#ParsedReport
10-03-2023

ASEC Weekly Phishing Email Threat Trend (20230226 to 20230304)

https://asec.ahnlab.com/ko/49167

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korean

TTPs:

IOCs:
File: 46
Url: 9

Softs:
microsoft excel

Algorithms:
zip

#ParsedReport
10-03-2023

Suspected Chinese Campaign to Persist on SonicWall Devices, Highlights Importance of Monitoring Edge Devices

https://www.mandiant.com/resources/blog/suspected-chinese-persist-sonicwall

Actors/Campaigns:
Unc4540

Threats:
Rekoobe_rootkit
Credential_stealing_technique
Beacon

Geo:
Chinese, China

IOCs:
Hash: 6
File: 1
IP: 1

Softs:
firewalld

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Mandiant в партнерстве с командой SonicWall Product Security and Incident Response Team (PSIRT) выявила китайскую кампанию с использованием постоянного вредоносного ПО на непропатченном устройстве SonicWall Secure Mobile Access (SMA). Эта вредоносная программа предназначена для кражи учетных данных пользователя, предоставления доступа к оболочке и сохранения работоспособности после обновления прошивки. Она отслеживается под именем UNC4540.

Анализ взломанного устройства выявил коллекцию файлов, состоящую из различных сценариев bash и одного двоичного файла ELF, идентифицированного как вариант TinyShell. Вредоносные скрипты указывают на детальное понимание устройства, рассчитанное на стабильность и стойкость. Основной точкой входа для вредоносной программы является сценарий под названием firewalld, который выполняет свой основной цикл для подсчета каждого файла в квадрате системы. Помимо кражи учетных данных, этот скрипт также выполняет бэкдор TinyShell и переводит его в режим reverse-shell.

Другой скрипт под названием iptabled обеспечивает резервное сохранение в случае выхода или сбоя. Еще один, geoBotnetd, каждые десять секунд проверяет наличие новых обновлений прошивки и копирует их, добавляя бэкдорного пользователя root, который обеспечивает постоянный доступ. Наконец, основной скрипт firewalld включает функцию для исправления легитимного бинарного файербага SonicWall.

Вполне вероятно, что это вредоносное ПО было развернуто в 2021 году, и, учитывая значительные усилия и ресурсы, затраченные на разработку этих эксплойтов и вредоносного ПО для управляемых устройств, Mandiant ожидает продолжения подобных кампаний в ближайшем будущем. Они советуют пользователям постоянно обновлять свои устройства, использовать многофакторную аутентификацию и отслеживать сетевой трафик на предмет подозрительной активности.

#ParsedReport
10-03-2023

GoBruteforcer: Golang-Based Botnet Actively Harvests Web Servers

https://unit42.paloaltonetworks.com/gobruteforcer-golang-botnet

Threats:
Gobruteforcer_botnet
Upx_tool
Portscan_tool

Geo:
Japanese

IOCs:
Hash: 13
Domain: 1

Softs:
phpmyadmin, mysql

Languages:
golang, php

Platforms:
x64, arm, x86

Links:
https://github.com/upx/upx
https://github.com/jlaffaye/ftp/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи Unit 42 обнаружили новую вредоносную программу под названием GoBruteforcer, которая нацелена на веб-серверы, работающие с сервисами phpMyAdmin, MySQL, FTP и Postgres. Она была размещена на легитимном сайте и имела двоичные файлы для процессоров архитектур x86, x64 и ARM. Вредоносная программа написана на популярном языке программирования Golang и использует блок Classless Inter-Domain Routing (CIDR) для сканирования сети во время атаки. Вредоносный код пытается получить доступ к серверу методом грубой силы и развертывает на сервере жертвы бота Internet Relay Chat (IRC). GoBruteforcer также пытается запросить систему жертвы, используя веб-оболочку PHP. Для успешного выполнения ему требуются особые условия на системе жертвы, например, уже установленные целевые службы (со слабыми паролями).

Palo Alto Networks обеспечивает защиту от этого типа вредоносных программ с помощью Cortex XDR или брандмауэра следующего поколения с облачными службами безопасности, включая WildFire и Advanced Threat Prevention. Кроме того, усовершенствованная фильтрация URL и DNS Security позволяют блокировать командно-контрольные (C2) домены и URL-адреса хостинга вредоносных программ.

GoBruteforcer упакован с помощью UPX Packer, и после распаковки образца мы заметили, что он имеет модуль multiscan, который сканирует хосты внутри CIDR для своей атаки. Затем он начинает сканирование на такие сервисы, как phpMyAdmin, MySQL, FTP и Postgres. При сканировании сервисов phpMyAdmin он использует набор учетных данных, жестко закодированных в двоичном файле, чтобы попытаться войти в систему методом грубой силы. В случае успеха он развертывает и запускает IRC-бота на сервере жертвы.

Мы также обнаружили еще один образец GoBruteforcer, который нацелен только на службу phpMyAdmin, что указывает на то, что злоумышленники активно развивают свои методы для атак на веб-серверы. Слабые пароли делают веб-серверы уязвимыми для таких вредоносных программ, как GoBruteforcer. С помощью передовых решений безопасности, таких как Cortex XDR или Next-Generation Firewall от Palo Alto, организации могут защитить себя от подобных угроз. Для блокирования вредоносных команд и доменов управления можно также использовать расширенную фильтрацию URL-адресов и защиту DNS.

#ParsedReport
10-03-2023

Dark Pink APT Group Strikes Government Entities in South Asian Countries

https://blog.eclecticiq.com/dark-pink-apt-group-strikes-government-entities-in-south-asian-countries

Actors/Campaigns:
Darkpink (motivation: cyber_criminal)
Saaiwc

Threats:
Kamikakabot
Dll_sideloading_technique
Lolbin_technique
Dll_hijacking_technique
Pss
Beacon
Html_smuggling_technique

Industry:
Maritime, Government

Geo:
Norwegian, Ukraine, China, Asian, Norway, Indonesia, Chinese

TTPs:
Tactics: 1
Technics: 12

IOCs:
File: 4
Registry: 3
Path: 2
IP: 1

Softs:
chrome, winlogon, telegram, microsoft office, windows registry

Algorithms:
base64, xor, zip

Functions:
run_command, sendFile

Win API:
ReadFile

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В феврале 2023 года группа разведки и исследований EclecticIQ выявила множество образцов вредоносного ПО KamiKakaBot, используемых для атак на правительственные организации в странах АСЕАН. Участники угрозы использовали различные техники уклонения, такие как шифрование полезной нагрузки и использование "живых" двоичных файлов, чтобы оставаться незамеченными при выполнении вредоносных действий на зараженных устройствах. Анализ инфраструктуры командования и управления (C2) вредоносной программы позволяет предположить, что эта кампания, скорее всего, приписывается группе Advanced Persistent Threat (APT) "Dark Pink", хотя есть вероятность, что эта деятельность может быть делом рук группы с похожей тактикой, техникой и процедурами (TTP).

KamiKakaBot распространяется через фишинговые электронные письма, содержащие в качестве вложения вредоносный ISO-файл. Вредоносный ISO-файл содержит WinWord.exe, подписанный легитимной подписью Microsoft, который используется для побочной загрузки DLL. После выполнения загрузчик записывает ключ реестра в HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, чтобы установить постоянный доступ. После загрузки в память WinWord.exe вредоносная программа может извлекать конфиденциальную информацию из веб-браузеров, таких как Chrome, Edge и Firefox, а затем отправлять ее на канал Telegram-бота злоумышленников в сжатом формате ZIP.

Анализ ТТП, использованных в этой кампании, показывает, что злоумышленники по-прежнему используют те же тактики, методы и процедуры для доставки и исполнения вредоносного ПО KamiKakaBot, только с небольшими изменениями, внесенными в процедуру обфускации для увеличения скорости заражения и обхода антивирусных решений. Кроме того, субъекты угрозы использовали отношения между странами АСЕАН и Европы для создания фишинговых приманок во время кампании "Февраль 2023".

Группы (APT), такие как Dark Pink, представляют собой значительную киберугрозу для стран АСЕАН и за ее пределами. Исследователи EclecticIQ заметили, что APT-группа Dark Pink оттачивает свои технические навыки для обхода средств защиты, масштабирования TTP, встраивания в среду жертвы и препятствования обнаружению. Вполне вероятно, что группа Dark Pink APT продолжит совершенствовать свои поведенческие методы уклонения, поэтому организации должны оставаться бдительными, чтобы защитить себя от потенциально опасных кибератак.

#ParsedReport
10-03-2023

Emotet Strikes Again, Resuming Spamming Operations

https://blog.cyble.com/2023/03/10/emotet-strikes-again-resuming-spamming-operations

Threats:
Emotet
Zipbomb_technique
Cobalt_strike

Industry:
Financial

TTPs:
Tactics: 6
Technics: 13

IOCs:
Url: 6
File: 1
Hash: 4

Softs:
microsoft office

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet - опасный банковский троянец, заражающий пользователей по всему миру с 7 марта 2023 года. Обычно он распространяется через спам-письма с вредоносными вложениями, такими как файлы ZIP и DOC. Файл DOC содержит вредоносный макрокод, который загружает полезную нагрузку Emotet на машину жертвы. Полезная нагрузка имеет размер более 500 МБ, чтобы избежать обнаружения антивирусами. После загрузки вредоносная программа Emotet подключается к командно-контрольному серверу, с которого можно загрузить дополнительные полезные нагрузки.

#ParsedReport
10-03-2023

Xenomorph v3: a new variant with ATS targeting more than 400 institutions

https://www.threatfabric.com/blogs/xenomorph-v3-new-variant-with-ats.html

Actors/Campaigns:
Zombinder
Hadoken_security
Indra

Threats:
Xenomorph
Octo
Hook
Gymdrop
Gustuff
Sharkbot
Kraken
Halkbank
Mallox_ransomware
Geral

Industry:
Retail, E-commerce, Ics, Financial

Geo:
Italia, Spain, Budapest, Malaysia, Australia, Italy, Argentina, America, France, Colombia, Deutsche, Ita, Denmark, Uruguay, Portugal, Chile, Canada, Greece, Canadian, Austria, Georgia, Turkey, Emirates

IOCs:
File: 152
Hash: 3
Domain: 6

Softs:
android, discord, coinbase.android, coinbase

Languages:
javascript

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Hadoken Security Group, новая волна создателей вредоносных программ, распространяется с начала 2022 года. Их основной продукт - семейство вредоносных программ под названием Xenomorph, кампании которого характеризуются короткими и сдержанными усилиями по распространению. Недавно аналитики ThreatFabrics обнаружили новую версию Xenomorph, Xenomorph.C, которая оснащена движком выполнения, работающим на сервисах доступности, и способна полностью автоматизировать цепочку мошенничества. Целевой список этой версии включает более 400 банковских и финансовых учреждений и криптовалютных кошельков. Группа Hadoken выходит на рынок MaaS, что означает, что они, скорее всего, начнут широкомасштабное распространение и повысят уровень своей угрозы до уровня более продвинутых семейств вредоносных программ, таких как Gustuff и SharkBot.

Образцы, выявленные ThreatFabrics, были связаны с тестовыми кампаниями, в которых вредоносное ПО распространялось через сторонние хостинги, такие как Discord Content Delivery Network (CDN). Эта техника не нова, поскольку она часто используется авторами вредоносных программ, чтобы скрыться от посторонних глаз. Кроме того, это бесплатный хостинг, надежный и используемый миллионами людей, и соединения с такими доменами с меньшей вероятностью будут отмечены как подозрительные.

Впервые Xenomorph был распространен GymDrop в феврале 2022 года, затем BugDrop и Zombinder. Последняя версия Xenomorph, похоже, была развернута приложением Zombinder, привязанным к легитимному конвертеру валют, который загружает приложение, выдающее себя за Google Protect. Основное внимание Xenomorph уделял Испании, Португалии, Италии, Бельгии и Канаде, причем последние кампании также были нацелены на криптовалютные кошельки.

Последняя версия Xenomorph имеет модульную кодовую базу для повышения гибкости и упрощения обновления. Она также имеет ряд функций, облегчающих преступную деятельность, таких как эксфильтрация PII, удаленные действия для злоупотребления Accessibility Services и модуль сбора кода для извлечения кодов аутентификации из приложений Authenticators. Кроме того, вредоносная программа обладает функцией кражи Cookie, позволяющей преступникам получать доступ к веб-сессиям жертв, вошедших в систему.

Разработка Xenomorph указывает на то, что субъекты переключают свое внимание на мобильные вредоносные программы, создавая все более опасные версии. Благодаря возможностям автоматизированной системы передачи данных (ATS) уровень угрозы Xenomorph значительно повысился. Поскольку группа Hadoken активно рекламирует свой продукт, существует большая вероятность того, что объем этого вредоносного ПО увеличится, и, возможно, оно даже будет распространяться через дропперы в Google Play Store. Финансовые организации могут связаться с командой ThreatFabric по анализу мобильных угроз, если они подозревают, что какие-либо приложения вовлечены во вредоносную деятельность. Пакет ThreatFabric Fraud Risk Suite предлагает разведку мобильных угроз, поведенческую аналитику, расширенное дактилоскопирование устройств и более 10 000 адаптивных индикаторов мошенничества для обеспечения безопасного и беспрепятственного путешествия клиентов в Интернете.

#ParsedReport
10-03-2023

Killnet 2023 ORBAT

https://cyberknow.medium.com/killnet-2023-orbat-a9584d5c6e66

Actors/Campaigns:
Killnet (motivation: hacktivism, financially_motivated)
Anonymous_russia

Threats:
Killmilk_actor
Phoenix_keylogger

Geo:
German, Australian, Germany, America, Russian

Softs:
telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Killnet - известная российская хактивистская группа, которая действует в киберпространстве с февраля 2022 года. Это одна из самых влиятельных пророссийских группировок в российско-украинской войне, и ее влияние продолжает расти со временем. Деятельность Killnet в основном включает DDoS-атаки, но они также заинтересованы в ransomware, атаках на взломы и утечки. Группа имеет финансовую мотивацию, у нее есть своя криптобиржа, форум и группы спецназа.

Killnet добился значительного успеха в манипулировании информационным пространством войны между Россией и Украиной. Им удалось объединить 22 группы для проведения различных кампаний, и в последние месяцы они нацелились на Германию и НАТО. Это свидетельствует о растущей силе организации и ее способности привлекать других людей к своему делу. Более того, Killnet получил много похвалы от различных российских СМИ и групп Telegram. Таким образом, их популярность и охват продолжают расти.

Именно поэтому при отслеживании угроз в киберпространстве необходимо учитывать намерения. Killnet растет в размерах и поддержке, и их возможности только увеличиваются. Заглядывая вперед, можно предположить, что в 2023 году эта группа будет действовать еще более мощно и опасно. Поэтому важно проявлять бдительность и следить за тем, чтобы их деятельность выявлялась и тщательно отслеживалась. В противном случае эта вредоносная деятельность может нанести серьезный ущерб и нарушить работу предприятий, правительств и других организаций.

#ParsedReport
09-03-2023

Attackers Increasingly Abusing DigitalOcean to Host Scams and Phishing

https://www.netskope.com/blog/attackers-increasingly-abusing-digitalocean-to-host-scams-and-phishing

Industry:
Financial

Geo:
Japanese, America

IOCs:
File: 4
Domain: 97

Softs:
windows defender

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Netskope Threat Labs отслеживает увеличение количества вредоносных веб-страниц, размещенных на DigitalOcean. С начала 2021 года посещаемость этих вредоносных страниц увеличилась в 17 раз, причем злоумышленники в основном фокусируются на мошенничествах с техподдержкой и фишинговых страницах. Аферы с техподдержкой пытаются обманом заставить жертв поверить, что их компьютер заражен вредоносным ПО, и заставить их позвонить на фальшивую линию помощи, а фишинговые страницы пытаются украсть конфиденциальные финансовые данные. Злоумышленники атакуют жертв в основном в Северной Америке и Европе в различных секторах экономики, используя бесплатные облачные сервисы, такие как DigitalOcean, для размещения вредоносного контента. Netskope Threat Labs работает над выявлением и сообщением об этих угрозах, а также предоставляет ресурсы для защиты от них. Пользователи должны всегда обращать внимание на URL-адреса и заходить на важные страницы непосредственно в браузере. Кроме того, рекомендуется проверять весь трафик HTTP и HTTPS и использовать технологию Remote Browser Isolation для дополнительной защиты при посещении веб-сайтов с повышенным риском.

#ParsedReport
10-03-2023

Update Android now! Two critical vulnerabilities patched

https://www.malwarebytes.com/blog/news/2023/03/update-android-now-two-critical-vulnerabilities-patched

CVEs:
CVE-2023-20951 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2022-33213 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix

CVE-2022-33256 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2023-20954 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2021-33655 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.3
X-Force: Patch: Official fix
Soft:
- linux linux kernel (5.19)
- debian debian linux (10.0, 11.0)


Softs:
android, android'

Functions:
Multi-mode

#ParsedReport
10-03-2023

Nexus: The Latest Android Banking Trojan with SOVA Connections

https://blog.cyble.com/2023/03/09/nexus-the-latest-android-banking-trojan-with-sova-connections

Threats:
Sova
Nexus_ransomware
Halkbank

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 8
Technics: 10

IOCs:
Domain: 2
File: 8
Url: 1
Hash: 1

Softs:
android, exodus wallet

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Известно, что субъекты угроз (АУ) используют киберпреступные форумы для продвижения своих вредоносных программ, что позволяет им получать прибыль от такой деятельности и расширять охват аудитории. Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила на одном из российских форумов рекламу банковского трояна Nexus для Android, который распространялся через фишинговые сайты, выдававшие себя за легитимные сайты YouTube Vanced. Анализ образцов Nexus показал, что его код похож на код банковского трояна S.O.V.A., который впервые был обнаружен в 2021 году.

Вредоносная программа Nexus запрашивает у пользователей 50 разрешений, 14 из которых она использует во вредоносных целях. Она использует службу Accessibility Service для утверждения этих разрешений, позволяет администрировать устройство и инициирует действия по прослушиванию клавиатуры. Кроме того, он подключается к командно-контрольному серверу для передачи конфиденциальной информации, нацелен на банковские приложения, загружает HTML-коды инъекций для фишинга, приобретает начальные фразы из кошельков Trust и Exodus, а также включает модуль ransomware.

#ParsedReport
10-03-2023

Malicious code disguising itself as a password file

https://asec.ahnlab.com/ko/49180

Actors/Campaigns:
Apt37
Kimsuky

Threats:
Dropper/lnk.agent

Industry:
Financial

IOCs:
File: 9
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 7
Hash: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В прошлом месяце Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил два типа вредоносного кода, замаскированного под файл паролей и распространяемого в виде сжатого файла вместе с обычным файлом документа. Эти два типа вредоносного кода представляли собой файлы CHM и LNK. При выполнении файла CHM он отображает пароль файла документа и выполняет вредоносный скрипт. Затем вредоносный скрипт выполняет дополнительные скрипты, представленные во вредоносном URL, через процесс mshta. Этот вредоносный код может регистрировать ключ RUN, получать команды с сервера злоумышленника и передавать результаты выполнения команд. Аналогично, когда выполняется файл LNK, он создает текстовый файл с паролем и файл вредоносного сценария в папке %temp%. Этот тип вредоносного кода может выполнять различные вредоносные действия в зависимости от намерений злоумышленника.

Эти вредоносные коды трудно распознать из-за того, что они распространяются вместе с обычными файлами документов. Ожидается, что различными группами злоумышленников будут выпущены и другие типы вредоносных программ. Поэтому пользователи должны быть внимательны при получении почты и особенно осторожны при выполнении вложений. Они всегда должны проверять отправителя, прежде чем предпринимать какие-либо действия.

Начали потихоньку втаскивать в прод классификатор новостей на базе обученной по 3К отчетам модельке. Посмотрим, насколько он будет хорош в вытаскивании TI-отчетов из новостной ленты.