#ParsedReport
13-03-2023

CHM Malware Disguised as North Korea-related Questionnaire (Kimsuky)

https://asec.ahnlab.com/en/49295

Actors/Campaigns:
Kimsuky

Geo:
Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 4
File: 3
Registry: 1
Url: 2
Hash: 4

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил штамм вредоносного ПО, связанный с группой Kimsuky, который распространяется в виде вложения в электронную почту. Вредоносный файл, CHM-документ, маскируется под запрос на интервью, связанный с Северной Кореей, и требует ответа от получателя, чтобы файл был отправлен. CHM-файл выглядит как справочный документ с законными вопросами, поэтому пользователям трудно распознать вредоносную природу файла. При выполнении CHM содержит вредоносный сценарий, который сохраняется в файле .dat и регистрируется в ключе Run для обеспечения постоянного выполнения. Затем файл .dat запускает сценарий PowerShell на удаленном сервере, обнаруживая тот же формат, что и вредоносное ПО, проанализированное в аналитическом отчете о вредоносном ПО, распространяемом группой Kimsuky, опубликованном в прошлом году.

Группа Kimsuky известна тем, что направляет на жертв фишинговые письма, содержащие вредоносные файлы в различных формах, таких как документы Word и файлы CHM. Эти вредоносные файлы содержат скрипты, которые могут привести к утечке пользовательской информации, поэтому пользователям необходимо соблюдать осторожность при открытии нежелательных вложений. Последнее обнаружение вредоносной программы CHM доказывает, что группа Kimsuky по-прежнему активна и постоянно находит новые способы получения пользовательских данных. Важно сохранять бдительность и соблюдать правила безопасного просмотра сайтов, чтобы защитить себя от фишинговых атак.

Чтобы снизить риск стать жертвой фишинговой атаки, пользователи должны всегда с подозрением относиться к нежелательным письмам и вложениям, независимо от отправителя. Также рекомендуется использовать антивирусные программы для проверки любых подозрительных файлов перед их открытием. Кроме того, не следует переходить по ссылкам или открывать вложения, если вы не уверены в их подлинности. Соблюдая эти меры предосторожности, вы можете быть уверены, что ваши данные находятся в безопасности от таких злоумышленников, как группа Kimsuky.

#ParsedReport
13-03-2023

Qakbot Evolves to OneNote Malware Distribution

https://www.trellix.com/en-us/about/newsroom/stories/research/qakbot-evolves-to-onenote-malware-distribution.html

Actors/Campaigns:
Ta570
Ta577

Threats:
Qakbot
Asyncrat_rat
Icedid
Xworm_rat
Emotet
Prolock
Egregor
Doppelpaymer
Process_injection_technique
Process_hollowing_technique
Hiddenvnc_tool
Nltest_tool
Netstat_tool
Krbrelayup_tool
Poshc2_tool
3losh

Industry:
Government, Financial, Telco, Entertainment

Geo:
Thailand, America, India, Germany, Korea, Turkey

TTPs:
Tactics: 6
Technics: 17

IOCs:
Hash: 8
File: 85
Command: 2
Path: 18
IP: 187
Registry: 1

Softs:
onenote, microsoft onenote, android, office365, microsoft office, macos, curl, windows defender, pccntmon, ntrtscan, have more...

Algorithms:
zip, xor, rc4, base64

Functions:
GetFileAttributes

Win Services:
SentinelAgent, MBAMService, ekrn, SAVAdminService

Languages:
java, python

Links:
https://github.com/volexity/threat-intel/tree/main/tools/one-extract
https://github.com/knight0x07/OneNoteAnalyzer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Qakbot (он же QBot, QuakBot и Pinkslipbot) — это сложное вредоносное ПО, активное как минимум с 2007 года. Оно распространяется автономно и используется для кражи учетных данных для входа в систему, финансовой информации и выполнения дополнительных вредоносных программ. С конца января 2023 года резко возросло количество кампаний Qakbot, использующих новый метод доставки: документы OneNote для распространения вредоносных программ. Кроме того, Центр перспективных исследований Trellix обнаружил различные кампании, в которых документы OneNote использовались для распространения других вредоносных программ, таких как AsyncRAT, Icedid, XWorm и т. д.

Qakbot в основном распространяется через фишинговые электронные письма и вредоносные вложения. Злоумышленники чередуют два вектора атаки на разных волнах для достижения своих целей: URL-адрес, встроенный в электронную почту, загружает вредоносный файл и вредоносный файл в качестве вложения электронной почты. Microsoft OneNote — это инструмент для совместной работы с заметками, который устанавливается по умолчанию из пакета Microsoft Office и доступен на широком спектре платформ. Он имеет значительный потенциал для фишинга в качестве начального вектора и позволяет встраивать файлы MSF, BAT, HTA, BAT, EXE и другие исполняемые расширения.

Конкретный образец кампании Qakbot, идентифицированный хэшем MD5 83feba178d0097929e6efeb27719d5db, был проанализирован группой Trellix Advanced Research Centers Threat Intelligence Group. В последний раз прикрепленный CMD был сохранен по пути «Z:\build\one» 06.02.2023 с использованием Microsoft OneNote 2010. Вредоносная программа использует PowerShell (new-object system.net.webclient).downloadfile для загрузки удаленной полезной нагрузки без заголовок User-Agent. Кроме того, он внедряет свой вредоносный код в законный процесс ОС Windows для обхода защиты. Кроме того, он проверяет эмуляцию Защитника Windows и проверяет список процессов, связанных с антивирусными продуктами, чтобы избежать обнаружения.

Полезная нагрузка вредоносного ПО проверяет наличие эмуляции Защитника Windows с помощью WinAPI GetFileAttributes C:\INTERNAL\__empty, проверяет список процессов, связанных с антивирусными продуктами, и проверяет наличие запущенных процессов в черном списке. Чтобы расшифровать ресурсы, хэш SHA1 вычисляется для определенной строки и используется в качестве ключа для алгоритма RC4. Вредоносное ПО также создает запланированное задание с помощью встроенного в Windows инструмента «schtasks.exe». Эта задача запускается только один раз в указанное время, как указано в параметрах «/ST %02u:%02u» и «/ET %02u:%02u», и выполняется с наивысшими привилегиями с использованием «NT AUTHORITY». SYSTEM», как указано в параметре «/RU».

Последний вариант Qakbot OneNote использует трюк с использованием U + 202E в имени вложенного файла, чтобы изменить направление текста слева направо на справа налево, что может заставить пользователей открыть файл. Севагас впервые представил использование OneNote в Red Teaming в августе 2022 года. Распространяется вредоносное ПО через документы Microsoft OneNote по электронной почте, и этот метод используют различные киберпреступники. Количество вредоносных образцов OneNote постепенно увеличивалось с декабря 2022 года по январь 2023 года. Наибольшее количество зараженных IoC приходится на секторы производства, высоких технологий и телекоммуникаций.

В данном исследовании представлен анализ нового вектора распространения вредоносного ПО Qakbot. Он состоит из подробного анализа вредоносного документа OneNote, загрузчика Qakbot DLL и его основной полезной нагрузки. Мы покажем, как мы деобфусцировали и распаковывали Qakbot и извлекали их конфигурации. Несмотря на то, что эти кампании Qakbot, похоже, не нацелены на конкретную отрасль или территорию, мы наблюдаем значительное количество заражений в Соединенных Штатах.

#ParsedReport
13-03-2023

Defining the Cobalt Strike Reflective Loader

https://securityintelligence.com/posts/defining-cobalt-strike-reflective-loader

Threats:
Cobalt_strike
Reflectiveloader
Beacon
Bokuloader
Metasploit_tool
Meterpreter_tool
Hellsgate_technique
Hook
Iat_hooking_technique

IOCs:
File: 10

Algorithms:
xor

Win API:
LoadLibrary, LoadLibraryA, VirtualAlloc, NtAllocateVirtualMemory, GetProcAddress

Languages:
java

Platforms:
x64, intel

Links:
https://github.com/xforcered/InlineExecute-Assembly
https://github.com/boku7/BokuLoader/blob/main/src/BokuLoader.c#L421
https://github.com/xforcered/CredBandit
https://github.com/hasherezade/pe-bear
https://github.com/bats3c/DarkLoadLibrary
https://github.com/stephenfewer/ReflectiveDLLInjection
https://github.com/xforcered/BokuLoader
https://github.com/am0nsec/HellsGate

#ParsedReport
14-03-2023

Mallox Ransomware Being Distributed in Korea

https://asec.ahnlab.com/en/49366

Threats:
Mallox_ransomware
Malware/mdp.inject.m218

Geo:
Kazakhstan, Russia, Belarus, Ukraine, Korea

IOCs:
Url: 3
File: 14
Hash: 4

Softs:
ms-sql, msdtssrvr, taskkill, internet explorer, windows defender, asp.net

Algorithms:
base64

Win Services:
fdlauncher

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил распространение программы-вымогателя Mallox. Эта программа нацелена на уязвимые серверы MS-SQL и распространяется с высокой скоростью, согласно статистике AhnLab. Вредоносная программа маскируется под программу, связанную с DirectPlay, построена на .NET и подключается к определенному адресу для загрузки дополнительного вредоносного ПО, которое затем запускается в памяти. Если этот адрес не может быть достигнут, он пытается подключиться непрерывно через бесконечный цикл. На основании адреса домена, связанного с вымогательским ПО Mallox, приобретенного ASEC в феврале, можно предположить, что этот домен является основным местом распространения Mallox.

Дополнительное загруженное вредоносное ПО представляет собой файл данных, закодированный в Base64. При декодировании и реверсировании файла выясняется, что это DLL-файл, созданный с использованием .NET. Программа-вымогатель способна исключать определенные языковые среды из заражения, основываясь на языковых настройках ПК. После завершения сканирования LangID выполняет команды по удалению реестра, отключению восстановления и завершению связанных с SQL служб и процессов.

Mallox ransomware - это вредоносная программа, нацеленная на уязвимые серверы Microsoft SQL и распространяющаяся с высокой скоростью, согласно статистике AhnLab. Вредоносная программа маскируется под программу, связанную с DirectPlay и построенную на .NET, подключаясь к определенному адресу для загрузки дополнительного вредоносного ПО. Если этот адрес не может быть достигнут, он пытается снова подключиться с помощью бесконечного цикла. Можно предположить, что этот же адрес домена является основным центром распространения Mallox. Дополнительное вредоносное ПО представляет собой файл данных, закодированный в Base64, который при расшифровке и реверсировании обнаруживает DLL-файл, созданный в .NET. Вымогатель способен определять языковые настройки, чтобы исключить из заражения некоторые языковые среды. По завершении сканирования LangID удаляет реестр, отключает восстановление и завершает любые службы и процессы, связанные с SQL.

#ParsedReport
14-03-2023

FakeGPT: New Variant of Fake-ChatGPT Chrome Extension Stealing Facebook Ad Accounts with Thousands of Daily Installs. The Vicious Circle of Hijacked Facebook Malvertising

https://labs.guard.io/fakegpt-new-variant-of-fake-chatgpt-chrome-extension-stealing-facebook-ad-accounts-with-4c9996a8f282

Threats:
Fakegpt

Industry:
Financial

IOCs:
Domain: 3
File: 9
Hash: 2
Url: 4

Softs:
chrome, google chrome, instagram

Languages:
java, typescript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Наша команда исследователей безопасности Guardio недавно обнаружила вредоносное расширение для Chrome, которое, как выяснилось, перехватывает учетные записи Facebook и устанавливает скрытые бэкдоры учетных записей. Расширение называется "Быстрый доступ к Chat GPT" и рекламируется в сообщениях, спонсируемых Facebook, как способ быстрого использования услуг ChatGPT из браузера. Это вредоносное расширение работает путем сбора всех данных, которые оно может получить из браузера жертвы, кражи cookies авторизованных активных сессий и использования специальной тактики для захвата аккаунта Facebook.

Вредоносное расширение также содержит вредоносный бэкдор приложения Facebook, который предоставляет субъектам угрозы права супер-админа. Это позволяет им создать армию ботов Facebook и вредоносный аппарат платных медиа, который затем продвигает платную рекламу Facebook за счет своих жертв самораспространяющимся червеобразным способом.

Используя это вредоносное расширение, злоумышленники могут выкачивать из браузера жертвы всевозможные данные, включая маркеры безопасности и сеансов доступа к таким сервисам, как YouTube, аккаунты Google и Twitter. Кроме того, они могут собирать информацию о любых бизнес-аккаунтах Facebook, например, о текущих акциях и кредитном балансе, а также финансовые данные.

Вредоносное расширение также использует преимущества официального API приложений Facebook, создавая второе вредоносное приложение (портал) Facebook, которое используется для шифрования утекающих данных. Это позволяет злоумышленникам выбирать таким методом только действительно ценные цели, а также использовать самораспространение через продвигаемые Facebook посты, созданные с помощью этих аккаунтов.

Вредоносное расширение было впервые обнаружено 3/3/2023 года и с начала февраля распространялось на Facebook и в официальном магазине Google Chrome Store, ежедневно устанавливая тысячи новых экземпляров. После того как мы сообщили об этом вредоносном расширении в Google, оно было удалено из магазина Chrome.

Это конкретное вредоносное расширение является примером того, насколько мощными могут быть крадущие программы, и показывает важность поддержания актуальности и безопасности вашего браузера. При работе в Интернете необходимо обращать внимание на подозрительные расширения и всегда перепроверять легитимность продукта перед его загрузкой и установкой.

#ParsedReport
14-03-2023

CASPER attack steals data using air-gapped computer's internal speaker

https://www.bleepingcomputer.com/news/security/casper-attack-steals-data-using-air-gapped-computers-internal-speaker

Threats:
Casper
Stuxnet
Remsec_strider
Etherled_technique

Industry:
Government, Energy, Education

Geo:
Iran, Korea

IOCs:
File: 1

Softs:
(ubuntu

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компьютеры, защищенные "воздушным зазором", представляют собой изолированные от сети системы, используемые в критически важных средах, таких как правительственные сети, энергетическая инфраструктура и системы управления оружием, что делает их труднодоступными для атак по скрытым каналам. Однако исследователи из Корейского университета разработали новую атаку под названием CASPER, которая может успешно осуществлять эксфильтрацию данных из этих систем.

Атака CASPER работает с использованием внутреннего динамика компьютера для передачи высокочастотных звуковых сигналов в двоичном формате или азбукой Морзе на расстояние до 1,5 м. Вредоносная программа должна быть сначала установлена на целевую систему, что обычно делается через сотрудника с физическим доступом или незаметного злоумышленника. После установки вредоносная программа кодирует данные, которые она хочет вынести, и передает их через внутренний динамик в незаметном ультразвуковом диапазоне частот от 17 кГц до 20 кГц.

При такой скорости передачи данных типичный пароль длиной 8 символов может быть передан за 3 секунды, а 2048-битный ключ RSA - за 100 секунд. Для защиты от этой атаки самым простым решением является удаление внутреннего динамика из критически важных компьютеров.

Похожими типами атак являются: COVID-bit, который использует блок питания для генерации электромагнитных волн; ETHERLED, который использует светодиодные индикаторы сетевой карты объекта; и SATAn, который использует кабели SATA в качестве беспроводных антенн.

#ParsedReport
14-03-2023

The New Post-Exploitation framework- Exfiltrator-22

https://thesecmaster.com/the-new-post-exploitation-framework-exfiltrator-22

Threats:
Exfiltrator-22_tool
Lockbit
Domain_fronting_technique
Process_injection_technique

TTPs:
Tactics: 1
Technics: 15

IOCs:
IP: 2
File: 3
Hash: 1

Softs:
telegram

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Exfiltrator-22 - это новый пост-эксплуатационный фреймворк, предназначенный для поражения архитектуры x64 и распространения ransomware в корпоративных сетях. Он был разрекламирован анонимным агентом угроз в декабре 2022 года, утверждая, что его невозможно обнаружить ни одним антивирусом или системой обнаружения конечных точек (EDR). Инструмент размещается на пуленепробиваемом виртуальном частном сервере (VPS), что позволяет злоумышленникам обходить определенные законы или правила, которые в противном случае могли бы пресечь вредоносную деятельность.

EX-22 предоставляет пользователям административную панель для удаленного управления вредоносным ПО, а также такие функции, как повышенная обратная оболочка, загрузка и выгрузка файлов, кейлоггер, скриншоты, выкупное ПО, персистентность и повышение привилегий, извлечение конфиденциальной информации с помощью LSASS-дампа, хэширование и кража токенов. По данным cyfirma, коэффициент обнаружения этого инструмента составляет 5/70 в онлайновых песочницах после многократного динамического сканирования, что свидетельствует о том, что EX-22 достаточно искусен в технике уклонения от защиты.

Тактика, методы и процедуры (TTP) EX-22 имеют много общего с тактикой, методами и процедурами Lockbit 3.0, включая методы доменного фронтирования и ту же инфраструктуру для скрытия командно-контрольного трафика. Более того, векторы атак EX-22 также схожи с векторами атак Lockbit 3.0.

Из особенностей и характеристик EX-22 становится ясно, что злоумышленники, стоящие за ним, весьма изощрены, что делает EX-22 предпочтительным выбором для киберпреступников, которые не хотят, чтобы их инструменты были легко обнаружены. Это подвергает организации риску дальнейших атак, поскольку EX-22 был разработан как инструмент вредоносного ПО как услуги (MaaS).

В заключение можно сказать, что Exfiltrator-22 - это мощный пост-эксплоит фреймворк, имеющий много общего с Lockbit 3.0, а его сложные функции затрудняют его обнаружение. Организациям следует принять меры для защиты от возможных атак с использованием этого инструмента.

#ParsedReport
14-03-2023

NOBELIUM Uses Poland's Ambassadors Visit to the U.S. to Target EU Governments Assisting Ukraine

https://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine

Actors/Campaigns:
Darkhalo
Duke

Threats:
Sunburst
Envyscout
Html_smuggling_technique

Industry:
Government, Healthcare, Telco, Ngo, Education

Geo:
Russia, Poland, Polish, Polands, America, Russian, Ukrainian, Ukraine

TTPs:
Tactics: 5
Technics: 6

IOCs:
Url: 2
File: 5
Path: 5
Registry: 1
IP: 1
Hash: 8

Functions:
GetProcessImageF

Win API:
CopyFileA, RegCloseKey, RegSetValueExA, RegQueryValueExA, CreateFileA

Platforms:
x64

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

NOBELIUM, также известная как APT29, является сложной российской государственной угрозой, нацеленной на западные страны. В марте 2021 года исследователи BlackBerry заметили новую кампанию, направленную на дипломатические учреждения Европейского союза и системы, передающие конфиденциальную информацию, связанную с войной в Украине. Вектор заражения в этой кампании NOBELIUM - целевое фишинговое письмо, содержащее документ, ведущий на HTML-файл. Приманка обращается к людям, которые хотят узнать расписание послов Польши на 2023 год, что указывает на то, что объект угрозы нацелен на государственные организации в ЕС. Вредоносный HTML-файл представляет собой версию вредоносного дроппера ROOTSAW от NOBELIUM. Для связи с C2 вредоносная программа использует "api.notion.com", который является широко используемым приложением для ведения заметок.

NOBELIUM - это высококвалифицированная и скрытная группа, ответственная за ряд высокопоставленных атак на цепочки поставок и другие современные постоянные угрозы. Они известны своим проворством, когда проникают в сеть цели, и использованием инновационных методов вторжения. Используя взломанный легитимный сервер для размещения полезной нагрузки, NOBELIUM увеличивает шансы на успешную установку вредоносного ПО на компьютеры жертв. Использование Notions API для C2 придает их трафику доброкачественный вид, а совпадение визита посла Польши в США с приманкой, использованной в атаке, свидетельствует о том, что они активно следят за геополитическими событиями, чтобы увеличить свои шансы на успех.

#ParsedReport
14-03-2023

DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit

https://www.microsoft.com/en-us/security/blog/2023/03/13/dev-1101-enables-high-volume-aitm-campaigns-with-open-source-phishing-kit

Actors/Campaigns:
Dev-0928

Threats:
Dev-1101_tool
Aitm_technique

Industry:
Telco

IOCs:
Domain: 2

Softs:
microsoft 365 defender, telegram, microsoft office, cpanel, azure ad, microsoft defender, microsoft edge, office 365

Languages:
php

Links:
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Cloud%20Identity%20Threat%20Protection%20Essentials/Hunting%20Queries/Signins-From-VPS-Providers.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/new\_locations\_azuread\_signin.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/signinBurstFromMultipleLocations.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Cloud%20Identity%20Threat%20Protection%20Essentials/Hunting%20Queries/Signins-from-NordVPN-Providers.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/SuccessfulSigninFromNon-CompliantDevice.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/anomalous\_app\_azuread\_signin.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/AzurePortalSigninfromanotherAzureTenant.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/SecurityThreatEssentialSolution/Analytic%20Rules/PossibleAiTMPhishingAttemptAgainstAAD.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/AnomalousUserAppSigninLocationIncrease-detection.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/UserLoginIPAddressTeleportation.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/UserAccounts-CABlockedSigninSpikes.yaml

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

DEV-1101 - группа угроз, предлагающая фишинговый набор Adversary-in-the-Middle (AiTM) с открытым исходным кодом. Этот набор помогает злоумышленникам в настройке и запуске фишинговой активности, предоставляя такие функции, как обратный прокси-сервер, управление кампаниями с мобильных устройств и функции уклонения, такие как страницы CAPTCHA. Фишинговый набор AiTM стал доступен в мае 2022 года и с тех пор используется злоумышленниками с различными мотивами и целями. Microsoft 365 Defender обнаруживает подозрительные действия, связанные с этими атаками и последующими действиями.

Фишинговые атаки AiTM - это сложные угрозы, требующие решений, использующих сигналы из нескольких источников. Microsoft 365 Defender использует междоменную видимость для обнаружения вредоносных действий, связанных с AiTM, таких как кража куки-файлов сеанса и попытки использовать украденные куки-файлы для входа в систему. Передовые решения для борьбы с фишингом могут отслеживать и сканировать входящую электронную почту и посещаемые веб-сайты, а политики безопасности по умолчанию и условного доступа могут оценивать запросы на вход в систему с помощью дополнительных сигналов, основанных на идентификации, и применять подозрительные входы.

Организациям следует принять меры по защите от атак AiTM путем внедрения MFA с помощью различных методов, таких как использование Microsoft Authenticator, ключей безопасности FIDO2 и аутентификации на основе сертификатов. Кроме того, они должны включить такие политики, как требования к совместимым устройствам или доверенным IP-адресам, и постоянно отслеживать подозрительные или аномальные действия. Клиенты Microsoft Sentinel могут использовать шаблоны аналитики для выявления потенциальных попыток фишинга AiTM, а UEBA можно использовать для поиска аномальных событий входа в систему.

В целом, фишинговый набор DEV-1101 является мощным инструментом, позволяющим субъектам угроз запускать сложные фишинговые кампании. Организации должны сохранять бдительность и обеспечивать актуальность своих стратегий смягчения последствий, чтобы защититься от подобных атак.

#ParsedReport
14-03-2023

GoatRAT: Android Banking Trojan Variant Targeting Brazilian Banks

https://blog.cyble.com/2023/03/14/goatrat-android-banking-trojan-variant-targeting-brazilian-banks

Threats:
Goatrat

Industry:
Financial

Geo:
Brazilian

TTPs:
Tactics: 3
Technics: 4

IOCs:
Url: 4
File: 3
Hash: 2

Softs:
android

Functions:
getText, getPIX, performAction

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно была обнаружена новая версия банковского троянца GoatRAT для Android, специально нацеленная на бразильские банки. Этот новый вариант использует систему автоматических переводов (ATS) для осуществления несанкционированных денежных переводов на зараженных устройствах. Вредоносный сокращенный URL hxxps://bit.ly/nubankmodulo перенаправляет пользователей на URL GoatRAT hxxps://goatrat.com/apks/apk20.apk, который содержит вредоносное ПО для Android.

После установки вредоносная программа инициирует службу под названием Server, которая устанавливает контакт с сервером Command and Control (C&C) для получения PIX-ключа, необходимого для проведения мошеннических операций. Затем вредоносная программа использует службу Accessibility Service для проверки соответствия имени активного пакета одному из имен пакетов целевых приложений. После идентификации вредоносная программа создает поддельное оверлейное банковское окно и использует функцию getText() для извлечения текста из целевого банковского приложения. Затем вредоносная программа извлекает ключ PIX с помощью функции getPIX() и вставляет его в указанное поле. Затем вредоносная программа вводит значение, сохраненное в переменной money, в поле перевода суммы. Наконец, вредоносная программа использует функцию performAction() для автоматического выполнения кликов по кнопкам Confirm и Pay. Затем вредоносная программа использует код для удаления оверлейного окна из верхней части целевого банковского приложения после завершения перевода денег.

Этот новый вариант GoatRAT подчеркивает повышенный риск кибератак, которые не требуют многочисленных разрешений или множества функций банковского троянца для проведения финансовых махинаций. Для защиты от подобных атак важно соблюдать основные правила кибербезопасности, такие как загрузка программ только из официальных магазинов приложений, использование надежных антивирусов и программных пакетов для обеспечения интернет-безопасности, применение многофакторной аутентификации, включение биометрических функций безопасности, осторожность при открытии ссылок, полученных по SMS или электронной почте, и постоянное обновление устройств, операционных систем и приложений.

#ParsedReport
14-03-2023

Cisco Talos Intelligence Blog. Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency

https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe

Actors/Campaigns:
Kasablanka

Threats:
Yorotrooper
Avemaria_rat
Lodarat
Meterpreter_tool
Lazagne
Poet_rat

Industry:
Energy, Government, Healthcare

Geo:
Kyrgyzstan, Turkey, Belarusian, Tajikistan, Uzbekistan, Turkish, Belarus, Russian, Turkmenistan, Russia, Azerbaijani, Azerbaijan, Minsk

IOCs:
Domain: 66
File: 4
Hash: 62
IP: 19
Url: 53

Softs:
pyinstaller, telegram, google chrome, discord

Algorithms:
zip

Languages:
python

Links:
https://github.com/AlessandroZ/LaZagne/blob/b1289b8f69d41356d85403c6ecefc569588b3a68/Linux/lazagne/softwares/browsers/chromium\_based.py?ref=cisco-talos-blog
https://github.com/FallenAstaroth/stink?ref=cisco-talos-blog
https://github.com/Cisco-Talos/IOCs/tree/main/2023/03?ref=cisco-talos-blog
https://github.com/Nuitka/Nuitka?ref=cisco-talos-blog

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

YoroTrooper - изощренный агент угроз, действующий с июня 2022 года и нацеленный на правительства и энергетические организации в Содружестве Независимых Государств (СНГ), а также посольства Азербайджана и Туркменистана. Угроза связана с успешной компрометацией учетных записей двух международных организаций: агентства здравоохранения Европейского союза (ЕС) и Всемирной организации интеллектуальной собственности (ВОИС). Набор инструментов YoroTrooper включает AveMaria/Warzone RAT, LodaRAT, имплантат на основе Python, пользовательские скрипты и Stink Stealer. Все вредоносные программы на базе Python упаковываются в исполняемый файл с помощью таких фреймворков, как Nuitka или PyInstaller. Пользовательские имплантаты используют ботов Telegram для эксфильтрации или получения команд от оператора.

Цепочка заражения YoroTrooper начинается с вредоносных файлов ярлыков (LNK) и документов-приманок, завернутых во вредоносные архивы, которые доставляются по фишинговой электронной почте. После выполнения эти файлы загружают и запускают удаленные файлы HTA, которые, в свою очередь, выполняют команды на основе PowerShell для загрузки и выполнения следующей полезной нагрузки, обычно вредоносного дроппера на основе EXE и документа-приманки. Вредоносный EXE затем развертывает вредоносную программу для кражи информации, включая учетные данные, историю и файлы cookie для нескольких браузеров, а также скриншоты и внешние IP-адреса.

YoroTrooper был замечен в развертывании различных инструментов, включая инструменты с открытым исходным кодом для эксфильтрации учетных данных и первоначальной разведки. Она также использует пользовательские имплантаты на базе Python, причем последний вариант, обнаруженный в феврале 2023 года, представляет собой простой скрипт для кражи, который извлекает данные для входа в браузер Chrome и эксфильтрирует их через бота Telegram. Известно, что группа также использует AveMaria/Warzone RAT, LodaRAT и пользовательский кейлоггер на языке Си. Хотя LodaRAT приписывают угрозе Kasablanka, наши исследования показывают, что варианты LodaRAT, используемые YoroTrooper, отличаются от предыдущих версий и основаны на версиях, замеченных в других кампаниях, что указывает на его доступность для многих угроз.

YoroTrooper представляется сложным субъектом угроз с четкой мотивацией к шпионажу. Использование разнообразных вредоносных программ и инструментов с открытым исходным кодом для атак на правительства и международные организации в регионе СНГ свидетельствует об уровне изощренности и преданности делу, о чем свидетельствует постоянная эволюция и внедрение новых инструментов в ходе кампаний. Учитывая растущую распространенность инструментов с открытым исходным кодом и обилие вредоносного кода, доступного в Интернете, организациям важно сохранять бдительность и обеспечивать актуальность своих решений по безопасности для обнаружения и предотвращения любой вредоносной активности.