#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр разведки угроз QiAnXin недавно обнаружил ботнет, написанный на языке GO, который относится к семейству Kaiji и ранее был разоблачен MalwareMustDie и Intezer. Дальнейший анализ показал, что этот вариант связан с хакерской группой ChinaAres, которая управляет рядом ботнетов из других семейств, таких как Mirai, Moobot и Lucifer, и известна тем, что предоставляет услуги аренды DDoS-атак и XMRig для майнинга.

Kaiji_Pro содержит файл конфигурации с пятью параметрами: Pid, Begin, End, Backdoor и Remarks. Он пытается создать постоянный скрипт по адресу "/etc/32677" и заменяет набор системных команд по адресу "/usr/bin/". Связь между Kaiji_Pro и C2 шифруется с помощью TLS.

Масштабный ботнет банды Moobot_jack5tr представляет собой модифицированную версию Moobot_Xor, отличающуюся в основном способностью открывать случайные httpd-порты и загружать информацию о порте в C2. Этот порт может использоваться для дальнейшего распространения образцов, а онлайн-пакет по-прежнему имеет вид "33 66 99".

ChinaAres - это хакерская группа, которая управляет рядом вредоносных ботнетов и предоставляет такие услуги, как аренда DDoS-атак и майнинг XMRig. Ботнет Kaiji был обнаружен Центром разведки угроз QiAnXin и был приписан ChinaAres, поскольку в образце были обнаружены китайский пиньинь и иероглифы, а также отслеживание источника китайского разработчика, подозреваемого в принадлежности к группировке. Сообщается, что группировка участвует в российско-украинской кибервойне, осуществляя DDoS-атаки на украинские цели.

#ParsedReport
28-02-2023

R3NIN Sniffer Toolkit An Evolving Threat to E-commerce Consumers

https://blog.cyble.com/2023/02/28/r3nin-sniffer-toolkit-an-evolving-threat-to-e-commerce-consumers

Threats:
R3nin_sniffer

Industry:
E-commerce, Financial

Geo:
Russian

Softs:
postgresql, django, wordpress, joomla

Functions:
OpenCart

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Снифферы кредитных карт - это вредоносные программы, предназначенные для кражи информации о платежных картах и персонально идентифицируемой информации (PII), вводимой жертвой на взломанном сайте электронной коммерции/торговли. R3NIN - один из примеров вредоносного скрипта, внедренного в веб-сервер, который срабатывает, как только жертва посещает взломанную страницу, и перехватывает вводимые переменные перед отправкой их на панель сниффера злоумышленника. Затем эти данные обрабатываются в коммерческом формате и продаются на подпольных форумах для незаконных целей, таких как кардинг.

R3NIN Sniffer - это готовая к использованию панель, созданная агентом угроз r3nin, которая включает такие функции, как генерация кода JavaScript для инъекций, кросс-браузерная эксфильтрация данных скомпрометированных платежных карт, управление данными, разбор, статистический анализ и обфускация. Недавно была выпущена версия 1.2 с дополнительными функциями, такими как поддержка встроенных фреймов и модуль кейлоггера для регистрации ввода данных из нескольких полей ввода.

Когда жертва посещает взломанный сайт продавца, сгенерированный панелью сниффера условный сценарий срабатывает и вызывает вредоносный сценарий с удаленного сервера. Этот скрипт перехватывает все необходимые данные жертвы и отправляет их обратно на панель сниффера. Поскольку эти вредоносные скрипты не взаимодействуют напрямую с устройством жертвы, им очень сложно выявить какой-либо компромисс.

Продавцы электронной коммерции должны регулярно проверять свои платежные страницы и серверы, чтобы убедиться, что они защищены от подобных компромиссов. Банковским организациям также необходимо отслеживать любые BIN платежных карт, выставленные на продажу на нелегальных форумах и досках объявлений. С ростом числа несанкционированных доступов к магазинам, размещенным на российских и англоязычных киберпреступных форумах, субъекты угроз прибегают к R3NINs Sniffer Panel и другим подобным сервисам для автоматизации и ускорения своих попыток кражи данных кредитных карт и PII с целью их монетизации.

#ParsedReport
28-02-2023

RDP GlobeImposter (with MedusaLocker)

https://asec.ahnlab.com/ko/48621

Threats:
Globeimposter
Medusalocker
Netpass_tool
Mimikatz_tool
Xmrig_miner
Filecoder
Trojan/win32.rl_coinminer.c4078402
Trojan/win32.rl_mimikatz.r366782
Ransom/mdp.event.m4428

Industry:
Healthcare

IOCs:
File: 13
Domain: 1
Coin: 1
Hash: 13
Url: 1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последние годы количество атак на программы-вымогатели растет, и злоумышленники используют RDP в качестве вектора атаки. RDP расшифровывается как Remote Desktop Protocol и представляет собой протокол, позволяющий пользователям подключаться с одного компьютера к другому через сетевое соединение. Злоумышленники используют RDP для сканирования систем с внешним доступом и получения информации об учетной записи. С помощью этой информации они могут удаленно войти в систему и выполнить вредоносные действия.

Недавняя атака с использованием GlobeImposter ransomware также использовала RDP в качестве вектора атаки. Вредоносный код был создан процессом explorer, explorer.exe. Было установлено, что те же адреса электронной почты и onion-адреса, которые использовались в записке о выкупе GlobeImposter, включены в список, используемый группой атаки MedusaLocker. Это указывает на то, что в некоторых случаях GlobeImposter и MedusaLocker использовались вместе.

Было установлено, что злоумышленники MedusaLocker в первую очередь атакуют системы с неправильным управлением RDP. Они устанавливают на зараженную систему различные вредоносные коды, такие как сканеры и инструменты для кражи учетной информации. Затем они сканируют сеть, включая зараженную систему, чтобы выяснить, является ли она частью определенной сети. Если это так, они могут осуществить латеральное перемещение для шифрования других систем в сети. Помимо программ-вымогателей, злоумышленники иногда устанавливают на зараженную систему майнеры монет XMRig.

Для защиты от подобных атак пользователям следует отключить RDP, если они его не используют. Если пользователь использует RDP, то необходимо использовать сложные пароли и периодически менять их для предотвращения атак методом перебора и по словарю. Кроме того, обязательно обновите V3 до последней версии, чтобы блокировать заражение вредоносным кодом.

#ParsedReport
28-02-2023

Blackfly: Espionage Group Targets Materials Technology

https://symantec-enterprise-blogs.security.com/threat-intelligence/blackfly-espionage-materials

Actors/Campaigns:
Axiom (motivation: cyber_espionage)

Threats:
Credential_dumping_technique
Screen_shotting_technique
Process_hollowing_technique
Mimikatz_tool
Plugx_rat
Shadowpad

Industry:
Healthcare, Telco, Entertainment, Foodtech, Financial

Geo:
Asian, Asia, Chinese, China

IOCs:
File: 6
Hash: 18
Path: 3

Links:
https://github.com/D4stiny/ForkPlayground
https://github.com/gentilkiwi/mimikatz

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Blackfly - одна из старейших и наиболее активных китайских группировок, действующих на основе современных постоянных угроз (APT), по крайней мере, с 2010 года. Она атаковала широкий спектр секторов, включая игровой, полупроводниковый, телекоммуникационный, производство материалов, фармацевтику, СМИ и рекламу, гостиничный бизнес, природные ресурсы, финтех и продукты питания. Атаки группы отличаются использованием семейств вредоносных программ PlugX/Fast (Backdoor.Korplug), Winnti/Pasteboy (Backdoor.Winnti) и Shadowpad (Backdoor.Shadowpad).

Недавно Blackfly обвинили в атаке на две дочерние компании азиатского конгломерата в секторе материалов и композитов, что наводит на мысль о том, что группа может пытаться украсть интеллектуальную собственность. По мнению исследователей безопасности, в ходе атаки использовалось несколько сложных инструментов, таких как руткит-драйвер, известный как Backdoor.Winnkit, инструмент для сброса учетных данных, инструмент для создания скриншотов, инструмент для отслеживания процессов, инструмент SQL-клиента и инструмент для настройки прокси. Группа также использовала общедоступные инструменты, такие как Mimikatz и ForkPlayground.

Несмотря на то, что в США против Blackfly было выдвинуто обвинение, она продолжает совершать нападения, не обращая внимания на огласку, которой подверглась группа. Хотя первоначально она сделала себе имя, атакуя игровой сектор, в настоящее время группа, похоже, сосредоточена на атаках на интеллектуальную собственность в различных секторах.

Blackfly - это очень сложная китайская группа передовых постоянных угроз (APT) с длинной историей успешных кибератак. С годами она сместила акцент с игр на кражу интеллектуальной собственности в различных отраслях. В последние месяцы она была связана с атаками на две дочерние компании азиатского конгломерата в секторе материалов и композитов. В ходе атаки использовалось несколько сложных инструментов и общедоступных программ. Несмотря на то, что против Blackfly было выдвинуто обвинение в США, она продолжает активную деятельность и не ослабевает от внимания к ней. Это подчеркивает необходимость для организаций сохранять бдительность и обеспечивать надежные меры безопасности для обнаружения и реагирования на угрозы, исходящие от этой высококвалифицированной APT-группы.

Большое спасибо за ваше мнение!
Опрос закрываю.

Есть пара идей как еще улучшить перевод и само саммари. Будем еще подкручивать.

#ParsedReport
01-03-2023

. Active hoze mining Trojan analysis

https://www.antiy.cn/research/notice&report/research_report/20230228.html

Threats:
Beacon
Xmrig_miner

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 4
Url: 7
IP: 6
Coin: 1
Hash: 6

Softs:
curl

Algorithms:
rc4, base64

Platforms:
intel, arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Antiy CERT обанружили несколько майнеров, нацеленных на платформы Linux. Эти троянцы используют перебор слабых паролей SSH для получения доступа, инструмент shc для преобразования сценариев Shell в двоичные исполняемые файлы и алгоритм шифрования RC4 для повышения сложности обнаружения антивирусным ПО. Троян для майнинга hoze обладает вычислительной мощностью 1,5 MH/s и принес прибыль в размере 35 монет Monero.

Процесс запуска этих троянов включает несколько этапов, как показано на карте ATT&CK компании Antiy, соответствующей данному событию атаки. Начальный сценарий атаки использует технологию обфускации против обнаружения и изменяет атрибуты файлов, таких как файлы запланированных задач. Он также удаляет файлы, которые другие майнинговые троянцы часто резервируют или модифицируют в системе. После расшифровки init0 скрипт проверяет, установлен ли в системе инструмент загрузки, такой как curl, если нет, вводит команду для его установки. Сценарий uninstall.sh используется для удаления программ безопасности, а сценарий secure создает программу запланированных задач для текущего пользователя и системы. Наконец, сценарий проверяет, запущен ли майнер, и если нет, загружает майнер.

В заключение можно сказать, что троян для майнинга - это вредоносная атака, направленная на системы Linux через слабые пароли SSH. Он обладает вычислительной мощностью 1,5 MH/s, принес 35 монет Monero, и его трудно обнаружить из-за использования алгоритма шифрования RC4.

#ParsedReport
01-03-2023

Linking and tracking UAC-0056 tooling through code reuse analysis

https://threatray.com/blog/linking-and-tracking-uac-0056-tooling-through-code-reuse-analysis

Actors/Campaigns:
Unc2589
Ember_bear

Threats:
Elephant_stealer
Elephant_implant
Elephant_loader
Elephant_dropper
Graphsteel
Grimplant
Graphiron

IOCs:
File: 1
Hash: 6

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавние отчеты от Malwarebytes (22 апреля) и Mandiant (22 июля) выявили использование цепочки инструментов Elephant от UAC-0056 (также известного как Nodaria, SaintBear, TA471). Эта цепочка состоит из Elephant Stealer (GraphSteel), Elephant Implant (GrimPlant), Elephant Downloader и Elephant Dropper, написанных на языке программирования Go. Компания Symantec недавно сообщила о новом инструментарии Graphiron из UAC-0056. Graphiron - это двухэтапный инструментарий, состоящий из загрузчика (Downloader.Graphiron) и полезной нагрузки (Infostealer.Graphiron).

Для изучения сходства между последним инструментарием Graphiron и предыдущим инструментарием Elephant был проведен анализ сходства кода с помощью системы поиска кода. Система поиска кода может определять повторное использование кода на уровне функций в наборах образцов, а также осуществлять ретро-поиск функций в миллионах образцов вредоносного ПО. После анализа семейств Elephant и Graphiron было обнаружено, что все они имеют схожую процедуру расшифровки строк. Ретро-поиск этой общей процедуры расшифровки строк дал совпадения только в образцах из этих семейств, что позволяет предположить, что процедура расшифровки строк уникальна для UAC-0056 и полезна для отслеживания и связывания атак.

В целом, недавняя деятельность и инструментарий UAC-0056 были выявлены благодаря отчетам Malwarebytes, Mandiant и Symantec. Эти наборы инструментов, Elephant и Graphiron, имеют общую процедуру расшифровки строк, которая может быть использована для отслеживания и связывания атак UAC-0056. Для дальнейшего изучения сходства между двумя семействами был проведен анализ сходства кода, который подтвердил существование общей процедуры расшифровки строк и ее потенциальную полезность.

#ParsedReport
01-03-2023

Hunting for Honkbox \| Multistage macOS Cryptominer May Still Be Hiding

https://www.sentinelone.com/blog/hunting-for-honkbox-multistage-macos-cryptominer-may-still-be-hiding

Threats:
Honkbox
Xmrig_miner

IOCs:
Hash: 94

Softs:
macos, photoshop

Algorithms:
base64

Functions:
system

Platforms:
arm, apple

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

На прошлой неделе компания Apple выпустила обновление для своей внутренней службы блокировки файлов вредоносных программ XProtect, основанной на технологии YARA. Обновление добавило три сигнатуры для угрозы под названием Honkbox - криптоминера, характеризующегося использованием XMRig и Invisible Internet Project (I2P). Honkbox распространяется на PirateBay во взломанных приложениях уже не менее трех лет и является первой известной вредоносной программой для macOS, использующей I2P. Он обошел встроенные механизмы безопасности компании Apples, и некоторые его варианты остаются неизвестными для репутационных систем VirusTotal.

Honkbox - это активная угроза с множеством компонентов, некоторые из которых ранее не были задокументированы. Он состоит из трех вариантов, Honkbox_A, Honkbox_B и Honkbox_C. Honkbox_A подбрасывается как файл списка свойств в папку LaunchDaemons, а Honkbox_B и C маскируются под легитимные процессы mdworker_shared или mdworker_watchd и mdworker_local соответственно.

Вредоносная программа содержит несколько методов уклонения от обнаружения, включая отслеживание запуска Activity Monitor и уничтожение всех своих процессов и выход из программы в случае обнаружения. Вредоносная программа также содержит жестко закодированные URL, связанные с I2P, которые встречаются только в Honkbox_A, и тысячи 2044-байтовых base64-кодированных _строк в Honkbox_B и C. Понимание поведения Honkbox при исполнении относительно просто для аналитика, поскольку оно в основном изложено в виде обычных текстовых строк в самих двоичных файлах.

SentinelOne Singularity обнаруживает и защищает от всех известных вариантов Honkbox. Группам безопасности рекомендуется ознакомиться с приведенными ниже индикаторами, чтобы защитить свои системы от этой угрозы. Для получения дополнительной информации о том, как SentinelOne может помочь защитить ваш парк macOS, свяжитесь с нами или запросите демонстрацию.

Honkbox - это новая часть вредоносного ПО для macOS, которое было успешным и относительно незаметным в течение нескольких лет. Он использует множество методов уклонения от обнаружения, таких как маскировка под легитимные процессы, мониторинг активности и использование I2P. Авторы не обращали внимания на обфускацию или препятствование статическому анализу исследователей, но это может измениться в свете недавнего интереса. Команды безопасности должны изучить индикаторы, чтобы убедиться, что их системы защищены от Honkbox, и рассмотреть возможность использования решения Singularity от SentinelOne для комплексной защиты.

#ParsedReport
01-03-2023

Multi-Year Spearphishing Campaign Targets the Maritime Industry Likely for Financial Gain

https://blog.eclecticiq.com/multi-year-spearphishing-campaign-targets-the-maritime-industry-likely-for-financial-gain

Actors/Campaigns:
Bec (motivation: financially_motivated)

Threats:
Agent_tesla
Formbook
Velvetsweatshop_technique
Lokibot_stealer
Process_injection_technique

Industry:
Transport, Maritime, Financial

Geo:
Norway

CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-0199 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:

IOCs:
IP: 1
Email: 1
Domain: 4
Url: 17
File: 2

Softs:
microsoft office word

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа разведки и исследований EclecticIQ недавно обнаружила единый кластер угроз, нацеленный на морскую отрасль в рамках многолетней кампании. Начиная с октября 2020 года, группа использует спирфишинговые электронные письма для распространения вредоносных программ Agent Tesla и Formbook. В сообщениях часто используются реальные названия морских судов в теме письма и в тексте, а также специфическая для судоходства терминология, например VSL (переменное ограничение скорости). Все это делается для того, чтобы придать письмам более достоверный вид и обманом заставить ничего не подозревающих жертв нажать на вредоносные вложения.

29 июля 2022 года кампания перешла от распространения Agent Tesla с помощью вложений CAB-файлов к распространению Formbook. Письма были отправлены с одного и того же адреса IPv4 (173[.44.40.60) и одного и того же адреса электронной почты для ответа (fredyanni101[@]gmail.com). Для распространения Formbook использовались четыре различных способа доставки, каждый из которых включал в себя вложенный документ Microsoft Office или RAR-файл, причем последний содержал собственно исполняемый файл Formbook. Все документы были зашифрованы паролем VelvetSweatshop.

Аналитики считают, что кампания, скорее всего, имеет финансовую подоплеку. Использование товарных RAT показывает, что целью кампании является сбор конфиденциальной информации, такой как учетные данные, токены сессий и списки электронной почты. Эта информация может быть использована для будущих атак Business Email Compromise (BEC) или продана для предоставления начального доступа другим операторам.

В связи с большим количеством коммуникаций, происходящих в морской отрасли, а также частыми обвинениями, которые происходят, вероятно, в долгосрочной перспективе она будет продолжать становиться мишенью для более убедительных копьеносцев. Легкая доступность информации о реальных перевозках в Интернете делает использование этих данных в электронных письмах простым и привлекательным для групп вымогателей. Морские компании должны сосредоточиться на обучении своих пользователей распознавать фишинговые приманки, чтобы снизить вероятность стать жертвой подобных кампаний.

#ParsedReport
01-03-2023

Ransomware Attack on IL&FS

https://blog.cyble.com/2023/03/01/ransomware-attack-on-ilfs

Threats:
Lockbit
Quantum_locker
Conti

Industry:
Government, Financial, Healthcare

Geo:
Indian, France, India

IOCs:
Hash: 4

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

28 февраля 2023 года индийская инвестиционная компания Infrastructure Leasing & Financial Services Limited (IL&FS) была скомпрометирована группой LOCKBIT ransomware. Группа утверждала, что получила доступ к огромному количеству данных, содержащих контракты, личные данные, паспорта, почтовую корреспонденцию и финансовые документы, которые они угрожали удалить с серверов и публично разгласить в рамках своей техники вымогательства. Это четвертая итерация вымогательской программы LOCKBIT, получившая название LOCKBIT Green. Она была создана на основе исходного кода программы Conti ransomware.

С декабря 2022 года группа LOCKBIT значительно активизировала свою деятельность, нацелившись на организации в США, Великобритании и Франции. Их основными целями являются организации в сфере услуг, за которыми следуют здравоохранение, BFSI и правительственные организации. Cyble Research & Intelligence Labs (CRIL) проанализировала 12 образцов утечки данных, полученных в результате атаки на IL&FS, включая конфиденциальные меморандумы о взаимопонимании, изображения паспортов, трехсторонние соглашения, декларации о доходах, аудиторские отчеты, документы об ипотеке и соглашения об оказании услуг по эксплуатации и управлению.

#ParsedReport
28-02-2023

CrowdStrike Uncovers I2Pminer MacOS Mineware Variant

https://www.crowdstrike.com/blog/i2pminer-macos-mineware-analysis

Threats:
I2pminer
Xmrig_miner

TTPs:
Tactics: 5
Technics: 6

IOCs:
Hash: 4
IP: 1
Url: 3

Softs:
macos, curl, unix

Algorithms:
base64

Platforms:
arm, apple

Links:
https://github.com/PurpleI2P/i2pd