#ParsedReport
10-03-2023

Update Android now! Two critical vulnerabilities patched

https://www.malwarebytes.com/blog/news/2023/03/update-android-now-two-critical-vulnerabilities-patched

CVEs:
CVE-2023-20951 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2022-33213 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix

CVE-2022-33256 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2023-20954 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2021-33655 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.3
X-Force: Patch: Official fix
Soft:
- linux linux kernel (5.19)
- debian debian linux (10.0, 11.0)


Softs:
android, android'

Functions:
Multi-mode

#ParsedReport
10-03-2023

Nexus: The Latest Android Banking Trojan with SOVA Connections

https://blog.cyble.com/2023/03/09/nexus-the-latest-android-banking-trojan-with-sova-connections

Threats:
Sova
Nexus_ransomware
Halkbank

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 8
Technics: 10

IOCs:
Domain: 2
File: 8
Url: 1
Hash: 1

Softs:
android, exodus wallet

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Известно, что субъекты угроз (АУ) используют киберпреступные форумы для продвижения своих вредоносных программ, что позволяет им получать прибыль от такой деятельности и расширять охват аудитории. Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила на одном из российских форумов рекламу банковского трояна Nexus для Android, который распространялся через фишинговые сайты, выдававшие себя за легитимные сайты YouTube Vanced. Анализ образцов Nexus показал, что его код похож на код банковского трояна S.O.V.A., который впервые был обнаружен в 2021 году.

Вредоносная программа Nexus запрашивает у пользователей 50 разрешений, 14 из которых она использует во вредоносных целях. Она использует службу Accessibility Service для утверждения этих разрешений, позволяет администрировать устройство и инициирует действия по прослушиванию клавиатуры. Кроме того, он подключается к командно-контрольному серверу для передачи конфиденциальной информации, нацелен на банковские приложения, загружает HTML-коды инъекций для фишинга, приобретает начальные фразы из кошельков Trust и Exodus, а также включает модуль ransomware.

#ParsedReport
10-03-2023

Malicious code disguising itself as a password file

https://asec.ahnlab.com/ko/49180

Actors/Campaigns:
Apt37
Kimsuky

Threats:
Dropper/lnk.agent

Industry:
Financial

IOCs:
File: 9
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 7
Hash: 3

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В прошлом месяце Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил два типа вредоносного кода, замаскированного под файл паролей и распространяемого в виде сжатого файла вместе с обычным файлом документа. Эти два типа вредоносного кода представляли собой файлы CHM и LNK. При выполнении файла CHM он отображает пароль файла документа и выполняет вредоносный скрипт. Затем вредоносный скрипт выполняет дополнительные скрипты, представленные во вредоносном URL, через процесс mshta. Этот вредоносный код может регистрировать ключ RUN, получать команды с сервера злоумышленника и передавать результаты выполнения команд. Аналогично, когда выполняется файл LNK, он создает текстовый файл с паролем и файл вредоносного сценария в папке %temp%. Этот тип вредоносного кода может выполнять различные вредоносные действия в зависимости от намерений злоумышленника.

Эти вредоносные коды трудно распознать из-за того, что они распространяются вместе с обычными файлами документов. Ожидается, что различными группами злоумышленников будут выпущены и другие типы вредоносных программ. Поэтому пользователи должны быть внимательны при получении почты и особенно осторожны при выполнении вложений. Они всегда должны проверять отправителя, прежде чем предпринимать какие-либо действия.

Начали потихоньку втаскивать в прод классификатор новостей на базе обученной по 3К отчетам модельке. Посмотрим, насколько он будет хорош в вытаскивании TI-отчетов из новостной ленты.

Как же быстро летит время. RST Cloud уже 8 лет )))

#technique

A simple DNS exfiltration script.

https://github.com/rybolov/dns-exfil

#technique

Donut v1.0 "Cruller" - ETW Bypasses, Module Overloading, and Much More

https://thewover.github.io/Cruller/

#ParsedReport
13-03-2023

CatB Ransomware \| File Locker Sharpens Its Claws to Steal Data with MSDTC Service DLL Hijacking

https://www.sentinelone.com/blog/decrypting-catb-ransomware-analyzing-their-latest-attack-methods

Threats:
Catb_ransomware
Dll_hijacking_technique
Pandora

Industry:
Financial

IOCs:
File: 5
Path: 1
Email: 1
Hash: 5
Domain: 2

Softs:
mozilla firefox, google chrome, microsoft edge, internet explorer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Семейство вымогательских программ CatB впервые появилось в конце 2022 года и с тех пор не прекращает своей активности. Считается, что это эволюция или ребрендинг программы Pandora ransomware начала-середины 2022 года, которая была нацелена на автомобильную промышленность. Полезная нагрузка CatB распространяется в виде двух DLL, причем DLL-дроппер отвечает за первоначальную проверку среды на уклонение, а также за сброс и запуск второй DLL, содержащей полезную нагрузку выкупного ПО. Вредоносная программа использует преимущества перехвата порядка поиска DLL для сброса и загрузки вредоносной полезной нагрузки в каталог System32 и злоупотребляет службой MSDTC для манипулирования разрешениями и параметрами запуска.

CatB шифрует файлы, исключая некоторые расширения, такие как .msi, .dll, .sys, .iso и NTUSER.DAT, и оставляет после себя записки с выкупом, прикрепленные к заголовку зашифрованных файлов. Единственным способом связаться с угрозой является электронная почта на предоставленный Protonmail адрес, а для оплаты предоставляется один Bitcoin-адрес. Если жертва не выполнит требования в течение пяти дней, произойдет необратимая потеря данных. Помимо шифрования файлов, ransomware также пытается собрать специфическую конфиденциальную информацию с целевых систем, например, данные о сеансах работы браузера и учетные данные. Она может обнаружить и извлечь пользовательские данные из Mozilla Firefox, Google Chrome, Microsoft Edge, Internet Explorer и данных профиля Windows Mail.

На момент написания статьи на BTC-адресе, связанном с вымогательской программой CatB, было проведено ноль транзакций и баланс был нулевым. Угрозе не хватает общей сложности, но любое современное, правильно настроенное решение XDR/EDR должно быстро оповещать о начале атаки CatB в среде. SentinelOne Singularity полностью предотвращает и защищает клиентов от вредоносного поведения, связанного с CatB ransomware.

#ParsedReport
11-03-2023

Emotet Again! The First Malspam Wave of 2023

https://www.deepinstinct.com/blog/emotet-again-the-first-malspam-wave-of-2023

Threats:
Emotet
Process_injection_technique

Geo:
Japanese, Japan

IOCs:
File: 1
Hash: 279

Algorithms:
zip

Links:
https://github.com/deepinstinct/Emotet-IOCs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet, вредоносный троян, разослал свою первую волну вредоносного спама с ноября 2022 года. Эта волна включает новые методы уклонения, использованные вредоносной программой, такие как взломанные электронные письма, рассылаемые компаниям по всему миру, и глубоко внедренные файлы Word с длинными и обфусцированными макросами. Документы Word искусственно раздуваются до размера более 500 Мб, что затрудняет сканирование продуктами безопасности и "песочницами", что нарушает автоматический анализ и извлечение IOC. Команда Deep Instincts Threat Research отслеживала перемещения Emotet в течение последнего года и активно оповещала сообщество о любых изменениях или активности.

Более того, теперь вредоносная программа забрасывает определенную версию переименованного certutil в AppData \Local\Temp вместо копирования локальной версии certutil.exe. Если не полагаться только на статическое обнаружение, то шансы остановить текущую волну Emotet выше. Поскольку Ilbaroni_ был первым, кто заметил возвращение Emotet и написал об этом в Твиттере, сообщество может оставаться бдительным и продолжать следить за активностью Emotet.

Emotet - это вредоносная программа, которая недавно всплыла на поверхность после бездействия с ноября. В ней были использованы новые техники, позволяющие избежать обнаружения, включая захват потоков электронной почты, глубокое встраивание документов Word и искусственное увеличение объема документов до более чем 500 Мб. Команда Deep Instincts Threat Research отслеживает Emotet и предоставляет обновленную информацию о его активности. Они отмечают, что продукты безопасности, которые не полагаются на статическое обнаружение, имеют больше шансов остановить текущую волну. Сообществу следует сохранять бдительность и продолжать следить за активностью Emotet.

#ParsedReport
13-03-2023

BatLoader Continues to Abuse Google Search Ads to Deliver Vidar Stealer and Ursnif

https://www.esentire.com/blog/batloader-continues-to-abuse-google-search-ads-to-deliver-vidar-stealer-and-ursnif

Threats:
Vidar_stealer
Batloader
Gozi
More_eggs
Redline_stealer
Pyarmor_tool
Lolbas_technique
Cobalt_strike
Systembc
Syncro_tool
Anydesk_tool
Royal_ransomware

Geo:
Emea, Africa, America, Apac

IOCs:
Domain: 30
File: 7
Url: 1
Hash: 5
Registry: 2

Softs:
windows installer, zoom, microsoft teams

Functions:
OpenSSL

Languages:
python, java

Platforms:
x86, intel

Links:
https://github.com/Svenskithesource/PyArmor-Unpacker

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В декабре 2022 года TRU писал о вредоносной кампании, в ходе которой поисковая реклама Google использовалась для выдачи себя за популярные программные приложения с целью доставки вредоносных файлов установщика Windows. Эти файлы использовали PowerShell для загрузки и выполнения полезных нагрузок, таких как Redline Stealer, Ursnif и more_eggs.

В середине февраля 2023 года ТРУ заблокировало попытку выполнения Ursnif клиентом-производителем, отследив ее по результату поиска Adobe Reader в Google. Этот поиск привел пользователя на промежуточный веб-сайт, на котором была размещена самодельная страница загрузки, связанная с Adobe Acrobat Reader. Файл MSI содержал пользовательские действия, которые выполняли команды с привилегиями администратора. Он также записывал приложение-обманку в C:\Program Files (x86)\Chat Mapper вместе со скриптами BatLoader и вспомогательными файлами.

Анализ более поздних образцов в марте 2023 года выявил наличие троянов Vidar Stealer и Ursnif. Образец содержал три файла Python, которые были обфусцированы с помощью PyArmor и содержали идентичные серии команд, используемых для получения, расшифровки и выполнения полезной нагрузки. Перехваченная полезная нагрузка представляла собой Ursnif, настроенный на подключение к доменам C2 и достижение постоянства с помощью ключа запуска реестра.

Использование поисковой рекламы Google семействами вредоносных программ растет с начала 2023 года. Эта тактика используется различными семействами вредоносных программ, включая BatLoader, который, как известно, выполняет такие полезные нагрузки, как Redline Stealer, SystemBC RAT, Syncro RMM, Vidar Stealer, Ursnif и Cobalt Strike.

В заключение следует отметить, что использование поисковой рекламы Google различными семействами вредоносных программ становится все более распространенным, поэтому организациям необходимо сохранять бдительность и принимать необходимые меры безопасности для защиты от этих угроз.

#ParsedReport
13-03-2023

. Analysis of Typical Mining Family Series IVLemonDuck Mining Botnet

https://www.antiy.cn/research/notice&report/research_report/20230310.html

Threats:
Lemonduck
Hezb
Kthmimu
Eternalblue_vuln
Dtlminer
Stuxnet
Clipbanker
Mimikatz_tool
Passthehash_technique
Bluekeep_vuln
Smbghost_tool
Zegost
Beacon
Xmrig_miner

Industry:
Financial, Energy, Government

CVEs:
CVE-2020-14882 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2020-0796 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (1903, 1909)
- microsoft windows 10 (1903, 1909)

CVE-2019-0708 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2003 (r2, -)
- microsoft windows 7 (-)
- microsoft windows vista (-)
- microsoft windows xp (-)
have more...
CVE-2017-8464 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1511, 1607, 1703, -)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2017-8570 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 3
Url: 12
Hash: 112
IP: 2
Domain: 53

Softs:
redis, mysql, docker, hadoop, py2exe, pyinstaller, mssql

Languages:
python

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Семейство ботнетов для майнинга LemonDuck - это особенно плодовитый тип вредоносного ПО, который активен с 2018 года. Он распространяется по множеству каналов, включая распространение по цепочке поставок, слабые пароли, фишинговые электронные письма, мобильные устройства хранения данных и компоненты эксплойтов. Он предназначен для использования преимуществ анонимных виртуальных валют, таких как Monero, для повышения их стоимости и анонимности, оставляя жертв с нарушенной производительностью и зависанием системы. Он также оставляет бэкдоры, позволяющие злоумышленникам контролировать узлы и отдавать команды другим компьютерам.

В 2021 году правительство Китая выпустило уведомление об исправлении деятельности по добыче виртуальных валют, и были достигнуты замечательные результаты. Несмотря на это, троянские программы для майнинга по-прежнему выгодны злоумышленникам и будут продолжать распространяться. Таким образом, организациям необходимо использовать продукты безопасности и эффективные технологии для их обнаружения и удаления. Antiy CERT выпустил отчет, в котором представлена информация об эволюции семейства троянцев для майнинга и методах устранения проблем.

Семейство ботнетов для майнинга LemonDuck обладает большим количеством вредоносных возможностей, таких как кража основной информации с целевых узлов, распространение вредоносного ПО, кража секретной информации троянцев ClipBanker, атака на Docker-цели и эксплуатация уязвимостей Eternal Blue, CVE-2017-8464 и CVE-2017-8570. Основная цель - незаконное получение прибыли путем использования вычислительных мощностей жертв для добычи виртуальной валюты. Он имеет различные методы передачи, итеративные модули и использует различные скрипты PowerShell.

В целом, семейство ботнетов для майнинга LemonDuck является сложным вредоносным ПО, представляющим серьезную угрозу для организаций. Поэтому организациям важно внедрить эффективные решения безопасности, чтобы защитить свои активы от эксплуатации этим семейством вредоносных программ.

#ParsedReport
13-03-2023

APT-C-56AndroidRlmRatLinux. 1. Attack activity analysis

https://mp.weixin.qq.com/s/lvSraGnMsl3a1jEUubuvyw

Actors/Campaigns:
Transparenttribe (motivation: information_theft)
Manlinghua
Sidecopy
Steppy_kavach

Threats:
Limepad_tool
Beacon
Poseidon
Rlmrat

Industry:
Government, Entertainment, Education

Geo:
Asia, Indian, India

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 4
Hash: 6
File: 8
Url: 1
Domain: 3

Softs:
android, pyinstaller, autocad

Languages:
php, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

360 Beacon Labs и 360 Advanced Threat Research Institute недавно выявили новую атаку группы Transparent Tribe APT-C-56, направленную на мобильные, Windows и Linux системы. Эта группа известна своими поддерживаемыми правительством операциями в Южной Азии и в основном нацелена на индийских военнослужащих и правительственный персонал. Новая атака использовала фишинговые веб-сайты, замаскированные под Indian National Scholarship Portal, Indian Army Welfare Education Society и Wellington Fitness Club, чтобы нацелиться на конкретных пользователей. Через эти сайты злоумышленники смогли доставить вредоносную полезную нагрузку на устройства жертв.

Полезная нагрузка на мобильном терминале включала новый тип образца Android RAT, способного похищать идентификационную информацию пользователя путем загрузки фишинговой страницы во время выполнения программы. На стороне ПК злоумышленники поставляли новый инструмент утечки данных для систем Windows и Linux для осуществления деятельности по краже данных.

Для того чтобы определить истинную принадлежность Transparent Tribe, исследователи безопасности проанализировали IP-адрес разрешения доменного имени фишингового сайта на терминалах мобильных устройств и ПК, который, как выяснилось, был 153[.\]92.220.48. Кроме того, регистратором двух доменных имен была компания NameSilo, LLC, а срок действия сертификата фишингового сайта составлял всего три месяца. Основываясь на этой информации, исследователи безопасности смогли обнаружить партию подозрительных доменных имен, связанных с IP-адресом 153[.\]92.220.48.

В ходе дальнейшего расследования было установлено, что доменные имена kavach-app.in, supremo-portal[.\]in и wellingtongymkhanaclub[.\]in принадлежат к многоплатформенной фишинговой атаке, организованной Transparent Tribes. Предполагается, что Transparent Tribe и организация SideCopy тесно связаны между собой, возможно, принадлежат к одной и той же организации или имеют близкие отношения.

В целом, Transparent Tribe - это активная APT-организация в Южной Азии, которая продолжает обновлять свой арсенал средств атаки новыми методами и фишинговыми веб-сайтами. Поэтому исследователям безопасности и организациям важно сохранять бдительность и отслеживать любую подозрительную активность, связанную с Transparent Tribe.

#ParsedReport
13-03-2023

ShellBot Malware Distributing Targeting Linux SSH Servers

https://asec.ahnlab.com/ko/49313

Threats:
Perlbot
Lights_perlbot
Nmap_tool
Powerbots
Gohack

Industry:
Iot

IOCs:
Url: 4
IP: 7
File: 1
Domain: 1
Hash: 8

Softs:
ms-sql, hadoop, curl, -s -l

Languages:
perl

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) недавно подтвердил, что вредоносная программа ShellBot устанавливается на неправильно управляемые SSH-серверы Linux. ShellBot, также известный как PerlBot, является вредоносным DDoS-ботом, разработанным на языке Perl и взаимодействующим с C&C-сервером по протоколу IRC. Он уже давно используется различными злоумышленниками и может применяться для проведения различных вредоносных действий, таких как DDoS-атаки, обратные оболочки, удаление журналов и сканеры.

ShellBot обычно устанавливается посредством словарных атак со списками часто используемых учетных данных SSH на порт 22 серверной среды Linux. Он характеризуется немного разными формами и функциями из-за кастомизации каждым злоумышленником, и в основном классифицируется на три основные категории: LiGhTs Modded perlbot v2 ShellBot, DDoS PBot v2.0 и PowerBots.

LiGhTs Modded perlbot v2 ShellBot предоставляет различные функции, включая команды, используемые для установки и DDoS-атак. После успешного входа на SSH-сервер он соединяется с C&C-сервером, указанным злоумышленником, по протоколу IRC. DDoS PBot v2.0 характеризуется тем, что показывает основную информацию и используемые команды в комментариях, которые можно увидеть в начальной процедуре. Он случайным образом выбирает один из более чем 500 ников, включая abbore, ably и abyss, для входа в IRC-канал и проверяет ник и адрес хоста пользователя, вошедшего в канал, перед выполнением команды атакующего. PowerBots проще, чем два других, и в основном используются в качестве бэкдоров с функциями обратной оболочки и загрузки файлов.

Чтобы защитить Linux-системы от подобных атак ShellBot, администраторы должны использовать надежные пароли, которые трудно угадать, и периодически менять их, ставить заплатки до последней версии для предотвращения атак на уязвимости, использовать продукты безопасности, такие как брандмауэры, для контроля доступа злоумышленников, и заранее блокировать заражение вредоносным кодом, обновляя V3 до последней версии.