#ParsedReport
04-03-2023

Magbo Spam Injection Encoded with hex2bin

https://blog.sucuri.net/2023/03/magbo-spam-injection-encoded-with-hex2bin.html

Threats:
Hex2bin

Geo:
Russian

IOCs:
Domain: 1

Softs:
wordpress, cpanel

Languages:
javascript, php

#ParsedReport
06-03-2023

Luna ransomware encrypts Windows, Linux and ESXi systems. Encryption process

https://seguranca-informatica.pt/luna-ransomware-encrypts-windows-linux-and-esxi-systems

Threats:
Luna
Blackcat

Industry:
Iot

Geo:
Russian, Portuguese, American

IOCs:
File: 1

Softs:
esxi, active directory

Algorithms:
aes, curve25519

Languages:
golang, rust

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Luna ransomware - это новый тип ransomware, который был обнаружен в июне 2022 года. Считается, что она разработана российскими актерами, поскольку исходный код Luna, судя по всему, адаптирован к русскому языку, а записка с требованием выкупа написана на американском английском языке с некоторыми грамматическими ошибками. Luna ransomware работает только с русскоязычными филиалами, имеет интерфейс командной строки и разработана на языке Rust, который становится все более популярным языком программирования среди преступников благодаря своей эффективности использования памяти и возможности кроссплатформенной разработки. Это затрудняет его обнаружение и позволяет злоумышленникам нанести наибольший ущерб при шифровании.

Rust также имеет больше преимуществ по сравнению с другими языками программирования с точки зрения обнаружения. Он занимает мало памяти, что усложняет обнаружение вредоносной активности антивирусными программами. Кроме того, он допускает кроссплатформенную разработку, что позволяет злоумышленникам использовать его для различных операционных систем. Эти особенности делают Rust идеальным языком для разработки ransomware, поскольку он позволяет преступникам избежать обнаружения и нанести максимальный ущерб в процессе шифрования.

В целом, Luna ransomware - это опасное семейство ransomware, разработанное российскими актерами на языке Rust. Этот язык экономит память, совместим с кросс-платформами и затрудняет обнаружение вредоносной активности. Принимая это во внимание, важно предпринять шаги по отслеживанию любой подозрительной активности и предотвращению атаки ransomware. Опытные специалисты, такие как Педро Таварес, могут предоставить ценную информацию о мире кибербезопасности и помочь снизить риск успешной атаки ransomware.

#ParsedReport
06-03-2023

FiXS the new ATM Malware in LATAM

https://www.metabaseq.com/fixs-atms-malware

Threats:
Fixs
Ploutus

Industry:
Financial

Geo:
Latam, Brazil, America, Brazilian, Mexican, Mexico, Russian

IOCs:
File: 3
Hash: 2

Algorithms:
xor

Functions:
decode_XOR_key

Win API:
GetTickCount

Languages:
delphi

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Банкоматы постоянно подвергаются риску физических и цифровых атак, что приводит к миллиардным убыткам в Мексике и Бразилии. Недавно компания Metabase Q выявила новую вредоносную программу под названием FiXS, которая в настоящее время атакует мексиканские банки. Она не зависит от производителя и использует внешнюю клавиатуру для начала атаки. Эта вредоносная программа запрограммирована с использованием русских метаданных и содержит файл-дроппер со строками, связанными с XFS. После установки дроппера он определяет временный каталог системы и сохраняет встроенную вредоносную программу в папке с жестко заданным именем. Встроенная вредоносная программа декодируется с помощью инструкции XOR, где ключ меняется при каждом цикле. После декодирования вредоносная программа запускается с помощью ShellExecute.

FiXS реализует API CEN XFS, что позволяет ему работать на любом банкомате под управлением Windows без особых изменений. Когда вредоносная программа запускается, она ждет определенной комбинации нажатых клавиш с внешней клавиатуры, чтобы отобразить интерфейс вредоносной программы. Этот интерфейс показывает количество купюр, которые будут выданы через 30 минут после последней перезагрузки банкомата. Чтобы сделать эту вредоносную программу максимально универсальной, она взаимодействует с ключом реестра для перечисления логических имен различных диспенсеров, не выбирая один конкретный. Если получена ошибка, она переходит к следующему периферийному устройству в списке.

#ParsedReport
06-03-2023

DBatLoader and Remcos RAT Sweep Eastern Europe

https://www.sentinelone.com/blog/dbatloader-and-remcos-rat-sweep-eastern-europe

Threats:
Remcos_rat
Dbat_loader
Trickgate_tool
Dll_hijacking_technique
Process_injection_technique

Industry:
Financial

Geo:
Ukrainian

IOCs:
File: 4
Command: 1
Path: 1

Softs:
microsoft office, libreoffice, microsoft onedrive, microsoft defender

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания SentinelOne отмечает увеличение числа фишинговых кампаний, использующих загрузчик вредоносного ПО DBatLoader для распространения Remcos RAT, направленных преимущественно на организации и предприятия Восточной Европы. Электронные письма, отправленные в рамках этих кампаний, обычно содержат вложения в виде архивов tar.lz, маскирующихся под финансовые документы, такие как счета-фактуры и тендерная документация. Чтобы придать письмам правдоподобный вид, угрозы используют различные методы, такие как отправка писем со взломанных частных учетных записей электронной почты, учетных записей публичных почтовых служб, используемых объектами атаки, и доменов верхнего уровня той же страны, где находится объект атаки. При запуске исполняемые файлы DBatLoader загружают и выполняют обфусцированную полезную нагрузку второго этапа из общедоступного облака, например Microsoft OneDrive или Google Drive. Он также устанавливает постоянство при перезагрузке системы и настраивает для целей C2 протоколирование клавиш, кражу снимков экрана и динамические DNS-домены duckdns.

#ParsedReport
02-03-2023

BlackLotus UEFI bootkit: Myth confirmed

https://www.welivesecurity.com/2023/03/01/blacklotus-uefi-bootkit-myth-confirmed

Threats:
Blacklotus
Especter
Finfisher
Lojax
Uac_bypass_technique
Hook
Beacon
Process_injection_technique
Process_hollowing_technique

Geo:
Russian, Armenia, Colombia, Ukrainian, Romanian, Belarusian, Moldova, Kazakhstan, Belarus, Ukraine, Russia

CVEs:
CVE-2022-21894 [Vulners]
CVSS V2: 4.9,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...

TTPs:
Tactics: 6
Technics: 28

IOCs:
File: 16
Hash: 32
Domain: 9
Url: 7
IP: 5

Softs:
bitlocker, windows defender, winlogon, windows security, windows kernel, windows defender), windows registry

Algorithms:
cbc, base64, aes

Functions:
GetProtectionStatus

Win API:
NtMajorVersion, NtMinorVersion, ObSetHandleAttributes, WTSQueryUserToken, CreateProcessAsUserW

Languages:
php

Platforms:
intel

Links:
https://github.com/hfiref0x/UACME/issues/111
https://github.com/Wack0/CVE-2022-21894

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Буткит BlackLotus UEFI - это первая публично известная вредоносная программа, способная обойти важную функцию безопасности платформы UEFI Secure Boot. Он использует уязвимость (CVE-2022-21894), чтобы обойти UEFI Secure Boot и установить постоянство для буткита, что позволяет ему отключать такие механизмы безопасности ОС, как BitLocker, HVCI и Windows Defender. Вредоносная программа продается на подпольных форумах с 6 октября 2022 года за $5 000 и не устанавливается на системы с некоторыми локалями.

Установщики BlackLotus существуют в двух вариантах: офлайн и онлайн. В автономных версиях двоичные файлы Windows встроены в программу установки. В онлайн-версиях двоичные файлы Windows загружаются непосредственно из магазина символов Microsoft. Цель программы установки ясна: она отвечает за отключение функций безопасности Windows, таких как шифрование диска BitLocker и HVCI, а также за развертывание вредоносного буткита в системном разделе EFI перед перезагрузкой машины. После развертывания буткита происходит эксплуатация CVE-2022-21894 и последующая регистрация ключа владельца машины (MOK) злоумышленников, что позволяет добиться стойкости даже на системах с включенной функцией безопасной загрузки UEFI.

После того как персистентность настроена, при каждом запуске системы выполняется буткит BlackLotus. Цель буткита - развернуть драйвер ядра и последний компонент пользовательского режима, HTTP-загрузчик. Драйвер ядра отвечает за: развертывание HTTP-загрузчика, внедрение HTTP-загрузчика в winlogon.exe и повторное внедрение в случае завершения потока, защиту файлов буткита, развернутых на ESP, от удаления и отключение процесса MsMpEngine.exe защитника Windows Defender в пользовательском режиме. HTTP-загрузчик отвечает за связь со своим C&C, выполнение команд, полученных от C&C, загрузку и выполнение полезной нагрузки, полученной от C&C.

Для обеспечения скрытной работы в вирусе BlackLotus реализовано несколько методов защиты от отладки и виртуализации. Они включают шифрование всех строк, используемых в образцах, разрешение API только во время выполнения, сетевое взаимодействие, зашифрованное с помощью HTTPS и встроенного открытого ключа RSA, а также трюки антиотладки и анти-VM, размещенные в начале точки входа. Все эти приемы затрудняют обнаружение и анализ данного вредоносного ПО.

#ParsedReport
04-03-2023

Spike in LokiBot Activity During Final Week of 2022

https://unit42.paloaltonetworks.com/lokibot-spike-analysis

Actors/Campaigns:
Bec

Threats:
Lokibot_stealer
Process_hollowing_technique
Mirai

Industry:
Iot, Financial

Geo:
Apac, America, Emea, Japan

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Registry: 1
Domain: 2
Hash: 3
IP: 1

Softs:
internet explorer

Algorithms:
zip

Win API:
MoveFileExW, CopyFileW

Languages:
python

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

LokiBot - это печально известная вредоносная программа, похищающая информацию, которая стала причиной многочисленных громких нарушений безопасности с момента ее первоначального обнаружения в 2015 году. Недавно он был обнаружен как часть кампании по компрометации деловой электронной почты (BEC), в ходе которой злоумышленники получают несанкционированный доступ к электронной почте, что приводит к финансовым махинациям. Вектор заражения, используемый этими злоумышленниками, представляет собой ZIP-файл, содержащий ISO-файл с конечной полезной нагрузкой, которая является техникой "впаивания" процесса, используемой для внедрения вредоносного кода в легитимный процесс. Вредоносная программа LokiBot использует командно-контрольный канал связи для кражи данных из различных приложений, создания бэкдора на зараженной машине и утечки информации по протоколу HTTP.

#ParsedReport
04-03-2023

PlugX malware being distributed as a vulnerability attack

https://asec.ahnlab.com/ko/48725

Actors/Campaigns:
Red_delta
Axiom
Red_sylvan

Threats:
Plugx_rat
Gh0st_rat
Sliver_tool
Xmrig_miner
Byovd_technique
Cobalt_strike
Metasploit_tool
Paradise_ransomware
Dll_sideloading_technique
Uac_bypass_technique
Netstat_tool
Malware/win.generic.c5387131
Trojan/win.loader.c5345891
Malware/mdp.download.m1197

Geo:
China, Chinese

CVEs:
CNVD-2022-03672 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CNVD-2022-10270 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- 上海贝锐信息科技股份有限公司 向日葵个人版for windows 11. (0.0.33)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 6
Path: 1
Domain: 4
Hash: 3
Url: 2

Softs:
sunlogin awesun, sunlogin', sunlogin, awesun, awesun'

Functions:
DllMain

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно уязвимость удаленного выполнения кода в Sunlogin (CNVD-2022-10270 / CNVD-2022-03672) была использована в различных атаках злоумышленниками, использующими Sliver C2, XMRig coin miner, Gh0st RAT malware, Cobalt Strike, Metasploit и Paradise ransomware для эксплуатации уязвимостей в AweSun и Sunlogin. Аналитическая группа Центра реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) подтвердила, что вредоносное ПО PlugX также устанавливается через RCE-атаки на уязвимости Sunlogin и AweSun.

PlugX - это вредоносная программа с бэкдором, используемая китайскими группами атак Advanced Persistent Threat (APT) с 2008 года и представляющая собой модульную вредоносную программу с различными подключаемыми модулями для выполнения таких функций, как управление системой и кража информации. Он использует метод боковой загрузки DLL для обхода обнаружения продуктов безопасности. Типичный пакет PlugX состоит из исполняемого файла EXE, вредоносной DLL-загрузчика и файла закодированных данных, расположенных по одному пути. После выполнения вредоносный код оперирует в памяти в виде PlugX.

VirusTotal выявил вредоносное ПО, использующее для атаки те же файлы esetservice.exe и http_dll.dll. Дроппер маскируется под путь обычной программы и создает вредоносные коды по пути C:\ProgramData\Windows NT\Windows reset service. Он также присваивает себе скрытый атрибут, чтобы не быть замеченным пользователями. Эта рутина отвечает за загрузку файла lang.dat, расположенного по тому же пути, и выполнение его в памяти. По мере выполнения кода, PlugX, хранящийся вместе, расшифровывается и выполняется в памяти.

PlugX предоставляет различные режимы в зависимости от факторов и может обойти UAC, используя интерфейс ICMLuaUtil и запускаясь с привилегиями администратора. Когда PlugX установлен, злоумышленник может получить контроль над зараженной системой без ведома пользователя и, таким образом, выполнить различные вредоносные действия, такие как кража информации, включая информацию о вводе ключей пользователя и захват скриншотов, а также установка дополнительного вредоносного ПО.

Для защиты от этих типов атак пользователям следует обновить установленное программное обеспечение до последней версии, заранее блокировать заражение вредоносным кодом, обновив V3 до последней версии, и позаботиться о надлежащей защите своих систем.

#ParsedReport
06-03-2023

New HiatusRAT router malware covertly spies on victims

https://blog.lumen.com/new-hiatusrat-router-malware-covertly-spies-on-victims

Threats:
Hiatusrat
Zuo_rat
Beacon
Emotet

Industry:
Government, Healthcare, Telco

Geo:
America, Australia, China

IOCs:
Hash: 15
IP: 5
File: 1

Softs:
openssl

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Hiatus\_IoCs.txt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В июле 2022 года компания Black Lotus Labs выявила новую кампанию вредоносного ПО под названием Hiatus. Атака была направлена на маршрутизаторы бизнес-класса для развертывания двух вредоносных двоичных файлов, включая троянца удаленного доступа (RAT), известного как HiatusRAT, и вариант tcpdump, позволяющий перехватывать пакеты на целевом устройстве. Это позволяет агенту угрозы отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов. С помощью собственной телеметрии с глобальной IP-магистрали Lumen было выявлено не менее 100 зараженных жертв в Европе и Латинской Америке.

HiatusRAT относится к типу троянцев удаленного доступа (RAT). Он имеет несколько предварительно созданных функций, включая "config", "shell", "file", "executor", "script", "tcp_forward" и "socks5". Функции "tcp_forward" и "socks5" предназначены для обеспечения обфусцированной связи с другими машинами, что позволяет использовать маршрутизатор в качестве командного и управляющего IP-адреса для вредоносного ПО на отдельном устройстве. Функция "socks5", согласно RFC 1928, обеспечивает большую гибкость, включая соединения на основе UDP, соединения IPv6 и необязательные поля аутентификации, такие как имя пользователя и пароль или маркер. Это позволяет агентам угроз взаимодействовать с другим агентом со скомпрометированного IP-адреса и более точно имитировать легитимное поведение, что потенциально позволяет им обойти обнаружение.

Двоичный файл tcpdump также позволяет агенту пассивно перехватывать исходящие соединения, связанные с FTP, SMTP, POP3, IMAP и другими портами. По состоянию на середину февраля 2023 года в Интернете было обнаружено около 2700 маршрутизаторов DrayTek Vigor 2960 и около 1400 маршрутизаторов DrayTek Vigor 3900, и Hiatus скомпрометировал около 100 из этих маршрутизаторов. Это указывает на то, что участники угрозы пытались остаться незамеченными, ограничив масштаб своих операций.

#ParsedReport
07-03-2023

Nevada Ransomware: Yet Another Nokayawa Variant. Key Points

https://www.zscaler.com/blogs/security-research/nevada-ransomware-yet-another-nokayawa-variant

Actors/Campaigns:
Nevada

Threats:
Nevada_ransomware
Nokoyawa
Karma
Nemty

IOCs:
Hash: 4

Algorithms:
crc-32, base64, curve25519, ecc, sect233r1, salsa20

Win API:
DeviceIoControl, CreateThread

Languages:
rust

Platforms:
x64

Links:
https://github.com/kokke/tiny-ECDH-c
https://github.com/gtworek/PSBits/tree/master/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE

#ParsedReport
07-03-2023

Ransomware Roundup Sirattacker and ALC Ransomware

https://www.fortinet.com/blog/threat-research/ransomware-roundup-sirattacker-acl

Threats:
Sirattacker
Chaos
Clipbanker
Filecoder

Industry:
Financial

Geo:
Russia, Belarus, Iran, China, Rus

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Hash: 15

Softs:
telegram

Algorithms:
aes

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания FortiGuard Labs, собирающая данные раз в две недели, недавно выпустила отчет Ransomware Roundup, в котором рассматриваются два последних варианта ransomware - Sirattacker и ALC. Отчет дает представление о том, как функционируют эти штаммы и как клиенты Fortinet могут быть защищены от них.

Sirattacker - один из последних вариантов Chaos ransomware, который впервые был выпущен в феврале 2023 года. Она распространяется как приложение для майнинга Ethereum и шифрует файлы на машине жертвы, добавляя к их именам случайные четырехбуквенные расширения файлов. Ransomware выводит записку с требованием выкупа в командной строке и заменяет обои рабочего стола на свои собственные. Кроме того, на биткоин-кошельке, используемом угрозой, было проведено несколько транзакций, последняя из которых была отправлена на другой кошелек, содержащий более 12 миллионов долларов.

ALC ransomware, с другой стороны, известна своим посланием, направленным на Россию и ее коллег, в записке о выкупе. Она создает несколько файлов на Рабочем столе жертвы, включая записку с выкупом, содержащую неправильный выбор слов и уникальный идентификатор, присвоенный жертве. На экране выкупа указан криптовалютный выкуп в размере 554 Monero (более 80 000 долларов США). Однако, в отличие от Sirattacker, ALC ransomware не шифрует никаких файлов и классифицируется как scareware.

#ParsedReport
07-03-2023

How SYS01 stealer Will Get Your Sensitive Facebook Info

https://blog.morphisec.com/sys01stealer-facebook-info-stealer

Threats:
Sys01_stealer
Dll_sideloading_technique
S1deload
Hidec_tool
Ioncube_tool
Zephir_tool

Industry:
Government

IOCs:
File: 15
Path: 3
Hash: 16
Domain: 10

Algorithms:
base64, zip

Functions:
uniqid

Languages:
rust, python, php

Links:
https://github.com/Nuitka/Nuitka

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Morphisec отслеживает вредоносный похититель информации под названием SYS01 с ноября 2022 года. Он используется субъектами угроз для атак на людей в правительстве, производстве и других отраслях, завлекая их с помощью рекламы Google и поддельных профилей Facebook. Эти профили предлагают игры, контент для взрослых и взломанные программы, которые содержат вредоносную полезную нагрузку. Атака направлена на кражу данных для входа в систему, файлов cookie, рекламы Facebook и информации о бизнес-аккаунтах.

Цепочка заражения состоит из двух частей: загрузчика и программы установки Inno-Setup, которая передает конечную полезную нагрузку. Загрузчик обычно представляет собой легитимное приложение C#, уязвимое к побочной загрузке DLL. Это приложение сбрасывает программу установки Inno-Setup, которая распаковывается в PHP-приложение, содержащее вредоносные скрипты. Скрипты закодированы с использованием различных техник, что затрудняет их анализ и обнаружение. Полезная нагрузка была доставлена различными способами, включая боковую загрузку DLL, исполняемые файлы Rust и Python и многие другие.

После выполнения на машине жертвы вредоносный код создает идентификатор машины, извлекает куки и данные для входа в систему из браузеров на базе Chromium, проверяет наличие учетной записи Facebook, получает доступ к конфиденциальным данным Facebook и загружает файл на сервер C2. Затем он создает запланированную задачу, которая запускает обновленную процедуру при входе в систему и каждые 30 минут.

Для защиты от SYS01 и других атак с боковой загрузкой DLL организациям следует внедрить политику нулевого доверия, ограничить права пользователей на загрузку и установку программ, обучить пользователей приемам, которые используют противники, и развернуть технологию защиты движущихся целей (MTD) для защиты памяти во время выполнения. Для обеспечения дополнительной защиты можно также использовать инструменты, основанные на обнаружении.

#ParsedReport
06-03-2023

Protecting Android clipboard content from unintended exposure

https://www.microsoft.com/en-us/security/blog/2023/03/06/protecting-android-clipboard-content-from-unintended-exposure

Industry:
Financial

IOCs:
Hash: 1
Url: 2
Domain: 1

Softs:
android, microsoft 365 defender