#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Lazarus представляет серьезную угрозу для корейских компаний, связанных с национальной обороной, спутниками, программным обеспечением и прессой, примерно с года. Группа анализа AhnLab ASEC внимательно следила за их деятельностью, а также за другими тактиками и процедурами угроз (TTP). Цель этой заметки - поделиться антикриминалистическими следами и деталями, обнаруженными в системах, в которые проникла группа Lazarus.

Для сокрытия своих вредоносных действий группа Lazarus использовала различные антикриминалистические методы. В частности, для выделения и анализа мер по сокрытию информации, предпринятых группой Lazarus, была использована наиболее распространенная классификация антикриминалистики, предложенная доктором Маркусом Роджером. Согласно этой классификации, существует пять основных категорий: сокрытие данных, стирание артефактов, обфускация следов, атаки против компьютерной криминалистики и физические. Из этих пяти категорий группа Lazarus использовала три техники - сокрытие данных, уничтожение артефактов и обфускация следов.

Скрытие данных относится к методу сокрытия данных, который затрудняет их обнаружение. Основные примеры включают обфускацию данных, шифрование, стеганографию и сокрытие данных в нераспределенных областях. Группа Lazarus замаскировала свою вредоносную программу в трех частях - загрузчик, исполняемый файл и файл конфигурации. Загрузчик расшифровывает зашифрованные PE-файлы и загружает их в память, а исполняемый файл после расшифровки в памяти связывается с адресом C2. Наконец, конфигурационный файл содержит информацию C2 и передается в зашифрованном виде, чтобы избежать обнаружения продуктами безопасности.

Группа Lazarus скрывала свою вредоносную программу либо путем создания аналогичной папки в системе, либо маскируя ее под обычный файл в скрытой системной папке по умолчанию. Они также удаляли вредоносную программу, ее артефакты и отчеты об ошибках, сгенерированные в результате атаки на уязвимость. Обфускация следов - еще одна техника, использованная группой Lazarus, которая включала в себя запутывание процесса экспертизы для сокрытия вредоносного поведения. Сюда входили модификация/удаление журналов, подмена, вставка неверной информации и прыжки по магистрали. Чтобы обойти анализ временной шкалы, временные метки файлов изменялись и копировались из системных файлов по умолчанию.

Важно учитывать возможность использования субъектом угрозы антикриминалистических методов при расследовании и анализе инцидентов, учитывая, что такие же методы используются другими группами перспективных постоянных угроз (APT). Для обеспечения возможности отслеживания вредоносного ПО даже при применении антикриминалистических методов необходимо постоянно проводить исследования методов отслеживания.

#ParsedReport
24-02-2023

Mallox Group Claims Ransomware Attack on FICCI

https://blog.cyble.com/2023/02/24/mallox-group-claims-ransomware-attack-on-ficci

Actors/Campaigns:
Mallox

Threats:
Mallox_ransomware
Bozon
Snake_keylogger
Agent_tesla
Remcos_rat
Intellilock_tool

Industry:
Financial, Government

Geo:
India, Indian, Emirates, Korea, France, Spain, Asia, Taiwan, Turkey, Portugal

TTPs:
Tactics: 6
Technics: 8

IOCs:
IP: 2
Hash: 30

Algorithms:
aes

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Федерация индийских торгово-промышленных палат (FICCI) подверглась кибератаке 23 февраля 2023 года. Mallox Ransomware Group скомпрометировала ее данные, которые включали финансовые балансы, конфиденциальные кредитные ноты, данные о возмещении расходов сотрудникам, счета GST, банковские выписки, протоколы заседаний, данные о консультантах и поставщиках, статус соответствия KYC, документы, связанные с различными подкомитетами, и PII выдающихся деятелей отрасли. В ответ на это компания Cyble Research & Intelligence Labs (CRIL) провела расследование утечки образцов, чтобы убедиться в обоснованности заявлений Mallox.

Программа Mallox ransomware активна с октября 2021 года и с тех пор изменила свою тактику и методы. Она распространяется через спам по электронной почте с помощью неизвестного загрузчика и в январе 2023 года стала жертвой Navnit Group, конгломерата в Индии, а также 10 других организаций в разных странах. Анализ его полезной нагрузки позволяет предположить, что он способен поражать организации критической инфраструктуры. Чтобы противостоять этой угрозе, CRIL выпустила подробный технический анализ группы Mallox ransomware в декабре 2022 года.

Чтобы защитить организацию от таких атак, необходимо следовать передовым методам обеспечения безопасности. К ним относятся установка антивирусного программного обеспечения, регулярное обновление систем, обучение сотрудников безопасной работе в Интернете и внедрение двухфакторной аутентификации учетных записей. Организации также должны обеспечить сегментацию своих сетей и ограничение доступа к конфиденциальным данным. Кроме того, важно регулярно создавать резервные копии данных и использовать шифрование для защиты данных как в состоянии покоя, так и при передаче. Наконец, организациям следует отслеживать свои системы на предмет подозрительной активности и иметь планы реагирования на инциденты в случае нарушения безопасности.

Следуя вышеуказанным передовым методам обеспечения кибербезопасности, организации могут свести к минимуму риск стать жертвой таких злоумышленников, как Mallox ransomware. Организациям необходимо знать о потенциальных угрозах, с которыми они сталкиваются, и предпринимать активные шаги по защите своих сетей и данных.

#ParsedReport
24-02-2023

Clasiopa: New Group Targets Materials Research

https://symantec-enterprise-blogs.security.com/threat-intelligence/clasiopa-materials-research

Actors/Campaigns:
Clasiopa

Threats:
Atharvan
Lilith_rat

Geo:
Korea, Asia, India

IOCs:
File: 4
Hash: 11

Algorithms:
zip

Functions:
Symantec

Win Services:
SepMasterService

Languages:
php

Platforms:
x64

Links:
https://github.com/werkamsus/Lilith

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Clasiopa - недавно обнаруженная группа злоумышленников, которая атаковала организацию по исследованию материалов в Азии. В набор инструментов группы входит разработанное на заказ вредоносное ПО под названием Backdoor.Atharvan, используемое для получения доступа с помощью атак методом грубой силы на публичные серверы. Злоумышленники использовали множество бэкдоров для создания списков файлов и их эксфильтрации, а также отключения Symantec Endpoint Protection (SEP), очистки журналов Sysmon с помощью wsmprovhost и очистки журналов событий с помощью PowerShell. Также были использованы два легальных пакета программного обеспечения - Agile DGS, Agile FD и HCL Domino (ранее IBM Domino).

Бэкдор Atharvan создает мьютекс с именем: "SAPTARISHI-ATHARVAN-101" для обеспечения работы только одной копии, связываясь при этом с жестко закодированным C&C-сервером, расположенным в регионе Amazon AWS South Korea (Seoul). Связь осуществляется в виде HTTP POST-запросов с жестко закодированным заголовком Host "update.microsoft.com". Он использует собственный алгоритм шифрования для зашифровки и расшифровки значений "msg", а также имеет конфигурацию связи по расписанию, которая не часто встречается в подобных вредоносных программах.

Помимо бэкдора Atharvan, злоумышленники использовали модифицированные версии crlf Lilith RAT, а также хакерский инструмент Thumbsender, который может перечислять имена файлов на компьютере и сохранять их в файл перед отправкой на назначенный IP-адрес. Также использовался пользовательский прокси-инструмент.

Хотя использование мьютекса на хинди в бэкдоре Atharvan может свидетельствовать о том, что Clasiopa базируется в Индии, более вероятно, что эта информация была подброшена в качестве ложного флага. В настоящее время нет твердых доказательств того, где базируется Clasiopa или от чьего имени она действует. Однако ясно, что Clasiopa представляет значительную угрозу для организаций в Азии и за ее пределами, и за ней следует внимательно следить.

#ParsedReport
24-02-2023

Iranian Government-Sponsored APT Actors Compromise Federal Network, Deploy Crypto Miner, Credential Harvester

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-320a

Threats:
Log4shell_vuln
Xmrig_miner
Mimikatz_tool
Dumplsass_tool
Credential_stealing_technique
Kerberoasting_technique

Geo:
Iranian

CVEs:
CVE-2021-44228 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 14
IP: 4
Domain: 4
Command: 2
Path: 1
Registry: 1

Softs:
vmware horizon, windows defender, psexec, active directory, local security authority, mware horizon se, windows task scheduler, windows registry, microsoft security advisory, windows defender credential guard, have more...

Algorithms:
base64

#ParsedReport
24-02-2023

ASEC Weekly Phishing Email Threat Trend (20230212 to 20230218)

https://asec.ahnlab.com/ko/48295

Actors/Campaigns:
Calypso

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Financial, Transport

Geo:
Italia, Korean

TTPs:

IOCs:
File: 85
Url: 17

Algorithms:
zip

#ParsedReport
24-02-2023

EXFILTRATOR-22 An Emerging Post-Exploitation Framework

https://www.cyfirma.com/outofband/exfiltrator-22-an-emerging-post-exploitation-framework

Threats:
Exfiltrator-22_tool
Lockbit
Domain_fronting_technique
Uac_bypass_technique
Process_injection_technique

Industry:
Financial

Geo:
Singapore, China, Asia, Taiwan, Philippines, Malaysia

TTPs:
Tactics: 8
Technics: 17

IOCs:
Hash: 2
File: 2
IP: 2

Softs:
telegram, (local security authority

Algorithms:
rc4

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

EXFILTRATOR-22 (он же EX-22) - это новый фреймворк для пост-эксплуатации, разработанный квалифицированными субъектами угроз, действующими из Северной, Восточной или Юго-Восточной Азии. По данным CYFIRMA Research, вредоносная программа была выпущена в конце 2022 года и по состоянию на 13 февраля 2023 года имела 5/70 обнаружений в онлайновых песочницах. Модель оплаты основана на подписке, и покупателям предоставляется панель входа для доступа к серверу Ex22, размещенному на пуленепробиваемом VPS.

Вредоносная программа нацелена на устройства с архитектурой x64 и использует методы антианализа и уклонения от защиты. Для маскировки командно-контрольного трафика (C2) вредоносная программа также использует доменное прикрытие и серверы отражения Meek в CDN. Исследователи безопасности обнаружили сходство между образцами EX-22 и LockBit3.0 в дикой природе.

EX-22 обладает широким спектром возможностей, включая Elevated Reverse-shell, загрузку и выгрузку файлов, кейлоггер, Ransomware, снимок экрана, Live session VNC, повышение привилегий, стойкость, Lateral movement worm, LSASS dump, хэширование, список задач и Steal Token. Панель администрирования позволяет субъектам угроз удаленно управлять вредоносным ПО, автоматизировать задачи и уклоняться от обнаружения.

Субъекты угроз создали партнерскую программу, чтобы увеличить охват и ресурсы, а также потенциальную прибыль. Аффилированные лица берут на себя ответственность за продвижение и распространение вредоносного ПО, снижая риск для субъекта угрозы. Аффилированные лица могут обладать специальными навыками или доступом к определенным сетям или технологиям, которых у угрожающего субъекта может не быть.

EXFILTRATOR-22 - это очень сложная вредоносная программа, созданная организованными, хорошо осведомленными субъектами угроз. Она предназначена для использования в процессах после эксплуатации, обладает широким набором возможностей и трудно обнаруживается. Эта вредоносная программа является частью более широкой тенденции создания субъектами угроз сложных инструментов для постэксплуатационных целей, поэтому организациям важно быть в курсе таких угроз. Чтобы защитить себя от атак, организациям следует обеспечить обновление своих систем последними исправлениями безопасности, инвестировать в передовые решения безопасности и регулярно проверять свои сети на наличие признаков вредоносной активности.

Who’s Behind the Botnet-Based Service BHProxies?

https://krebsonsecurity.com/2023/02/whos-behind-the-botnet-based-service-bhproxies/

#technique

bootlicker is a legacy, extensible UEFI firmware rootkit targeting vmware hypervisor virtual machines. It is designed to achieve initial code execution within the context of the windows kernel, regardless of security settings configured.

https://github.com/realoriginal/bootlicker

#technique

Kraken, a modular multi-language webshell

https://github.com/kraken-ng/Kraken

#technique

PowerShell script to exploit ESC1/retrieve your own NTLM password hash.

https://gist.github.com/b4cktr4ck2/95a9b908e57460d9958e8238f85ef8ee

#ParsedReport
26-02-2023

Evasive cryptojacking malware targeting macOS found lurking in pirated applications

https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs

Threats:
Xmrig_miner

TTPs:
Tactics: 1
Technics: 0

IOCs:
Coin: 1
File: 1
Hash: 79

Softs:
macos, photoshop, curl, gatekeeper, utorrent), sudo

Algorithms:
base64

Platforms:
apple, arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатория Jamf Threat Labs недавно обнаружила семейство вредоносных программ, которые действовали в дикой природе и использовали XMRig для майнинга криптовалют. Замаскированная под программное обеспечение для редактирования видео Final Cut Pro, разработанное компанией Apple, вредоносная программа не была обнаружена ни одним поставщиком средств безопасности на момент ее обнаружения. Для связи она использует проект Invisible Internet Project (i2p), и было установлено, что Final Cut Pro был получен из торрентов. Пройдя три этапа эволюции с использованием творческих методов уклонения, вредоносное ПО становилось все труднее обнаружить.

Образцы первого поколения устанавливали демон запуска для обеспечения постоянства, в то время как более поздние образцы использовали пользовательский агент запуска, чтобы избежать запроса пароля. Образцы второго поколения полагаются на запуск пользователем пакета приложений для запуска процесса майнинга, а образцы третьего поколения содержат два больших блоба в кодировке base64 и команды оболочки в исполняемом файле приложения. Когда пользователь дважды щелкает по иконке Final Cut Pro, вредоносные данные декодируются из base64 и разархивируются, а полученные компоненты записываются в каталог /private/tmp/ в виде скрытых файлов. После выполнения исполняемого файла i2p сценарий установки загружает компоненты командной строки XMRig с веб-сервера вредоносного автора для начала скрытого майнинга.

Авторы вредоносных программ используют все более сложные методы для сокрытия своей вредоносной деятельности. Они используют вызовы оболочки для запуска вредоносных приложений, конфигурационные файлы для завершения процессов при открытии Activity Monitor, а также команду bash exec с флагом -a для маскировки вредоносных процессов под легитимные службы. Пиратское программное обеспечение, передаваемое по пиринговым сетям, является идеальным механизмом доставки вредоносного ПО благодаря таким факторам, как отсутствие атрибутов карантина, готовность пользователей обходить средства защиты и психологический фактор, заключающийся в том, что пользователи реже сообщают о подозрительных действиях из-за чувства вины за то, что они скачали что-то незаконное.

#ParsedReport
26-02-2023

New WhiteSnake Stealer Offered for Sale Via MaaS Model. Indicators of Compromise

https://blog.cyble.com/2023/02/24/new-whitesnake-stealer-offered-for-sale-via-maas-model

Threats:
Whitesnake_stealer
Snowflake
Beacon

Industry:
Financial

Geo:
Chinese

TTPs:
Tactics: 7
Technics: 13

IOCs:
Url: 2
File: 3
Hash: 7

Softs:
telegram, bat2exe, discord, mozilla firefox, google chrome, brave-browser, chromium, microsoft edge, coinomi, electrum, have more...

Algorithms:
base64, rc4

Functions:
Ibhiyptxjhiacrnxomvqjb, AntiVM, Create, ProcessCommands

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

WhiteSnake Stealer - это недавно обнаруженный тип вредоносной программы Infostealer, способный поражать системы Windows и Linux. Он распространяется через вредоносные почтовые вложения, замаскированные под PDF-документы, и после выполнения запускает BAT-файл, содержащий двоичный исполняемый файл в Base64-кодировке. Угонщик способен собирать конфиденциальную информацию, такую как пароли, cookies, номера кредитных карт, скриншоты и другие личные или финансовые данные. Он шифрует украденные данные в формате Base64Encode и отправляет их на URL-адрес Telegram-бота. Для защиты от этой угрозы пользователи должны следовать передовым методам, таким как использование надежных паролей, включение автоматического обновления программного обеспечения, использование антивируса и пакета программ для обеспечения безопасности в Интернете, воздержание от открытия недоверенных ссылок, обучение сотрудников методам защиты от угроз, блокирование URL-адресов, которые могут быть использованы для распространения вредоносного ПО, и включение решений Data Loss Prevention Solutions на системах сотрудников.

#ParsedReport
26-02-2023

"Rattlesnake" recent attack activities disclosed, aiming at domestic colleges and universities for phishing

https://mp.weixin.qq.com/s/yX8iKaPSr9VS3Z2wsgdisw

Actors/Campaigns:
Sidewinder

Industry:
Education, Maritime, Government

Geo:
Asian, Bangladesh, China, Pakistani, Pakistan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Организация Sidewinder APT - это хакерская группа с предполагаемыми связями с правительством Южной Азии. Активно действует с 2012 года, ее жертвами в основном становятся такие чувствительные подразделения, как военно-промышленные комплексы, дипломатические представительства и научно-исследовательские университеты в таких странах, как Китай, Пакистан и Бангладеш. Недавно разведывательное бюро Weibu Intelligence Bureau зафиксировало активность атак организации Rattlesnake с помощью системы поиска угроз.

Анализ показал, что злоумышленники использовали фишинговые электронные письма с вредоносными вложениями для проникновения в сеть университета. Электронное письмо якобы содержало "уведомление о корректировке рабочего режима" и было отправлено конкретному пользователю в университете. Вредоносное вложение представляло собой zip-файл, содержащий дополнительные файлы, связанные с другими образцами атак.

Помимо атак на цели в нашей стране, злоумышленники также использовали template injection для доставки вредоносных документов и проводили атаки в Пакистане против правительственных, военных и других подразделений. Судя по предыдущим действиям атакующих, троянский конь-загрузчик, скорее всего, будет загружен для проведения дальнейших атак.

Ранее Sidewinder уже пытался использовать электронные письма с вредоносными вложениями для атак на своих жертв. Эти вложения часто содержат файлы .lnk, которые маскируются под типы документов и выполняют вредоносный код C2 удаленно через mshta.exe. Злоумышленники также оставляли файл "\~notification01.tmp" при упаковке, что соответствует прошлым атакам Rattlesnake.

В целом, организация Sidewinder APT действует уже много лет, используя сложные методы для проведения кибератак на важные организации. Известно, что для получения доступа и кражи данных они используют фишинговые письма с вредоносными вложениями, инъекции шаблонов и трояны-загрузчики. Несмотря на их передовую тактику, Бюро разведки Weibu смогло обнаружить и остановить одну из их недавних атак.

#ParsedReport
26-02-2023

PureCrypter targets government entities through Discord

https://www.menlosecurity.com/blog/purecrypter-targets-government-entities-through-discord

Actors/Campaigns:
Eternity

Threats:
Purecryptor
Redline_stealer
Agent_tesla
Krbanker
Purecoder_actor
Process_hollowing_technique
Process_injection_technique

Industry:
Government

Geo:
Apac, America, Pakistan

TTPs:
Tactics: 7
Technics: 14

IOCs:
Email: 2
File: 4
Url: 2
Hash: 46
Registry: 1

Softs:
discord, onenote

Algorithms:
des, zip, xor

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Menlo Labs недавно обнаружила вредоносную кампанию, распространяемую через Discord и направленную на правительственные организации. Кампания использует загрузчик PureCrypter, загрузчик .net, для доставки вторичных полезных нагрузок, включая Redline Stealer, AgentTesla, Eternity, Blackmoon и Philadelphia Ransomware. Атака была заблокирована платформой Menlos Cloud Security Platform, а команда Menlo Labs смогла отследить исполнителей.

PureCrypter - это продвинутый загрузчик, который может загружать трояны удаленного доступа (RAT) и Infostealers. Продается с марта 2021 года. AgentTesla - это тип бэкдора с возможностью кражи паролей из браузеров, ведения журнала и захвата скриншотов. Он может устанавливать соединение с FTP-сервером и хранить украденные данные в зашифрованном виде. Похоже, что FTP-сервер был захвачен злоумышленниками, а в Интернете были обнаружены утечки учетных данных для домена.

Злоумышленники рассылают фишинговые электронные письма с вредоносными файлами OneNote для распространения дополнительного вредоносного ПО или кражи информации у жертв. Эта группа угроз использует взломанную инфраструктуру, чтобы оставаться незамеченными как можно дольше, прежде чем искать себе новое пристанище.

Команда Menlo Labs продолжит следить за активностью этого агента угроз, поскольку пока он не выглядит крупным игроком на рынке угроз. Однако их нападения на правительственные организации заслуживают внимания и бдительности. Кроме того, для осуществления своих атак агенты используют целый ряд методов, включая повышение привилегий, внедрение процессов, уклонение от защиты, доступ к учетным данным, командование и контроль, сбор данных и маскировку.