Cut Pro, вредоносные данные декодируются из base64 и разархивируются, а полученные компоненты записываются в каталог /private/tmp/ в виде скрытых файлов. После выполнения исполняемого файла i2p сценарий установки загружает компоненты командной строки XMRig с веб-сервера вредоносного автора для начала скрытого майнинга.

Авторы вредоносных программ используют все более сложные методы для сокрытия своей вредоносной деятельности. Они используют вызовы оболочки для запуска вредоносных приложений, конфигурационные файлы для завершения процессов при открытии Activity Monitor, а также команду bash exec с флагом -a для маскировки вредоносных процессов под легитимные службы. Пиратское программное обеспечение, передаваемое по пиринговым сетям, является идеальным механизмом доставки вредоносного ПО благодаря таким факторам, как отсутствие атрибутов карантина, готовность пользователей обходить средства защиты и психологический фактор, заключающийся в том, что пользователи реже сообщают о подозрительных действиях из-за чувства вины за то, что они скачали что-то незаконное.