#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно уязвимость удаленного выполнения кода в Sunlogin (CNVD-2022-10270 / CNVD-2022-03672) была использована в различных атаках злоумышленниками, использующими Sliver C2, XMRig coin miner, Gh0st RAT malware, Cobalt Strike, Metasploit и Paradise ransomware для эксплуатации уязвимостей в AweSun и Sunlogin. Аналитическая группа Центра реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) подтвердила, что вредоносное ПО PlugX также устанавливается через RCE-атаки на уязвимости Sunlogin и AweSun.

PlugX - это вредоносная программа с бэкдором, используемая китайскими группами атак Advanced Persistent Threat (APT) с 2008 года и представляющая собой модульную вредоносную программу с различными подключаемыми модулями для выполнения таких функций, как управление системой и кража информации. Он использует метод боковой загрузки DLL для обхода обнаружения продуктов безопасности. Типичный пакет PlugX состоит из исполняемого файла EXE, вредоносной DLL-загрузчика и файла закодированных данных, расположенных по одному пути. После выполнения вредоносный код оперирует в памяти в виде PlugX.

VirusTotal выявил вредоносное ПО, использующее для атаки те же файлы esetservice.exe и http_dll.dll. Дроппер маскируется под путь обычной программы и создает вредоносные коды по пути C:\ProgramData\Windows NT\Windows reset service. Он также присваивает себе скрытый атрибут, чтобы не быть замеченным пользователями. Эта рутина отвечает за загрузку файла lang.dat, расположенного по тому же пути, и выполнение его в памяти. По мере выполнения кода, PlugX, хранящийся вместе, расшифровывается и выполняется в памяти.

PlugX предоставляет различные режимы в зависимости от факторов и может обойти UAC, используя интерфейс ICMLuaUtil и запускаясь с привилегиями администратора. Когда PlugX установлен, злоумышленник может получить контроль над зараженной системой без ведома пользователя и, таким образом, выполнить различные вредоносные действия, такие как кража информации, включая информацию о вводе ключей пользователя и захват скриншотов, а также установка дополнительного вредоносного ПО.

Для защиты от этих типов атак пользователям следует обновить установленное программное обеспечение до последней версии, заранее блокировать заражение вредоносным кодом, обновив V3 до последней версии, и позаботиться о надлежащей защите своих систем.

#ParsedReport
06-03-2023

New HiatusRAT router malware covertly spies on victims

https://blog.lumen.com/new-hiatusrat-router-malware-covertly-spies-on-victims

Threats:
Hiatusrat
Zuo_rat
Beacon
Emotet

Industry:
Government, Healthcare, Telco

Geo:
America, Australia, China

IOCs:
Hash: 15
IP: 5
File: 1

Softs:
openssl

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Hiatus\_IoCs.txt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В июле 2022 года компания Black Lotus Labs выявила новую кампанию вредоносного ПО под названием Hiatus. Атака была направлена на маршрутизаторы бизнес-класса для развертывания двух вредоносных двоичных файлов, включая троянца удаленного доступа (RAT), известного как HiatusRAT, и вариант tcpdump, позволяющий перехватывать пакеты на целевом устройстве. Это позволяет агенту угрозы отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов. С помощью собственной телеметрии с глобальной IP-магистрали Lumen было выявлено не менее 100 зараженных жертв в Европе и Латинской Америке.

HiatusRAT относится к типу троянцев удаленного доступа (RAT). Он имеет несколько предварительно созданных функций, включая "config", "shell", "file", "executor", "script", "tcp_forward" и "socks5". Функции "tcp_forward" и "socks5" предназначены для обеспечения обфусцированной связи с другими машинами, что позволяет использовать маршрутизатор в качестве командного и управляющего IP-адреса для вредоносного ПО на отдельном устройстве. Функция "socks5", согласно RFC 1928, обеспечивает большую гибкость, включая соединения на основе UDP, соединения IPv6 и необязательные поля аутентификации, такие как имя пользователя и пароль или маркер. Это позволяет агентам угроз взаимодействовать с другим агентом со скомпрометированного IP-адреса и более точно имитировать легитимное поведение, что потенциально позволяет им обойти обнаружение.

Двоичный файл tcpdump также позволяет агенту пассивно перехватывать исходящие соединения, связанные с FTP, SMTP, POP3, IMAP и другими портами. По состоянию на середину февраля 2023 года в Интернете было обнаружено около 2700 маршрутизаторов DrayTek Vigor 2960 и около 1400 маршрутизаторов DrayTek Vigor 3900, и Hiatus скомпрометировал около 100 из этих маршрутизаторов. Это указывает на то, что участники угрозы пытались остаться незамеченными, ограничив масштаб своих операций.

#ParsedReport
07-03-2023

Nevada Ransomware: Yet Another Nokayawa Variant. Key Points

https://www.zscaler.com/blogs/security-research/nevada-ransomware-yet-another-nokayawa-variant

Actors/Campaigns:
Nevada

Threats:
Nevada_ransomware
Nokoyawa
Karma
Nemty

IOCs:
Hash: 4

Algorithms:
crc-32, base64, curve25519, ecc, sect233r1, salsa20

Win API:
DeviceIoControl, CreateThread

Languages:
rust

Platforms:
x64

Links:
https://github.com/kokke/tiny-ECDH-c
https://github.com/gtworek/PSBits/tree/master/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE

#ParsedReport
07-03-2023

Ransomware Roundup Sirattacker and ALC Ransomware

https://www.fortinet.com/blog/threat-research/ransomware-roundup-sirattacker-acl

Threats:
Sirattacker
Chaos
Clipbanker
Filecoder

Industry:
Financial

Geo:
Russia, Belarus, Iran, China, Rus

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Hash: 15

Softs:
telegram

Algorithms:
aes

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания FortiGuard Labs, собирающая данные раз в две недели, недавно выпустила отчет Ransomware Roundup, в котором рассматриваются два последних варианта ransomware - Sirattacker и ALC. Отчет дает представление о том, как функционируют эти штаммы и как клиенты Fortinet могут быть защищены от них.

Sirattacker - один из последних вариантов Chaos ransomware, который впервые был выпущен в феврале 2023 года. Она распространяется как приложение для майнинга Ethereum и шифрует файлы на машине жертвы, добавляя к их именам случайные четырехбуквенные расширения файлов. Ransomware выводит записку с требованием выкупа в командной строке и заменяет обои рабочего стола на свои собственные. Кроме того, на биткоин-кошельке, используемом угрозой, было проведено несколько транзакций, последняя из которых была отправлена на другой кошелек, содержащий более 12 миллионов долларов.

ALC ransomware, с другой стороны, известна своим посланием, направленным на Россию и ее коллег, в записке о выкупе. Она создает несколько файлов на Рабочем столе жертвы, включая записку с выкупом, содержащую неправильный выбор слов и уникальный идентификатор, присвоенный жертве. На экране выкупа указан криптовалютный выкуп в размере 554 Monero (более 80 000 долларов США). Однако, в отличие от Sirattacker, ALC ransomware не шифрует никаких файлов и классифицируется как scareware.

#ParsedReport
07-03-2023

How SYS01 stealer Will Get Your Sensitive Facebook Info

https://blog.morphisec.com/sys01stealer-facebook-info-stealer

Threats:
Sys01_stealer
Dll_sideloading_technique
S1deload
Hidec_tool
Ioncube_tool
Zephir_tool

Industry:
Government

IOCs:
File: 15
Path: 3
Hash: 16
Domain: 10

Algorithms:
base64, zip

Functions:
uniqid

Languages:
rust, python, php

Links:
https://github.com/Nuitka/Nuitka

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Morphisec отслеживает вредоносный похититель информации под названием SYS01 с ноября 2022 года. Он используется субъектами угроз для атак на людей в правительстве, производстве и других отраслях, завлекая их с помощью рекламы Google и поддельных профилей Facebook. Эти профили предлагают игры, контент для взрослых и взломанные программы, которые содержат вредоносную полезную нагрузку. Атака направлена на кражу данных для входа в систему, файлов cookie, рекламы Facebook и информации о бизнес-аккаунтах.

Цепочка заражения состоит из двух частей: загрузчика и программы установки Inno-Setup, которая передает конечную полезную нагрузку. Загрузчик обычно представляет собой легитимное приложение C#, уязвимое к побочной загрузке DLL. Это приложение сбрасывает программу установки Inno-Setup, которая распаковывается в PHP-приложение, содержащее вредоносные скрипты. Скрипты закодированы с использованием различных техник, что затрудняет их анализ и обнаружение. Полезная нагрузка была доставлена различными способами, включая боковую загрузку DLL, исполняемые файлы Rust и Python и многие другие.

После выполнения на машине жертвы вредоносный код создает идентификатор машины, извлекает куки и данные для входа в систему из браузеров на базе Chromium, проверяет наличие учетной записи Facebook, получает доступ к конфиденциальным данным Facebook и загружает файл на сервер C2. Затем он создает запланированную задачу, которая запускает обновленную процедуру при входе в систему и каждые 30 минут.

Для защиты от SYS01 и других атак с боковой загрузкой DLL организациям следует внедрить политику нулевого доверия, ограничить права пользователей на загрузку и установку программ, обучить пользователей приемам, которые используют противники, и развернуть технологию защиты движущихся целей (MTD) для защиты памяти во время выполнения. Для обеспечения дополнительной защиты можно также использовать инструменты, основанные на обнаружении.

#ParsedReport
06-03-2023

Protecting Android clipboard content from unintended exposure

https://www.microsoft.com/en-us/security/blog/2023/03/06/protecting-android-clipboard-content-from-unintended-exposure

Industry:
Financial

IOCs:
Hash: 1
Url: 2
Domain: 1

Softs:
android, microsoft 365 defender

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно было обнаружено, что приложение SHEIN для Android периодически считывает содержимое буфера обмена устройства пользователя и отправляет его на удаленный сервер. Учитывая более 100 миллионов загрузок приложения SHEIN для Android из Google Play Store, важно принять меры по защите пользователей от подобного риска. Для решения этой проблемы компания Google внесла усовершенствования в платформу Android, которые ограничивают доступ приложений к буферу обмена в фоновом режиме на Android 10 и выше.

Для анализа поведения буфера обмена в Android-приложении SHEIN исследователи использовали Frida для перехвата вызовов двух методов: android.content.ClipboardManager.getText и com.zzkko.util.MarketClipboardPhaseLinker.f. С помощью Frida исследователи также смогли обойти привязку сертификата приложения, что позволило им использовать Burp Proxy для перехвата сетевого трафика. Затем исследователи смогли перехватить POST-запрос, который передавал содержимое буфера обмена на удаленный сервер.

Это исследование подчеркивает важность понимания рисков, связанных с доступом к буферу обмена, а также с другими, казалось бы, доброкачественными действиями в приложениях. Злоумышленники могут использовать это поведение для кражи или изменения скопированной и вставленной информации, такой как пароли, финансовые данные, личные данные, адреса криптовалютных кошельков и другая конфиденциальная информация.

Чтобы защититься от подобных угроз, пользователям следует соблюдать рекомендации по безопасности, изложенные Google, например, ограничить доступ приложений к буферу обмена в фоновом режиме на Android 10 и выше. Кроме того, пользователи должны иметь надежные пароли, регулярно обновлять программное обеспечение и использовать антивирусные программы на всех своих устройствах.

#ParsedReport
07-03-2023

Love scam or espionage? Transparent Tribe lures Indian and Pakistani officials

https://www.welivesecurity.com/2023/03/07/love-scam-espionage-transparent-tribe-lures-indian-pakistani-officials

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Caprarat
Crimson_rat
Androrat_rat

Geo:
Indian, Russia, Pakistan, Egypt, India, Ukraine, Oman, Pakistani

TTPs:
Tactics: 6
Technics: 14

IOCs:
Domain: 5
Url: 1
IP: 3
Hash: 2

Softs:
android

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи ESET обнаружили новую кампанию кибершпионажа хакерской группы Transparent Tribe, направленную в основном на пользователей Android в Индии и Пакистане. Кампания активна с июля 2022 года и использует два троянизированных приложения для безопасного обмена сообщениями и звонков, названные MeetsApp и MeetUp, для распространения бэкдора CapraRAT. Эта вредоносная программа способна похищать конфиденциальную информацию с устройств жертв, такую как скриншоты, фотографии, аудиозаписи и телефонные звонки.

Вредоносные приложения можно было загрузить с сайтов, выдававших себя за официальные центры распространения. Предполагается, что для заманивания жертв на эти сайты использовалась романтическая афера. Плохая операционная безопасность этих приложений раскрывала PII пользователя, что позволило исследователям ESET определить геолокацию 150 жертв. Этот же IP-адрес в прошлом использовался Transparent Tribe для размещения своих шпионских программ.

И MeetsApp, и MeetUp основаны на одном и том же легитимном коде, троянизированном бэкдор-кодом CapraRAT. Перед использованием приложения жертвам необходимо создать учетные записи, которые привязываются к их телефонным номерам и требуют SMS-верификации. После создания учетной записи приложение запрашивает дополнительные разрешения, которые позволяют бэкдору работать в полном объеме. Домен phone-drive.online, на котором был размещен вредоносный APK MeetsApp, начал разрешаться на тот же IP-адрес примерно в то же время, что и домен phone-drive.online.geo-news.tv, который использовался в прошлой кампании, контролируемой Transparent Tribe, как сообщает Cisco.

Согласно нашим исследованиям, потенциальных жертв заманивали установить это приложение в медовую ловушку романтических афер, где, скорее всего, с ними сначала связывались на другой платформе, а затем убеждали использовать более безопасное приложение MeetsApp или MeetUp. Завоевав доверие жертвы, они предлагали перейти на другое, якобы более безопасное приложение для чата, которое было доступно на одном из сайтов распространения вредоносного ПО. После входа жертвы в приложение CapraRAT начинает взаимодействовать со своим C&C-сервером, отправляя основную информацию об устройстве и ожидая получения команд для выполнения.

Мобильная кампания Transparent Tribe все еще продолжается, используя два приложения для обмена сообщениями в качестве прикрытия для распространения своего бэкдора CapraRAT для Android. Предполагается, что для того, чтобы заманить жертву скачать приложение и удержать ее на платформе, чтобы злоумышленник мог получить к ней доступ, используется романтическая афера. Для распространения вредоносных приложений использовались домены meetapp . org и meetup-chat . com. Было выявлено более 150 жертв, расположенных в Индии, Пакистане, России, Омане и Египте. Учитывая характер атаки, можно предположить, что жертвы были очень целевыми и тщательно выбирались.

Эта последняя кампания показывает, как Transparent Tribe продолжает совершенствовать свои тактики, методы и процедуры, чтобы оставаться успешными. Она также подчеркивает важность осознания существующих угроз и необходимость соблюдения правил кибергигиены.

#ParsedReport
07-03-2023

Using Memory Analysis to Detect EDR-Nullifying Malware

https://www.volexity.com/blog/2023/03/07/using-memory-analysis-to-detect-edr-nullifying-malware

Actors/Campaigns:
Axiom
Turla

Threats:
Avburner
Windbg_tool
Byovd_technique

Geo:
Chinese

IOCs:
File: 8
Hash: 1

Softs:
volexity volcano

Functions:
PsSetCreateProcessNotifyRoutine, PspSetCreateProcessNotifyRoutine, ExDerefenceCallBackBlock, ExCompareExchangeCallBack

Links:
https://github.com/volatilityfoundation/volatility3
https://github.com/hfiref0x/KDU
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-07%20AVBurner/yara.yar

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно компания Trend Micro обнаружила новую технику атаки под названием AVBurner, направленную на продукты безопасности Qihoo 360. Этот вредоносный код предназначен для удаления двух обратных вызовов из списка и замены их адреса на 0x000000`000000, отключая обратный вызов. Он использует уязвимый драйвер RTCore64.sys для чтения и записи в защищенное пространство памяти и нацелен на любые драйверы со строкой 360 в описании метаданных.

В заключение следует отметить, что злоумышленники постоянно совершенствуют свои тактики, методы и процедуры, чтобы избежать обнаружения. В данном случае AVBurner был использован для обхода продуктов безопасности путем исправления памяти ядра. Регулярный мониторинг памяти системы и активный запуск инструментов анализа памяти может помочь обнаружить вредоносную активность, что позволит администраторам предпринять упреждающие шаги для смягчения любых потенциальных угроз.

#ParsedReport
07-03-2023

Pandas with a Soul: Chinese Espionage Attacks Against Southeast Asian Government Entities

https://research.checkpoint.com/2023/pandas-with-a-soul-chinese-espionage-attacks-against-southeast-asian-government-entities

Actors/Campaigns:
Sharppanda (motivation: cyber_espionage)
Tick
Comment_crew
Redfoxtrot
Naikon

Threats:
Soulsearcher
Victorydll
8t_dropper
Dll_hijacking_technique

Industry:
Healthcare, Government

Geo:
Vietnam, Asian, Chinese, Thailand, Indonesia, Asia, Vietnamese

IOCs:
File: 7
Hash: 24
Registry: 9
IP: 12
Domain: 1

Softs:
internet explorer

Algorithms:
lzma, base64, xor, rc4

Win API:
NetUserGetInfo, GetTickCount

Languages:
php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Sharp Panda - это давняя китайская операция кибершпионажа, направленная на правительственные организации Юго-Восточной Азии с 2021 года. В конце 2022 года вектор заражения, схожий с предыдущими операциями Sharp Panda, был использован для атаки на высокопоставленную правительственную организацию в регионе. Полезной нагрузкой этой атаки была новая версия загрузчика SoulSearcher, который в конечном итоге загружал модульный фреймворк Soul.

Вредоносная структура Soul была замечена в кампаниях шпионажа, направленных на оборонный сектор, здравоохранение и сектор ИКТ в Юго-Восточной Азии с 2017 года. Атрибуция этих атак затруднена, но их можно отнести к APT-группе с китайским происхождением. Для получения первоначального доступа к целевым сетям используются фишинговые письма, а полезная нагрузка, наблюдаемая в кампаниях Sharp Panda, включает RoyalRoad RTF, пользовательский загрузчик DLL, и VictoryDLL, пользовательское и уникальное вредоносное ПО.

В начале 2023 года была замечена другая полезная нагрузка: модульный бэкдор Soul. Загрузчик сбрасывается с помощью RoyalRoad RTF и собирает данные с компьютера жертвы, прежде чем скачать и загрузить второй этап загрузчика SoulSearcher. Существует несколько вариантов SoulSearcher в зависимости от конфигурации и расположения полезной нагрузки. Он использует сжатие LZMA для распаковки сжатого модуля и рефлекторной загрузки DLL основного модуля Soul в память.

Главный модуль Soul отвечает за связь с C&C-сервером, и его основная задача - принимать и загружать дополнительные модули. Он имеет продвинутую функцию OpSec для смешивания коммуникационного потока с общим трафиком и снижения вероятности обнаружения. Бэкдор также содержит функцию, напоминающую радиомолчание, когда действующие лица могут указать определенные часы в неделю, когда бэкдору не разрешается общаться с сервером C&C. Он способен автоматически обновляться и выполнять определенные действия перед основной активностью бэкдора. Команды, поддерживаемые бэкдором, в основном направлены на загрузку дополнительных модулей и лишены какой-либо общей функциональности бэкдора.

Набор RoyalRoad RTF является предпочтительным инструментом среди китайских APT-групп и по-прежнему используется. C&C-серверы постоянно возвращают полезную нагрузку в период 01:00-08:00 UTC с понедельника по пятницу, что позволяет предположить рабочее время злоумышленников. Исследователи Symantec обнаружили набор инструментов APT30 в сети одной из организаций, атакованных с помощью фреймворка Soul, что указывает на то, что эта деятельность, вероятно, является операцией шпионажа, осуществляемой хорошо обеспеченными ресурсами и, возможно, национальными государственными субъектами угроз.

В данном отчете подробно рассматривается цепочка заражения семейства вредоносных программ Soul, а также ТТП и инструменты, использовавшиеся в кампании шпионажа против государственных структур Юго-Восточной Азии. Хотя структура Soul используется как минимум с 2017 года, создатели угроз постоянно обновляют и совершенствуют ее архитектуру и возможности. На основании технических данных, представленных в нашем исследовании, мы считаем, что эта кампания организована продвинутыми субъектами угроз, поддерживаемыми Китаем.

#ParsedReport
07-03-2023

Lazarus Group Attack Case Using Vulnerability of Certificate Software Commonly Used by Public Institutions and Universities

https://asec.ahnlab.com/en/48810

Actors/Campaigns:
Lazarus

Threats:
Kisa
Byovd_technique
Lazardoor
Timestomp_technique

Industry:
Financial, Education

Geo:
Taiwanese, Korean, Korea

TTPs:
Tactics: 14
Technics: 10

IOCs:
File: 17
Path: 25
IP: 7
Url: 3
Domain: 6
Hash: 7

#ParsedReport
09-03-2023

Malvertising through search engines

https://securelist.com/malvertising-through-search-engines/108996

Threats:
Rhadamanthys
Redline_stealer
Typosquatting_technique
Lolbas_technique

IOCs:
Command: 3
File: 2
Url: 4
Domain: 49
IP: 1
Hash: 5

Softs:
net framework

Algorithms:
zip, base64, gzip, aes-cbc, aes

Functions:
WinAPI

Win API:
CreateProcessW, WriteFile, Decompress

Links:
https://opentip.kaspersky.com/https%3A%2F%2Fgithub.com%2Fsup6724%2Fblender3d13%2Freleases%2Fdownload%2Fupdates%2Fblender-3.4.1-windows-x64.zip/?utm\_source=SL&utm\_medium=SL&utm\_campaign=SL

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последние месяцы появились вредоносные кампании, использующие рекламу Google в качестве средства распространения и доставки вредоносных программ. Было обнаружено, что два различных похитителя, Rhadamanthys и RedLine, используют эту технику. Эти угрожающие субъекты создают копии веб-сайтов легитимного программного обеспечения, используя при этом опечатки или комбосквоттинг, чтобы сайты выглядели как настоящие для конечных пользователей. Содержание и дизайн этих поддельных веб-страниц идентичны оригиналам. После создания поддельных сайтов субъекты угроз оплачивают продвижение в поисковых системах, чтобы их вредоносные сайты попадали в верхние строчки результатов поиска.

Вредоносная полезная нагрузка распространяется через эти раскрученные сайты, а размер оригинального установщика Blender 3D MSI и вредоносного загрузчика составляет 657 МБ. Вредоносный загрузчик раздувается нежелательными байтами, в результате чего его размер в раздутом виде составляет около 330 КБ. При запуске начальная программа установки запускает одновременно вредоносный PE-файл и оригинальный Blender 3D MSI, пытаясь замаскировать вредоносную полезную нагрузку. Затем полезная нагрузка загружается в недолговечный подпроцесс, известный как загрузчик, и часто хранится на том же сайте, что и целевая страница, или на общедоступных сервисах, таких как MediaFire или GitHub.

Мы наблюдаем рост распространения семейств вредоносных программ через рекламные кампании Google Ads, в частности через поисковые объявления. Угрозы используют обманные методы, такие как typosquatting и combosquatting, чтобы заманить жертв, и оплачивают рекламу для их продвижения. В некоторых случаях вместе с вредоносной полезной нагрузкой устанавливается легитимное программное обеспечение. Часто встречающиеся вредоносные полезные нагрузки включают вредоносные программы типа stealer, такие как RedLine и печально известный Rhadamanthys.

Методы вредоносной рекламы быстро становятся популярными среди субъектов угроз, поэтому как предприятиям, так и частным лицам необходимо знать о потенциальных рисках, связанных с этими угрозами. Важно придерживаться безопасного поведения в Интернете, например, не переходить по подозрительным ссылкам и веб-сайтам, а также следить за тем, чтобы на вашем компьютере были установлены последние обновления безопасности и антивирусное программное обеспечение.

#ParsedReport
09-03-2023

SpiderLabs Blog. OneNote Spear-Phishing Campaign

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/onenote-spear-phishing-campaign

Threats:
Qakbot
Xworm_rat
Icedid
Asyncrat_rat
Process_injection_technique

TTPs:
Tactics: 6
Technics: 21

IOCs:
Path: 1
File: 8

Softs:
onenote

Languages:
javascript

Platforms:
intel

Links:
https://github.com/SpiderLabs-Threat-Ops/SpiderLabs-Threat-Hunt/tree/main/Threat%20Indicators/OneNote\_Campaign\_February2023

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавние расследования, проведенные Trustwave SpiderLabs, показали, что OneNote использовался в качестве механизма доставки вредоносного ПО. Эта техника часто используется в фишинговых кампаниях, число которых возросло с декабря 2022 года. Наблюдаемые полезные нагрузки обычно включают Qakbot, XWorm, Icedid и AsyncRAT.

Цепочки заражения в целом похожи: все начинается с выполнения файла Open.cmd, встроенного в документ OneNote, который вызывает колыбель загрузки PowerShell. Это загружает и расшифровывает полезную нагрузку, содержащую Qbot DLL, которая затем выполняется с помощью Rundll32.exe. Дампы памяти показывают, что полезная нагрузка содержит название кампании, постоянство, идентификатор бота жертвы и C2-запросы.

SpiderLabs наблюдала использование документов-приманок OneNote для других вариантов вредоносного ПО, таких как XWorm и Icedid. Получив доступ с помощью фишинга, противник должен создать бэкдор и обеспечить устойчивость, чтобы избежать обнаружения. Поэтому очень важно сохранять бдительность при отслеживании этих вредоносных методов.