#ParsedReport
10-03-2023

Killnet 2023 ORBAT

https://cyberknow.medium.com/killnet-2023-orbat-a9584d5c6e66

Actors/Campaigns:
Killnet (motivation: hacktivism, financially_motivated)
Anonymous_russia

Threats:
Killmilk_actor
Phoenix_keylogger

Geo:
German, Australian, Germany, America, Russian

Softs:
telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Killnet - известная российская хактивистская группа, которая действует в киберпространстве с февраля 2022 года. Это одна из самых влиятельных пророссийских группировок в российско-украинской войне, и ее влияние продолжает расти со временем. Деятельность Killnet в основном включает DDoS-атаки, но они также заинтересованы в ransomware, атаках на взломы и утечки. Группа имеет финансовую мотивацию, у нее есть своя криптобиржа, форум и группы спецназа.

Killnet добился значительного успеха в манипулировании информационным пространством войны между Россией и Украиной. Им удалось объединить 22 группы для проведения различных кампаний, и в последние месяцы они нацелились на Германию и НАТО. Это свидетельствует о растущей силе организации и ее способности привлекать других людей к своему делу. Более того, Killnet получил много похвалы от различных российских СМИ и групп Telegram. Таким образом, их популярность и охват продолжают расти.

Именно поэтому при отслеживании угроз в киберпространстве необходимо учитывать намерения. Killnet растет в размерах и поддержке, и их возможности только увеличиваются. Заглядывая вперед, можно предположить, что в 2023 году эта группа будет действовать еще более мощно и опасно. Поэтому важно проявлять бдительность и следить за тем, чтобы их деятельность выявлялась и тщательно отслеживалась. В противном случае эта вредоносная деятельность может нанести серьезный ущерб и нарушить работу предприятий, правительств и других организаций.

#ParsedReport
09-03-2023

Attackers Increasingly Abusing DigitalOcean to Host Scams and Phishing

https://www.netskope.com/blog/attackers-increasingly-abusing-digitalocean-to-host-scams-and-phishing

Industry:
Financial

Geo:
Japanese, America

IOCs:
File: 4
Domain: 97

Softs:
windows defender

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Netskope Threat Labs отслеживает увеличение количества вредоносных веб-страниц, размещенных на DigitalOcean. С начала 2021 года посещаемость этих вредоносных страниц увеличилась в 17 раз, причем злоумышленники в основном фокусируются на мошенничествах с техподдержкой и фишинговых страницах. Аферы с техподдержкой пытаются обманом заставить жертв поверить, что их компьютер заражен вредоносным ПО, и заставить их позвонить на фальшивую линию помощи, а фишинговые страницы пытаются украсть конфиденциальные финансовые данные. Злоумышленники атакуют жертв в основном в Северной Америке и Европе в различных секторах экономики, используя бесплатные облачные сервисы, такие как DigitalOcean, для размещения вредоносного контента. Netskope Threat Labs работает над выявлением и сообщением об этих угрозах, а также предоставляет ресурсы для защиты от них. Пользователи должны всегда обращать внимание на URL-адреса и заходить на важные страницы непосредственно в браузере. Кроме того, рекомендуется проверять весь трафик HTTP и HTTPS и использовать технологию Remote Browser Isolation для дополнительной защиты при посещении веб-сайтов с повышенным риском.

#ParsedReport
10-03-2023

Update Android now! Two critical vulnerabilities patched

https://www.malwarebytes.com/blog/news/2023/03/update-android-now-two-critical-vulnerabilities-patched

CVEs:
CVE-2023-20951 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2022-33213 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix

CVE-2022-33256 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2023-20954 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2021-33655 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.3
X-Force: Patch: Official fix
Soft:
- linux linux kernel (5.19)
- debian debian linux (10.0, 11.0)


Softs:
android, android'

Functions:
Multi-mode

#ParsedReport
10-03-2023

Nexus: The Latest Android Banking Trojan with SOVA Connections

https://blog.cyble.com/2023/03/09/nexus-the-latest-android-banking-trojan-with-sova-connections

Threats:
Sova
Nexus_ransomware
Halkbank

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 8
Technics: 10

IOCs:
Domain: 2
File: 8
Url: 1
Hash: 1

Softs:
android, exodus wallet

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Известно, что субъекты угроз (АУ) используют киберпреступные форумы для продвижения своих вредоносных программ, что позволяет им получать прибыль от такой деятельности и расширять охват аудитории. Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила на одном из российских форумов рекламу банковского трояна Nexus для Android, который распространялся через фишинговые сайты, выдававшие себя за легитимные сайты YouTube Vanced. Анализ образцов Nexus показал, что его код похож на код банковского трояна S.O.V.A., который впервые был обнаружен в 2021 году.

Вредоносная программа Nexus запрашивает у пользователей 50 разрешений, 14 из которых она использует во вредоносных целях. Она использует службу Accessibility Service для утверждения этих разрешений, позволяет администрировать устройство и инициирует действия по прослушиванию клавиатуры. Кроме того, он подключается к командно-контрольному серверу для передачи конфиденциальной информации, нацелен на банковские приложения, загружает HTML-коды инъекций для фишинга, приобретает начальные фразы из кошельков Trust и Exodus, а также включает модуль ransomware.

#ParsedReport
10-03-2023

Malicious code disguising itself as a password file

https://asec.ahnlab.com/ko/49180

Actors/Campaigns:
Apt37
Kimsuky

Threats:
Dropper/lnk.agent

Industry:
Financial

IOCs:
File: 9
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 7
Hash: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В прошлом месяце Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил два типа вредоносного кода, замаскированного под файл паролей и распространяемого в виде сжатого файла вместе с обычным файлом документа. Эти два типа вредоносного кода представляли собой файлы CHM и LNK. При выполнении файла CHM он отображает пароль файла документа и выполняет вредоносный скрипт. Затем вредоносный скрипт выполняет дополнительные скрипты, представленные во вредоносном URL, через процесс mshta. Этот вредоносный код может регистрировать ключ RUN, получать команды с сервера злоумышленника и передавать результаты выполнения команд. Аналогично, когда выполняется файл LNK, он создает текстовый файл с паролем и файл вредоносного сценария в папке %temp%. Этот тип вредоносного кода может выполнять различные вредоносные действия в зависимости от намерений злоумышленника.

Эти вредоносные коды трудно распознать из-за того, что они распространяются вместе с обычными файлами документов. Ожидается, что различными группами злоумышленников будут выпущены и другие типы вредоносных программ. Поэтому пользователи должны быть внимательны при получении почты и особенно осторожны при выполнении вложений. Они всегда должны проверять отправителя, прежде чем предпринимать какие-либо действия.

Начали потихоньку втаскивать в прод классификатор новостей на базе обученной по 3К отчетам модельке. Посмотрим, насколько он будет хорош в вытаскивании TI-отчетов из новостной ленты.

Как же быстро летит время. RST Cloud уже 8 лет )))

#technique

A simple DNS exfiltration script.

https://github.com/rybolov/dns-exfil

#technique

Donut v1.0 "Cruller" - ETW Bypasses, Module Overloading, and Much More

https://thewover.github.io/Cruller/

#ParsedReport
13-03-2023

CatB Ransomware \| File Locker Sharpens Its Claws to Steal Data with MSDTC Service DLL Hijacking

https://www.sentinelone.com/blog/decrypting-catb-ransomware-analyzing-their-latest-attack-methods

Threats:
Catb_ransomware
Dll_hijacking_technique
Pandora

Industry:
Financial

IOCs:
File: 5
Path: 1
Email: 1
Hash: 5
Domain: 2

Softs:
mozilla firefox, google chrome, microsoft edge, internet explorer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Семейство вымогательских программ CatB впервые появилось в конце 2022 года и с тех пор не прекращает своей активности. Считается, что это эволюция или ребрендинг программы Pandora ransomware начала-середины 2022 года, которая была нацелена на автомобильную промышленность. Полезная нагрузка CatB распространяется в виде двух DLL, причем DLL-дроппер отвечает за первоначальную проверку среды на уклонение, а также за сброс и запуск второй DLL, содержащей полезную нагрузку выкупного ПО. Вредоносная программа использует преимущества перехвата порядка поиска DLL для сброса и загрузки вредоносной полезной нагрузки в каталог System32 и злоупотребляет службой MSDTC для манипулирования разрешениями и параметрами запуска.

CatB шифрует файлы, исключая некоторые расширения, такие как .msi, .dll, .sys, .iso и NTUSER.DAT, и оставляет после себя записки с выкупом, прикрепленные к заголовку зашифрованных файлов. Единственным способом связаться с угрозой является электронная почта на предоставленный Protonmail адрес, а для оплаты предоставляется один Bitcoin-адрес. Если жертва не выполнит требования в течение пяти дней, произойдет необратимая потеря данных. Помимо шифрования файлов, ransomware также пытается собрать специфическую конфиденциальную информацию с целевых систем, например, данные о сеансах работы браузера и учетные данные. Она может обнаружить и извлечь пользовательские данные из Mozilla Firefox, Google Chrome, Microsoft Edge, Internet Explorer и данных профиля Windows Mail.

На момент написания статьи на BTC-адресе, связанном с вымогательской программой CatB, было проведено ноль транзакций и баланс был нулевым. Угрозе не хватает общей сложности, но любое современное, правильно настроенное решение XDR/EDR должно быстро оповещать о начале атаки CatB в среде. SentinelOne Singularity полностью предотвращает и защищает клиентов от вредоносного поведения, связанного с CatB ransomware.

#ParsedReport
11-03-2023

Emotet Again! The First Malspam Wave of 2023

https://www.deepinstinct.com/blog/emotet-again-the-first-malspam-wave-of-2023

Threats:
Emotet
Process_injection_technique

Geo:
Japanese, Japan

IOCs:
File: 1
Hash: 279

Algorithms:
zip

Links:
https://github.com/deepinstinct/Emotet-IOCs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet, вредоносный троян, разослал свою первую волну вредоносного спама с ноября 2022 года. Эта волна включает новые методы уклонения, использованные вредоносной программой, такие как взломанные электронные письма, рассылаемые компаниям по всему миру, и глубоко внедренные файлы Word с длинными и обфусцированными макросами. Документы Word искусственно раздуваются до размера более 500 Мб, что затрудняет сканирование продуктами безопасности и "песочницами", что нарушает автоматический анализ и извлечение IOC. Команда Deep Instincts Threat Research отслеживала перемещения Emotet в течение последнего года и активно оповещала сообщество о любых изменениях или активности.

Более того, теперь вредоносная программа забрасывает определенную версию переименованного certutil в AppData \Local\Temp вместо копирования локальной версии certutil.exe. Если не полагаться только на статическое обнаружение, то шансы остановить текущую волну Emotet выше. Поскольку Ilbaroni_ был первым, кто заметил возвращение Emotet и написал об этом в Твиттере, сообщество может оставаться бдительным и продолжать следить за активностью Emotet.

Emotet - это вредоносная программа, которая недавно всплыла на поверхность после бездействия с ноября. В ней были использованы новые техники, позволяющие избежать обнаружения, включая захват потоков электронной почты, глубокое встраивание документов Word и искусственное увеличение объема документов до более чем 500 Мб. Команда Deep Instincts Threat Research отслеживает Emotet и предоставляет обновленную информацию о его активности. Они отмечают, что продукты безопасности, которые не полагаются на статическое обнаружение, имеют больше шансов остановить текущую волну. Сообществу следует сохранять бдительность и продолжать следить за активностью Emotet.

#ParsedReport
13-03-2023

BatLoader Continues to Abuse Google Search Ads to Deliver Vidar Stealer and Ursnif

https://www.esentire.com/blog/batloader-continues-to-abuse-google-search-ads-to-deliver-vidar-stealer-and-ursnif

Threats:
Vidar_stealer
Batloader
Gozi
More_eggs
Redline_stealer
Pyarmor_tool
Lolbas_technique
Cobalt_strike
Systembc
Syncro_tool
Anydesk_tool
Royal_ransomware

Geo:
Emea, Africa, America, Apac

IOCs:
Domain: 30
File: 7
Url: 1
Hash: 5
Registry: 2

Softs:
windows installer, zoom, microsoft teams

Functions:
OpenSSL

Languages:
python, java

Platforms:
x86, intel

Links:
https://github.com/Svenskithesource/PyArmor-Unpacker

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В декабре 2022 года TRU писал о вредоносной кампании, в ходе которой поисковая реклама Google использовалась для выдачи себя за популярные программные приложения с целью доставки вредоносных файлов установщика Windows. Эти файлы использовали PowerShell для загрузки и выполнения полезных нагрузок, таких как Redline Stealer, Ursnif и more_eggs.

В середине февраля 2023 года ТРУ заблокировало попытку выполнения Ursnif клиентом-производителем, отследив ее по результату поиска Adobe Reader в Google. Этот поиск привел пользователя на промежуточный веб-сайт, на котором была размещена самодельная страница загрузки, связанная с Adobe Acrobat Reader. Файл MSI содержал пользовательские действия, которые выполняли команды с привилегиями администратора. Он также записывал приложение-обманку в C:\Program Files (x86)\Chat Mapper вместе со скриптами BatLoader и вспомогательными файлами.

Анализ более поздних образцов в марте 2023 года выявил наличие троянов Vidar Stealer и Ursnif. Образец содержал три файла Python, которые были обфусцированы с помощью PyArmor и содержали идентичные серии команд, используемых для получения, расшифровки и выполнения полезной нагрузки. Перехваченная полезная нагрузка представляла собой Ursnif, настроенный на подключение к доменам C2 и достижение постоянства с помощью ключа запуска реестра.

Использование поисковой рекламы Google семействами вредоносных программ растет с начала 2023 года. Эта тактика используется различными семействами вредоносных программ, включая BatLoader, который, как известно, выполняет такие полезные нагрузки, как Redline Stealer, SystemBC RAT, Syncro RMM, Vidar Stealer, Ursnif и Cobalt Strike.

В заключение следует отметить, что использование поисковой рекламы Google различными семействами вредоносных программ становится все более распространенным, поэтому организациям необходимо сохранять бдительность и принимать необходимые меры безопасности для защиты от этих угроз.

#ParsedReport
13-03-2023

. Analysis of Typical Mining Family Series IVLemonDuck Mining Botnet

https://www.antiy.cn/research/notice&report/research_report/20230310.html

Threats:
Lemonduck
Hezb
Kthmimu
Eternalblue_vuln
Dtlminer
Stuxnet
Clipbanker
Mimikatz_tool
Passthehash_technique
Bluekeep_vuln
Smbghost_tool
Zegost
Beacon
Xmrig_miner

Industry:
Financial, Energy, Government

CVEs:
CVE-2020-14882 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2020-0796 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (1903, 1909)
- microsoft windows 10 (1903, 1909)

CVE-2019-0708 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2003 (r2, -)
- microsoft windows 7 (-)
- microsoft windows vista (-)
- microsoft windows xp (-)
have more...
CVE-2017-8464 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1511, 1607, 1703, -)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2017-8570 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 3
Url: 12
Hash: 112
IP: 2
Domain: 53

Softs:
redis, mysql, docker, hadoop, py2exe, pyinstaller, mssql

Languages:
python

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Семейство ботнетов для майнинга LemonDuck - это особенно плодовитый тип вредоносного ПО, который активен с 2018 года. Он распространяется по множеству каналов, включая распространение по цепочке поставок, слабые пароли, фишинговые электронные письма, мобильные устройства хранения данных и компоненты эксплойтов. Он предназначен для использования преимуществ анонимных виртуальных валют, таких как Monero, для повышения их стоимости и анонимности, оставляя жертв с нарушенной производительностью и зависанием системы. Он также оставляет бэкдоры, позволяющие злоумышленникам контролировать узлы и отдавать команды другим компьютерам.

В 2021 году правительство Китая выпустило уведомление об исправлении деятельности по добыче виртуальных валют, и были достигнуты замечательные результаты. Несмотря на это, троянские программы для майнинга по-прежнему выгодны злоумышленникам и будут продолжать распространяться. Таким образом, организациям необходимо использовать продукты безопасности и эффективные технологии для их обнаружения и удаления. Antiy CERT выпустил отчет, в котором представлена информация об эволюции семейства троянцев для майнинга и методах устранения проблем.

Семейство ботнетов для майнинга LemonDuck обладает большим количеством вредоносных возможностей, таких как кража основной информации с целевых узлов, распространение вредоносного ПО, кража секретной информации троянцев ClipBanker, атака на Docker-цели и эксплуатация уязвимостей Eternal Blue, CVE-2017-8464 и CVE-2017-8570. Основная цель - незаконное получение прибыли путем использования вычислительных мощностей жертв для добычи виртуальной валюты. Он имеет различные методы передачи, итеративные модули и использует различные скрипты PowerShell.

В целом, семейство ботнетов для майнинга LemonDuck является сложным вредоносным ПО, представляющим серьезную угрозу для организаций. Поэтому организациям важно внедрить эффективные решения безопасности, чтобы защитить свои активы от эксплуатации этим семейством вредоносных программ.