#technique

Tabnabbing is a phishing method in which attackers take advantage of victims’ unattended browser tabs. After hijacking an inactive tab and redirecting it to malicious URLs, an attacker can perform a phishing attack and execute scripts.

https://securityintelligence.com/posts/what-is-reverse-tabnabbing-and-what-can-you-do-to-stop-it/

Кажется, я знаю что что будет написано в разделе "Атрибуция" в этом отчете.

#ParsedReport
15-03-2023

ASEC weekly malware statistics (20230306 \~ 20230312)

https://asec.ahnlab.com/ko/49373

Threats:
Agent_tesla
Azorult
Redline_stealer
Beamwinhttp_loader
Snake_keylogger
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial, Transport

Geo:
Korea

IOCs:
Domain: 4
Email: 5
File: 14
Url: 15

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
15-03-2023

Magniber ransomware actors used a variant of Microsoft SmartScreen bypass

https://blog.google/threat-analysis-group/magniber-ransomware-actors-used-a-variant-of-microsoft-smartscreen-bypass

Threats:
Magniber
Motw_bypass_technique
Qakbot

Geo:
Korea, Taiwan

CVEs:
CVE-2022-44698 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1607, 1809, 20h2, 21h1, 21h2, 22h2)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
- microsoft windows 11 (-)
have more...
CVE-2023-24880 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix


IOCs:
File: 6
Hash: 3

Win API:
WTHelperProvDataFromStateData

Languages:
jscript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа анализа угроз Google (TAG) недавно обнаружила обход безопасности в функции защиты SmartScreen компании Microsoft, который используется финансово мотивированными субъектами для доставки вымогательского ПО Magniber без предупреждения пользователей. В атаке участвуют файлы MSI, подписанные недействительной, но специально созданной подписью Authenticode, которая заставляет SmartScreen возвращать ошибку вместо диалога предупреждения безопасности. Эта ошибка позволяет загрузить вредоносный файл без каких-либо предупреждений. По данным TAG, с января 2023 года было зафиксировано более 100 000 загрузок вредоносных MSI-файлов, причем большинство загрузок произошло в Европе. Google Safe Browsing отображал предупреждения для 90% загрузок.

В октябре 2022 года в блоге HP Threat Research рассказывалось о кампаниях Magniber, доставляемых через файлы JScript. Исследователь безопасности заметил ошибку в SmartScreen, которая позволяла злоумышленнику использовать неверно сформированную подпись Authenticode для обхода предупреждений безопасности. Microsoft исправила эту уязвимость как CVE-2022-44698 в декабре 2022 года, но не раньше, чем другие угрозы воспользовались ею для распространения вредоносного ПО Qakbot. Сигнатуры, используемые Magniber и Qakbot, были поразительно похожи, что позволяет предположить, что эти два оператора либо покупали обходные пути у одного и того же поставщика, либо копировали технику друг друга.

Текущий эксплойт, CVE-2023-24880, несколько отличается от предыдущего, поскольку в нем используется не JScript-файл, а MSI-файл с другим типом искаженной подписи. Злоумышленники используют недостаток в функции windows::security::signature_info::retrieve файла smartscreen.exe, в результате чего crypt_provider_data- pPDSip- psIndirectData становится NULL и вызывает ошибку. Это дает им возможность обойти предупреждения безопасности. В настоящее время Microsoft исправила уязвимость, но не раньше, чем злоумышленникам удалось загрузить вредоносные MSI-файлы без каких-либо предупреждений.

#ParsedReport
15-03-2023

The slow Ticking time bomb: Tick APT group compromise of a DLP software developer in East Asia

https://www.welivesecurity.com/2023/03/14/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia

Actors/Campaigns:
Tick (motivation: cyber_espionage)

Threats:
Timebomb_technique
Revbshell
Shadowpy
Netboy
Ghostdown
Proxylogon_exploit
Dll_sideloading_technique
Process_injection_technique

Industry:
Government

Geo:
Apac, Ukraine, Korean, Asian, Korea, Asia

TTPs:
Tactics: 9
Technics: 27

IOCs:
Url: 2
File: 6
Domain: 5
Hash: 8
IP: 7

Softs:
py2exe, mssql, windows service

Algorithms:
rc4, xor, base64, zip, crc-32, aes

Win API:
WinMain, GetTempFileNameA

Languages:
visual_basic, python, delphi

Links:
https://github.com/bitsadmin/revbshell/blob/master/client.vbs
https://github.com/py2exe/py2exe/blob/7ebb29c1dc2ae08516cde2a9feca4d8517233ef7/source/start.c#L116
https://github.com/bitsadmin/revbshell

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи ESET обнаружили вредоносное вторжение в сеть одной из восточноазиатских компаний по предотвращению потери данных. Атака была приписана APT-группе Tick, известной своими кибершпионажными операциями, направленными на страны региона АТР. В ходе вторжения были развернуты три семейства вредоносных программ, которые скомпрометировали серверы обновлений и инструменты, используемые компанией. В результате были скомпрометированы два клиента компании.

Атака началась в марте 2021 года, когда злоумышленники получили доступ к сети компании-разработчика программного обеспечения. В ходе проникновения они заменили легитимные инсталляторы приложения Q-dir на троянские копии, которые при выполнении забрасывали бэкдор с открытым исходным кодом на VBScript под названием ReVBShell, а также копию легитимного приложения. В июне и сентябре 2021 года вредоносные обновления были доставлены на машины в сети DLP-компании. Вредоносный исполняемый файл выдавал HTTP GET-запрос для получения ключа для расшифровки встроенной полезной нагрузки, который затем сбрасывался и выполнялся.

В апреле 2021 года, за два месяца до обнаружения вредоносных обновлений, злоумышленники начали внедрять в сеть взломанной компании 32- и 64-битные троянские инсталляторы приложения. Эти инсталляторы содержали приложение Q-Dir и закодированный (VBE) бэкдор ReVBShell, настроенный злоумышленниками.

Анализ вредоносных инструментов, использованных в ходе атаки, выявил ранее не документированное вредоносное ПО, которое получило название ShadowPy. ShadowPy - это загрузчик, разработанный на языке Python и преобразованный в исполняемый файл для Windows с помощью адаптированной версии py2exe. Он связывается со своим C&C, чтобы получить скрипты Python для выполнения. Кроме того, злоумышленники развертывали вредоносные DLL-загрузчики вместе с легитимными подписанными приложениями, уязвимыми к перехвату порядка поиска DLL. Полезная нагрузка, внедряемая этими DLL, включала варианты семейств Netboy и Ghostdown, а также ShadowPy. Netboy - это бэкдор, запрограммированный на Delphi, который поддерживает 34 команды, позволяющие злоумышленникам захватывать экран, выполнять события мыши и клавиатуры на взломанной машине, манипулировать файлами и службами, а также получать системную и сетевую информацию.

На основании сходства вредоносных программ, обнаруженных в ходе расследования, мы с высокой степенью уверенности приписали атаку группе Tick APT, которая присутствует в регионе уже много лет и провела множество успешных кампаний. Эта атака подчеркивает необходимость для организаций сохранять бдительность и постоянно пересматривать свою систему безопасности, поскольку даже кажущиеся безопасными сети рискуют стать жертвой целевых атак.

#ParsedReport
15-03-2023

Unmasking MedusaLocker Ransomware

https://blog.cyble.com/2023/03/15/unmasking-medusalocker-ransomware

Threats:
Medusalocker
Uac_bypass_technique

Industry:
Healthcare, Financial, Government, Education

Geo:
America, Antarctica

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 26
Registry: 1
Hash: 9

Softs:
defwatch, sqlagent, sqlbrowser

Algorithms:
base64, aes-256, aes

Win API:
GetTokenInformation, FindNextVolumeW, QueryServiceStatusEx, CloseServiceHandle, CreateToolhelp32Snapshot, TerminateProcess, SHEmptyRecycleBinW

Win Services:
ccEvtMgr, ccSetMgr, QBIDPService, QBCFMonitorService, sqlservr

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

MedusaLocker ransomware - это форма вредоносного программного обеспечения, активная с сентября 2019 года и работающая по модели Ransomware-as-a-Service (RaaS). Эта программа-вымогатель обычно распространяется путем использования уязвимостей в протоколе удаленного рабочего стола (RDP), фишинговых писем и кампаний spear phishing. Она нацелена на такие отрасли, как здравоохранение, образование, правительственные организации, и наиболее активна в США.

После выполнения MedusaLocker создает мьютекс для предотвращения повторного заражения и проверяет наличие административных привилегий. Если у него нет прав администратора, он использует технику обхода User Account Control (UAC), чтобы перезапустить себя с повышенными привилегиями. Для этого используется Microsoft Connection Manager Profile Installer (CMSTP.exe) для маршрутизации вредоносного кода через прокси-сервер. Затем вымогатель отключает приглашение UAC и помечает зараженную систему ключом реестра. Она также сохраняется на системах жертв, забрасывая себя в папку AppData под именем svhost.exe и создавая запись задачи по расписанию для запуска каждые 15 минут.

Затем он перечисляет все логические диски в системе и завершает различные запущенные службы и процессы, чтобы избежать обнаружения. MedusaLocker запускает команды для удаления теневых копий и резервных копий системы, что делает невозможным восстановление данных из зараженной системы. Затем он создает список папок, которые нужно исключить из шифрования, и начинает шифровать файлы с помощью алгоритма шифрования AES 256. В каждой папке с расширением itlock4 остается записка с требованием выкупа, содержащая персональный идентификатор и контактную страницу Tor для облегчения переговоров.

Наконец, программа сканирует подключенные системы и распространяется на общие ресурсы. MedusaLocker ransomware отличается высокой сложностью, его трудно обнаружить и остановить, что создает серьезный риск потери данных и финансовых потерь для его жертв. Для предотвращения атак организациям следует часто проводить аудит, оценку уязвимостей и тесты на проникновение, отслеживать входящие электронные письма с подозрительных доменов, создавать резервные копии данных в разных местах, использовать VPN и проводить обучение сотрудников по вопросам безопасности.

#ParsedReport
15-03-2023

DotRunpeX demystifying new virtualized .NET injector used in the wild. Highlights:

https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild

Threats:
Dotrunpex
Koivm
Confuserex_tool
Process_hollowing_technique
Agent_tesla
Arrow_rat
Asyncrat_rat
Avemaria_rat
Sbit_rat
Formbook
Lgoogloader
Lokibot_stealer
Netwire_rat
Privateloader
Quasar_rat
Redline_stealer
Remcos_rat
Rhadamanthys
Snake_keylogger
Vidar_stealer
Xworm_rat
Uac_bypass_technique
Windbg_tool
Raccoon_stealer
Record_breaker_stealer
Backstab_tool
Anydesk_tool
Amsi_bypass_technique
Process_injection_technique
Antidebugging_technique

Geo:
Russian

IOCs:
File: 29
Hash: 169
Url: 2
IP: 1
Path: 14
Command: 1

Softs:
process explorer, minhook, lastpass, (sysinternals, windows defender, "minhook, virtualbox, qemu

Algorithms:
xor, zip

Functions:
Main, Inject, GetDelegateForFunctionPointer, CallNtWriteVirtualMemory, MapDllandGetProcAddress, DynGetProcAddress, _sb, SetBPX, WIN, Decoy, have more...

Win API:
NtClose, NtWriteVirtualMemory, ZwOpenSection, ZwMapViewOfSection, ZwUnmapViewOfSection, NtResumeThread, RtlMoveMemory, NtAddBootEntry, CreateProcess, CreateProcessA, have more...

Win Services:
MsMpEng, ekrn

Languages:
csharp, python

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/yck1509/KoiVM
https://github.com/Yaxser/Backstab
https://github.com/microsoft/clrmd
https://github.com/Washi1337/AsmResolver
https://github.com/TsudaKageyu/minhook
https://github.com/TheWover/DInvoke
https://github.com/dnSpyEx/dnSpy
https://github.com/Washi1337/OldRod
https://github.com/malwarefrank/dnfile

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Check Point Research (CPR) ведет мониторинг вредоносной программы dotRunpeX, которая используется для доставки множества различных семейств вредоносных программ. Эта новая угроза использует технику Process Hollowing и, как выяснилось, находится в стадии активного развития, а первое публичное обнаружение произошло 2022-10-26. Инжектор dotRunpeX обычно распространяется в качестве второго этапа заражения через фишинговые письма с вредоносными вложениями, рекламу Google, веб-сайты, маскирующиеся под обычные программные утилиты, и сборщики троянских вредоносных программ.

Защищенный адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx, этот инжектор требует для анализа динамического анализа, трассировки DBI, хуков и WIN API. Также можно автоматизировать анализ dotRunpeX с помощью таких инструментов, как сценарий Python для разбора исполняемых файлов .NET и их метаданных, создание сценария x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract.

DotRunpeX - это 64-битный исполняемый файл, написанный на .NET, который обычно распространяется через фишинговые электронные письма с вредоносными вложениями, веб-сайты, маскирующиеся под обычные программные утилиты, объявления Google Ads и сборщики троянских вредоносных программ. Он реализует пользовательскую обфускацию только обфускации имен и использует технику Process Hollowing для внедрения нескольких различных семейств вредоносных программ. Он защищен адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx.

Инжектор dotRunpeX способен отключать функциональность служб Anti-Malware и может использовать несколько техник обхода UAC, включая злоупотребление уязвимым драйвером Process Explorer. Для анализа образца CPR разработала несколько PoC, таких как сценарий Python для разбора исполняемых файлов .NET и их метаданных, сценарий x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract, который позволяет извлекать полезную нагрузку, драйвер procexp и конфиг из dotRunpeX.

В заключение можно сказать, что dotRunpeX - это новая и продвинутая вредоносная угроза-инжектор, которая набирает популярность и используется для доставки широкого спектра семейств вредоносных программ. Защита от виртуализации KoiVM и обфускация ConfuserEx затрудняют его анализ, но Check Point Research (CPR) разработала несколько методов PoC для обратного проектирования кода и извлечения полезной нагрузки, драйверов и конфигураций. Клиенты Check Point защищены от dotRunpeX и его разновидностей благодаря Threat Emulation и Harmony Email & Office.

#ParsedReport
15-03-2023

Clop ransomware is victimizing GoAnywhere MFT customers

https://www.malwarebytes.com/blog/news/2023/03/clop-ransomware-is-victimizing-goanywhere-mft-customers

Threats:
Clop

Industry:
Government, Financial, Energy, Healthcare

CVEs:
CVE-2023-0669 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)


Softs:
goanywhere

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Банда вредоносного ПО Clop попала в заголовки газет после использования уязвимости в программе безопасного обмена файлами Fortra GoAnywhere MFT, что позволило им украсть данные 130 компаний. Эта уязвимость, известная как CVE-2023-0669, представляет собой дефект введения команд до аутентификации, который может быть использован без аутентификации. Это позволило злоумышленникам получить доступ к 1 000 административных консолей, которые находятся в открытом доступе и уязвимы для атак.

#ParsedReport
16-03-2023

ASEC Weekly Malware Statistics (March 6th, 2023 March 12th, 2023)

https://asec.ahnlab.com/en/49435

Threats:
Agent_tesla
Redline_stealer
Beamwinhttp_loader
Snake_keylogger
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Transport, Financial

IOCs:
Domain: 4
Email: 5
File: 14
Url: 15

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
16-03-2023

Observing OWASSRF Exchange Exploitation still

https://news.sophos.com/en-us/2023/03/15/observing-owassrf-exchange-exploitation-still

Threats:
Owassrf
Proxynotshell_vuln
Playcrypt
Cuba
Quantum_locker
Svcready_loader
Emotet
Proxyshell_vuln
Bitsadmin
Screenconnect_tool
Anydesk_tool
Putty_tool
Lolbin_technique
Gotoassist_tool
Mosquito
Cobalt_strike
Dirtymoe

Geo:
Russian

CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2022-41080 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2022-41040 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)


IOCs:
File: 3
Domain: 1
Command: 4
Path: 7
IP: 7

Softs:
microsoft exchange, microsoft exchange server, curl, psexec, windows defender, windows service

Links:
https://github.com/sophoslabs/IoCs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Поток атак ProxyNotShell, впервые обнаруженный в конце 2021 года, остается постоянной угрозой для серверов Microsoft Exchange. Эксплойт использует подделку запросов на стороне сервера (SSRF) для удаленного выполнения кода (RCE) и похож на печально известную атаку ProxyShell в 2021 году. В ответ на это Microsoft выпустила исправление, направленное на устранение двух уязвимостей, которые могли быть использованы ProxyNotShell в ноябре 2022 года. Однако с тех пор злоумышленники смогли обойти патч, что привело к росту активности угроз, пытающихся распространить вымогательское ПО. Sophos X-Ops, CrowdStrike и HuntressLabs наблюдали подобные атаки с использованием техники OWASRF, а также закодированных команд PowerShell, инструментов разведки, BITSAdmin для передачи файлов, попыток установки агентов двойного назначения и включения удаленных соединений. Вредоносное ПО, используемое злоумышленниками, включает DirtyMoe и komar.dll, а устаревшие серверы остаются уязвимыми к эксплойту даже после выпуска исправления. Организациям следует принять меры по обеспечению актуальности и безопасности своих серверов Exchange для предотвращения успешной атаки ProxyNotShell.

#ParsedReport
16-03-2023

APT-C-36: from NjRAT to LimeRAT

https://lab52.io/blog/apt-c-36-from-njrat-to-apt-c-36

Actors/Campaigns:
Blindeagle
Aggaa

Threats:
Njrat
Limerat_rat
Asyncrat_rat
Winrm_tool
Fsociety
Process_injection_technique
Process_hollowing_technique
Hook

Industry:
Telco

Geo:
Italian, Spanish, Colombian, Asia

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 33
Domain: 8
Path: 2
IP: 18
Hash: 32
Url: 18

Softs:
microsoft word, discord)

Algorithms:
base64

Functions:
GetThreatContext, SetThreatContext

Win API:
CreateProcess, GetThreadContext, ReadProcessMemory, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread

Links:
https://github.com/NYAN-x-CAT/Lime-RAT

#ParsedReport
16-03-2023

Winter Vivern \| Uncovering a Wave of Global Espionage

https://www.sentinelone.com/labs/winter-vivern-uncovering-a-wave-of-global-espionage

Actors/Campaigns:
Winter_vivern (motivation: cyber_espionage)

Threats:
Beacon
Aperetif

Industry:
Telco, Government

Geo:
Ukraine, Lithuania, Polish, Slovakia, Belarus, India, Italy, Russian, Polands, Indian

IOCs:
Domain: 6
Command: 1
File: 1
Url: 5
Hash: 6
Path: 3
Email: 1
IP: 5

Softs:
wordpress

Languages:
php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Winter Vivern Advanced Persistent Threat (APT) - киберугроза, известная использованием тактики шпионажа в отношении правительственных организаций и частных предприятий. Впервые выявленная в начале 2021 года, эта группа стала объектом исследований и анализа, а польская CBZC и украинский CERT недавно совместно раскрыли ранее неизвестный набор кампаний. АПТ Winter Vivern действует в пророссийских целях, атакуя различные организации, прямо или косвенно вовлеченные в продолжающуюся войну в Украине.

Тактика APT различается по сложности и варьируется от фишинговых веб-сайтов и кражи учетных данных до более сложных методов, таких как развертывание вредоносных документов и пользовательских загрузчиков. В 2021 году Winter Vivern атаковала правительственные организации Литвы, Индии, Ватикана и Словакии, а также частную телекоммуникационную организацию. В последнее время группа атаковала польские правительственные учреждения, Министерство иностранных дел Украины и отдельных лиц в правительстве Индии. Также считается, что их целью был проект Hochuzhit.com (Я хочу жить) - веб-сайт правительства Украины, предлагающий рекомендации российским и белорусским вооруженным силам, стремящимся сдаться в плен.

Помимо приманок, Winter Vivern использует общие наборы инструментов и эксплуатирует уязвимости приложений для получения доступа к системам жертв. Известно, что они использовали троян APERETIF для сбора информации и исходящего маячка на домен, контролируемый агентом.

В целом, Winter Vivern - это находчивый и гибкий субъект угроз, способный скрыться от глаз общественности. Своей простой, но эффективной тактикой они продемонстрировали уровень изощренности и стратегический замысел своих операций. Поскольку их деятельность продолжает расширяться, организациям и частным лицам важно сохранять бдительность, чтобы иметь возможность защититься от этой угрозы.

#ParsedReport
16-03-2023

#StopRansomware: LockBit 3.0

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a

Actors/Campaigns:
Blackmatter

Threats:
Stop_ransomware
Lockbit
Royal_ransomware
Ransomware.gov
Blackcat
Stealbit
Credential_dumping_technique
Cobalt_strike
Metasploit_tool
Impacket_tool
Megasync_tool
Procdump_tool
Mimikatz_tool
Putty_tool
Plink
Splashtop_tool

Industry:
Financial, Government

Geo:
Syria, Russia, Moldova, Romanian

TTPs:
Tactics: 10
Technics: 25

IOCs:
Url: 6
File: 2
Path: 3
Registry: 4
Command: 1

Softs:
psexec, sysinternals, local security authority, sysinternals psexec, winscp, component object model, bcdedit, active directory, "sqlbrowser", windows defender, have more...

Algorithms:
aes, gzip, base64

Functions:
DeleteInstance

Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, have more...

Languages:
python

#ParsedReport
16-03-2023

Notsoprivate messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets

https://www.welivesecurity.com/2023/03/16/not-so-private-messaging-trojanized-whatsapp-telegram-cryptocurrency-wallets

Threats:
Tron
Dll_sideloading_technique
Gh0st_rat
Kryptik_trojan
Farfli

Industry:
Financial

Geo:
China, Ukraine, Italian, Chinese

TTPs:
Tactics: 10
Technics: 25

IOCs:
File: 2
Hash: 37
Domain: 27
IP: 4
Coin: 19

Softs:
whatsapp, telegram, android, telegram android, whatsapps, macos, windows registry, android telegram, microsoft store

Algorithms:
xor, zip

Win API:
ShellExecuteExA, SeDebugPrivilege, EnumWindows

Platforms:
x64

Links:
https://github.com/ldcsaa/HP-Socket