#ParsedReport
06-03-2023
Kaiji Botnet Resurfaces, Unmasking Ares Hacking Group?
https://ti.qianxin.com/blog/articles/Kaiji-Botnet-Resurfaces-Unmasking-Ares-Hacking-Group-EN
Threats:
Kaiji
Raindrop_tool
Moobot
Mirai
Lucifer
Xmrig_miner
Beacon
Netstat_tool
Industry:
Financial, Government
Geo:
Ukrainian, Ukraine, Chinese, China
CVEs:
CVE-2021-22204 [Vulners]
CVSS V2: 6.8,
Vulners: Exploitation: True
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- exiftool project exiftool (<12.24)
- debian debian linux (9.0, 10.0)
- fedoraproject fedora (32, 33, 34)
CVE-2017-0144 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft server message block (1.0)
CVE-2014-8361 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- d-link dir-905l firmware (le1.02)
- d-link dir-605l firmware (le1.13, le2.04)
- d-link dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- d-link dir-619l firmware (le1.15, le2.03)
have more...
CVE-2021-22205 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)
IOCs:
File: 5
Hash: 11
IP: 8
Softs:
ntab task, selinux, windows smb, systemd
Platforms:
x86
06-03-2023
Kaiji Botnet Resurfaces, Unmasking Ares Hacking Group?
https://ti.qianxin.com/blog/articles/Kaiji-Botnet-Resurfaces-Unmasking-Ares-Hacking-Group-EN
Threats:
Kaiji
Raindrop_tool
Moobot
Mirai
Lucifer
Xmrig_miner
Beacon
Netstat_tool
Industry:
Financial, Government
Geo:
Ukrainian, Ukraine, Chinese, China
CVEs:
CVE-2021-22204 [Vulners]
CVSS V2: 6.8,
Vulners: Exploitation: True
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- exiftool project exiftool (<12.24)
- debian debian linux (9.0, 10.0)
- fedoraproject fedora (32, 33, 34)
CVE-2017-0144 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft server message block (1.0)
CVE-2014-8361 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- d-link dir-905l firmware (le1.02)
- d-link dir-605l firmware (le1.13, le2.04)
- d-link dir-600l firmware (le1.15, le2.05)
- realtek realtek sdk (-)
- d-link dir-619l firmware (le1.15, le2.03)
have more...
CVE-2021-22205 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)
IOCs:
File: 5
Hash: 11
IP: 8
Softs:
ntab task, selinux, windows smb, systemd
Platforms:
x86
Qianxin
奇安信威胁情报中心
Nuxt.js project
CTT Report Hub
#ParsedReport 06-03-2023 Kaiji Botnet Resurfaces, Unmasking Ares Hacking Group? https://ti.qianxin.com/blog/articles/Kaiji-Botnet-Resurfaces-Unmasking-Ares-Hacking-Group-EN Threats: Kaiji Raindrop_tool Moobot Mirai Lucifer Xmrig_miner Beacon Netstat_tool…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр разведки угроз QiAnXin недавно обнаружил ботнет под названием Kaiji, написанный на языке GO, который был впервые замечен MalwareMustDie, а затем дополнительно исследован Intezer. Команда Red Raindrop отследила гигантскую арендную группу, связанную с Kaiji, под названием Ares. Эта группа владеет несколькими семействами ботнетов, такими как Mirai, Moobot и Lucifer, и предоставляет вредоносные услуги, такие как DDoS-атаки и майнинг XMRig.
Группа в основном активна в Китае, оперируя несколькими платформами аренды, которые привлекают большое количество пользователей. Стоимость аренды DDoS-атак может составлять от $10-50 в час. Помимо этого, Black Lotus Labs также сообщила, что группировка использует XMRig для проведения майнинговых операций.
Более того, команда Red Raindrop обнаружила, что группа участвует в российско-украинской кибервойне. В ноябре прошлого года они отслеживали DDoS-атаки jack5tr против украинского лагеря. Домен CC, использовавшийся для этой атаки, был "s7.backupsuper.cc".
Новый вариант Kaiji содержит строку "Pro" (на английском языке) в своем пакете маячков и известен как Kaiji_Pro. Он использует конфигурационные файлы для хранения команд, запускается с зашифрованным конфигурационным файлом с именем ".walk.lod" и принимает меры по обеспечению невидимости и сохранности образцов. Связь между Kaiji_Pro и C2 шифруется с помощью TLS, и добавлен новый заголовок данных, состоящий из 50 байт жестко закодированных данных с переменными и бессмысленными 4 байтами.
Семейство Moobot этой группы настолько многочисленно и модифицировано по сравнению с оригиналом, что при первом отслеживании оно было названо Moobot_jack5tr. Анализ этого образца показал, что он открывает случайные порты httpd, загружает информацию о порте в C2 и использует потерянный узел в качестве одного из узлов для распространения образца. Протокол связи аналогичен Moobot_Xor, а пакет восходящей линии по-прежнему "33 66 99".
В целом, группа Ares является одной из крупнейших вредоносных групп в мире, предоставляющей своим клиентам услуги DDoS-атак и майнинга XMRig. Группа связана с ботнетом Kaiji, который недавно вновь появился и обновился, и участвует в российско-украинской кибервойне.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр разведки угроз QiAnXin недавно обнаружил ботнет под названием Kaiji, написанный на языке GO, который был впервые замечен MalwareMustDie, а затем дополнительно исследован Intezer. Команда Red Raindrop отследила гигантскую арендную группу, связанную с Kaiji, под названием Ares. Эта группа владеет несколькими семействами ботнетов, такими как Mirai, Moobot и Lucifer, и предоставляет вредоносные услуги, такие как DDoS-атаки и майнинг XMRig.
Группа в основном активна в Китае, оперируя несколькими платформами аренды, которые привлекают большое количество пользователей. Стоимость аренды DDoS-атак может составлять от $10-50 в час. Помимо этого, Black Lotus Labs также сообщила, что группировка использует XMRig для проведения майнинговых операций.
Более того, команда Red Raindrop обнаружила, что группа участвует в российско-украинской кибервойне. В ноябре прошлого года они отслеживали DDoS-атаки jack5tr против украинского лагеря. Домен CC, использовавшийся для этой атаки, был "s7.backupsuper.cc".
Новый вариант Kaiji содержит строку "Pro" (на английском языке) в своем пакете маячков и известен как Kaiji_Pro. Он использует конфигурационные файлы для хранения команд, запускается с зашифрованным конфигурационным файлом с именем ".walk.lod" и принимает меры по обеспечению невидимости и сохранности образцов. Связь между Kaiji_Pro и C2 шифруется с помощью TLS, и добавлен новый заголовок данных, состоящий из 50 байт жестко закодированных данных с переменными и бессмысленными 4 байтами.
Семейство Moobot этой группы настолько многочисленно и модифицировано по сравнению с оригиналом, что при первом отслеживании оно было названо Moobot_jack5tr. Анализ этого образца показал, что он открывает случайные порты httpd, загружает информацию о порте в C2 и использует потерянный узел в качестве одного из узлов для распространения образца. Протокол связи аналогичен Moobot_Xor, а пакет восходящей линии по-прежнему "33 66 99".
В целом, группа Ares является одной из крупнейших вредоносных групп в мире, предоставляющей своим клиентам услуги DDoS-атак и майнинга XMRig. Группа связана с ботнетом Kaiji, который недавно вновь появился и обновился, и участвует в российско-украинской кибервойне.
#ParsedReport
06-03-2023
Twice around the dance floor - Elastic discovers the PIPEDANCE backdoor. Key takeaways
https://www.elastic.co/security-labs/twice-around-the-dance-floor-with-pipedance
Threats:
Pipedance
Process_injection_technique
Cobalt_strike
Metasploit_tool
Beacon
Heavens_gate_technique
Industry:
Transport
Geo:
Vietnamese
TTPs:
Tactics: 8
Technics: 0
IOCs:
File: 11
Hash: 2
Domain: 1
Softs:
windows service, sysinternals, kibana, winlogon
Algorithms:
xor, zip, rc4
Functions:
CreateFile, Gate
Win API:
WriteFile, ReadFile, CreateNamedPipeA, ConnectNamedPipe, IsWow64Process, CreateToolhelp32Snapshot, NtGetContextThread, NtWriteVirtualMemory, RtlCreateUserThread, CreateRemoteThread, have more...
Platforms:
x86
YARA: Found
Links:
06-03-2023
Twice around the dance floor - Elastic discovers the PIPEDANCE backdoor. Key takeaways
https://www.elastic.co/security-labs/twice-around-the-dance-floor-with-pipedance
Threats:
Pipedance
Process_injection_technique
Cobalt_strike
Metasploit_tool
Beacon
Heavens_gate_technique
Industry:
Transport
Geo:
Vietnamese
TTPs:
Tactics: 8
Technics: 0
IOCs:
File: 11
Hash: 2
Domain: 1
Softs:
windows service, sysinternals, kibana, winlogon
Algorithms:
xor, zip, rc4
Functions:
CreateFile, Gate
Win API:
WriteFile, ReadFile, CreateNamedPipeA, ConnectNamedPipe, IsWow64Process, CreateToolhelp32Snapshot, NtGetContextThread, NtWriteVirtualMemory, RtlCreateUserThread, CreateRemoteThread, have more...
Platforms:
x86
YARA: Found
Links:
https://github.com/elastic/endpoint-rules/blob/main/rules/privilege\_escalation\_suspicious\_services\_child.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_suspicious\_windows\_service\_execution.tomlwww.elastic.co
Twice around the dance floor - Elastic discovers the PIPEDANCE backdoor — Elastic Security Labs
Elastic Security Labs is tracking an active intrusion into a Vietnamese organization using a recently discovered triggerable, multi-hop backdoor we are calling PIPEDANCE. This full-featured malware enables stealthy operations through the use of named
CTT Report Hub
#ParsedReport 06-03-2023 Twice around the dance floor - Elastic discovers the PIPEDANCE backdoor. Key takeaways https://www.elastic.co/security-labs/twice-around-the-dance-floor-with-pipedance Threats: Pipedance Process_injection_technique Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Компания Elastic Security Labs обнаружила PIPEDANCE, ранее неизвестный бэкдор для Windows, используемый для осуществления действий после компрометации и бокового перемещения. PIPEDANCE был замечен в ходе развертывания Cobalt Strike в конце декабря 2022 года, направленного на вьетнамскую организацию. Он использует именованные каналы как двунаправленный уровень команд и управления, маскируя свою деятельность путем случайной инъекции в жестко заданный список программ Windows.
PIPEDANCE поддерживает более 20 различных функций и позволяет операторам проводить разведку, перемещаться по различным системам, выполнять команды, записывать файлы и осуществлять эксфильтрацию данных. Он также предоставляет возможности для перечисления процессов, перечисления файлов и каталогов, создания файлов, записи содержимого в файлы и выполнения различных команд администратора или технического обслуживания.
Для выполнения команд PIPEDANCE принимает аргумент команды из терминала и начинает с создания анонимной именованной трубы с ручками чтения и записи. Затем он настраивает структуру STARTUPINFO с помощью STARTF_USESTDHANDLES для передачи вывода команды и устанавливает выполнение cmd.exe через STDIN/STDOUT.
Что касается эксфильтрации данных, PIPEDANCE специально создан для определения точек выхода на конечной точке путем проверки протоколов DNS, ICMP, TCP и HTTP. Кроме того, он использует различные формы внедрения процессов для выполнения shell-кода и запуска дополнительных имплантатов. Чтобы скрыть свою деятельность, PIPEDANCE случайным образом выбирает программу Windows из жестко заданного списка для использования в качестве цели инъекции.
В целом, PIPEDANCE - это продвинутый бэкдор, который может использоваться злоумышленниками для получения доступа к системе и бокового перемещения в сети. Он предоставляет сложные функции для скрытного выполнения операций и может использоваться для осуществления вредоносных действий, таких как кража конфиденциальной информации. Для обнаружения активности PIPEDANCE организации могут использовать приложение Discover в Kibana для выявления сетевых соединений, исходящих от жестко заданных целей инъекций.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Компания Elastic Security Labs обнаружила PIPEDANCE, ранее неизвестный бэкдор для Windows, используемый для осуществления действий после компрометации и бокового перемещения. PIPEDANCE был замечен в ходе развертывания Cobalt Strike в конце декабря 2022 года, направленного на вьетнамскую организацию. Он использует именованные каналы как двунаправленный уровень команд и управления, маскируя свою деятельность путем случайной инъекции в жестко заданный список программ Windows.
PIPEDANCE поддерживает более 20 различных функций и позволяет операторам проводить разведку, перемещаться по различным системам, выполнять команды, записывать файлы и осуществлять эксфильтрацию данных. Он также предоставляет возможности для перечисления процессов, перечисления файлов и каталогов, создания файлов, записи содержимого в файлы и выполнения различных команд администратора или технического обслуживания.
Для выполнения команд PIPEDANCE принимает аргумент команды из терминала и начинает с создания анонимной именованной трубы с ручками чтения и записи. Затем он настраивает структуру STARTUPINFO с помощью STARTF_USESTDHANDLES для передачи вывода команды и устанавливает выполнение cmd.exe через STDIN/STDOUT.
Что касается эксфильтрации данных, PIPEDANCE специально создан для определения точек выхода на конечной точке путем проверки протоколов DNS, ICMP, TCP и HTTP. Кроме того, он использует различные формы внедрения процессов для выполнения shell-кода и запуска дополнительных имплантатов. Чтобы скрыть свою деятельность, PIPEDANCE случайным образом выбирает программу Windows из жестко заданного списка для использования в качестве цели инъекции.
В целом, PIPEDANCE - это продвинутый бэкдор, который может использоваться злоумышленниками для получения доступа к системе и бокового перемещения в сети. Он предоставляет сложные функции для скрытного выполнения операций и может использоваться для осуществления вредоносных действий, таких как кража конфиденциальной информации. Для обнаружения активности PIPEDANCE организации могут использовать приложение Discover в Kibana для выявления сетевых соединений, исходящих от жестко заданных целей инъекций.
#ParsedReport
04-03-2023
MQsTTang: Mustang Pandas latest backdoor treads new ground with Qt and MQTT
https://www.welivesecurity.com/2023/03/02/mqsttang-mustang-panda-latest-backdoor-treads-new-ground-qt-mqtt
Actors/Campaigns:
Red_delta
Lazarus
Threats:
Mqsttang
Plugx_rat
Chrysaor
Magicrat
Ollydbg_tool
Plink
Industry:
Iot
Geo:
Tokyo, Ukraine, Bulgaria, Asia, Taiwan, Australia
TTPs:
Tactics: 7
Technics: 18
IOCs:
File: 14
IP: 4
Path: 4
Url: 2
Hash: 13
Softs:
android, psexec, curl
Algorithms:
xor, base64
Win API:
CreateToolhelp32Snapshot, FindWindowW
Links:
04-03-2023
MQsTTang: Mustang Pandas latest backdoor treads new ground with Qt and MQTT
https://www.welivesecurity.com/2023/03/02/mqsttang-mustang-panda-latest-backdoor-treads-new-ground-qt-mqtt
Actors/Campaigns:
Red_delta
Lazarus
Threats:
Mqsttang
Plugx_rat
Chrysaor
Magicrat
Ollydbg_tool
Plink
Industry:
Iot
Geo:
Tokyo, Ukraine, Bulgaria, Asia, Taiwan, Australia
TTPs:
Tactics: 7
Technics: 18
IOCs:
File: 14
IP: 4
Path: 4
Url: 2
Hash: 13
Softs:
android, psexec, curl
Algorithms:
xor, base64
Win API:
CreateToolhelp32Snapshot, FindWindowW
Links:
https://github.com/emqx/qmqttWeLiveSecurity
MQsTTang: Mustang Panda’s latest backdoor treads new ground with Qt and MQTT
ESET researchers tease apart MQsTTang, a new backdoor used by the Mustang Panda APT group, which communicates via the MQTT protocol.
CTT Report Hub
#ParsedReport 04-03-2023 MQsTTang: Mustang Pandas latest backdoor treads new ground with Qt and MQTT https://www.welivesecurity.com/2023/03/02/mqsttang-mustang-panda-latest-backdoor-treads-new-ground-qt-mqtt Actors/Campaigns: Red_delta Lazarus Threats:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Исследователи ESET обнаружили новый бэкдор под названием MQsTTang, разработанный группой Mustang Panda. Эта кампания активна с начала января 2023 года и, судя по всему, нацелена на политические и правительственные организации в Европе и Азии.
MQsTTang - это бэкдор, который позволяет злоумышленнику выполнять произвольные команды на машине жертвы и получать выходные данные. Он взаимодействует по протоколу MQTT, который обычно используется для связи между устройствами и контроллерами Интернета вещей (IoT). Злоумышленник скрывает свою инфраструктуру за брокером, а вредоносное ПО распространяется в RAR-архивах с названиями, связанными с дипломатией и паспортами. Для распространения этого вредоносного ПО используется спирфишинг.
Вредоносная программа проверяет наличие x64dbg, отладчика для программ Windows, и выполняет определенные задачи, когда аргумент командной строки достигает определенных значений. Она копирует свой исполняемый файл в два жестко заданных пути, c:\users\public\vdump.exe и c:\users\public\vcall.exe, и создает ключ реестра qvlc, установленный в c:\users\public\vcall.exe, чтобы обеспечить постоянство.
Мы приписываем этот новый бэкдор Mustang Panda с высокой степенью уверенности на основании нескольких показателей, таких как наличие архивов, содержащих образцы MQsTTang в двух репозиториях GitHub, принадлежащих пользователю YanNaingOo0072022, та же структура каталогов, которая использовалась в предыдущих кампаниях, а также соответствие некоторых объектов инфраструктуры сетевым отпечаткам ранее известных серверов Mustang Panda.
Эта кампания показывает, что Mustang Panda исследует новые технологические стеки для разработки своих инструментов. Это еще один пример их быстрого цикла разработки и развертывания, и пока неясно, станет ли этот бэкдор постоянной частью их арсенала.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Исследователи ESET обнаружили новый бэкдор под названием MQsTTang, разработанный группой Mustang Panda. Эта кампания активна с начала января 2023 года и, судя по всему, нацелена на политические и правительственные организации в Европе и Азии.
MQsTTang - это бэкдор, который позволяет злоумышленнику выполнять произвольные команды на машине жертвы и получать выходные данные. Он взаимодействует по протоколу MQTT, который обычно используется для связи между устройствами и контроллерами Интернета вещей (IoT). Злоумышленник скрывает свою инфраструктуру за брокером, а вредоносное ПО распространяется в RAR-архивах с названиями, связанными с дипломатией и паспортами. Для распространения этого вредоносного ПО используется спирфишинг.
Вредоносная программа проверяет наличие x64dbg, отладчика для программ Windows, и выполняет определенные задачи, когда аргумент командной строки достигает определенных значений. Она копирует свой исполняемый файл в два жестко заданных пути, c:\users\public\vdump.exe и c:\users\public\vcall.exe, и создает ключ реестра qvlc, установленный в c:\users\public\vcall.exe, чтобы обеспечить постоянство.
Мы приписываем этот новый бэкдор Mustang Panda с высокой степенью уверенности на основании нескольких показателей, таких как наличие архивов, содержащих образцы MQsTTang в двух репозиториях GitHub, принадлежащих пользователю YanNaingOo0072022, та же структура каталогов, которая использовалась в предыдущих кампаниях, а также соответствие некоторых объектов инфраструктуры сетевым отпечаткам ранее известных серверов Mustang Panda.
Эта кампания показывает, что Mustang Panda исследует новые технологические стеки для разработки своих инструментов. Это еще один пример их быстрого цикла разработки и развертывания, и пока неясно, станет ли этот бэкдор постоянной частью их арсенала.
#ParsedReport
04-03-2023
Magbo Spam Injection Encoded with hex2bin
https://blog.sucuri.net/2023/03/magbo-spam-injection-encoded-with-hex2bin.html
Threats:
Hex2bin
Geo:
Russian
IOCs:
Domain: 1
Softs:
wordpress, cpanel
Languages:
javascript, php
04-03-2023
Magbo Spam Injection Encoded with hex2bin
https://blog.sucuri.net/2023/03/magbo-spam-injection-encoded-with-hex2bin.html
Threats:
Hex2bin
Geo:
Russian
IOCs:
Domain: 1
Softs:
wordpress, cpanel
Languages:
javascript, php
Sucuri Blog
Magbo Spam Injection Encoded with hex2bin
Learn how an infected website ended up with a Magbo spam injection encoded with hex2bin found in a tampered version of the really-simple-ssl plugin.
#ParsedReport
06-03-2023
Luna ransomware encrypts Windows, Linux and ESXi systems. Encryption process
https://seguranca-informatica.pt/luna-ransomware-encrypts-windows-linux-and-esxi-systems
Threats:
Luna
Blackcat
Industry:
Iot
Geo:
Russian, Portuguese, American
IOCs:
File: 1
Softs:
esxi, active directory
Algorithms:
aes, curve25519
Languages:
golang, rust
06-03-2023
Luna ransomware encrypts Windows, Linux and ESXi systems. Encryption process
https://seguranca-informatica.pt/luna-ransomware-encrypts-windows-linux-and-esxi-systems
Threats:
Luna
Blackcat
Industry:
Iot
Geo:
Russian, Portuguese, American
IOCs:
File: 1
Softs:
esxi, active directory
Algorithms:
aes, curve25519
Languages:
golang, rust
Segurança Informática
Luna ransomware encrypts Windows, Linux and ESXi systems
Ransomware is making headlines daily. New samples are introducing new techniques, more sophistication, and anti-detection techniques to hide their detection from the cybersecurity radar. One of the most recent examples...
CTT Report Hub
#ParsedReport 06-03-2023 Luna ransomware encrypts Windows, Linux and ESXi systems. Encryption process https://seguranca-informatica.pt/luna-ransomware-encrypts-windows-linux-and-esxi-systems Threats: Luna Blackcat Industry: Iot Geo: Russian, Portuguese…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Luna ransomware - это новый тип ransomware, который был обнаружен в июне 2022 года. Считается, что она разработана российскими актерами, поскольку исходный код Luna, судя по всему, адаптирован к русскому языку, а записка с требованием выкупа написана на американском английском языке с некоторыми грамматическими ошибками. Luna ransomware работает только с русскоязычными филиалами, имеет интерфейс командной строки и разработана на языке Rust, который становится все более популярным языком программирования среди преступников благодаря своей эффективности использования памяти и возможности кроссплатформенной разработки. Это затрудняет его обнаружение и позволяет злоумышленникам нанести наибольший ущерб при шифровании.
Rust также имеет больше преимуществ по сравнению с другими языками программирования с точки зрения обнаружения. Он занимает мало памяти, что усложняет обнаружение вредоносной активности антивирусными программами. Кроме того, он допускает кроссплатформенную разработку, что позволяет злоумышленникам использовать его для различных операционных систем. Эти особенности делают Rust идеальным языком для разработки ransomware, поскольку он позволяет преступникам избежать обнаружения и нанести максимальный ущерб в процессе шифрования.
В целом, Luna ransomware - это опасное семейство ransomware, разработанное российскими актерами на языке Rust. Этот язык экономит память, совместим с кросс-платформами и затрудняет обнаружение вредоносной активности. Принимая это во внимание, важно предпринять шаги по отслеживанию любой подозрительной активности и предотвращению атаки ransomware. Опытные специалисты, такие как Педро Таварес, могут предоставить ценную информацию о мире кибербезопасности и помочь снизить риск успешной атаки ransomware.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Luna ransomware - это новый тип ransomware, который был обнаружен в июне 2022 года. Считается, что она разработана российскими актерами, поскольку исходный код Luna, судя по всему, адаптирован к русскому языку, а записка с требованием выкупа написана на американском английском языке с некоторыми грамматическими ошибками. Luna ransomware работает только с русскоязычными филиалами, имеет интерфейс командной строки и разработана на языке Rust, который становится все более популярным языком программирования среди преступников благодаря своей эффективности использования памяти и возможности кроссплатформенной разработки. Это затрудняет его обнаружение и позволяет злоумышленникам нанести наибольший ущерб при шифровании.
Rust также имеет больше преимуществ по сравнению с другими языками программирования с точки зрения обнаружения. Он занимает мало памяти, что усложняет обнаружение вредоносной активности антивирусными программами. Кроме того, он допускает кроссплатформенную разработку, что позволяет злоумышленникам использовать его для различных операционных систем. Эти особенности делают Rust идеальным языком для разработки ransomware, поскольку он позволяет преступникам избежать обнаружения и нанести максимальный ущерб в процессе шифрования.
В целом, Luna ransomware - это опасное семейство ransomware, разработанное российскими актерами на языке Rust. Этот язык экономит память, совместим с кросс-платформами и затрудняет обнаружение вредоносной активности. Принимая это во внимание, важно предпринять шаги по отслеживанию любой подозрительной активности и предотвращению атаки ransomware. Опытные специалисты, такие как Педро Таварес, могут предоставить ценную информацию о мире кибербезопасности и помочь снизить риск успешной атаки ransomware.
#ParsedReport
06-03-2023
FiXS the new ATM Malware in LATAM
https://www.metabaseq.com/fixs-atms-malware
Threats:
Fixs
Ploutus
Industry:
Financial
Geo:
Latam, Brazil, America, Brazilian, Mexican, Mexico, Russian
IOCs:
File: 3
Hash: 2
Algorithms:
xor
Functions:
decode_XOR_key
Win API:
GetTickCount
Languages:
delphi
Platforms:
intel
06-03-2023
FiXS the new ATM Malware in LATAM
https://www.metabaseq.com/fixs-atms-malware
Threats:
Fixs
Ploutus
Industry:
Financial
Geo:
Latam, Brazil, America, Brazilian, Mexican, Mexico, Russian
IOCs:
File: 3
Hash: 2
Algorithms:
xor
Functions:
decode_XOR_key
Win API:
GetTickCount
Languages:
delphi
Platforms:
intel
Metabase Q
FiXS the new ATM Malware in LATAM - Metabase Q
FiXs is a new ATM malware that steals data from ATMs and infects computers. This is a detailed beginner's guide.
CTT Report Hub
#ParsedReport 06-03-2023 FiXS the new ATM Malware in LATAM https://www.metabaseq.com/fixs-atms-malware Threats: Fixs Ploutus Industry: Financial Geo: Latam, Brazil, America, Brazilian, Mexican, Mexico, Russian IOCs: File: 3 Hash: 2 Algorithms: xor …
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Банкоматы постоянно подвергаются риску физических и цифровых атак, что приводит к миллиардным убыткам в Мексике и Бразилии. Недавно компания Metabase Q выявила новую вредоносную программу под названием FiXS, которая в настоящее время атакует мексиканские банки. Она не зависит от производителя и использует внешнюю клавиатуру для начала атаки. Эта вредоносная программа запрограммирована с использованием русских метаданных и содержит файл-дроппер со строками, связанными с XFS. После установки дроппера он определяет временный каталог системы и сохраняет встроенную вредоносную программу в папке с жестко заданным именем. Встроенная вредоносная программа декодируется с помощью инструкции XOR, где ключ меняется при каждом цикле. После декодирования вредоносная программа запускается с помощью ShellExecute.
FiXS реализует API CEN XFS, что позволяет ему работать на любом банкомате под управлением Windows без особых изменений. Когда вредоносная программа запускается, она ждет определенной комбинации нажатых клавиш с внешней клавиатуры, чтобы отобразить интерфейс вредоносной программы. Этот интерфейс показывает количество купюр, которые будут выданы через 30 минут после последней перезагрузки банкомата. Чтобы сделать эту вредоносную программу максимально универсальной, она взаимодействует с ключом реестра для перечисления логических имен различных диспенсеров, не выбирая один конкретный. Если получена ошибка, она переходит к следующему периферийному устройству в списке.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Банкоматы постоянно подвергаются риску физических и цифровых атак, что приводит к миллиардным убыткам в Мексике и Бразилии. Недавно компания Metabase Q выявила новую вредоносную программу под названием FiXS, которая в настоящее время атакует мексиканские банки. Она не зависит от производителя и использует внешнюю клавиатуру для начала атаки. Эта вредоносная программа запрограммирована с использованием русских метаданных и содержит файл-дроппер со строками, связанными с XFS. После установки дроппера он определяет временный каталог системы и сохраняет встроенную вредоносную программу в папке с жестко заданным именем. Встроенная вредоносная программа декодируется с помощью инструкции XOR, где ключ меняется при каждом цикле. После декодирования вредоносная программа запускается с помощью ShellExecute.
FiXS реализует API CEN XFS, что позволяет ему работать на любом банкомате под управлением Windows без особых изменений. Когда вредоносная программа запускается, она ждет определенной комбинации нажатых клавиш с внешней клавиатуры, чтобы отобразить интерфейс вредоносной программы. Этот интерфейс показывает количество купюр, которые будут выданы через 30 минут после последней перезагрузки банкомата. Чтобы сделать эту вредоносную программу максимально универсальной, она взаимодействует с ключом реестра для перечисления логических имен различных диспенсеров, не выбирая один конкретный. Если получена ошибка, она переходит к следующему периферийному устройству в списке.
#ParsedReport
06-03-2023
DBatLoader and Remcos RAT Sweep Eastern Europe
https://www.sentinelone.com/blog/dbatloader-and-remcos-rat-sweep-eastern-europe
Threats:
Remcos_rat
Dbat_loader
Trickgate_tool
Dll_hijacking_technique
Process_injection_technique
Industry:
Financial
Geo:
Ukrainian
IOCs:
File: 4
Command: 1
Path: 1
Softs:
microsoft office, libreoffice, microsoft onedrive, microsoft defender
06-03-2023
DBatLoader and Remcos RAT Sweep Eastern Europe
https://www.sentinelone.com/blog/dbatloader-and-remcos-rat-sweep-eastern-europe
Threats:
Remcos_rat
Dbat_loader
Trickgate_tool
Dll_hijacking_technique
Process_injection_technique
Industry:
Financial
Geo:
Ukrainian
IOCs:
File: 4
Command: 1
Path: 1
Softs:
microsoft office, libreoffice, microsoft onedrive, microsoft defender
SentinelOne
DBatLoader and Remcos RAT Sweep Eastern Europe
Learn about phishing campaigns distributing RATs and the DBatLoader malware loader targeting Eastern European institutions and businesses.
CTT Report Hub
#ParsedReport 06-03-2023 DBatLoader and Remcos RAT Sweep Eastern Europe https://www.sentinelone.com/blog/dbatloader-and-remcos-rat-sweep-eastern-europe Threats: Remcos_rat Dbat_loader Trickgate_tool Dll_hijacking_technique Process_injection_technique Industry:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Компания SentinelOne отмечает увеличение числа фишинговых кампаний, использующих загрузчик вредоносного ПО DBatLoader для распространения Remcos RAT, направленных преимущественно на организации и предприятия Восточной Европы. Электронные письма, отправленные в рамках этих кампаний, обычно содержат вложения в виде архивов tar.lz, маскирующихся под финансовые документы, такие как счета-фактуры и тендерная документация. Чтобы придать письмам правдоподобный вид, угрозы используют различные методы, такие как отправка писем со взломанных частных учетных записей электронной почты, учетных записей публичных почтовых служб, используемых объектами атаки, и доменов верхнего уровня той же страны, где находится объект атаки. При запуске исполняемые файлы DBatLoader загружают и выполняют обфусцированную полезную нагрузку второго этапа из общедоступного облака, например Microsoft OneDrive или Google Drive. Он также устанавливает постоянство при перезагрузке системы и настраивает для целей C2 протоколирование клавиш, кражу снимков экрана и динамические DNS-домены duckdns.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Компания SentinelOne отмечает увеличение числа фишинговых кампаний, использующих загрузчик вредоносного ПО DBatLoader для распространения Remcos RAT, направленных преимущественно на организации и предприятия Восточной Европы. Электронные письма, отправленные в рамках этих кампаний, обычно содержат вложения в виде архивов tar.lz, маскирующихся под финансовые документы, такие как счета-фактуры и тендерная документация. Чтобы придать письмам правдоподобный вид, угрозы используют различные методы, такие как отправка писем со взломанных частных учетных записей электронной почты, учетных записей публичных почтовых служб, используемых объектами атаки, и доменов верхнего уровня той же страны, где находится объект атаки. При запуске исполняемые файлы DBatLoader загружают и выполняют обфусцированную полезную нагрузку второго этапа из общедоступного облака, например Microsoft OneDrive или Google Drive. Он также устанавливает постоянство при перезагрузке системы и настраивает для целей C2 протоколирование клавиш, кражу снимков экрана и динамические DNS-домены duckdns.
#ParsedReport
02-03-2023
BlackLotus UEFI bootkit: Myth confirmed
https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed
Threats:
Blacklotus
Especter
Finfisher
Lojax
Uac_bypass_technique
Hook
Beacon
Process_injection_technique
Process_hollowing_technique
Geo:
Russian, Armenia, Colombia, Ukrainian, Romanian, Belarusian, Moldova, Kazakhstan, Belarus, Ukraine, Russia
CVEs:
CVE-2022-21894 [Vulners]
CVSS V2: 4.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...
TTPs:
Tactics: 6
Technics: 28
IOCs:
File: 16
Hash: 32
Domain: 9
Url: 7
IP: 5
Softs:
bitlocker, windows defender, winlogon, windows security, windows kernel, windows defender), windows registry
Algorithms:
cbc, base64, aes
Functions:
GetProtectionStatus
Win API:
NtMajorVersion, NtMinorVersion, ObSetHandleAttributes, WTSQueryUserToken, CreateProcessAsUserW
Languages:
php
Platforms:
intel
Links:
02-03-2023
BlackLotus UEFI bootkit: Myth confirmed
https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed
Threats:
Blacklotus
Especter
Finfisher
Lojax
Uac_bypass_technique
Hook
Beacon
Process_injection_technique
Process_hollowing_technique
Geo:
Russian, Armenia, Colombia, Ukrainian, Romanian, Belarusian, Moldova, Kazakhstan, Belarus, Ukraine, Russia
CVEs:
CVE-2022-21894 [Vulners]
CVSS V2: 4.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...
TTPs:
Tactics: 6
Technics: 28
IOCs:
File: 16
Hash: 32
Domain: 9
Url: 7
IP: 5
Softs:
bitlocker, windows defender, winlogon, windows security, windows kernel, windows defender), windows registry
Algorithms:
cbc, base64, aes
Functions:
GetProtectionStatus
Win API:
NtMajorVersion, NtMinorVersion, ObSetHandleAttributes, WTSQueryUserToken, CreateProcessAsUserW
Languages:
php
Platforms:
intel
Links:
https://github.com/hfiref0x/UACME/issues/111https://github.com/Wack0/CVE-2022-21894Welivesecurity
BlackLotus UEFI bootkit: Myth confirmed
The first in-the-wild UEFI bootkit bypassing UEFI Secure Boot on fully updated UEFI systems is now a reality
CTT Report Hub
#ParsedReport 02-03-2023 BlackLotus UEFI bootkit: Myth confirmed https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed Threats: Blacklotus Especter Finfisher Lojax Uac_bypass_technique Hook Beacon Process_injection_technique …
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Буткит BlackLotus UEFI - это первая публично известная вредоносная программа, способная обойти важную функцию безопасности платформы UEFI Secure Boot. Он использует уязвимость (CVE-2022-21894), чтобы обойти UEFI Secure Boot и установить постоянство для буткита, что позволяет ему отключать такие механизмы безопасности ОС, как BitLocker, HVCI и Windows Defender. Вредоносная программа продается на подпольных форумах с 6 октября 2022 года за $5 000 и не устанавливается на системы с некоторыми локалями.
Установщики BlackLotus существуют в двух вариантах: офлайн и онлайн. В автономных версиях двоичные файлы Windows встроены в программу установки. В онлайн-версиях двоичные файлы Windows загружаются непосредственно из магазина символов Microsoft. Цель программы установки ясна: она отвечает за отключение функций безопасности Windows, таких как шифрование диска BitLocker и HVCI, а также за развертывание вредоносного буткита в системном разделе EFI перед перезагрузкой машины. После развертывания буткита происходит эксплуатация CVE-2022-21894 и последующая регистрация ключа владельца машины (MOK) злоумышленников, что позволяет добиться стойкости даже на системах с включенной функцией безопасной загрузки UEFI.
После того как персистентность настроена, при каждом запуске системы выполняется буткит BlackLotus. Цель буткита - развернуть драйвер ядра и последний компонент пользовательского режима, HTTP-загрузчик. Драйвер ядра отвечает за: развертывание HTTP-загрузчика, внедрение HTTP-загрузчика в winlogon.exe и повторное внедрение в случае завершения потока, защиту файлов буткита, развернутых на ESP, от удаления и отключение процесса MsMpEngine.exe защитника Windows Defender в пользовательском режиме. HTTP-загрузчик отвечает за связь со своим C&C, выполнение команд, полученных от C&C, загрузку и выполнение полезной нагрузки, полученной от C&C.
Для обеспечения скрытной работы в вирусе BlackLotus реализовано несколько методов защиты от отладки и виртуализации. Они включают шифрование всех строк, используемых в образцах, разрешение API только во время выполнения, сетевое взаимодействие, зашифрованное с помощью HTTPS и встроенного открытого ключа RSA, а также трюки антиотладки и анти-VM, размещенные в начале точки входа. Все эти приемы затрудняют обнаружение и анализ данного вредоносного ПО.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Буткит BlackLotus UEFI - это первая публично известная вредоносная программа, способная обойти важную функцию безопасности платформы UEFI Secure Boot. Он использует уязвимость (CVE-2022-21894), чтобы обойти UEFI Secure Boot и установить постоянство для буткита, что позволяет ему отключать такие механизмы безопасности ОС, как BitLocker, HVCI и Windows Defender. Вредоносная программа продается на подпольных форумах с 6 октября 2022 года за $5 000 и не устанавливается на системы с некоторыми локалями.
Установщики BlackLotus существуют в двух вариантах: офлайн и онлайн. В автономных версиях двоичные файлы Windows встроены в программу установки. В онлайн-версиях двоичные файлы Windows загружаются непосредственно из магазина символов Microsoft. Цель программы установки ясна: она отвечает за отключение функций безопасности Windows, таких как шифрование диска BitLocker и HVCI, а также за развертывание вредоносного буткита в системном разделе EFI перед перезагрузкой машины. После развертывания буткита происходит эксплуатация CVE-2022-21894 и последующая регистрация ключа владельца машины (MOK) злоумышленников, что позволяет добиться стойкости даже на системах с включенной функцией безопасной загрузки UEFI.
После того как персистентность настроена, при каждом запуске системы выполняется буткит BlackLotus. Цель буткита - развернуть драйвер ядра и последний компонент пользовательского режима, HTTP-загрузчик. Драйвер ядра отвечает за: развертывание HTTP-загрузчика, внедрение HTTP-загрузчика в winlogon.exe и повторное внедрение в случае завершения потока, защиту файлов буткита, развернутых на ESP, от удаления и отключение процесса MsMpEngine.exe защитника Windows Defender в пользовательском режиме. HTTP-загрузчик отвечает за связь со своим C&C, выполнение команд, полученных от C&C, загрузку и выполнение полезной нагрузки, полученной от C&C.
Для обеспечения скрытной работы в вирусе BlackLotus реализовано несколько методов защиты от отладки и виртуализации. Они включают шифрование всех строк, используемых в образцах, разрешение API только во время выполнения, сетевое взаимодействие, зашифрованное с помощью HTTPS и встроенного открытого ключа RSA, а также трюки антиотладки и анти-VM, размещенные в начале точки входа. Все эти приемы затрудняют обнаружение и анализ данного вредоносного ПО.
#ParsedReport
04-03-2023
Spike in LokiBot Activity During Final Week of 2022
https://unit42.paloaltonetworks.com/lokibot-spike-analysis
Actors/Campaigns:
Bec
Threats:
Lokibot_stealer
Process_hollowing_technique
Mirai
Industry:
Iot, Financial
Geo:
Apac, America, Emea, Japan
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Registry: 1
Domain: 2
Hash: 3
IP: 1
Softs:
internet explorer
Algorithms:
zip
Win API:
MoveFileExW, CopyFileW
Languages:
python
Platforms:
intel
04-03-2023
Spike in LokiBot Activity During Final Week of 2022
https://unit42.paloaltonetworks.com/lokibot-spike-analysis
Actors/Campaigns:
Bec
Threats:
Lokibot_stealer
Process_hollowing_technique
Mirai
Industry:
Iot, Financial
Geo:
Apac, America, Emea, Japan
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Registry: 1
Domain: 2
Hash: 3
IP: 1
Softs:
internet explorer
Algorithms:
zip
Win API:
MoveFileExW, CopyFileW
Languages:
python
Platforms:
intel
Unit 42
Spike in LokiBot Activity During Final Week of 2022
Using ML detection, we analyze a spike in LokiBot malware at the end of 2022. A data byte structure breakdown is included.
CTT Report Hub
#ParsedReport 04-03-2023 Spike in LokiBot Activity During Final Week of 2022 https://unit42.paloaltonetworks.com/lokibot-spike-analysis Actors/Campaigns: Bec Threats: Lokibot_stealer Process_hollowing_technique Mirai Industry: Iot, Financial Geo: Apac…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
LokiBot - это печально известная вредоносная программа, похищающая информацию, которая стала причиной многочисленных громких нарушений безопасности с момента ее первоначального обнаружения в 2015 году. Недавно он был обнаружен как часть кампании по компрометации деловой электронной почты (BEC), в ходе которой злоумышленники получают несанкционированный доступ к электронной почте, что приводит к финансовым махинациям. Вектор заражения, используемый этими злоумышленниками, представляет собой ZIP-файл, содержащий ISO-файл с конечной полезной нагрузкой, которая является техникой "впаивания" процесса, используемой для внедрения вредоносного кода в легитимный процесс. Вредоносная программа LokiBot использует командно-контрольный канал связи для кражи данных из различных приложений, создания бэкдора на зараженной машине и утечки информации по протоколу HTTP.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
LokiBot - это печально известная вредоносная программа, похищающая информацию, которая стала причиной многочисленных громких нарушений безопасности с момента ее первоначального обнаружения в 2015 году. Недавно он был обнаружен как часть кампании по компрометации деловой электронной почты (BEC), в ходе которой злоумышленники получают несанкционированный доступ к электронной почте, что приводит к финансовым махинациям. Вектор заражения, используемый этими злоумышленниками, представляет собой ZIP-файл, содержащий ISO-файл с конечной полезной нагрузкой, которая является техникой "впаивания" процесса, используемой для внедрения вредоносного кода в легитимный процесс. Вредоносная программа LokiBot использует командно-контрольный канал связи для кражи данных из различных приложений, создания бэкдора на зараженной машине и утечки информации по протоколу HTTP.
#ParsedReport
04-03-2023
PlugX malware being distributed as a vulnerability attack
https://asec.ahnlab.com/ko/48725
Actors/Campaigns:
Red_delta
Axiom
Red_sylvan
Threats:
Plugx_rat
Gh0st_rat
Sliver_tool
Xmrig_miner
Byovd_technique
Cobalt_strike
Metasploit_tool
Paradise_ransomware
Dll_sideloading_technique
Uac_bypass_technique
Netstat_tool
Malware/win.generic.c5387131
Trojan/win.loader.c5345891
Malware/mdp.download.m1197
Geo:
China, Chinese
CVEs:
CNVD-2022-03672 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CNVD-2022-10270 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- 上海贝锐信息科技股份有限公司 向日葵个人版for windows 11. (0.0.33)
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 6
Path: 1
Domain: 4
Hash: 3
Url: 2
Softs:
sunlogin awesun, sunlogin', sunlogin, awesun, awesun'
Functions:
DllMain
04-03-2023
PlugX malware being distributed as a vulnerability attack
https://asec.ahnlab.com/ko/48725
Actors/Campaigns:
Red_delta
Axiom
Red_sylvan
Threats:
Plugx_rat
Gh0st_rat
Sliver_tool
Xmrig_miner
Byovd_technique
Cobalt_strike
Metasploit_tool
Paradise_ransomware
Dll_sideloading_technique
Uac_bypass_technique
Netstat_tool
Malware/win.generic.c5387131
Trojan/win.loader.c5345891
Malware/mdp.download.m1197
Geo:
China, Chinese
CVEs:
CNVD-2022-03672 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CNVD-2022-10270 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- 上海贝锐信息科技股份有限公司 向日葵个人版for windows 11. (0.0.33)
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 6
Path: 1
Domain: 4
Hash: 3
Url: 2
Softs:
sunlogin awesun, sunlogin', sunlogin, awesun, awesun'
Functions:
DllMain
ASEC BLOG
취약점 공격으로 유포 중인 PlugX 악성코드 - ASEC BLOG
ASEC(AhnLab Security Emergency response Center)은 최근 중국 원격 제어 프로그램인 Sunlogin 및 AweSun에 대한 원격 코드 실행 취약점 공격을 통해 PlugX 악성코드가 설치되고 있는 것을 확인하였다. Sunlogin의 원격 코드 실행 취약점(CNVD-2022-10270 / CNVD-2022-03672)은 익스플로잇 코드가 공개된 이후 최근까지 다양한 공격에 사용되고 있다. 과거 ASEC은 블로그를 통해 Sunlogin…
CTT Report Hub
#ParsedReport 04-03-2023 PlugX malware being distributed as a vulnerability attack https://asec.ahnlab.com/ko/48725 Actors/Campaigns: Red_delta Axiom Red_sylvan Threats: Plugx_rat Gh0st_rat Sliver_tool Xmrig_miner Byovd_technique Cobalt_strike Metasploit_tool…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Недавно уязвимость удаленного выполнения кода в Sunlogin (CNVD-2022-10270 / CNVD-2022-03672) была использована в различных атаках злоумышленниками, использующими Sliver C2, XMRig coin miner, Gh0st RAT malware, Cobalt Strike, Metasploit и Paradise ransomware для эксплуатации уязвимостей в AweSun и Sunlogin. Аналитическая группа Центра реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) подтвердила, что вредоносное ПО PlugX также устанавливается через RCE-атаки на уязвимости Sunlogin и AweSun.
PlugX - это вредоносная программа с бэкдором, используемая китайскими группами атак Advanced Persistent Threat (APT) с 2008 года и представляющая собой модульную вредоносную программу с различными подключаемыми модулями для выполнения таких функций, как управление системой и кража информации. Он использует метод боковой загрузки DLL для обхода обнаружения продуктов безопасности. Типичный пакет PlugX состоит из исполняемого файла EXE, вредоносной DLL-загрузчика и файла закодированных данных, расположенных по одному пути. После выполнения вредоносный код оперирует в памяти в виде PlugX.
VirusTotal выявил вредоносное ПО, использующее для атаки те же файлы esetservice.exe и http_dll.dll. Дроппер маскируется под путь обычной программы и создает вредоносные коды по пути C:\ProgramData\Windows NT\Windows reset service. Он также присваивает себе скрытый атрибут, чтобы не быть замеченным пользователями. Эта рутина отвечает за загрузку файла lang.dat, расположенного по тому же пути, и выполнение его в памяти. По мере выполнения кода, PlugX, хранящийся вместе, расшифровывается и выполняется в памяти.
PlugX предоставляет различные режимы в зависимости от факторов и может обойти UAC, используя интерфейс ICMLuaUtil и запускаясь с привилегиями администратора. Когда PlugX установлен, злоумышленник может получить контроль над зараженной системой без ведома пользователя и, таким образом, выполнить различные вредоносные действия, такие как кража информации, включая информацию о вводе ключей пользователя и захват скриншотов, а также установка дополнительного вредоносного ПО.
Для защиты от этих типов атак пользователям следует обновить установленное программное обеспечение до последней версии, заранее блокировать заражение вредоносным кодом, обновив V3 до последней версии, и позаботиться о надлежащей защите своих систем.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Недавно уязвимость удаленного выполнения кода в Sunlogin (CNVD-2022-10270 / CNVD-2022-03672) была использована в различных атаках злоумышленниками, использующими Sliver C2, XMRig coin miner, Gh0st RAT malware, Cobalt Strike, Metasploit и Paradise ransomware для эксплуатации уязвимостей в AweSun и Sunlogin. Аналитическая группа Центра реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) подтвердила, что вредоносное ПО PlugX также устанавливается через RCE-атаки на уязвимости Sunlogin и AweSun.
PlugX - это вредоносная программа с бэкдором, используемая китайскими группами атак Advanced Persistent Threat (APT) с 2008 года и представляющая собой модульную вредоносную программу с различными подключаемыми модулями для выполнения таких функций, как управление системой и кража информации. Он использует метод боковой загрузки DLL для обхода обнаружения продуктов безопасности. Типичный пакет PlugX состоит из исполняемого файла EXE, вредоносной DLL-загрузчика и файла закодированных данных, расположенных по одному пути. После выполнения вредоносный код оперирует в памяти в виде PlugX.
VirusTotal выявил вредоносное ПО, использующее для атаки те же файлы esetservice.exe и http_dll.dll. Дроппер маскируется под путь обычной программы и создает вредоносные коды по пути C:\ProgramData\Windows NT\Windows reset service. Он также присваивает себе скрытый атрибут, чтобы не быть замеченным пользователями. Эта рутина отвечает за загрузку файла lang.dat, расположенного по тому же пути, и выполнение его в памяти. По мере выполнения кода, PlugX, хранящийся вместе, расшифровывается и выполняется в памяти.
PlugX предоставляет различные режимы в зависимости от факторов и может обойти UAC, используя интерфейс ICMLuaUtil и запускаясь с привилегиями администратора. Когда PlugX установлен, злоумышленник может получить контроль над зараженной системой без ведома пользователя и, таким образом, выполнить различные вредоносные действия, такие как кража информации, включая информацию о вводе ключей пользователя и захват скриншотов, а также установка дополнительного вредоносного ПО.
Для защиты от этих типов атак пользователям следует обновить установленное программное обеспечение до последней версии, заранее блокировать заражение вредоносным кодом, обновив V3 до последней версии, и позаботиться о надлежащей защите своих систем.
#ParsedReport
06-03-2023
New HiatusRAT router malware covertly spies on victims
https://blog.lumen.com/new-hiatusrat-router-malware-covertly-spies-on-victims
Threats:
Hiatusrat
Zuo_rat
Beacon
Emotet
Industry:
Government, Healthcare, Telco
Geo:
America, Australia, China
IOCs:
Hash: 15
IP: 5
File: 1
Softs:
openssl
Platforms:
mips, arm
Links:
06-03-2023
New HiatusRAT router malware covertly spies on victims
https://blog.lumen.com/new-hiatusrat-router-malware-covertly-spies-on-victims
Threats:
Hiatusrat
Zuo_rat
Beacon
Emotet
Industry:
Government, Healthcare, Telco
Geo:
America, Australia, China
IOCs:
Hash: 15
IP: 5
File: 1
Softs:
openssl
Platforms:
mips, arm
Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Hiatus\_IoCs.txtLumen Blog
New HiatusRAT router malware covertly spies on victims
Lumen Black Lotus Labs identified a new campaign involving compromised routers. HiatusRAT allows threat actors to remotely interact with the system.
CTT Report Hub
#ParsedReport 06-03-2023 New HiatusRAT router malware covertly spies on victims https://blog.lumen.com/new-hiatusrat-router-malware-covertly-spies-on-victims Threats: Hiatusrat Zuo_rat Beacon Emotet Industry: Government, Healthcare, Telco Geo: America…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В июле 2022 года компания Black Lotus Labs выявила новую кампанию вредоносного ПО под названием Hiatus. Атака была направлена на маршрутизаторы бизнес-класса для развертывания двух вредоносных двоичных файлов, включая троянца удаленного доступа (RAT), известного как HiatusRAT, и вариант tcpdump, позволяющий перехватывать пакеты на целевом устройстве. Это позволяет агенту угрозы отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов. С помощью собственной телеметрии с глобальной IP-магистрали Lumen было выявлено не менее 100 зараженных жертв в Европе и Латинской Америке.
HiatusRAT относится к типу троянцев удаленного доступа (RAT). Он имеет несколько предварительно созданных функций, включая "config", "shell", "file", "executor", "script", "tcp_forward" и "socks5". Функции "tcp_forward" и "socks5" предназначены для обеспечения обфусцированной связи с другими машинами, что позволяет использовать маршрутизатор в качестве командного и управляющего IP-адреса для вредоносного ПО на отдельном устройстве. Функция "socks5", согласно RFC 1928, обеспечивает большую гибкость, включая соединения на основе UDP, соединения IPv6 и необязательные поля аутентификации, такие как имя пользователя и пароль или маркер. Это позволяет агентам угроз взаимодействовать с другим агентом со скомпрометированного IP-адреса и более точно имитировать легитимное поведение, что потенциально позволяет им обойти обнаружение.
Двоичный файл tcpdump также позволяет агенту пассивно перехватывать исходящие соединения, связанные с FTP, SMTP, POP3, IMAP и другими портами. По состоянию на середину февраля 2023 года в Интернете было обнаружено около 2700 маршрутизаторов DrayTek Vigor 2960 и около 1400 маршрутизаторов DrayTek Vigor 3900, и Hiatus скомпрометировал около 100 из этих маршрутизаторов. Это указывает на то, что участники угрозы пытались остаться незамеченными, ограничив масштаб своих операций.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В июле 2022 года компания Black Lotus Labs выявила новую кампанию вредоносного ПО под названием Hiatus. Атака была направлена на маршрутизаторы бизнес-класса для развертывания двух вредоносных двоичных файлов, включая троянца удаленного доступа (RAT), известного как HiatusRAT, и вариант tcpdump, позволяющий перехватывать пакеты на целевом устройстве. Это позволяет агенту угрозы отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов. С помощью собственной телеметрии с глобальной IP-магистрали Lumen было выявлено не менее 100 зараженных жертв в Европе и Латинской Америке.
HiatusRAT относится к типу троянцев удаленного доступа (RAT). Он имеет несколько предварительно созданных функций, включая "config", "shell", "file", "executor", "script", "tcp_forward" и "socks5". Функции "tcp_forward" и "socks5" предназначены для обеспечения обфусцированной связи с другими машинами, что позволяет использовать маршрутизатор в качестве командного и управляющего IP-адреса для вредоносного ПО на отдельном устройстве. Функция "socks5", согласно RFC 1928, обеспечивает большую гибкость, включая соединения на основе UDP, соединения IPv6 и необязательные поля аутентификации, такие как имя пользователя и пароль или маркер. Это позволяет агентам угроз взаимодействовать с другим агентом со скомпрометированного IP-адреса и более точно имитировать легитимное поведение, что потенциально позволяет им обойти обнаружение.
Двоичный файл tcpdump также позволяет агенту пассивно перехватывать исходящие соединения, связанные с FTP, SMTP, POP3, IMAP и другими портами. По состоянию на середину февраля 2023 года в Интернете было обнаружено около 2700 маршрутизаторов DrayTek Vigor 2960 и около 1400 маршрутизаторов DrayTek Vigor 3900, и Hiatus скомпрометировал около 100 из этих маршрутизаторов. Это указывает на то, что участники угрозы пытались остаться незамеченными, ограничив масштаб своих операций.