#ParsedReport
14-03-2023

Medusa ransomware gang picks up steam as it targets companies worldwide

https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide

Threats:
Medusalocker
Mirai

IOCs:
File: 3
Email: 1

Softs:
android, telegram

Algorithms:
aes-256, rsa-2048

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Medusa - это программа-вымогатель, которая набирает обороты в 2023 году. Она началась в июне 2021 года, но с относительно низкой активностью и небольшим количеством жертв. С тех пор появилось множество других семейств вредоносных программ с таким же названием, но оригинальная Medusa ransomware полностью отличается от них. Она обычно используется в модели Ransomware-as-a-Service, имеет множество филиалов, записку с выкупом, обычно называемую How_to_back_files.html, и широкий выбор расширений для зашифрованных файлов.

Программа Medusa ransomware использует шифрование AES-256 + RSA-2048 с помощью библиотеки BCrypt. Файлы, зашифрованные Medusa Ransomware, имеют расширение .MEDUSA, добавляемое к их именам. Кроме того, программа удаляет теневые копии томов Windows и файлы резервных копий в качестве дополнительного шага для предотвращения восстановления. В каждой папке создается примечание о выкупе под названием !!!READ_ME_MEDUSA!!!.txt. Его переговорный сайт размещен на сайте Tor qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.onion, а сайт утечки данных - medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd[.onion.

Наиболее тревожным аспектом программы Medusa ransomware является то, что она не имеет известных слабых мест в своем шифровании, а значит, у жертв очень мало шансов восстановить свои файлы без уплаты выкупа. Такая стратегия двойного вымогательства становится все более распространенной среди банд вымогателей, и это означает, что организации должны быть как никогда бдительны в защите своих систем от атак. Кроме того, они могут выиграть от инвестиций в такие решения, как программное обеспечение нового поколения для защиты от вымогательства и регулярное резервное копирование данных, чтобы минимизировать любой ущерб, нанесенный успешной атакой.

#ParsedReport
14-03-2023

Threat Actors Abuse AI-Generated Youtube Videos to Spread Stealer Malware

https://cloudsek.com/blog/threat-actors-abuse-ai-generated-youtube-videos-to-spread-stealer-malware

Threats:
Vidar_stealer
Redline_stealer
Raccoon_stealer
Traffer

Industry:
Entertainment, Media, Financial, E-commerce

Geo:
Indian, Pakistani

Softs:
photoshop, autocad, instagram), telegram

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С ноября 2022 года значительно увеличилось количество видеороликов на Youtube, содержащих вредоносные ссылки на вредоносные программы для кражи, такие как Vidar, RedLine и Raccoon. Эти видео маскируются под учебники по загрузке взломанных версий лицензионного программного обеспечения, такого как Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD и других продуктов.

Infostealers - это вредоносные программы, предназначенные для кражи конфиденциальной информации с компьютеров, включая пароли, информацию о кредитных картах, номера банковских счетов и другие конфиденциальные данные. Обычно они распространяются через загрузку вредоносных программ, поддельные веб-сайты и учебники на Youtube. После установки на систему они загружают украденную информацию на командно-контрольный сервер злоумышленника.

Разработчики этих вредоносных программ-крадунов отвечают за обновление кода, чтобы избежать обнаружения антивирусами и другими системами обнаружения конечных точек. Они также расширяют сферу применения вредоносного ПО, добавляя новые приложения, из которых оно может совершать кражи. Кроме того, эти разработчики сотрудничают с торговцами людьми и вербуют их для поиска жертв, распространения крадущего ПО и продажи утечки информации на подпольных форумах и каналах Telegram.

Youtube - невероятно популярная платформа, а ее универсальность делает ее главной мишенью для субъектов угроз. С ноября 2022 года CloudSEK отмечает увеличение количества вредоносных видеороликов на 200-300% в месяц. Эти видео нацелены как на образованных и активных пользователей, так и на менее образованных, чьи учетные записи могут остаться незамеченными в случае захвата. Вредоносные ссылки обычно включены в описание видео и замаскированы с помощью сокращателей URL-адресов или ссылок на платформы хостинга файлов. Злоумышленники также добавляют автоматические комментарии, утверждающие, что взломанное программное обеспечение работает, чтобы придать видеоролику достоверность.

В заключение следует отметить, что Youtube быстро становится распространенным каналом для распространения вредоносного ПО stealer. Пользователям важно сохранять бдительность и проверять подлинность любого учебного пособия перед загрузкой любых файлов. Организациям следует использовать решения для обнаружения конечных точек, которые используют машинное обучение и искусственный интеллект для обнаружения вредоносной активности.

#technique

Tabnabbing is a phishing method in which attackers take advantage of victims’ unattended browser tabs. After hijacking an inactive tab and redirecting it to malicious URLs, an attacker can perform a phishing attack and execute scripts.

https://securityintelligence.com/posts/what-is-reverse-tabnabbing-and-what-can-you-do-to-stop-it/

Кажется, я знаю что что будет написано в разделе "Атрибуция" в этом отчете.

#ParsedReport
15-03-2023

ASEC weekly malware statistics (20230306 \~ 20230312)

https://asec.ahnlab.com/ko/49373

Threats:
Agent_tesla
Azorult
Redline_stealer
Beamwinhttp_loader
Snake_keylogger
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial, Transport

Geo:
Korea

IOCs:
Domain: 4
Email: 5
File: 14
Url: 15

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
15-03-2023

Magniber ransomware actors used a variant of Microsoft SmartScreen bypass

https://blog.google/threat-analysis-group/magniber-ransomware-actors-used-a-variant-of-microsoft-smartscreen-bypass

Threats:
Magniber
Motw_bypass_technique
Qakbot

Geo:
Korea, Taiwan

CVEs:
CVE-2022-44698 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1607, 1809, 20h2, 21h1, 21h2, 22h2)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
- microsoft windows 11 (-)
have more...
CVE-2023-24880 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix


IOCs:
File: 6
Hash: 3

Win API:
WTHelperProvDataFromStateData

Languages:
jscript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа анализа угроз Google (TAG) недавно обнаружила обход безопасности в функции защиты SmartScreen компании Microsoft, который используется финансово мотивированными субъектами для доставки вымогательского ПО Magniber без предупреждения пользователей. В атаке участвуют файлы MSI, подписанные недействительной, но специально созданной подписью Authenticode, которая заставляет SmartScreen возвращать ошибку вместо диалога предупреждения безопасности. Эта ошибка позволяет загрузить вредоносный файл без каких-либо предупреждений. По данным TAG, с января 2023 года было зафиксировано более 100 000 загрузок вредоносных MSI-файлов, причем большинство загрузок произошло в Европе. Google Safe Browsing отображал предупреждения для 90% загрузок.

В октябре 2022 года в блоге HP Threat Research рассказывалось о кампаниях Magniber, доставляемых через файлы JScript. Исследователь безопасности заметил ошибку в SmartScreen, которая позволяла злоумышленнику использовать неверно сформированную подпись Authenticode для обхода предупреждений безопасности. Microsoft исправила эту уязвимость как CVE-2022-44698 в декабре 2022 года, но не раньше, чем другие угрозы воспользовались ею для распространения вредоносного ПО Qakbot. Сигнатуры, используемые Magniber и Qakbot, были поразительно похожи, что позволяет предположить, что эти два оператора либо покупали обходные пути у одного и того же поставщика, либо копировали технику друг друга.

Текущий эксплойт, CVE-2023-24880, несколько отличается от предыдущего, поскольку в нем используется не JScript-файл, а MSI-файл с другим типом искаженной подписи. Злоумышленники используют недостаток в функции windows::security::signature_info::retrieve файла smartscreen.exe, в результате чего crypt_provider_data- pPDSip- psIndirectData становится NULL и вызывает ошибку. Это дает им возможность обойти предупреждения безопасности. В настоящее время Microsoft исправила уязвимость, но не раньше, чем злоумышленникам удалось загрузить вредоносные MSI-файлы без каких-либо предупреждений.

#ParsedReport
15-03-2023

The slow Ticking time bomb: Tick APT group compromise of a DLP software developer in East Asia

https://www.welivesecurity.com/2023/03/14/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia

Actors/Campaigns:
Tick (motivation: cyber_espionage)

Threats:
Timebomb_technique
Revbshell
Shadowpy
Netboy
Ghostdown
Proxylogon_exploit
Dll_sideloading_technique
Process_injection_technique

Industry:
Government

Geo:
Apac, Ukraine, Korean, Asian, Korea, Asia

TTPs:
Tactics: 9
Technics: 27

IOCs:
Url: 2
File: 6
Domain: 5
Hash: 8
IP: 7

Softs:
py2exe, mssql, windows service

Algorithms:
rc4, xor, base64, zip, crc-32, aes

Win API:
WinMain, GetTempFileNameA

Languages:
visual_basic, python, delphi

Links:
https://github.com/bitsadmin/revbshell/blob/master/client.vbs
https://github.com/py2exe/py2exe/blob/7ebb29c1dc2ae08516cde2a9feca4d8517233ef7/source/start.c#L116
https://github.com/bitsadmin/revbshell

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи ESET обнаружили вредоносное вторжение в сеть одной из восточноазиатских компаний по предотвращению потери данных. Атака была приписана APT-группе Tick, известной своими кибершпионажными операциями, направленными на страны региона АТР. В ходе вторжения были развернуты три семейства вредоносных программ, которые скомпрометировали серверы обновлений и инструменты, используемые компанией. В результате были скомпрометированы два клиента компании.

Атака началась в марте 2021 года, когда злоумышленники получили доступ к сети компании-разработчика программного обеспечения. В ходе проникновения они заменили легитимные инсталляторы приложения Q-dir на троянские копии, которые при выполнении забрасывали бэкдор с открытым исходным кодом на VBScript под названием ReVBShell, а также копию легитимного приложения. В июне и сентябре 2021 года вредоносные обновления были доставлены на машины в сети DLP-компании. Вредоносный исполняемый файл выдавал HTTP GET-запрос для получения ключа для расшифровки встроенной полезной нагрузки, который затем сбрасывался и выполнялся.

В апреле 2021 года, за два месяца до обнаружения вредоносных обновлений, злоумышленники начали внедрять в сеть взломанной компании 32- и 64-битные троянские инсталляторы приложения. Эти инсталляторы содержали приложение Q-Dir и закодированный (VBE) бэкдор ReVBShell, настроенный злоумышленниками.

Анализ вредоносных инструментов, использованных в ходе атаки, выявил ранее не документированное вредоносное ПО, которое получило название ShadowPy. ShadowPy - это загрузчик, разработанный на языке Python и преобразованный в исполняемый файл для Windows с помощью адаптированной версии py2exe. Он связывается со своим C&C, чтобы получить скрипты Python для выполнения. Кроме того, злоумышленники развертывали вредоносные DLL-загрузчики вместе с легитимными подписанными приложениями, уязвимыми к перехвату порядка поиска DLL. Полезная нагрузка, внедряемая этими DLL, включала варианты семейств Netboy и Ghostdown, а также ShadowPy. Netboy - это бэкдор, запрограммированный на Delphi, который поддерживает 34 команды, позволяющие злоумышленникам захватывать экран, выполнять события мыши и клавиатуры на взломанной машине, манипулировать файлами и службами, а также получать системную и сетевую информацию.

На основании сходства вредоносных программ, обнаруженных в ходе расследования, мы с высокой степенью уверенности приписали атаку группе Tick APT, которая присутствует в регионе уже много лет и провела множество успешных кампаний. Эта атака подчеркивает необходимость для организаций сохранять бдительность и постоянно пересматривать свою систему безопасности, поскольку даже кажущиеся безопасными сети рискуют стать жертвой целевых атак.

#ParsedReport
15-03-2023

Unmasking MedusaLocker Ransomware

https://blog.cyble.com/2023/03/15/unmasking-medusalocker-ransomware

Threats:
Medusalocker
Uac_bypass_technique

Industry:
Healthcare, Financial, Government, Education

Geo:
America, Antarctica

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 26
Registry: 1
Hash: 9

Softs:
defwatch, sqlagent, sqlbrowser

Algorithms:
base64, aes-256, aes

Win API:
GetTokenInformation, FindNextVolumeW, QueryServiceStatusEx, CloseServiceHandle, CreateToolhelp32Snapshot, TerminateProcess, SHEmptyRecycleBinW

Win Services:
ccEvtMgr, ccSetMgr, QBIDPService, QBCFMonitorService, sqlservr

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

MedusaLocker ransomware - это форма вредоносного программного обеспечения, активная с сентября 2019 года и работающая по модели Ransomware-as-a-Service (RaaS). Эта программа-вымогатель обычно распространяется путем использования уязвимостей в протоколе удаленного рабочего стола (RDP), фишинговых писем и кампаний spear phishing. Она нацелена на такие отрасли, как здравоохранение, образование, правительственные организации, и наиболее активна в США.

После выполнения MedusaLocker создает мьютекс для предотвращения повторного заражения и проверяет наличие административных привилегий. Если у него нет прав администратора, он использует технику обхода User Account Control (UAC), чтобы перезапустить себя с повышенными привилегиями. Для этого используется Microsoft Connection Manager Profile Installer (CMSTP.exe) для маршрутизации вредоносного кода через прокси-сервер. Затем вымогатель отключает приглашение UAC и помечает зараженную систему ключом реестра. Она также сохраняется на системах жертв, забрасывая себя в папку AppData под именем svhost.exe и создавая запись задачи по расписанию для запуска каждые 15 минут.

Затем он перечисляет все логические диски в системе и завершает различные запущенные службы и процессы, чтобы избежать обнаружения. MedusaLocker запускает команды для удаления теневых копий и резервных копий системы, что делает невозможным восстановление данных из зараженной системы. Затем он создает список папок, которые нужно исключить из шифрования, и начинает шифровать файлы с помощью алгоритма шифрования AES 256. В каждой папке с расширением itlock4 остается записка с требованием выкупа, содержащая персональный идентификатор и контактную страницу Tor для облегчения переговоров.

Наконец, программа сканирует подключенные системы и распространяется на общие ресурсы. MedusaLocker ransomware отличается высокой сложностью, его трудно обнаружить и остановить, что создает серьезный риск потери данных и финансовых потерь для его жертв. Для предотвращения атак организациям следует часто проводить аудит, оценку уязвимостей и тесты на проникновение, отслеживать входящие электронные письма с подозрительных доменов, создавать резервные копии данных в разных местах, использовать VPN и проводить обучение сотрудников по вопросам безопасности.

#ParsedReport
15-03-2023

DotRunpeX demystifying new virtualized .NET injector used in the wild. Highlights:

https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild

Threats:
Dotrunpex
Koivm
Confuserex_tool
Process_hollowing_technique
Agent_tesla
Arrow_rat
Asyncrat_rat
Avemaria_rat
Sbit_rat
Formbook
Lgoogloader
Lokibot_stealer
Netwire_rat
Privateloader
Quasar_rat
Redline_stealer
Remcos_rat
Rhadamanthys
Snake_keylogger
Vidar_stealer
Xworm_rat
Uac_bypass_technique
Windbg_tool
Raccoon_stealer
Record_breaker_stealer
Backstab_tool
Anydesk_tool
Amsi_bypass_technique
Process_injection_technique
Antidebugging_technique

Geo:
Russian

IOCs:
File: 29
Hash: 169
Url: 2
IP: 1
Path: 14
Command: 1

Softs:
process explorer, minhook, lastpass, (sysinternals, windows defender, "minhook, virtualbox, qemu

Algorithms:
xor, zip

Functions:
Main, Inject, GetDelegateForFunctionPointer, CallNtWriteVirtualMemory, MapDllandGetProcAddress, DynGetProcAddress, _sb, SetBPX, WIN, Decoy, have more...

Win API:
NtClose, NtWriteVirtualMemory, ZwOpenSection, ZwMapViewOfSection, ZwUnmapViewOfSection, NtResumeThread, RtlMoveMemory, NtAddBootEntry, CreateProcess, CreateProcessA, have more...

Win Services:
MsMpEng, ekrn

Languages:
csharp, python

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/yck1509/KoiVM
https://github.com/Yaxser/Backstab
https://github.com/microsoft/clrmd
https://github.com/Washi1337/AsmResolver
https://github.com/TsudaKageyu/minhook
https://github.com/TheWover/DInvoke
https://github.com/dnSpyEx/dnSpy
https://github.com/Washi1337/OldRod
https://github.com/malwarefrank/dnfile

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Check Point Research (CPR) ведет мониторинг вредоносной программы dotRunpeX, которая используется для доставки множества различных семейств вредоносных программ. Эта новая угроза использует технику Process Hollowing и, как выяснилось, находится в стадии активного развития, а первое публичное обнаружение произошло 2022-10-26. Инжектор dotRunpeX обычно распространяется в качестве второго этапа заражения через фишинговые письма с вредоносными вложениями, рекламу Google, веб-сайты, маскирующиеся под обычные программные утилиты, и сборщики троянских вредоносных программ.

Защищенный адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx, этот инжектор требует для анализа динамического анализа, трассировки DBI, хуков и WIN API. Также можно автоматизировать анализ dotRunpeX с помощью таких инструментов, как сценарий Python для разбора исполняемых файлов .NET и их метаданных, создание сценария x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract.

DotRunpeX - это 64-битный исполняемый файл, написанный на .NET, который обычно распространяется через фишинговые электронные письма с вредоносными вложениями, веб-сайты, маскирующиеся под обычные программные утилиты, объявления Google Ads и сборщики троянских вредоносных программ. Он реализует пользовательскую обфускацию только обфускации имен и использует технику Process Hollowing для внедрения нескольких различных семейств вредоносных программ. Он защищен адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx.

Инжектор dotRunpeX способен отключать функциональность служб Anti-Malware и может использовать несколько техник обхода UAC, включая злоупотребление уязвимым драйвером Process Explorer. Для анализа образца CPR разработала несколько PoC, таких как сценарий Python для разбора исполняемых файлов .NET и их метаданных, сценарий x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract, который позволяет извлекать полезную нагрузку, драйвер procexp и конфиг из dotRunpeX.

В заключение можно сказать, что dotRunpeX - это новая и продвинутая вредоносная угроза-инжектор, которая набирает популярность и используется для доставки широкого спектра семейств вредоносных программ. Защита от виртуализации KoiVM и обфускация ConfuserEx затрудняют его анализ, но Check Point Research (CPR) разработала несколько методов PoC для обратного проектирования кода и извлечения полезной нагрузки, драйверов и конфигураций. Клиенты Check Point защищены от dotRunpeX и его разновидностей благодаря Threat Emulation и Harmony Email & Office.

#ParsedReport
15-03-2023

Clop ransomware is victimizing GoAnywhere MFT customers

https://www.malwarebytes.com/blog/news/2023/03/clop-ransomware-is-victimizing-goanywhere-mft-customers

Threats:
Clop

Industry:
Government, Financial, Energy, Healthcare

CVEs:
CVE-2023-0669 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)


Softs:
goanywhere

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Банда вредоносного ПО Clop попала в заголовки газет после использования уязвимости в программе безопасного обмена файлами Fortra GoAnywhere MFT, что позволило им украсть данные 130 компаний. Эта уязвимость, известная как CVE-2023-0669, представляет собой дефект введения команд до аутентификации, который может быть использован без аутентификации. Это позволило злоумышленникам получить доступ к 1 000 административных консолей, которые находятся в открытом доступе и уязвимы для атак.

#ParsedReport
16-03-2023

ASEC Weekly Malware Statistics (March 6th, 2023 March 12th, 2023)

https://asec.ahnlab.com/en/49435

Threats:
Agent_tesla
Redline_stealer
Beamwinhttp_loader
Snake_keylogger
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Transport, Financial

IOCs:
Domain: 4
Email: 5
File: 14
Url: 15

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
16-03-2023

Observing OWASSRF Exchange Exploitation still

https://news.sophos.com/en-us/2023/03/15/observing-owassrf-exchange-exploitation-still

Threats:
Owassrf
Proxynotshell_vuln
Playcrypt
Cuba
Quantum_locker
Svcready_loader
Emotet
Proxyshell_vuln
Bitsadmin
Screenconnect_tool
Anydesk_tool
Putty_tool
Lolbin_technique
Gotoassist_tool
Mosquito
Cobalt_strike
Dirtymoe

Geo:
Russian

CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2022-41080 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2022-41040 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)


IOCs:
File: 3
Domain: 1
Command: 4
Path: 7
IP: 7

Softs:
microsoft exchange, microsoft exchange server, curl, psexec, windows defender, windows service

Links:
https://github.com/sophoslabs/IoCs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Поток атак ProxyNotShell, впервые обнаруженный в конце 2021 года, остается постоянной угрозой для серверов Microsoft Exchange. Эксплойт использует подделку запросов на стороне сервера (SSRF) для удаленного выполнения кода (RCE) и похож на печально известную атаку ProxyShell в 2021 году. В ответ на это Microsoft выпустила исправление, направленное на устранение двух уязвимостей, которые могли быть использованы ProxyNotShell в ноябре 2022 года. Однако с тех пор злоумышленники смогли обойти патч, что привело к росту активности угроз, пытающихся распространить вымогательское ПО. Sophos X-Ops, CrowdStrike и HuntressLabs наблюдали подобные атаки с использованием техники OWASRF, а также закодированных команд PowerShell, инструментов разведки, BITSAdmin для передачи файлов, попыток установки агентов двойного назначения и включения удаленных соединений. Вредоносное ПО, используемое злоумышленниками, включает DirtyMoe и komar.dll, а устаревшие серверы остаются уязвимыми к эксплойту даже после выпуска исправления. Организациям следует принять меры по обеспечению актуальности и безопасности своих серверов Exchange для предотвращения успешной атаки ProxyNotShell.

#ParsedReport
16-03-2023

APT-C-36: from NjRAT to LimeRAT

https://lab52.io/blog/apt-c-36-from-njrat-to-apt-c-36

Actors/Campaigns:
Blindeagle
Aggaa

Threats:
Njrat
Limerat_rat
Asyncrat_rat
Winrm_tool
Fsociety
Process_injection_technique
Process_hollowing_technique
Hook

Industry:
Telco

Geo:
Italian, Spanish, Colombian, Asia

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 33
Domain: 8
Path: 2
IP: 18
Hash: 32
Url: 18

Softs:
microsoft word, discord)

Algorithms:
base64

Functions:
GetThreatContext, SetThreatContext

Win API:
CreateProcess, GetThreadContext, ReadProcessMemory, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread

Links:
https://github.com/NYAN-x-CAT/Lime-RAT