#ParsedReport
01-03-2023

Hunting for Honkbox \| Multistage macOS Cryptominer May Still Be Hiding

https://www.sentinelone.com/blog/hunting-for-honkbox-multistage-macos-cryptominer-may-still-be-hiding

Threats:
Honkbox
Xmrig_miner

IOCs:
Hash: 94

Softs:
macos, photoshop

Algorithms:
base64

Functions:
system

Platforms:
arm, apple

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

На прошлой неделе компания Apple выпустила обновление для своей внутренней службы блокировки файлов вредоносных программ XProtect, основанной на технологии YARA. Обновление добавило три сигнатуры для угрозы под названием Honkbox - криптоминера, характеризующегося использованием XMRig и Invisible Internet Project (I2P). Honkbox распространяется на PirateBay во взломанных приложениях уже не менее трех лет и является первой известной вредоносной программой для macOS, использующей I2P. Он обошел встроенные механизмы безопасности компании Apples, и некоторые его варианты остаются неизвестными для репутационных систем VirusTotal.

Honkbox - это активная угроза с множеством компонентов, некоторые из которых ранее не были задокументированы. Он состоит из трех вариантов, Honkbox_A, Honkbox_B и Honkbox_C. Honkbox_A подбрасывается как файл списка свойств в папку LaunchDaemons, а Honkbox_B и C маскируются под легитимные процессы mdworker_shared или mdworker_watchd и mdworker_local соответственно.

Вредоносная программа содержит несколько методов уклонения от обнаружения, включая отслеживание запуска Activity Monitor и уничтожение всех своих процессов и выход из программы в случае обнаружения. Вредоносная программа также содержит жестко закодированные URL, связанные с I2P, которые встречаются только в Honkbox_A, и тысячи 2044-байтовых base64-кодированных _строк в Honkbox_B и C. Понимание поведения Honkbox при исполнении относительно просто для аналитика, поскольку оно в основном изложено в виде обычных текстовых строк в самих двоичных файлах.

SentinelOne Singularity обнаруживает и защищает от всех известных вариантов Honkbox. Группам безопасности рекомендуется ознакомиться с приведенными ниже индикаторами, чтобы защитить свои системы от этой угрозы. Для получения дополнительной информации о том, как SentinelOne может помочь защитить ваш парк macOS, свяжитесь с нами или запросите демонстрацию.

Honkbox - это новая часть вредоносного ПО для macOS, которое было успешным и относительно незаметным в течение нескольких лет. Он использует множество методов уклонения от обнаружения, таких как маскировка под легитимные процессы, мониторинг активности и использование I2P. Авторы не обращали внимания на обфускацию или препятствование статическому анализу исследователей, но это может измениться в свете недавнего интереса. Команды безопасности должны изучить индикаторы, чтобы убедиться, что их системы защищены от Honkbox, и рассмотреть возможность использования решения Singularity от SentinelOne для комплексной защиты.

#ParsedReport
01-03-2023

Multi-Year Spearphishing Campaign Targets the Maritime Industry Likely for Financial Gain

https://blog.eclecticiq.com/multi-year-spearphishing-campaign-targets-the-maritime-industry-likely-for-financial-gain

Actors/Campaigns:
Bec (motivation: financially_motivated)

Threats:
Agent_tesla
Formbook
Velvetsweatshop_technique
Lokibot_stealer
Process_injection_technique

Industry:
Transport, Maritime, Financial

Geo:
Norway

CVEs:
CVE-2017-11882 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-0199 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:

IOCs:
IP: 1
Email: 1
Domain: 4
Url: 17
File: 2

Softs:
microsoft office word

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа разведки и исследований EclecticIQ недавно обнаружила единый кластер угроз, нацеленный на морскую отрасль в рамках многолетней кампании. Начиная с октября 2020 года, группа использует спирфишинговые электронные письма для распространения вредоносных программ Agent Tesla и Formbook. В сообщениях часто используются реальные названия морских судов в теме письма и в тексте, а также специфическая для судоходства терминология, например VSL (переменное ограничение скорости). Все это делается для того, чтобы придать письмам более достоверный вид и обманом заставить ничего не подозревающих жертв нажать на вредоносные вложения.

29 июля 2022 года кампания перешла от распространения Agent Tesla с помощью вложений CAB-файлов к распространению Formbook. Письма были отправлены с одного и того же адреса IPv4 (173[.44.40.60) и одного и того же адреса электронной почты для ответа (fredyanni101[@]gmail.com). Для распространения Formbook использовались четыре различных способа доставки, каждый из которых включал в себя вложенный документ Microsoft Office или RAR-файл, причем последний содержал собственно исполняемый файл Formbook. Все документы были зашифрованы паролем VelvetSweatshop.

Аналитики считают, что кампания, скорее всего, имеет финансовую подоплеку. Использование товарных RAT показывает, что целью кампании является сбор конфиденциальной информации, такой как учетные данные, токены сессий и списки электронной почты. Эта информация может быть использована для будущих атак Business Email Compromise (BEC) или продана для предоставления начального доступа другим операторам.

В связи с большим количеством коммуникаций, происходящих в морской отрасли, а также частыми обвинениями, которые происходят, вероятно, в долгосрочной перспективе она будет продолжать становиться мишенью для более убедительных копьеносцев. Легкая доступность информации о реальных перевозках в Интернете делает использование этих данных в электронных письмах простым и привлекательным для групп вымогателей. Морские компании должны сосредоточиться на обучении своих пользователей распознавать фишинговые приманки, чтобы снизить вероятность стать жертвой подобных кампаний.

#ParsedReport
01-03-2023

Ransomware Attack on IL&FS

https://blog.cyble.com/2023/03/01/ransomware-attack-on-ilfs

Threats:
Lockbit
Quantum_locker
Conti

Industry:
Government, Financial, Healthcare

Geo:
Indian, France, India

IOCs:
Hash: 4

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

28 февраля 2023 года индийская инвестиционная компания Infrastructure Leasing & Financial Services Limited (IL&FS) была скомпрометирована группой LOCKBIT ransomware. Группа утверждала, что получила доступ к огромному количеству данных, содержащих контракты, личные данные, паспорта, почтовую корреспонденцию и финансовые документы, которые они угрожали удалить с серверов и публично разгласить в рамках своей техники вымогательства. Это четвертая итерация вымогательской программы LOCKBIT, получившая название LOCKBIT Green. Она была создана на основе исходного кода программы Conti ransomware.

С декабря 2022 года группа LOCKBIT значительно активизировала свою деятельность, нацелившись на организации в США, Великобритании и Франции. Их основными целями являются организации в сфере услуг, за которыми следуют здравоохранение, BFSI и правительственные организации. Cyble Research & Intelligence Labs (CRIL) проанализировала 12 образцов утечки данных, полученных в результате атаки на IL&FS, включая конфиденциальные меморандумы о взаимопонимании, изображения паспортов, трехсторонние соглашения, декларации о доходах, аудиторские отчеты, документы об ипотеке и соглашения об оказании услуг по эксплуатации и управлению.

#ParsedReport
28-02-2023

CrowdStrike Uncovers I2Pminer MacOS Mineware Variant

https://www.crowdstrike.com/blog/i2pminer-macos-mineware-analysis

Threats:
I2pminer
Xmrig_miner

TTPs:
Tactics: 5
Technics: 6

IOCs:
Hash: 4
IP: 1
Url: 3

Softs:
macos, curl, unix

Algorithms:
base64

Platforms:
arm, apple

Links:
https://github.com/PurpleI2P/i2pd

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания CrowdStrike недавно выявила вредоносную кампанию по добыче криптовалюты, нацеленную на пользователей macOS. Дроппер, который маскировался под легитимные приложения, такие как Logic Pro X, Final Cut Pro, Traktor или различные продукты Adobe Creative Suite, содержал легитимную версию приложения и инструментарий I2P. I2P - это анонимный сетевой уровень, который обеспечивает сквозное шифрование для пользователей. Дроппер также выполнял сценарий, который загружал и настраивал пользовательское программное обеспечение майнера XMRig, позволяя ему туннелировать трафик в сеть I2P и начинать операции по добыче.

#ParsedReport
01-03-2023

Can You See It Now? An Emerging LockBit Campaign

https://www.fortinet.com/blog/threat-research/emerging-lockbit-campaign

Threats:
Lockbit
Uac_bypass_technique
Motw_bypass_technique

Geo:
Mexican, Spanish

TTPs:
Tactics: 4
Technics: 13

IOCs:
File: 4
Hash: 15
Domain: 1
IP: 2
Url: 4

Softs:
sysinternals, bcdedit, winlogon, windows explorer, windows service

Languages:
python, visual_basic

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатории FortiGuard Labs недавно обнаружили новую тревожную кампанию по борьбе с вымогательским ПО LockBit, которое активно с 2019 года. LockBit - это особо опасная форма вымогательского ПО, которая уже успешно атаковала различные отрасли, включая критическую инфраструктуру. Атака начинается с контейнера .img, который используется для обхода механизма защиты Mark of The Web (MOTW). Затем применяется техника социальной инженерии, при которой только один файл виден пользователю при монтировании контейнера, а остальные файлы скрыты от глаз. В некоторых случаях сценарии Python используются для выполнения сценариев BAT, которые затем могут быть использованы для извлечения полезной нагрузки LockBit ransomware из защищенного паролем архива.

Злоумышленники, стоящие за этой кампанией, продемонстрировали творческое и широкое использование подписанных, легитимных исполняемых файлов. Сюда входит монтирование файлов .img с помощью Windows Explorer, выполнение сценария Python с помощью подписанного интерпретатора, извлечение зашифрованных архивов с помощью 7-zip и автоматический вход в систему с помощью Sysinternals Autologon. Полагаясь на эти проверенные инструменты, авторы вредоносного ПО снижают затраты на разработку, избегая при этом обнаружения средствами РЭБ.

Похоже, что группа LockBit или ее филиалы нацелены на испаноязычных жертв, поскольку все замеченные образцы были направлены на мексиканские или испанские фирмы, в основном в консалтинговом и юридическом секторах. Такая уклончивость свидетельствует о том, что киберпреступники продолжают использовать все более туманные методы, чтобы избежать обнаружения. Стоит отметить, что многие полезные нагрузки, использованные в этой кампании, могут быть связаны с утечкой билдера LockBit в конце 2022 года, что затрудняет однозначное отнесение атаки к одной группе.

#ParsedReport
01-03-2023

Iron Tigers SysUpdate Reappears, Adds Linux Targeting

https://www.trendmicro.com/en_us/research/23/c/iron-tiger-sysupdate-adds-linux-targeting.html

Actors/Campaigns:
Emissary_panda (motivation: information_theft, cyber_espionage)
Drbcontrol

Threats:
Sysupdate
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
Rshell
Vmprotect_tool
Redline_stealer
Hyperbro
Trojanspy.win32.predatorthief.a

Industry:
Government, Retail, Financial, Healthcare, Energy, Entertainment

Geo:
Taiwan, German, China, Philippines, Chinese, French, Mongolian, Asia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 25
IP: 1
Hash: 29

Softs:
mac os, chrome

Algorithms:
cbc, base32, des, shikata_ga_nai

Win API:
GetNetworkParams

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа перспективных постоянных угроз (APT) Iron Tiger действует уже более десяти лет, проводя кибершпионские операции. В 2022 году они обновили свое семейство вредоносных программ SysUpdate, добавив новые функции и поддержку систем Linux. Злоумышленники зарегистрировали доменное имя, связанное с их старейшим образцом для Windows, за месяц до запуска командно-контрольной конфигурации (C&C) и подождали еще один месяц до компиляции вредоносного образца. Вредоносная программа была разработана для обхода решений безопасности и имела сложную логику загрузки.

Злоумышленники использовали легитимный подписанный файл Microsoft Resource Compiler, который подвержен уязвимости боковой загрузки DLL. Вредоносный rc.dll загружает в память файл с именем rc.bin, который представляет собой закодированный в Shikata Ga Nai шеллкод, который распаковывает и загружает в память первый этап. В зависимости от количества параметров командной строки выполняются различные действия, такие как заражение системы и отправка информации о зараженной машине, зашифрованной с помощью DES.

Также было замечено, что SysUpdate использует DNS TXT-запросы в качестве C&C-коммуникации. Вредоносная программа получает настроенные DNS-серверы, вызывая API-функцию GetNetworkParams, и анализирует связанный список DnsServerList. Доменное имя, с которым связывается программа, меняется, но кодированная серия всегда одна и та же. Ответ C&C соответствует формату, ожидаемому вредоносной программой, и запускается несколько потоков для обработки дальнейших команд.

ELF-файлы, относящиеся к инфраструктуре C&C, были написаны на C++ и использовали библиотеку Asio. Информация о скомпрометированном компьютере отправляется на C&C, зашифрованная с помощью жестко закодированного ключа и алгоритма DES CBC. Кроме того, вредоносный сертификат использовался для подписи множества файлов, включая демо-версию VMProtect. Этот сертификат был отозван, хотя закрытый ключ, вероятно, был извлечен из демо-версии VMProtect или продан различным группам, включая Iron Tiger.

Компания Iron Tiger также была замечена нацеленной на игорную индустрию на Филиппинах. Доменное имя, схожее с названием компании, было зарегистрировано и использовалось в качестве C&C. В качестве приманки использовалось чат-приложение Youdu, чтобы заставить жертву открыть вредоносный файл, что соответствует предыдущим кампаниям 2020 и 2021 годов. Организациям рекомендуется усилить меры безопасности и быть бдительными в отношении подобных угроз.

Подводя итог, можно сказать, что Iron Tigers обновляют свои инструменты для добавления функций и переносимости на другие платформы. Они проявляют интерес к индустрии азартных игр и региону Юго-Восточной Азии и, как известно, используют чат-приложения в качестве векторов заражения. Вполне возможно, что их цель может быть шире, чем наблюдается в настоящее время, поскольку образцы HyperBro были подписаны украденным сертификатом Cheetah и использовались на Тайване, Филиппинах, в Германии и Франции. Организации должны принять это к сведению и соответствующим образом усилить свои меры безопасности.

#ParsedReport
02-03-2023

Just Because Its Old Doesnt Mean You Throw It Away (Including Malware!)

https://www.fortinet.com/blog/threat-research/just-because-its-old-doesnt-mean-you-throw-it-away-including-malware

Threats:
Mydoom
Upx_tool

IOCs:
File: 2
Path: 1
Email: 4
Hash: 46
IP: 47

Softs:
windows firewall

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

MyDoom - это анахроничная вредоносная программа, которая впервые была замечена в 2004 году и продолжает заражать системы до сих пор. Она распространяется в виде вредоносного исполняемого файла, прикрепленного к фишинговым письмам, и после выполнения изменяет настройки брандмауэра Windows, создает свои копии в папке Temp и пытается связаться с доменами C2.

#ParsedReport
02-03-2023

Managed XDR Exposes Spear-Phishing Campaign Targeting Hospitality Industry Using RedLine Stealer

https://www.trendmicro.com/en_us/research/23/c/managed-xdr-exposes-spear-phishing-campaign-targeting-hospitalit.html

Threats:
Redline_stealer
Wannacry

Industry:
Healthcare

IOCs:
File: 11
Url: 3
IP: 1
Hash: 13

Softs:
discord

Algorithms:
zip, aes

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно команда Trend Micro Managed XDR обнаружила фишинговую кампанию, направленную на гостиничный бизнес. Письма содержали такие темы, как "помощь", "просьба о помощи" и "карта маршрута", чтобы привлечь внимание жертв. В некоторых случаях копия письма содержала ссылку на Dropbox или сокращенные с помощью Bitly URL-адреса, которые вели на вредоносные файлы. После дальнейшего расследования команда обнаружила, что от этой атаки пострадали четыре клиента. Размер файлов вредоносных образцов варьировался от 494,7 МБ до 929,7 МБ, что является нетипично большим.

После загрузки этих вредоносных файлов полезная нагрузка маскировалась под зашифрованный файл изображения и внедрялась в aspnet_compiler.exe. Эта вредоносная программа была способна собирать данные из операционных систем, браузеров, криптовалютных кошельков, VPN-приложений и других установленных приложений, а затем отправлять их обратно на свой командно-контрольный сервер через NetTcpBinding для доставки сообщений.

#ParsedReport
02-03-2023

Redis Miner Leverages Command Line File Hosting Service

https://www.cadosecurity.com/redis-miner-leverages-command-line-file-hosting-service

Actors/Campaigns:
Teamtnt

Threats:
Xmrig_miner
Havoc
Pnscan_tool
Log4shell_vuln

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 2
Hash: 2

Softs:
redis, curl, unix, macos

Links:
https://github.com/cado-security
https://github.com/dutchcoders/transfer.sh
https://github.com/ptrrkssn/pnscan

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Transfer.sh - это относительно новая служба хостинга кода, которая набирает популярность среди злоумышленников с начала 2023 года. Он предоставляет платформу для хранения и доставки вредоносных полезных нагрузок, а его акцент на интерактивность командной строки делает его идеальным кандидатом для кампаний вредоносного ПО, ориентированных на "облако". Телеметрия Cado Labs свидетельствует о том, что так оно и есть: с начала года наблюдается рост использования transfer.sh для доставки вредоносных программ.

Первоначальный доступ для таких кампаний обычно достигается путем использования небезопасных развертываний Redis, записи вредоносных заданий cron в хранилище данных и принуждения Redis сохранить файл базы данных в одном из каталогов cron. Эта конкретная кампания вредоносного ПО начинается с нескольких подготовительных действий для обеспечения эффективного использования оборудования для добычи криптовалюты. Эти действия включают в себя отключение SELinux, обеспечение возможности разрешения DNS-запросов публичными резолверами, удаление существующих заданий cron и модификацию файла drop_caches с целью освобождения оперативной памяти. Затем скрипт очищает файлы журнала, настраивает iptables, убивает конкурирующие майнеры, устанавливает дополнительные пакеты и извлекает двоичные файлы для pnscan и XMRig. Пользовательская конфигурация XMRig записывается на диск, после чего майнер регистрируется в нескольких майнинговых пулах.

Сценарий также включает команды для получения утилиты массового сканирования сети pnscan, которая часто используется для поиска уязвимых серверов Redis и распространения на них копии сценария. Эта техника ранее приписывалась WatchDog и использует комбинацию команд Linux seq и sort для составления списка IP-адресов, на которые будет направлена атака.

Разработчики вредоносных программ уже давно используют бесплатные службы хостинга файлов и кода, такие как Pastebin и transfer.sh, для размещения дополнительных полезных нагрузок. Однако, когда сервисы становятся известными в плане распространения вредоносного ПО, продукты обнаружения быстро добавляют предупреждения о трафике к таким доменам, побуждая злоумышленников искать альтернативные варианты. Криптоджекинг обычно рассматривается как кибератака с низким уровнем воздействия, но если что-то пойдет не так с низкоуровневыми изменениями, вносимыми для подготовки систем к майнингу, последствия могут быть гораздо более серьезными. Специалисты по безопасности должны знать об этой тенденции и внедрять соответствующие средства обнаружения.

#ParsedReport
02-03-2023

Distributing decryptable iswr ransomware in Korea

https://asec.ahnlab.com/ko/48685

Threats:
Iswr
Stop_ransomware
Ransomware/win.generic.c5387930
Ransom/mdp.decoy.m1171

Geo:
Korea

IOCs:
Hash: 1

Algorithms:
xor, zip

Languages:
python

#ParsedReport
02-03-2023

ASEC Weekly Malware Statistics (February 20th, 2023 February 26th, 2023)

https://asec.ahnlab.com/en/48640

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Agent_tesla
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Transport

IOCs:
IP: 7
Domain: 3
Url: 6
Email: 3
File: 13

Softs:
telegram, nsis installer

Languages:
php, visual_basic