#ParsedReport
26-02-2023

ASEC Weekly Phishing Email Threat Trends (February 12th, 2023 February 18th, 2023)

https://asec.ahnlab.com/en/48390

Actors/Campaigns:
Calypso

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korean, Italia

TTPs:

IOCs:
File: 85
Url: 17

Algorithms:
zip

#ParsedReport
27-02-2023

Snip3 Crypter Reveals New TTPs Over Time

https://www.zscaler.com/blogs/security-research/snip3-crypter-reveals-new-ttps-over-time

Threats:
Snip3_crypter
Dcrat_rat
Quasar_rat
Amsi_bypass_technique
Process_hollowing_technique
Process_injection_technique

Industry:
Energy, Financial, Healthcare, Retail, Petroleum

Geo:
French

IOCs:
File: 15
Path: 1
IP: 5
Hash: 8
Domain: 5

Algorithms:
gzip

Functions:
Replace, GetString, WriteAllText, HTTP, Split, DropToStartUp, CodeDom, UrlDecodeToBytes, Invoke, GetRuntimeDirectory, have more...

Win API:
Decompress, CreateProcessA, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Криптер Snip3 - это многоступенчатый загрузчик троянов удаленного доступа (RAT), который с 2021 года предлагается в качестве криптера как услуга. Он использует передовые методы уклонения, обфускации и загрузки отражающего кода для предоставления новых тактик, техник и процедур (ТТП), что позволяет даже менее техничным субъектам угроз использовать его в своих кампаниях атак против организаций. Эта угроза атаковала организации в различных отраслях, таких как здравоохранение, энергетика и коммунальные услуги, а также производство, посредством фишинговых писем с темами, связанными с налоговыми декларациями.

Команда Zscaler ThreatLabz выявила использование криптера Snip3 во вредоносных кампаниях, использующих новые ТТП для развертывания семейств RAT, таких как DcRAT и QuasarRAT. Наиболее подверженным атакам оказался сектор здравоохранения, а также другие отрасли, включая энергетику, производство, материалы, финансы, розничную торговлю и технологии. Цепочка заражения начинается с фишингового письма, содержащего файлы-обманки, за которыми следует полезная нагрузка VBScript, декодирующая сценарий PowerShell Downloader. Затем загружается сценарий PowerShell Stage-2, включающий команду с сервера загрузки, и финальный сценарий RAT Loader Stage-4.

Команда Snip3 продолжает обновлять криптер новыми сложными техниками для уклонения от обнаружения и эффективного развертывания окончательной полезной нагрузки RAT. Они также заметили изменения в TTP, включая периодическую смену DB-серверов, используемых для получения вредоносных строк, а также использование TinyURL для сокращения URL-адресов и загрузки PS-скриптов второго и третьего этапов. В исходных сценариях VBScript и PowerShell был обнаружен обход AMSI в обход AMSIScanBuffer/AmsiScanString.

Организациям следует сохранять бдительность и развертывать передовые меры безопасности для защиты от криптера Snip3 и других возникающих угроз. Команда Zscaler ThreatLabz активно отслеживает эти атаки и предоставляет своевременные обновления, чтобы помочь защитить своих клиентов.

#ParsedReport
27-02-2023

Blind Eagle Deploys Fake UUE Files and Fsociety to Target Colombia's Judiciary, Financial, Public, and Law Enforcement Entities

https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia

Actors/Campaigns:
Blindeagle (motivation: information_theft, cyber_espionage)

Threats:
Fsociety
Junk_code_technique
Asyncrat_rat
Process_hollowing_technique
Njrat
Quasar_rat
Limerat_rat
Remcos_rat

Industry:
Healthcare, Financial, Government

Geo:
Chile, Spanish, Colombian, Brazil, Ecuador, Spain, Colombia, America, American

TTPs:
Tactics: 4
Technics: 9

IOCs:
Email: 2
Domain: 5
File: 15
Url: 9
Path: 3
Command: 2
IP: 3
Hash: 6

Softs:
discord, word pdf

Algorithms:
base64, aes-256

Languages:
visual_basic

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

APT-C-36, также известная как Blind Eagle, является южноамериканской угрозой, действующей с 2019 года. Группа нацелена в основном на правительственные учреждения и организации, расположенные в Колумбии, Эквадоре, Чили и Испании, с помощью фишинговых писем, содержащих вредоносные PDF-вложения. С помощью этих писем группа пытается получить доступ к системам цели, устанавливая вредоносные программы, такие как AsyncRAT, njRAT, QuasarRAT, LimeRAT и RemcosRAT.

Группа обычно рассылает электронные письма, выдавая себя за колумбийское государственное налоговое агентство (DIAN), чтобы еще больше обмануть жертв. Эти письма содержат логотипы и сообщения, связанные с DIAN, и используют скорее всего вымышленное имя и адрес электронной почты в поле Blind Carbon Copy, чтобы обойти спам-фильтры.

После установки вредоносной полезной нагрузки на систему объекта атаки группа может установить постоянство через запланированную задачу с правами администратора или ключ реестра, если у пользователя нет прав администратора. Кроме того, группа использует службы динамической системы доменных имен (DDNS), такие как DuckDNS, для подключения своих внедренных RAT обратно к инфраструктуре злоумышленников.

Тактика и методы, использованные APT-C-36, соответствуют ранее атрибутированным кампаниям, что дает умеренный уровень уверенности в том, что эта кампания была проведена группой. Несмотря на то, что используемые способы действий в основном остаются неизменными, вполне вероятно, что в ближайшие месяцы будут появляться новые цели с использованием новых методов обмана.

#ParsedReport
27-02-2023

. Analysis of phishing activities delivered by AgentTesla using GuLoader

https://www.antiy.cn/research/notice&report/research_report/20230224.html

Threats:
Agent_tesla
Cloudeye
Process_injection_technique

Industry:
Education, Government, Energy

Geo:
Asian, German, Spanish

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 2
Hash: 3
Registry: 1
Url: 2

Algorithms:
base64

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Antiy CERT недавно обнаружил новый виток фишинговой активности, использующей загрузчик GuLoader для доставки троянца AgentTesla, похищающего секреты. Письма, замаскированные под приглашения к участию в торгах по продаже продукции, рассылаются компаниям производственной, энергетической и интернет-индустрии во многих европейских и азиатских странах. GuLoader использует различные методы обфускации, чтобы избежать обнаружения продуктами безопасности, и применяет множество методов обратного анализа, чтобы затруднить анализ исследователей безопасности.

AgentTesla - это коммерческий троянец для похищения секретов, написанный на языке .NET и обладающий множеством возможностей по похищению секретов. Как вредоносный файл, его трудно обнаружить непосредственно с помощью антивирусного программного обеспечения. Письмо содержит два вложения, html-файл представляет собой фишинговую страницу, используемую для кражи пароля почтового ящика пользователя; сжатый пакет содержит VBS-скрипт, используемый для выполнения загрузчика GuLoader. Он запрашивает два участка памяти, считывает сохраненные данные из указанного ключа реестра для декодирования Base64, делит декодированные данные на два участка шеллкода и записывает их в указанный участок памяти для исполнения. Конечной полезной нагрузкой является троянский конь AgentTesla, похищающий секреты.

Для защиты от таких вредоносных файлов компания Antiy выпустила систему Intelligent Endpoint Protection System (IEP), которая способна эффективно обнаруживать и уничтожать загрузчики и трояны, похищающие секреты. Кроме того, пользователям следует быть осторожными при получении писем с вложениями, всегда запускать проверку на вирусы перед их просмотром. Кроме того, личную информацию следует защищать и не размещать в Интернете, чтобы избежать целенаправленных попыток фишинга. Системы обнаружения вторжений (IDS) также могут быть развернуты для мониторинга трафика и обнаружения вредоносных кодов. В случае атаки необходимо изолировать хост и обратиться на круглосуточную горячую линию Antiy.

В целом, Antiy CERT выявил новую фишинговую кампанию, использующую загрузчик GuLoader для доставки троянца AgentTesla, похищающего секреты. Важно, чтобы пользователи знали об этих атаках и принимали необходимые меры предосторожности для защиты своих данных. IEP от Antiy может помочь защитить от вредоносных файлов, а пользователи должны развернуть меры безопасности, такие как IDS, защитить свою информацию и связаться с горячей линией обслуживания Antiy в случае атаки.

[RIG] RIG Exploit Kit: In-Depth Analysis

https://www.prodaft.com/resource/detail/rig-rig-exploit-kit-depth-analysis

#ParsedReport
28-02-2023

ASEC weekly malware statistics (20230220 \~ 20230226)

https://asec.ahnlab.com/ko/48552

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Transport

Geo:
Korea

IOCs:
IP: 7
Domain: 3
Url: 6
Email: 3
File: 14

Softs:
telegram, nsis installer

Algorithms:
zip

Languages:
visual_basic, php

#ParsedReport
28-02-2023

PY#RATION, the TL;DR edition

https://www.securonix.com/blog/pyration-the-tldr-edition

Actors/Campaigns:
Pyration
Steep_maverick

TTPs:

IOCs:
IP: 1

Algorithms:
exhibit, zip

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

PY#RATION - это новая вредоносная кампания, выявленная с августа 2022 года. Вредоносная программа, используемая в кампании, демонстрирует поведение троянца удаленного доступа (RAT), который позволяет контролировать и сохранять контроль над пораженным узлом. Она имеет несколько уникальных особенностей, таких как использование веб-сокетов для командно-контрольной связи (C2) и утечки данных, а также избегание обнаружения антивирусами и средствами сетевой безопасности благодаря использованию кода Python. Первоначальное заражение происходит через фишинговое письмо, содержащее защищенный паролем ZIP-файл. Для уклонения от обнаружения используются многочисленные шаги обфускации.

Он использует методы MITRE ATT&CK, поэтому необходимо иметь контент для обнаружения более общего поведения, а единственный IP-адрес, используемый для C2-трафика, может быть заблокирован на брандмауэрах, EDR, SWG, IPS и т. д. Передовой практики в основном достаточно для снижения связанного с этим риска, но следует также внедрить гарантии CIS Critical Security Controls. Кроме того, следует провести ретроактивный поиск соответствующих МОК, чтобы выявить случаи, когда первоначальная компрометация не была обнаружена.

В заключение следует отметить, что PY#RATION - это сложная и продвинутая вредоносная программа, которая требует тщательного мониторинга и соответствующего реагирования. Организациям следует обратить внимание на внедрение лучших практик и необходимых средств контроля безопасности для защиты от этой угрозы.

#ParsedReport
28-02-2023

Cryptocurrency Entities at Risk: Threat Actor Uses Parallax RAT for Infiltration

https://www.uptycs.com/blog/cryptocurrency-entities-at-risk-threat-actor-uses-parallax-rat-for-infiltration

Threats:
Parallax_rat
Process_hollowing_technique

Geo:
Usa

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 2
File: 2
Hash: 3
IP: 1

Softs:
telegram

Algorithms:
rc4

Languages:
visual_basic

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С декабря 2019 года вредоносная программа Parallax RAT распространяется через вредоносные спам-кампании и фишинговые электронные письма. Этот троянец используется для выполнения вредоносных действий, таких как кража учетных данных, доступ к файлам, кейлоггинг и удаленное управление машиной жертвы. Команда Uptycs Threat Research недавно обнаружила активные образцы Parallax RAT, нацеленные на криптовалютные организации.

Вредоносная программа использует метод подмены процессов для внедрения в легитимный процесс Microsoft pipanel.exe, который затем запускается злоумышленником. Это 32-битный двоичный исполняемый файл, который собирает конфиденциальную информацию с виктимизированных машин. После заражения машины он отправляет злоумышленнику уведомление и позволяет ему взаимодействовать с жертвой через блокнот Windows. Он также сбрасывает файл UN.vbs и запускает его с помощью инструмента wscript.exe, чтобы удалить полезную нагрузку и замести следы.

Угроза, стоящая за этой вредоносной программой, использует коммерческий троянский инструмент удаленного доступа (RAT) для извлечения частных адресов электронной почты с сайта dnsdumpster.com, которые затем используются для распространения вредоносной программы через фишинговые электронные письма. График VirusTotal показывает увеличение числа образцов Parallax RAT, распространяющихся в последние дни, все из которых связываются с регионом США.

Организации должны знать о существовании этого вредоносного ПО и принять необходимые меры предосторожности для защиты своих систем и данных. Пользователи Uptycs EDR могут легко сканировать на наличие ParallaxRAT с помощью встроенного YARA и других расширенных возможностей обнаружения. Контекстное обнаружение предоставляет важную информацию об идентифицированном вредоносном ПО, позволяя пользователям перейти к разделу данных инструментария в оповещении об обнаружении и нажать на имя обнаруженного элемента, чтобы открыть его профиль.

#ParsedReport
28-02-2023

Blue Screen of Death Scams Target Users Visiting Fake Adult Sites. Indicators of Compromise (IOCs)

https://blog.cyble.com/2023/02/28/blue-screen-of-death-scams-target-users-visiting-fake-adult-sites

Threats:
Timestomp_technique

Industry:
Healthcare

Geo:
Lebanon

TTPs:
Tactics: 4
Technics: 4

IOCs:
Url: 2
Domain: 1
File: 3
Hash: 1

Functions:
Play, PlayLooping

Win API:
GetObject

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Техническое мошенничество - это вид интернет-мошенничества, при котором хакеры пытаются обмануть пользователей, заставив их поверить, что их компьютер или устройство работает неправильно, а затем взимают с них плату за ненужную техническую поддержку. Как правило, технические мошенники используют вредоносные исполняемые файлы, которые они прикрепляют к электронным письмам или сообщениям. Эти файлы выглядят как законные документы, но вместо них содержат вредоносное программное обеспечение. Обычно они отображают поддельные всплывающие сообщения, которые убеждают пользователя заплатить за технические услуги.

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила поддельный сайт для взрослых, который автоматически загружал вредоносные исполняемые файлы при каждом посещении сайта. Исполняемый файл был замаскирован под видеофайл с иконкой медиаплеера VLC. При открытии он скрывал курсор мыши с экрана и отображал поддельный синий экран смерти (BSOD) - обычное сообщение об ошибке в Windows. Это использовалось мошенниками для того, чтобы обмануть пользователей и заставить их думать, что их компьютеры заражены, а затем предложить устранить проблему за определенную плату.

CRIL также выявил фишинговый веб-сайт, расположенный по адресу hxxps: //mydoc.]hsc-lb.]net/, который распространял исполняемый файл технического спама. После дальнейшего расследования выяснилось, что домен hsc-lb.]net выдавал себя за медицинское учреждение Hopital Du Sacre Coeur в Ливане. Каждый раз, когда пользователь посещал сайт, в фоновом режиме начиналась загрузка вредоносного исполняемого файла. Этот файл представлял собой 32-разрядный двоичный файл .NET, предназначенный для пользователей Windows, и имел измененную метку времени, чтобы затруднить процессы реагирования на инциденты. Он также включал логотип или иконку, напоминающую официальный логотип VLC, что делало его похожим на медиафайл и обманывало пользователей, заставляя их выполнить его.

В общем, технические мошенники пытаются обмануть пользователей и заставить их поверить в то, что их компьютеры не функционируют должным образом, чтобы они могли взимать плату за ненужные технические услуги. Для совершения своих афер технические мошенники часто рассылают вредоносные исполняемые файлы, которые при открытии отображают поддельные всплывающие окна или сообщения об ошибках. CRIL обнаружил фишинговый сайт и поддельный сайт для взрослых, которые автоматически загружают вредоносные исполняемые файлы, чтобы обмануть пользователей. Файлы были замаскированы под медиафайлы, а их временные метки были изменены, чтобы затруднить реагирование на инцидент.

#ParsedReport
27-02-2023

Lazarus attack group attack case using public certificate software vulnerability widely used in public institutions and universities

https://asec.ahnlab.com/ko/48416

Actors/Campaigns:
Lazarus

Threats:
Kisa
Byovd_technique
Lazardoor
Timestomp_technique

Industry:
Financial, Education

Geo:
Korea

TTPs:
Tactics: 14
Technics: 7

IOCs:
File: 17
Path: 25
IP: 26
Url: 3
Domain: 6
Hash: 7

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Атакующая группа Lazarus была идентифицирована как исполнитель ряда атак с использованием вредоносного ПО на корейские компании, начиная с марта 2021 года, в том числе в области внутренней обороны, спутниковой связи, программного обеспечения и СМИ. В мае 2022 года одна из жертв уже подверглась проникновению той же группы, хотя нарушение было смягчено после обновления уязвимого программного обеспечения до последней версии и его эксплуатации. Однако на этот раз злоумышленники смогли использовать уязвимость 0-Day в том же программном обеспечении, что позволило им получить доступ к системе жертвы.

ASEC (AhnLab Security Emergency Response Center) отследил и проанализировал вредоносный код и сообщил о программном обеспечении в KISA, но уязвимость пока не выявлена. Поскольку патч не был выпущен, производитель и программное обеспечение не были раскрыты. Предполагается, что группа Lazarus продолжает исследовать уязвимости различных программ для проникновения в отечественные учреждения и компании, отключения продуктов безопасности и использования антикриминалистических технологий.

Анализ попытки латеральной атаки на систему показал, что угроза группы атаки Lazarus оставалась в интернет-сети жертвы после первоначального вторжения в мае. Злоумышленники использовали уязвимость 0-Day в программном обеспечении публичных сертификатов и отключили продукт безопасности с помощью методов BYOVD. Кроме того, были предприняты антикриминалистические действия, такие как изменение и удаление имен файлов или манипуляции с информацией о времени.

Чтобы предотвратить повторное возникновение угрозы, важно принять последующие меры, такие как постоянный мониторинг. Неиспользуемое программное обеспечение должно быть исправлено до последней версии и при необходимости удалено из системы. Любая подозрительная деятельность должна быть немедленно расследована и доведена до сведения соответствующих органов.

В целом, группа атак Lazarus ответственна за многочисленные атаки вредоносного ПО с 2021 года, причем одна из их жертв была повторно скомпрометирована в этом году из-за уязвимости 0-Day в программном обеспечении публичных сертификатов. ASEC отследила и проанализировала вредоносный код, в то время как уязвимость остается нераспознанной. Злоумышленники активно ищут уязвимости в различных программах и используют антикриминалистические методы для сокрытия своих действий. Для защиты от подобных угроз необходим постоянный мониторинг и обновление программного обеспечения, а о любой подозрительной активности необходимо сообщать в соответствующие органы.

#ParsedReport
27-02-2023

Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity Part 2

https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-part-2

Threats:
Stealc
Vidar_stealer
Raccoon_stealer
Plymouth_actor
Laplas_clipper
Mars_stealer

Geo:
Russian

TTPs:

IOCs:
Hash: 2
File: 14
Coin: 1
Command: 1

Softs:
(windows defender, chrome, chromium, pidgin, discord, telegram

Algorithms:
base64, rc4

Functions:
GetProcAddess

Win API:
GetProcAddress, LoadLibrary, OpenEventA, CreateEventA, VirtualAlloc, ShellExecuteA

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Stealc - это похититель информации, рекламируемый на подпольных форумах, таких как XSS, Exploit и BHF агентом угроз Plymouth. Эта запись в блоге посвящена техническому анализу отдельного образца. В ходе обратного проектирования аналитики заметили сходство с крадунами Vidar, Raccoon и Mars. Он включает такие функции, как обнаружение окружения, анти-анализ, обфускация строк, динамическое разрешение API и длинный список целевых браузеров, расширений, кошельков и установленного программного обеспечения.

Вредоносная программа использует методы анти-анализа, включая безусловные переходы на близлежащие смещения, чтобы запутать декомпиляторы, которые не могут понять указанные функции. Первоначальная настройка и обнаружение включают деобфускацию строк, используемых для динамического разрешения API, и выполнение проверок на наличие определенных условий. Затем вредоносная программа переходит к функции взаимодействия с C2, где происходит загрузка конфигурации и эксфильтрация данных.

Строки и части конфигурации обфусцированы и зашифрованы с помощью RC4 и base64-шифрования. Вредоносная программа также реализует условия выхода, такие как имя пользователя, имя хоста, язык, срок действия, объем оперативной памяти и конфигурация дисплея. Она может делать скриншоты, снимать отпечатки пальцев с зараженной машины и обмениваться данными по протоколу HTTP с помощью многоформенных POST-запросов. Кроме того, он обладает функцией захвата файлов, которая эксфильтрирует файлы на основе их размера и типа.

Для доступа к определенным данным из C2 загружаются внешние DLL, которые записываются в каталог ProgramData и загружаются с использованием только определенных функций. Наконец, Stealc имеет возможность загружать и выполнять полезную нагрузку следующего этапа, которой в данном случае является Laplas Clipper.

В целом, Stealc демонстрирует продвинутые функции и поведение, которые делают его жизнеспособным инструментом в каталоге инфопохитителей. По оценке аналитиков SEKOIA.IO, он, скорее всего, является подтверждением передачи и циркуляции знаний, включая исходный код, и человеческих ресурсов в русскоязычной экосистеме киберпреступности. Они будут продолжать следить за появляющимися и распространенными инфопохитителями, включая Stealc, чтобы предоставлять клиентам оперативную информацию.

#ParsedReport
28-02-2023

Kaiji Ares. Kaiji Botnet Back, Ares Hacking Gang Revealed?

https://zhuanlan.zhihu.com/p/609750860

Threats:
Kaiji
Mirai
Moobot
Lucifer
Xmrig_miner
Netstat_tool

Industry:
Financial, Government

Geo:
Ukrainian, Ukraine, Chinese, China

CVEs:
CVE-2021-22205 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)

CVE-2017-0144 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft server message block (1.0)

CVE-2021-22204 [Vulners]
CVSS V2: 6.8,
Vulners: Exploitation: True
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- exiftool project exiftool (<12.24)
- debian debian linux (9.0, 10.0)
- fedoraproject fedora (32, 33, 34)

CVE-2014-8361 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- d-link dir-905l firmware (le1.02)
- d-link dir-605l firmware (le1.13, le2.04)
- d-link dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- d-link dir-619l firmware (le1.15, le2.03)
have more...

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 11
IP: 8

Softs:
windows smb, systemd

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр разведки угроз QiAnXin недавно обнаружил ботнет, написанный на языке GO, который относится к семейству Kaiji и ранее был разоблачен MalwareMustDie и Intezer. Дальнейший анализ показал, что этот вариант связан с хакерской группой ChinaAres, которая управляет рядом ботнетов из других семейств, таких как Mirai, Moobot и Lucifer, и известна тем, что предоставляет услуги аренды DDoS-атак и XMRig для майнинга.

Kaiji_Pro содержит файл конфигурации с пятью параметрами: Pid, Begin, End, Backdoor и Remarks. Он пытается создать постоянный скрипт по адресу "/etc/32677" и заменяет набор системных команд по адресу "/usr/bin/". Связь между Kaiji_Pro и C2 шифруется с помощью TLS.

Масштабный ботнет банды Moobot_jack5tr представляет собой модифицированную версию Moobot_Xor, отличающуюся в основном способностью открывать случайные httpd-порты и загружать информацию о порте в C2. Этот порт может использоваться для дальнейшего распространения образцов, а онлайн-пакет по-прежнему имеет вид "33 66 99".

ChinaAres - это хакерская группа, которая управляет рядом вредоносных ботнетов и предоставляет такие услуги, как аренда DDoS-атак и майнинг XMRig. Ботнет Kaiji был обнаружен Центром разведки угроз QiAnXin и был приписан ChinaAres, поскольку в образце были обнаружены китайский пиньинь и иероглифы, а также отслеживание источника китайского разработчика, подозреваемого в принадлежности к группировке. Сообщается, что группировка участвует в российско-украинской кибервойне, осуществляя DDoS-атаки на украинские цели.