#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил распространение вредоносной CHM-программы, предположительно созданной группой атаки RedEyes (также известной как APT37, ScarCruft). Эта группа использовала в своем процессе Persistence команду, аналогичную той, что используется в данной атаке. При выполнении CHM-файла создается справочное окно, выдающее себя за почту безопасности отечественной финансовой компании. Вредоносный скрипт, содержащийся в CHM, действует, пока пользователь ничего не знает. Этот тип вредоносного кода может нанести серьезный ущерб, такой как загрузка файлов и кража информации, в зависимости от команд злоумышленника.

Группа RedEyes не в первый раз участвует во вредоносной деятельности. В феврале компания ASEC проанализировала процесс вредоносного ПО M2RAT. Этот процесс включал команду, которая была похожа на ту, что используется в текущей атаке. Кроме того, в текущей атаке используется объект ярлыка, вызываемый через метод Click, и закодированная команда PowerShell, выполняемая через mshta. Все эти команды предназначены для выполнения различных вредоносных действий, включая загрузку файлов и кражу информации.

#ParsedReport
06-03-2023

ImBetter: New Information Stealer Spotted Targeting Cryptocurrency Users. Our Recommendations

https://blog.cyble.com/2023/03/06/imbetter-new-information-stealer-spotted-targeting-cryptocurrency-users

Threats:
Imbetter
Beacon

Geo:
Moldova, Russian, Belarusian

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 3
Path: 1
Coin: 5
Url: 3
IP: 1
Hash: 7

Softs:
blackhawk, centbrowser, google chrome, comodo dragon, opera, sleipnir, torch, vivaldi, binancechain, coin98, have more...

Algorithms:
base64

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно CRIL разоблачил множество фишинговых веб-сайтов, на которых использовались вредоносные программы, такие как крадуны, RAT и боты, чтобы обманом заставить пользователей загрузить вредоносное ПО.

ImBetter Stealer - одна из таких вредоносных программ, которая идентифицируется по PDB-имени ImBetter.pdb и представляет собой 32-битный исполняемый файл с графическим интерфейсом.

Он проверяет LCID-код зараженной системы для определения языка и региона системы и завершает свою работу, если система принадлежит к определенным регионам. Он делает снимок экрана зараженной системы и отправляет его на C&C-сервер, получая различную системную информацию из зараженной системы. Затем вредоносная программа нацеливается на веб-браузеры на базе Chromium для сбора конфиденциальных данных и нескольких криптовалютных кошельков. После кражи данных он закрывает сокетное соединение и завершает собственный процесс. Вредоносная программа может быть очень опасной, поскольку она может дать киберпреступникам доступ к криптокошелькам или онлайн-счетам жертв, что приведет к краже ценных цифровых активов или личной информации.

#ParsedReport
06-03-2023

APT-C-612022. 1. Affected situation

https://mp.weixin.qq.com/s/s740Y3HaXBXkS5RJi9LaHQ

Actors/Campaigns:
Tengyun_snake
Sidewinder

Threats:
Harpoon

Industry:
Government

Geo:
Turkey, Pakistan, Asia, Iran, Bangladesh

IOCs:
Hash: 3

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Организация APT-C-61 (Tengyun Snake) - это группа Advanced Persistent Threat (APT), действующая в основном в Южной Азии. Начиная с конца 2021 года, Tengyun Snake расширила сферу своей деятельности на Иран и Турцию, атакуя дипломатов из этих стран. В ходе расследования деятельности группы было замечено несколько изменений в методах атак в 2022 году.

Tengyun Snake обычно использует фишинговые письма в качестве способа доставки вредоносной полезной нагрузки. Они используют как публичные почтовые ящики, так и доменные имена, схожие с именами правительственных департаментов и подразделений. В качестве сервера отправки они используют хостинговый почтовый сервер, предоставляемый porkbun. Их полезная нагрузка стала более разнообразной по сравнению с однообразным использованием документов об уязвимостях DDE в качестве полезной нагрузки для выполнения кода в 2021 году. Tengyun Snake теперь упаковывает документы об удаленной инъекции шаблонов или документы об уязвимостях DDE в файлы ISO, что делает их более трудно обнаруживаемыми. Они также имитируют атаки Rattlesnake, поставляя файлы Word и LNK в сжатых пакетах.

В целом, основные изменения для Tengyun Snake в 2022 году были связаны с обновлением вредоносных полезных нагрузок. Организация по-прежнему в значительной степени полагается на исполнение кода пользователем и не заметила существенных изменений в резидентных образцах или в поведении ежедневного контроля.

#ParsedReport
06-03-2023

ASEC Weekly Phishing Email Threat Trends (February 19th, 2023 February 25th, 2023)

https://asec.ahnlab.com/en/48815

Threats:
Agent_tesla
Formbook
Smokeloader
Cloudeye

Industry:
Logistic, Transport, Financial

Geo:
Korean, Malaysia, India

TTPs:

IOCs:
File: 80
Url: 18

Softs:
microsoft excel

Algorithms:
zip

#ParsedReport
06-03-2023

PyPI Packages Used to Deliver Python Remote Access Tools

https://www.kroll.com/en/insights/publications/cyber/pypi-packages-deliver-python-remote-access-tools

Threats:
Colour_blind_rat
Hvnc_tool

TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 3
File: 2

Softs:
discord, microsoft defender, flask, chromium, chrome

Languages:
visual_basic, python

Links:
https://github.com/rajatdiptabiswas/snake-pygame

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Kroll выявила и проанализировала вредоносный пакет Python в Индексе пакетов (PyPI) под названием Colour-Blind. Это полнофункциональный инструмент для кражи информации и удаленного доступа (RAT), что указывает на демократизацию киберпреступности, поскольку многочисленные варианты могут быть порождены из чужого кода. Вредоносная программа содержит обфускацию и откровенно вредоносный код, что указывает на то, что маловероятно, что весь код был разработан одним человеком. Ее основные функции включают кражу токенов и паролей, cookies и ключей, приложения, дамп данных, экран, IP, открытый браузер, запуск, ввод текста, Phantom/Metamask и конечные точки HVNC со скрытым рабочим столом.

#ParsedReport
06-03-2023

Kaiji Botnet Resurfaces, Unmasking Ares Hacking Group?

https://ti.qianxin.com/blog/articles/Kaiji-Botnet-Resurfaces-Unmasking-Ares-Hacking-Group-EN

Threats:
Kaiji
Raindrop_tool
Moobot
Mirai
Lucifer
Xmrig_miner
Beacon
Netstat_tool

Industry:
Financial, Government

Geo:
Ukrainian, Ukraine, Chinese, China

CVEs:
CVE-2021-22204 [Vulners]
CVSS V2: 6.8,
Vulners: Exploitation: True
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- exiftool project exiftool (<12.24)
- debian debian linux (9.0, 10.0)
- fedoraproject fedora (32, 33, 34)

CVE-2017-0144 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft server message block (1.0)

CVE-2014-8361 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- d-link dir-905l firmware (le1.02)
- d-link dir-605l firmware (le1.13, le2.04)
- d-link dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- d-link dir-619l firmware (le1.15, le2.03)
have more...
CVE-2021-22205 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)


IOCs:
File: 5
Hash: 11
IP: 8

Softs:
ntab task, selinux, windows smb, systemd

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр разведки угроз QiAnXin недавно обнаружил ботнет под названием Kaiji, написанный на языке GO, который был впервые замечен MalwareMustDie, а затем дополнительно исследован Intezer. Команда Red Raindrop отследила гигантскую арендную группу, связанную с Kaiji, под названием Ares. Эта группа владеет несколькими семействами ботнетов, такими как Mirai, Moobot и Lucifer, и предоставляет вредоносные услуги, такие как DDoS-атаки и майнинг XMRig.

Группа в основном активна в Китае, оперируя несколькими платформами аренды, которые привлекают большое количество пользователей. Стоимость аренды DDoS-атак может составлять от $10-50 в час. Помимо этого, Black Lotus Labs также сообщила, что группировка использует XMRig для проведения майнинговых операций.

Более того, команда Red Raindrop обнаружила, что группа участвует в российско-украинской кибервойне. В ноябре прошлого года они отслеживали DDoS-атаки jack5tr против украинского лагеря. Домен CC, использовавшийся для этой атаки, был "s7.backupsuper.cc".

Новый вариант Kaiji содержит строку "Pro" (на английском языке) в своем пакете маячков и известен как Kaiji_Pro. Он использует конфигурационные файлы для хранения команд, запускается с зашифрованным конфигурационным файлом с именем ".walk.lod" и принимает меры по обеспечению невидимости и сохранности образцов. Связь между Kaiji_Pro и C2 шифруется с помощью TLS, и добавлен новый заголовок данных, состоящий из 50 байт жестко закодированных данных с переменными и бессмысленными 4 байтами.

Семейство Moobot этой группы настолько многочисленно и модифицировано по сравнению с оригиналом, что при первом отслеживании оно было названо Moobot_jack5tr. Анализ этого образца показал, что он открывает случайные порты httpd, загружает информацию о порте в C2 и использует потерянный узел в качестве одного из узлов для распространения образца. Протокол связи аналогичен Moobot_Xor, а пакет восходящей линии по-прежнему "33 66 99".

В целом, группа Ares является одной из крупнейших вредоносных групп в мире, предоставляющей своим клиентам услуги DDoS-атак и майнинга XMRig. Группа связана с ботнетом Kaiji, который недавно вновь появился и обновился, и участвует в российско-украинской кибервойне.

#ParsedReport
06-03-2023

Twice around the dance floor - Elastic discovers the PIPEDANCE backdoor. Key takeaways

https://www.elastic.co/security-labs/twice-around-the-dance-floor-with-pipedance

Threats:
Pipedance
Process_injection_technique
Cobalt_strike
Metasploit_tool
Beacon
Heavens_gate_technique

Industry:
Transport

Geo:
Vietnamese

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 11
Hash: 2
Domain: 1

Softs:
windows service, sysinternals, kibana, winlogon

Algorithms:
xor, zip, rc4

Functions:
CreateFile, Gate

Win API:
WriteFile, ReadFile, CreateNamedPipeA, ConnectNamedPipe, IsWow64Process, CreateToolhelp32Snapshot, NtGetContextThread, NtWriteVirtualMemory, RtlCreateUserThread, CreateRemoteThread, have more...

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/endpoint-rules/blob/main/rules/privilege\_escalation\_suspicious\_services\_child.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_suspicious\_windows\_service\_execution.toml

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Elastic Security Labs обнаружила PIPEDANCE, ранее неизвестный бэкдор для Windows, используемый для осуществления действий после компрометации и бокового перемещения. PIPEDANCE был замечен в ходе развертывания Cobalt Strike в конце декабря 2022 года, направленного на вьетнамскую организацию. Он использует именованные каналы как двунаправленный уровень команд и управления, маскируя свою деятельность путем случайной инъекции в жестко заданный список программ Windows.

PIPEDANCE поддерживает более 20 различных функций и позволяет операторам проводить разведку, перемещаться по различным системам, выполнять команды, записывать файлы и осуществлять эксфильтрацию данных. Он также предоставляет возможности для перечисления процессов, перечисления файлов и каталогов, создания файлов, записи содержимого в файлы и выполнения различных команд администратора или технического обслуживания.

Для выполнения команд PIPEDANCE принимает аргумент команды из терминала и начинает с создания анонимной именованной трубы с ручками чтения и записи. Затем он настраивает структуру STARTUPINFO с помощью STARTF_USESTDHANDLES для передачи вывода команды и устанавливает выполнение cmd.exe через STDIN/STDOUT.

Что касается эксфильтрации данных, PIPEDANCE специально создан для определения точек выхода на конечной точке путем проверки протоколов DNS, ICMP, TCP и HTTP. Кроме того, он использует различные формы внедрения процессов для выполнения shell-кода и запуска дополнительных имплантатов. Чтобы скрыть свою деятельность, PIPEDANCE случайным образом выбирает программу Windows из жестко заданного списка для использования в качестве цели инъекции.

В целом, PIPEDANCE - это продвинутый бэкдор, который может использоваться злоумышленниками для получения доступа к системе и бокового перемещения в сети. Он предоставляет сложные функции для скрытного выполнения операций и может использоваться для осуществления вредоносных действий, таких как кража конфиденциальной информации. Для обнаружения активности PIPEDANCE организации могут использовать приложение Discover в Kibana для выявления сетевых соединений, исходящих от жестко заданных целей инъекций.

#ParsedReport
04-03-2023

MQsTTang: Mustang Pandas latest backdoor treads new ground with Qt and MQTT

https://www.welivesecurity.com/2023/03/02/mqsttang-mustang-panda-latest-backdoor-treads-new-ground-qt-mqtt

Actors/Campaigns:
Red_delta
Lazarus

Threats:
Mqsttang
Plugx_rat
Chrysaor
Magicrat
Ollydbg_tool
Plink

Industry:
Iot

Geo:
Tokyo, Ukraine, Bulgaria, Asia, Taiwan, Australia

TTPs:
Tactics: 7
Technics: 18

IOCs:
File: 14
IP: 4
Path: 4
Url: 2
Hash: 13

Softs:
android, psexec, curl

Algorithms:
xor, base64

Win API:
CreateToolhelp32Snapshot, FindWindowW

Links:
https://github.com/emqx/qmqtt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи ESET обнаружили новый бэкдор под названием MQsTTang, разработанный группой Mustang Panda. Эта кампания активна с начала января 2023 года и, судя по всему, нацелена на политические и правительственные организации в Европе и Азии.

MQsTTang - это бэкдор, который позволяет злоумышленнику выполнять произвольные команды на машине жертвы и получать выходные данные. Он взаимодействует по протоколу MQTT, который обычно используется для связи между устройствами и контроллерами Интернета вещей (IoT). Злоумышленник скрывает свою инфраструктуру за брокером, а вредоносное ПО распространяется в RAR-архивах с названиями, связанными с дипломатией и паспортами. Для распространения этого вредоносного ПО используется спирфишинг.

Вредоносная программа проверяет наличие x64dbg, отладчика для программ Windows, и выполняет определенные задачи, когда аргумент командной строки достигает определенных значений. Она копирует свой исполняемый файл в два жестко заданных пути, c:\users\public\vdump.exe и c:\users\public\vcall.exe, и создает ключ реестра qvlc, установленный в c:\users\public\vcall.exe, чтобы обеспечить постоянство.

Мы приписываем этот новый бэкдор Mustang Panda с высокой степенью уверенности на основании нескольких показателей, таких как наличие архивов, содержащих образцы MQsTTang в двух репозиториях GitHub, принадлежащих пользователю YanNaingOo0072022, та же структура каталогов, которая использовалась в предыдущих кампаниях, а также соответствие некоторых объектов инфраструктуры сетевым отпечаткам ранее известных серверов Mustang Panda.

Эта кампания показывает, что Mustang Panda исследует новые технологические стеки для разработки своих инструментов. Это еще один пример их быстрого цикла разработки и развертывания, и пока неясно, станет ли этот бэкдор постоянной частью их арсенала.

#ParsedReport
04-03-2023

Magbo Spam Injection Encoded with hex2bin

https://blog.sucuri.net/2023/03/magbo-spam-injection-encoded-with-hex2bin.html

Threats:
Hex2bin

Geo:
Russian

IOCs:
Domain: 1

Softs:
wordpress, cpanel

Languages:
javascript, php

#ParsedReport
06-03-2023

Luna ransomware encrypts Windows, Linux and ESXi systems. Encryption process

https://seguranca-informatica.pt/luna-ransomware-encrypts-windows-linux-and-esxi-systems

Threats:
Luna
Blackcat

Industry:
Iot

Geo:
Russian, Portuguese, American

IOCs:
File: 1

Softs:
esxi, active directory

Algorithms:
aes, curve25519

Languages:
golang, rust

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Luna ransomware - это новый тип ransomware, который был обнаружен в июне 2022 года. Считается, что она разработана российскими актерами, поскольку исходный код Luna, судя по всему, адаптирован к русскому языку, а записка с требованием выкупа написана на американском английском языке с некоторыми грамматическими ошибками. Luna ransomware работает только с русскоязычными филиалами, имеет интерфейс командной строки и разработана на языке Rust, который становится все более популярным языком программирования среди преступников благодаря своей эффективности использования памяти и возможности кроссплатформенной разработки. Это затрудняет его обнаружение и позволяет злоумышленникам нанести наибольший ущерб при шифровании.

Rust также имеет больше преимуществ по сравнению с другими языками программирования с точки зрения обнаружения. Он занимает мало памяти, что усложняет обнаружение вредоносной активности антивирусными программами. Кроме того, он допускает кроссплатформенную разработку, что позволяет злоумышленникам использовать его для различных операционных систем. Эти особенности делают Rust идеальным языком для разработки ransomware, поскольку он позволяет преступникам избежать обнаружения и нанести максимальный ущерб в процессе шифрования.

В целом, Luna ransomware - это опасное семейство ransomware, разработанное российскими актерами на языке Rust. Этот язык экономит память, совместим с кросс-платформами и затрудняет обнаружение вредоносной активности. Принимая это во внимание, важно предпринять шаги по отслеживанию любой подозрительной активности и предотвращению атаки ransomware. Опытные специалисты, такие как Педро Таварес, могут предоставить ценную информацию о мире кибербезопасности и помочь снизить риск успешной атаки ransomware.

#ParsedReport
06-03-2023

FiXS the new ATM Malware in LATAM

https://www.metabaseq.com/fixs-atms-malware

Threats:
Fixs
Ploutus

Industry:
Financial

Geo:
Latam, Brazil, America, Brazilian, Mexican, Mexico, Russian

IOCs:
File: 3
Hash: 2

Algorithms:
xor

Functions:
decode_XOR_key

Win API:
GetTickCount

Languages:
delphi

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Банкоматы постоянно подвергаются риску физических и цифровых атак, что приводит к миллиардным убыткам в Мексике и Бразилии. Недавно компания Metabase Q выявила новую вредоносную программу под названием FiXS, которая в настоящее время атакует мексиканские банки. Она не зависит от производителя и использует внешнюю клавиатуру для начала атаки. Эта вредоносная программа запрограммирована с использованием русских метаданных и содержит файл-дроппер со строками, связанными с XFS. После установки дроппера он определяет временный каталог системы и сохраняет встроенную вредоносную программу в папке с жестко заданным именем. Встроенная вредоносная программа декодируется с помощью инструкции XOR, где ключ меняется при каждом цикле. После декодирования вредоносная программа запускается с помощью ShellExecute.

FiXS реализует API CEN XFS, что позволяет ему работать на любом банкомате под управлением Windows без особых изменений. Когда вредоносная программа запускается, она ждет определенной комбинации нажатых клавиш с внешней клавиатуры, чтобы отобразить интерфейс вредоносной программы. Этот интерфейс показывает количество купюр, которые будут выданы через 30 минут после последней перезагрузки банкомата. Чтобы сделать эту вредоносную программу максимально универсальной, она взаимодействует с ключом реестра для перечисления логических имен различных диспенсеров, не выбирая один конкретный. Если получена ошибка, она переходит к следующему периферийному устройству в списке.

#ParsedReport
06-03-2023

DBatLoader and Remcos RAT Sweep Eastern Europe

https://www.sentinelone.com/blog/dbatloader-and-remcos-rat-sweep-eastern-europe

Threats:
Remcos_rat
Dbat_loader
Trickgate_tool
Dll_hijacking_technique
Process_injection_technique

Industry:
Financial

Geo:
Ukrainian

IOCs:
File: 4
Command: 1
Path: 1

Softs:
microsoft office, libreoffice, microsoft onedrive, microsoft defender

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания SentinelOne отмечает увеличение числа фишинговых кампаний, использующих загрузчик вредоносного ПО DBatLoader для распространения Remcos RAT, направленных преимущественно на организации и предприятия Восточной Европы. Электронные письма, отправленные в рамках этих кампаний, обычно содержат вложения в виде архивов tar.lz, маскирующихся под финансовые документы, такие как счета-фактуры и тендерная документация. Чтобы придать письмам правдоподобный вид, угрозы используют различные методы, такие как отправка писем со взломанных частных учетных записей электронной почты, учетных записей публичных почтовых служб, используемых объектами атаки, и доменов верхнего уровня той же страны, где находится объект атаки. При запуске исполняемые файлы DBatLoader загружают и выполняют обфусцированную полезную нагрузку второго этапа из общедоступного облака, например Microsoft OneDrive или Google Drive. Он также устанавливает постоянство при перезагрузке системы и настраивает для целей C2 протоколирование клавиш, кражу снимков экрана и динамические DNS-домены duckdns.