#ParsedReport
24-02-2023

ASEC Weekly Phishing Email Threat Trend (20230212 to 20230218)

https://asec.ahnlab.com/ko/48295

Actors/Campaigns:
Calypso

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Financial, Transport

Geo:
Italia, Korean

TTPs:

IOCs:
File: 85
Url: 17

Algorithms:
zip

#ParsedReport
24-02-2023

EXFILTRATOR-22 An Emerging Post-Exploitation Framework

https://www.cyfirma.com/outofband/exfiltrator-22-an-emerging-post-exploitation-framework

Threats:
Exfiltrator-22_tool
Lockbit
Domain_fronting_technique
Uac_bypass_technique
Process_injection_technique

Industry:
Financial

Geo:
Singapore, China, Asia, Taiwan, Philippines, Malaysia

TTPs:
Tactics: 8
Technics: 17

IOCs:
Hash: 2
File: 2
IP: 2

Softs:
telegram, (local security authority

Algorithms:
rc4

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

EXFILTRATOR-22 (он же EX-22) - это новый фреймворк для пост-эксплуатации, разработанный квалифицированными субъектами угроз, действующими из Северной, Восточной или Юго-Восточной Азии. По данным CYFIRMA Research, вредоносная программа была выпущена в конце 2022 года и по состоянию на 13 февраля 2023 года имела 5/70 обнаружений в онлайновых песочницах. Модель оплаты основана на подписке, и покупателям предоставляется панель входа для доступа к серверу Ex22, размещенному на пуленепробиваемом VPS.

Вредоносная программа нацелена на устройства с архитектурой x64 и использует методы антианализа и уклонения от защиты. Для маскировки командно-контрольного трафика (C2) вредоносная программа также использует доменное прикрытие и серверы отражения Meek в CDN. Исследователи безопасности обнаружили сходство между образцами EX-22 и LockBit3.0 в дикой природе.

EX-22 обладает широким спектром возможностей, включая Elevated Reverse-shell, загрузку и выгрузку файлов, кейлоггер, Ransomware, снимок экрана, Live session VNC, повышение привилегий, стойкость, Lateral movement worm, LSASS dump, хэширование, список задач и Steal Token. Панель администрирования позволяет субъектам угроз удаленно управлять вредоносным ПО, автоматизировать задачи и уклоняться от обнаружения.

Субъекты угроз создали партнерскую программу, чтобы увеличить охват и ресурсы, а также потенциальную прибыль. Аффилированные лица берут на себя ответственность за продвижение и распространение вредоносного ПО, снижая риск для субъекта угрозы. Аффилированные лица могут обладать специальными навыками или доступом к определенным сетям или технологиям, которых у угрожающего субъекта может не быть.

EXFILTRATOR-22 - это очень сложная вредоносная программа, созданная организованными, хорошо осведомленными субъектами угроз. Она предназначена для использования в процессах после эксплуатации, обладает широким набором возможностей и трудно обнаруживается. Эта вредоносная программа является частью более широкой тенденции создания субъектами угроз сложных инструментов для постэксплуатационных целей, поэтому организациям важно быть в курсе таких угроз. Чтобы защитить себя от атак, организациям следует обеспечить обновление своих систем последними исправлениями безопасности, инвестировать в передовые решения безопасности и регулярно проверять свои сети на наличие признаков вредоносной активности.

Who’s Behind the Botnet-Based Service BHProxies?

https://krebsonsecurity.com/2023/02/whos-behind-the-botnet-based-service-bhproxies/

#technique

bootlicker is a legacy, extensible UEFI firmware rootkit targeting vmware hypervisor virtual machines. It is designed to achieve initial code execution within the context of the windows kernel, regardless of security settings configured.

https://github.com/realoriginal/bootlicker

#technique

Kraken, a modular multi-language webshell

https://github.com/kraken-ng/Kraken

#technique

PowerShell script to exploit ESC1/retrieve your own NTLM password hash.

https://gist.github.com/b4cktr4ck2/95a9b908e57460d9958e8238f85ef8ee

#ParsedReport
26-02-2023

Evasive cryptojacking malware targeting macOS found lurking in pirated applications

https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs

Threats:
Xmrig_miner

TTPs:
Tactics: 1
Technics: 0

IOCs:
Coin: 1
File: 1
Hash: 79

Softs:
macos, photoshop, curl, gatekeeper, utorrent), sudo

Algorithms:
base64

Platforms:
apple, arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатория Jamf Threat Labs недавно обнаружила семейство вредоносных программ, которые действовали в дикой природе и использовали XMRig для майнинга криптовалют. Замаскированная под программное обеспечение для редактирования видео Final Cut Pro, разработанное компанией Apple, вредоносная программа не была обнаружена ни одним поставщиком средств безопасности на момент ее обнаружения. Для связи она использует проект Invisible Internet Project (i2p), и было установлено, что Final Cut Pro был получен из торрентов. Пройдя три этапа эволюции с использованием творческих методов уклонения, вредоносное ПО становилось все труднее обнаружить.

Образцы первого поколения устанавливали демон запуска для обеспечения постоянства, в то время как более поздние образцы использовали пользовательский агент запуска, чтобы избежать запроса пароля. Образцы второго поколения полагаются на запуск пользователем пакета приложений для запуска процесса майнинга, а образцы третьего поколения содержат два больших блоба в кодировке base64 и команды оболочки в исполняемом файле приложения. Когда пользователь дважды щелкает по иконке Final Cut Pro, вредоносные данные декодируются из base64 и разархивируются, а полученные компоненты записываются в каталог /private/tmp/ в виде скрытых файлов. После выполнения исполняемого файла i2p сценарий установки загружает компоненты командной строки XMRig с веб-сервера вредоносного автора для начала скрытого майнинга.

Авторы вредоносных программ используют все более сложные методы для сокрытия своей вредоносной деятельности. Они используют вызовы оболочки для запуска вредоносных приложений, конфигурационные файлы для завершения процессов при открытии Activity Monitor, а также команду bash exec с флагом -a для маскировки вредоносных процессов под легитимные службы. Пиратское программное обеспечение, передаваемое по пиринговым сетям, является идеальным механизмом доставки вредоносного ПО благодаря таким факторам, как отсутствие атрибутов карантина, готовность пользователей обходить средства защиты и психологический фактор, заключающийся в том, что пользователи реже сообщают о подозрительных действиях из-за чувства вины за то, что они скачали что-то незаконное.

#ParsedReport
26-02-2023

New WhiteSnake Stealer Offered for Sale Via MaaS Model. Indicators of Compromise

https://blog.cyble.com/2023/02/24/new-whitesnake-stealer-offered-for-sale-via-maas-model

Threats:
Whitesnake_stealer
Snowflake
Beacon

Industry:
Financial

Geo:
Chinese

TTPs:
Tactics: 7
Technics: 13

IOCs:
Url: 2
File: 3
Hash: 7

Softs:
telegram, bat2exe, discord, mozilla firefox, google chrome, brave-browser, chromium, microsoft edge, coinomi, electrum, have more...

Algorithms:
base64, rc4

Functions:
Ibhiyptxjhiacrnxomvqjb, AntiVM, Create, ProcessCommands

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

WhiteSnake Stealer - это недавно обнаруженный тип вредоносной программы Infostealer, способный поражать системы Windows и Linux. Он распространяется через вредоносные почтовые вложения, замаскированные под PDF-документы, и после выполнения запускает BAT-файл, содержащий двоичный исполняемый файл в Base64-кодировке. Угонщик способен собирать конфиденциальную информацию, такую как пароли, cookies, номера кредитных карт, скриншоты и другие личные или финансовые данные. Он шифрует украденные данные в формате Base64Encode и отправляет их на URL-адрес Telegram-бота. Для защиты от этой угрозы пользователи должны следовать передовым методам, таким как использование надежных паролей, включение автоматического обновления программного обеспечения, использование антивируса и пакета программ для обеспечения безопасности в Интернете, воздержание от открытия недоверенных ссылок, обучение сотрудников методам защиты от угроз, блокирование URL-адресов, которые могут быть использованы для распространения вредоносного ПО, и включение решений Data Loss Prevention Solutions на системах сотрудников.

#ParsedReport
26-02-2023

"Rattlesnake" recent attack activities disclosed, aiming at domestic colleges and universities for phishing

https://mp.weixin.qq.com/s/yX8iKaPSr9VS3Z2wsgdisw

Actors/Campaigns:
Sidewinder

Industry:
Education, Maritime, Government

Geo:
Asian, Bangladesh, China, Pakistani, Pakistan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Организация Sidewinder APT - это хакерская группа с предполагаемыми связями с правительством Южной Азии. Активно действует с 2012 года, ее жертвами в основном становятся такие чувствительные подразделения, как военно-промышленные комплексы, дипломатические представительства и научно-исследовательские университеты в таких странах, как Китай, Пакистан и Бангладеш. Недавно разведывательное бюро Weibu Intelligence Bureau зафиксировало активность атак организации Rattlesnake с помощью системы поиска угроз.

Анализ показал, что злоумышленники использовали фишинговые электронные письма с вредоносными вложениями для проникновения в сеть университета. Электронное письмо якобы содержало "уведомление о корректировке рабочего режима" и было отправлено конкретному пользователю в университете. Вредоносное вложение представляло собой zip-файл, содержащий дополнительные файлы, связанные с другими образцами атак.

Помимо атак на цели в нашей стране, злоумышленники также использовали template injection для доставки вредоносных документов и проводили атаки в Пакистане против правительственных, военных и других подразделений. Судя по предыдущим действиям атакующих, троянский конь-загрузчик, скорее всего, будет загружен для проведения дальнейших атак.

Ранее Sidewinder уже пытался использовать электронные письма с вредоносными вложениями для атак на своих жертв. Эти вложения часто содержат файлы .lnk, которые маскируются под типы документов и выполняют вредоносный код C2 удаленно через mshta.exe. Злоумышленники также оставляли файл "\~notification01.tmp" при упаковке, что соответствует прошлым атакам Rattlesnake.

В целом, организация Sidewinder APT действует уже много лет, используя сложные методы для проведения кибератак на важные организации. Известно, что для получения доступа и кражи данных они используют фишинговые письма с вредоносными вложениями, инъекции шаблонов и трояны-загрузчики. Несмотря на их передовую тактику, Бюро разведки Weibu смогло обнаружить и остановить одну из их недавних атак.

#ParsedReport
26-02-2023

PureCrypter targets government entities through Discord

https://www.menlosecurity.com/blog/purecrypter-targets-government-entities-through-discord

Actors/Campaigns:
Eternity

Threats:
Purecryptor
Redline_stealer
Agent_tesla
Krbanker
Purecoder_actor
Process_hollowing_technique
Process_injection_technique

Industry:
Government

Geo:
Apac, America, Pakistan

TTPs:
Tactics: 7
Technics: 14

IOCs:
Email: 2
File: 4
Url: 2
Hash: 46
Registry: 1

Softs:
discord, onenote

Algorithms:
des, zip, xor

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Menlo Labs недавно обнаружила вредоносную кампанию, распространяемую через Discord и направленную на правительственные организации. Кампания использует загрузчик PureCrypter, загрузчик .net, для доставки вторичных полезных нагрузок, включая Redline Stealer, AgentTesla, Eternity, Blackmoon и Philadelphia Ransomware. Атака была заблокирована платформой Menlos Cloud Security Platform, а команда Menlo Labs смогла отследить исполнителей.

PureCrypter - это продвинутый загрузчик, который может загружать трояны удаленного доступа (RAT) и Infostealers. Продается с марта 2021 года. AgentTesla - это тип бэкдора с возможностью кражи паролей из браузеров, ведения журнала и захвата скриншотов. Он может устанавливать соединение с FTP-сервером и хранить украденные данные в зашифрованном виде. Похоже, что FTP-сервер был захвачен злоумышленниками, а в Интернете были обнаружены утечки учетных данных для домена.

Злоумышленники рассылают фишинговые электронные письма с вредоносными файлами OneNote для распространения дополнительного вредоносного ПО или кражи информации у жертв. Эта группа угроз использует взломанную инфраструктуру, чтобы оставаться незамеченными как можно дольше, прежде чем искать себе новое пристанище.

Команда Menlo Labs продолжит следить за активностью этого агента угроз, поскольку пока он не выглядит крупным игроком на рынке угроз. Однако их нападения на правительственные организации заслуживают внимания и бдительности. Кроме того, для осуществления своих атак агенты используют целый ряд методов, включая повышение привилегий, внедрение процессов, уклонение от защиты, доступ к учетным данным, командование и контроль, сбор данных и маскировку.

#ParsedReport
26-02-2023

TA569: SocGholish and Beyond

https://www.proofpoint.com/us/blog/threat-insight/ta569-socgholish-and-beyond

Actors/Campaigns:
Ta569 (motivation: cyber_criminal)
Silverfish
Evil_corp

Threats:
Socgholish_loader
Scriptzzbn
Netsupportmanager_rat
Toad_technique
Redline_stealer
Solarmarker
Icedid
Hades
Lockbit
Wastedlocker

IOCs:
Domain: 146
Url: 1
IP: 31
Hash: 31

Softs:
wordpress, zoom, telegram

Algorithms:
exhibit, base64

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

TA569 - актор, который был замечен в использовании различных методов инъекций для развертывания вредоносной полезной нагрузки и содействия своей бизнес-модели "оплата за установку" (PPI). Эти инъекции можно разделить на две основные категории, за редким исключением: те, которые приводят к доставке полезной нагрузки SocGholish, и те, которые приводят к развертыванию полезной нагрузки, отличной от SocGholish, называемые инъекциями Scriptzzbn. Наиболее распространенной приманкой, используемой для доставки вредоносной программы SocGholish, является поддельное обновление браузера, которое представляется в полноэкранном формате, как будто оно с самого инжектируемого сайта. TA569 также был замечен в доставке других вредоносных полезных нагрузок, включая распределенную защиту от отказа в обслуживании (DDoS), поддельные обновления программ безопасности, капчи и другие темы, связанные с обновлениями. Эти полезные нагрузки могут включать похитителей информации или троянов удаленного доступа (RAT).

Исследователи Proofpoint заметили изменения в тактике, технике и процедурах (TTP), используемых TA569, включая увеличение количества разновидностей инъекций и полезных нагрузок, отличающихся от стандартных пакетов SocGholish Fake Update JavaScript. Помимо выполнения функций брокера первоначального доступа, эти дополнительные инъекции указывают на то, что TA569 может работать в качестве сервиса оплаты за установку (PPI). TA569 может удалять инъекции со взломанных сайтов, чтобы затем снова добавить их на те же сайты. Такое поведение, известное как "стробирование", может быть связано с рабочим процессом, связанным с добавлением новых или отличающихся инъекций для выполнения соглашений с клиентами или целей кампании, или для создания иллюзии "чистого" веб-сайта и возможности ложноположительных заключений.

#ParsedReport
26-02-2023

Analysis of recent phishing attacks against the Indian government by the APT organization SideCopy

http://blog.nsfocus.net/sidecopyphishinganalysis

Actors/Campaigns:
Sidecopy
Transparenttribe

Threats:
Reverserat_rat
Harpoon
Watering_hole_technique
Cetarat_rat

Industry:
Petroleum, Government, Energy

Geo:
India, Pakistan, Pakistani, Indian

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 2

Softs:
"android, android, (android

Algorithms:
gzip, rc4, zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно компания NSFOCUS, занимающаяся вопросами безопасности, обнаружила вредоносный макро-документ под названием "Cyber Advisory 2023.docm", отправленный SideCopy, организацией Advanced Persistent Threat (APT), базирующейся в Пакистане. Эта фишинговая атака была направлена на индийские военные объекты, особенно те, которые связаны с обороной границы Кашмира. Документ выглядел как официальное письмо от индийского правительства с предложением включить макросы, что указывало на фишинговую атаку. Также выяснилось, что подпись отправителя отличалась от подписи реального человека в открытых документах на сайте индийского правительства, что свидетельствовало о том, что она была подделана.

Вредоносный документ-макрос был настроен на загрузку и выполнение троянского коня. Содержимое документа-приманки было привлекательным и побуждало цель включить макросы. Когда документ закрывался, встроенный макрос VBA выполнял HTTP GET-запрос на сайт luckyoilpk.com/vlan.html. Когда-то этот сайт был обозначен как официальный сайт пакистанской энергетической компании, однако теперь при его открытии выдается ошибка, что свидетельствует о его использовании в качестве сайта водопоя. После этого макрос VBA извлекает данные для троянского коня из загруженного содержимого, создавая локальный файл через FreeFile. Этот файл получил имя vlan.exe и был сохранен в каталоге Startup.

Загруженный файл vlan.exe представлял собой обфусцированный троянец ReverseRAT, входящий в состав известных полезных нагрузок атак организации SideCopy. Троянцы этого семейства собирают основную информацию о хосте после запуска и отправляют ее на командно-контрольный (C&C) сервер через HTTP POST. После этого троянец выполняет одноранговую обработку содержимого, возвращаемого C&C, и извлекает инструкции C&C посредством дешифровки RC4 и декомпрессии Gzip.

Исследование Fuying Lab показало, что SideCopy организовали это мероприятие простым способом, загрузив троянцев удаленного управления через фишинговые документы за один раз, без каких-либо дополнительных ссылок. Злоумышленники также обфусцировали троянца удаленного управления, но из-за того, что его общая логика довольно проста, его все равно можно легко идентифицировать как ReverseRAT. Более того, макрос VBA запускался при закрытии документа, а троянец удаленного управления не выполнялся после загрузки, требуя перезапуска. Это может помочь злоумышленнику уклониться от обнаружения и повысить незаметность его вредоносной деятельности.

#ParsedReport
24-02-2023

Desde Chile con Malware (From Chile with Malware)

https://www.team-cymru.com/post/from-chile-with-malware

Threats:
Icedid
Cobalt_strike
Lockbit
Conti

Industry:
Financial

Geo:
Chile, Chilean, Russian, Netherlands

IOCs:
IP: 10
Domain: 9

Softs:
wireguard

Functions:
OpenVPN

Links:
https://github.com/west-wind/conti-leaks/blob/main/conti-URL.txt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

IcedID (также известный как BokBot) - это банковский троян, который эволюционировал и включил в себя возможности дропперного вредоносного ПО, что позволяет ему загружать и развертывать дополнительные вредоносные программы, такие как Cobalt Strike, иногда приводящие к появлению ransomware. Недавно исследователи выявили новый IP-адрес, подключенный к одному из C2-серверов IcedID BackConnect. Этот адрес находится в Чили и является частью сетевого блока /24, используемого для размещения инфраструктуры C2 бота IcedID.

Данные телеметрии угроз показывают последовательные соединения с чилийского IP-адреса с IP-адресом, расположенным в Нидерландах, на котором размещены два домена, связанных с IcedID; активность просмотра веб-страниц, исходящая с чилийского IP-адреса, дает представление о тактике, методах и процедурах (TTP) угрожающего субъекта. Эти действия указывают на интерес к DNS и посещению сервисов, связанных с Conti и LockBit ransomware.

Чилийский IP использует WireGuard VPN для доступа к серверу, но переключился на OpenVPN, когда активность возобновилась в январе 2023 года. Кроме того, аналитики заметили соединения с панельным портом сервера IcedID Loader Tier 2. Этот сервер используется для управления C2-серверами Tier 1 Loader, которые получают начальные сообщения жертвы и доставляют DLL IcedID. С этого же IP были установлены соединения с веб-сайтами, связанными с DNS, конфиденциальностью, Tox, Tor, Libsodium, Njalla, Qaz.im, Sape и Yandex, все из которых были связаны с вымогательским ПО или кампаниями по вредоносной рекламе.

Исследователи полагают, что чилийский IP используется для каких-то разработок или тестирования, хотя они не могут быть уверены. До сих пор они не видели ожидаемых коммуникаций жертвы, типичных для инфраструктуры C2, что ставит под сомнение назначение этих доменов.

В целом, отслеживание фоновой инфраструктуры, связанной с IcedID, позволяет исследователям выявить новые C2-инфраструктуры, обращенные к жертвам, а также получить представление о мотивах субъектов угрозы и используемых ими сервисах и инструментах. Защитникам следует обратить внимание на любую активность в своих сетях, связанную с 216.73.159.0/24, а пользователи Pure Signal Recon могут отслеживать эту активность путем запроса входящих соединений к 168.100.8.93:443. Исследователи будут продолжать публиковать обновления этой инфраструктуры на своей странице в Twitter @teamcymru_S2.

IcedID, впервые обнаруженный в начале 2017 года, остается постоянной угрозой. На прошлой неделе исследователи выявили новый IP-адрес, подключенный к одному из C2-серверов IcedID BackConnect. Этот адрес находится в Чили и является частью сетевого блока /24, используемого для размещения инфраструктуры C2 бота IcedID. Благодаря данным телеметрии угроз и активности просмотра веб-страниц, исходящей с чилийского IP-адреса, исследователи получили представление о тактике, методах и процедурах (TTPs) угрожающего субъекта.

Чилийский IP использует WireGuard VPN для доступа к серверу, но переключился на OpenVPN, когда активность возобновилась в январе 2023 года. Были замечены подключения к порту панели сервера IcedID Loader Tier 2, а также подключения к веб-сайтам, связанным с DNS, конфиденциальностью, Tox, Tor, Libsodium, Njalla, Qaz.im, Sape и Yandex, все из которых были связаны с выкупными программами или кампаниями по вредоносной рекламе. Предполагается, что чилийский IP может использоваться для разработки или тестирования, хотя исследователи не видели ожидаемых коммуникаций жертвы, типичных для инфраструктуры C2.