#ParsedReport
14-03-2023

The New Post-Exploitation framework- Exfiltrator-22

https://thesecmaster.com/the-new-post-exploitation-framework-exfiltrator-22

Threats:
Exfiltrator-22_tool
Lockbit
Domain_fronting_technique
Process_injection_technique

TTPs:
Tactics: 1
Technics: 15

IOCs:
IP: 2
File: 3
Hash: 1

Softs:
telegram

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Exfiltrator-22 - это новый пост-эксплуатационный фреймворк, предназначенный для поражения архитектуры x64 и распространения ransomware в корпоративных сетях. Он был разрекламирован анонимным агентом угроз в декабре 2022 года, утверждая, что его невозможно обнаружить ни одним антивирусом или системой обнаружения конечных точек (EDR). Инструмент размещается на пуленепробиваемом виртуальном частном сервере (VPS), что позволяет злоумышленникам обходить определенные законы или правила, которые в противном случае могли бы пресечь вредоносную деятельность.

EX-22 предоставляет пользователям административную панель для удаленного управления вредоносным ПО, а также такие функции, как повышенная обратная оболочка, загрузка и выгрузка файлов, кейлоггер, скриншоты, выкупное ПО, персистентность и повышение привилегий, извлечение конфиденциальной информации с помощью LSASS-дампа, хэширование и кража токенов. По данным cyfirma, коэффициент обнаружения этого инструмента составляет 5/70 в онлайновых песочницах после многократного динамического сканирования, что свидетельствует о том, что EX-22 достаточно искусен в технике уклонения от защиты.

Тактика, методы и процедуры (TTP) EX-22 имеют много общего с тактикой, методами и процедурами Lockbit 3.0, включая методы доменного фронтирования и ту же инфраструктуру для скрытия командно-контрольного трафика. Более того, векторы атак EX-22 также схожи с векторами атак Lockbit 3.0.

Из особенностей и характеристик EX-22 становится ясно, что злоумышленники, стоящие за ним, весьма изощрены, что делает EX-22 предпочтительным выбором для киберпреступников, которые не хотят, чтобы их инструменты были легко обнаружены. Это подвергает организации риску дальнейших атак, поскольку EX-22 был разработан как инструмент вредоносного ПО как услуги (MaaS).

В заключение можно сказать, что Exfiltrator-22 - это мощный пост-эксплоит фреймворк, имеющий много общего с Lockbit 3.0, а его сложные функции затрудняют его обнаружение. Организациям следует принять меры для защиты от возможных атак с использованием этого инструмента.

#ParsedReport
14-03-2023

NOBELIUM Uses Poland's Ambassadors Visit to the U.S. to Target EU Governments Assisting Ukraine

https://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine

Actors/Campaigns:
Darkhalo
Duke

Threats:
Sunburst
Envyscout
Html_smuggling_technique

Industry:
Government, Healthcare, Telco, Ngo, Education

Geo:
Russia, Poland, Polish, Polands, America, Russian, Ukrainian, Ukraine

TTPs:
Tactics: 5
Technics: 6

IOCs:
Url: 2
File: 5
Path: 5
Registry: 1
IP: 1
Hash: 8

Functions:
GetProcessImageF

Win API:
CopyFileA, RegCloseKey, RegSetValueExA, RegQueryValueExA, CreateFileA

Platforms:
x64

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

NOBELIUM, также известная как APT29, является сложной российской государственной угрозой, нацеленной на западные страны. В марте 2021 года исследователи BlackBerry заметили новую кампанию, направленную на дипломатические учреждения Европейского союза и системы, передающие конфиденциальную информацию, связанную с войной в Украине. Вектор заражения в этой кампании NOBELIUM - целевое фишинговое письмо, содержащее документ, ведущий на HTML-файл. Приманка обращается к людям, которые хотят узнать расписание послов Польши на 2023 год, что указывает на то, что объект угрозы нацелен на государственные организации в ЕС. Вредоносный HTML-файл представляет собой версию вредоносного дроппера ROOTSAW от NOBELIUM. Для связи с C2 вредоносная программа использует "api.notion.com", который является широко используемым приложением для ведения заметок.

NOBELIUM - это высококвалифицированная и скрытная группа, ответственная за ряд высокопоставленных атак на цепочки поставок и другие современные постоянные угрозы. Они известны своим проворством, когда проникают в сеть цели, и использованием инновационных методов вторжения. Используя взломанный легитимный сервер для размещения полезной нагрузки, NOBELIUM увеличивает шансы на успешную установку вредоносного ПО на компьютеры жертв. Использование Notions API для C2 придает их трафику доброкачественный вид, а совпадение визита посла Польши в США с приманкой, использованной в атаке, свидетельствует о том, что они активно следят за геополитическими событиями, чтобы увеличить свои шансы на успех.

#ParsedReport
14-03-2023

DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit

https://www.microsoft.com/en-us/security/blog/2023/03/13/dev-1101-enables-high-volume-aitm-campaigns-with-open-source-phishing-kit

Actors/Campaigns:
Dev-0928

Threats:
Dev-1101_tool
Aitm_technique

Industry:
Telco

IOCs:
Domain: 2

Softs:
microsoft 365 defender, telegram, microsoft office, cpanel, azure ad, microsoft defender, microsoft edge, office 365

Languages:
php

Links:
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Cloud%20Identity%20Threat%20Protection%20Essentials/Hunting%20Queries/Signins-From-VPS-Providers.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/new\_locations\_azuread\_signin.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/signinBurstFromMultipleLocations.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Cloud%20Identity%20Threat%20Protection%20Essentials/Hunting%20Queries/Signins-from-NordVPN-Providers.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/SuccessfulSigninFromNon-CompliantDevice.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/anomalous\_app\_azuread\_signin.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/AzurePortalSigninfromanotherAzureTenant.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/SecurityThreatEssentialSolution/Analytic%20Rules/PossibleAiTMPhishingAttemptAgainstAAD.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/AnomalousUserAppSigninLocationIncrease-detection.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SigninLogs/UserLoginIPAddressTeleportation.yaml
https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Azure%20Active%20Directory/Analytic%20Rules/UserAccounts-CABlockedSigninSpikes.yaml

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

DEV-1101 - группа угроз, предлагающая фишинговый набор Adversary-in-the-Middle (AiTM) с открытым исходным кодом. Этот набор помогает злоумышленникам в настройке и запуске фишинговой активности, предоставляя такие функции, как обратный прокси-сервер, управление кампаниями с мобильных устройств и функции уклонения, такие как страницы CAPTCHA. Фишинговый набор AiTM стал доступен в мае 2022 года и с тех пор используется злоумышленниками с различными мотивами и целями. Microsoft 365 Defender обнаруживает подозрительные действия, связанные с этими атаками и последующими действиями.

Фишинговые атаки AiTM - это сложные угрозы, требующие решений, использующих сигналы из нескольких источников. Microsoft 365 Defender использует междоменную видимость для обнаружения вредоносных действий, связанных с AiTM, таких как кража куки-файлов сеанса и попытки использовать украденные куки-файлы для входа в систему. Передовые решения для борьбы с фишингом могут отслеживать и сканировать входящую электронную почту и посещаемые веб-сайты, а политики безопасности по умолчанию и условного доступа могут оценивать запросы на вход в систему с помощью дополнительных сигналов, основанных на идентификации, и применять подозрительные входы.

Организациям следует принять меры по защите от атак AiTM путем внедрения MFA с помощью различных методов, таких как использование Microsoft Authenticator, ключей безопасности FIDO2 и аутентификации на основе сертификатов. Кроме того, они должны включить такие политики, как требования к совместимым устройствам или доверенным IP-адресам, и постоянно отслеживать подозрительные или аномальные действия. Клиенты Microsoft Sentinel могут использовать шаблоны аналитики для выявления потенциальных попыток фишинга AiTM, а UEBA можно использовать для поиска аномальных событий входа в систему.

В целом, фишинговый набор DEV-1101 является мощным инструментом, позволяющим субъектам угроз запускать сложные фишинговые кампании. Организации должны сохранять бдительность и обеспечивать актуальность своих стратегий смягчения последствий, чтобы защититься от подобных атак.

#ParsedReport
14-03-2023

GoatRAT: Android Banking Trojan Variant Targeting Brazilian Banks

https://blog.cyble.com/2023/03/14/goatrat-android-banking-trojan-variant-targeting-brazilian-banks

Threats:
Goatrat

Industry:
Financial

Geo:
Brazilian

TTPs:
Tactics: 3
Technics: 4

IOCs:
Url: 4
File: 3
Hash: 2

Softs:
android

Functions:
getText, getPIX, performAction

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно была обнаружена новая версия банковского троянца GoatRAT для Android, специально нацеленная на бразильские банки. Этот новый вариант использует систему автоматических переводов (ATS) для осуществления несанкционированных денежных переводов на зараженных устройствах. Вредоносный сокращенный URL hxxps://bit.ly/nubankmodulo перенаправляет пользователей на URL GoatRAT hxxps://goatrat.com/apks/apk20.apk, который содержит вредоносное ПО для Android.

После установки вредоносная программа инициирует службу под названием Server, которая устанавливает контакт с сервером Command and Control (C&C) для получения PIX-ключа, необходимого для проведения мошеннических операций. Затем вредоносная программа использует службу Accessibility Service для проверки соответствия имени активного пакета одному из имен пакетов целевых приложений. После идентификации вредоносная программа создает поддельное оверлейное банковское окно и использует функцию getText() для извлечения текста из целевого банковского приложения. Затем вредоносная программа извлекает ключ PIX с помощью функции getPIX() и вставляет его в указанное поле. Затем вредоносная программа вводит значение, сохраненное в переменной money, в поле перевода суммы. Наконец, вредоносная программа использует функцию performAction() для автоматического выполнения кликов по кнопкам Confirm и Pay. Затем вредоносная программа использует код для удаления оверлейного окна из верхней части целевого банковского приложения после завершения перевода денег.

Этот новый вариант GoatRAT подчеркивает повышенный риск кибератак, которые не требуют многочисленных разрешений или множества функций банковского троянца для проведения финансовых махинаций. Для защиты от подобных атак важно соблюдать основные правила кибербезопасности, такие как загрузка программ только из официальных магазинов приложений, использование надежных антивирусов и программных пакетов для обеспечения интернет-безопасности, применение многофакторной аутентификации, включение биометрических функций безопасности, осторожность при открытии ссылок, полученных по SMS или электронной почте, и постоянное обновление устройств, операционных систем и приложений.

#ParsedReport
14-03-2023

Cisco Talos Intelligence Blog. Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency

https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe

Actors/Campaigns:
Kasablanka

Threats:
Yorotrooper
Avemaria_rat
Lodarat
Meterpreter_tool
Lazagne
Poet_rat

Industry:
Energy, Government, Healthcare

Geo:
Kyrgyzstan, Turkey, Belarusian, Tajikistan, Uzbekistan, Turkish, Belarus, Russian, Turkmenistan, Russia, Azerbaijani, Azerbaijan, Minsk

IOCs:
Domain: 66
File: 4
Hash: 62
IP: 19
Url: 53

Softs:
pyinstaller, telegram, google chrome, discord

Algorithms:
zip

Languages:
python

Links:
https://github.com/AlessandroZ/LaZagne/blob/b1289b8f69d41356d85403c6ecefc569588b3a68/Linux/lazagne/softwares/browsers/chromium\_based.py?ref=cisco-talos-blog
https://github.com/FallenAstaroth/stink?ref=cisco-talos-blog
https://github.com/Cisco-Talos/IOCs/tree/main/2023/03?ref=cisco-talos-blog
https://github.com/Nuitka/Nuitka?ref=cisco-talos-blog

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

YoroTrooper - изощренный агент угроз, действующий с июня 2022 года и нацеленный на правительства и энергетические организации в Содружестве Независимых Государств (СНГ), а также посольства Азербайджана и Туркменистана. Угроза связана с успешной компрометацией учетных записей двух международных организаций: агентства здравоохранения Европейского союза (ЕС) и Всемирной организации интеллектуальной собственности (ВОИС). Набор инструментов YoroTrooper включает AveMaria/Warzone RAT, LodaRAT, имплантат на основе Python, пользовательские скрипты и Stink Stealer. Все вредоносные программы на базе Python упаковываются в исполняемый файл с помощью таких фреймворков, как Nuitka или PyInstaller. Пользовательские имплантаты используют ботов Telegram для эксфильтрации или получения команд от оператора.

Цепочка заражения YoroTrooper начинается с вредоносных файлов ярлыков (LNK) и документов-приманок, завернутых во вредоносные архивы, которые доставляются по фишинговой электронной почте. После выполнения эти файлы загружают и запускают удаленные файлы HTA, которые, в свою очередь, выполняют команды на основе PowerShell для загрузки и выполнения следующей полезной нагрузки, обычно вредоносного дроппера на основе EXE и документа-приманки. Вредоносный EXE затем развертывает вредоносную программу для кражи информации, включая учетные данные, историю и файлы cookie для нескольких браузеров, а также скриншоты и внешние IP-адреса.

YoroTrooper был замечен в развертывании различных инструментов, включая инструменты с открытым исходным кодом для эксфильтрации учетных данных и первоначальной разведки. Она также использует пользовательские имплантаты на базе Python, причем последний вариант, обнаруженный в феврале 2023 года, представляет собой простой скрипт для кражи, который извлекает данные для входа в браузер Chrome и эксфильтрирует их через бота Telegram. Известно, что группа также использует AveMaria/Warzone RAT, LodaRAT и пользовательский кейлоггер на языке Си. Хотя LodaRAT приписывают угрозе Kasablanka, наши исследования показывают, что варианты LodaRAT, используемые YoroTrooper, отличаются от предыдущих версий и основаны на версиях, замеченных в других кампаниях, что указывает на его доступность для многих угроз.

YoroTrooper представляется сложным субъектом угроз с четкой мотивацией к шпионажу. Использование разнообразных вредоносных программ и инструментов с открытым исходным кодом для атак на правительства и международные организации в регионе СНГ свидетельствует об уровне изощренности и преданности делу, о чем свидетельствует постоянная эволюция и внедрение новых инструментов в ходе кампаний. Учитывая растущую распространенность инструментов с открытым исходным кодом и обилие вредоносного кода, доступного в Интернете, организациям важно сохранять бдительность и обеспечивать актуальность своих решений по безопасности для обнаружения и предотвращения любой вредоносной активности.

#ParsedReport
14-03-2023

South Korean Android Banking Menace FakeCalls. Voice phishing

https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls

Threats:
Fakecalls
Dead_drop_technique

Industry:
Petroleum, Financial, Government

Geo:
Korean, Korea

IOCs:
Hash: 21

Softs:
android, curl

Algorithms:
aes, zip

Links:
https://github.com/pedroSG94/rtmp-rtsp-stream-client-java

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Мы проанализировали вредоносную программу FakeCalls, направленную на Южную Корею, - вредоносную программу, которая в 2020 году нанесла финансовый ущерб на сумму около 600 миллионов долларов США и имеет более 2500 наблюдаемых образцов. Разработчики этого вредоносного ПО уделили особое внимание защите своего творения, реализовав несколько уникальных техник анти-анализа и механизмов маскированного разрешения командно-контрольных серверов, стоящих за операциями. Трюки и подходы, использованные этой конкретной вредоносной программой, могут быть повторно использованы в других приложениях, нацеленных на другие рынки по всему миру, что делает еще более важным исследование вредоносных программ, которые активны даже в странах с небольшим населением. Для смягчения последствий таких атак Check Points Harmony Mobile предлагает комплексное решение, которое обнаруживает и блокирует загрузку вредоносных приложений в режиме реального времени.

Голосовой фишинг является растущей угрозой в цифровом мире, особенно в Южной Корее, где вредоносная программа FakeCalls принесла огромную финансовую прибыль за счет тысяч жертв. Вредоносная программа была разработана таким образом, что создавалось впечатление, будто она исходит от законного банка, заменяя свой собственный номер на номер реального банка, чтобы установить доверие с жертвой. Затем она использует предварительно записанные звуковые дорожки, чтобы дать инструкции о том, как получить от жертвы частные финансовые данные. Для защиты от таких атак Check Points Harmony Mobile предоставляет функцию On-device Network Protection, которая распространяет ведущие в отрасли технологии сетевой безопасности Check Points на мобильные устройства. Кроме того, чтобы опережать возникающие угрозы, исследователи должны продолжать изучать новые варианты вредоносных программ и методы, используемые киберпреступниками.

#ParsedReport
14-03-2023

Medusa ransomware gang picks up steam as it targets companies worldwide

https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide

Threats:
Medusalocker
Mirai

IOCs:
File: 3
Email: 1

Softs:
android, telegram

Algorithms:
aes-256, rsa-2048

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Medusa - это программа-вымогатель, которая набирает обороты в 2023 году. Она началась в июне 2021 года, но с относительно низкой активностью и небольшим количеством жертв. С тех пор появилось множество других семейств вредоносных программ с таким же названием, но оригинальная Medusa ransomware полностью отличается от них. Она обычно используется в модели Ransomware-as-a-Service, имеет множество филиалов, записку с выкупом, обычно называемую How_to_back_files.html, и широкий выбор расширений для зашифрованных файлов.

Программа Medusa ransomware использует шифрование AES-256 + RSA-2048 с помощью библиотеки BCrypt. Файлы, зашифрованные Medusa Ransomware, имеют расширение .MEDUSA, добавляемое к их именам. Кроме того, программа удаляет теневые копии томов Windows и файлы резервных копий в качестве дополнительного шага для предотвращения восстановления. В каждой папке создается примечание о выкупе под названием !!!READ_ME_MEDUSA!!!.txt. Его переговорный сайт размещен на сайте Tor qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.onion, а сайт утечки данных - medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd[.onion.

Наиболее тревожным аспектом программы Medusa ransomware является то, что она не имеет известных слабых мест в своем шифровании, а значит, у жертв очень мало шансов восстановить свои файлы без уплаты выкупа. Такая стратегия двойного вымогательства становится все более распространенной среди банд вымогателей, и это означает, что организации должны быть как никогда бдительны в защите своих систем от атак. Кроме того, они могут выиграть от инвестиций в такие решения, как программное обеспечение нового поколения для защиты от вымогательства и регулярное резервное копирование данных, чтобы минимизировать любой ущерб, нанесенный успешной атакой.

#ParsedReport
14-03-2023

Threat Actors Abuse AI-Generated Youtube Videos to Spread Stealer Malware

https://cloudsek.com/blog/threat-actors-abuse-ai-generated-youtube-videos-to-spread-stealer-malware

Threats:
Vidar_stealer
Redline_stealer
Raccoon_stealer
Traffer

Industry:
Entertainment, Media, Financial, E-commerce

Geo:
Indian, Pakistani

Softs:
photoshop, autocad, instagram), telegram

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С ноября 2022 года значительно увеличилось количество видеороликов на Youtube, содержащих вредоносные ссылки на вредоносные программы для кражи, такие как Vidar, RedLine и Raccoon. Эти видео маскируются под учебники по загрузке взломанных версий лицензионного программного обеспечения, такого как Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD и других продуктов.

Infostealers - это вредоносные программы, предназначенные для кражи конфиденциальной информации с компьютеров, включая пароли, информацию о кредитных картах, номера банковских счетов и другие конфиденциальные данные. Обычно они распространяются через загрузку вредоносных программ, поддельные веб-сайты и учебники на Youtube. После установки на систему они загружают украденную информацию на командно-контрольный сервер злоумышленника.

Разработчики этих вредоносных программ-крадунов отвечают за обновление кода, чтобы избежать обнаружения антивирусами и другими системами обнаружения конечных точек. Они также расширяют сферу применения вредоносного ПО, добавляя новые приложения, из которых оно может совершать кражи. Кроме того, эти разработчики сотрудничают с торговцами людьми и вербуют их для поиска жертв, распространения крадущего ПО и продажи утечки информации на подпольных форумах и каналах Telegram.

Youtube - невероятно популярная платформа, а ее универсальность делает ее главной мишенью для субъектов угроз. С ноября 2022 года CloudSEK отмечает увеличение количества вредоносных видеороликов на 200-300% в месяц. Эти видео нацелены как на образованных и активных пользователей, так и на менее образованных, чьи учетные записи могут остаться незамеченными в случае захвата. Вредоносные ссылки обычно включены в описание видео и замаскированы с помощью сокращателей URL-адресов или ссылок на платформы хостинга файлов. Злоумышленники также добавляют автоматические комментарии, утверждающие, что взломанное программное обеспечение работает, чтобы придать видеоролику достоверность.

В заключение следует отметить, что Youtube быстро становится распространенным каналом для распространения вредоносного ПО stealer. Пользователям важно сохранять бдительность и проверять подлинность любого учебного пособия перед загрузкой любых файлов. Организациям следует использовать решения для обнаружения конечных точек, которые используют машинное обучение и искусственный интеллект для обнаружения вредоносной активности.

#technique

Tabnabbing is a phishing method in which attackers take advantage of victims’ unattended browser tabs. After hijacking an inactive tab and redirecting it to malicious URLs, an attacker can perform a phishing attack and execute scripts.

https://securityintelligence.com/posts/what-is-reverse-tabnabbing-and-what-can-you-do-to-stop-it/

Кажется, я знаю что что будет написано в разделе "Атрибуция" в этом отчете.

#ParsedReport
15-03-2023

ASEC weekly malware statistics (20230306 \~ 20230312)

https://asec.ahnlab.com/ko/49373

Threats:
Agent_tesla
Azorult
Redline_stealer
Beamwinhttp_loader
Snake_keylogger
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial, Transport

Geo:
Korea

IOCs:
Domain: 4
Email: 5
File: 14
Url: 15

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
15-03-2023

Magniber ransomware actors used a variant of Microsoft SmartScreen bypass

https://blog.google/threat-analysis-group/magniber-ransomware-actors-used-a-variant-of-microsoft-smartscreen-bypass

Threats:
Magniber
Motw_bypass_technique
Qakbot

Geo:
Korea, Taiwan

CVEs:
CVE-2022-44698 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1607, 1809, 20h2, 21h1, 21h2, 22h2)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
- microsoft windows 11 (-)
have more...
CVE-2023-24880 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix


IOCs:
File: 6
Hash: 3

Win API:
WTHelperProvDataFromStateData

Languages:
jscript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа анализа угроз Google (TAG) недавно обнаружила обход безопасности в функции защиты SmartScreen компании Microsoft, который используется финансово мотивированными субъектами для доставки вымогательского ПО Magniber без предупреждения пользователей. В атаке участвуют файлы MSI, подписанные недействительной, но специально созданной подписью Authenticode, которая заставляет SmartScreen возвращать ошибку вместо диалога предупреждения безопасности. Эта ошибка позволяет загрузить вредоносный файл без каких-либо предупреждений. По данным TAG, с января 2023 года было зафиксировано более 100 000 загрузок вредоносных MSI-файлов, причем большинство загрузок произошло в Европе. Google Safe Browsing отображал предупреждения для 90% загрузок.

В октябре 2022 года в блоге HP Threat Research рассказывалось о кампаниях Magniber, доставляемых через файлы JScript. Исследователь безопасности заметил ошибку в SmartScreen, которая позволяла злоумышленнику использовать неверно сформированную подпись Authenticode для обхода предупреждений безопасности. Microsoft исправила эту уязвимость как CVE-2022-44698 в декабре 2022 года, но не раньше, чем другие угрозы воспользовались ею для распространения вредоносного ПО Qakbot. Сигнатуры, используемые Magniber и Qakbot, были поразительно похожи, что позволяет предположить, что эти два оператора либо покупали обходные пути у одного и того же поставщика, либо копировали технику друг друга.

Текущий эксплойт, CVE-2023-24880, несколько отличается от предыдущего, поскольку в нем используется не JScript-файл, а MSI-файл с другим типом искаженной подписи. Злоумышленники используют недостаток в функции windows::security::signature_info::retrieve файла smartscreen.exe, в результате чего crypt_provider_data- pPDSip- psIndirectData становится NULL и вызывает ошибку. Это дает им возможность обойти предупреждения безопасности. В настоящее время Microsoft исправила уязвимость, но не раньше, чем злоумышленникам удалось загрузить вредоносные MSI-файлы без каких-либо предупреждений.