#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Menlo Labs недавно обнаружила вредоносную кампанию, распространяемую через Discord и направленную на правительственные организации. Кампания использует загрузчик PureCrypter, загрузчик .net, для доставки вторичных полезных нагрузок, включая Redline Stealer, AgentTesla, Eternity, Blackmoon и Philadelphia Ransomware. Атака была заблокирована платформой Menlos Cloud Security Platform, а команда Menlo Labs смогла отследить исполнителей.

PureCrypter - это продвинутый загрузчик, который может загружать трояны удаленного доступа (RAT) и Infostealers. Продается с марта 2021 года. AgentTesla - это тип бэкдора с возможностью кражи паролей из браузеров, ведения журнала и захвата скриншотов. Он может устанавливать соединение с FTP-сервером и хранить украденные данные в зашифрованном виде. Похоже, что FTP-сервер был захвачен злоумышленниками, а в Интернете были обнаружены утечки учетных данных для домена.

Злоумышленники рассылают фишинговые электронные письма с вредоносными файлами OneNote для распространения дополнительного вредоносного ПО или кражи информации у жертв. Эта группа угроз использует взломанную инфраструктуру, чтобы оставаться незамеченными как можно дольше, прежде чем искать себе новое пристанище.

Команда Menlo Labs продолжит следить за активностью этого агента угроз, поскольку пока он не выглядит крупным игроком на рынке угроз. Однако их нападения на правительственные организации заслуживают внимания и бдительности. Кроме того, для осуществления своих атак агенты используют целый ряд методов, включая повышение привилегий, внедрение процессов, уклонение от защиты, доступ к учетным данным, командование и контроль, сбор данных и маскировку.

#ParsedReport
26-02-2023

TA569: SocGholish and Beyond

https://www.proofpoint.com/us/blog/threat-insight/ta569-socgholish-and-beyond

Actors/Campaigns:
Ta569 (motivation: cyber_criminal)
Silverfish
Evil_corp

Threats:
Socgholish_loader
Scriptzzbn
Netsupportmanager_rat
Toad_technique
Redline_stealer
Solarmarker
Icedid
Hades
Lockbit
Wastedlocker

IOCs:
Domain: 146
Url: 1
IP: 31
Hash: 31

Softs:
wordpress, zoom, telegram

Algorithms:
exhibit, base64

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

TA569 - актор, который был замечен в использовании различных методов инъекций для развертывания вредоносной полезной нагрузки и содействия своей бизнес-модели "оплата за установку" (PPI). Эти инъекции можно разделить на две основные категории, за редким исключением: те, которые приводят к доставке полезной нагрузки SocGholish, и те, которые приводят к развертыванию полезной нагрузки, отличной от SocGholish, называемые инъекциями Scriptzzbn. Наиболее распространенной приманкой, используемой для доставки вредоносной программы SocGholish, является поддельное обновление браузера, которое представляется в полноэкранном формате, как будто оно с самого инжектируемого сайта. TA569 также был замечен в доставке других вредоносных полезных нагрузок, включая распределенную защиту от отказа в обслуживании (DDoS), поддельные обновления программ безопасности, капчи и другие темы, связанные с обновлениями. Эти полезные нагрузки могут включать похитителей информации или троянов удаленного доступа (RAT).

Исследователи Proofpoint заметили изменения в тактике, технике и процедурах (TTP), используемых TA569, включая увеличение количества разновидностей инъекций и полезных нагрузок, отличающихся от стандартных пакетов SocGholish Fake Update JavaScript. Помимо выполнения функций брокера первоначального доступа, эти дополнительные инъекции указывают на то, что TA569 может работать в качестве сервиса оплаты за установку (PPI). TA569 может удалять инъекции со взломанных сайтов, чтобы затем снова добавить их на те же сайты. Такое поведение, известное как "стробирование", может быть связано с рабочим процессом, связанным с добавлением новых или отличающихся инъекций для выполнения соглашений с клиентами или целей кампании, или для создания иллюзии "чистого" веб-сайта и возможности ложноположительных заключений.

#ParsedReport
26-02-2023

Analysis of recent phishing attacks against the Indian government by the APT organization SideCopy

http://blog.nsfocus.net/sidecopyphishinganalysis

Actors/Campaigns:
Sidecopy
Transparenttribe

Threats:
Reverserat_rat
Harpoon
Watering_hole_technique
Cetarat_rat

Industry:
Petroleum, Government, Energy

Geo:
India, Pakistan, Pakistani, Indian

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 2

Softs:
"android, android, (android

Algorithms:
gzip, rc4, zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно компания NSFOCUS, занимающаяся вопросами безопасности, обнаружила вредоносный макро-документ под названием "Cyber Advisory 2023.docm", отправленный SideCopy, организацией Advanced Persistent Threat (APT), базирующейся в Пакистане. Эта фишинговая атака была направлена на индийские военные объекты, особенно те, которые связаны с обороной границы Кашмира. Документ выглядел как официальное письмо от индийского правительства с предложением включить макросы, что указывало на фишинговую атаку. Также выяснилось, что подпись отправителя отличалась от подписи реального человека в открытых документах на сайте индийского правительства, что свидетельствовало о том, что она была подделана.

Вредоносный документ-макрос был настроен на загрузку и выполнение троянского коня. Содержимое документа-приманки было привлекательным и побуждало цель включить макросы. Когда документ закрывался, встроенный макрос VBA выполнял HTTP GET-запрос на сайт luckyoilpk.com/vlan.html. Когда-то этот сайт был обозначен как официальный сайт пакистанской энергетической компании, однако теперь при его открытии выдается ошибка, что свидетельствует о его использовании в качестве сайта водопоя. После этого макрос VBA извлекает данные для троянского коня из загруженного содержимого, создавая локальный файл через FreeFile. Этот файл получил имя vlan.exe и был сохранен в каталоге Startup.

Загруженный файл vlan.exe представлял собой обфусцированный троянец ReverseRAT, входящий в состав известных полезных нагрузок атак организации SideCopy. Троянцы этого семейства собирают основную информацию о хосте после запуска и отправляют ее на командно-контрольный (C&C) сервер через HTTP POST. После этого троянец выполняет одноранговую обработку содержимого, возвращаемого C&C, и извлекает инструкции C&C посредством дешифровки RC4 и декомпрессии Gzip.

Исследование Fuying Lab показало, что SideCopy организовали это мероприятие простым способом, загрузив троянцев удаленного управления через фишинговые документы за один раз, без каких-либо дополнительных ссылок. Злоумышленники также обфусцировали троянца удаленного управления, но из-за того, что его общая логика довольно проста, его все равно можно легко идентифицировать как ReverseRAT. Более того, макрос VBA запускался при закрытии документа, а троянец удаленного управления не выполнялся после загрузки, требуя перезапуска. Это может помочь злоумышленнику уклониться от обнаружения и повысить незаметность его вредоносной деятельности.

#ParsedReport
24-02-2023

Desde Chile con Malware (From Chile with Malware)

https://www.team-cymru.com/post/from-chile-with-malware

Threats:
Icedid
Cobalt_strike
Lockbit
Conti

Industry:
Financial

Geo:
Chile, Chilean, Russian, Netherlands

IOCs:
IP: 10
Domain: 9

Softs:
wireguard

Functions:
OpenVPN

Links:
https://github.com/west-wind/conti-leaks/blob/main/conti-URL.txt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

IcedID (также известный как BokBot) - это банковский троян, который эволюционировал и включил в себя возможности дропперного вредоносного ПО, что позволяет ему загружать и развертывать дополнительные вредоносные программы, такие как Cobalt Strike, иногда приводящие к появлению ransomware. Недавно исследователи выявили новый IP-адрес, подключенный к одному из C2-серверов IcedID BackConnect. Этот адрес находится в Чили и является частью сетевого блока /24, используемого для размещения инфраструктуры C2 бота IcedID.

Данные телеметрии угроз показывают последовательные соединения с чилийского IP-адреса с IP-адресом, расположенным в Нидерландах, на котором размещены два домена, связанных с IcedID; активность просмотра веб-страниц, исходящая с чилийского IP-адреса, дает представление о тактике, методах и процедурах (TTP) угрожающего субъекта. Эти действия указывают на интерес к DNS и посещению сервисов, связанных с Conti и LockBit ransomware.

Чилийский IP использует WireGuard VPN для доступа к серверу, но переключился на OpenVPN, когда активность возобновилась в январе 2023 года. Кроме того, аналитики заметили соединения с панельным портом сервера IcedID Loader Tier 2. Этот сервер используется для управления C2-серверами Tier 1 Loader, которые получают начальные сообщения жертвы и доставляют DLL IcedID. С этого же IP были установлены соединения с веб-сайтами, связанными с DNS, конфиденциальностью, Tox, Tor, Libsodium, Njalla, Qaz.im, Sape и Yandex, все из которых были связаны с вымогательским ПО или кампаниями по вредоносной рекламе.

Исследователи полагают, что чилийский IP используется для каких-то разработок или тестирования, хотя они не могут быть уверены. До сих пор они не видели ожидаемых коммуникаций жертвы, типичных для инфраструктуры C2, что ставит под сомнение назначение этих доменов.

В целом, отслеживание фоновой инфраструктуры, связанной с IcedID, позволяет исследователям выявить новые C2-инфраструктуры, обращенные к жертвам, а также получить представление о мотивах субъектов угрозы и используемых ими сервисах и инструментах. Защитникам следует обратить внимание на любую активность в своих сетях, связанную с 216.73.159.0/24, а пользователи Pure Signal Recon могут отслеживать эту активность путем запроса входящих соединений к 168.100.8.93:443. Исследователи будут продолжать публиковать обновления этой инфраструктуры на своей странице в Twitter @teamcymru_S2.

IcedID, впервые обнаруженный в начале 2017 года, остается постоянной угрозой. На прошлой неделе исследователи выявили новый IP-адрес, подключенный к одному из C2-серверов IcedID BackConnect. Этот адрес находится в Чили и является частью сетевого блока /24, используемого для размещения инфраструктуры C2 бота IcedID. Благодаря данным телеметрии угроз и активности просмотра веб-страниц, исходящей с чилийского IP-адреса, исследователи получили представление о тактике, методах и процедурах (TTPs) угрожающего субъекта.

Чилийский IP использует WireGuard VPN для доступа к серверу, но переключился на OpenVPN, когда активность возобновилась в январе 2023 года. Были замечены подключения к порту панели сервера IcedID Loader Tier 2, а также подключения к веб-сайтам, связанным с DNS, конфиденциальностью, Tox, Tor, Libsodium, Njalla, Qaz.im, Sape и Yandex, все из которых были связаны с выкупными программами или кампаниями по вредоносной рекламе. Предполагается, что чилийский IP может использоваться для разработки или тестирования, хотя исследователи не видели ожидаемых коммуникаций жертвы, типичных для инфраструктуры C2.

#ParsedReport
26-02-2023

Investigating the PlugX Trojan Disguised as a Legitimate Windows Debugger Tool. Introduction

https://www.trendmicro.com/en_us/research/23/b/investigating-the-plugx-trojan-disguised-as-a-legitimate-windows.html

Threats:
Plugx_rat
Dll_sideloading_technique
Trojan.win32.kroplug.aj

TTPs:

IOCs:
Path: 11
File: 9
IP: 1
Command: 1
Registry: 1
Hash: 6

Functions:
OpenSource

Win API:
DllGetClassObject

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда Trend Micros Managed Extended Detection and Response (MxDR) недавно обнаружила вариант троянца PlugX, обозначенный как Trojan.Win32.KORPLUG.AJ.enc. Атака использует технику боковой загрузки вредоносных DLL, при которой злоумышленник помещает вредоносную DLL рядом с легитимной программой, чтобы получить доступ к целевой системе и избежать обнаружения.

Команда MxDR обнаружила, что угроза в значительной степени опирается на боковую загрузку DLL, а в качестве основного вектора используется файл под названием x32dbg.exe. Это легитимный инструмент отладчика с открытым исходным кодом для Windows, но он использовался для выполнения процесса заражения вредоносным ПО. Затем вредоносная программа создала запланированную задачу для запуска файла x32dbg.exe каждые пять минут, замаскировав его под "LKUFORYOU_1", чтобы его было трудно обнаружить. Кроме того, вредоносная полезная нагрузка также включала akm.dat, DLL, содержащую код для выполнения следующей фазы атаки, и AUG.exe, копию DISM.EXE, уязвимую к боковой загрузке DLL.

Для защиты от таких атак в Trend XDR интегрированы различные технологии безопасности, позволяющие получить полную картину состояния безопасности организации. Внедрение белых списков, использование подписанного кода, мониторинг и контроль выполнения приложений, обучение конечных пользователей, использование решений для защиты конечных точек и реализация эффективных планов реагирования на инциденты - все это ключевые меры по предотвращению атак с боковой загрузкой DLL.

Команда MxDR компании Trend Micro использовала ряд передовых технологий и решений для обеспечения безопасности, чтобы получить полное представление об атаке и помочь организациям предотвратить подобные угрозы. Используя специальные инструменты безопасности и следуя передовому опыту, организации могут обеспечить лучшую защиту от вредоносных атак с использованием методов боковой загрузки DLL.

#ParsedReport
26-02-2023

Pay attention to the spread of Libgcc_a mining virus! Included self-examination method

https://mp.weixin.qq.com/s/hJazMbc6MxQQU8a_bhgusA

Threats:
Xmrig_miner
Xbash

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1

Softs:
macos

Algorithms:
randomx, kawpow, cryptonight

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно был обнаружен новый вариант вируса семейства XMrig для майнинга. Известно, что этот вирус особенно трудно обнаружить и удалить, поскольку он автоматически активизируется после уничтожения. Кроме того, он изменяет конфигурацию хоста, перенаправляя порты на удаленный сервер, и загружает с Github инструмент для взлома методом грубой силы с открытым исходным кодом для бокового перемещения по узлам интрасети.

XMrig - это программа с открытым исходным кодом, которая может использовать алгоритмы CPU/GPU, такие как RandomX, KawPow, CryptoNight и AstroBWT, для добычи виртуальных валют на платформах Windows, Linux, macOS и FreeBSD. Благодаря своему потенциалу для зарабатывания денег, многие банды вредоносных программ используют его для незаконного получения доступа к чужим серверам с целью получения прибыли. Чтобы перехватить процесс запуска программы, вирус изменяет файл /etc/ld.so.preload и загружает вредоносные исполняемые файлы libgcc_a и spirit, используя соответствующие so-файлы для различных архитектур. Затем он настраивает такие службы, как SMTP/HTTP, в файле xinetd.d для перенаправления на вредоносный сервер C2.

Кроме того, вирус также сканирует IP-адрес интрасети на предмет наличия выживших хостов, проверяя конфигурационные файлы, связанные с запланированными задачами (такие как cron.hourly и crontab), на наличие подозрительных элементов, таких как /etc/cron.daily/xbash. Этот вирус очень опасен, и к нему следует отнестись серьезно. Группа технических специалистов может помочь выявить и устранить эту угрозу.

#ParsedReport
26-02-2023

ASEC Weekly Phishing Email Threat Trends (February 12th, 2023 February 18th, 2023)

https://asec.ahnlab.com/en/48390

Actors/Campaigns:
Calypso

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korean, Italia

TTPs:

IOCs:
File: 85
Url: 17

Algorithms:
zip

#ParsedReport
27-02-2023

Snip3 Crypter Reveals New TTPs Over Time

https://www.zscaler.com/blogs/security-research/snip3-crypter-reveals-new-ttps-over-time

Threats:
Snip3_crypter
Dcrat_rat
Quasar_rat
Amsi_bypass_technique
Process_hollowing_technique
Process_injection_technique

Industry:
Energy, Financial, Healthcare, Retail, Petroleum

Geo:
French

IOCs:
File: 15
Path: 1
IP: 5
Hash: 8
Domain: 5

Algorithms:
gzip

Functions:
Replace, GetString, WriteAllText, HTTP, Split, DropToStartUp, CodeDom, UrlDecodeToBytes, Invoke, GetRuntimeDirectory, have more...

Win API:
Decompress, CreateProcessA, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Криптер Snip3 - это многоступенчатый загрузчик троянов удаленного доступа (RAT), который с 2021 года предлагается в качестве криптера как услуга. Он использует передовые методы уклонения, обфускации и загрузки отражающего кода для предоставления новых тактик, техник и процедур (ТТП), что позволяет даже менее техничным субъектам угроз использовать его в своих кампаниях атак против организаций. Эта угроза атаковала организации в различных отраслях, таких как здравоохранение, энергетика и коммунальные услуги, а также производство, посредством фишинговых писем с темами, связанными с налоговыми декларациями.

Команда Zscaler ThreatLabz выявила использование криптера Snip3 во вредоносных кампаниях, использующих новые ТТП для развертывания семейств RAT, таких как DcRAT и QuasarRAT. Наиболее подверженным атакам оказался сектор здравоохранения, а также другие отрасли, включая энергетику, производство, материалы, финансы, розничную торговлю и технологии. Цепочка заражения начинается с фишингового письма, содержащего файлы-обманки, за которыми следует полезная нагрузка VBScript, декодирующая сценарий PowerShell Downloader. Затем загружается сценарий PowerShell Stage-2, включающий команду с сервера загрузки, и финальный сценарий RAT Loader Stage-4.

Команда Snip3 продолжает обновлять криптер новыми сложными техниками для уклонения от обнаружения и эффективного развертывания окончательной полезной нагрузки RAT. Они также заметили изменения в TTP, включая периодическую смену DB-серверов, используемых для получения вредоносных строк, а также использование TinyURL для сокращения URL-адресов и загрузки PS-скриптов второго и третьего этапов. В исходных сценариях VBScript и PowerShell был обнаружен обход AMSI в обход AMSIScanBuffer/AmsiScanString.

Организациям следует сохранять бдительность и развертывать передовые меры безопасности для защиты от криптера Snip3 и других возникающих угроз. Команда Zscaler ThreatLabz активно отслеживает эти атаки и предоставляет своевременные обновления, чтобы помочь защитить своих клиентов.

#ParsedReport
27-02-2023

Blind Eagle Deploys Fake UUE Files and Fsociety to Target Colombia's Judiciary, Financial, Public, and Law Enforcement Entities

https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia

Actors/Campaigns:
Blindeagle (motivation: information_theft, cyber_espionage)

Threats:
Fsociety
Junk_code_technique
Asyncrat_rat
Process_hollowing_technique
Njrat
Quasar_rat
Limerat_rat
Remcos_rat

Industry:
Healthcare, Financial, Government

Geo:
Chile, Spanish, Colombian, Brazil, Ecuador, Spain, Colombia, America, American

TTPs:
Tactics: 4
Technics: 9

IOCs:
Email: 2
Domain: 5
File: 15
Url: 9
Path: 3
Command: 2
IP: 3
Hash: 6

Softs:
discord, word pdf

Algorithms:
base64, aes-256

Languages:
visual_basic

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

APT-C-36, также известная как Blind Eagle, является южноамериканской угрозой, действующей с 2019 года. Группа нацелена в основном на правительственные учреждения и организации, расположенные в Колумбии, Эквадоре, Чили и Испании, с помощью фишинговых писем, содержащих вредоносные PDF-вложения. С помощью этих писем группа пытается получить доступ к системам цели, устанавливая вредоносные программы, такие как AsyncRAT, njRAT, QuasarRAT, LimeRAT и RemcosRAT.

Группа обычно рассылает электронные письма, выдавая себя за колумбийское государственное налоговое агентство (DIAN), чтобы еще больше обмануть жертв. Эти письма содержат логотипы и сообщения, связанные с DIAN, и используют скорее всего вымышленное имя и адрес электронной почты в поле Blind Carbon Copy, чтобы обойти спам-фильтры.

После установки вредоносной полезной нагрузки на систему объекта атаки группа может установить постоянство через запланированную задачу с правами администратора или ключ реестра, если у пользователя нет прав администратора. Кроме того, группа использует службы динамической системы доменных имен (DDNS), такие как DuckDNS, для подключения своих внедренных RAT обратно к инфраструктуре злоумышленников.

Тактика и методы, использованные APT-C-36, соответствуют ранее атрибутированным кампаниям, что дает умеренный уровень уверенности в том, что эта кампания была проведена группой. Несмотря на то, что используемые способы действий в основном остаются неизменными, вполне вероятно, что в ближайшие месяцы будут появляться новые цели с использованием новых методов обмана.

#ParsedReport
27-02-2023

. Analysis of phishing activities delivered by AgentTesla using GuLoader

https://www.antiy.cn/research/notice&report/research_report/20230224.html

Threats:
Agent_tesla
Cloudeye
Process_injection_technique

Industry:
Education, Government, Energy

Geo:
Asian, German, Spanish

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 2
Hash: 3
Registry: 1
Url: 2

Algorithms:
base64

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Antiy CERT недавно обнаружил новый виток фишинговой активности, использующей загрузчик GuLoader для доставки троянца AgentTesla, похищающего секреты. Письма, замаскированные под приглашения к участию в торгах по продаже продукции, рассылаются компаниям производственной, энергетической и интернет-индустрии во многих европейских и азиатских странах. GuLoader использует различные методы обфускации, чтобы избежать обнаружения продуктами безопасности, и применяет множество методов обратного анализа, чтобы затруднить анализ исследователей безопасности.

AgentTesla - это коммерческий троянец для похищения секретов, написанный на языке .NET и обладающий множеством возможностей по похищению секретов. Как вредоносный файл, его трудно обнаружить непосредственно с помощью антивирусного программного обеспечения. Письмо содержит два вложения, html-файл представляет собой фишинговую страницу, используемую для кражи пароля почтового ящика пользователя; сжатый пакет содержит VBS-скрипт, используемый для выполнения загрузчика GuLoader. Он запрашивает два участка памяти, считывает сохраненные данные из указанного ключа реестра для декодирования Base64, делит декодированные данные на два участка шеллкода и записывает их в указанный участок памяти для исполнения. Конечной полезной нагрузкой является троянский конь AgentTesla, похищающий секреты.

Для защиты от таких вредоносных файлов компания Antiy выпустила систему Intelligent Endpoint Protection System (IEP), которая способна эффективно обнаруживать и уничтожать загрузчики и трояны, похищающие секреты. Кроме того, пользователям следует быть осторожными при получении писем с вложениями, всегда запускать проверку на вирусы перед их просмотром. Кроме того, личную информацию следует защищать и не размещать в Интернете, чтобы избежать целенаправленных попыток фишинга. Системы обнаружения вторжений (IDS) также могут быть развернуты для мониторинга трафика и обнаружения вредоносных кодов. В случае атаки необходимо изолировать хост и обратиться на круглосуточную горячую линию Antiy.

В целом, Antiy CERT выявил новую фишинговую кампанию, использующую загрузчик GuLoader для доставки троянца AgentTesla, похищающего секреты. Важно, чтобы пользователи знали об этих атаках и принимали необходимые меры предосторожности для защиты своих данных. IEP от Antiy может помочь защитить от вредоносных файлов, а пользователи должны развернуть меры безопасности, такие как IDS, защитить свою информацию и связаться с горячей линией обслуживания Antiy в случае атаки.

[RIG] RIG Exploit Kit: In-Depth Analysis

https://www.prodaft.com/resource/detail/rig-rig-exploit-kit-depth-analysis

#ParsedReport
28-02-2023

ASEC weekly malware statistics (20230220 \~ 20230226)

https://asec.ahnlab.com/ko/48552

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Transport

Geo:
Korea

IOCs:
IP: 7
Domain: 3
Url: 6
Email: 3
File: 14

Softs:
telegram, nsis installer

Algorithms:
zip

Languages:
visual_basic, php

#ParsedReport
28-02-2023

PY#RATION, the TL;DR edition

https://www.securonix.com/blog/pyration-the-tldr-edition

Actors/Campaigns:
Pyration
Steep_maverick

TTPs:

IOCs:
IP: 1

Algorithms:
exhibit, zip

Languages:
python