#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet - опасный банковский троянец, заражающий пользователей по всему миру с 7 марта 2023 года. Обычно он распространяется через спам-письма с вредоносными вложениями, такими как файлы ZIP и DOC. Файл DOC содержит вредоносный макрокод, который загружает полезную нагрузку Emotet на машину жертвы. Полезная нагрузка имеет размер более 500 МБ, чтобы избежать обнаружения антивирусами. После загрузки вредоносная программа Emotet подключается к командно-контрольному серверу, с которого можно загрузить дополнительные полезные нагрузки.

#ParsedReport
10-03-2023

Xenomorph v3: a new variant with ATS targeting more than 400 institutions

https://www.threatfabric.com/blogs/xenomorph-v3-new-variant-with-ats.html

Actors/Campaigns:
Zombinder
Hadoken_security
Indra

Threats:
Xenomorph
Octo
Hook
Gymdrop
Gustuff
Sharkbot
Kraken
Halkbank
Mallox_ransomware
Geral

Industry:
Retail, E-commerce, Ics, Financial

Geo:
Italia, Spain, Budapest, Malaysia, Australia, Italy, Argentina, America, France, Colombia, Deutsche, Ita, Denmark, Uruguay, Portugal, Chile, Canada, Greece, Canadian, Austria, Georgia, Turkey, Emirates

IOCs:
File: 152
Hash: 3
Domain: 6

Softs:
android, discord, coinbase.android, coinbase

Languages:
javascript

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Hadoken Security Group, новая волна создателей вредоносных программ, распространяется с начала 2022 года. Их основной продукт - семейство вредоносных программ под названием Xenomorph, кампании которого характеризуются короткими и сдержанными усилиями по распространению. Недавно аналитики ThreatFabrics обнаружили новую версию Xenomorph, Xenomorph.C, которая оснащена движком выполнения, работающим на сервисах доступности, и способна полностью автоматизировать цепочку мошенничества. Целевой список этой версии включает более 400 банковских и финансовых учреждений и криптовалютных кошельков. Группа Hadoken выходит на рынок MaaS, что означает, что они, скорее всего, начнут широкомасштабное распространение и повысят уровень своей угрозы до уровня более продвинутых семейств вредоносных программ, таких как Gustuff и SharkBot.

Образцы, выявленные ThreatFabrics, были связаны с тестовыми кампаниями, в которых вредоносное ПО распространялось через сторонние хостинги, такие как Discord Content Delivery Network (CDN). Эта техника не нова, поскольку она часто используется авторами вредоносных программ, чтобы скрыться от посторонних глаз. Кроме того, это бесплатный хостинг, надежный и используемый миллионами людей, и соединения с такими доменами с меньшей вероятностью будут отмечены как подозрительные.

Впервые Xenomorph был распространен GymDrop в феврале 2022 года, затем BugDrop и Zombinder. Последняя версия Xenomorph, похоже, была развернута приложением Zombinder, привязанным к легитимному конвертеру валют, который загружает приложение, выдающее себя за Google Protect. Основное внимание Xenomorph уделял Испании, Португалии, Италии, Бельгии и Канаде, причем последние кампании также были нацелены на криптовалютные кошельки.

Последняя версия Xenomorph имеет модульную кодовую базу для повышения гибкости и упрощения обновления. Она также имеет ряд функций, облегчающих преступную деятельность, таких как эксфильтрация PII, удаленные действия для злоупотребления Accessibility Services и модуль сбора кода для извлечения кодов аутентификации из приложений Authenticators. Кроме того, вредоносная программа обладает функцией кражи Cookie, позволяющей преступникам получать доступ к веб-сессиям жертв, вошедших в систему.

Разработка Xenomorph указывает на то, что субъекты переключают свое внимание на мобильные вредоносные программы, создавая все более опасные версии. Благодаря возможностям автоматизированной системы передачи данных (ATS) уровень угрозы Xenomorph значительно повысился. Поскольку группа Hadoken активно рекламирует свой продукт, существует большая вероятность того, что объем этого вредоносного ПО увеличится, и, возможно, оно даже будет распространяться через дропперы в Google Play Store. Финансовые организации могут связаться с командой ThreatFabric по анализу мобильных угроз, если они подозревают, что какие-либо приложения вовлечены во вредоносную деятельность. Пакет ThreatFabric Fraud Risk Suite предлагает разведку мобильных угроз, поведенческую аналитику, расширенное дактилоскопирование устройств и более 10 000 адаптивных индикаторов мошенничества для обеспечения безопасного и беспрепятственного путешествия клиентов в Интернете.

#ParsedReport
10-03-2023

Killnet 2023 ORBAT

https://cyberknow.medium.com/killnet-2023-orbat-a9584d5c6e66

Actors/Campaigns:
Killnet (motivation: hacktivism, financially_motivated)
Anonymous_russia

Threats:
Killmilk_actor
Phoenix_keylogger

Geo:
German, Australian, Germany, America, Russian

Softs:
telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Killnet - известная российская хактивистская группа, которая действует в киберпространстве с февраля 2022 года. Это одна из самых влиятельных пророссийских группировок в российско-украинской войне, и ее влияние продолжает расти со временем. Деятельность Killnet в основном включает DDoS-атаки, но они также заинтересованы в ransomware, атаках на взломы и утечки. Группа имеет финансовую мотивацию, у нее есть своя криптобиржа, форум и группы спецназа.

Killnet добился значительного успеха в манипулировании информационным пространством войны между Россией и Украиной. Им удалось объединить 22 группы для проведения различных кампаний, и в последние месяцы они нацелились на Германию и НАТО. Это свидетельствует о растущей силе организации и ее способности привлекать других людей к своему делу. Более того, Killnet получил много похвалы от различных российских СМИ и групп Telegram. Таким образом, их популярность и охват продолжают расти.

Именно поэтому при отслеживании угроз в киберпространстве необходимо учитывать намерения. Killnet растет в размерах и поддержке, и их возможности только увеличиваются. Заглядывая вперед, можно предположить, что в 2023 году эта группа будет действовать еще более мощно и опасно. Поэтому важно проявлять бдительность и следить за тем, чтобы их деятельность выявлялась и тщательно отслеживалась. В противном случае эта вредоносная деятельность может нанести серьезный ущерб и нарушить работу предприятий, правительств и других организаций.

#ParsedReport
09-03-2023

Attackers Increasingly Abusing DigitalOcean to Host Scams and Phishing

https://www.netskope.com/blog/attackers-increasingly-abusing-digitalocean-to-host-scams-and-phishing

Industry:
Financial

Geo:
Japanese, America

IOCs:
File: 4
Domain: 97

Softs:
windows defender

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Netskope Threat Labs отслеживает увеличение количества вредоносных веб-страниц, размещенных на DigitalOcean. С начала 2021 года посещаемость этих вредоносных страниц увеличилась в 17 раз, причем злоумышленники в основном фокусируются на мошенничествах с техподдержкой и фишинговых страницах. Аферы с техподдержкой пытаются обманом заставить жертв поверить, что их компьютер заражен вредоносным ПО, и заставить их позвонить на фальшивую линию помощи, а фишинговые страницы пытаются украсть конфиденциальные финансовые данные. Злоумышленники атакуют жертв в основном в Северной Америке и Европе в различных секторах экономики, используя бесплатные облачные сервисы, такие как DigitalOcean, для размещения вредоносного контента. Netskope Threat Labs работает над выявлением и сообщением об этих угрозах, а также предоставляет ресурсы для защиты от них. Пользователи должны всегда обращать внимание на URL-адреса и заходить на важные страницы непосредственно в браузере. Кроме того, рекомендуется проверять весь трафик HTTP и HTTPS и использовать технологию Remote Browser Isolation для дополнительной защиты при посещении веб-сайтов с повышенным риском.

#ParsedReport
10-03-2023

Update Android now! Two critical vulnerabilities patched

https://www.malwarebytes.com/blog/news/2023/03/update-android-now-two-critical-vulnerabilities-patched

CVEs:
CVE-2023-20951 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2022-33213 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix

CVE-2022-33256 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2023-20954 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2021-33655 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.3
X-Force: Patch: Official fix
Soft:
- linux linux kernel (5.19)
- debian debian linux (10.0, 11.0)


Softs:
android, android'

Functions:
Multi-mode

#ParsedReport
10-03-2023

Nexus: The Latest Android Banking Trojan with SOVA Connections

https://blog.cyble.com/2023/03/09/nexus-the-latest-android-banking-trojan-with-sova-connections

Threats:
Sova
Nexus_ransomware
Halkbank

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 8
Technics: 10

IOCs:
Domain: 2
File: 8
Url: 1
Hash: 1

Softs:
android, exodus wallet

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Известно, что субъекты угроз (АУ) используют киберпреступные форумы для продвижения своих вредоносных программ, что позволяет им получать прибыль от такой деятельности и расширять охват аудитории. Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила на одном из российских форумов рекламу банковского трояна Nexus для Android, который распространялся через фишинговые сайты, выдававшие себя за легитимные сайты YouTube Vanced. Анализ образцов Nexus показал, что его код похож на код банковского трояна S.O.V.A., который впервые был обнаружен в 2021 году.

Вредоносная программа Nexus запрашивает у пользователей 50 разрешений, 14 из которых она использует во вредоносных целях. Она использует службу Accessibility Service для утверждения этих разрешений, позволяет администрировать устройство и инициирует действия по прослушиванию клавиатуры. Кроме того, он подключается к командно-контрольному серверу для передачи конфиденциальной информации, нацелен на банковские приложения, загружает HTML-коды инъекций для фишинга, приобретает начальные фразы из кошельков Trust и Exodus, а также включает модуль ransomware.

#ParsedReport
10-03-2023

Malicious code disguising itself as a password file

https://asec.ahnlab.com/ko/49180

Actors/Campaigns:
Apt37
Kimsuky

Threats:
Dropper/lnk.agent

Industry:
Financial

IOCs:
File: 9
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 7
Hash: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В прошлом месяце Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил два типа вредоносного кода, замаскированного под файл паролей и распространяемого в виде сжатого файла вместе с обычным файлом документа. Эти два типа вредоносного кода представляли собой файлы CHM и LNK. При выполнении файла CHM он отображает пароль файла документа и выполняет вредоносный скрипт. Затем вредоносный скрипт выполняет дополнительные скрипты, представленные во вредоносном URL, через процесс mshta. Этот вредоносный код может регистрировать ключ RUN, получать команды с сервера злоумышленника и передавать результаты выполнения команд. Аналогично, когда выполняется файл LNK, он создает текстовый файл с паролем и файл вредоносного сценария в папке %temp%. Этот тип вредоносного кода может выполнять различные вредоносные действия в зависимости от намерений злоумышленника.

Эти вредоносные коды трудно распознать из-за того, что они распространяются вместе с обычными файлами документов. Ожидается, что различными группами злоумышленников будут выпущены и другие типы вредоносных программ. Поэтому пользователи должны быть внимательны при получении почты и особенно осторожны при выполнении вложений. Они всегда должны проверять отправителя, прежде чем предпринимать какие-либо действия.

Начали потихоньку втаскивать в прод классификатор новостей на базе обученной по 3К отчетам модельке. Посмотрим, насколько он будет хорош в вытаскивании TI-отчетов из новостной ленты.

Как же быстро летит время. RST Cloud уже 8 лет )))

#technique

A simple DNS exfiltration script.

https://github.com/rybolov/dns-exfil

#technique

Donut v1.0 "Cruller" - ETW Bypasses, Module Overloading, and Much More

https://thewover.github.io/Cruller/

#ParsedReport
13-03-2023

CatB Ransomware \| File Locker Sharpens Its Claws to Steal Data with MSDTC Service DLL Hijacking

https://www.sentinelone.com/blog/decrypting-catb-ransomware-analyzing-their-latest-attack-methods

Threats:
Catb_ransomware
Dll_hijacking_technique
Pandora

Industry:
Financial

IOCs:
File: 5
Path: 1
Email: 1
Hash: 5
Domain: 2

Softs:
mozilla firefox, google chrome, microsoft edge, internet explorer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Семейство вымогательских программ CatB впервые появилось в конце 2022 года и с тех пор не прекращает своей активности. Считается, что это эволюция или ребрендинг программы Pandora ransomware начала-середины 2022 года, которая была нацелена на автомобильную промышленность. Полезная нагрузка CatB распространяется в виде двух DLL, причем DLL-дроппер отвечает за первоначальную проверку среды на уклонение, а также за сброс и запуск второй DLL, содержащей полезную нагрузку выкупного ПО. Вредоносная программа использует преимущества перехвата порядка поиска DLL для сброса и загрузки вредоносной полезной нагрузки в каталог System32 и злоупотребляет службой MSDTC для манипулирования разрешениями и параметрами запуска.

CatB шифрует файлы, исключая некоторые расширения, такие как .msi, .dll, .sys, .iso и NTUSER.DAT, и оставляет после себя записки с выкупом, прикрепленные к заголовку зашифрованных файлов. Единственным способом связаться с угрозой является электронная почта на предоставленный Protonmail адрес, а для оплаты предоставляется один Bitcoin-адрес. Если жертва не выполнит требования в течение пяти дней, произойдет необратимая потеря данных. Помимо шифрования файлов, ransomware также пытается собрать специфическую конфиденциальную информацию с целевых систем, например, данные о сеансах работы браузера и учетные данные. Она может обнаружить и извлечь пользовательские данные из Mozilla Firefox, Google Chrome, Microsoft Edge, Internet Explorer и данных профиля Windows Mail.

На момент написания статьи на BTC-адресе, связанном с вымогательской программой CatB, было проведено ноль транзакций и баланс был нулевым. Угрозе не хватает общей сложности, но любое современное, правильно настроенное решение XDR/EDR должно быстро оповещать о начале атаки CatB в среде. SentinelOne Singularity полностью предотвращает и защищает клиентов от вредоносного поведения, связанного с CatB ransomware.

#ParsedReport
11-03-2023

Emotet Again! The First Malspam Wave of 2023

https://www.deepinstinct.com/blog/emotet-again-the-first-malspam-wave-of-2023

Threats:
Emotet
Process_injection_technique

Geo:
Japanese, Japan

IOCs:
File: 1
Hash: 279

Algorithms:
zip

Links:
https://github.com/deepinstinct/Emotet-IOCs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet, вредоносный троян, разослал свою первую волну вредоносного спама с ноября 2022 года. Эта волна включает новые методы уклонения, использованные вредоносной программой, такие как взломанные электронные письма, рассылаемые компаниям по всему миру, и глубоко внедренные файлы Word с длинными и обфусцированными макросами. Документы Word искусственно раздуваются до размера более 500 Мб, что затрудняет сканирование продуктами безопасности и "песочницами", что нарушает автоматический анализ и извлечение IOC. Команда Deep Instincts Threat Research отслеживала перемещения Emotet в течение последнего года и активно оповещала сообщество о любых изменениях или активности.

Более того, теперь вредоносная программа забрасывает определенную версию переименованного certutil в AppData \Local\Temp вместо копирования локальной версии certutil.exe. Если не полагаться только на статическое обнаружение, то шансы остановить текущую волну Emotet выше. Поскольку Ilbaroni_ был первым, кто заметил возвращение Emotet и написал об этом в Твиттере, сообщество может оставаться бдительным и продолжать следить за активностью Emotet.

Emotet - это вредоносная программа, которая недавно всплыла на поверхность после бездействия с ноября. В ней были использованы новые техники, позволяющие избежать обнаружения, включая захват потоков электронной почты, глубокое встраивание документов Word и искусственное увеличение объема документов до более чем 500 Мб. Команда Deep Instincts Threat Research отслеживает Emotet и предоставляет обновленную информацию о его активности. Они отмечают, что продукты безопасности, которые не полагаются на статическое обнаружение, имеют больше шансов остановить текущую волну. Сообществу следует сохранять бдительность и продолжать следить за активностью Emotet.

#ParsedReport
13-03-2023

BatLoader Continues to Abuse Google Search Ads to Deliver Vidar Stealer and Ursnif

https://www.esentire.com/blog/batloader-continues-to-abuse-google-search-ads-to-deliver-vidar-stealer-and-ursnif

Threats:
Vidar_stealer
Batloader
Gozi
More_eggs
Redline_stealer
Pyarmor_tool
Lolbas_technique
Cobalt_strike
Systembc
Syncro_tool
Anydesk_tool
Royal_ransomware

Geo:
Emea, Africa, America, Apac

IOCs:
Domain: 30
File: 7
Url: 1
Hash: 5
Registry: 2

Softs:
windows installer, zoom, microsoft teams

Functions:
OpenSSL

Languages:
python, java

Platforms:
x86, intel

Links:
https://github.com/Svenskithesource/PyArmor-Unpacker