#ParsedReport
16-03-2023

APT-C-36: from NjRAT to LimeRAT

https://lab52.io/blog/apt-c-36-from-njrat-to-apt-c-36

Actors/Campaigns:
Blindeagle
Aggaa

Threats:
Njrat
Limerat_rat
Asyncrat_rat
Winrm_tool
Fsociety
Process_injection_technique
Process_hollowing_technique
Hook

Industry:
Telco

Geo:
Italian, Spanish, Colombian, Asia

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 33
Domain: 8
Path: 2
IP: 18
Hash: 32
Url: 18

Softs:
microsoft word, discord)

Algorithms:
base64

Functions:
GetThreatContext, SetThreatContext

Win API:
CreateProcess, GetThreadContext, ReadProcessMemory, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread

Links:
https://github.com/NYAN-x-CAT/Lime-RAT

#ParsedReport
16-03-2023

Winter Vivern \| Uncovering a Wave of Global Espionage

https://www.sentinelone.com/labs/winter-vivern-uncovering-a-wave-of-global-espionage

Actors/Campaigns:
Winter_vivern (motivation: cyber_espionage)

Threats:
Beacon
Aperetif

Industry:
Telco, Government

Geo:
Ukraine, Lithuania, Polish, Slovakia, Belarus, India, Italy, Russian, Polands, Indian

IOCs:
Domain: 6
Command: 1
File: 1
Url: 5
Hash: 6
Path: 3
Email: 1
IP: 5

Softs:
wordpress

Languages:
php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Winter Vivern Advanced Persistent Threat (APT) - киберугроза, известная использованием тактики шпионажа в отношении правительственных организаций и частных предприятий. Впервые выявленная в начале 2021 года, эта группа стала объектом исследований и анализа, а польская CBZC и украинский CERT недавно совместно раскрыли ранее неизвестный набор кампаний. АПТ Winter Vivern действует в пророссийских целях, атакуя различные организации, прямо или косвенно вовлеченные в продолжающуюся войну в Украине.

Тактика APT различается по сложности и варьируется от фишинговых веб-сайтов и кражи учетных данных до более сложных методов, таких как развертывание вредоносных документов и пользовательских загрузчиков. В 2021 году Winter Vivern атаковала правительственные организации Литвы, Индии, Ватикана и Словакии, а также частную телекоммуникационную организацию. В последнее время группа атаковала польские правительственные учреждения, Министерство иностранных дел Украины и отдельных лиц в правительстве Индии. Также считается, что их целью был проект Hochuzhit.com (Я хочу жить) - веб-сайт правительства Украины, предлагающий рекомендации российским и белорусским вооруженным силам, стремящимся сдаться в плен.

Помимо приманок, Winter Vivern использует общие наборы инструментов и эксплуатирует уязвимости приложений для получения доступа к системам жертв. Известно, что они использовали троян APERETIF для сбора информации и исходящего маячка на домен, контролируемый агентом.

В целом, Winter Vivern - это находчивый и гибкий субъект угроз, способный скрыться от глаз общественности. Своей простой, но эффективной тактикой они продемонстрировали уровень изощренности и стратегический замысел своих операций. Поскольку их деятельность продолжает расширяться, организациям и частным лицам важно сохранять бдительность, чтобы иметь возможность защититься от этой угрозы.

#ParsedReport
16-03-2023

#StopRansomware: LockBit 3.0

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a

Actors/Campaigns:
Blackmatter

Threats:
Stop_ransomware
Lockbit
Royal_ransomware
Ransomware.gov
Blackcat
Stealbit
Credential_dumping_technique
Cobalt_strike
Metasploit_tool
Impacket_tool
Megasync_tool
Procdump_tool
Mimikatz_tool
Putty_tool
Plink
Splashtop_tool

Industry:
Financial, Government

Geo:
Syria, Russia, Moldova, Romanian

TTPs:
Tactics: 10
Technics: 25

IOCs:
Url: 6
File: 2
Path: 3
Registry: 4
Command: 1

Softs:
psexec, sysinternals, local security authority, sysinternals psexec, winscp, component object model, bcdedit, active directory, "sqlbrowser", windows defender, have more...

Algorithms:
aes, gzip, base64

Functions:
DeleteInstance

Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, have more...

Languages:
python

#ParsedReport
16-03-2023

Notsoprivate messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets

https://www.welivesecurity.com/2023/03/16/not-so-private-messaging-trojanized-whatsapp-telegram-cryptocurrency-wallets

Threats:
Tron
Dll_sideloading_technique
Gh0st_rat
Kryptik_trojan
Farfli

Industry:
Financial

Geo:
China, Ukraine, Italian, Chinese

TTPs:
Tactics: 10
Technics: 25

IOCs:
File: 2
Hash: 37
Domain: 27
IP: 4
Coin: 19

Softs:
whatsapp, telegram, android, telegram android, whatsapps, macos, windows registry, android telegram, microsoft store

Algorithms:
xor, zip

Win API:
ShellExecuteExA, SeDebugPrivilege, EnumWindows

Platforms:
x64

Links:
https://github.com/ldcsaa/HP-Socket

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи ESET выявили множество вредоносных веб-сайтов, которые выдают себя за легитимные приложения Telegram и WhatsApp, чтобы атаковать пользователей Android и Windows. Троянские версии приложений для обмена мгновенными сообщениями содержат вредоносные программы, чаще всего клипперы, которые способны похищать криптовалютные средства у жертв. Эти клипперы подменяют адреса криптовалютных кошельков, а некоторые даже используют оптическое распознавание символов (OCR) для распознавания текста со скриншотов, хранящихся на взломанном устройстве. Пользователи Windows также подвержены риску заражения своих систем троянами удаленного доступа (RAT), поставляемыми в комплекте с вредоносными версиями Telegram и WhatsApp.

Вредоносная программа распространялась через рекламу Google Ads, ведущую на мошеннические каналы YouTube и группы Telegram. Для создания троянизированных версий Telegram и WhatsApp злоумышленникам пришлось использовать разные подходы из-за различий в их архитектуре. Для Telegram им потребовалось только изменить открытый код и скомпилировать его, а для WhatsApp - непосредственно изменить двоичный файл и переупаковать его.

Вредоносные приложения в основном нацелены на кражу криптовалютных средств: кластер 1 Android-клипперов использует технологию OCR для кражи начальных фраз криптовалютных кошельков, кластер 2 меняет адрес кошелька жертвы на адрес злоумышленника в чате, а кластер 3 отслеживает общение в Telegram на предмет определенных ключевых слов, связанных с криптовалютами. Кластер 4 способен осуществлять эксфильтрацию различных типов данных с устройства жертвы. В то время как клипперы для Android в основном сосредоточены на похищении криптовалют, версии для Windows также содержат RAT с широким спектром функциональных возможностей.

Если вы подозреваете, что ваше приложение Telegram или WhatsApp является вредоносным, мы советуем вам использовать решение безопасности для обнаружения и удаления угрозы. Пользователи Windows должны загружать только официальную версию WhatsApp из магазина Microsoft и удалять любые другие приложения из других источников перед сканированием устройства.

#ParsedReport
16-03-2023

Peeking at Reapers surveillance operations

https://blog.sekoia.io/peeking-at-reaper-surveillance-operations-against-north-korea-defectors

Actors/Campaigns:
Apt37 (motivation: cyber_espionage)

Threats:
Chinotto
Credential_harvesting_technique
Beacon
Extremevnc_tool

Industry:
Ngo

Geo:
Korean, Korea, Dprk, Japanese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 1
Command: 4
Path: 10
IP: 1
File: 7
Hash: 205
Url: 11

Softs:
android

Algorithms:
zip, base64, xor

Win API:
ShellExecuteW, GetAsyncKeyState

Languages:
php, javascript

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В ходе расследования, проведенного аналитиками SEKOIA.IO, были обнаружены два сервера командования и управления (C2), принадлежащие северокорейской группе вторжений Reaper (она же APT37). Reaper - это кибершпионская угроза, действующая как минимум с 2012 года и направленная против НПО и гражданского общества, таких как диссиденты, журналисты и перебежчики из КНДР. В ходе расследования были обнаружены различные вредоносные инструменты, включая фишинговые веб-страницы, вектор заражения CHM, импланты PowerShell, модули вредоносного ПО Chinotto и дополнительные ресурсы, такие как загрузчики и ExtremeVNC.

Аналитики выявили два типа фишинга, осуществляемого Reaper, один из которых был нацелен на пользователей 163.com, а другой обходил механизмы 2FA с помощью четырех различных технологий и библиотек автоматизации браузеров. Также был обнаружен репозиторий Github, использовавшийся Reaper с 2021 года в качестве инфраструктуры хранения, содержащий вредоносные файлы Microsoft Compressed HTML (CHM). Файлы CHM выполняют команду MSHTA для загрузки и запуска облегченного варианта бэкдора Chinotto Powershell.

Вредоносная программа Chinotto имеет варианты для Windows, Android и Powershell. Старые Windows DLL Chinotto взаимодействуют с C2 с помощью HTTP-команд, в то время как новые версии имеют инструкции, жестко закодированные в base64. Кроме того, на С2 Reapers был обнаружен AblyGo, простой бэкдор, написанный на языке Go, а также несколько загрузчиков, которые загружают evc.dll. Обнаруженный образец ExtremeVNC ежесекундно связывается с C2 посредством JSON-данных.

Аналитики SEKOIA.IO считают, что эта активность почти наверняка является частью кибершпионской кампании Reaper, направленной, вероятно, на северокорейских перебежчиков в Южной Корее. Они считают, что Reaper продолжит использовать Chinotto в кибершпионских кампаниях в ближайшем будущем.

#ParsedReport
16-03-2023

Previously Undiscovered TeamTNT Payload Recently Surfaced

https://www.cadosecurity.com/previously-undiscovered-teamtnt-payload-recently-surfaced

Actors/Campaigns:
Teamtnt

Threats:
Dynamic_linker_hijacking_technique
Xmrig_miner
Libprocesshider_rootkit
Log4shell_vuln

Geo:
German

TTPs:
Tactics: 1
Technics: 1

IOCs:
Domain: 2
File: 2
Url: 2
Hash: 2
Coin: 1
Email: 1

Softs:
crontab, systemd, unix, macos

Algorithms:
base64

Functions:
CLEANUP_BY_TRUMP, WalletConfigSet

Links:
https://github.com/cado-security
https://github.com/gianlucaborello/libprocesshider

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи Cado обнаружили новый образец вредоносного ПО, потенциально связанный с агентом облачных угроз TeamTNT. Хотя TeamTNT объявила о своем уходе в конце 2021 года, несколько угрожающих субъектов, ориентированных на облачные технологии, с тех пор присвоили себе приписываемые им ТТП. Это затрудняет определение того, является ли новая активность TeamTNT или другой группы, подражающей ее методам.

Сценарий вредоносной программы начинается с закодированной полезной нагрузки под названием LD.PRELOAD.CLEANER, которая на момент написания статьи была недоступна на VirusTotal и в других публичных репозиториях. Это позволяет предположить, что полезная нагрузка принадлежит еще не обнаруженной кампании TeamTNT. Сценарий также включает строки типа hilde, которые, как известно, связаны с TeamTNT, а также ссылки на Дональда Трампа. Домен DonaldTrump.cc ранее не был связан с вредоносными программами и последний раз обновлялся 2 мая 2021 года.

Далее сценарий включает две функции, предназначенные для очистки системы от артефактов, оставшихся после предыдущих компрометаций. Он также подготавливает систему к перехвату динамического компоновщика (T1574.006) - технике, обычно используемой TeamTNT. Параметры конфигурации XMRig записываются на диск и переименовываются в config_background.json. Это то же имя файла, на которое ссылается блог Sysdig. Пользовательский параметр (адрес кошелька), встречающийся в скрипте, был замечен в предыдущих кампаниях, приписываемых TeamTNT.

Дальнейший анализ сценария показал, что libprocesshider извлекается из URL-адреса. Этот исполняемый файл Linux с разделяемыми объектами используется в сочетании с техникой перехвата динамического компоновщика для скрытия вредоносных процессов. Файл был загружен на VirusTotal в тот же день, что и рассматриваемый сценарий оболочки, и имеет высокий коэффициент обнаружения, большинство поставщиков обнаруживают его как libprocesshider или аналогичный.

Наконец, сценарий использует ряд методов для сохранения майнера после перезагрузки. Во-первых, в рабочий каталог записывается простой сценарий оболочки, который проверяет, запущен ли XMRig. Если он не запущен, XMRig выполняется в фоновом режиме. Затем регистрируется сервисный модуль systemd, чтобы обеспечить постоянство при перезагрузках.

Хотя для окончательной связи этого образца с атакой, о которой сообщил Sysdig, требуется дополнительная информация, он имеет ряд синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT, включая приписываемый им идентификатор кошелька. В результате можно сделать вывод, что этот скрипт действительно является полезной нагрузкой TeamTNT и может быть частью новой кампании.

#ParsedReport
16-03-2023

Bee-Ware of Trigona, An Emerging Ransomware Strain. Table of Contents

https://unit42.paloaltonetworks.com/trigona-ransomware-update

Actors/Campaigns:
Blackcat

Threats:
Trigona
Blackcat
Crylocker
Netscan_tool
Splashtop_tool
Mimikatz_tool
Upx_tool
Credential_dumping_technique
Wevtutil_tool
Screenconnect_tool
Logmein_tool
Teamviewer_tool
Gobruteforcer_botnet

Industry:
Foodtech, Financial

Geo:
Germany, Emea, Apac, Australia, France, Italy, America, Japan, Japanese, Russian

TTPs:
Tactics: 8
Technics: 32

IOCs:
File: 14
Email: 3
IP: 4
Hash: 16
Domain: 1

Softs:
windows defender, hyper-v, local security authority, windows registry, windows docker

Algorithms:
aes

Languages:
javascript, golang, delphi

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Trigona ransomware - это новая форма вредоносного ПО, впервые обнаруженная в конце октября 2022 года. Она быстро стала активной, и по состоянию на декабрь 2022 года было скомпрометировано не менее 15 жертв. Предполагается, что она затронула множество организаций по всему миру в таких отраслях, как производство, финансы, строительство, сельское хозяйство, маркетинг и высокие технологии. Записки о выкупе уникальны тем, что они представлены в виде HTML-приложений со встроенным JavaScript, содержащих идентификаторы жертв и компьютеров.

После выполнения Trigona использует TDCP_rijndael (библиотека Delphi AES) для шифрования файлов, а также создает два ключа реестра в CurrentVersion\Run, чтобы обеспечить сохранение и открытие записки с выкупом. В записке о выкупе содержится контактный адрес электронной почты и таймер обратного отсчета, который может составлять от 30 дней до 300 дней. Подразделение 42 выявило совпадение тактики, методов и процедур (TTPs) между операторами CryLock ransomware и операторами Trigona, что позволяет предположить, что за оба штамма могут отвечать одни и те же субъекты угроз.

Компания Palo Alto Networks помогает обнаруживать и предотвращать угрозы Trigona ransomware с помощью Cortex XDR, Prisma Cloud и межсетевых экранов нового поколения (включая облачные подписки на безопасность, такие как WildFire). Cyber Threat Alliance (CTA) получил от Palo Alto Networks образцы файлов и индикаторы компрометации, что позволяет им быстро развертывать средства защиты для своих клиентов и пресекать деятельность злоумышленников.

#ParsedReport
16-03-2023

Distributing Nevada Ransomware in Korea

https://asec.ahnlab.com/ko/49080

Actors/Campaigns:
Nevada

Threats:
Nevada_ransomware
Vssadmin_tool
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785

Industry:
Financial

Geo:
Korea

TTPs:

IOCs:
File: 1
Path: 1
IP: 1
Registry: 3
Hash: 1

Softs:
windows defender, bcdedit

Functions:
Control

Win API:
DeviceIoControl

Languages:
rust

Platforms:
x86

Links:
https://github.com/gtworek/PSBits/blob/master/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE.c

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил распространение Nevada ransomware - вредоносной программы, написанной с использованием Rust. При заражении она добавляет к файлу расширение .NEVADA и оставляет записку с требованием выкупа, содержащую ссылку на браузер Tor для оплаты. Ransomware поддерживает командные опции для указания подробных методов выполнения, таких как шифрование всех дисков, файлов и каталогов, самоудаление и работа в безопасном режиме. Она также имеет функции удаления теневой копии тома (VSS) и доступа к драйверам устройств через прямые вызовы Device IO Control для изменения размера хранилища VSS. Кроме того, она включает в себя процедуру проверки имен файлов и папок для исключения из целей шифрования и определяет некоторые страны Содружества Независимых Государств как исключение.

Распространение программ-выкупов представляет собой серьезную угрозу для предприятий и частных лиц, поэтому важно принять меры предосторожности, чтобы защитить себя. Будьте осторожны при запуске файлов из неизвестных источников, проверяйте подозрительные файлы с помощью антивируса и следите за обновлением определений вирусов. Регулярное создание резервных копий и их отключение от сети также поможет восстановить данные в случае атаки. Кроме того, регулярное исправление систем и обеспечение доступа пользователей с наименьшими привилегиями может помочь предотвратить успешные атаки.

#ParsedReport
16-03-2023

Ransomware Roundup HardBit 2.0

https://www.fortinet.com/blog/threat-research/fortiguard-labs-ransomware-roundup

Threats:
Hardbit

Industry:
Financial

IOCs:
File: 3
Hash: 4

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

HardBit 2.0 - это опасный вариант ransomware, набирающий обороты в последние месяцы. Вредоносная программа использует двойную технику вымогательства, шифруя файлы и угрожая раскрыть конфиденциальную информацию, если не будет выплачен выкуп. После выполнения программы она завершает процессы и службы, чтобы замедлить возможное обнаружение, а затем переименовывает зашифрованные файлы в случайное имя файла с последующим указанием контактной электронной почты и ID.

В записке о выкупе содержится объяснение произошедшего, гарантия восстановления и адрес электронной почты, по которому жертвы могут связаться со злоумышленником. В записке о выкупе не указана цена, поэтому жертвы должны связаться со злоумышленником, чтобы договориться об оплате. Злоумышленник может предложить предоставить данные о страховом полисе, чтобы убедиться, что сумма платежа не превысит порогового значения. Связь с хостерами осуществляется через Tox ID, и выкуп будет удвоен, если контакт не будет установлен в течение 48 часов.

В целом, HardBit 2.0 представляет собой серьезную угрозу, к которой следует отнестись со всей серьезностью. Важно сохранять бдительность и принимать необходимые меры предосторожности для защиты своих данных. Клиенты Fortinet имеют доступ к мощным решениям, которые помогут им защититься от этого варианта ransomware. Приняв необходимые меры безопасности, вы можете быть уверены, что ваши данные останутся в безопасности от HardBit 2.0 и других угроз вымогательства.

#ParsedReport
16-03-2023

HookSpoofer: The Modified Open Source Stealer Bundlers Making the Rounds. Figure 31: Uptycs EDR detection

https://www.uptycs.com/blog/threat-research-hookspoofer

Threats:
Hookspoofer
Stormkitty_stealer
Confuser
Confuserex_tool
Process_hacker_tool
Netstat_tool

Industry:
Entertainment

IOCs:
Hash: 4
File: 8
Url: 2
Command: 1

Softs:
telegram, virtualbox, opera, (telegram, discord, pidgin

Algorithms:
zip, aes, base64

Win API:
CheckRemoteDebuggerPresent

YARA: Found

Links:
https://github.com/LimerBoy/StormKitty

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда исследователей угроз компании Uptycs обнаружила новый тип вредоносного ПО HookSpoofer, которое распространяется с помощью бандлеров и обладает возможностями кейлоггинга и клиппера. Угонщик, написанный на C#, основан на программе с открытым исходным кодом под названием Stormkitty и активно рекламируется на различных киберпреступных форумах.

Поток инфекции Hookspoofer начинается с пакета под названием spotify proxyless checker 2022.rar, который содержит 17 файлов и основной исполняемый файл: spotify checker.exe. Затем этот файл расшифровывается и распаковывается, чтобы обнаружить скомпилированный модуль .NET под названием koi. Затем он проверяет наличие жестко закодированных Telegram API и Telegram ID, а также процессов обратной разработки, таких как process hacker, netstat, tcpview и regmon. Затем он сравнивает IP-адрес системы с IP-адресами, связанными со средами песочницы, такими как VirusTotal и AnyRun. Он также крадет данные из Filezilla (sitemanager.xml и recentservers.xml), делает скриншоты рабочего стола и использует команду "netsh wlan show profile" через cmd.exe для получения информации о сохраненных модулях wifi и паролях. Кроме того, Hookspoofer собирает данные веб-браузеров и мессенджеров, таких как Telegram и Skype, ищет криптовалютные кошельки, захватывает файлы и делает скриншоты веб-камеры. Наконец, он собирает системную информацию, имеет кейлоггер/клиппер и отправляет все эти данные боту Telegram.

HookSpoofer - новый Infostealer с функциями keylogging и clipper, обнаруженный группой исследования угроз компании Uptycs. Он распространяется с помощью нескольких бандлеров, написан на языке C# и основан на программе с открытым исходным кодом Stormkitty. Вредоносная программа проверяет API Telegram и ID Telegram на наличие жесткого кода, а также процессы обратного инжиниринга. Он также крадет данные из Filezilla, захватывает скриншоты рабочего стола, собирает данные веб-браузера и мессенджеров. Кроме того, Hookspoofer ищет криптовалютные кошельки, захватывает файлы, делает скриншоты веб-камеры, собирает системную информацию, имеет кейлоггер/клиппер и отправляет все собранные данные боту Telegram. Для защиты от подобных вредоносных действий пользователям следует постоянно обновлять свои системы, а предприятиям - проводить обучение своих сотрудников кибербезопасности и принимать меры по защите данных. Клиенты Uptycs EDR имеют доступ к мощным инструментам, которые помогут обнаружить и удалить Hookspoofer и подобные угрозы.

Thawing the permafrost of ICEDID

https://www.elastic.co/pdf/elastic-security-labs-thawing-the-permafrost-of-icedid.pdf

#ParsedReport
16-03-2023

Netskope Threat Coverage: BlackSnake Ransomware

https://www.netskope.com/blog/netskope-threat-coverage-blacksnake-ransomware

Threats:
Blacksnake
Blackcat
Lockbit
Chaos_ransomware
Sirattacker
Magnus
Helphack
Bettercallsaul
Teamviewer_tool

Industry:
Financial

Geo:
Turkey, Azerbaijan

IOCs:
File: 17
Command: 1
Hash: 2

Softs:
windows registry, defwatch, bcdedit

Algorithms:
aes

Win Services:
BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ccEvtMgr, have more...

Platforms:
x86, intel

YARA: Found

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/BlackSnake

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

BlackSnake - это группа ransomware-as-a-service (RaaS), которая впервые появилась на хакерском форуме в августе 2022 года. 28 февраля 2023 года был замечен новый вариант BlackSnake, отличающийся наличием модуля clipper, нацеленного на криптовалютных пользователей. Это дополнительная попытка напрямую украсть деньги жертвы, одновременно шифруя файлы и требуя выкуп. Операторы BlackSnake искали компаньонов на хакерском форуме, но, похоже, что на данный момент они нацелены только на домашних пользователей, учитывая, что у него нет веб-сайта для публикации украденных данных или контактного лица.

BlackSnake разработан в .NET и обфусцирует важные строки, используя простую технику вредоносного ПО .NET. Он завершает свой процесс, если жертва находится в Азербайджане или Турции. Он останавливает определенные службы в ОС и использует комбинацию шифрования с симметричным и асимметричным ключом. Зашифрованные файлы будут иметь расширение ".pay2unlock", а обои рабочего стола будут изменены. В записке о выкупе указан другой Bitcoin-адрес, чем тот, который используется модулем clipper. Общение между злоумышленниками и жертвами происходит исключительно посредством электронной почты.

Вполне вероятно, что BlackSnake все еще находится в стадии разработки или у него нет филиалов на данный момент, учитывая, что он, похоже, нацелен на домашних пользователей и не имеет надежной инфраструктуры, как другие семейства ransomware. Netskope Threat Protection Win32.Ransomware.Blacksnake и Gen.Malware.Detect.By.StHeur и Gen.Malware.Detect.By.Sandbox могут обеспечить проактивную защиту от этой угрозы.

В заключение следует отметить, что BlackSnake активен с августа 2022 года и недавно выпустил новый вариант, включающий модуль клиппера для кражи криптовалюты у жертв. Похоже, что он нацелен на домашних пользователей и не имеет веб-сайта для публикации украденных данных или точки контакта. Он разработан на .NET и обфусцирует важные строки, выходит из системы, если жертва находится в Азербайджане или Турции, и меняет обои рабочего стола. Защиту от этой угрозы могут обеспечить Netskope Threat Protection и Gen.Malware.Detect.By.StHeur и Gen.Malware.Detect.By.Sandbox.