#ParsedReport
15-03-2023
DotRunpeX demystifying new virtualized .NET injector used in the wild. Highlights:
https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild
Threats:
Dotrunpex
Koivm
Confuserex_tool
Process_hollowing_technique
Agent_tesla
Arrow_rat
Asyncrat_rat
Avemaria_rat
Sbit_rat
Formbook
Lgoogloader
Lokibot_stealer
Netwire_rat
Privateloader
Quasar_rat
Redline_stealer
Remcos_rat
Rhadamanthys
Snake_keylogger
Vidar_stealer
Xworm_rat
Uac_bypass_technique
Windbg_tool
Raccoon_stealer
Record_breaker_stealer
Backstab_tool
Anydesk_tool
Amsi_bypass_technique
Process_injection_technique
Antidebugging_technique
Geo:
Russian
IOCs:
File: 29
Hash: 169
Url: 2
IP: 1
Path: 14
Command: 1
Softs:
process explorer, minhook, lastpass, (sysinternals, windows defender, "minhook, virtualbox, qemu
Algorithms:
xor, zip
Functions:
Main, Inject, GetDelegateForFunctionPointer, CallNtWriteVirtualMemory, MapDllandGetProcAddress, DynGetProcAddress, _sb, SetBPX, WIN, Decoy, have more...
Win API:
NtClose, NtWriteVirtualMemory, ZwOpenSection, ZwMapViewOfSection, ZwUnmapViewOfSection, NtResumeThread, RtlMoveMemory, NtAddBootEntry, CreateProcess, CreateProcessA, have more...
Win Services:
MsMpEng, ekrn
Languages:
csharp, python
Platforms:
x64, x86
YARA: Found
Links:
15-03-2023
DotRunpeX demystifying new virtualized .NET injector used in the wild. Highlights:
https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild
Threats:
Dotrunpex
Koivm
Confuserex_tool
Process_hollowing_technique
Agent_tesla
Arrow_rat
Asyncrat_rat
Avemaria_rat
Sbit_rat
Formbook
Lgoogloader
Lokibot_stealer
Netwire_rat
Privateloader
Quasar_rat
Redline_stealer
Remcos_rat
Rhadamanthys
Snake_keylogger
Vidar_stealer
Xworm_rat
Uac_bypass_technique
Windbg_tool
Raccoon_stealer
Record_breaker_stealer
Backstab_tool
Anydesk_tool
Amsi_bypass_technique
Process_injection_technique
Antidebugging_technique
Geo:
Russian
IOCs:
File: 29
Hash: 169
Url: 2
IP: 1
Path: 14
Command: 1
Softs:
process explorer, minhook, lastpass, (sysinternals, windows defender, "minhook, virtualbox, qemu
Algorithms:
xor, zip
Functions:
Main, Inject, GetDelegateForFunctionPointer, CallNtWriteVirtualMemory, MapDllandGetProcAddress, DynGetProcAddress, _sb, SetBPX, WIN, Decoy, have more...
Win API:
NtClose, NtWriteVirtualMemory, ZwOpenSection, ZwMapViewOfSection, ZwUnmapViewOfSection, NtResumeThread, RtlMoveMemory, NtAddBootEntry, CreateProcess, CreateProcessA, have more...
Win Services:
MsMpEng, ekrn
Languages:
csharp, python
Platforms:
x64, x86
YARA: Found
Links:
https://github.com/yck1509/KoiVMhttps://github.com/Yaxser/Backstabhttps://github.com/microsoft/clrmdhttps://github.com/Washi1337/AsmResolverhttps://github.com/TsudaKageyu/minhookhttps://github.com/TheWover/DInvokehttps://github.com/dnSpyEx/dnSpyhttps://github.com/Washi1337/OldRodhttps://github.com/malwarefrank/dnfileCheck Point Research
DotRunpeX - demystifying new virtualized .NET injector used in the wild - Check Point Research
ImplMap2x64dbgInvoke-DotRunpeXextract
CTT Report Hub
#ParsedReport 15-03-2023 DotRunpeX demystifying new virtualized .NET injector used in the wild. Highlights: https://research.checkpoint.com/2023/dotrunpex-demystifying-new-virtualized-net-injector-used-in-the-wild Threats: Dotrunpex Koivm Confuserex_tool…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Check Point Research (CPR) ведет мониторинг вредоносной программы dotRunpeX, которая используется для доставки множества различных семейств вредоносных программ. Эта новая угроза использует технику Process Hollowing и, как выяснилось, находится в стадии активного развития, а первое публичное обнаружение произошло 2022-10-26. Инжектор dotRunpeX обычно распространяется в качестве второго этапа заражения через фишинговые письма с вредоносными вложениями, рекламу Google, веб-сайты, маскирующиеся под обычные программные утилиты, и сборщики троянских вредоносных программ.
Защищенный адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx, этот инжектор требует для анализа динамического анализа, трассировки DBI, хуков и WIN API. Также можно автоматизировать анализ dotRunpeX с помощью таких инструментов, как сценарий Python для разбора исполняемых файлов .NET и их метаданных, создание сценария x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract.
DotRunpeX - это 64-битный исполняемый файл, написанный на .NET, который обычно распространяется через фишинговые электронные письма с вредоносными вложениями, веб-сайты, маскирующиеся под обычные программные утилиты, объявления Google Ads и сборщики троянских вредоносных программ. Он реализует пользовательскую обфускацию только обфускации имен и использует технику Process Hollowing для внедрения нескольких различных семейств вредоносных программ. Он защищен адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx.
Инжектор dotRunpeX способен отключать функциональность служб Anti-Malware и может использовать несколько техник обхода UAC, включая злоупотребление уязвимым драйвером Process Explorer. Для анализа образца CPR разработала несколько PoC, таких как сценарий Python для разбора исполняемых файлов .NET и их метаданных, сценарий x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract, который позволяет извлекать полезную нагрузку, драйвер procexp и конфиг из dotRunpeX.
В заключение можно сказать, что dotRunpeX - это новая и продвинутая вредоносная угроза-инжектор, которая набирает популярность и используется для доставки широкого спектра семейств вредоносных программ. Защита от виртуализации KoiVM и обфускация ConfuserEx затрудняют его анализ, но Check Point Research (CPR) разработала несколько методов PoC для обратного проектирования кода и извлечения полезной нагрузки, драйверов и конфигураций. Клиенты Check Point защищены от dotRunpeX и его разновидностей благодаря Threat Emulation и Harmony Email & Office.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Check Point Research (CPR) ведет мониторинг вредоносной программы dotRunpeX, которая используется для доставки множества различных семейств вредоносных программ. Эта новая угроза использует технику Process Hollowing и, как выяснилось, находится в стадии активного развития, а первое публичное обнаружение произошло 2022-10-26. Инжектор dotRunpeX обычно распространяется в качестве второго этапа заражения через фишинговые письма с вредоносными вложениями, рекламу Google, веб-сайты, маскирующиеся под обычные программные утилиты, и сборщики троянских вредоносных программ.
Защищенный адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx, этот инжектор требует для анализа динамического анализа, трассировки DBI, хуков и WIN API. Также можно автоматизировать анализ dotRunpeX с помощью таких инструментов, как сценарий Python для разбора исполняемых файлов .NET и их метаданных, создание сценария x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract.
DotRunpeX - это 64-битный исполняемый файл, написанный на .NET, который обычно распространяется через фишинговые электронные письма с вредоносными вложениями, веб-сайты, маскирующиеся под обычные программные утилиты, объявления Google Ads и сборщики троянских вредоносных программ. Он реализует пользовательскую обфускацию только обфускации имен и использует технику Process Hollowing для внедрения нескольких различных семейств вредоносных программ. Он защищен адаптированной версией виртуализатора KoiVM и обфускацией ConfuserEx.
Инжектор dotRunpeX способен отключать функциональность служб Anti-Malware и может использовать несколько техник обхода UAC, включая злоупотребление уязвимым драйвером Process Explorer. Для анализа образца CPR разработала несколько PoC, таких как сценарий Python для разбора исполняемых файлов .NET и их метаданных, сценарий x64dbg для установки точек останова на определенных методах ImplMap (P/Invoke) и модуль PowerShell Invoke-DotRunpeXextract, который позволяет извлекать полезную нагрузку, драйвер procexp и конфиг из dotRunpeX.
В заключение можно сказать, что dotRunpeX - это новая и продвинутая вредоносная угроза-инжектор, которая набирает популярность и используется для доставки широкого спектра семейств вредоносных программ. Защита от виртуализации KoiVM и обфускация ConfuserEx затрудняют его анализ, но Check Point Research (CPR) разработала несколько методов PoC для обратного проектирования кода и извлечения полезной нагрузки, драйверов и конфигураций. Клиенты Check Point защищены от dotRunpeX и его разновидностей благодаря Threat Emulation и Harmony Email & Office.
#ParsedReport
15-03-2023
Clop ransomware is victimizing GoAnywhere MFT customers
https://www.malwarebytes.com/blog/news/2023/03/clop-ransomware-is-victimizing-goanywhere-mft-customers
Threats:
Clop
Industry:
Government, Financial, Energy, Healthcare
CVEs:
CVE-2023-0669 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)
Softs:
goanywhere
15-03-2023
Clop ransomware is victimizing GoAnywhere MFT customers
https://www.malwarebytes.com/blog/news/2023/03/clop-ransomware-is-victimizing-goanywhere-mft-customers
Threats:
Clop
Industry:
Government, Financial, Energy, Healthcare
CVEs:
CVE-2023-0669 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)
Softs:
goanywhere
Malwarebytes
Clop ransomware is victimizing GoAnywhere MFT customers
The Clop ransomware gang has claimed responsibility for attacking several GoAnywhere MFT customers by exploiting a vulnerability
CTT Report Hub
#ParsedReport 15-03-2023 Clop ransomware is victimizing GoAnywhere MFT customers https://www.malwarebytes.com/blog/news/2023/03/clop-ransomware-is-victimizing-goanywhere-mft-customers Threats: Clop Industry: Government, Financial, Energy, Healthcare CVEs:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Банда вредоносного ПО Clop попала в заголовки газет после использования уязвимости в программе безопасного обмена файлами Fortra GoAnywhere MFT, что позволило им украсть данные 130 компаний. Эта уязвимость, известная как CVE-2023-0669, представляет собой дефект введения команд до аутентификации, который может быть использован без аутентификации. Это позволило злоумышленникам получить доступ к 1 000 административных консолей, которые находятся в открытом доступе и уязвимы для атак.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Банда вредоносного ПО Clop попала в заголовки газет после использования уязвимости в программе безопасного обмена файлами Fortra GoAnywhere MFT, что позволило им украсть данные 130 компаний. Эта уязвимость, известная как CVE-2023-0669, представляет собой дефект введения команд до аутентификации, который может быть использован без аутентификации. Это позволило злоумышленникам получить доступ к 1 000 административных консолей, которые находятся в открытом доступе и уязвимы для атак.
#ParsedReport
16-03-2023
ASEC Weekly Malware Statistics (March 6th, 2023 March 12th, 2023)
https://asec.ahnlab.com/en/49435
Threats:
Agent_tesla
Redline_stealer
Beamwinhttp_loader
Snake_keylogger
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Industry:
Transport, Financial
IOCs:
Domain: 4
Email: 5
File: 14
Url: 15
Softs:
telegram, nsis installer, discord
Languages:
visual_basic
16-03-2023
ASEC Weekly Malware Statistics (March 6th, 2023 March 12th, 2023)
https://asec.ahnlab.com/en/49435
Threats:
Agent_tesla
Redline_stealer
Beamwinhttp_loader
Snake_keylogger
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Industry:
Transport, Financial
IOCs:
Domain: 4
Email: 5
File: 14
Url: 15
Softs:
telegram, nsis installer, discord
Languages:
visual_basic
ASEC BLOG
ASEC Weekly Malware Statistics (March 6th, 2023 – March 12th, 2023) - ASEC BLOG
AhnLab Security response Center (ASEC) uses the ASEC automatic analysis system RAPIT to categorize and respond to known malware. This post will list weekly statistics collected from March 6th, 2023 (Monday) to March 12th, 2023 (Sunday). For the main category…
#ParsedReport
16-03-2023
Observing OWASSRF Exchange Exploitation still
https://news.sophos.com/en-us/2023/03/15/observing-owassrf-exchange-exploitation-still
Threats:
Owassrf
Proxynotshell_vuln
Playcrypt
Cuba
Quantum_locker
Svcready_loader
Emotet
Proxyshell_vuln
Bitsadmin
Screenconnect_tool
Anydesk_tool
Putty_tool
Lolbin_technique
Gotoassist_tool
Mosquito
Cobalt_strike
Dirtymoe
Geo:
Russian
CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)
CVE-2022-41080 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)
CVE-2022-41040 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)
IOCs:
File: 3
Domain: 1
Command: 4
Path: 7
IP: 7
Softs:
microsoft exchange, microsoft exchange server, curl, psexec, windows defender, windows service
Links:
16-03-2023
Observing OWASSRF Exchange Exploitation still
https://news.sophos.com/en-us/2023/03/15/observing-owassrf-exchange-exploitation-still
Threats:
Owassrf
Proxynotshell_vuln
Playcrypt
Cuba
Quantum_locker
Svcready_loader
Emotet
Proxyshell_vuln
Bitsadmin
Screenconnect_tool
Anydesk_tool
Putty_tool
Lolbin_technique
Gotoassist_tool
Mosquito
Cobalt_strike
Dirtymoe
Geo:
Russian
CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)
CVE-2022-41080 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)
CVE-2022-41040 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)
IOCs:
File: 3
Domain: 1
Command: 4
Path: 7
IP: 7
Softs:
microsoft exchange, microsoft exchange server, curl, psexec, windows defender, windows service
Links:
https://github.com/sophoslabs/IoCsSophos News
Observing OWASSRF Exchange Exploitation… still
ProxyNotShell continues to make waves as November 2022 fixes fail to contain SSRF tactic
CTT Report Hub
#ParsedReport 16-03-2023 Observing OWASSRF Exchange Exploitation still https://news.sophos.com/en-us/2023/03/15/observing-owassrf-exchange-exploitation-still Threats: Owassrf Proxynotshell_vuln Playcrypt Cuba Quantum_locker Svcready_loader Emotet Proxyshell_vuln…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Поток атак ProxyNotShell, впервые обнаруженный в конце 2021 года, остается постоянной угрозой для серверов Microsoft Exchange. Эксплойт использует подделку запросов на стороне сервера (SSRF) для удаленного выполнения кода (RCE) и похож на печально известную атаку ProxyShell в 2021 году. В ответ на это Microsoft выпустила исправление, направленное на устранение двух уязвимостей, которые могли быть использованы ProxyNotShell в ноябре 2022 года. Однако с тех пор злоумышленники смогли обойти патч, что привело к росту активности угроз, пытающихся распространить вымогательское ПО. Sophos X-Ops, CrowdStrike и HuntressLabs наблюдали подобные атаки с использованием техники OWASRF, а также закодированных команд PowerShell, инструментов разведки, BITSAdmin для передачи файлов, попыток установки агентов двойного назначения и включения удаленных соединений. Вредоносное ПО, используемое злоумышленниками, включает DirtyMoe и komar.dll, а устаревшие серверы остаются уязвимыми к эксплойту даже после выпуска исправления. Организациям следует принять меры по обеспечению актуальности и безопасности своих серверов Exchange для предотвращения успешной атаки ProxyNotShell.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Поток атак ProxyNotShell, впервые обнаруженный в конце 2021 года, остается постоянной угрозой для серверов Microsoft Exchange. Эксплойт использует подделку запросов на стороне сервера (SSRF) для удаленного выполнения кода (RCE) и похож на печально известную атаку ProxyShell в 2021 году. В ответ на это Microsoft выпустила исправление, направленное на устранение двух уязвимостей, которые могли быть использованы ProxyNotShell в ноябре 2022 года. Однако с тех пор злоумышленники смогли обойти патч, что привело к росту активности угроз, пытающихся распространить вымогательское ПО. Sophos X-Ops, CrowdStrike и HuntressLabs наблюдали подобные атаки с использованием техники OWASRF, а также закодированных команд PowerShell, инструментов разведки, BITSAdmin для передачи файлов, попыток установки агентов двойного назначения и включения удаленных соединений. Вредоносное ПО, используемое злоумышленниками, включает DirtyMoe и komar.dll, а устаревшие серверы остаются уязвимыми к эксплойту даже после выпуска исправления. Организациям следует принять меры по обеспечению актуальности и безопасности своих серверов Exchange для предотвращения успешной атаки ProxyNotShell.
#ParsedReport
16-03-2023
APT-C-36: from NjRAT to LimeRAT
https://lab52.io/blog/apt-c-36-from-njrat-to-apt-c-36
Actors/Campaigns:
Blindeagle
Aggaa
Threats:
Njrat
Limerat_rat
Asyncrat_rat
Winrm_tool
Fsociety
Process_injection_technique
Process_hollowing_technique
Hook
Industry:
Telco
Geo:
Italian, Spanish, Colombian, Asia
TTPs:
Tactics: 2
Technics: 0
IOCs:
File: 33
Domain: 8
Path: 2
IP: 18
Hash: 32
Url: 18
Softs:
microsoft word, discord)
Algorithms:
base64
Functions:
GetThreatContext, SetThreatContext
Win API:
CreateProcess, GetThreadContext, ReadProcessMemory, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread
Links:
16-03-2023
APT-C-36: from NjRAT to LimeRAT
https://lab52.io/blog/apt-c-36-from-njrat-to-apt-c-36
Actors/Campaigns:
Blindeagle
Aggaa
Threats:
Njrat
Limerat_rat
Asyncrat_rat
Winrm_tool
Fsociety
Process_injection_technique
Process_hollowing_technique
Hook
Industry:
Telco
Geo:
Italian, Spanish, Colombian, Asia
TTPs:
Tactics: 2
Technics: 0
IOCs:
File: 33
Domain: 8
Path: 2
IP: 18
Hash: 32
Url: 18
Softs:
microsoft word, discord)
Algorithms:
base64
Functions:
GetThreatContext, SetThreatContext
Win API:
CreateProcess, GetThreadContext, ReadProcessMemory, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread
Links:
https://github.com/NYAN-x-CAT/Lime-RAT#ParsedReport
16-03-2023
Winter Vivern \| Uncovering a Wave of Global Espionage
https://www.sentinelone.com/labs/winter-vivern-uncovering-a-wave-of-global-espionage
Actors/Campaigns:
Winter_vivern (motivation: cyber_espionage)
Threats:
Beacon
Aperetif
Industry:
Telco, Government
Geo:
Ukraine, Lithuania, Polish, Slovakia, Belarus, India, Italy, Russian, Polands, Indian
IOCs:
Domain: 6
Command: 1
File: 1
Url: 5
Hash: 6
Path: 3
Email: 1
IP: 5
Softs:
wordpress
Languages:
php
16-03-2023
Winter Vivern \| Uncovering a Wave of Global Espionage
https://www.sentinelone.com/labs/winter-vivern-uncovering-a-wave-of-global-espionage
Actors/Campaigns:
Winter_vivern (motivation: cyber_espionage)
Threats:
Beacon
Aperetif
Industry:
Telco, Government
Geo:
Ukraine, Lithuania, Polish, Slovakia, Belarus, India, Italy, Russian, Polands, Indian
IOCs:
Domain: 6
Command: 1
File: 1
Url: 5
Hash: 6
Path: 3
Email: 1
IP: 5
Softs:
wordpress
Languages:
php
SentinelOne
Winter Vivern | Uncovering a Wave of Global Espionage
SentinelLABS uncover a previously unknown set of espionage campaigns conducted by Winter Vivern advanced persistent threat (APT) group.
CTT Report Hub
#ParsedReport 16-03-2023 Winter Vivern \| Uncovering a Wave of Global Espionage https://www.sentinelone.com/labs/winter-vivern-uncovering-a-wave-of-global-espionage Actors/Campaigns: Winter_vivern (motivation: cyber_espionage) Threats: Beacon Aperetif…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Winter Vivern Advanced Persistent Threat (APT) - киберугроза, известная использованием тактики шпионажа в отношении правительственных организаций и частных предприятий. Впервые выявленная в начале 2021 года, эта группа стала объектом исследований и анализа, а польская CBZC и украинский CERT недавно совместно раскрыли ранее неизвестный набор кампаний. АПТ Winter Vivern действует в пророссийских целях, атакуя различные организации, прямо или косвенно вовлеченные в продолжающуюся войну в Украине.
Тактика APT различается по сложности и варьируется от фишинговых веб-сайтов и кражи учетных данных до более сложных методов, таких как развертывание вредоносных документов и пользовательских загрузчиков. В 2021 году Winter Vivern атаковала правительственные организации Литвы, Индии, Ватикана и Словакии, а также частную телекоммуникационную организацию. В последнее время группа атаковала польские правительственные учреждения, Министерство иностранных дел Украины и отдельных лиц в правительстве Индии. Также считается, что их целью был проект Hochuzhit.com (Я хочу жить) - веб-сайт правительства Украины, предлагающий рекомендации российским и белорусским вооруженным силам, стремящимся сдаться в плен.
Помимо приманок, Winter Vivern использует общие наборы инструментов и эксплуатирует уязвимости приложений для получения доступа к системам жертв. Известно, что они использовали троян APERETIF для сбора информации и исходящего маячка на домен, контролируемый агентом.
В целом, Winter Vivern - это находчивый и гибкий субъект угроз, способный скрыться от глаз общественности. Своей простой, но эффективной тактикой они продемонстрировали уровень изощренности и стратегический замысел своих операций. Поскольку их деятельность продолжает расширяться, организациям и частным лицам важно сохранять бдительность, чтобы иметь возможность защититься от этой угрозы.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Winter Vivern Advanced Persistent Threat (APT) - киберугроза, известная использованием тактики шпионажа в отношении правительственных организаций и частных предприятий. Впервые выявленная в начале 2021 года, эта группа стала объектом исследований и анализа, а польская CBZC и украинский CERT недавно совместно раскрыли ранее неизвестный набор кампаний. АПТ Winter Vivern действует в пророссийских целях, атакуя различные организации, прямо или косвенно вовлеченные в продолжающуюся войну в Украине.
Тактика APT различается по сложности и варьируется от фишинговых веб-сайтов и кражи учетных данных до более сложных методов, таких как развертывание вредоносных документов и пользовательских загрузчиков. В 2021 году Winter Vivern атаковала правительственные организации Литвы, Индии, Ватикана и Словакии, а также частную телекоммуникационную организацию. В последнее время группа атаковала польские правительственные учреждения, Министерство иностранных дел Украины и отдельных лиц в правительстве Индии. Также считается, что их целью был проект Hochuzhit.com (Я хочу жить) - веб-сайт правительства Украины, предлагающий рекомендации российским и белорусским вооруженным силам, стремящимся сдаться в плен.
Помимо приманок, Winter Vivern использует общие наборы инструментов и эксплуатирует уязвимости приложений для получения доступа к системам жертв. Известно, что они использовали троян APERETIF для сбора информации и исходящего маячка на домен, контролируемый агентом.
В целом, Winter Vivern - это находчивый и гибкий субъект угроз, способный скрыться от глаз общественности. Своей простой, но эффективной тактикой они продемонстрировали уровень изощренности и стратегический замысел своих операций. Поскольку их деятельность продолжает расширяться, организациям и частным лицам важно сохранять бдительность, чтобы иметь возможность защититься от этой угрозы.
#ParsedReport
16-03-2023
#StopRansomware: LockBit 3.0
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a
Actors/Campaigns:
Blackmatter
Threats:
Stop_ransomware
Lockbit
Royal_ransomware
Ransomware.gov
Blackcat
Stealbit
Credential_dumping_technique
Cobalt_strike
Metasploit_tool
Impacket_tool
Megasync_tool
Procdump_tool
Mimikatz_tool
Putty_tool
Plink
Splashtop_tool
Industry:
Financial, Government
Geo:
Syria, Russia, Moldova, Romanian
TTPs:
Tactics: 10
Technics: 25
IOCs:
Url: 6
File: 2
Path: 3
Registry: 4
Command: 1
Softs:
psexec, sysinternals, local security authority, sysinternals psexec, winscp, component object model, bcdedit, active directory, "sqlbrowser", windows defender, have more...
Algorithms:
aes, gzip, base64
Functions:
DeleteInstance
Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, have more...
Languages:
python
16-03-2023
#StopRansomware: LockBit 3.0
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a
Actors/Campaigns:
Blackmatter
Threats:
Stop_ransomware
Lockbit
Royal_ransomware
Ransomware.gov
Blackcat
Stealbit
Credential_dumping_technique
Cobalt_strike
Metasploit_tool
Impacket_tool
Megasync_tool
Procdump_tool
Mimikatz_tool
Putty_tool
Plink
Splashtop_tool
Industry:
Financial, Government
Geo:
Syria, Russia, Moldova, Romanian
TTPs:
Tactics: 10
Technics: 25
IOCs:
Url: 6
File: 2
Path: 3
Registry: 4
Command: 1
Softs:
psexec, sysinternals, local security authority, sysinternals psexec, winscp, component object model, bcdedit, active directory, "sqlbrowser", windows defender, have more...
Algorithms:
aes, gzip, base64
Functions:
DeleteInstance
Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, have more...
Languages:
python
#ParsedReport
16-03-2023
Notsoprivate messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets
https://www.welivesecurity.com/2023/03/16/not-so-private-messaging-trojanized-whatsapp-telegram-cryptocurrency-wallets
Threats:
Tron
Dll_sideloading_technique
Gh0st_rat
Kryptik_trojan
Farfli
Industry:
Financial
Geo:
China, Ukraine, Italian, Chinese
TTPs:
Tactics: 10
Technics: 25
IOCs:
File: 2
Hash: 37
Domain: 27
IP: 4
Coin: 19
Softs:
whatsapp, telegram, android, telegram android, whatsapps, macos, windows registry, android telegram, microsoft store
Algorithms:
xor, zip
Win API:
ShellExecuteExA, SeDebugPrivilege, EnumWindows
Platforms:
x64
Links:
16-03-2023
Notsoprivate messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets
https://www.welivesecurity.com/2023/03/16/not-so-private-messaging-trojanized-whatsapp-telegram-cryptocurrency-wallets
Threats:
Tron
Dll_sideloading_technique
Gh0st_rat
Kryptik_trojan
Farfli
Industry:
Financial
Geo:
China, Ukraine, Italian, Chinese
TTPs:
Tactics: 10
Technics: 25
IOCs:
File: 2
Hash: 37
Domain: 27
IP: 4
Coin: 19
Softs:
whatsapp, telegram, android, telegram android, whatsapps, macos, windows registry, android telegram, microsoft store
Algorithms:
xor, zip
Win API:
ShellExecuteExA, SeDebugPrivilege, EnumWindows
Platforms:
x64
Links:
https://github.com/ldcsaa/HP-SocketWeLiveSecurity
Not‑so‑private messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets
ESET researchers analyzed Android and Windows clippers that can tamper with instant messages and use OCR to steal cryptocurrency funds.
CTT Report Hub
#ParsedReport 16-03-2023 Notsoprivate messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets https://www.welivesecurity.com/2023/03/16/not-so-private-messaging-trojanized-whatsapp-telegram-cryptocurrency-wallets Threats: Tron …
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Исследователи ESET выявили множество вредоносных веб-сайтов, которые выдают себя за легитимные приложения Telegram и WhatsApp, чтобы атаковать пользователей Android и Windows. Троянские версии приложений для обмена мгновенными сообщениями содержат вредоносные программы, чаще всего клипперы, которые способны похищать криптовалютные средства у жертв. Эти клипперы подменяют адреса криптовалютных кошельков, а некоторые даже используют оптическое распознавание символов (OCR) для распознавания текста со скриншотов, хранящихся на взломанном устройстве. Пользователи Windows также подвержены риску заражения своих систем троянами удаленного доступа (RAT), поставляемыми в комплекте с вредоносными версиями Telegram и WhatsApp.
Вредоносная программа распространялась через рекламу Google Ads, ведущую на мошеннические каналы YouTube и группы Telegram. Для создания троянизированных версий Telegram и WhatsApp злоумышленникам пришлось использовать разные подходы из-за различий в их архитектуре. Для Telegram им потребовалось только изменить открытый код и скомпилировать его, а для WhatsApp - непосредственно изменить двоичный файл и переупаковать его.
Вредоносные приложения в основном нацелены на кражу криптовалютных средств: кластер 1 Android-клипперов использует технологию OCR для кражи начальных фраз криптовалютных кошельков, кластер 2 меняет адрес кошелька жертвы на адрес злоумышленника в чате, а кластер 3 отслеживает общение в Telegram на предмет определенных ключевых слов, связанных с криптовалютами. Кластер 4 способен осуществлять эксфильтрацию различных типов данных с устройства жертвы. В то время как клипперы для Android в основном сосредоточены на похищении криптовалют, версии для Windows также содержат RAT с широким спектром функциональных возможностей.
Если вы подозреваете, что ваше приложение Telegram или WhatsApp является вредоносным, мы советуем вам использовать решение безопасности для обнаружения и удаления угрозы. Пользователи Windows должны загружать только официальную версию WhatsApp из магазина Microsoft и удалять любые другие приложения из других источников перед сканированием устройства.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Исследователи ESET выявили множество вредоносных веб-сайтов, которые выдают себя за легитимные приложения Telegram и WhatsApp, чтобы атаковать пользователей Android и Windows. Троянские версии приложений для обмена мгновенными сообщениями содержат вредоносные программы, чаще всего клипперы, которые способны похищать криптовалютные средства у жертв. Эти клипперы подменяют адреса криптовалютных кошельков, а некоторые даже используют оптическое распознавание символов (OCR) для распознавания текста со скриншотов, хранящихся на взломанном устройстве. Пользователи Windows также подвержены риску заражения своих систем троянами удаленного доступа (RAT), поставляемыми в комплекте с вредоносными версиями Telegram и WhatsApp.
Вредоносная программа распространялась через рекламу Google Ads, ведущую на мошеннические каналы YouTube и группы Telegram. Для создания троянизированных версий Telegram и WhatsApp злоумышленникам пришлось использовать разные подходы из-за различий в их архитектуре. Для Telegram им потребовалось только изменить открытый код и скомпилировать его, а для WhatsApp - непосредственно изменить двоичный файл и переупаковать его.
Вредоносные приложения в основном нацелены на кражу криптовалютных средств: кластер 1 Android-клипперов использует технологию OCR для кражи начальных фраз криптовалютных кошельков, кластер 2 меняет адрес кошелька жертвы на адрес злоумышленника в чате, а кластер 3 отслеживает общение в Telegram на предмет определенных ключевых слов, связанных с криптовалютами. Кластер 4 способен осуществлять эксфильтрацию различных типов данных с устройства жертвы. В то время как клипперы для Android в основном сосредоточены на похищении криптовалют, версии для Windows также содержат RAT с широким спектром функциональных возможностей.
Если вы подозреваете, что ваше приложение Telegram или WhatsApp является вредоносным, мы советуем вам использовать решение безопасности для обнаружения и удаления угрозы. Пользователи Windows должны загружать только официальную версию WhatsApp из магазина Microsoft и удалять любые другие приложения из других источников перед сканированием устройства.
#ParsedReport
16-03-2023
Peeking at Reapers surveillance operations
https://blog.sekoia.io/peeking-at-reaper-surveillance-operations-against-north-korea-defectors
Actors/Campaigns:
Apt37 (motivation: cyber_espionage)
Threats:
Chinotto
Credential_harvesting_technique
Beacon
Extremevnc_tool
Industry:
Ngo
Geo:
Korean, Korea, Dprk, Japanese
TTPs:
Tactics: 1
Technics: 0
IOCs:
Registry: 1
Command: 4
Path: 10
IP: 1
File: 7
Hash: 205
Url: 11
Softs:
android
Algorithms:
zip, base64, xor
Win API:
ShellExecuteW, GetAsyncKeyState
Languages:
php, javascript
YARA: Found
16-03-2023
Peeking at Reapers surveillance operations
https://blog.sekoia.io/peeking-at-reaper-surveillance-operations-against-north-korea-defectors
Actors/Campaigns:
Apt37 (motivation: cyber_espionage)
Threats:
Chinotto
Credential_harvesting_technique
Beacon
Extremevnc_tool
Industry:
Ngo
Geo:
Korean, Korea, Dprk, Japanese
TTPs:
Tactics: 1
Technics: 0
IOCs:
Registry: 1
Command: 4
Path: 10
IP: 1
File: 7
Hash: 205
Url: 11
Softs:
android
Algorithms:
zip, base64, xor
Win API:
ShellExecuteW, GetAsyncKeyState
Languages:
php, javascript
YARA: Found
Sekoia.io Blog
Peeking at Reaper’s surveillance operations
Our analysts uncovered a cyberespionage campaign by reaper and using chinotto malware to target North Korean defectors in South Korea.
CTT Report Hub
#ParsedReport 16-03-2023 Peeking at Reapers surveillance operations https://blog.sekoia.io/peeking-at-reaper-surveillance-operations-against-north-korea-defectors Actors/Campaigns: Apt37 (motivation: cyber_espionage) Threats: Chinotto Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В ходе расследования, проведенного аналитиками SEKOIA.IO, были обнаружены два сервера командования и управления (C2), принадлежащие северокорейской группе вторжений Reaper (она же APT37). Reaper - это кибершпионская угроза, действующая как минимум с 2012 года и направленная против НПО и гражданского общества, таких как диссиденты, журналисты и перебежчики из КНДР. В ходе расследования были обнаружены различные вредоносные инструменты, включая фишинговые веб-страницы, вектор заражения CHM, импланты PowerShell, модули вредоносного ПО Chinotto и дополнительные ресурсы, такие как загрузчики и ExtremeVNC.
Аналитики выявили два типа фишинга, осуществляемого Reaper, один из которых был нацелен на пользователей 163.com, а другой обходил механизмы 2FA с помощью четырех различных технологий и библиотек автоматизации браузеров. Также был обнаружен репозиторий Github, использовавшийся Reaper с 2021 года в качестве инфраструктуры хранения, содержащий вредоносные файлы Microsoft Compressed HTML (CHM). Файлы CHM выполняют команду MSHTA для загрузки и запуска облегченного варианта бэкдора Chinotto Powershell.
Вредоносная программа Chinotto имеет варианты для Windows, Android и Powershell. Старые Windows DLL Chinotto взаимодействуют с C2 с помощью HTTP-команд, в то время как новые версии имеют инструкции, жестко закодированные в base64. Кроме того, на С2 Reapers был обнаружен AblyGo, простой бэкдор, написанный на языке Go, а также несколько загрузчиков, которые загружают evc.dll. Обнаруженный образец ExtremeVNC ежесекундно связывается с C2 посредством JSON-данных.
Аналитики SEKOIA.IO считают, что эта активность почти наверняка является частью кибершпионской кампании Reaper, направленной, вероятно, на северокорейских перебежчиков в Южной Корее. Они считают, что Reaper продолжит использовать Chinotto в кибершпионских кампаниях в ближайшем будущем.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В ходе расследования, проведенного аналитиками SEKOIA.IO, были обнаружены два сервера командования и управления (C2), принадлежащие северокорейской группе вторжений Reaper (она же APT37). Reaper - это кибершпионская угроза, действующая как минимум с 2012 года и направленная против НПО и гражданского общества, таких как диссиденты, журналисты и перебежчики из КНДР. В ходе расследования были обнаружены различные вредоносные инструменты, включая фишинговые веб-страницы, вектор заражения CHM, импланты PowerShell, модули вредоносного ПО Chinotto и дополнительные ресурсы, такие как загрузчики и ExtremeVNC.
Аналитики выявили два типа фишинга, осуществляемого Reaper, один из которых был нацелен на пользователей 163.com, а другой обходил механизмы 2FA с помощью четырех различных технологий и библиотек автоматизации браузеров. Также был обнаружен репозиторий Github, использовавшийся Reaper с 2021 года в качестве инфраструктуры хранения, содержащий вредоносные файлы Microsoft Compressed HTML (CHM). Файлы CHM выполняют команду MSHTA для загрузки и запуска облегченного варианта бэкдора Chinotto Powershell.
Вредоносная программа Chinotto имеет варианты для Windows, Android и Powershell. Старые Windows DLL Chinotto взаимодействуют с C2 с помощью HTTP-команд, в то время как новые версии имеют инструкции, жестко закодированные в base64. Кроме того, на С2 Reapers был обнаружен AblyGo, простой бэкдор, написанный на языке Go, а также несколько загрузчиков, которые загружают evc.dll. Обнаруженный образец ExtremeVNC ежесекундно связывается с C2 посредством JSON-данных.
Аналитики SEKOIA.IO считают, что эта активность почти наверняка является частью кибершпионской кампании Reaper, направленной, вероятно, на северокорейских перебежчиков в Южной Корее. Они считают, что Reaper продолжит использовать Chinotto в кибершпионских кампаниях в ближайшем будущем.
#ParsedReport
16-03-2023
Previously Undiscovered TeamTNT Payload Recently Surfaced
https://www.cadosecurity.com/previously-undiscovered-teamtnt-payload-recently-surfaced
Actors/Campaigns:
Teamtnt
Threats:
Dynamic_linker_hijacking_technique
Xmrig_miner
Libprocesshider_rootkit
Log4shell_vuln
Geo:
German
TTPs:
Tactics: 1
Technics: 1
IOCs:
Domain: 2
File: 2
Url: 2
Hash: 2
Coin: 1
Email: 1
Softs:
crontab, systemd, unix, macos
Algorithms:
base64
Functions:
CLEANUP_BY_TRUMP, WalletConfigSet
Links:
16-03-2023
Previously Undiscovered TeamTNT Payload Recently Surfaced
https://www.cadosecurity.com/previously-undiscovered-teamtnt-payload-recently-surfaced
Actors/Campaigns:
Teamtnt
Threats:
Dynamic_linker_hijacking_technique
Xmrig_miner
Libprocesshider_rootkit
Log4shell_vuln
Geo:
German
TTPs:
Tactics: 1
Technics: 1
IOCs:
Domain: 2
File: 2
Url: 2
Hash: 2
Coin: 1
Email: 1
Softs:
crontab, systemd, unix, macos
Algorithms:
base64
Functions:
CLEANUP_BY_TRUMP, WalletConfigSet
Links:
https://github.com/cado-securityhttps://github.com/gianlucaborello/libprocesshiderCado Security | Cloud Investigation
Previously Undiscovered TeamTNT Payload Recently Surfaced - Cado Security | Cloud Investigation
Cado Labs analyzes previously undiscovered TeamTNT malware sample following a high-profile and sophisticated cloud attack.
CTT Report Hub
#ParsedReport 16-03-2023 Previously Undiscovered TeamTNT Payload Recently Surfaced https://www.cadosecurity.com/previously-undiscovered-teamtnt-payload-recently-surfaced Actors/Campaigns: Teamtnt Threats: Dynamic_linker_hijacking_technique Xmrig_miner…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Исследователи Cado обнаружили новый образец вредоносного ПО, потенциально связанный с агентом облачных угроз TeamTNT. Хотя TeamTNT объявила о своем уходе в конце 2021 года, несколько угрожающих субъектов, ориентированных на облачные технологии, с тех пор присвоили себе приписываемые им ТТП. Это затрудняет определение того, является ли новая активность TeamTNT или другой группы, подражающей ее методам.
Сценарий вредоносной программы начинается с закодированной полезной нагрузки под названием LD.PRELOAD.CLEANER, которая на момент написания статьи была недоступна на VirusTotal и в других публичных репозиториях. Это позволяет предположить, что полезная нагрузка принадлежит еще не обнаруженной кампании TeamTNT. Сценарий также включает строки типа hilde, которые, как известно, связаны с TeamTNT, а также ссылки на Дональда Трампа. Домен DonaldTrump.cc ранее не был связан с вредоносными программами и последний раз обновлялся 2 мая 2021 года.
Далее сценарий включает две функции, предназначенные для очистки системы от артефактов, оставшихся после предыдущих компрометаций. Он также подготавливает систему к перехвату динамического компоновщика (T1574.006) - технике, обычно используемой TeamTNT. Параметры конфигурации XMRig записываются на диск и переименовываются в config_background.json. Это то же имя файла, на которое ссылается блог Sysdig. Пользовательский параметр (адрес кошелька), встречающийся в скрипте, был замечен в предыдущих кампаниях, приписываемых TeamTNT.
Дальнейший анализ сценария показал, что libprocesshider извлекается из URL-адреса. Этот исполняемый файл Linux с разделяемыми объектами используется в сочетании с техникой перехвата динамического компоновщика для скрытия вредоносных процессов. Файл был загружен на VirusTotal в тот же день, что и рассматриваемый сценарий оболочки, и имеет высокий коэффициент обнаружения, большинство поставщиков обнаруживают его как libprocesshider или аналогичный.
Наконец, сценарий использует ряд методов для сохранения майнера после перезагрузки. Во-первых, в рабочий каталог записывается простой сценарий оболочки, который проверяет, запущен ли XMRig. Если он не запущен, XMRig выполняется в фоновом режиме. Затем регистрируется сервисный модуль systemd, чтобы обеспечить постоянство при перезагрузках.
Хотя для окончательной связи этого образца с атакой, о которой сообщил Sysdig, требуется дополнительная информация, он имеет ряд синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT, включая приписываемый им идентификатор кошелька. В результате можно сделать вывод, что этот скрипт действительно является полезной нагрузкой TeamTNT и может быть частью новой кампании.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Исследователи Cado обнаружили новый образец вредоносного ПО, потенциально связанный с агентом облачных угроз TeamTNT. Хотя TeamTNT объявила о своем уходе в конце 2021 года, несколько угрожающих субъектов, ориентированных на облачные технологии, с тех пор присвоили себе приписываемые им ТТП. Это затрудняет определение того, является ли новая активность TeamTNT или другой группы, подражающей ее методам.
Сценарий вредоносной программы начинается с закодированной полезной нагрузки под названием LD.PRELOAD.CLEANER, которая на момент написания статьи была недоступна на VirusTotal и в других публичных репозиториях. Это позволяет предположить, что полезная нагрузка принадлежит еще не обнаруженной кампании TeamTNT. Сценарий также включает строки типа hilde, которые, как известно, связаны с TeamTNT, а также ссылки на Дональда Трампа. Домен DonaldTrump.cc ранее не был связан с вредоносными программами и последний раз обновлялся 2 мая 2021 года.
Далее сценарий включает две функции, предназначенные для очистки системы от артефактов, оставшихся после предыдущих компрометаций. Он также подготавливает систему к перехвату динамического компоновщика (T1574.006) - технике, обычно используемой TeamTNT. Параметры конфигурации XMRig записываются на диск и переименовываются в config_background.json. Это то же имя файла, на которое ссылается блог Sysdig. Пользовательский параметр (адрес кошелька), встречающийся в скрипте, был замечен в предыдущих кампаниях, приписываемых TeamTNT.
Дальнейший анализ сценария показал, что libprocesshider извлекается из URL-адреса. Этот исполняемый файл Linux с разделяемыми объектами используется в сочетании с техникой перехвата динамического компоновщика для скрытия вредоносных процессов. Файл был загружен на VirusTotal в тот же день, что и рассматриваемый сценарий оболочки, и имеет высокий коэффициент обнаружения, большинство поставщиков обнаруживают его как libprocesshider или аналогичный.
Наконец, сценарий использует ряд методов для сохранения майнера после перезагрузки. Во-первых, в рабочий каталог записывается простой сценарий оболочки, который проверяет, запущен ли XMRig. Если он не запущен, XMRig выполняется в фоновом режиме. Затем регистрируется сервисный модуль systemd, чтобы обеспечить постоянство при перезагрузках.
Хотя для окончательной связи этого образца с атакой, о которой сообщил Sysdig, требуется дополнительная информация, он имеет ряд синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT, включая приписываемый им идентификатор кошелька. В результате можно сделать вывод, что этот скрипт действительно является полезной нагрузкой TeamTNT и может быть частью новой кампании.
#ParsedReport
16-03-2023
Bee-Ware of Trigona, An Emerging Ransomware Strain. Table of Contents
https://unit42.paloaltonetworks.com/trigona-ransomware-update
Actors/Campaigns:
Blackcat
Threats:
Trigona
Blackcat
Crylocker
Netscan_tool
Splashtop_tool
Mimikatz_tool
Upx_tool
Credential_dumping_technique
Wevtutil_tool
Screenconnect_tool
Logmein_tool
Teamviewer_tool
Gobruteforcer_botnet
Industry:
Foodtech, Financial
Geo:
Germany, Emea, Apac, Australia, France, Italy, America, Japan, Japanese, Russian
TTPs:
Tactics: 8
Technics: 32
IOCs:
File: 14
Email: 3
IP: 4
Hash: 16
Domain: 1
Softs:
windows defender, hyper-v, local security authority, windows registry, windows docker
Algorithms:
aes
Languages:
javascript, golang, delphi
16-03-2023
Bee-Ware of Trigona, An Emerging Ransomware Strain. Table of Contents
https://unit42.paloaltonetworks.com/trigona-ransomware-update
Actors/Campaigns:
Blackcat
Threats:
Trigona
Blackcat
Crylocker
Netscan_tool
Splashtop_tool
Mimikatz_tool
Upx_tool
Credential_dumping_technique
Wevtutil_tool
Screenconnect_tool
Logmein_tool
Teamviewer_tool
Gobruteforcer_botnet
Industry:
Foodtech, Financial
Geo:
Germany, Emea, Apac, Australia, France, Italy, America, Japan, Japanese, Russian
TTPs:
Tactics: 8
Technics: 32
IOCs:
File: 14
Email: 3
IP: 4
Hash: 16
Domain: 1
Softs:
windows defender, hyper-v, local security authority, windows registry, windows docker
Algorithms:
aes
Languages:
javascript, golang, delphi
Unit 42
Bee-Ware of Trigona, An Emerging Ransomware Strain
Trigona ransomware group uses less common techniques, such as password-protecting malicious binaries.
CTT Report Hub
#ParsedReport 16-03-2023 Bee-Ware of Trigona, An Emerging Ransomware Strain. Table of Contents https://unit42.paloaltonetworks.com/trigona-ransomware-update Actors/Campaigns: Blackcat Threats: Trigona Blackcat Crylocker Netscan_tool Splashtop_tool Mimikatz_tool…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Trigona ransomware - это новая форма вредоносного ПО, впервые обнаруженная в конце октября 2022 года. Она быстро стала активной, и по состоянию на декабрь 2022 года было скомпрометировано не менее 15 жертв. Предполагается, что она затронула множество организаций по всему миру в таких отраслях, как производство, финансы, строительство, сельское хозяйство, маркетинг и высокие технологии. Записки о выкупе уникальны тем, что они представлены в виде HTML-приложений со встроенным JavaScript, содержащих идентификаторы жертв и компьютеров.
После выполнения Trigona использует TDCP_rijndael (библиотека Delphi AES) для шифрования файлов, а также создает два ключа реестра в CurrentVersion\Run, чтобы обеспечить сохранение и открытие записки с выкупом. В записке о выкупе содержится контактный адрес электронной почты и таймер обратного отсчета, который может составлять от 30 дней до 300 дней. Подразделение 42 выявило совпадение тактики, методов и процедур (TTPs) между операторами CryLock ransomware и операторами Trigona, что позволяет предположить, что за оба штамма могут отвечать одни и те же субъекты угроз.
Компания Palo Alto Networks помогает обнаруживать и предотвращать угрозы Trigona ransomware с помощью Cortex XDR, Prisma Cloud и межсетевых экранов нового поколения (включая облачные подписки на безопасность, такие как WildFire). Cyber Threat Alliance (CTA) получил от Palo Alto Networks образцы файлов и индикаторы компрометации, что позволяет им быстро развертывать средства защиты для своих клиентов и пресекать деятельность злоумышленников.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Trigona ransomware - это новая форма вредоносного ПО, впервые обнаруженная в конце октября 2022 года. Она быстро стала активной, и по состоянию на декабрь 2022 года было скомпрометировано не менее 15 жертв. Предполагается, что она затронула множество организаций по всему миру в таких отраслях, как производство, финансы, строительство, сельское хозяйство, маркетинг и высокие технологии. Записки о выкупе уникальны тем, что они представлены в виде HTML-приложений со встроенным JavaScript, содержащих идентификаторы жертв и компьютеров.
После выполнения Trigona использует TDCP_rijndael (библиотека Delphi AES) для шифрования файлов, а также создает два ключа реестра в CurrentVersion\Run, чтобы обеспечить сохранение и открытие записки с выкупом. В записке о выкупе содержится контактный адрес электронной почты и таймер обратного отсчета, который может составлять от 30 дней до 300 дней. Подразделение 42 выявило совпадение тактики, методов и процедур (TTPs) между операторами CryLock ransomware и операторами Trigona, что позволяет предположить, что за оба штамма могут отвечать одни и те же субъекты угроз.
Компания Palo Alto Networks помогает обнаруживать и предотвращать угрозы Trigona ransomware с помощью Cortex XDR, Prisma Cloud и межсетевых экранов нового поколения (включая облачные подписки на безопасность, такие как WildFire). Cyber Threat Alliance (CTA) получил от Palo Alto Networks образцы файлов и индикаторы компрометации, что позволяет им быстро развертывать средства защиты для своих клиентов и пресекать деятельность злоумышленников.
#ParsedReport
16-03-2023
Distributing Nevada Ransomware in Korea
https://asec.ahnlab.com/ko/49080
Actors/Campaigns:
Nevada
Threats:
Nevada_ransomware
Vssadmin_tool
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785
Industry:
Financial
Geo:
Korea
TTPs:
IOCs:
File: 1
Path: 1
IP: 1
Registry: 3
Hash: 1
Softs:
windows defender, bcdedit
Functions:
Control
Win API:
DeviceIoControl
Languages:
rust
Platforms:
x86
Links:
16-03-2023
Distributing Nevada Ransomware in Korea
https://asec.ahnlab.com/ko/49080
Actors/Campaigns:
Nevada
Threats:
Nevada_ransomware
Vssadmin_tool
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785
Industry:
Financial
Geo:
Korea
TTPs:
IOCs:
File: 1
Path: 1
IP: 1
Registry: 3
Hash: 1
Softs:
windows defender, bcdedit
Functions:
Control
Win API:
DeviceIoControl
Languages:
rust
Platforms:
x86
Links:
https://github.com/gtworek/PSBits/blob/master/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE.cASEC BLOG
Nevada 랜섬웨어 국내 유포 중 - ASEC BLOG
AhnLab Security Emergency response Center(ASEC)은 내부 모니터링 중, Nevada 랜섬웨어의 유포 정황을 확인하였다. Nevada 랜섬웨어는 Rust 기반으로 작성된 악성코드이며 Windows 시스템을 대상으로 하는 Nevada 랜섬웨어의 경우 감염 시, 감염된 파일에 “.NEVADA” 확장자가 추가되는 특징을 갖는다. 또한 암호화를 수행한 각 디렉터리에 “README.txt” 이름으로 랜섬노트를 생성하며, 랜섬노트…
CTT Report Hub
#ParsedReport 16-03-2023 Distributing Nevada Ransomware in Korea https://asec.ahnlab.com/ko/49080 Actors/Campaigns: Nevada Threats: Nevada_ransomware Vssadmin_tool Ransom/mdp.decoy.m1171 Ransom/mdp.event.m1785 Industry: Financial Geo: Korea TTPs: IOCs:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил распространение Nevada ransomware - вредоносной программы, написанной с использованием Rust. При заражении она добавляет к файлу расширение .NEVADA и оставляет записку с требованием выкупа, содержащую ссылку на браузер Tor для оплаты. Ransomware поддерживает командные опции для указания подробных методов выполнения, таких как шифрование всех дисков, файлов и каталогов, самоудаление и работа в безопасном режиме. Она также имеет функции удаления теневой копии тома (VSS) и доступа к драйверам устройств через прямые вызовы Device IO Control для изменения размера хранилища VSS. Кроме того, она включает в себя процедуру проверки имен файлов и папок для исключения из целей шифрования и определяет некоторые страны Содружества Независимых Государств как исключение.
Распространение программ-выкупов представляет собой серьезную угрозу для предприятий и частных лиц, поэтому важно принять меры предосторожности, чтобы защитить себя. Будьте осторожны при запуске файлов из неизвестных источников, проверяйте подозрительные файлы с помощью антивируса и следите за обновлением определений вирусов. Регулярное создание резервных копий и их отключение от сети также поможет восстановить данные в случае атаки. Кроме того, регулярное исправление систем и обеспечение доступа пользователей с наименьшими привилегиями может помочь предотвратить успешные атаки.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил распространение Nevada ransomware - вредоносной программы, написанной с использованием Rust. При заражении она добавляет к файлу расширение .NEVADA и оставляет записку с требованием выкупа, содержащую ссылку на браузер Tor для оплаты. Ransomware поддерживает командные опции для указания подробных методов выполнения, таких как шифрование всех дисков, файлов и каталогов, самоудаление и работа в безопасном режиме. Она также имеет функции удаления теневой копии тома (VSS) и доступа к драйверам устройств через прямые вызовы Device IO Control для изменения размера хранилища VSS. Кроме того, она включает в себя процедуру проверки имен файлов и папок для исключения из целей шифрования и определяет некоторые страны Содружества Независимых Государств как исключение.
Распространение программ-выкупов представляет собой серьезную угрозу для предприятий и частных лиц, поэтому важно принять меры предосторожности, чтобы защитить себя. Будьте осторожны при запуске файлов из неизвестных источников, проверяйте подозрительные файлы с помощью антивируса и следите за обновлением определений вирусов. Регулярное создание резервных копий и их отключение от сети также поможет восстановить данные в случае атаки. Кроме того, регулярное исправление систем и обеспечение доступа пользователей с наименьшими привилегиями может помочь предотвратить успешные атаки.