#ParsedReport
16-03-2023

Bee-Ware of Trigona, An Emerging Ransomware Strain. Table of Contents

https://unit42.paloaltonetworks.com/trigona-ransomware-update

Actors/Campaigns:
Blackcat

Threats:
Trigona
Blackcat
Crylocker
Netscan_tool
Splashtop_tool
Mimikatz_tool
Upx_tool
Credential_dumping_technique
Wevtutil_tool
Screenconnect_tool
Logmein_tool
Teamviewer_tool
Gobruteforcer_botnet

Industry:
Foodtech, Financial

Geo:
Germany, Emea, Apac, Australia, France, Italy, America, Japan, Japanese, Russian

TTPs:
Tactics: 8
Technics: 32

IOCs:
File: 14
Email: 3
IP: 4
Hash: 16
Domain: 1

Softs:
windows defender, hyper-v, local security authority, windows registry, windows docker

Algorithms:
aes

Languages:
javascript, golang, delphi

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Trigona ransomware - это новая форма вредоносного ПО, впервые обнаруженная в конце октября 2022 года. Она быстро стала активной, и по состоянию на декабрь 2022 года было скомпрометировано не менее 15 жертв. Предполагается, что она затронула множество организаций по всему миру в таких отраслях, как производство, финансы, строительство, сельское хозяйство, маркетинг и высокие технологии. Записки о выкупе уникальны тем, что они представлены в виде HTML-приложений со встроенным JavaScript, содержащих идентификаторы жертв и компьютеров.

После выполнения Trigona использует TDCP_rijndael (библиотека Delphi AES) для шифрования файлов, а также создает два ключа реестра в CurrentVersion\Run, чтобы обеспечить сохранение и открытие записки с выкупом. В записке о выкупе содержится контактный адрес электронной почты и таймер обратного отсчета, который может составлять от 30 дней до 300 дней. Подразделение 42 выявило совпадение тактики, методов и процедур (TTPs) между операторами CryLock ransomware и операторами Trigona, что позволяет предположить, что за оба штамма могут отвечать одни и те же субъекты угроз.

Компания Palo Alto Networks помогает обнаруживать и предотвращать угрозы Trigona ransomware с помощью Cortex XDR, Prisma Cloud и межсетевых экранов нового поколения (включая облачные подписки на безопасность, такие как WildFire). Cyber Threat Alliance (CTA) получил от Palo Alto Networks образцы файлов и индикаторы компрометации, что позволяет им быстро развертывать средства защиты для своих клиентов и пресекать деятельность злоумышленников.

#ParsedReport
16-03-2023

Distributing Nevada Ransomware in Korea

https://asec.ahnlab.com/ko/49080

Actors/Campaigns:
Nevada

Threats:
Nevada_ransomware
Vssadmin_tool
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785

Industry:
Financial

Geo:
Korea

TTPs:

IOCs:
File: 1
Path: 1
IP: 1
Registry: 3
Hash: 1

Softs:
windows defender, bcdedit

Functions:
Control

Win API:
DeviceIoControl

Languages:
rust

Platforms:
x86

Links:
https://github.com/gtworek/PSBits/blob/master/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE.c

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил распространение Nevada ransomware - вредоносной программы, написанной с использованием Rust. При заражении она добавляет к файлу расширение .NEVADA и оставляет записку с требованием выкупа, содержащую ссылку на браузер Tor для оплаты. Ransomware поддерживает командные опции для указания подробных методов выполнения, таких как шифрование всех дисков, файлов и каталогов, самоудаление и работа в безопасном режиме. Она также имеет функции удаления теневой копии тома (VSS) и доступа к драйверам устройств через прямые вызовы Device IO Control для изменения размера хранилища VSS. Кроме того, она включает в себя процедуру проверки имен файлов и папок для исключения из целей шифрования и определяет некоторые страны Содружества Независимых Государств как исключение.

Распространение программ-выкупов представляет собой серьезную угрозу для предприятий и частных лиц, поэтому важно принять меры предосторожности, чтобы защитить себя. Будьте осторожны при запуске файлов из неизвестных источников, проверяйте подозрительные файлы с помощью антивируса и следите за обновлением определений вирусов. Регулярное создание резервных копий и их отключение от сети также поможет восстановить данные в случае атаки. Кроме того, регулярное исправление систем и обеспечение доступа пользователей с наименьшими привилегиями может помочь предотвратить успешные атаки.

#ParsedReport
16-03-2023

Ransomware Roundup HardBit 2.0

https://www.fortinet.com/blog/threat-research/fortiguard-labs-ransomware-roundup

Threats:
Hardbit

Industry:
Financial

IOCs:
File: 3
Hash: 4

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

HardBit 2.0 - это опасный вариант ransomware, набирающий обороты в последние месяцы. Вредоносная программа использует двойную технику вымогательства, шифруя файлы и угрожая раскрыть конфиденциальную информацию, если не будет выплачен выкуп. После выполнения программы она завершает процессы и службы, чтобы замедлить возможное обнаружение, а затем переименовывает зашифрованные файлы в случайное имя файла с последующим указанием контактной электронной почты и ID.

В записке о выкупе содержится объяснение произошедшего, гарантия восстановления и адрес электронной почты, по которому жертвы могут связаться со злоумышленником. В записке о выкупе не указана цена, поэтому жертвы должны связаться со злоумышленником, чтобы договориться об оплате. Злоумышленник может предложить предоставить данные о страховом полисе, чтобы убедиться, что сумма платежа не превысит порогового значения. Связь с хостерами осуществляется через Tox ID, и выкуп будет удвоен, если контакт не будет установлен в течение 48 часов.

В целом, HardBit 2.0 представляет собой серьезную угрозу, к которой следует отнестись со всей серьезностью. Важно сохранять бдительность и принимать необходимые меры предосторожности для защиты своих данных. Клиенты Fortinet имеют доступ к мощным решениям, которые помогут им защититься от этого варианта ransomware. Приняв необходимые меры безопасности, вы можете быть уверены, что ваши данные останутся в безопасности от HardBit 2.0 и других угроз вымогательства.

#ParsedReport
16-03-2023

HookSpoofer: The Modified Open Source Stealer Bundlers Making the Rounds. Figure 31: Uptycs EDR detection

https://www.uptycs.com/blog/threat-research-hookspoofer

Threats:
Hookspoofer
Stormkitty_stealer
Confuser
Confuserex_tool
Process_hacker_tool
Netstat_tool

Industry:
Entertainment

IOCs:
Hash: 4
File: 8
Url: 2
Command: 1

Softs:
telegram, virtualbox, opera, (telegram, discord, pidgin

Algorithms:
zip, aes, base64

Win API:
CheckRemoteDebuggerPresent

YARA: Found

Links:
https://github.com/LimerBoy/StormKitty

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда исследователей угроз компании Uptycs обнаружила новый тип вредоносного ПО HookSpoofer, которое распространяется с помощью бандлеров и обладает возможностями кейлоггинга и клиппера. Угонщик, написанный на C#, основан на программе с открытым исходным кодом под названием Stormkitty и активно рекламируется на различных киберпреступных форумах.

Поток инфекции Hookspoofer начинается с пакета под названием spotify proxyless checker 2022.rar, который содержит 17 файлов и основной исполняемый файл: spotify checker.exe. Затем этот файл расшифровывается и распаковывается, чтобы обнаружить скомпилированный модуль .NET под названием koi. Затем он проверяет наличие жестко закодированных Telegram API и Telegram ID, а также процессов обратной разработки, таких как process hacker, netstat, tcpview и regmon. Затем он сравнивает IP-адрес системы с IP-адресами, связанными со средами песочницы, такими как VirusTotal и AnyRun. Он также крадет данные из Filezilla (sitemanager.xml и recentservers.xml), делает скриншоты рабочего стола и использует команду "netsh wlan show profile" через cmd.exe для получения информации о сохраненных модулях wifi и паролях. Кроме того, Hookspoofer собирает данные веб-браузеров и мессенджеров, таких как Telegram и Skype, ищет криптовалютные кошельки, захватывает файлы и делает скриншоты веб-камеры. Наконец, он собирает системную информацию, имеет кейлоггер/клиппер и отправляет все эти данные боту Telegram.

HookSpoofer - новый Infostealer с функциями keylogging и clipper, обнаруженный группой исследования угроз компании Uptycs. Он распространяется с помощью нескольких бандлеров, написан на языке C# и основан на программе с открытым исходным кодом Stormkitty. Вредоносная программа проверяет API Telegram и ID Telegram на наличие жесткого кода, а также процессы обратного инжиниринга. Он также крадет данные из Filezilla, захватывает скриншоты рабочего стола, собирает данные веб-браузера и мессенджеров. Кроме того, Hookspoofer ищет криптовалютные кошельки, захватывает файлы, делает скриншоты веб-камеры, собирает системную информацию, имеет кейлоггер/клиппер и отправляет все собранные данные боту Telegram. Для защиты от подобных вредоносных действий пользователям следует постоянно обновлять свои системы, а предприятиям - проводить обучение своих сотрудников кибербезопасности и принимать меры по защите данных. Клиенты Uptycs EDR имеют доступ к мощным инструментам, которые помогут обнаружить и удалить Hookspoofer и подобные угрозы.

Thawing the permafrost of ICEDID

https://www.elastic.co/pdf/elastic-security-labs-thawing-the-permafrost-of-icedid.pdf

#ParsedReport
16-03-2023

Netskope Threat Coverage: BlackSnake Ransomware

https://www.netskope.com/blog/netskope-threat-coverage-blacksnake-ransomware

Threats:
Blacksnake
Blackcat
Lockbit
Chaos_ransomware
Sirattacker
Magnus
Helphack
Bettercallsaul
Teamviewer_tool

Industry:
Financial

Geo:
Turkey, Azerbaijan

IOCs:
File: 17
Command: 1
Hash: 2

Softs:
windows registry, defwatch, bcdedit

Algorithms:
aes

Win Services:
BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ccEvtMgr, have more...

Platforms:
x86, intel

YARA: Found

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/BlackSnake

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

BlackSnake - это группа ransomware-as-a-service (RaaS), которая впервые появилась на хакерском форуме в августе 2022 года. 28 февраля 2023 года был замечен новый вариант BlackSnake, отличающийся наличием модуля clipper, нацеленного на криптовалютных пользователей. Это дополнительная попытка напрямую украсть деньги жертвы, одновременно шифруя файлы и требуя выкуп. Операторы BlackSnake искали компаньонов на хакерском форуме, но, похоже, что на данный момент они нацелены только на домашних пользователей, учитывая, что у него нет веб-сайта для публикации украденных данных или контактного лица.

BlackSnake разработан в .NET и обфусцирует важные строки, используя простую технику вредоносного ПО .NET. Он завершает свой процесс, если жертва находится в Азербайджане или Турции. Он останавливает определенные службы в ОС и использует комбинацию шифрования с симметричным и асимметричным ключом. Зашифрованные файлы будут иметь расширение ".pay2unlock", а обои рабочего стола будут изменены. В записке о выкупе указан другой Bitcoin-адрес, чем тот, который используется модулем clipper. Общение между злоумышленниками и жертвами происходит исключительно посредством электронной почты.

Вполне вероятно, что BlackSnake все еще находится в стадии разработки или у него нет филиалов на данный момент, учитывая, что он, похоже, нацелен на домашних пользователей и не имеет надежной инфраструктуры, как другие семейства ransomware. Netskope Threat Protection Win32.Ransomware.Blacksnake и Gen.Malware.Detect.By.StHeur и Gen.Malware.Detect.By.Sandbox могут обеспечить проактивную защиту от этой угрозы.

В заключение следует отметить, что BlackSnake активен с августа 2022 года и недавно выпустил новый вариант, включающий модуль клиппера для кражи криптовалюты у жертв. Похоже, что он нацелен на домашних пользователей и не имеет веб-сайта для публикации украденных данных или точки контакта. Он разработан на .NET и обфусцирует важные строки, выходит из системы, если жертва находится в Азербайджане или Турции, и меняет обои рабочего стола. Защиту от этой угрозы могут обеспечить Netskope Threat Protection и Gen.Malware.Detect.By.StHeur и Gen.Malware.Detect.By.Sandbox.

#ParsedReport
17-03-2023

Stealing the LIGHTSHOW (Part Two) LIGHTSHIFT and LIGHTSHOW

https://www.mandiant.com/resources/blog/lightshift-and-lightshow

Actors/Campaigns:
Unc2970 (motivation: cyber_espionage)
0ktapus (motivation: cyber_espionage)
Lazarus

Threats:
Lightshow_tool
Lightshift
Byovd_technique
Vmprotect_tool

Industry:
Financial

Geo:
Korea

CVEs:
CVE-2022-42455 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- asus armoury crate (<5.3.4.1)


IOCs:
Path: 4
Hash: 7
File: 2

Algorithms:
xor

Win API:
NtLoadDriver

Links:
https://github.com/mandiant/Vulnerability-Disclosures
https://github.com/hfiref0x/KDU
https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2023/MNDT-2023-0003.md

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

BYOVD, или Bring Your Own Vulnerable Device, - это тактика, используемая северокорейской группой угроз UNC2970 для дальнейшей реализации своих операций. По наблюдениям Mandiant, UNC2970 использовала множество методов обфускации на протяжении всей цепочки доставки и исполнения. Одним из таких методов было использование уязвимых драйверов, таких как Dell DBUtil 2.3 и драйверы устройств ENE Technology, для обхода обнаружения. Компания Mandiant также обнаружила драйвер, к которому агент имел доступ, но не знал о его уязвимости, что, по сути, делало его 0-day в дикой природе.

Компания Mandiant считает, что этот TTP (Tactics, Techniques, and Procedures) будет продолжать использоваться другими субъектами угроз из-за его эффективности в обходе и смягчении решений по обнаружению и реагированию на конечные точки (EDR). Кроме того, нападение UNC2970 на исследователей в области безопасности дает им возможность расширить свой инструментарий и получить преимущество над другими субъектами, использующими BYOVD.

В заключение следует отметить, что BYOVD является мощным и эффективным инструментом для субъектов угроз, и вполне вероятно, что все больше субъектов начнут применять эту тактику. Однако организации могут предпринять шаги, чтобы защитить себя от этих угроз и обеспечить безопасность своих данных. Внедряя решение EDR, отслеживая активность пользователей и применяя передовые методы обеспечения безопасности, организации могут значительно снизить риск стать жертвой атаки BYOVD.

#ParsedReport
17-03-2023

ASEC Weekly Phishing Email Threat Trend (20230305 \~ 20230311)

https://asec.ahnlab.com/ko/49669

Threats:
Variantcrypter
Alerta

Industry:
Financial, Transport, Logistic

Geo:
Korean

TTPs:

IOCs:
File: 66
Url: 20

Algorithms:
zip

#ParsedReport
17-03-2023

CVE-2023-23397: Exploitations in the Wild What You Need to Know

https://www.deepinstinct.com/blog/cve-2023-23397-exploitations-in-the-wild-what-you-need-to-know

Industry:
Energy, Government, Transport

Geo:
Russia, Ukraine, Iran, Iranian, Poland, Jordan, Iranians, Turkey, Russian, Romania, Polish

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix


IOCs:
File: 1
Hash: 1
IP: 7

Softs:
microsoft outlook

#ParsedReport
16-03-2023

MoqHao Part 3: Recent Global Targeting Trends

https://www.team-cymru.com/post/moqhao-part-3-recent-global-targeting-trends

Actors/Campaigns:
Roaming_mantis (motivation: financially_motivated)

Threats:
Moqhao
Formbook
Mantis_botnet
Beacon

Industry:
Education

Geo:
India, Japan, Brazil, Australia, Austria, Malaysia, Nepal, Oceania, Suriname, Taiwan, Thailand, Portugal, Czech, Germany, Asia, Korea, Asian, Turkey, Canada, Belgium, America, Africa, France

IOCs:
Hash: 3
IP: 32

Softs:
android

Platforms:
arm

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа вредоносных программ Roaming Mantis активно действует с 2018 года, нацеливаясь на страны Восточной Азии, а в последнее время распространяясь и на западные страны. За последний год MoqHao (также называемый Wroba и XLoader), семейство вредоносных программ, обычно связанное с Roaming Mantis, продолжило расширять сферу своей деятельности, в основном нацеливаясь на мобильных пользователей через smishing или фишинговые SMS-сообщения.

Анализ образцов вредоносного ПО, данных сетевой телеметрии и поворотных точек в контекстных наборах данных позволил выявить 14 C2-серверов MoqHao, с которых с конца 2022 года было зафиксировано около 1,5 миллиона коммуникаций с жертвами. Жертвы находились на всех континентах, причем наиболее пострадавшими регионами оказались Африка, Азия и Европа.

MoqHao доставляется и устанавливается на устройство жертвы, используя одноразовую инфраструктуру хранения и легитимные платформы, такие как Baidu, Imgur, Pinterest и ВКонтакте. Данные сетевой телеметрии, связанные с этими фазами заражения, могут быть осложнены наличием исследований безопасности, сканирования и доброкачественной активности пользователей.

Приблизительно 80% соединений были из региона Восточной Азии, что свидетельствует о традиционной операционной базе Roaming Mantis. Однако, если убрать соединения из этого региона, пользователи из Африки, других регионов Азии и, в частности, Европы все чаще появляются среди жертв связи с инфраструктурой MoqHao.

Очевидно, что smishing является жизнеспособным вектором первоначального доступа для доставки вредоносного ПО, а поскольку Roaming Mantis продолжает развивать свои методы доставки по всему миру, угроза для пользователей, вероятно, будет расти в ближайшие месяцы и годы. Для защиты от угроз, исходящих от Roaming Mantis, пользователи должны быть осведомлены о безопасности мобильных устройств и smishing, а также заранее блокировать соединения с любым из перечисленных серверов MoqHao C2.

#ParsedReport
17-03-2023

Malware Distributed Disguised as a Password File

https://asec.ahnlab.com/en/49760

Actors/Campaigns:
Apt37
Kimsuky

Threats:
Dropper/lnk.agent

Geo:
Korean

IOCs:
File: 9
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 7
Hash: 3

#ParsedReport
17-03-2023

Hydrochasma: A previously unknown group targets Asian medical labs and shipping companies

https://symantec-enterprise-blogs.security.com/feature-stories/hydrochasma

Actors/Campaigns:
Hydrochasma
Unc3524

Threats:
Meterpreter_tool
Metasploit_tool
Cobalt_strike
Beacon
Fscan_tool
Procdump_tool
Browserghost_tool

Industry:
Healthcare, Government, Transport

Geo:
Asian, Japanese

IOCs:
File: 2
Hash: 52
IP: 4
Domain: 3
Url: 14

Softs:
microsoft edge, sysinternals, task scheduler

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С октября 2022 года неизвестный актер, известный как Hydrochasma, проводил кампании, направленные на азиатские судоходные линии и медицинские лаборатории. Предполагаемой целью этой атаки был сбор конфиденциальной информации об отраслях, которые могут быть вовлечены в производство лечения и вакцин, связанных с COVID-19. В качестве вектора заражения злоумышленник использовал общедоступные и паразитные инструменты, такие как FRP, Gogo Scan Tool, Process Dump Tool, Cobalt Strike Beacon, AlliN Scan Tool, Fscan, Dogz Proxy Tool, SoftEtherVPN, Procdump, BrowserGhost, Ghost Proxy, Ntlmrelay, Task Scheduler, Go-strip, HackBrowserData. Подразделение компании Broadcom Software Symantec отслеживает ситуацию, но не подтвердило факт утечки данных в результате этой кампании.

Отсутствие собственного вредоносного ПО предполагает, что злоумышленники были больше заинтересованы в сборе информации, чем в нанесении ущерба. Их тактика направлена на то, чтобы оставаться незамеченными как можно дольше. Пока что им это удается, поскольку личность группы остается неизвестной. Однако продукты Symantec Endpoint могут обнаружить вредоносные индикаторы компрометации (IOC), если файл доступен.

Атака Hydrochasma подчеркивает необходимость для организаций сохранять бдительность в отношении кибербезопасности. Компаниям важно быть в курсе последних угроз и технологий, а также убедиться в том, что они располагают необходимыми решениями для защиты своих сетей. Компании также должны знать о потенциальных последствиях передачи конфиденциальных данных третьим лицам. Принимая эти меры, организации могут снизить риск стать жертвой подобных атак.

#ParsedReport
17-03-2023

eSentire Threat Intelligence Malware Analysis: Raspberry Robin

https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raspberry-robin

Actors/Campaigns:
Evil_corp (motivation: cyber_criminal)

Threats:
Raspberry_robin
Socgholish_loader
Hook
Qnapworm
Doppelpaymer
Lockbit
Wastedlocker
Dridex

Industry:
Telco

Geo:
Africa, America, Apac, Deutsche, Russian, Emea

TTPs:
Tactics: 3
Technics: 3

IOCs:
File: 11
Path: 3
Hash: 3
Url: 6
IP: 1

Softs:
microsoft defender

Algorithms:
rc4, xor

Functions:
LdrLoadDll

Win API:
VirtualAlloc, LoadLibraryA, GetProcAddress, VirtualProtect

Languages:
javascript

Platforms:
intel