#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатории FortiGuard Labs недавно обнаружили новую тревожную кампанию по борьбе с вымогательским ПО LockBit, которое активно с 2019 года. LockBit - это особо опасная форма вымогательского ПО, которая уже успешно атаковала различные отрасли, включая критическую инфраструктуру. Атака начинается с контейнера .img, который используется для обхода механизма защиты Mark of The Web (MOTW). Затем применяется техника социальной инженерии, при которой только один файл виден пользователю при монтировании контейнера, а остальные файлы скрыты от глаз. В некоторых случаях сценарии Python используются для выполнения сценариев BAT, которые затем могут быть использованы для извлечения полезной нагрузки LockBit ransomware из защищенного паролем архива.

Злоумышленники, стоящие за этой кампанией, продемонстрировали творческое и широкое использование подписанных, легитимных исполняемых файлов. Сюда входит монтирование файлов .img с помощью Windows Explorer, выполнение сценария Python с помощью подписанного интерпретатора, извлечение зашифрованных архивов с помощью 7-zip и автоматический вход в систему с помощью Sysinternals Autologon. Полагаясь на эти проверенные инструменты, авторы вредоносного ПО снижают затраты на разработку, избегая при этом обнаружения средствами РЭБ.

Похоже, что группа LockBit или ее филиалы нацелены на испаноязычных жертв, поскольку все замеченные образцы были направлены на мексиканские или испанские фирмы, в основном в консалтинговом и юридическом секторах. Такая уклончивость свидетельствует о том, что киберпреступники продолжают использовать все более туманные методы, чтобы избежать обнаружения. Стоит отметить, что многие полезные нагрузки, использованные в этой кампании, могут быть связаны с утечкой билдера LockBit в конце 2022 года, что затрудняет однозначное отнесение атаки к одной группе.

#ParsedReport
01-03-2023

Iron Tigers SysUpdate Reappears, Adds Linux Targeting

https://www.trendmicro.com/en_us/research/23/c/iron-tiger-sysupdate-adds-linux-targeting.html

Actors/Campaigns:
Emissary_panda (motivation: information_theft, cyber_espionage)
Drbcontrol

Threats:
Sysupdate
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
Rshell
Vmprotect_tool
Redline_stealer
Hyperbro
Trojanspy.win32.predatorthief.a

Industry:
Government, Retail, Financial, Healthcare, Energy, Entertainment

Geo:
Taiwan, German, China, Philippines, Chinese, French, Mongolian, Asia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 25
IP: 1
Hash: 29

Softs:
mac os, chrome

Algorithms:
cbc, base32, des, shikata_ga_nai

Win API:
GetNetworkParams

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа перспективных постоянных угроз (APT) Iron Tiger действует уже более десяти лет, проводя кибершпионские операции. В 2022 году они обновили свое семейство вредоносных программ SysUpdate, добавив новые функции и поддержку систем Linux. Злоумышленники зарегистрировали доменное имя, связанное с их старейшим образцом для Windows, за месяц до запуска командно-контрольной конфигурации (C&C) и подождали еще один месяц до компиляции вредоносного образца. Вредоносная программа была разработана для обхода решений безопасности и имела сложную логику загрузки.

Злоумышленники использовали легитимный подписанный файл Microsoft Resource Compiler, который подвержен уязвимости боковой загрузки DLL. Вредоносный rc.dll загружает в память файл с именем rc.bin, который представляет собой закодированный в Shikata Ga Nai шеллкод, который распаковывает и загружает в память первый этап. В зависимости от количества параметров командной строки выполняются различные действия, такие как заражение системы и отправка информации о зараженной машине, зашифрованной с помощью DES.

Также было замечено, что SysUpdate использует DNS TXT-запросы в качестве C&C-коммуникации. Вредоносная программа получает настроенные DNS-серверы, вызывая API-функцию GetNetworkParams, и анализирует связанный список DnsServerList. Доменное имя, с которым связывается программа, меняется, но кодированная серия всегда одна и та же. Ответ C&C соответствует формату, ожидаемому вредоносной программой, и запускается несколько потоков для обработки дальнейших команд.

ELF-файлы, относящиеся к инфраструктуре C&C, были написаны на C++ и использовали библиотеку Asio. Информация о скомпрометированном компьютере отправляется на C&C, зашифрованная с помощью жестко закодированного ключа и алгоритма DES CBC. Кроме того, вредоносный сертификат использовался для подписи множества файлов, включая демо-версию VMProtect. Этот сертификат был отозван, хотя закрытый ключ, вероятно, был извлечен из демо-версии VMProtect или продан различным группам, включая Iron Tiger.

Компания Iron Tiger также была замечена нацеленной на игорную индустрию на Филиппинах. Доменное имя, схожее с названием компании, было зарегистрировано и использовалось в качестве C&C. В качестве приманки использовалось чат-приложение Youdu, чтобы заставить жертву открыть вредоносный файл, что соответствует предыдущим кампаниям 2020 и 2021 годов. Организациям рекомендуется усилить меры безопасности и быть бдительными в отношении подобных угроз.

Подводя итог, можно сказать, что Iron Tigers обновляют свои инструменты для добавления функций и переносимости на другие платформы. Они проявляют интерес к индустрии азартных игр и региону Юго-Восточной Азии и, как известно, используют чат-приложения в качестве векторов заражения. Вполне возможно, что их цель может быть шире, чем наблюдается в настоящее время, поскольку образцы HyperBro были подписаны украденным сертификатом Cheetah и использовались на Тайване, Филиппинах, в Германии и Франции. Организации должны принять это к сведению и соответствующим образом усилить свои меры безопасности.

#ParsedReport
02-03-2023

Just Because Its Old Doesnt Mean You Throw It Away (Including Malware!)

https://www.fortinet.com/blog/threat-research/just-because-its-old-doesnt-mean-you-throw-it-away-including-malware

Threats:
Mydoom
Upx_tool

IOCs:
File: 2
Path: 1
Email: 4
Hash: 46
IP: 47

Softs:
windows firewall

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

MyDoom - это анахроничная вредоносная программа, которая впервые была замечена в 2004 году и продолжает заражать системы до сих пор. Она распространяется в виде вредоносного исполняемого файла, прикрепленного к фишинговым письмам, и после выполнения изменяет настройки брандмауэра Windows, создает свои копии в папке Temp и пытается связаться с доменами C2.

#ParsedReport
02-03-2023

Managed XDR Exposes Spear-Phishing Campaign Targeting Hospitality Industry Using RedLine Stealer

https://www.trendmicro.com/en_us/research/23/c/managed-xdr-exposes-spear-phishing-campaign-targeting-hospitalit.html

Threats:
Redline_stealer
Wannacry

Industry:
Healthcare

IOCs:
File: 11
Url: 3
IP: 1
Hash: 13

Softs:
discord

Algorithms:
zip, aes

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно команда Trend Micro Managed XDR обнаружила фишинговую кампанию, направленную на гостиничный бизнес. Письма содержали такие темы, как "помощь", "просьба о помощи" и "карта маршрута", чтобы привлечь внимание жертв. В некоторых случаях копия письма содержала ссылку на Dropbox или сокращенные с помощью Bitly URL-адреса, которые вели на вредоносные файлы. После дальнейшего расследования команда обнаружила, что от этой атаки пострадали четыре клиента. Размер файлов вредоносных образцов варьировался от 494,7 МБ до 929,7 МБ, что является нетипично большим.

После загрузки этих вредоносных файлов полезная нагрузка маскировалась под зашифрованный файл изображения и внедрялась в aspnet_compiler.exe. Эта вредоносная программа была способна собирать данные из операционных систем, браузеров, криптовалютных кошельков, VPN-приложений и других установленных приложений, а затем отправлять их обратно на свой командно-контрольный сервер через NetTcpBinding для доставки сообщений.

#ParsedReport
02-03-2023

Redis Miner Leverages Command Line File Hosting Service

https://www.cadosecurity.com/redis-miner-leverages-command-line-file-hosting-service

Actors/Campaigns:
Teamtnt

Threats:
Xmrig_miner
Havoc
Pnscan_tool
Log4shell_vuln

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 2
Hash: 2

Softs:
redis, curl, unix, macos

Links:
https://github.com/cado-security
https://github.com/dutchcoders/transfer.sh
https://github.com/ptrrkssn/pnscan

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Transfer.sh - это относительно новая служба хостинга кода, которая набирает популярность среди злоумышленников с начала 2023 года. Он предоставляет платформу для хранения и доставки вредоносных полезных нагрузок, а его акцент на интерактивность командной строки делает его идеальным кандидатом для кампаний вредоносного ПО, ориентированных на "облако". Телеметрия Cado Labs свидетельствует о том, что так оно и есть: с начала года наблюдается рост использования transfer.sh для доставки вредоносных программ.

Первоначальный доступ для таких кампаний обычно достигается путем использования небезопасных развертываний Redis, записи вредоносных заданий cron в хранилище данных и принуждения Redis сохранить файл базы данных в одном из каталогов cron. Эта конкретная кампания вредоносного ПО начинается с нескольких подготовительных действий для обеспечения эффективного использования оборудования для добычи криптовалюты. Эти действия включают в себя отключение SELinux, обеспечение возможности разрешения DNS-запросов публичными резолверами, удаление существующих заданий cron и модификацию файла drop_caches с целью освобождения оперативной памяти. Затем скрипт очищает файлы журнала, настраивает iptables, убивает конкурирующие майнеры, устанавливает дополнительные пакеты и извлекает двоичные файлы для pnscan и XMRig. Пользовательская конфигурация XMRig записывается на диск, после чего майнер регистрируется в нескольких майнинговых пулах.

Сценарий также включает команды для получения утилиты массового сканирования сети pnscan, которая часто используется для поиска уязвимых серверов Redis и распространения на них копии сценария. Эта техника ранее приписывалась WatchDog и использует комбинацию команд Linux seq и sort для составления списка IP-адресов, на которые будет направлена атака.

Разработчики вредоносных программ уже давно используют бесплатные службы хостинга файлов и кода, такие как Pastebin и transfer.sh, для размещения дополнительных полезных нагрузок. Однако, когда сервисы становятся известными в плане распространения вредоносного ПО, продукты обнаружения быстро добавляют предупреждения о трафике к таким доменам, побуждая злоумышленников искать альтернативные варианты. Криптоджекинг обычно рассматривается как кибератака с низким уровнем воздействия, но если что-то пойдет не так с низкоуровневыми изменениями, вносимыми для подготовки систем к майнингу, последствия могут быть гораздо более серьезными. Специалисты по безопасности должны знать об этой тенденции и внедрять соответствующие средства обнаружения.

#ParsedReport
02-03-2023

Distributing decryptable iswr ransomware in Korea

https://asec.ahnlab.com/ko/48685

Threats:
Iswr
Stop_ransomware
Ransomware/win.generic.c5387930
Ransom/mdp.decoy.m1171

Geo:
Korea

IOCs:
Hash: 1

Algorithms:
xor, zip

Languages:
python

#ParsedReport
02-03-2023

ASEC Weekly Malware Statistics (February 20th, 2023 February 26th, 2023)

https://asec.ahnlab.com/en/48640

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Agent_tesla
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Transport

IOCs:
IP: 7
Domain: 3
Url: 6
Email: 3
File: 13

Softs:
telegram, nsis installer

Languages:
php, visual_basic

#technique

Bypassing PatchGuard at runtime

https://hexderef.com/patchguard-bypass

#ParsedReport
04-03-2023

CHM malware impersonating security mail of a domestic financial company: RedEyes (ScarCruft)

https://asec.ahnlab.com/ko/48764

Actors/Campaigns:
Apt37

Threats:
M2rat

Industry:
Financial

Geo:
Korea

CVEs:
CVE-2017-8291 [Vulners]
CVSS V2: 6.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- artifex ghostscript (le9.21)


IOCs:
File: 2
Url: 3
Command: 2
Path: 1
Registry: 1
IP: 1
Hash: 1

Languages:
javascript, postscript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил распространение вредоносной CHM-программы, предположительно созданной группой атаки RedEyes (также известной как APT37, ScarCruft). Эта группа использовала в своем процессе Persistence команду, аналогичную той, что используется в данной атаке. При выполнении CHM-файла создается справочное окно, выдающее себя за почту безопасности отечественной финансовой компании. Вредоносный скрипт, содержащийся в CHM, действует, пока пользователь ничего не знает. Этот тип вредоносного кода может нанести серьезный ущерб, такой как загрузка файлов и кража информации, в зависимости от команд злоумышленника.

Группа RedEyes не в первый раз участвует во вредоносной деятельности. В феврале компания ASEC проанализировала процесс вредоносного ПО M2RAT. Этот процесс включал команду, которая была похожа на ту, что используется в текущей атаке. Кроме того, в текущей атаке используется объект ярлыка, вызываемый через метод Click, и закодированная команда PowerShell, выполняемая через mshta. Все эти команды предназначены для выполнения различных вредоносных действий, включая загрузку файлов и кражу информации.

#ParsedReport
06-03-2023

ImBetter: New Information Stealer Spotted Targeting Cryptocurrency Users. Our Recommendations

https://blog.cyble.com/2023/03/06/imbetter-new-information-stealer-spotted-targeting-cryptocurrency-users

Threats:
Imbetter
Beacon

Geo:
Moldova, Russian, Belarusian

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 3
Path: 1
Coin: 5
Url: 3
IP: 1
Hash: 7

Softs:
blackhawk, centbrowser, google chrome, comodo dragon, opera, sleipnir, torch, vivaldi, binancechain, coin98, have more...

Algorithms:
base64

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно CRIL разоблачил множество фишинговых веб-сайтов, на которых использовались вредоносные программы, такие как крадуны, RAT и боты, чтобы обманом заставить пользователей загрузить вредоносное ПО.

ImBetter Stealer - одна из таких вредоносных программ, которая идентифицируется по PDB-имени ImBetter.pdb и представляет собой 32-битный исполняемый файл с графическим интерфейсом.

Он проверяет LCID-код зараженной системы для определения языка и региона системы и завершает свою работу, если система принадлежит к определенным регионам. Он делает снимок экрана зараженной системы и отправляет его на C&C-сервер, получая различную системную информацию из зараженной системы. Затем вредоносная программа нацеливается на веб-браузеры на базе Chromium для сбора конфиденциальных данных и нескольких криптовалютных кошельков. После кражи данных он закрывает сокетное соединение и завершает собственный процесс. Вредоносная программа может быть очень опасной, поскольку она может дать киберпреступникам доступ к криптокошелькам или онлайн-счетам жертв, что приведет к краже ценных цифровых активов или личной информации.

#ParsedReport
06-03-2023

APT-C-612022. 1. Affected situation

https://mp.weixin.qq.com/s/s740Y3HaXBXkS5RJi9LaHQ

Actors/Campaigns:
Tengyun_snake
Sidewinder

Threats:
Harpoon

Industry:
Government

Geo:
Turkey, Pakistan, Asia, Iran, Bangladesh

IOCs:
Hash: 3

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Организация APT-C-61 (Tengyun Snake) - это группа Advanced Persistent Threat (APT), действующая в основном в Южной Азии. Начиная с конца 2021 года, Tengyun Snake расширила сферу своей деятельности на Иран и Турцию, атакуя дипломатов из этих стран. В ходе расследования деятельности группы было замечено несколько изменений в методах атак в 2022 году.

Tengyun Snake обычно использует фишинговые письма в качестве способа доставки вредоносной полезной нагрузки. Они используют как публичные почтовые ящики, так и доменные имена, схожие с именами правительственных департаментов и подразделений. В качестве сервера отправки они используют хостинговый почтовый сервер, предоставляемый porkbun. Их полезная нагрузка стала более разнообразной по сравнению с однообразным использованием документов об уязвимостях DDE в качестве полезной нагрузки для выполнения кода в 2021 году. Tengyun Snake теперь упаковывает документы об удаленной инъекции шаблонов или документы об уязвимостях DDE в файлы ISO, что делает их более трудно обнаруживаемыми. Они также имитируют атаки Rattlesnake, поставляя файлы Word и LNK в сжатых пакетах.

В целом, основные изменения для Tengyun Snake в 2022 году были связаны с обновлением вредоносных полезных нагрузок. Организация по-прежнему в значительной степени полагается на исполнение кода пользователем и не заметила существенных изменений в резидентных образцах или в поведении ежедневного контроля.

#ParsedReport
06-03-2023

ASEC Weekly Phishing Email Threat Trends (February 19th, 2023 February 25th, 2023)

https://asec.ahnlab.com/en/48815

Threats:
Agent_tesla
Formbook
Smokeloader
Cloudeye

Industry:
Logistic, Transport, Financial

Geo:
Korean, Malaysia, India

TTPs:

IOCs:
File: 80
Url: 18

Softs:
microsoft excel

Algorithms:
zip

#ParsedReport
06-03-2023

PyPI Packages Used to Deliver Python Remote Access Tools

https://www.kroll.com/en/insights/publications/cyber/pypi-packages-deliver-python-remote-access-tools

Threats:
Colour_blind_rat
Hvnc_tool

TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 3
File: 2

Softs:
discord, microsoft defender, flask, chromium, chrome

Languages:
visual_basic, python

Links:
https://github.com/rajatdiptabiswas/snake-pygame