#ParsedReport
14-03-2023

GoatRAT: Android Banking Trojan Variant Targeting Brazilian Banks

https://blog.cyble.com/2023/03/14/goatrat-android-banking-trojan-variant-targeting-brazilian-banks

Threats:
Goatrat

Industry:
Financial

Geo:
Brazilian

TTPs:
Tactics: 3
Technics: 4

IOCs:
Url: 4
File: 3
Hash: 2

Softs:
android

Functions:
getText, getPIX, performAction

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно была обнаружена новая версия банковского троянца GoatRAT для Android, специально нацеленная на бразильские банки. Этот новый вариант использует систему автоматических переводов (ATS) для осуществления несанкционированных денежных переводов на зараженных устройствах. Вредоносный сокращенный URL hxxps://bit.ly/nubankmodulo перенаправляет пользователей на URL GoatRAT hxxps://goatrat.com/apks/apk20.apk, который содержит вредоносное ПО для Android.

После установки вредоносная программа инициирует службу под названием Server, которая устанавливает контакт с сервером Command and Control (C&C) для получения PIX-ключа, необходимого для проведения мошеннических операций. Затем вредоносная программа использует службу Accessibility Service для проверки соответствия имени активного пакета одному из имен пакетов целевых приложений. После идентификации вредоносная программа создает поддельное оверлейное банковское окно и использует функцию getText() для извлечения текста из целевого банковского приложения. Затем вредоносная программа извлекает ключ PIX с помощью функции getPIX() и вставляет его в указанное поле. Затем вредоносная программа вводит значение, сохраненное в переменной money, в поле перевода суммы. Наконец, вредоносная программа использует функцию performAction() для автоматического выполнения кликов по кнопкам Confirm и Pay. Затем вредоносная программа использует код для удаления оверлейного окна из верхней части целевого банковского приложения после завершения перевода денег.

Этот новый вариант GoatRAT подчеркивает повышенный риск кибератак, которые не требуют многочисленных разрешений или множества функций банковского троянца для проведения финансовых махинаций. Для защиты от подобных атак важно соблюдать основные правила кибербезопасности, такие как загрузка программ только из официальных магазинов приложений, использование надежных антивирусов и программных пакетов для обеспечения интернет-безопасности, применение многофакторной аутентификации, включение биометрических функций безопасности, осторожность при открытии ссылок, полученных по SMS или электронной почте, и постоянное обновление устройств, операционных систем и приложений.

#ParsedReport
14-03-2023

Cisco Talos Intelligence Blog. Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency

https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe

Actors/Campaigns:
Kasablanka

Threats:
Yorotrooper
Avemaria_rat
Lodarat
Meterpreter_tool
Lazagne
Poet_rat

Industry:
Energy, Government, Healthcare

Geo:
Kyrgyzstan, Turkey, Belarusian, Tajikistan, Uzbekistan, Turkish, Belarus, Russian, Turkmenistan, Russia, Azerbaijani, Azerbaijan, Minsk

IOCs:
Domain: 66
File: 4
Hash: 62
IP: 19
Url: 53

Softs:
pyinstaller, telegram, google chrome, discord

Algorithms:
zip

Languages:
python

Links:
https://github.com/AlessandroZ/LaZagne/blob/b1289b8f69d41356d85403c6ecefc569588b3a68/Linux/lazagne/softwares/browsers/chromium\_based.py?ref=cisco-talos-blog
https://github.com/FallenAstaroth/stink?ref=cisco-talos-blog
https://github.com/Cisco-Talos/IOCs/tree/main/2023/03?ref=cisco-talos-blog
https://github.com/Nuitka/Nuitka?ref=cisco-talos-blog

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

YoroTrooper - изощренный агент угроз, действующий с июня 2022 года и нацеленный на правительства и энергетические организации в Содружестве Независимых Государств (СНГ), а также посольства Азербайджана и Туркменистана. Угроза связана с успешной компрометацией учетных записей двух международных организаций: агентства здравоохранения Европейского союза (ЕС) и Всемирной организации интеллектуальной собственности (ВОИС). Набор инструментов YoroTrooper включает AveMaria/Warzone RAT, LodaRAT, имплантат на основе Python, пользовательские скрипты и Stink Stealer. Все вредоносные программы на базе Python упаковываются в исполняемый файл с помощью таких фреймворков, как Nuitka или PyInstaller. Пользовательские имплантаты используют ботов Telegram для эксфильтрации или получения команд от оператора.

Цепочка заражения YoroTrooper начинается с вредоносных файлов ярлыков (LNK) и документов-приманок, завернутых во вредоносные архивы, которые доставляются по фишинговой электронной почте. После выполнения эти файлы загружают и запускают удаленные файлы HTA, которые, в свою очередь, выполняют команды на основе PowerShell для загрузки и выполнения следующей полезной нагрузки, обычно вредоносного дроппера на основе EXE и документа-приманки. Вредоносный EXE затем развертывает вредоносную программу для кражи информации, включая учетные данные, историю и файлы cookie для нескольких браузеров, а также скриншоты и внешние IP-адреса.

YoroTrooper был замечен в развертывании различных инструментов, включая инструменты с открытым исходным кодом для эксфильтрации учетных данных и первоначальной разведки. Она также использует пользовательские имплантаты на базе Python, причем последний вариант, обнаруженный в феврале 2023 года, представляет собой простой скрипт для кражи, который извлекает данные для входа в браузер Chrome и эксфильтрирует их через бота Telegram. Известно, что группа также использует AveMaria/Warzone RAT, LodaRAT и пользовательский кейлоггер на языке Си. Хотя LodaRAT приписывают угрозе Kasablanka, наши исследования показывают, что варианты LodaRAT, используемые YoroTrooper, отличаются от предыдущих версий и основаны на версиях, замеченных в других кампаниях, что указывает на его доступность для многих угроз.

YoroTrooper представляется сложным субъектом угроз с четкой мотивацией к шпионажу. Использование разнообразных вредоносных программ и инструментов с открытым исходным кодом для атак на правительства и международные организации в регионе СНГ свидетельствует об уровне изощренности и преданности делу, о чем свидетельствует постоянная эволюция и внедрение новых инструментов в ходе кампаний. Учитывая растущую распространенность инструментов с открытым исходным кодом и обилие вредоносного кода, доступного в Интернете, организациям важно сохранять бдительность и обеспечивать актуальность своих решений по безопасности для обнаружения и предотвращения любой вредоносной активности.

#ParsedReport
14-03-2023

South Korean Android Banking Menace FakeCalls. Voice phishing

https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls

Threats:
Fakecalls
Dead_drop_technique

Industry:
Petroleum, Financial, Government

Geo:
Korean, Korea

IOCs:
Hash: 21

Softs:
android, curl

Algorithms:
aes, zip

Links:
https://github.com/pedroSG94/rtmp-rtsp-stream-client-java

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Мы проанализировали вредоносную программу FakeCalls, направленную на Южную Корею, - вредоносную программу, которая в 2020 году нанесла финансовый ущерб на сумму около 600 миллионов долларов США и имеет более 2500 наблюдаемых образцов. Разработчики этого вредоносного ПО уделили особое внимание защите своего творения, реализовав несколько уникальных техник анти-анализа и механизмов маскированного разрешения командно-контрольных серверов, стоящих за операциями. Трюки и подходы, использованные этой конкретной вредоносной программой, могут быть повторно использованы в других приложениях, нацеленных на другие рынки по всему миру, что делает еще более важным исследование вредоносных программ, которые активны даже в странах с небольшим населением. Для смягчения последствий таких атак Check Points Harmony Mobile предлагает комплексное решение, которое обнаруживает и блокирует загрузку вредоносных приложений в режиме реального времени.

Голосовой фишинг является растущей угрозой в цифровом мире, особенно в Южной Корее, где вредоносная программа FakeCalls принесла огромную финансовую прибыль за счет тысяч жертв. Вредоносная программа была разработана таким образом, что создавалось впечатление, будто она исходит от законного банка, заменяя свой собственный номер на номер реального банка, чтобы установить доверие с жертвой. Затем она использует предварительно записанные звуковые дорожки, чтобы дать инструкции о том, как получить от жертвы частные финансовые данные. Для защиты от таких атак Check Points Harmony Mobile предоставляет функцию On-device Network Protection, которая распространяет ведущие в отрасли технологии сетевой безопасности Check Points на мобильные устройства. Кроме того, чтобы опережать возникающие угрозы, исследователи должны продолжать изучать новые варианты вредоносных программ и методы, используемые киберпреступниками.

#ParsedReport
14-03-2023

Medusa ransomware gang picks up steam as it targets companies worldwide

https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide

Threats:
Medusalocker
Mirai

IOCs:
File: 3
Email: 1

Softs:
android, telegram

Algorithms:
aes-256, rsa-2048

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Medusa - это программа-вымогатель, которая набирает обороты в 2023 году. Она началась в июне 2021 года, но с относительно низкой активностью и небольшим количеством жертв. С тех пор появилось множество других семейств вредоносных программ с таким же названием, но оригинальная Medusa ransomware полностью отличается от них. Она обычно используется в модели Ransomware-as-a-Service, имеет множество филиалов, записку с выкупом, обычно называемую How_to_back_files.html, и широкий выбор расширений для зашифрованных файлов.

Программа Medusa ransomware использует шифрование AES-256 + RSA-2048 с помощью библиотеки BCrypt. Файлы, зашифрованные Medusa Ransomware, имеют расширение .MEDUSA, добавляемое к их именам. Кроме того, программа удаляет теневые копии томов Windows и файлы резервных копий в качестве дополнительного шага для предотвращения восстановления. В каждой папке создается примечание о выкупе под названием !!!READ_ME_MEDUSA!!!.txt. Его переговорный сайт размещен на сайте Tor qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.onion, а сайт утечки данных - medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd[.onion.

Наиболее тревожным аспектом программы Medusa ransomware является то, что она не имеет известных слабых мест в своем шифровании, а значит, у жертв очень мало шансов восстановить свои файлы без уплаты выкупа. Такая стратегия двойного вымогательства становится все более распространенной среди банд вымогателей, и это означает, что организации должны быть как никогда бдительны в защите своих систем от атак. Кроме того, они могут выиграть от инвестиций в такие решения, как программное обеспечение нового поколения для защиты от вымогательства и регулярное резервное копирование данных, чтобы минимизировать любой ущерб, нанесенный успешной атакой.

#ParsedReport
14-03-2023

Threat Actors Abuse AI-Generated Youtube Videos to Spread Stealer Malware

https://cloudsek.com/blog/threat-actors-abuse-ai-generated-youtube-videos-to-spread-stealer-malware

Threats:
Vidar_stealer
Redline_stealer
Raccoon_stealer
Traffer

Industry:
Entertainment, Media, Financial, E-commerce

Geo:
Indian, Pakistani

Softs:
photoshop, autocad, instagram), telegram

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С ноября 2022 года значительно увеличилось количество видеороликов на Youtube, содержащих вредоносные ссылки на вредоносные программы для кражи, такие как Vidar, RedLine и Raccoon. Эти видео маскируются под учебники по загрузке взломанных версий лицензионного программного обеспечения, такого как Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD и других продуктов.

Infostealers - это вредоносные программы, предназначенные для кражи конфиденциальной информации с компьютеров, включая пароли, информацию о кредитных картах, номера банковских счетов и другие конфиденциальные данные. Обычно они распространяются через загрузку вредоносных программ, поддельные веб-сайты и учебники на Youtube. После установки на систему они загружают украденную информацию на командно-контрольный сервер злоумышленника.

Разработчики этих вредоносных программ-крадунов отвечают за обновление кода, чтобы избежать обнаружения антивирусами и другими системами обнаружения конечных точек. Они также расширяют сферу применения вредоносного ПО, добавляя новые приложения, из которых оно может совершать кражи. Кроме того, эти разработчики сотрудничают с торговцами людьми и вербуют их для поиска жертв, распространения крадущего ПО и продажи утечки информации на подпольных форумах и каналах Telegram.

Youtube - невероятно популярная платформа, а ее универсальность делает ее главной мишенью для субъектов угроз. С ноября 2022 года CloudSEK отмечает увеличение количества вредоносных видеороликов на 200-300% в месяц. Эти видео нацелены как на образованных и активных пользователей, так и на менее образованных, чьи учетные записи могут остаться незамеченными в случае захвата. Вредоносные ссылки обычно включены в описание видео и замаскированы с помощью сокращателей URL-адресов или ссылок на платформы хостинга файлов. Злоумышленники также добавляют автоматические комментарии, утверждающие, что взломанное программное обеспечение работает, чтобы придать видеоролику достоверность.

В заключение следует отметить, что Youtube быстро становится распространенным каналом для распространения вредоносного ПО stealer. Пользователям важно сохранять бдительность и проверять подлинность любого учебного пособия перед загрузкой любых файлов. Организациям следует использовать решения для обнаружения конечных точек, которые используют машинное обучение и искусственный интеллект для обнаружения вредоносной активности.

#technique

Tabnabbing is a phishing method in which attackers take advantage of victims’ unattended browser tabs. After hijacking an inactive tab and redirecting it to malicious URLs, an attacker can perform a phishing attack and execute scripts.

https://securityintelligence.com/posts/what-is-reverse-tabnabbing-and-what-can-you-do-to-stop-it/

Кажется, я знаю что что будет написано в разделе "Атрибуция" в этом отчете.

#ParsedReport
15-03-2023

ASEC weekly malware statistics (20230306 \~ 20230312)

https://asec.ahnlab.com/ko/49373

Threats:
Agent_tesla
Azorult
Redline_stealer
Beamwinhttp_loader
Snake_keylogger
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial, Transport

Geo:
Korea

IOCs:
Domain: 4
Email: 5
File: 14
Url: 15

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
15-03-2023

Magniber ransomware actors used a variant of Microsoft SmartScreen bypass

https://blog.google/threat-analysis-group/magniber-ransomware-actors-used-a-variant-of-microsoft-smartscreen-bypass

Threats:
Magniber
Motw_bypass_technique
Qakbot

Geo:
Korea, Taiwan

CVEs:
CVE-2022-44698 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1607, 1809, 20h2, 21h1, 21h2, 22h2)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
- microsoft windows 11 (-)
have more...
CVE-2023-24880 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix


IOCs:
File: 6
Hash: 3

Win API:
WTHelperProvDataFromStateData

Languages:
jscript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа анализа угроз Google (TAG) недавно обнаружила обход безопасности в функции защиты SmartScreen компании Microsoft, который используется финансово мотивированными субъектами для доставки вымогательского ПО Magniber без предупреждения пользователей. В атаке участвуют файлы MSI, подписанные недействительной, но специально созданной подписью Authenticode, которая заставляет SmartScreen возвращать ошибку вместо диалога предупреждения безопасности. Эта ошибка позволяет загрузить вредоносный файл без каких-либо предупреждений. По данным TAG, с января 2023 года было зафиксировано более 100 000 загрузок вредоносных MSI-файлов, причем большинство загрузок произошло в Европе. Google Safe Browsing отображал предупреждения для 90% загрузок.

В октябре 2022 года в блоге HP Threat Research рассказывалось о кампаниях Magniber, доставляемых через файлы JScript. Исследователь безопасности заметил ошибку в SmartScreen, которая позволяла злоумышленнику использовать неверно сформированную подпись Authenticode для обхода предупреждений безопасности. Microsoft исправила эту уязвимость как CVE-2022-44698 в декабре 2022 года, но не раньше, чем другие угрозы воспользовались ею для распространения вредоносного ПО Qakbot. Сигнатуры, используемые Magniber и Qakbot, были поразительно похожи, что позволяет предположить, что эти два оператора либо покупали обходные пути у одного и того же поставщика, либо копировали технику друг друга.

Текущий эксплойт, CVE-2023-24880, несколько отличается от предыдущего, поскольку в нем используется не JScript-файл, а MSI-файл с другим типом искаженной подписи. Злоумышленники используют недостаток в функции windows::security::signature_info::retrieve файла smartscreen.exe, в результате чего crypt_provider_data- pPDSip- psIndirectData становится NULL и вызывает ошибку. Это дает им возможность обойти предупреждения безопасности. В настоящее время Microsoft исправила уязвимость, но не раньше, чем злоумышленникам удалось загрузить вредоносные MSI-файлы без каких-либо предупреждений.

#ParsedReport
15-03-2023

The slow Ticking time bomb: Tick APT group compromise of a DLP software developer in East Asia

https://www.welivesecurity.com/2023/03/14/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia

Actors/Campaigns:
Tick (motivation: cyber_espionage)

Threats:
Timebomb_technique
Revbshell
Shadowpy
Netboy
Ghostdown
Proxylogon_exploit
Dll_sideloading_technique
Process_injection_technique

Industry:
Government

Geo:
Apac, Ukraine, Korean, Asian, Korea, Asia

TTPs:
Tactics: 9
Technics: 27

IOCs:
Url: 2
File: 6
Domain: 5
Hash: 8
IP: 7

Softs:
py2exe, mssql, windows service

Algorithms:
rc4, xor, base64, zip, crc-32, aes

Win API:
WinMain, GetTempFileNameA

Languages:
visual_basic, python, delphi

Links:
https://github.com/bitsadmin/revbshell/blob/master/client.vbs
https://github.com/py2exe/py2exe/blob/7ebb29c1dc2ae08516cde2a9feca4d8517233ef7/source/start.c#L116
https://github.com/bitsadmin/revbshell

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи ESET обнаружили вредоносное вторжение в сеть одной из восточноазиатских компаний по предотвращению потери данных. Атака была приписана APT-группе Tick, известной своими кибершпионажными операциями, направленными на страны региона АТР. В ходе вторжения были развернуты три семейства вредоносных программ, которые скомпрометировали серверы обновлений и инструменты, используемые компанией. В результате были скомпрометированы два клиента компании.

Атака началась в марте 2021 года, когда злоумышленники получили доступ к сети компании-разработчика программного обеспечения. В ходе проникновения они заменили легитимные инсталляторы приложения Q-dir на троянские копии, которые при выполнении забрасывали бэкдор с открытым исходным кодом на VBScript под названием ReVBShell, а также копию легитимного приложения. В июне и сентябре 2021 года вредоносные обновления были доставлены на машины в сети DLP-компании. Вредоносный исполняемый файл выдавал HTTP GET-запрос для получения ключа для расшифровки встроенной полезной нагрузки, который затем сбрасывался и выполнялся.

В апреле 2021 года, за два месяца до обнаружения вредоносных обновлений, злоумышленники начали внедрять в сеть взломанной компании 32- и 64-битные троянские инсталляторы приложения. Эти инсталляторы содержали приложение Q-Dir и закодированный (VBE) бэкдор ReVBShell, настроенный злоумышленниками.

Анализ вредоносных инструментов, использованных в ходе атаки, выявил ранее не документированное вредоносное ПО, которое получило название ShadowPy. ShadowPy - это загрузчик, разработанный на языке Python и преобразованный в исполняемый файл для Windows с помощью адаптированной версии py2exe. Он связывается со своим C&C, чтобы получить скрипты Python для выполнения. Кроме того, злоумышленники развертывали вредоносные DLL-загрузчики вместе с легитимными подписанными приложениями, уязвимыми к перехвату порядка поиска DLL. Полезная нагрузка, внедряемая этими DLL, включала варианты семейств Netboy и Ghostdown, а также ShadowPy. Netboy - это бэкдор, запрограммированный на Delphi, который поддерживает 34 команды, позволяющие злоумышленникам захватывать экран, выполнять события мыши и клавиатуры на взломанной машине, манипулировать файлами и службами, а также получать системную и сетевую информацию.

На основании сходства вредоносных программ, обнаруженных в ходе расследования, мы с высокой степенью уверенности приписали атаку группе Tick APT, которая присутствует в регионе уже много лет и провела множество успешных кампаний. Эта атака подчеркивает необходимость для организаций сохранять бдительность и постоянно пересматривать свою систему безопасности, поскольку даже кажущиеся безопасными сети рискуют стать жертвой целевых атак.

#ParsedReport
15-03-2023

Unmasking MedusaLocker Ransomware

https://blog.cyble.com/2023/03/15/unmasking-medusalocker-ransomware

Threats:
Medusalocker
Uac_bypass_technique

Industry:
Healthcare, Financial, Government, Education

Geo:
America, Antarctica

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 26
Registry: 1
Hash: 9

Softs:
defwatch, sqlagent, sqlbrowser

Algorithms:
base64, aes-256, aes

Win API:
GetTokenInformation, FindNextVolumeW, QueryServiceStatusEx, CloseServiceHandle, CreateToolhelp32Snapshot, TerminateProcess, SHEmptyRecycleBinW

Win Services:
ccEvtMgr, ccSetMgr, QBIDPService, QBCFMonitorService, sqlservr

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

MedusaLocker ransomware - это форма вредоносного программного обеспечения, активная с сентября 2019 года и работающая по модели Ransomware-as-a-Service (RaaS). Эта программа-вымогатель обычно распространяется путем использования уязвимостей в протоколе удаленного рабочего стола (RDP), фишинговых писем и кампаний spear phishing. Она нацелена на такие отрасли, как здравоохранение, образование, правительственные организации, и наиболее активна в США.

После выполнения MedusaLocker создает мьютекс для предотвращения повторного заражения и проверяет наличие административных привилегий. Если у него нет прав администратора, он использует технику обхода User Account Control (UAC), чтобы перезапустить себя с повышенными привилегиями. Для этого используется Microsoft Connection Manager Profile Installer (CMSTP.exe) для маршрутизации вредоносного кода через прокси-сервер. Затем вымогатель отключает приглашение UAC и помечает зараженную систему ключом реестра. Она также сохраняется на системах жертв, забрасывая себя в папку AppData под именем svhost.exe и создавая запись задачи по расписанию для запуска каждые 15 минут.

Затем он перечисляет все логические диски в системе и завершает различные запущенные службы и процессы, чтобы избежать обнаружения. MedusaLocker запускает команды для удаления теневых копий и резервных копий системы, что делает невозможным восстановление данных из зараженной системы. Затем он создает список папок, которые нужно исключить из шифрования, и начинает шифровать файлы с помощью алгоритма шифрования AES 256. В каждой папке с расширением itlock4 остается записка с требованием выкупа, содержащая персональный идентификатор и контактную страницу Tor для облегчения переговоров.

Наконец, программа сканирует подключенные системы и распространяется на общие ресурсы. MedusaLocker ransomware отличается высокой сложностью, его трудно обнаружить и остановить, что создает серьезный риск потери данных и финансовых потерь для его жертв. Для предотвращения атак организациям следует часто проводить аудит, оценку уязвимостей и тесты на проникновение, отслеживать входящие электронные письма с подозрительных доменов, создавать резервные копии данных в разных местах, использовать VPN и проводить обучение сотрудников по вопросам безопасности.

#ParsedReport
15-03-2023

DotRunpeX demystifying new virtualized .NET injector used in the wild. Highlights:

https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild

Threats:
Dotrunpex
Koivm
Confuserex_tool
Process_hollowing_technique
Agent_tesla
Arrow_rat
Asyncrat_rat
Avemaria_rat
Sbit_rat
Formbook
Lgoogloader
Lokibot_stealer
Netwire_rat
Privateloader
Quasar_rat
Redline_stealer
Remcos_rat
Rhadamanthys
Snake_keylogger
Vidar_stealer
Xworm_rat
Uac_bypass_technique
Windbg_tool
Raccoon_stealer
Record_breaker_stealer
Backstab_tool
Anydesk_tool
Amsi_bypass_technique
Process_injection_technique
Antidebugging_technique

Geo:
Russian

IOCs:
File: 29
Hash: 169
Url: 2
IP: 1
Path: 14
Command: 1

Softs:
process explorer, minhook, lastpass, (sysinternals, windows defender, "minhook, virtualbox, qemu

Algorithms:
xor, zip

Functions:
Main, Inject, GetDelegateForFunctionPointer, CallNtWriteVirtualMemory, MapDllandGetProcAddress, DynGetProcAddress, _sb, SetBPX, WIN, Decoy, have more...

Win API:
NtClose, NtWriteVirtualMemory, ZwOpenSection, ZwMapViewOfSection, ZwUnmapViewOfSection, NtResumeThread, RtlMoveMemory, NtAddBootEntry, CreateProcess, CreateProcessA, have more...

Win Services:
MsMpEng, ekrn

Languages:
csharp, python

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/yck1509/KoiVM
https://github.com/Yaxser/Backstab
https://github.com/microsoft/clrmd
https://github.com/Washi1337/AsmResolver
https://github.com/TsudaKageyu/minhook
https://github.com/TheWover/DInvoke
https://github.com/dnSpyEx/dnSpy
https://github.com/Washi1337/OldRod
https://github.com/malwarefrank/dnfile

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Check Point Research (CPR) ведет мониторинг вредоносной программы dotRunpeX, которая используется для доставки множества различных семейств вредоносных программ. Эта новая угроза использует технику Process Hollowing и, как выяснилось, находится в стадии активного развития, а первое публичное обнаружение произошло 2022-10-26. Инжектор dotRunpeX обычно распространяется в качестве второго этапа заражения через фишинговые письма с вредоносными вложениями, рекламу Google, веб-сайты, маскирующиеся под обычные программные утилиты, и сборщики троянских вредоносных программ.

Защищенный адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx, этот инжектор требует для анализа динамического анализа, трассировки DBI, хуков и WIN API. Также можно автоматизировать анализ dotRunpeX с помощью таких инструментов, как сценарий Python для разбора исполняемых файлов .NET и их метаданных, создание сценария x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract.

DotRunpeX - это 64-битный исполняемый файл, написанный на .NET, который обычно распространяется через фишинговые электронные письма с вредоносными вложениями, веб-сайты, маскирующиеся под обычные программные утилиты, объявления Google Ads и сборщики троянских вредоносных программ. Он реализует пользовательскую обфускацию только обфускации имен и использует технику Process Hollowing для внедрения нескольких различных семейств вредоносных программ. Он защищен адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx.

Инжектор dotRunpeX способен отключать функциональность служб Anti-Malware и может использовать несколько техник обхода UAC, включая злоупотребление уязвимым драйвером Process Explorer. Для анализа образца CPR разработала несколько PoC, таких как сценарий Python для разбора исполняемых файлов .NET и их метаданных, сценарий x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract, который позволяет извлекать полезную нагрузку, драйвер procexp и конфиг из dotRunpeX.

В заключение можно сказать, что dotRunpeX - это новая и продвинутая вредоносная угроза-инжектор, которая набирает популярность и используется для доставки широкого спектра семейств вредоносных программ. Защита от виртуализации KoiVM и обфускация ConfuserEx затрудняют его анализ, но Check Point Research (CPR) разработала несколько методов PoC для обратного проектирования кода и извлечения полезной нагрузки, драйверов и конфигураций. Клиенты Check Point защищены от dotRunpeX и его разновидностей благодаря Threat Emulation и Harmony Email & Office.