#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Семейство вымогательских программ CatB впервые появилось в конце 2022 года и с тех пор не прекращает своей активности. Считается, что это эволюция или ребрендинг программы Pandora ransomware начала-середины 2022 года, которая была нацелена на автомобильную промышленность. Полезная нагрузка CatB распространяется в виде двух DLL, причем DLL-дроппер отвечает за первоначальную проверку среды на уклонение, а также за сброс и запуск второй DLL, содержащей полезную нагрузку выкупного ПО. Вредоносная программа использует преимущества перехвата порядка поиска DLL для сброса и загрузки вредоносной полезной нагрузки в каталог System32 и злоупотребляет службой MSDTC для манипулирования разрешениями и параметрами запуска.

CatB шифрует файлы, исключая некоторые расширения, такие как .msi, .dll, .sys, .iso и NTUSER.DAT, и оставляет после себя записки с выкупом, прикрепленные к заголовку зашифрованных файлов. Единственным способом связаться с угрозой является электронная почта на предоставленный Protonmail адрес, а для оплаты предоставляется один Bitcoin-адрес. Если жертва не выполнит требования в течение пяти дней, произойдет необратимая потеря данных. Помимо шифрования файлов, ransomware также пытается собрать специфическую конфиденциальную информацию с целевых систем, например, данные о сеансах работы браузера и учетные данные. Она может обнаружить и извлечь пользовательские данные из Mozilla Firefox, Google Chrome, Microsoft Edge, Internet Explorer и данных профиля Windows Mail.

На момент написания статьи на BTC-адресе, связанном с вымогательской программой CatB, было проведено ноль транзакций и баланс был нулевым. Угрозе не хватает общей сложности, но любое современное, правильно настроенное решение XDR/EDR должно быстро оповещать о начале атаки CatB в среде. SentinelOne Singularity полностью предотвращает и защищает клиентов от вредоносного поведения, связанного с CatB ransomware.

#ParsedReport
11-03-2023

Emotet Again! The First Malspam Wave of 2023

https://www.deepinstinct.com/blog/emotet-again-the-first-malspam-wave-of-2023

Threats:
Emotet
Process_injection_technique

Geo:
Japanese, Japan

IOCs:
File: 1
Hash: 279

Algorithms:
zip

Links:
https://github.com/deepinstinct/Emotet-IOCs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet, вредоносный троян, разослал свою первую волну вредоносного спама с ноября 2022 года. Эта волна включает новые методы уклонения, использованные вредоносной программой, такие как взломанные электронные письма, рассылаемые компаниям по всему миру, и глубоко внедренные файлы Word с длинными и обфусцированными макросами. Документы Word искусственно раздуваются до размера более 500 Мб, что затрудняет сканирование продуктами безопасности и "песочницами", что нарушает автоматический анализ и извлечение IOC. Команда Deep Instincts Threat Research отслеживала перемещения Emotet в течение последнего года и активно оповещала сообщество о любых изменениях или активности.

Более того, теперь вредоносная программа забрасывает определенную версию переименованного certutil в AppData \Local\Temp вместо копирования локальной версии certutil.exe. Если не полагаться только на статическое обнаружение, то шансы остановить текущую волну Emotet выше. Поскольку Ilbaroni_ был первым, кто заметил возвращение Emotet и написал об этом в Твиттере, сообщество может оставаться бдительным и продолжать следить за активностью Emotet.

Emotet - это вредоносная программа, которая недавно всплыла на поверхность после бездействия с ноября. В ней были использованы новые техники, позволяющие избежать обнаружения, включая захват потоков электронной почты, глубокое встраивание документов Word и искусственное увеличение объема документов до более чем 500 Мб. Команда Deep Instincts Threat Research отслеживает Emotet и предоставляет обновленную информацию о его активности. Они отмечают, что продукты безопасности, которые не полагаются на статическое обнаружение, имеют больше шансов остановить текущую волну. Сообществу следует сохранять бдительность и продолжать следить за активностью Emotet.

#ParsedReport
13-03-2023

BatLoader Continues to Abuse Google Search Ads to Deliver Vidar Stealer and Ursnif

https://www.esentire.com/blog/batloader-continues-to-abuse-google-search-ads-to-deliver-vidar-stealer-and-ursnif

Threats:
Vidar_stealer
Batloader
Gozi
More_eggs
Redline_stealer
Pyarmor_tool
Lolbas_technique
Cobalt_strike
Systembc
Syncro_tool
Anydesk_tool
Royal_ransomware

Geo:
Emea, Africa, America, Apac

IOCs:
Domain: 30
File: 7
Url: 1
Hash: 5
Registry: 2

Softs:
windows installer, zoom, microsoft teams

Functions:
OpenSSL

Languages:
python, java

Platforms:
x86, intel

Links:
https://github.com/Svenskithesource/PyArmor-Unpacker

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В декабре 2022 года TRU писал о вредоносной кампании, в ходе которой поисковая реклама Google использовалась для выдачи себя за популярные программные приложения с целью доставки вредоносных файлов установщика Windows. Эти файлы использовали PowerShell для загрузки и выполнения полезных нагрузок, таких как Redline Stealer, Ursnif и more_eggs.

В середине февраля 2023 года ТРУ заблокировало попытку выполнения Ursnif клиентом-производителем, отследив ее по результату поиска Adobe Reader в Google. Этот поиск привел пользователя на промежуточный веб-сайт, на котором была размещена самодельная страница загрузки, связанная с Adobe Acrobat Reader. Файл MSI содержал пользовательские действия, которые выполняли команды с привилегиями администратора. Он также записывал приложение-обманку в C:\Program Files (x86)\Chat Mapper вместе со скриптами BatLoader и вспомогательными файлами.

Анализ более поздних образцов в марте 2023 года выявил наличие троянов Vidar Stealer и Ursnif. Образец содержал три файла Python, которые были обфусцированы с помощью PyArmor и содержали идентичные серии команд, используемых для получения, расшифровки и выполнения полезной нагрузки. Перехваченная полезная нагрузка представляла собой Ursnif, настроенный на подключение к доменам C2 и достижение постоянства с помощью ключа запуска реестра.

Использование поисковой рекламы Google семействами вредоносных программ растет с начала 2023 года. Эта тактика используется различными семействами вредоносных программ, включая BatLoader, который, как известно, выполняет такие полезные нагрузки, как Redline Stealer, SystemBC RAT, Syncro RMM, Vidar Stealer, Ursnif и Cobalt Strike.

В заключение следует отметить, что использование поисковой рекламы Google различными семействами вредоносных программ становится все более распространенным, поэтому организациям необходимо сохранять бдительность и принимать необходимые меры безопасности для защиты от этих угроз.

#ParsedReport
13-03-2023

. Analysis of Typical Mining Family Series IVLemonDuck Mining Botnet

https://www.antiy.cn/research/notice&report/research_report/20230310.html

Threats:
Lemonduck
Hezb
Kthmimu
Eternalblue_vuln
Dtlminer
Stuxnet
Clipbanker
Mimikatz_tool
Passthehash_technique
Bluekeep_vuln
Smbghost_tool
Zegost
Beacon
Xmrig_miner

Industry:
Financial, Energy, Government

CVEs:
CVE-2020-14882 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2020-0796 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (1903, 1909)
- microsoft windows 10 (1903, 1909)

CVE-2019-0708 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2003 (r2, -)
- microsoft windows 7 (-)
- microsoft windows vista (-)
- microsoft windows xp (-)
have more...
CVE-2017-8464 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1511, 1607, 1703, -)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
have more...
CVE-2017-8570 [Vulners]
CVSS V2: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 3
Url: 12
Hash: 112
IP: 2
Domain: 53

Softs:
redis, mysql, docker, hadoop, py2exe, pyinstaller, mssql

Languages:
python

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Семейство ботнетов для майнинга LemonDuck - это особенно плодовитый тип вредоносного ПО, который активен с 2018 года. Он распространяется по множеству каналов, включая распространение по цепочке поставок, слабые пароли, фишинговые электронные письма, мобильные устройства хранения данных и компоненты эксплойтов. Он предназначен для использования преимуществ анонимных виртуальных валют, таких как Monero, для повышения их стоимости и анонимности, оставляя жертв с нарушенной производительностью и зависанием системы. Он также оставляет бэкдоры, позволяющие злоумышленникам контролировать узлы и отдавать команды другим компьютерам.

В 2021 году правительство Китая выпустило уведомление об исправлении деятельности по добыче виртуальных валют, и были достигнуты замечательные результаты. Несмотря на это, троянские программы для майнинга по-прежнему выгодны злоумышленникам и будут продолжать распространяться. Таким образом, организациям необходимо использовать продукты безопасности и эффективные технологии для их обнаружения и удаления. Antiy CERT выпустил отчет, в котором представлена информация об эволюции семейства троянцев для майнинга и методах устранения проблем.

Семейство ботнетов для майнинга LemonDuck обладает большим количеством вредоносных возможностей, таких как кража основной информации с целевых узлов, распространение вредоносного ПО, кража секретной информации троянцев ClipBanker, атака на Docker-цели и эксплуатация уязвимостей Eternal Blue, CVE-2017-8464 и CVE-2017-8570. Основная цель - незаконное получение прибыли путем использования вычислительных мощностей жертв для добычи виртуальной валюты. Он имеет различные методы передачи, итеративные модули и использует различные скрипты PowerShell.

В целом, семейство ботнетов для майнинга LemonDuck является сложным вредоносным ПО, представляющим серьезную угрозу для организаций. Поэтому организациям важно внедрить эффективные решения безопасности, чтобы защитить свои активы от эксплуатации этим семейством вредоносных программ.

#ParsedReport
13-03-2023

APT-C-56AndroidRlmRatLinux. 1. Attack activity analysis

https://mp.weixin.qq.com/s/lvSraGnMsl3a1jEUubuvyw

Actors/Campaigns:
Transparenttribe (motivation: information_theft)
Manlinghua
Sidecopy
Steppy_kavach

Threats:
Limepad_tool
Beacon
Poseidon
Rlmrat

Industry:
Government, Entertainment, Education

Geo:
Asia, Indian, India

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 4
Hash: 6
File: 8
Url: 1
Domain: 3

Softs:
android, pyinstaller, autocad

Languages:
php, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

360 Beacon Labs и 360 Advanced Threat Research Institute недавно выявили новую атаку группы Transparent Tribe APT-C-56, направленную на мобильные, Windows и Linux системы. Эта группа известна своими поддерживаемыми правительством операциями в Южной Азии и в основном нацелена на индийских военнослужащих и правительственный персонал. Новая атака использовала фишинговые веб-сайты, замаскированные под Indian National Scholarship Portal, Indian Army Welfare Education Society и Wellington Fitness Club, чтобы нацелиться на конкретных пользователей. Через эти сайты злоумышленники смогли доставить вредоносную полезную нагрузку на устройства жертв.

Полезная нагрузка на мобильном терминале включала новый тип образца Android RAT, способного похищать идентификационную информацию пользователя путем загрузки фишинговой страницы во время выполнения программы. На стороне ПК злоумышленники поставляли новый инструмент утечки данных для систем Windows и Linux для осуществления деятельности по краже данных.

Для того чтобы определить истинную принадлежность Transparent Tribe, исследователи безопасности проанализировали IP-адрес разрешения доменного имени фишингового сайта на терминалах мобильных устройств и ПК, который, как выяснилось, был 153[.\]92.220.48. Кроме того, регистратором двух доменных имен была компания NameSilo, LLC, а срок действия сертификата фишингового сайта составлял всего три месяца. Основываясь на этой информации, исследователи безопасности смогли обнаружить партию подозрительных доменных имен, связанных с IP-адресом 153[.\]92.220.48.

В ходе дальнейшего расследования было установлено, что доменные имена kavach-app.in, supremo-portal[.\]in и wellingtongymkhanaclub[.\]in принадлежат к многоплатформенной фишинговой атаке, организованной Transparent Tribes. Предполагается, что Transparent Tribe и организация SideCopy тесно связаны между собой, возможно, принадлежат к одной и той же организации или имеют близкие отношения.

В целом, Transparent Tribe - это активная APT-организация в Южной Азии, которая продолжает обновлять свой арсенал средств атаки новыми методами и фишинговыми веб-сайтами. Поэтому исследователям безопасности и организациям важно сохранять бдительность и отслеживать любую подозрительную активность, связанную с Transparent Tribe.

#ParsedReport
13-03-2023

ShellBot Malware Distributing Targeting Linux SSH Servers

https://asec.ahnlab.com/ko/49313

Threats:
Perlbot
Lights_perlbot
Nmap_tool
Powerbots
Gohack

Industry:
Iot

IOCs:
Url: 4
IP: 7
File: 1
Domain: 1
Hash: 8

Softs:
ms-sql, hadoop, curl, -s -l

Languages:
perl

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) недавно подтвердил, что вредоносная программа ShellBot устанавливается на неправильно управляемые SSH-серверы Linux. ShellBot, также известный как PerlBot, является вредоносным DDoS-ботом, разработанным на языке Perl и взаимодействующим с C&C-сервером по протоколу IRC. Он уже давно используется различными злоумышленниками и может применяться для проведения различных вредоносных действий, таких как DDoS-атаки, обратные оболочки, удаление журналов и сканеры.

ShellBot обычно устанавливается посредством словарных атак со списками часто используемых учетных данных SSH на порт 22 серверной среды Linux. Он характеризуется немного разными формами и функциями из-за кастомизации каждым злоумышленником, и в основном классифицируется на три основные категории: LiGhTs Modded perlbot v2 ShellBot, DDoS PBot v2.0 и PowerBots.

LiGhTs Modded perlbot v2 ShellBot предоставляет различные функции, включая команды, используемые для установки и DDoS-атак. После успешного входа на SSH-сервер он соединяется с C&C-сервером, указанным злоумышленником, по протоколу IRC. DDoS PBot v2.0 характеризуется тем, что показывает основную информацию и используемые команды в комментариях, которые можно увидеть в начальной процедуре. Он случайным образом выбирает один из более чем 500 ников, включая abbore, ably и abyss, для входа в IRC-канал и проверяет ник и адрес хоста пользователя, вошедшего в канал, перед выполнением команды атакующего. PowerBots проще, чем два других, и в основном используются в качестве бэкдоров с функциями обратной оболочки и загрузки файлов.

Чтобы защитить Linux-системы от подобных атак ShellBot, администраторы должны использовать надежные пароли, которые трудно угадать, и периодически менять их, ставить заплатки до последней версии для предотвращения атак на уязвимости, использовать продукты безопасности, такие как брандмауэры, для контроля доступа злоумышленников, и заранее блокировать заражение вредоносным кодом, обновляя V3 до последней версии.

#ParsedReport
13-03-2023

Emotet Returns, Now Adopts Binary Padding for Evasion. Overview

https://www.trendmicro.com/en_us/research/23/c/emotet-returns-now-adopts-binary-padding-for-evasion.html

Threats:
Emotet
Hiatusrat
Passview_tool

IOCs:
File: 3
Url: 8
Hash: 30
IP: 9

Algorithms:
zip

Functions:
CopyHere

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносная программа Emotet распространяется через вредоносные документы, содержащие макросы, которые используют методы социальной инженерии, чтобы обмануть пользователей и заставить их активировать. Документы раздуваются до 500+ мегабайт с помощью техники двоичной подшивки, чтобы избежать решений по обеспечению безопасности. После включения макросов с одного из семи закодированных и обфусцированных URL-адресов загружается ZIP-файл. Этот ZIP-файл содержит вредоносный DLL-файл, который затем тихо выполняется с помощью regsvr32.exe.

Чтобы защититься от угрозы Emotet, пользователям следует с осторожностью относиться к письмам от неизвестных отправителей или с подозрительными темами. Им также следует избегать перехода по ссылкам или загрузки вложений и использовать спам-фильтры для отсеивания нежелательных писем. Решения для конечных точек, такие как Smart Protection Suites и Worry-Free Business Security компании Trend Micro, помогут защитить пользователей от угроз, подобных Emotet.

Emotet - это продвинутая вредоносная программа, которая недавно вновь появилась после трехмесячного перерыва. Она распространяется через вредоносные электронные письма, содержащие документы и ZIP-файлы с поддержкой макросов. Эти документы специально разработаны для того, чтобы избежать обнаружения путем увеличения размера файлов до более чем 500 МБ с помощью техники двоичной подстановки. Если пользователь включает макросы для документа, он загружает ZIP-файл с одного из семи закодированных и обфусцированных URL-адресов. Этот ZIP-файл содержит вредоносный DLL-файл, который затем тихо выполняется с помощью regsvr32.exe.

Вирус Emotet TrojanSpy.Win64.EMOTET.SMA содержит 24 различных File SHA256 и способен похищать информацию, рассылать спам и загружать дополнительные полезные нагрузки. Поскольку субъекты угроз, стоящие за Emotet, продолжают совершенствовать свою тактику, важно принять меры предосторожности для предотвращения заражения. Пользователи должны с осторожностью относиться к письмам от неизвестных отправителей или с подозрительными темами, избегать перехода по подозрительным ссылкам или загрузки вложений, а также использовать спам-фильтры для отсеивания нежелательных писем.

#ParsedReport
13-03-2023

CHM Malware Disguised as North Korea-related Questionnaire (Kimsuky)

https://asec.ahnlab.com/en/49295

Actors/Campaigns:
Kimsuky

Geo:
Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 4
File: 3
Registry: 1
Url: 2
Hash: 4

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил штамм вредоносного ПО, связанный с группой Kimsuky, который распространяется в виде вложения в электронную почту. Вредоносный файл, CHM-документ, маскируется под запрос на интервью, связанный с Северной Кореей, и требует ответа от получателя, чтобы файл был отправлен. CHM-файл выглядит как справочный документ с законными вопросами, поэтому пользователям трудно распознать вредоносную природу файла. При выполнении CHM содержит вредоносный сценарий, который сохраняется в файле .dat и регистрируется в ключе Run для обеспечения постоянного выполнения. Затем файл .dat запускает сценарий PowerShell на удаленном сервере, обнаруживая тот же формат, что и вредоносное ПО, проанализированное в аналитическом отчете о вредоносном ПО, распространяемом группой Kimsuky, опубликованном в прошлом году.

Группа Kimsuky известна тем, что направляет на жертв фишинговые письма, содержащие вредоносные файлы в различных формах, таких как документы Word и файлы CHM. Эти вредоносные файлы содержат скрипты, которые могут привести к утечке пользовательской информации, поэтому пользователям необходимо соблюдать осторожность при открытии нежелательных вложений. Последнее обнаружение вредоносной программы CHM доказывает, что группа Kimsuky по-прежнему активна и постоянно находит новые способы получения пользовательских данных. Важно сохранять бдительность и соблюдать правила безопасного просмотра сайтов, чтобы защитить себя от фишинговых атак.

Чтобы снизить риск стать жертвой фишинговой атаки, пользователи должны всегда с подозрением относиться к нежелательным письмам и вложениям, независимо от отправителя. Также рекомендуется использовать антивирусные программы для проверки любых подозрительных файлов перед их открытием. Кроме того, не следует переходить по ссылкам или открывать вложения, если вы не уверены в их подлинности. Соблюдая эти меры предосторожности, вы можете быть уверены, что ваши данные находятся в безопасности от таких злоумышленников, как группа Kimsuky.

#ParsedReport
13-03-2023

Qakbot Evolves to OneNote Malware Distribution

https://www.trellix.com/en-us/about/newsroom/stories/research/qakbot-evolves-to-onenote-malware-distribution.html

Actors/Campaigns:
Ta570
Ta577

Threats:
Qakbot
Asyncrat_rat
Icedid
Xworm_rat
Emotet
Prolock
Egregor
Doppelpaymer
Process_injection_technique
Process_hollowing_technique
Hiddenvnc_tool
Nltest_tool
Netstat_tool
Krbrelayup_tool
Poshc2_tool
3losh

Industry:
Government, Financial, Telco, Entertainment

Geo:
Thailand, America, India, Germany, Korea, Turkey

TTPs:
Tactics: 6
Technics: 17

IOCs:
Hash: 8
File: 85
Command: 2
Path: 18
IP: 187
Registry: 1

Softs:
onenote, microsoft onenote, android, office365, microsoft office, macos, curl, windows defender, pccntmon, ntrtscan, have more...

Algorithms:
zip, xor, rc4, base64

Functions:
GetFileAttributes

Win Services:
SentinelAgent, MBAMService, ekrn, SAVAdminService

Languages:
java, python

Links:
https://github.com/volexity/threat-intel/tree/main/tools/one-extract
https://github.com/knight0x07/OneNoteAnalyzer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Qakbot (он же QBot, QuakBot и Pinkslipbot) — это сложное вредоносное ПО, активное как минимум с 2007 года. Оно распространяется автономно и используется для кражи учетных данных для входа в систему, финансовой информации и выполнения дополнительных вредоносных программ. С конца января 2023 года резко возросло количество кампаний Qakbot, использующих новый метод доставки: документы OneNote для распространения вредоносных программ. Кроме того, Центр перспективных исследований Trellix обнаружил различные кампании, в которых документы OneNote использовались для распространения других вредоносных программ, таких как AsyncRAT, Icedid, XWorm и т. д.

Qakbot в основном распространяется через фишинговые электронные письма и вредоносные вложения. Злоумышленники чередуют два вектора атаки на разных волнах для достижения своих целей: URL-адрес, встроенный в электронную почту, загружает вредоносный файл и вредоносный файл в качестве вложения электронной почты. Microsoft OneNote — это инструмент для совместной работы с заметками, который устанавливается по умолчанию из пакета Microsoft Office и доступен на широком спектре платформ. Он имеет значительный потенциал для фишинга в качестве начального вектора и позволяет встраивать файлы MSF, BAT, HTA, BAT, EXE и другие исполняемые расширения.

Конкретный образец кампании Qakbot, идентифицированный хэшем MD5 83feba178d0097929e6efeb27719d5db, был проанализирован группой Trellix Advanced Research Centers Threat Intelligence Group. В последний раз прикрепленный CMD был сохранен по пути «Z:\build\one» 06.02.2023 с использованием Microsoft OneNote 2010. Вредоносная программа использует PowerShell (new-object system.net.webclient).downloadfile для загрузки удаленной полезной нагрузки без заголовок User-Agent. Кроме того, он внедряет свой вредоносный код в законный процесс ОС Windows для обхода защиты. Кроме того, он проверяет эмуляцию Защитника Windows и проверяет список процессов, связанных с антивирусными продуктами, чтобы избежать обнаружения.

Полезная нагрузка вредоносного ПО проверяет наличие эмуляции Защитника Windows с помощью WinAPI GetFileAttributes C:\INTERNAL\__empty, проверяет список процессов, связанных с антивирусными продуктами, и проверяет наличие запущенных процессов в черном списке. Чтобы расшифровать ресурсы, хэш SHA1 вычисляется для определенной строки и используется в качестве ключа для алгоритма RC4. Вредоносное ПО также создает запланированное задание с помощью встроенного в Windows инструмента «schtasks.exe». Эта задача запускается только один раз в указанное время, как указано в параметрах «/ST %02u:%02u» и «/ET %02u:%02u», и выполняется с наивысшими привилегиями с использованием «NT AUTHORITY». SYSTEM», как указано в параметре «/RU».

Последний вариант Qakbot OneNote использует трюк с использованием U + 202E в имени вложенного файла, чтобы изменить направление текста слева направо на справа налево, что может заставить пользователей открыть файл. Севагас впервые представил использование OneNote в Red Teaming в августе 2022 года. Распространяется вредоносное ПО через документы Microsoft OneNote по электронной почте, и этот метод используют различные киберпреступники. Количество вредоносных образцов OneNote постепенно увеличивалось с декабря 2022 года по январь 2023 года. Наибольшее количество зараженных IoC приходится на секторы производства, высоких технологий и телекоммуникаций.

В данном исследовании представлен анализ нового вектора распространения вредоносного ПО Qakbot. Он состоит из подробного анализа вредоносного документа OneNote, загрузчика Qakbot DLL и его основной полезной нагрузки. Мы покажем, как мы деобфусцировали и распаковывали Qakbot и извлекали их конфигурации. Несмотря на то, что эти кампании Qakbot, похоже, не нацелены на конкретную отрасль или территорию, мы наблюдаем значительное количество заражений в Соединенных Штатах.

#ParsedReport
13-03-2023

Defining the Cobalt Strike Reflective Loader

https://securityintelligence.com/posts/defining-cobalt-strike-reflective-loader

Threats:
Cobalt_strike
Reflectiveloader
Beacon
Bokuloader
Metasploit_tool
Meterpreter_tool
Hellsgate_technique
Hook
Iat_hooking_technique

IOCs:
File: 10

Algorithms:
xor

Win API:
LoadLibrary, LoadLibraryA, VirtualAlloc, NtAllocateVirtualMemory, GetProcAddress

Languages:
java

Platforms:
x64, intel

Links:
https://github.com/xforcered/InlineExecute-Assembly
https://github.com/boku7/BokuLoader/blob/main/src/BokuLoader.c#L421
https://github.com/xforcered/CredBandit
https://github.com/hasherezade/pe-bear
https://github.com/bats3c/DarkLoadLibrary
https://github.com/stephenfewer/ReflectiveDLLInjection
https://github.com/xforcered/BokuLoader
https://github.com/am0nsec/HellsGate

#ParsedReport
14-03-2023

Mallox Ransomware Being Distributed in Korea

https://asec.ahnlab.com/en/49366

Threats:
Mallox_ransomware
Malware/mdp.inject.m218

Geo:
Kazakhstan, Russia, Belarus, Ukraine, Korea

IOCs:
Url: 3
File: 14
Hash: 4

Softs:
ms-sql, msdtssrvr, taskkill, internet explorer, windows defender, asp.net

Algorithms:
base64

Win Services:
fdlauncher

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил распространение программы-вымогателя Mallox. Эта программа нацелена на уязвимые серверы MS-SQL и распространяется с высокой скоростью, согласно статистике AhnLab. Вредоносная программа маскируется под программу, связанную с DirectPlay, построена на .NET и подключается к определенному адресу для загрузки дополнительного вредоносного ПО, которое затем запускается в памяти. Если этот адрес не может быть достигнут, он пытается подключиться непрерывно через бесконечный цикл. На основании адреса домена, связанного с вымогательским ПО Mallox, приобретенного ASEC в феврале, можно предположить, что этот домен является основным местом распространения Mallox.

Дополнительное загруженное вредоносное ПО представляет собой файл данных, закодированный в Base64. При декодировании и реверсировании файла выясняется, что это DLL-файл, созданный с использованием .NET. Программа-вымогатель способна исключать определенные языковые среды из заражения, основываясь на языковых настройках ПК. После завершения сканирования LangID выполняет команды по удалению реестра, отключению восстановления и завершению связанных с SQL служб и процессов.

Mallox ransomware - это вредоносная программа, нацеленная на уязвимые серверы Microsoft SQL и распространяющаяся с высокой скоростью, согласно статистике AhnLab. Вредоносная программа маскируется под программу, связанную с DirectPlay и построенную на .NET, подключаясь к определенному адресу для загрузки дополнительного вредоносного ПО. Если этот адрес не может быть достигнут, он пытается снова подключиться с помощью бесконечного цикла. Можно предположить, что этот же адрес домена является основным центром распространения Mallox. Дополнительное вредоносное ПО представляет собой файл данных, закодированный в Base64, который при расшифровке и реверсировании обнаруживает DLL-файл, созданный в .NET. Вымогатель способен определять языковые настройки, чтобы исключить из заражения некоторые языковые среды. По завершении сканирования LangID удаляет реестр, отключает восстановление и завершает любые службы и процессы, связанные с SQL.

#ParsedReport
14-03-2023

FakeGPT: New Variant of Fake-ChatGPT Chrome Extension Stealing Facebook Ad Accounts with Thousands of Daily Installs. The Vicious Circle of Hijacked Facebook Malvertising

https://labs.guard.io/fakegpt-new-variant-of-fake-chatgpt-chrome-extension-stealing-facebook-ad-accounts-with-4c9996a8f282

Threats:
Fakegpt

Industry:
Financial

IOCs:
Domain: 3
File: 9
Hash: 2
Url: 4

Softs:
chrome, google chrome, instagram

Languages:
java, typescript, php