#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно выявил новый тип вредоносного ПО, созданного группой Kimsuky. Вредоносная программа под названием CHM распространяется в виде вложений в электронные письма, замаскированные под запросы на интервью о Северной Корее. Она отображается как окно помощи с реальными вопросами, что затрудняет распознавание пользователем вредоносного файла. Вредоносные скрипты, содержащиеся в CHM-файле, выполняются, когда пользователь отвечает на письмо и открывает вложение. Команда, выполняемая через CHM-файл, сохраняется в двух разных файлах - Document.dat и Document.vbs - и затем регистрируется в ключе Run, чтобы постоянно выполнять код вредоносного сценария, найденный в hxxp://mpevalr.ria.monster/SmtInfo/demo.txt.

Анализ кода, содержащегося в CHM-файле, показал, что он имеет тот же формат, что и вредоносный код, о котором сообщалось в "Отчете об анализе вредоносного кода, распространяемого группой Kimsuky", опубликованном ATIP в прошлом году. Это подтверждает, что группа Kimsuky также распространяет фишинговые письма с прикрепленными к ним различными типами вредоносных файлов, таких как CHM-файлы.

Важно, чтобы пользователи знали об этой угрозе и принимали меры предосторожности против нее. Они не должны открывать подозрительные электронные письма или вложения и всегда должны обновлять свои компьютеры и другие устройства последними патчами безопасности. Кроме того, всегда следует использовать надежную антивирусную программу для проверки любых файлов перед их открытием. Выполняя эти простые действия, пользователи могут защитить себя от того, чтобы стать жертвами такого типа атак.

#ParsedReport
09-03-2023

Mallox ransomware spreading in Korea

https://asec.ahnlab.com/ko/48959

Threats:
Mallox_ransomware
Malware/mdp.inject.m218

Geo:
Korea, Ukraine, Belarus, Kazakhstan, Russia

IOCs:
Url: 3
File: 14
Hash: 4

Softs:
ms-sql, im msdtssrvr, &&taskkill, internet explorer, windows defender, asp.net

Algorithms:
base64

Win Services:
fdlauncher, askkill -f

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Mallox ransomware с высокой скоростью распространяется на уязвимые MS-SQL-серверы, согласно данным Центра экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC). Он маскируется под программу, связанную с DirectPlay, и пытается загрузить дополнительный вредоносный код. Если она не может достичь определенного адреса, она зацикливается, пытаясь получить к нему доступ. Группа анализа ASEC идентифицировала то же доменное имя, что и у полученной в феврале программы Mallox ransomware, предполагая, что это основной сайт распространения ransomware.

Дополнительное вредоносное ПО, загружаемое Mallox ransomware, представляет собой файл данных в Base64-кодировке, который при декодировании и обратном преобразовании является DLL-файлом, созданным с использованием .Net. В зависимости от языковых настроек ПК он может исключать заражение определенных языковых сред. Чтобы предотвратить заражение от Mallox ransomware, люди должны с осторожностью относиться к запуску файлов из неизвестных источников и проверять подозрительные файлы с помощью вакцины. Они также должны убедиться, что их вакцины обновлены.

Чтобы защитить себя от Mallox ransomware, необходимо следовать лучшим практикам кибербезопасности, таким как избегать открытия вложений от неизвестных отправителей, использовать надежные пароли, регулярно создавать резервные копии важных данных, использовать двухфакторную аутентификацию и поддерживать системы и программное обеспечение в актуальном состоянии. Кроме того, важно быть в курсе новых угроз, поэтому обязательно подпишитесь на информационные бюллетени или блоги по безопасности.

#ParsedReport
07-03-2023

GlobeImposter Ransomware Being Distributed with MedusaLocker via RDP

https://asec.ahnlab.com/en/48940

Threats:
Globeimposter
Medusalocker
Credential_stealing_technique
Mimikatz_tool
Netpass_tool
Xmrig_miner
Filecoder
Trojan/win32.rl_coinminer.c4078402
Trojan/win32.rl_mimikatz.r366782
Ransom/mdp.event.m4428

Industry:
Healthcare

IOCs:
File: 13
Domain: 1
Coin: 1
Hash: 13
Url: 1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавние кибератаки подчеркнули важность обеспечения надежных учетных данных и регулярно обновляемых протоколов безопасности. Группа угроз MedusaLocker является одним из таких злоумышленников, использующих протокол удаленного рабочего стола (RDP) в качестве основного вектора атаки для получения доступа к системам с неадекватными учетными данными. После получения доступа на систему устанавливаются программы-вымогатели и другие вредоносные инструменты, включая сканеры и инструменты для кражи учетных данных. Сканеры могут использоваться для выявления других уязвимых систем в сети, а инструменты для кражи учетных данных позволяют субъекту угрозы перемещаться по сети.

Также было обнаружено, что в последних случаях группа использует вымогательское ПО GlobeImposter вместо своего собственного варианта MedusaLocker. Кроме того, было обнаружено, что вместе с вымогательским ПО устанавливается вредоносное ПО XMRig CoinMiner. Использование RDP в качестве начального вектора атаки характерно для многих угроз, связанных с ростом числа вымогателей, поэтому пользователям следует принимать дополнительные меры предосторожности при его использовании. Рекомендуется отключать RDP, если он не используется, а если включен, всегда использовать сложный пароль и регулярно менять его для предотвращения атак методом перебора и по словарю. Кроме того, обновление V3 до последней версии поможет защитить от заражения вредоносным ПО.

#ParsedReport
09-03-2023

CHM Malware Disguised as Security Email from a Korean Financial Company: Redeyes (Scarcruft)

https://asec.ahnlab.com/en/49089

Actors/Campaigns:
Apt37

Threats:
M2rat

Industry:
Financial

Geo:
Korea, Korean

IOCs:
File: 2
Url: 3
Command: 2
Path: 1
Registry: 1
IP: 1
Hash: 2

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Аналитическая группа Центра реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) обнаружила вредоносное ПО, распространяемое среди корейских пользователей и предположительно связанное с угрожающей группой RedEyes, также известной как APT37 или ScarCruft. Вредоносная программа маскируется под письмо безопасности от корейской финансовой компании и использует для выполнения вредоносный скрипт, скрытый в CHM-файле. После выполнения вредоносный скрипт активирует объект ярлыка, который затем запускает серию закодированных команд PowerShell. Эти команды похожи на те, что использовались в атаке M2RAT, о которой сообщалось в феврале. Они могут использоваться для обеспечения устойчивости в системе, получения команд с сервера угрожающего субъекта и передачи результатов выполнения команд. Этот тип вредоносного ПО может нанести значительный ущерб, загружая файлы и похищая информацию по указанию угрожающего субъекта.

Для защиты от этого типа вредоносного ПО пользователям следует избегать открытия электронных писем из неизвестных источников и воздерживаться от выполнения вложений. Также важно регулярно сканировать устройства с помощью обновленных продуктов безопасности и поддерживать их в актуальном состоянии. Обеспечение безопасности систем путем выполнения этих шагов поможет защититься от злоумышленников, использующих вредоносное ПО, нацеленное на конкретных пользователей.

#ParsedReport
08-03-2023

Old Cyber Gang Uses New Crypter ScrubCrypt

https://www.fortinet.com/blog/threat-research/old-cyber-gang-uses-new-crypter-scrubcrypt

Actors/Campaigns:
8220_gang

Threats:
Scrubcrypt
Monero_miner
Kryptik_trojan

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 7
File: 6
Path: 1
Command: 1
Coin: 1
Domain: 2
Hash: 23

Softs:
oracle weblogic server, windows defender, event tracing for windows, process explorer

Algorithms:
base64, aes, cbc, xor, exhibit, zip

Win API:
EtwEventWrite

#ParsedReport
09-03-2023

DeepStreamer: Illegal movie streaming platforms hide lucrative ad fraud operation

https://www.malwarebytes.com/blog/threat-intelligence/2023/03/deepstreamer-illegal-movie-streaming-platforms-hide-lucrative-ad-fraud-operation

Threats:
Deepstreamer_resource
Popunder_technique
Magnitude

Industry:
Media

Geo:
Asia, California

IOCs:
Domain: 73
Hash: 10

Softs:
wordpress

Languages:
javascript

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи Malwarebytes выявили сложную мошенническую схему, получившую название DeepStreamer, которая оставалась незамеченной более года. Эта схема включает в себя сеть нелегальных сайтов потокового видео и незаконных доменов, используемых для монетизации человеческого трафика на пиратские сайты путем загрузки денежных сайтов, заполненных рекламой Google, которая совершенно незаметна для пользователя. Мошенники используют сильно замаскированный код и подделку рефералов, чтобы денежные сайты оставались скрытыми и получали ложный трафик.

Используя консервативные оценки, можно предположить, что в январе 2023 года эта схема обеспечила примерно 210 550 928 посещений, согласно данным Similar Web, в результате чего потенциальный доход рекламодателей составил от $120 тыс. до $1,2 млн. Компания Malwarebytes смогла подтвердить, что в период с января по февраль 2023 года с этих доменов были сгенерированы сотни миллионов запросов на покупку.

Мошенническая деятельность DeepStreamer имеет серьезные последствия как для рекламодателей, так и для потребителей. Рекламодатели рискуют заплатить за размещение рекламы на сайтах, которые не просматриваются, а потребители подвергаются воздействию вредоносных программ и другого вредоносного контента из-за отсутствия безопасности в мошеннических сетях. Для защиты своих пользователей Malwarebytes предоставляет ведущие решения по защите конечных точек, конфиденциальности и предотвращению угроз, а также исследования угроз мирового класса. Проверьте свое устройство с помощью Malwarebytes сегодня, чтобы обеспечить себе защиту.

#ParsedReport
09-03-2023

BlackSnake Ransomware Emerges from Chaos Ransomwares Shadow

https://blog.cyble.com/2023/03/09/blacksnake-ransomware-emerges-from-chaos-ransomwares-shadow

Threats:
Chaos_ransomware
Blacksnake
Onyx
Yashma

Industry:
Financial

Geo:
Turkey, Azerbaijan

TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 3
Registry: 1
Hash: 1

Softs:
discord

Algorithms:
aes, base64

Functions:
GetText, PatternMatch, SetText, string_Builder

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Ransomware - это серьезная кибер-атака, которая может зашифровать файлы жертвы и потребовать выкуп. В настоящее время все чаще угрозы используют двойные методы вымогательства, когда они не только шифруют файлы, но и крадут важные данные до шифрования, которые затем используют для дальнейшего вымогательства у своих жертв. Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый штамм вымогательского ПО под названием BlackSnake, способный выполнять операции клиппера, направленные на пользователей криптовалют. Эта вредоносная программа была первоначально обнаружена исследователем на форуме по киберпреступности в 2022 году, и стоящие за ней ТА активно искали партнеров, которые помогли бы им распространить вредоносный файл.

В ходе анализа CRIL были обнаружены доказательства того, что программа BlackSnake ransomware была создана на основе исходного кода программы Chaos ransomware. BlackSnake представляет собой 32-битный PE-бинарный файл, скомпилированный с использованием .NET и выполняющий первоначальную проверку на соответствие текущего языка ввода системы определенным языковым кодам. Она создает записи в реестре и файл UNLOCK_MY_FILES.txt в каталоге %appdata%. Кроме того, эта программа-вымогатель определяет определенные каталоги для перечисления и исключает некоторые папки из процесса шифрования. Она также фокусируется на шифровании файлов с определенными расширениями.

Для защиты от атак ransomware важно следовать передовым методам обеспечения кибербезопасности, таким как резервное копирование данных в разных местах, внедрение планирования непрерывности бизнеса (BCP), изолирование резервных серверов от инфраструктуры, частое проведение аудита, оценки уязвимости и тестирования на проникновение, использование VPN для защиты конечных точек, обучение сотрудников основам безопасности и внедрение технологий для блокирования вредоносной полезной нагрузки и противодействия потенциальным атакам. Пользователи криптовалют также должны тщательно проверять адреса своих кошельков перед совершением любых транзакций и хранить семенные кошельки в безопасном и зашифрованном виде на любых устройствах.

CRIL будет продолжать отслеживать все кампании по борьбе с вымогательством и сообщать читателям последнюю информацию, как только она будет доступна. Соблюдая эти основные правила кибербезопасности, частные лица и организации могут создать первую линию обороны от атак ransomware.

#ParsedReport
09-03-2023

A border-hopping PlugX USB worm takes its act on the road

https://news.sophos.com/en-us/2023/03/09/border-hopping-plugx-usb-worm

Actors/Campaigns:
Red_delta

Threats:
Plugx_rat
Dll_sideloading_technique
Netstat_tool

Geo:
Ghana, Mongolia, Chinese, Guinea, Nigeria, Zimbabwe, Pacific

IOCs:
File: 8
Path: 3
Hash: 5
IP: 1

Softs:
windows explorer, total commander

Algorithms:
zip, base64

Links:
https://github.com/sophoslabs/IoCs
https://github.com/sophoslabs/IoCs.

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Наши исследователи недавно обнаружили локализованные вспышки нового варианта USB-червя PlugX - разновидности вредоносного ПО с черным ходом, известного как троян удаленного доступа (RAT) китайского происхождения. В августе 2022 года новый штамм был впервые замечен в Папуа-Новой Гвинее, а в январе последовали новые вспышки в Гане, Монголии, Зимбабве и Нигерии. Этот вариант имеет уникальную полезную нагрузку и связан с командно-контрольным сервером, который ранее считался лишь слабо связанным с PlugX.

PlugX - это распространенная форма вредоносного ПО, которая использует боковую загрузку DLL для распространения и захвата контроля над системами. Предупреждение CryptoGuard, вероятно, вызванное утечкой данных, выявило заражение, которое состоит из чистого исполняемого файла, вредоносных DLL и зашифрованной полезной нагрузки. Вредоносные библиотеки DLL загружаются в чистый загрузчик, и зараженный каталог под названием RECYCLER.BIN содержит украденные и зашифрованные файлы с обфусцированными именами base64. Затем активность C2 достигает нескольких вариантов IP-адреса 45.142.166.112. Этот адрес ранее ассоциировался с группой угроз Mustang Panda или PKPLUG, а полезной нагрузкой является PlugX.

Эта версия PlugX называется 20190301h и обладает функцией USB-червя, который скрывает свое вредоносное содержимое от пользователей. Он маскируется под другой съемный диск и устанавливает скрытые и системные атрибуты для других файлов и каталогов. Червь также загружает файл desktop.ini, который ассоциирует каталог RECYCLER.BIN с функцией Recycle в Windows. Для утечки данных вредоносная программа собирает файлы .doc, .docx, .xls, .xlsx, .ppt, .pptx и .pdf размером до 314572800 байт и шифрует их перед сохранением в каталоге RECYCLER.BIN с обфусцированными base64 именами.

Появление этого нового варианта PlugX подчеркивает необходимость бдительности, когда дело доходит до выявления и реагирования на киберугрозы. Исследователи Sophos сделали подробные записи о IoCs, связанных с этим инцидентом, и разместили их на нашем GitHub. Поскольку мы наблюдаем все больше заражений в отдаленных регионах, важно оставаться в курсе постоянно меняющихся тактик, используемых злоумышленниками, и различных решений безопасности, доступных для защиты от них.

#ParsedReport
10-03-2023

DUCKTAIL: Threat Operation Re-emerges with New LNK, PowerShell, and Other Custom Tactics to Avoid Detection

https://www.deepinstinct.com/blog/ducktail-threat-operation-re-emerges-with-new-lnk-powershell-and-other-custom-tactics-to-avoid-detection

Threats:
Ducktail_stealer
Doenerium
Vidar_stealer

Industry:
Financial, Transport

TTPs:
Tactics: 6
Technics: 10

IOCs:
Hash: 124
File: 12
Path: 1
Domain: 11

Softs:
net core, telegram, discord

Links:
https://github.com/deepinstinct/DuckTail\_IOCs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносные программы DUCKTAIL действуют с 2022 года, когда они были впервые замечены группой исследования угроз компании WithSecure. Первоначальное заражение начинается с вредоносного LNK, который выполняет PowerShell для загрузки вредоносного ПО, размещенного на общедоступном файлообменном сервисе. С октября 2022 года по декабрь 2022 года Deep Instinct наблюдал за операцией, экспериментирующей с изменением своего пользовательского вредоносного ПО с архива, содержащего вредоносный исполняемый файл, на архив, содержащий вредоносный LNK-файл. Во время этой экспериментальной фазы угрожающий субъект использовал свои собственные вредоносные программы .NET, а также товарные вредоносные программы, такие как Doenerium и Vidar stealer.

В декабре 2022 года Deep Instinct наблюдал возвращение операции DUCKTAIL с цепочкой заражений, объединяющей все их эксперименты, а конечной полезной нагрузкой снова была пользовательская вредоносная программа с еще одним новым действительным сертификатом. Эта вредоносная программа предназначена для кражи файлов cookie браузера и их эксфильтрации через Telegram, специально нацеливаясь на учетные записи Facebook Ads. Если сессионный cookie Facebook найден, вредоносная программа проверяет, является ли аккаунт бизнес-аккаунтом, и пытается добавить электронную почту атакующего в качестве администратора и финансового редактора.

Неясно, что делают субъекты угроз, получив доступ к бизнес-аккаунтам Facebook Ads. WithSecure наблюдала мошенничество в Facebook для бренда AICOOK, в то время как страницы DUCKTAIL в Facebook называются AICOK. Также были отмечены случаи дропшиппинга, партнерских программ, продаж под белой маркой и других схем получения дохода с украденных аккаунтов.

В целом, угроза DUCKTAIL продолжает развиваться и обновлять свою тактику, чтобы оставаться незамеченной и финансово успешной. Важно, чтобы организации не теряли бдительности и знали об этих угрозах, чтобы не стать их жертвами.

#ParsedReport
10-03-2023

Netcat Attack Cases Targeting MS-SQL Servers (LOLBins)

https://asec.ahnlab.com/en/49249

Threats:
Netcat_tool
Lolbin_technique
Remcos_rat
Tzw_ransomware
Cobalt_strike
Rasmanpotato
Stowaway_tool
Beacon
Juicypotato_tool
Badpotato_tool
Sweetpotato_tool
Teamviewer_tool
Xshell_tool
Hook
Trojan/win.generic.r5390221
Trojan/win.generic.r5388505
Malware/win32.generic.r4386013
Trojan/win.etwbypass.xm161

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 11
Path: 9
IP: 1
Hash: 8
Coin: 1

Softs:
ms-sql, winscp, (event tracing for windows)

Functions:
EtwEventWrite

Win API:
EtwEventWrite

Links:
https://github.com/uknowsec/SharpDecryptPwd
https://github.com/ph4ntonn/Stowaway
https://github.com/crisprss/RasmanPotato
https://github.com/Sentinel-One/CobaltStrikeParser

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

ASEC (AhnLab Security Emergency response Center) недавно обнаружил распространение вредоносной программы Netcat, нацеленной на плохо управляемые серверы MS-SQL. Эта утилита позволяет пользователям отправлять и получать данные по сети через протокол TCP/UDP и может использоваться как на платформах Linux, так и Windows. При использовании в качестве удаленной оболочки она позволяет субъекту угрозы получить контроль над целевыми системами. ASEC отслеживает эти атаки, и ежеквартально публикуется статистика, включающая количество атак и тип используемого вредоносного ПО.

Плохо управляемые серверы MS-SQL обычно имеют простые учетные данные и открыты для внешнего доступа, что делает их идеальными целями для атак методом грубой силы или по словарю. Если внешнему угрожающему субъекту удается получить доступ, он может установить вредоносное ПО или выполнить вредоносные команды. В текущей анализируемой среде были обнаружены журналы, показывающие попытки установки Remcos RAT и tzw ransomware, однако недавно обнаруженные атаки отличаются тем, что набор инструментов используется непрерывно до тех пор, пока атака не увенчается успехом. Эти инструменты созданы китайскими разработчиками и опубликованы на GitHub, что указывает на то, что участники атаки, создающие угрозы, могут быть знакомы с языком.

Угрожающий агент сначала попытался получить контроль над зараженной системой с помощью нескольких экземпляров Cobalt Strike, но их выполнение было заблокировано продуктом V3. Затем они переключились на использование Netcat, который проще в использовании, но все еще способен установить обратный shell. Кроме того, был установлен инструмент повышения привилегий под названием RasmanPotato, а также SharpDecryptPwd, инструмент командной строки, используемый для сбора и отображения учетных данных. Наконец, Stowaway, инструмент прокси, использовался угрозой для доступа к внутренней сети и другим системам в той же сети, что и зараженная система.

#ParsedReport
10-03-2023

Stealing the LIGHTSHOW (Part One) North Korea's UNC2970

https://www.mandiant.com/resources/blog/lightshow-north-korea-unc2970

Actors/Campaigns:
Unc2970 (motivation: cyber_espionage)
Unc577
Dream_job
Unc4034
Tick

Threats:
Touchmove
Sideshow
Touchshift
Plankwalk
Tightvnc_tool
Lidshift_rat
Beacon
Lidshot
Dll_sideloading_technique
Touchshot
Touchkey
Hookshot
Hook
Process_injection_technique
Timestomp_technique
Cloudburst

Geo:
Korea, Dprk, Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 13
Path: 7
Registry: 1
Hash: 14
Url: 13

Softs:
microsoft word, wordpress, microsoft intune management extension, azuread, azure ad, active directory, azure active directory, "microsoft enhanced cryptographic provider

Algorithms:
zip, base64, xor

Functions:
OpenSSL, CreateProccess

Win API:
VirtualAlloc, EnumDisplaySettingsExW, GetSystemMetrics, GetDC, ReleaseDC, DeleteFile

Languages:
php

Platforms:
x86, x64

Links:
https://gist.github.com/wdormann/fca29e0dcda8b5c0472e73e10c78c3e7

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Mandiant отслеживает подозреваемую северокорейскую шпионскую группу, известную как UNC2970, с июня 2022 года. Эта группа нацелена на организации СМИ США и Европы с помощью целевого фишинга с темой найма на работу, а недавно перешла на нацеливание на пользователей непосредственно в LinkedIn, используя поддельные учетные записи, изображающие в качестве рекрутеров. Компания Mandiant заметила, что UNC2970 использует три новых семейства кодов: TOUCHMOVE, SIDESHOW и TOUCHSHHIFT во время своей работы.

Mandiant отреагировал на многочисленные вторжения UNC2970, нацеленные на американские и европейские СМИ, с помощью целевого фишинга, в котором использовалась тема найма на работу. Наиболее важные факты: UNC2970 сначала взаимодействовал с целями через LinkedIn, маскируясь под рекрутеров, а затем перевел разговор в WhatsApp. UNC2970 рассылал фишинговые полезные нагрузки, в основном используя документы Microsoft Word, встроенные в макросы для выполнения удаленной инъекции шаблона. Серверы C2, используемые UNC2970 для удаленного внедрения шаблонов, в основном были скомпрометированы сайтами WordPress. UNC2970 вернулся в WhatsApp, чтобы атаковать свои цели. ZIP-файл, предоставленный UNC2970, содержал файл ISO, который включал троянскую версию TightVNC. LIDSHIFT имеет возможность рефлективно внедрять зашифрованную DLL в память, которая действует как загрузчик (LIDSHOT). LIDSHOT отправляет перечисление системы и загружает/выполняет шелл-код с C2 обратно на свой C2.

Mandiant наблюдал, как UNC2970 развертывает PLANKWALK, чтобы закрепиться в окружающей среде. PLANKWALK — это бэкдор, написанный на C++, который обменивается данными через HTTP и использует несколько уровней боковой загрузки DLL для выполнения зашифрованной полезной нагрузки. Mandiant также заметила, что UNC2970 использует для достижения своих целей широкий спектр настраиваемых инструментов после эксплуатации, включая TOUCHSHOT, вредоносный дроппер, который маскируется под mscoree.dll или netplwix.dll; TOUCHKEY — кейлоггер, фиксирующий нажатия клавиш и данные буфера обмена; HOOKSHOT, туннелер, который использует статически связанную реализацию OpenSSL для обратной связи со своим C2; TOUCHMOVE, загрузчик, который расшифровывает файл конфигурации и полезную нагрузку и выполняет их; и SIDESHOW, бэкдор, написанный на C/C++, который обменивается данными через HTTP-запросы POST со своим C2-сервером.

Microsoft Intune использовался для развертывания вредоносных программ на хостах в среде из-за отсутствия решения VPN для удаленных машин. Вредоносные сценарии PowerShell использовались для декодирования и сброса полезной нагрузки CLOUDBURST в кодировке Base64 на диск. CLOUDBURST — это загрузчик, написанный на C, который взаимодействует через HTTP и содержит поддельные экспорты. CLOUDBURST проводит опрос хостов, загружает и выполняет шелл-код с сервера C2.

Выявленные инструменты вредоносных программ указывают на продолжающуюся разработку вредоносных программ и развертывание новых инструментов UNC2970. Хотя группа ранее нацеливалась на оборону, средства массовой информации и технологические отрасли, нацеливание на исследователей в области безопасности предполагает изменение стратегии или расширение ее деятельности. Технические индикаторы и группы TTP связывают его с TEMP.Hermit, хотя последняя активность предполагает, что группа адаптирует свои возможности по мере того, как все больше их целей переходят на облачные сервисы.

#ParsedReport
10-03-2023

ASEC Weekly Phishing Email Threat Trend (20230226 to 20230304)

https://asec.ahnlab.com/ko/49167

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korean

TTPs:

IOCs:
File: 46
Url: 9

Softs:
microsoft excel

Algorithms:
zip