CTT Report Hub
#ParsedReport 28-02-2023 Cryptocurrency Entities at Risk: Threat Actor Uses Parallax RAT for Infiltration https://www.uptycs.com/blog/cryptocurrency-entities-at-risk-threat-actor-uses-parallax-rat-for-infiltration Threats: Parallax_rat Process_hollowing_technique…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
С декабря 2019 года вредоносная программа Parallax RAT распространяется через вредоносные спам-кампании и фишинговые электронные письма. Этот троянец используется для выполнения вредоносных действий, таких как кража учетных данных, доступ к файлам, кейлоггинг и удаленное управление машиной жертвы. Команда Uptycs Threat Research недавно обнаружила активные образцы Parallax RAT, нацеленные на криптовалютные организации.
Вредоносная программа использует метод подмены процессов для внедрения в легитимный процесс Microsoft pipanel.exe, который затем запускается злоумышленником. Это 32-битный двоичный исполняемый файл, который собирает конфиденциальную информацию с виктимизированных машин. После заражения машины он отправляет злоумышленнику уведомление и позволяет ему взаимодействовать с жертвой через блокнот Windows. Он также сбрасывает файл UN.vbs и запускает его с помощью инструмента wscript.exe, чтобы удалить полезную нагрузку и замести следы.
Угроза, стоящая за этой вредоносной программой, использует коммерческий троянский инструмент удаленного доступа (RAT) для извлечения частных адресов электронной почты с сайта dnsdumpster.com, которые затем используются для распространения вредоносной программы через фишинговые электронные письма. График VirusTotal показывает увеличение числа образцов Parallax RAT, распространяющихся в последние дни, все из которых связываются с регионом США.
Организации должны знать о существовании этого вредоносного ПО и принять необходимые меры предосторожности для защиты своих систем и данных. Пользователи Uptycs EDR могут легко сканировать на наличие ParallaxRAT с помощью встроенного YARA и других расширенных возможностей обнаружения. Контекстное обнаружение предоставляет важную информацию об идентифицированном вредоносном ПО, позволяя пользователям перейти к разделу данных инструментария в оповещении об обнаружении и нажать на имя обнаруженного элемента, чтобы открыть его профиль.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
С декабря 2019 года вредоносная программа Parallax RAT распространяется через вредоносные спам-кампании и фишинговые электронные письма. Этот троянец используется для выполнения вредоносных действий, таких как кража учетных данных, доступ к файлам, кейлоггинг и удаленное управление машиной жертвы. Команда Uptycs Threat Research недавно обнаружила активные образцы Parallax RAT, нацеленные на криптовалютные организации.
Вредоносная программа использует метод подмены процессов для внедрения в легитимный процесс Microsoft pipanel.exe, который затем запускается злоумышленником. Это 32-битный двоичный исполняемый файл, который собирает конфиденциальную информацию с виктимизированных машин. После заражения машины он отправляет злоумышленнику уведомление и позволяет ему взаимодействовать с жертвой через блокнот Windows. Он также сбрасывает файл UN.vbs и запускает его с помощью инструмента wscript.exe, чтобы удалить полезную нагрузку и замести следы.
Угроза, стоящая за этой вредоносной программой, использует коммерческий троянский инструмент удаленного доступа (RAT) для извлечения частных адресов электронной почты с сайта dnsdumpster.com, которые затем используются для распространения вредоносной программы через фишинговые электронные письма. График VirusTotal показывает увеличение числа образцов Parallax RAT, распространяющихся в последние дни, все из которых связываются с регионом США.
Организации должны знать о существовании этого вредоносного ПО и принять необходимые меры предосторожности для защиты своих систем и данных. Пользователи Uptycs EDR могут легко сканировать на наличие ParallaxRAT с помощью встроенного YARA и других расширенных возможностей обнаружения. Контекстное обнаружение предоставляет важную информацию об идентифицированном вредоносном ПО, позволяя пользователям перейти к разделу данных инструментария в оповещении об обнаружении и нажать на имя обнаруженного элемента, чтобы открыть его профиль.
#ParsedReport
28-02-2023
Blue Screen of Death Scams Target Users Visiting Fake Adult Sites. Indicators of Compromise (IOCs)
https://blog.cyble.com/2023/02/28/blue-screen-of-death-scams-target-users-visiting-fake-adult-sites
Threats:
Timestomp_technique
Industry:
Healthcare
Geo:
Lebanon
TTPs:
Tactics: 4
Technics: 4
IOCs:
Url: 2
Domain: 1
File: 3
Hash: 1
Functions:
Play, PlayLooping
Win API:
GetObject
28-02-2023
Blue Screen of Death Scams Target Users Visiting Fake Adult Sites. Indicators of Compromise (IOCs)
https://blog.cyble.com/2023/02/28/blue-screen-of-death-scams-target-users-visiting-fake-adult-sites
Threats:
Timestomp_technique
Industry:
Healthcare
Geo:
Lebanon
TTPs:
Tactics: 4
Technics: 4
IOCs:
Url: 2
Domain: 1
File: 3
Hash: 1
Functions:
Play, PlayLooping
Win API:
GetObject
Cyble
Blue Screen of Death Scams Target Users Visiting Fake Adult Sites
Cyble Research & Intelligence Labs analyzes a recent Tech scam where users visiting fake Adult Sites are targeted and scammed.
CTT Report Hub
#ParsedReport 28-02-2023 Blue Screen of Death Scams Target Users Visiting Fake Adult Sites. Indicators of Compromise (IOCs) https://blog.cyble.com/2023/02/28/blue-screen-of-death-scams-target-users-visiting-fake-adult-sites Threats: Timestomp_technique…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Техническое мошенничество - это вид интернет-мошенничества, при котором хакеры пытаются обмануть пользователей, заставив их поверить, что их компьютер или устройство работает неправильно, а затем взимают с них плату за ненужную техническую поддержку. Как правило, технические мошенники используют вредоносные исполняемые файлы, которые они прикрепляют к электронным письмам или сообщениям. Эти файлы выглядят как законные документы, но вместо них содержат вредоносное программное обеспечение. Обычно они отображают поддельные всплывающие сообщения, которые убеждают пользователя заплатить за технические услуги.
Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила поддельный сайт для взрослых, который автоматически загружал вредоносные исполняемые файлы при каждом посещении сайта. Исполняемый файл был замаскирован под видеофайл с иконкой медиаплеера VLC. При открытии он скрывал курсор мыши с экрана и отображал поддельный синий экран смерти (BSOD) - обычное сообщение об ошибке в Windows. Это использовалось мошенниками для того, чтобы обмануть пользователей и заставить их думать, что их компьютеры заражены, а затем предложить устранить проблему за определенную плату.
CRIL также выявил фишинговый веб-сайт, расположенный по адресу hxxps: //mydoc.]hsc-lb.]net/, который распространял исполняемый файл технического спама. После дальнейшего расследования выяснилось, что домен hsc-lb.]net выдавал себя за медицинское учреждение Hopital Du Sacre Coeur в Ливане. Каждый раз, когда пользователь посещал сайт, в фоновом режиме начиналась загрузка вредоносного исполняемого файла. Этот файл представлял собой 32-разрядный двоичный файл .NET, предназначенный для пользователей Windows, и имел измененную метку времени, чтобы затруднить процессы реагирования на инциденты. Он также включал логотип или иконку, напоминающую официальный логотип VLC, что делало его похожим на медиафайл и обманывало пользователей, заставляя их выполнить его.
В общем, технические мошенники пытаются обмануть пользователей и заставить их поверить в то, что их компьютеры не функционируют должным образом, чтобы они могли взимать плату за ненужные технические услуги. Для совершения своих афер технические мошенники часто рассылают вредоносные исполняемые файлы, которые при открытии отображают поддельные всплывающие окна или сообщения об ошибках. CRIL обнаружил фишинговый сайт и поддельный сайт для взрослых, которые автоматически загружают вредоносные исполняемые файлы, чтобы обмануть пользователей. Файлы были замаскированы под медиафайлы, а их временные метки были изменены, чтобы затруднить реагирование на инцидент.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Техническое мошенничество - это вид интернет-мошенничества, при котором хакеры пытаются обмануть пользователей, заставив их поверить, что их компьютер или устройство работает неправильно, а затем взимают с них плату за ненужную техническую поддержку. Как правило, технические мошенники используют вредоносные исполняемые файлы, которые они прикрепляют к электронным письмам или сообщениям. Эти файлы выглядят как законные документы, но вместо них содержат вредоносное программное обеспечение. Обычно они отображают поддельные всплывающие сообщения, которые убеждают пользователя заплатить за технические услуги.
Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила поддельный сайт для взрослых, который автоматически загружал вредоносные исполняемые файлы при каждом посещении сайта. Исполняемый файл был замаскирован под видеофайл с иконкой медиаплеера VLC. При открытии он скрывал курсор мыши с экрана и отображал поддельный синий экран смерти (BSOD) - обычное сообщение об ошибке в Windows. Это использовалось мошенниками для того, чтобы обмануть пользователей и заставить их думать, что их компьютеры заражены, а затем предложить устранить проблему за определенную плату.
CRIL также выявил фишинговый веб-сайт, расположенный по адресу hxxps: //mydoc.]hsc-lb.]net/, который распространял исполняемый файл технического спама. После дальнейшего расследования выяснилось, что домен hsc-lb.]net выдавал себя за медицинское учреждение Hopital Du Sacre Coeur в Ливане. Каждый раз, когда пользователь посещал сайт, в фоновом режиме начиналась загрузка вредоносного исполняемого файла. Этот файл представлял собой 32-разрядный двоичный файл .NET, предназначенный для пользователей Windows, и имел измененную метку времени, чтобы затруднить процессы реагирования на инциденты. Он также включал логотип или иконку, напоминающую официальный логотип VLC, что делало его похожим на медиафайл и обманывало пользователей, заставляя их выполнить его.
В общем, технические мошенники пытаются обмануть пользователей и заставить их поверить в то, что их компьютеры не функционируют должным образом, чтобы они могли взимать плату за ненужные технические услуги. Для совершения своих афер технические мошенники часто рассылают вредоносные исполняемые файлы, которые при открытии отображают поддельные всплывающие окна или сообщения об ошибках. CRIL обнаружил фишинговый сайт и поддельный сайт для взрослых, которые автоматически загружают вредоносные исполняемые файлы, чтобы обмануть пользователей. Файлы были замаскированы под медиафайлы, а их временные метки были изменены, чтобы затруднить реагирование на инцидент.
#ParsedReport
27-02-2023
Lazarus attack group attack case using public certificate software vulnerability widely used in public institutions and universities
https://asec.ahnlab.com/ko/48416
Actors/Campaigns:
Lazarus
Threats:
Kisa
Byovd_technique
Lazardoor
Timestomp_technique
Industry:
Financial, Education
Geo:
Korea
TTPs:
Tactics: 14
Technics: 7
IOCs:
File: 17
Path: 25
IP: 26
Url: 3
Domain: 6
Hash: 7
27-02-2023
Lazarus attack group attack case using public certificate software vulnerability widely used in public institutions and universities
https://asec.ahnlab.com/ko/48416
Actors/Campaigns:
Lazarus
Threats:
Kisa
Byovd_technique
Lazardoor
Timestomp_technique
Industry:
Financial, Education
Geo:
Korea
TTPs:
Tactics: 14
Technics: 7
IOCs:
File: 17
Path: 25
IP: 26
Url: 3
Domain: 6
Hash: 7
CTT Report Hub
#ParsedReport 27-02-2023 Lazarus attack group attack case using public certificate software vulnerability widely used in public institutions and universities https://asec.ahnlab.com/ko/48416 Actors/Campaigns: Lazarus Threats: Kisa Byovd_technique Lazardoor…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Атакующая группа Lazarus была идентифицирована как исполнитель ряда атак с использованием вредоносного ПО на корейские компании, начиная с марта 2021 года, в том числе в области внутренней обороны, спутниковой связи, программного обеспечения и СМИ. В мае 2022 года одна из жертв уже подверглась проникновению той же группы, хотя нарушение было смягчено после обновления уязвимого программного обеспечения до последней версии и его эксплуатации. Однако на этот раз злоумышленники смогли использовать уязвимость 0-Day в том же программном обеспечении, что позволило им получить доступ к системе жертвы.
ASEC (AhnLab Security Emergency Response Center) отследил и проанализировал вредоносный код и сообщил о программном обеспечении в KISA, но уязвимость пока не выявлена. Поскольку патч не был выпущен, производитель и программное обеспечение не были раскрыты. Предполагается, что группа Lazarus продолжает исследовать уязвимости различных программ для проникновения в отечественные учреждения и компании, отключения продуктов безопасности и использования антикриминалистических технологий.
Анализ попытки латеральной атаки на систему показал, что угроза группы атаки Lazarus оставалась в интернет-сети жертвы после первоначального вторжения в мае. Злоумышленники использовали уязвимость 0-Day в программном обеспечении публичных сертификатов и отключили продукт безопасности с помощью методов BYOVD. Кроме того, были предприняты антикриминалистические действия, такие как изменение и удаление имен файлов или манипуляции с информацией о времени.
Чтобы предотвратить повторное возникновение угрозы, важно принять последующие меры, такие как постоянный мониторинг. Неиспользуемое программное обеспечение должно быть исправлено до последней версии и при необходимости удалено из системы. Любая подозрительная деятельность должна быть немедленно расследована и доведена до сведения соответствующих органов.
В целом, группа атак Lazarus ответственна за многочисленные атаки вредоносного ПО с 2021 года, причем одна из их жертв была повторно скомпрометирована в этом году из-за уязвимости 0-Day в программном обеспечении публичных сертификатов. ASEC отследила и проанализировала вредоносный код, в то время как уязвимость остается нераспознанной. Злоумышленники активно ищут уязвимости в различных программах и используют антикриминалистические методы для сокрытия своих действий. Для защиты от подобных угроз необходим постоянный мониторинг и обновление программного обеспечения, а о любой подозрительной активности необходимо сообщать в соответствующие органы.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Атакующая группа Lazarus была идентифицирована как исполнитель ряда атак с использованием вредоносного ПО на корейские компании, начиная с марта 2021 года, в том числе в области внутренней обороны, спутниковой связи, программного обеспечения и СМИ. В мае 2022 года одна из жертв уже подверглась проникновению той же группы, хотя нарушение было смягчено после обновления уязвимого программного обеспечения до последней версии и его эксплуатации. Однако на этот раз злоумышленники смогли использовать уязвимость 0-Day в том же программном обеспечении, что позволило им получить доступ к системе жертвы.
ASEC (AhnLab Security Emergency Response Center) отследил и проанализировал вредоносный код и сообщил о программном обеспечении в KISA, но уязвимость пока не выявлена. Поскольку патч не был выпущен, производитель и программное обеспечение не были раскрыты. Предполагается, что группа Lazarus продолжает исследовать уязвимости различных программ для проникновения в отечественные учреждения и компании, отключения продуктов безопасности и использования антикриминалистических технологий.
Анализ попытки латеральной атаки на систему показал, что угроза группы атаки Lazarus оставалась в интернет-сети жертвы после первоначального вторжения в мае. Злоумышленники использовали уязвимость 0-Day в программном обеспечении публичных сертификатов и отключили продукт безопасности с помощью методов BYOVD. Кроме того, были предприняты антикриминалистические действия, такие как изменение и удаление имен файлов или манипуляции с информацией о времени.
Чтобы предотвратить повторное возникновение угрозы, важно принять последующие меры, такие как постоянный мониторинг. Неиспользуемое программное обеспечение должно быть исправлено до последней версии и при необходимости удалено из системы. Любая подозрительная деятельность должна быть немедленно расследована и доведена до сведения соответствующих органов.
В целом, группа атак Lazarus ответственна за многочисленные атаки вредоносного ПО с 2021 года, причем одна из их жертв была повторно скомпрометирована в этом году из-за уязвимости 0-Day в программном обеспечении публичных сертификатов. ASEC отследила и проанализировала вредоносный код, в то время как уязвимость остается нераспознанной. Злоумышленники активно ищут уязвимости в различных программах и используют антикриминалистические методы для сокрытия своих действий. Для защиты от подобных угроз необходим постоянный мониторинг и обновление программного обеспечения, а о любой подозрительной активности необходимо сообщать в соответствующие органы.
#ParsedReport
27-02-2023
Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity Part 2
https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-part-2
Threats:
Stealc
Vidar_stealer
Raccoon_stealer
Plymouth_actor
Laplas_clipper
Mars_stealer
Geo:
Russian
TTPs:
IOCs:
Hash: 2
File: 14
Coin: 1
Command: 1
Softs:
(windows defender, chrome, chromium, pidgin, discord, telegram
Algorithms:
base64, rc4
Functions:
GetProcAddess
Win API:
GetProcAddress, LoadLibrary, OpenEventA, CreateEventA, VirtualAlloc, ShellExecuteA
27-02-2023
Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity Part 2
https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-part-2
Threats:
Stealc
Vidar_stealer
Raccoon_stealer
Plymouth_actor
Laplas_clipper
Mars_stealer
Geo:
Russian
TTPs:
IOCs:
Hash: 2
File: 14
Coin: 1
Command: 1
Softs:
(windows defender, chrome, chromium, pidgin, discord, telegram
Algorithms:
base64, rc4
Functions:
GetProcAddess
Win API:
GetProcAddress, LoadLibrary, OpenEventA, CreateEventA, VirtualAlloc, ShellExecuteA
Sekoia.io Blog
Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity - Part 2
This blogpost is a technical analysis of Stealc malware (infostealer), including anti analysis, strings de-obfuscation and C2.
CTT Report Hub
#ParsedReport 27-02-2023 Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity Part 2 https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-part-2 Threats: Stealc Vidar_stealer Raccoon_stealer…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Stealc - это похититель информации, рекламируемый на подпольных форумах, таких как XSS, Exploit и BHF агентом угроз Plymouth. Эта запись в блоге посвящена техническому анализу отдельного образца. В ходе обратного проектирования аналитики заметили сходство с крадунами Vidar, Raccoon и Mars. Он включает такие функции, как обнаружение окружения, анти-анализ, обфускация строк, динамическое разрешение API и длинный список целевых браузеров, расширений, кошельков и установленного программного обеспечения.
Вредоносная программа использует методы анти-анализа, включая безусловные переходы на близлежащие смещения, чтобы запутать декомпиляторы, которые не могут понять указанные функции. Первоначальная настройка и обнаружение включают деобфускацию строк, используемых для динамического разрешения API, и выполнение проверок на наличие определенных условий. Затем вредоносная программа переходит к функции взаимодействия с C2, где происходит загрузка конфигурации и эксфильтрация данных.
Строки и части конфигурации обфусцированы и зашифрованы с помощью RC4 и base64-шифрования. Вредоносная программа также реализует условия выхода, такие как имя пользователя, имя хоста, язык, срок действия, объем оперативной памяти и конфигурация дисплея. Она может делать скриншоты, снимать отпечатки пальцев с зараженной машины и обмениваться данными по протоколу HTTP с помощью многоформенных POST-запросов. Кроме того, он обладает функцией захвата файлов, которая эксфильтрирует файлы на основе их размера и типа.
Для доступа к определенным данным из C2 загружаются внешние DLL, которые записываются в каталог ProgramData и загружаются с использованием только определенных функций. Наконец, Stealc имеет возможность загружать и выполнять полезную нагрузку следующего этапа, которой в данном случае является Laplas Clipper.
В целом, Stealc демонстрирует продвинутые функции и поведение, которые делают его жизнеспособным инструментом в каталоге инфопохитителей. По оценке аналитиков SEKOIA.IO, он, скорее всего, является подтверждением передачи и циркуляции знаний, включая исходный код, и человеческих ресурсов в русскоязычной экосистеме киберпреступности. Они будут продолжать следить за появляющимися и распространенными инфопохитителями, включая Stealc, чтобы предоставлять клиентам оперативную информацию.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Stealc - это похититель информации, рекламируемый на подпольных форумах, таких как XSS, Exploit и BHF агентом угроз Plymouth. Эта запись в блоге посвящена техническому анализу отдельного образца. В ходе обратного проектирования аналитики заметили сходство с крадунами Vidar, Raccoon и Mars. Он включает такие функции, как обнаружение окружения, анти-анализ, обфускация строк, динамическое разрешение API и длинный список целевых браузеров, расширений, кошельков и установленного программного обеспечения.
Вредоносная программа использует методы анти-анализа, включая безусловные переходы на близлежащие смещения, чтобы запутать декомпиляторы, которые не могут понять указанные функции. Первоначальная настройка и обнаружение включают деобфускацию строк, используемых для динамического разрешения API, и выполнение проверок на наличие определенных условий. Затем вредоносная программа переходит к функции взаимодействия с C2, где происходит загрузка конфигурации и эксфильтрация данных.
Строки и части конфигурации обфусцированы и зашифрованы с помощью RC4 и base64-шифрования. Вредоносная программа также реализует условия выхода, такие как имя пользователя, имя хоста, язык, срок действия, объем оперативной памяти и конфигурация дисплея. Она может делать скриншоты, снимать отпечатки пальцев с зараженной машины и обмениваться данными по протоколу HTTP с помощью многоформенных POST-запросов. Кроме того, он обладает функцией захвата файлов, которая эксфильтрирует файлы на основе их размера и типа.
Для доступа к определенным данным из C2 загружаются внешние DLL, которые записываются в каталог ProgramData и загружаются с использованием только определенных функций. Наконец, Stealc имеет возможность загружать и выполнять полезную нагрузку следующего этапа, которой в данном случае является Laplas Clipper.
В целом, Stealc демонстрирует продвинутые функции и поведение, которые делают его жизнеспособным инструментом в каталоге инфопохитителей. По оценке аналитиков SEKOIA.IO, он, скорее всего, является подтверждением передачи и циркуляции знаний, включая исходный код, и человеческих ресурсов в русскоязычной экосистеме киберпреступности. Они будут продолжать следить за появляющимися и распространенными инфопохитителями, включая Stealc, чтобы предоставлять клиентам оперативную информацию.
#ParsedReport
28-02-2023
Kaiji Ares. Kaiji Botnet Back, Ares Hacking Gang Revealed?
https://zhuanlan.zhihu.com/p/609750860
Threats:
Kaiji
Mirai
Moobot
Lucifer
Xmrig_miner
Netstat_tool
Industry:
Financial, Government
Geo:
Ukrainian, Ukraine, Chinese, China
CVEs:
CVE-2021-22205 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)
CVE-2017-0144 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft server message block (1.0)
CVE-2021-22204 [Vulners]
CVSS V2: 6.8,
Vulners: Exploitation: True
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- exiftool project exiftool (<12.24)
- debian debian linux (9.0, 10.0)
- fedoraproject fedora (32, 33, 34)
CVE-2014-8361 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- d-link dir-905l firmware (le1.02)
- d-link dir-605l firmware (le1.13, le2.04)
- d-link dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- d-link dir-619l firmware (le1.15, le2.03)
have more...
TTPs:
Tactics: 1
Technics: 0
IOCs:
Hash: 11
IP: 8
Softs:
windows smb, systemd
Platforms:
x86
28-02-2023
Kaiji Ares. Kaiji Botnet Back, Ares Hacking Gang Revealed?
https://zhuanlan.zhihu.com/p/609750860
Threats:
Kaiji
Mirai
Moobot
Lucifer
Xmrig_miner
Netstat_tool
Industry:
Financial, Government
Geo:
Ukrainian, Ukraine, Chinese, China
CVEs:
CVE-2021-22205 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)
CVE-2017-0144 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft server message block (1.0)
CVE-2021-22204 [Vulners]
CVSS V2: 6.8,
Vulners: Exploitation: True
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- exiftool project exiftool (<12.24)
- debian debian linux (9.0, 10.0)
- fedoraproject fedora (32, 33, 34)
CVE-2014-8361 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- d-link dir-905l firmware (le1.02)
- d-link dir-605l firmware (le1.13, le2.04)
- d-link dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- d-link dir-619l firmware (le1.15, le2.03)
have more...
TTPs:
Tactics: 1
Technics: 0
IOCs:
Hash: 11
IP: 8
Softs:
windows smb, systemd
Platforms:
x86
知乎专栏
Kaiji 僵尸网络重出江湖,Ares 黑客团伙浮出水面?
近期, 奇安信威胁情报中心威胁监控系统监测到一个基于GO语言编写的僵尸网络正在通过多个漏洞进行传播,经过分析确认该样本属于已经被披露的僵尸网络家族 Kaiji,该僵尸网络在 2020 年由 MalwareMustDie 曝光,随…
CTT Report Hub
#ParsedReport 28-02-2023 Kaiji Ares. Kaiji Botnet Back, Ares Hacking Gang Revealed? https://zhuanlan.zhihu.com/p/609750860 Threats: Kaiji Mirai Moobot Lucifer Xmrig_miner Netstat_tool Industry: Financial, Government Geo: Ukrainian, Ukraine, Chinese, China…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр разведки угроз QiAnXin недавно обнаружил ботнет, написанный на языке GO, который относится к семейству Kaiji и ранее был разоблачен MalwareMustDie и Intezer. Дальнейший анализ показал, что этот вариант связан с хакерской группой ChinaAres, которая управляет рядом ботнетов из других семейств, таких как Mirai, Moobot и Lucifer, и известна тем, что предоставляет услуги аренды DDoS-атак и XMRig для майнинга.
Kaiji_Pro содержит файл конфигурации с пятью параметрами: Pid, Begin, End, Backdoor и Remarks. Он пытается создать постоянный скрипт по адресу "/etc/32677" и заменяет набор системных команд по адресу "/usr/bin/". Связь между Kaiji_Pro и C2 шифруется с помощью TLS.
Масштабный ботнет банды Moobot_jack5tr представляет собой модифицированную версию Moobot_Xor, отличающуюся в основном способностью открывать случайные httpd-порты и загружать информацию о порте в C2. Этот порт может использоваться для дальнейшего распространения образцов, а онлайн-пакет по-прежнему имеет вид "33 66 99".
ChinaAres - это хакерская группа, которая управляет рядом вредоносных ботнетов и предоставляет такие услуги, как аренда DDoS-атак и майнинг XMRig. Ботнет Kaiji был обнаружен Центром разведки угроз QiAnXin и был приписан ChinaAres, поскольку в образце были обнаружены китайский пиньинь и иероглифы, а также отслеживание источника китайского разработчика, подозреваемого в принадлежности к группировке. Сообщается, что группировка участвует в российско-украинской кибервойне, осуществляя DDoS-атаки на украинские цели.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр разведки угроз QiAnXin недавно обнаружил ботнет, написанный на языке GO, который относится к семейству Kaiji и ранее был разоблачен MalwareMustDie и Intezer. Дальнейший анализ показал, что этот вариант связан с хакерской группой ChinaAres, которая управляет рядом ботнетов из других семейств, таких как Mirai, Moobot и Lucifer, и известна тем, что предоставляет услуги аренды DDoS-атак и XMRig для майнинга.
Kaiji_Pro содержит файл конфигурации с пятью параметрами: Pid, Begin, End, Backdoor и Remarks. Он пытается создать постоянный скрипт по адресу "/etc/32677" и заменяет набор системных команд по адресу "/usr/bin/". Связь между Kaiji_Pro и C2 шифруется с помощью TLS.
Масштабный ботнет банды Moobot_jack5tr представляет собой модифицированную версию Moobot_Xor, отличающуюся в основном способностью открывать случайные httpd-порты и загружать информацию о порте в C2. Этот порт может использоваться для дальнейшего распространения образцов, а онлайн-пакет по-прежнему имеет вид "33 66 99".
ChinaAres - это хакерская группа, которая управляет рядом вредоносных ботнетов и предоставляет такие услуги, как аренда DDoS-атак и майнинг XMRig. Ботнет Kaiji был обнаружен Центром разведки угроз QiAnXin и был приписан ChinaAres, поскольку в образце были обнаружены китайский пиньинь и иероглифы, а также отслеживание источника китайского разработчика, подозреваемого в принадлежности к группировке. Сообщается, что группировка участвует в российско-украинской кибервойне, осуществляя DDoS-атаки на украинские цели.
#ParsedReport
28-02-2023
R3NIN Sniffer Toolkit An Evolving Threat to E-commerce Consumers
https://blog.cyble.com/2023/02/28/r3nin-sniffer-toolkit-an-evolving-threat-to-e-commerce-consumers
Threats:
R3nin_sniffer
Industry:
E-commerce, Financial
Geo:
Russian
Softs:
postgresql, django, wordpress, joomla
Functions:
OpenCart
Languages:
javascript, php
28-02-2023
R3NIN Sniffer Toolkit An Evolving Threat to E-commerce Consumers
https://blog.cyble.com/2023/02/28/r3nin-sniffer-toolkit-an-evolving-threat-to-e-commerce-consumers
Threats:
R3nin_sniffer
Industry:
E-commerce, Financial
Geo:
Russian
Softs:
postgresql, django, wordpress, joomla
Functions:
OpenCart
Languages:
javascript, php
Cyble
R3NIN Sniffer Toolkit: A Growing Threat To E-commerce
CRIL analyzes R3NIN Sniffer, a versatile malware toolkit aimed at stealing payment and credit card information.
CTT Report Hub
#ParsedReport 28-02-2023 R3NIN Sniffer Toolkit An Evolving Threat to E-commerce Consumers https://blog.cyble.com/2023/02/28/r3nin-sniffer-toolkit-an-evolving-threat-to-e-commerce-consumers Threats: R3nin_sniffer Industry: E-commerce, Financial Geo: Russian…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Снифферы кредитных карт - это вредоносные программы, предназначенные для кражи информации о платежных картах и персонально идентифицируемой информации (PII), вводимой жертвой на взломанном сайте электронной коммерции/торговли. R3NIN - один из примеров вредоносного скрипта, внедренного в веб-сервер, который срабатывает, как только жертва посещает взломанную страницу, и перехватывает вводимые переменные перед отправкой их на панель сниффера злоумышленника. Затем эти данные обрабатываются в коммерческом формате и продаются на подпольных форумах для незаконных целей, таких как кардинг.
R3NIN Sniffer - это готовая к использованию панель, созданная агентом угроз r3nin, которая включает такие функции, как генерация кода JavaScript для инъекций, кросс-браузерная эксфильтрация данных скомпрометированных платежных карт, управление данными, разбор, статистический анализ и обфускация. Недавно была выпущена версия 1.2 с дополнительными функциями, такими как поддержка встроенных фреймов и модуль кейлоггера для регистрации ввода данных из нескольких полей ввода.
Когда жертва посещает взломанный сайт продавца, сгенерированный панелью сниффера условный сценарий срабатывает и вызывает вредоносный сценарий с удаленного сервера. Этот скрипт перехватывает все необходимые данные жертвы и отправляет их обратно на панель сниффера. Поскольку эти вредоносные скрипты не взаимодействуют напрямую с устройством жертвы, им очень сложно выявить какой-либо компромисс.
Продавцы электронной коммерции должны регулярно проверять свои платежные страницы и серверы, чтобы убедиться, что они защищены от подобных компромиссов. Банковским организациям также необходимо отслеживать любые BIN платежных карт, выставленные на продажу на нелегальных форумах и досках объявлений. С ростом числа несанкционированных доступов к магазинам, размещенным на российских и англоязычных киберпреступных форумах, субъекты угроз прибегают к R3NINs Sniffer Panel и другим подобным сервисам для автоматизации и ускорения своих попыток кражи данных кредитных карт и PII с целью их монетизации.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Снифферы кредитных карт - это вредоносные программы, предназначенные для кражи информации о платежных картах и персонально идентифицируемой информации (PII), вводимой жертвой на взломанном сайте электронной коммерции/торговли. R3NIN - один из примеров вредоносного скрипта, внедренного в веб-сервер, который срабатывает, как только жертва посещает взломанную страницу, и перехватывает вводимые переменные перед отправкой их на панель сниффера злоумышленника. Затем эти данные обрабатываются в коммерческом формате и продаются на подпольных форумах для незаконных целей, таких как кардинг.
R3NIN Sniffer - это готовая к использованию панель, созданная агентом угроз r3nin, которая включает такие функции, как генерация кода JavaScript для инъекций, кросс-браузерная эксфильтрация данных скомпрометированных платежных карт, управление данными, разбор, статистический анализ и обфускация. Недавно была выпущена версия 1.2 с дополнительными функциями, такими как поддержка встроенных фреймов и модуль кейлоггера для регистрации ввода данных из нескольких полей ввода.
Когда жертва посещает взломанный сайт продавца, сгенерированный панелью сниффера условный сценарий срабатывает и вызывает вредоносный сценарий с удаленного сервера. Этот скрипт перехватывает все необходимые данные жертвы и отправляет их обратно на панель сниффера. Поскольку эти вредоносные скрипты не взаимодействуют напрямую с устройством жертвы, им очень сложно выявить какой-либо компромисс.
Продавцы электронной коммерции должны регулярно проверять свои платежные страницы и серверы, чтобы убедиться, что они защищены от подобных компромиссов. Банковским организациям также необходимо отслеживать любые BIN платежных карт, выставленные на продажу на нелегальных форумах и досках объявлений. С ростом числа несанкционированных доступов к магазинам, размещенным на российских и англоязычных киберпреступных форумах, субъекты угроз прибегают к R3NINs Sniffer Panel и другим подобным сервисам для автоматизации и ускорения своих попыток кражи данных кредитных карт и PII с целью их монетизации.
#ParsedReport
28-02-2023
RDP GlobeImposter (with MedusaLocker)
https://asec.ahnlab.com/ko/48621
Threats:
Globeimposter
Medusalocker
Netpass_tool
Mimikatz_tool
Xmrig_miner
Filecoder
Trojan/win32.rl_coinminer.c4078402
Trojan/win32.rl_mimikatz.r366782
Ransom/mdp.event.m4428
Industry:
Healthcare
IOCs:
File: 13
Domain: 1
Coin: 1
Hash: 13
Url: 1
28-02-2023
RDP GlobeImposter (with MedusaLocker)
https://asec.ahnlab.com/ko/48621
Threats:
Globeimposter
Medusalocker
Netpass_tool
Mimikatz_tool
Xmrig_miner
Filecoder
Trojan/win32.rl_coinminer.c4078402
Trojan/win32.rl_mimikatz.r366782
Ransom/mdp.event.m4428
Industry:
Healthcare
IOCs:
File: 13
Domain: 1
Coin: 1
Hash: 13
Url: 1
ASEC BLOG
RDP를 통해 유포 중인 GlobeImposter 랜섬웨어 (with MedusaLocker) - ASEC BLOG
ASEC(AhnLab Security Emergency response Center)은 최근 GlobeImposter 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. 해당 공격은 MedusaLocker 공격자들에 의해 이루어지고 있다. 구체적인 경로는 확인할 수 없었지만 감염 로그에서 확인되는 다양한 근거들을 통해 공격이 RDP를 통해 유포되고 있는 것으로 추정하고 있다. 공격자는 GlobeImposter 외에도 포트 스캐너, 미미카츠와 같은 다양한…
CTT Report Hub
#ParsedReport 28-02-2023 RDP GlobeImposter (with MedusaLocker) https://asec.ahnlab.com/ko/48621 Threats: Globeimposter Medusalocker Netpass_tool Mimikatz_tool Xmrig_miner Filecoder Trojan/win32.rl_coinminer.c4078402 Trojan/win32.rl_mimikatz.r366782 Ran…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В последние годы количество атак на программы-вымогатели растет, и злоумышленники используют RDP в качестве вектора атаки. RDP расшифровывается как Remote Desktop Protocol и представляет собой протокол, позволяющий пользователям подключаться с одного компьютера к другому через сетевое соединение. Злоумышленники используют RDP для сканирования систем с внешним доступом и получения информации об учетной записи. С помощью этой информации они могут удаленно войти в систему и выполнить вредоносные действия.
Недавняя атака с использованием GlobeImposter ransomware также использовала RDP в качестве вектора атаки. Вредоносный код был создан процессом explorer, explorer.exe. Было установлено, что те же адреса электронной почты и onion-адреса, которые использовались в записке о выкупе GlobeImposter, включены в список, используемый группой атаки MedusaLocker. Это указывает на то, что в некоторых случаях GlobeImposter и MedusaLocker использовались вместе.
Было установлено, что злоумышленники MedusaLocker в первую очередь атакуют системы с неправильным управлением RDP. Они устанавливают на зараженную систему различные вредоносные коды, такие как сканеры и инструменты для кражи учетной информации. Затем они сканируют сеть, включая зараженную систему, чтобы выяснить, является ли она частью определенной сети. Если это так, они могут осуществить латеральное перемещение для шифрования других систем в сети. Помимо программ-вымогателей, злоумышленники иногда устанавливают на зараженную систему майнеры монет XMRig.
Для защиты от подобных атак пользователям следует отключить RDP, если они его не используют. Если пользователь использует RDP, то необходимо использовать сложные пароли и периодически менять их для предотвращения атак методом перебора и по словарю. Кроме того, обязательно обновите V3 до последней версии, чтобы блокировать заражение вредоносным кодом.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В последние годы количество атак на программы-вымогатели растет, и злоумышленники используют RDP в качестве вектора атаки. RDP расшифровывается как Remote Desktop Protocol и представляет собой протокол, позволяющий пользователям подключаться с одного компьютера к другому через сетевое соединение. Злоумышленники используют RDP для сканирования систем с внешним доступом и получения информации об учетной записи. С помощью этой информации они могут удаленно войти в систему и выполнить вредоносные действия.
Недавняя атака с использованием GlobeImposter ransomware также использовала RDP в качестве вектора атаки. Вредоносный код был создан процессом explorer, explorer.exe. Было установлено, что те же адреса электронной почты и onion-адреса, которые использовались в записке о выкупе GlobeImposter, включены в список, используемый группой атаки MedusaLocker. Это указывает на то, что в некоторых случаях GlobeImposter и MedusaLocker использовались вместе.
Было установлено, что злоумышленники MedusaLocker в первую очередь атакуют системы с неправильным управлением RDP. Они устанавливают на зараженную систему различные вредоносные коды, такие как сканеры и инструменты для кражи учетной информации. Затем они сканируют сеть, включая зараженную систему, чтобы выяснить, является ли она частью определенной сети. Если это так, они могут осуществить латеральное перемещение для шифрования других систем в сети. Помимо программ-вымогателей, злоумышленники иногда устанавливают на зараженную систему майнеры монет XMRig.
Для защиты от подобных атак пользователям следует отключить RDP, если они его не используют. Если пользователь использует RDP, то необходимо использовать сложные пароли и периодически менять их для предотвращения атак методом перебора и по словарю. Кроме того, обязательно обновите V3 до последней версии, чтобы блокировать заражение вредоносным кодом.
#ParsedReport
28-02-2023
Blackfly: Espionage Group Targets Materials Technology
https://symantec-enterprise-blogs.security.com/threat-intelligence/blackfly-espionage-materials
Actors/Campaigns:
Axiom (motivation: cyber_espionage)
Threats:
Credential_dumping_technique
Screen_shotting_technique
Process_hollowing_technique
Mimikatz_tool
Plugx_rat
Shadowpad
Industry:
Healthcare, Telco, Entertainment, Foodtech, Financial
Geo:
Asian, Asia, Chinese, China
IOCs:
File: 6
Hash: 18
Path: 3
Links:
28-02-2023
Blackfly: Espionage Group Targets Materials Technology
https://symantec-enterprise-blogs.security.com/threat-intelligence/blackfly-espionage-materials
Actors/Campaigns:
Axiom (motivation: cyber_espionage)
Threats:
Credential_dumping_technique
Screen_shotting_technique
Process_hollowing_technique
Mimikatz_tool
Plugx_rat
Shadowpad
Industry:
Healthcare, Telco, Entertainment, Foodtech, Financial
Geo:
Asian, Asia, Chinese, China
IOCs:
File: 6
Hash: 18
Path: 3
Links:
https://github.com/D4stiny/ForkPlaygroundhttps://github.com/gentilkiwi/mimikatzSecurity
Blackfly: Espionage Group Targets Materials Technology
Group targets multiple subsidiaries of single Asian conglomerate.
CTT Report Hub
#ParsedReport 28-02-2023 Blackfly: Espionage Group Targets Materials Technology https://symantec-enterprise-blogs.security.com/threat-intelligence/blackfly-espionage-materials Actors/Campaigns: Axiom (motivation: cyber_espionage) Threats: Credential_d…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Blackfly - одна из старейших и наиболее активных китайских группировок, действующих на основе современных постоянных угроз (APT), по крайней мере, с 2010 года. Она атаковала широкий спектр секторов, включая игровой, полупроводниковый, телекоммуникационный, производство материалов, фармацевтику, СМИ и рекламу, гостиничный бизнес, природные ресурсы, финтех и продукты питания. Атаки группы отличаются использованием семейств вредоносных программ PlugX/Fast (Backdoor.Korplug), Winnti/Pasteboy (Backdoor.Winnti) и Shadowpad (Backdoor.Shadowpad).
Недавно Blackfly обвинили в атаке на две дочерние компании азиатского конгломерата в секторе материалов и композитов, что наводит на мысль о том, что группа может пытаться украсть интеллектуальную собственность. По мнению исследователей безопасности, в ходе атаки использовалось несколько сложных инструментов, таких как руткит-драйвер, известный как Backdoor.Winnkit, инструмент для сброса учетных данных, инструмент для создания скриншотов, инструмент для отслеживания процессов, инструмент SQL-клиента и инструмент для настройки прокси. Группа также использовала общедоступные инструменты, такие как Mimikatz и ForkPlayground.
Несмотря на то, что в США против Blackfly было выдвинуто обвинение, она продолжает совершать нападения, не обращая внимания на огласку, которой подверглась группа. Хотя первоначально она сделала себе имя, атакуя игровой сектор, в настоящее время группа, похоже, сосредоточена на атаках на интеллектуальную собственность в различных секторах.
Blackfly - это очень сложная китайская группа передовых постоянных угроз (APT) с длинной историей успешных кибератак. С годами она сместила акцент с игр на кражу интеллектуальной собственности в различных отраслях. В последние месяцы она была связана с атаками на две дочерние компании азиатского конгломерата в секторе материалов и композитов. В ходе атаки использовалось несколько сложных инструментов и общедоступных программ. Несмотря на то, что против Blackfly было выдвинуто обвинение в США, она продолжает активную деятельность и не ослабевает от внимания к ней. Это подчеркивает необходимость для организаций сохранять бдительность и обеспечивать надежные меры безопасности для обнаружения и реагирования на угрозы, исходящие от этой высококвалифицированной APT-группы.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Blackfly - одна из старейших и наиболее активных китайских группировок, действующих на основе современных постоянных угроз (APT), по крайней мере, с 2010 года. Она атаковала широкий спектр секторов, включая игровой, полупроводниковый, телекоммуникационный, производство материалов, фармацевтику, СМИ и рекламу, гостиничный бизнес, природные ресурсы, финтех и продукты питания. Атаки группы отличаются использованием семейств вредоносных программ PlugX/Fast (Backdoor.Korplug), Winnti/Pasteboy (Backdoor.Winnti) и Shadowpad (Backdoor.Shadowpad).
Недавно Blackfly обвинили в атаке на две дочерние компании азиатского конгломерата в секторе материалов и композитов, что наводит на мысль о том, что группа может пытаться украсть интеллектуальную собственность. По мнению исследователей безопасности, в ходе атаки использовалось несколько сложных инструментов, таких как руткит-драйвер, известный как Backdoor.Winnkit, инструмент для сброса учетных данных, инструмент для создания скриншотов, инструмент для отслеживания процессов, инструмент SQL-клиента и инструмент для настройки прокси. Группа также использовала общедоступные инструменты, такие как Mimikatz и ForkPlayground.
Несмотря на то, что в США против Blackfly было выдвинуто обвинение, она продолжает совершать нападения, не обращая внимания на огласку, которой подверглась группа. Хотя первоначально она сделала себе имя, атакуя игровой сектор, в настоящее время группа, похоже, сосредоточена на атаках на интеллектуальную собственность в различных секторах.
Blackfly - это очень сложная китайская группа передовых постоянных угроз (APT) с длинной историей успешных кибератак. С годами она сместила акцент с игр на кражу интеллектуальной собственности в различных отраслях. В последние месяцы она была связана с атаками на две дочерние компании азиатского конгломерата в секторе материалов и композитов. В ходе атаки использовалось несколько сложных инструментов и общедоступных программ. Несмотря на то, что против Blackfly было выдвинуто обвинение в США, она продолжает активную деятельность и не ослабевает от внимания к ней. Это подчеркивает необходимость для организаций сохранять бдительность и обеспечивать надежные меры безопасности для обнаружения и реагирования на угрозы, исходящие от этой высококвалифицированной APT-группы.
Всем привет.
Давайте подумаем, что делать с саммари от ChatGPT:
Давайте подумаем, что делать с саммари от ChatGPT:
Final Results
43%
Оставялем саммари и перевод на RU
14%
Оставляем саммари, но делаем на ENG
29%
Убираем саммари вообще
14%
Хочу узнать результат
CTT Report Hub pinned «Всем привет.
Давайте подумаем, что делать с саммари от ChatGPT:»
Давайте подумаем, что делать с саммари от ChatGPT:»
Большое спасибо за ваше мнение!
Опрос закрываю.
Есть пара идей как еще улучшить перевод и само саммари. Будем еще подкручивать.
Опрос закрываю.
Есть пара идей как еще улучшить перевод и само саммари. Будем еще подкручивать.
👍2
#ParsedReport
01-03-2023
. Active hoze mining Trojan analysis
https://www.antiy.cn/research/notice&report/research_report/20230228.html
Threats:
Beacon
Xmrig_miner
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 4
Url: 7
IP: 6
Coin: 1
Hash: 6
Softs:
curl
Algorithms:
rc4, base64
Platforms:
intel, arm
01-03-2023
. Active hoze mining Trojan analysis
https://www.antiy.cn/research/notice&report/research_report/20230228.html
Threats:
Beacon
Xmrig_miner
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 4
Url: 7
IP: 6
Coin: 1
Hash: 6
Softs:
curl
Algorithms:
rc4, base64
Platforms:
intel, arm
www.antiy.cn
活跃的hoze挖矿木马分析
近期,安天CERT通过捕风蜜罐系统捕获了一批活跃的hoze挖矿木马样本,该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击。由于其初始攻击脚本名称与加密攻击脚本集合包的解密密钥均为“hoze”,具备一定的行为特征,因此安天CERT将该挖矿木马命名为hoze挖矿木马。
CTT Report Hub
#ParsedReport 01-03-2023 . Active hoze mining Trojan analysis https://www.antiy.cn/research/notice&report/research_report/20230228.html Threats: Beacon Xmrig_miner TTPs: Tactics: 5 Technics: 0 IOCs: File: 4 Url: 7 IP: 6 Coin: 1 Hash: 6 Softs: curl Algorithms:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Antiy CERT обанружили несколько майнеров, нацеленных на платформы Linux. Эти троянцы используют перебор слабых паролей SSH для получения доступа, инструмент shc для преобразования сценариев Shell в двоичные исполняемые файлы и алгоритм шифрования RC4 для повышения сложности обнаружения антивирусным ПО. Троян для майнинга hoze обладает вычислительной мощностью 1,5 MH/s и принес прибыль в размере 35 монет Monero.
Процесс запуска этих троянов включает несколько этапов, как показано на карте ATT&CK компании Antiy, соответствующей данному событию атаки. Начальный сценарий атаки использует технологию обфускации против обнаружения и изменяет атрибуты файлов, таких как файлы запланированных задач. Он также удаляет файлы, которые другие майнинговые троянцы часто резервируют или модифицируют в системе. После расшифровки init0 скрипт проверяет, установлен ли в системе инструмент загрузки, такой как curl, если нет, вводит команду для его установки. Сценарий uninstall.sh используется для удаления программ безопасности, а сценарий secure создает программу запланированных задач для текущего пользователя и системы. Наконец, сценарий проверяет, запущен ли майнер, и если нет, загружает майнер.
В заключение можно сказать, что троян для майнинга - это вредоносная атака, направленная на системы Linux через слабые пароли SSH. Он обладает вычислительной мощностью 1,5 MH/s, принес 35 монет Monero, и его трудно обнаружить из-за использования алгоритма шифрования RC4.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Antiy CERT обанружили несколько майнеров, нацеленных на платформы Linux. Эти троянцы используют перебор слабых паролей SSH для получения доступа, инструмент shc для преобразования сценариев Shell в двоичные исполняемые файлы и алгоритм шифрования RC4 для повышения сложности обнаружения антивирусным ПО. Троян для майнинга hoze обладает вычислительной мощностью 1,5 MH/s и принес прибыль в размере 35 монет Monero.
Процесс запуска этих троянов включает несколько этапов, как показано на карте ATT&CK компании Antiy, соответствующей данному событию атаки. Начальный сценарий атаки использует технологию обфускации против обнаружения и изменяет атрибуты файлов, таких как файлы запланированных задач. Он также удаляет файлы, которые другие майнинговые троянцы часто резервируют или модифицируют в системе. После расшифровки init0 скрипт проверяет, установлен ли в системе инструмент загрузки, такой как curl, если нет, вводит команду для его установки. Сценарий uninstall.sh используется для удаления программ безопасности, а сценарий secure создает программу запланированных задач для текущего пользователя и системы. Наконец, сценарий проверяет, запущен ли майнер, и если нет, загружает майнер.
В заключение можно сказать, что троян для майнинга - это вредоносная атака, направленная на системы Linux через слабые пароли SSH. Он обладает вычислительной мощностью 1,5 MH/s, принес 35 монет Monero, и его трудно обнаружить из-за использования алгоритма шифрования RC4.
#ParsedReport
01-03-2023
Linking and tracking UAC-0056 tooling through code reuse analysis
https://threatray.com/blog/linking-and-tracking-uac-0056-tooling-through-code-reuse-analysis
Actors/Campaigns:
Unc2589
Ember_bear
Threats:
Elephant_stealer
Elephant_implant
Elephant_loader
Elephant_dropper
Graphsteel
Grimplant
Graphiron
IOCs:
File: 1
Hash: 6
01-03-2023
Linking and tracking UAC-0056 tooling through code reuse analysis
https://threatray.com/blog/linking-and-tracking-uac-0056-tooling-through-code-reuse-analysis
Actors/Campaigns:
Unc2589
Ember_bear
Threats:
Elephant_stealer
Elephant_implant
Elephant_loader
Elephant_dropper
Graphsteel
Grimplant
Graphiron
IOCs:
File: 1
Hash: 6
Threatray
Linking and tracking UAC-0056 tooling through code reuse analysis | Threatray
Multiple blogs have reported about recent activities and tooling of UAC-0056 (also known as Nodaria, SaintBear, TA471).