#ParsedReport
26-02-2023

Investigating the PlugX Trojan Disguised as a Legitimate Windows Debugger Tool. Introduction

https://www.trendmicro.com/en_us/research/23/b/investigating-the-plugx-trojan-disguised-as-a-legitimate-windows.html

Threats:
Plugx_rat
Dll_sideloading_technique
Trojan.win32.kroplug.aj

TTPs:

IOCs:
Path: 11
File: 9
IP: 1
Command: 1
Registry: 1
Hash: 6

Functions:
OpenSource

Win API:
DllGetClassObject

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда Trend Micros Managed Extended Detection and Response (MxDR) недавно обнаружила вариант троянца PlugX, обозначенный как Trojan.Win32.KORPLUG.AJ.enc. Атака использует технику боковой загрузки вредоносных DLL, при которой злоумышленник помещает вредоносную DLL рядом с легитимной программой, чтобы получить доступ к целевой системе и избежать обнаружения.

Команда MxDR обнаружила, что угроза в значительной степени опирается на боковую загрузку DLL, а в качестве основного вектора используется файл под названием x32dbg.exe. Это легитимный инструмент отладчика с открытым исходным кодом для Windows, но он использовался для выполнения процесса заражения вредоносным ПО. Затем вредоносная программа создала запланированную задачу для запуска файла x32dbg.exe каждые пять минут, замаскировав его под "LKUFORYOU_1", чтобы его было трудно обнаружить. Кроме того, вредоносная полезная нагрузка также включала akm.dat, DLL, содержащую код для выполнения следующей фазы атаки, и AUG.exe, копию DISM.EXE, уязвимую к боковой загрузке DLL.

Для защиты от таких атак в Trend XDR интегрированы различные технологии безопасности, позволяющие получить полную картину состояния безопасности организации. Внедрение белых списков, использование подписанного кода, мониторинг и контроль выполнения приложений, обучение конечных пользователей, использование решений для защиты конечных точек и реализация эффективных планов реагирования на инциденты - все это ключевые меры по предотвращению атак с боковой загрузкой DLL.

Команда MxDR компании Trend Micro использовала ряд передовых технологий и решений для обеспечения безопасности, чтобы получить полное представление об атаке и помочь организациям предотвратить подобные угрозы. Используя специальные инструменты безопасности и следуя передовому опыту, организации могут обеспечить лучшую защиту от вредоносных атак с использованием методов боковой загрузки DLL.

#ParsedReport
26-02-2023

Pay attention to the spread of Libgcc_a mining virus! Included self-examination method

https://mp.weixin.qq.com/s/hJazMbc6MxQQU8a_bhgusA

Threats:
Xmrig_miner
Xbash

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1

Softs:
macos

Algorithms:
randomx, kawpow, cryptonight

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно был обнаружен новый вариант вируса семейства XMrig для майнинга. Известно, что этот вирус особенно трудно обнаружить и удалить, поскольку он автоматически активизируется после уничтожения. Кроме того, он изменяет конфигурацию хоста, перенаправляя порты на удаленный сервер, и загружает с Github инструмент для взлома методом грубой силы с открытым исходным кодом для бокового перемещения по узлам интрасети.

XMrig - это программа с открытым исходным кодом, которая может использовать алгоритмы CPU/GPU, такие как RandomX, KawPow, CryptoNight и AstroBWT, для добычи виртуальных валют на платформах Windows, Linux, macOS и FreeBSD. Благодаря своему потенциалу для зарабатывания денег, многие банды вредоносных программ используют его для незаконного получения доступа к чужим серверам с целью получения прибыли. Чтобы перехватить процесс запуска программы, вирус изменяет файл /etc/ld.so.preload и загружает вредоносные исполняемые файлы libgcc_a и spirit, используя соответствующие so-файлы для различных архитектур. Затем он настраивает такие службы, как SMTP/HTTP, в файле xinetd.d для перенаправления на вредоносный сервер C2.

Кроме того, вирус также сканирует IP-адрес интрасети на предмет наличия выживших хостов, проверяя конфигурационные файлы, связанные с запланированными задачами (такие как cron.hourly и crontab), на наличие подозрительных элементов, таких как /etc/cron.daily/xbash. Этот вирус очень опасен, и к нему следует отнестись серьезно. Группа технических специалистов может помочь выявить и устранить эту угрозу.

#ParsedReport
26-02-2023

ASEC Weekly Phishing Email Threat Trends (February 12th, 2023 February 18th, 2023)

https://asec.ahnlab.com/en/48390

Actors/Campaigns:
Calypso

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korean, Italia

TTPs:

IOCs:
File: 85
Url: 17

Algorithms:
zip

#ParsedReport
27-02-2023

Snip3 Crypter Reveals New TTPs Over Time

https://www.zscaler.com/blogs/security-research/snip3-crypter-reveals-new-ttps-over-time

Threats:
Snip3_crypter
Dcrat_rat
Quasar_rat
Amsi_bypass_technique
Process_hollowing_technique
Process_injection_technique

Industry:
Energy, Financial, Healthcare, Retail, Petroleum

Geo:
French

IOCs:
File: 15
Path: 1
IP: 5
Hash: 8
Domain: 5

Algorithms:
gzip

Functions:
Replace, GetString, WriteAllText, HTTP, Split, DropToStartUp, CodeDom, UrlDecodeToBytes, Invoke, GetRuntimeDirectory, have more...

Win API:
Decompress, CreateProcessA, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Криптер Snip3 - это многоступенчатый загрузчик троянов удаленного доступа (RAT), который с 2021 года предлагается в качестве криптера как услуга. Он использует передовые методы уклонения, обфускации и загрузки отражающего кода для предоставления новых тактик, техник и процедур (ТТП), что позволяет даже менее техничным субъектам угроз использовать его в своих кампаниях атак против организаций. Эта угроза атаковала организации в различных отраслях, таких как здравоохранение, энергетика и коммунальные услуги, а также производство, посредством фишинговых писем с темами, связанными с налоговыми декларациями.

Команда Zscaler ThreatLabz выявила использование криптера Snip3 во вредоносных кампаниях, использующих новые ТТП для развертывания семейств RAT, таких как DcRAT и QuasarRAT. Наиболее подверженным атакам оказался сектор здравоохранения, а также другие отрасли, включая энергетику, производство, материалы, финансы, розничную торговлю и технологии. Цепочка заражения начинается с фишингового письма, содержащего файлы-обманки, за которыми следует полезная нагрузка VBScript, декодирующая сценарий PowerShell Downloader. Затем загружается сценарий PowerShell Stage-2, включающий команду с сервера загрузки, и финальный сценарий RAT Loader Stage-4.

Команда Snip3 продолжает обновлять криптер новыми сложными техниками для уклонения от обнаружения и эффективного развертывания окончательной полезной нагрузки RAT. Они также заметили изменения в TTP, включая периодическую смену DB-серверов, используемых для получения вредоносных строк, а также использование TinyURL для сокращения URL-адресов и загрузки PS-скриптов второго и третьего этапов. В исходных сценариях VBScript и PowerShell был обнаружен обход AMSI в обход AMSIScanBuffer/AmsiScanString.

Организациям следует сохранять бдительность и развертывать передовые меры безопасности для защиты от криптера Snip3 и других возникающих угроз. Команда Zscaler ThreatLabz активно отслеживает эти атаки и предоставляет своевременные обновления, чтобы помочь защитить своих клиентов.

#ParsedReport
27-02-2023

Blind Eagle Deploys Fake UUE Files and Fsociety to Target Colombia's Judiciary, Financial, Public, and Law Enforcement Entities

https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia

Actors/Campaigns:
Blindeagle (motivation: information_theft, cyber_espionage)

Threats:
Fsociety
Junk_code_technique
Asyncrat_rat
Process_hollowing_technique
Njrat
Quasar_rat
Limerat_rat
Remcos_rat

Industry:
Healthcare, Financial, Government

Geo:
Chile, Spanish, Colombian, Brazil, Ecuador, Spain, Colombia, America, American

TTPs:
Tactics: 4
Technics: 9

IOCs:
Email: 2
Domain: 5
File: 15
Url: 9
Path: 3
Command: 2
IP: 3
Hash: 6

Softs:
discord, word pdf

Algorithms:
base64, aes-256

Languages:
visual_basic

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

APT-C-36, также известная как Blind Eagle, является южноамериканской угрозой, действующей с 2019 года. Группа нацелена в основном на правительственные учреждения и организации, расположенные в Колумбии, Эквадоре, Чили и Испании, с помощью фишинговых писем, содержащих вредоносные PDF-вложения. С помощью этих писем группа пытается получить доступ к системам цели, устанавливая вредоносные программы, такие как AsyncRAT, njRAT, QuasarRAT, LimeRAT и RemcosRAT.

Группа обычно рассылает электронные письма, выдавая себя за колумбийское государственное налоговое агентство (DIAN), чтобы еще больше обмануть жертв. Эти письма содержат логотипы и сообщения, связанные с DIAN, и используют скорее всего вымышленное имя и адрес электронной почты в поле Blind Carbon Copy, чтобы обойти спам-фильтры.

После установки вредоносной полезной нагрузки на систему объекта атаки группа может установить постоянство через запланированную задачу с правами администратора или ключ реестра, если у пользователя нет прав администратора. Кроме того, группа использует службы динамической системы доменных имен (DDNS), такие как DuckDNS, для подключения своих внедренных RAT обратно к инфраструктуре злоумышленников.

Тактика и методы, использованные APT-C-36, соответствуют ранее атрибутированным кампаниям, что дает умеренный уровень уверенности в том, что эта кампания была проведена группой. Несмотря на то, что используемые способы действий в основном остаются неизменными, вполне вероятно, что в ближайшие месяцы будут появляться новые цели с использованием новых методов обмана.

#ParsedReport
27-02-2023

. Analysis of phishing activities delivered by AgentTesla using GuLoader

https://www.antiy.cn/research/notice&report/research_report/20230224.html

Threats:
Agent_tesla
Cloudeye
Process_injection_technique

Industry:
Education, Government, Energy

Geo:
Asian, German, Spanish

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 2
Hash: 3
Registry: 1
Url: 2

Algorithms:
base64

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Antiy CERT недавно обнаружил новый виток фишинговой активности, использующей загрузчик GuLoader для доставки троянца AgentTesla, похищающего секреты. Письма, замаскированные под приглашения к участию в торгах по продаже продукции, рассылаются компаниям производственной, энергетической и интернет-индустрии во многих европейских и азиатских странах. GuLoader использует различные методы обфускации, чтобы избежать обнаружения продуктами безопасности, и применяет множество методов обратного анализа, чтобы затруднить анализ исследователей безопасности.

AgentTesla - это коммерческий троянец для похищения секретов, написанный на языке .NET и обладающий множеством возможностей по похищению секретов. Как вредоносный файл, его трудно обнаружить непосредственно с помощью антивирусного программного обеспечения. Письмо содержит два вложения, html-файл представляет собой фишинговую страницу, используемую для кражи пароля почтового ящика пользователя; сжатый пакет содержит VBS-скрипт, используемый для выполнения загрузчика GuLoader. Он запрашивает два участка памяти, считывает сохраненные данные из указанного ключа реестра для декодирования Base64, делит декодированные данные на два участка шеллкода и записывает их в указанный участок памяти для исполнения. Конечной полезной нагрузкой является троянский конь AgentTesla, похищающий секреты.

Для защиты от таких вредоносных файлов компания Antiy выпустила систему Intelligent Endpoint Protection System (IEP), которая способна эффективно обнаруживать и уничтожать загрузчики и трояны, похищающие секреты. Кроме того, пользователям следует быть осторожными при получении писем с вложениями, всегда запускать проверку на вирусы перед их просмотром. Кроме того, личную информацию следует защищать и не размещать в Интернете, чтобы избежать целенаправленных попыток фишинга. Системы обнаружения вторжений (IDS) также могут быть развернуты для мониторинга трафика и обнаружения вредоносных кодов. В случае атаки необходимо изолировать хост и обратиться на круглосуточную горячую линию Antiy.

В целом, Antiy CERT выявил новую фишинговую кампанию, использующую загрузчик GuLoader для доставки троянца AgentTesla, похищающего секреты. Важно, чтобы пользователи знали об этих атаках и принимали необходимые меры предосторожности для защиты своих данных. IEP от Antiy может помочь защитить от вредоносных файлов, а пользователи должны развернуть меры безопасности, такие как IDS, защитить свою информацию и связаться с горячей линией обслуживания Antiy в случае атаки.

[RIG] RIG Exploit Kit: In-Depth Analysis

https://www.prodaft.com/resource/detail/rig-rig-exploit-kit-depth-analysis

#ParsedReport
28-02-2023

ASEC weekly malware statistics (20230220 \~ 20230226)

https://asec.ahnlab.com/ko/48552

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Transport

Geo:
Korea

IOCs:
IP: 7
Domain: 3
Url: 6
Email: 3
File: 14

Softs:
telegram, nsis installer

Algorithms:
zip

Languages:
visual_basic, php

#ParsedReport
28-02-2023

PY#RATION, the TL;DR edition

https://www.securonix.com/blog/pyration-the-tldr-edition

Actors/Campaigns:
Pyration
Steep_maverick

TTPs:

IOCs:
IP: 1

Algorithms:
exhibit, zip

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

PY#RATION - это новая вредоносная кампания, выявленная с августа 2022 года. Вредоносная программа, используемая в кампании, демонстрирует поведение троянца удаленного доступа (RAT), который позволяет контролировать и сохранять контроль над пораженным узлом. Она имеет несколько уникальных особенностей, таких как использование веб-сокетов для командно-контрольной связи (C2) и утечки данных, а также избегание обнаружения антивирусами и средствами сетевой безопасности благодаря использованию кода Python. Первоначальное заражение происходит через фишинговое письмо, содержащее защищенный паролем ZIP-файл. Для уклонения от обнаружения используются многочисленные шаги обфускации.

Он использует методы MITRE ATT&CK, поэтому необходимо иметь контент для обнаружения более общего поведения, а единственный IP-адрес, используемый для C2-трафика, может быть заблокирован на брандмауэрах, EDR, SWG, IPS и т. д. Передовой практики в основном достаточно для снижения связанного с этим риска, но следует также внедрить гарантии CIS Critical Security Controls. Кроме того, следует провести ретроактивный поиск соответствующих МОК, чтобы выявить случаи, когда первоначальная компрометация не была обнаружена.

В заключение следует отметить, что PY#RATION - это сложная и продвинутая вредоносная программа, которая требует тщательного мониторинга и соответствующего реагирования. Организациям следует обратить внимание на внедрение лучших практик и необходимых средств контроля безопасности для защиты от этой угрозы.

#ParsedReport
28-02-2023

Cryptocurrency Entities at Risk: Threat Actor Uses Parallax RAT for Infiltration

https://www.uptycs.com/blog/cryptocurrency-entities-at-risk-threat-actor-uses-parallax-rat-for-infiltration

Threats:
Parallax_rat
Process_hollowing_technique

Geo:
Usa

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 2
File: 2
Hash: 3
IP: 1

Softs:
telegram

Algorithms:
rc4

Languages:
visual_basic

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С декабря 2019 года вредоносная программа Parallax RAT распространяется через вредоносные спам-кампании и фишинговые электронные письма. Этот троянец используется для выполнения вредоносных действий, таких как кража учетных данных, доступ к файлам, кейлоггинг и удаленное управление машиной жертвы. Команда Uptycs Threat Research недавно обнаружила активные образцы Parallax RAT, нацеленные на криптовалютные организации.

Вредоносная программа использует метод подмены процессов для внедрения в легитимный процесс Microsoft pipanel.exe, который затем запускается злоумышленником. Это 32-битный двоичный исполняемый файл, который собирает конфиденциальную информацию с виктимизированных машин. После заражения машины он отправляет злоумышленнику уведомление и позволяет ему взаимодействовать с жертвой через блокнот Windows. Он также сбрасывает файл UN.vbs и запускает его с помощью инструмента wscript.exe, чтобы удалить полезную нагрузку и замести следы.

Угроза, стоящая за этой вредоносной программой, использует коммерческий троянский инструмент удаленного доступа (RAT) для извлечения частных адресов электронной почты с сайта dnsdumpster.com, которые затем используются для распространения вредоносной программы через фишинговые электронные письма. График VirusTotal показывает увеличение числа образцов Parallax RAT, распространяющихся в последние дни, все из которых связываются с регионом США.

Организации должны знать о существовании этого вредоносного ПО и принять необходимые меры предосторожности для защиты своих систем и данных. Пользователи Uptycs EDR могут легко сканировать на наличие ParallaxRAT с помощью встроенного YARA и других расширенных возможностей обнаружения. Контекстное обнаружение предоставляет важную информацию об идентифицированном вредоносном ПО, позволяя пользователям перейти к разделу данных инструментария в оповещении об обнаружении и нажать на имя обнаруженного элемента, чтобы открыть его профиль.

#ParsedReport
28-02-2023

Blue Screen of Death Scams Target Users Visiting Fake Adult Sites. Indicators of Compromise (IOCs)

https://blog.cyble.com/2023/02/28/blue-screen-of-death-scams-target-users-visiting-fake-adult-sites

Threats:
Timestomp_technique

Industry:
Healthcare

Geo:
Lebanon

TTPs:
Tactics: 4
Technics: 4

IOCs:
Url: 2
Domain: 1
File: 3
Hash: 1

Functions:
Play, PlayLooping

Win API:
GetObject

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Техническое мошенничество - это вид интернет-мошенничества, при котором хакеры пытаются обмануть пользователей, заставив их поверить, что их компьютер или устройство работает неправильно, а затем взимают с них плату за ненужную техническую поддержку. Как правило, технические мошенники используют вредоносные исполняемые файлы, которые они прикрепляют к электронным письмам или сообщениям. Эти файлы выглядят как законные документы, но вместо них содержат вредоносное программное обеспечение. Обычно они отображают поддельные всплывающие сообщения, которые убеждают пользователя заплатить за технические услуги.

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила поддельный сайт для взрослых, который автоматически загружал вредоносные исполняемые файлы при каждом посещении сайта. Исполняемый файл был замаскирован под видеофайл с иконкой медиаплеера VLC. При открытии он скрывал курсор мыши с экрана и отображал поддельный синий экран смерти (BSOD) - обычное сообщение об ошибке в Windows. Это использовалось мошенниками для того, чтобы обмануть пользователей и заставить их думать, что их компьютеры заражены, а затем предложить устранить проблему за определенную плату.

CRIL также выявил фишинговый веб-сайт, расположенный по адресу hxxps: //mydoc.]hsc-lb.]net/, который распространял исполняемый файл технического спама. После дальнейшего расследования выяснилось, что домен hsc-lb.]net выдавал себя за медицинское учреждение Hopital Du Sacre Coeur в Ливане. Каждый раз, когда пользователь посещал сайт, в фоновом режиме начиналась загрузка вредоносного исполняемого файла. Этот файл представлял собой 32-разрядный двоичный файл .NET, предназначенный для пользователей Windows, и имел измененную метку времени, чтобы затруднить процессы реагирования на инциденты. Он также включал логотип или иконку, напоминающую официальный логотип VLC, что делало его похожим на медиафайл и обманывало пользователей, заставляя их выполнить его.

В общем, технические мошенники пытаются обмануть пользователей и заставить их поверить в то, что их компьютеры не функционируют должным образом, чтобы они могли взимать плату за ненужные технические услуги. Для совершения своих афер технические мошенники часто рассылают вредоносные исполняемые файлы, которые при открытии отображают поддельные всплывающие окна или сообщения об ошибках. CRIL обнаружил фишинговый сайт и поддельный сайт для взрослых, которые автоматически загружают вредоносные исполняемые файлы, чтобы обмануть пользователей. Файлы были замаскированы под медиафайлы, а их временные метки были изменены, чтобы затруднить реагирование на инцидент.

#ParsedReport
27-02-2023

Lazarus attack group attack case using public certificate software vulnerability widely used in public institutions and universities

https://asec.ahnlab.com/ko/48416

Actors/Campaigns:
Lazarus

Threats:
Kisa
Byovd_technique
Lazardoor
Timestomp_technique

Industry:
Financial, Education

Geo:
Korea

TTPs:
Tactics: 14
Technics: 7

IOCs:
File: 17
Path: 25
IP: 26
Url: 3
Domain: 6
Hash: 7

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Атакующая группа Lazarus была идентифицирована как исполнитель ряда атак с использованием вредоносного ПО на корейские компании, начиная с марта 2021 года, в том числе в области внутренней обороны, спутниковой связи, программного обеспечения и СМИ. В мае 2022 года одна из жертв уже подверглась проникновению той же группы, хотя нарушение было смягчено после обновления уязвимого программного обеспечения до последней версии и его эксплуатации. Однако на этот раз злоумышленники смогли использовать уязвимость 0-Day в том же программном обеспечении, что позволило им получить доступ к системе жертвы.

ASEC (AhnLab Security Emergency Response Center) отследил и проанализировал вредоносный код и сообщил о программном обеспечении в KISA, но уязвимость пока не выявлена. Поскольку патч не был выпущен, производитель и программное обеспечение не были раскрыты. Предполагается, что группа Lazarus продолжает исследовать уязвимости различных программ для проникновения в отечественные учреждения и компании, отключения продуктов безопасности и использования антикриминалистических технологий.

Анализ попытки латеральной атаки на систему показал, что угроза группы атаки Lazarus оставалась в интернет-сети жертвы после первоначального вторжения в мае. Злоумышленники использовали уязвимость 0-Day в программном обеспечении публичных сертификатов и отключили продукт безопасности с помощью методов BYOVD. Кроме того, были предприняты антикриминалистические действия, такие как изменение и удаление имен файлов или манипуляции с информацией о времени.

Чтобы предотвратить повторное возникновение угрозы, важно принять последующие меры, такие как постоянный мониторинг. Неиспользуемое программное обеспечение должно быть исправлено до последней версии и при необходимости удалено из системы. Любая подозрительная деятельность должна быть немедленно расследована и доведена до сведения соответствующих органов.

В целом, группа атак Lazarus ответственна за многочисленные атаки вредоносного ПО с 2021 года, причем одна из их жертв была повторно скомпрометирована в этом году из-за уязвимости 0-Day в программном обеспечении публичных сертификатов. ASEC отследила и проанализировала вредоносный код, в то время как уязвимость остается нераспознанной. Злоумышленники активно ищут уязвимости в различных программах и используют антикриминалистические методы для сокрытия своих действий. Для защиты от подобных угроз необходим постоянный мониторинг и обновление программного обеспечения, а о любой подозрительной активности необходимо сообщать в соответствующие органы.