#ParsedReport
16-03-2023
Netskope Threat Coverage: BlackSnake Ransomware
https://www.netskope.com/blog/netskope-threat-coverage-blacksnake-ransomware
Threats:
Blacksnake
Blackcat
Lockbit
Chaos_ransomware
Sirattacker
Magnus
Helphack
Bettercallsaul
Teamviewer_tool
Industry:
Financial
Geo:
Turkey, Azerbaijan
IOCs:
File: 17
Command: 1
Hash: 2
Softs:
windows registry, defwatch, bcdedit
Algorithms:
aes
Win Services:
BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ccEvtMgr, have more...
Platforms:
x86, intel
YARA: Found
Links:
16-03-2023
Netskope Threat Coverage: BlackSnake Ransomware
https://www.netskope.com/blog/netskope-threat-coverage-blacksnake-ransomware
Threats:
Blacksnake
Blackcat
Lockbit
Chaos_ransomware
Sirattacker
Magnus
Helphack
Bettercallsaul
Teamviewer_tool
Industry:
Financial
Geo:
Turkey, Azerbaijan
IOCs:
File: 17
Command: 1
Hash: 2
Softs:
windows registry, defwatch, bcdedit
Algorithms:
aes
Win Services:
BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ccEvtMgr, have more...
Platforms:
x86, intel
YARA: Found
Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/BlackSnakeNetskope
Netskope Threat Coverage: BlackSnake Ransomware
Summary BlackSnake is a ransomware-as-a-service (RaaS) group that first appeared in a hacking forum in August 2022, where the operators were seeking
CTT Report Hub
#ParsedReport 16-03-2023 Netskope Threat Coverage: BlackSnake Ransomware https://www.netskope.com/blog/netskope-threat-coverage-blacksnake-ransomware Threats: Blacksnake Blackcat Lockbit Chaos_ransomware Sirattacker Magnus Helphack Bettercallsaul Teamviewer_tool…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
BlackSnake - это группа ransomware-as-a-service (RaaS), которая впервые появилась на хакерском форуме в августе 2022 года. 28 февраля 2023 года был замечен новый вариант BlackSnake, отличающийся наличием модуля clipper, нацеленного на криптовалютных пользователей. Это дополнительная попытка напрямую украсть деньги жертвы, одновременно шифруя файлы и требуя выкуп. Операторы BlackSnake искали компаньонов на хакерском форуме, но, похоже, что на данный момент они нацелены только на домашних пользователей, учитывая, что у него нет веб-сайта для публикации украденных данных или контактного лица.
BlackSnake разработан в .NET и обфусцирует важные строки, используя простую технику вредоносного ПО .NET. Он завершает свой процесс, если жертва находится в Азербайджане или Турции. Он останавливает определенные службы в ОС и использует комбинацию шифрования с симметричным и асимметричным ключом. Зашифрованные файлы будут иметь расширение ".pay2unlock", а обои рабочего стола будут изменены. В записке о выкупе указан другой Bitcoin-адрес, чем тот, который используется модулем clipper. Общение между злоумышленниками и жертвами происходит исключительно посредством электронной почты.
Вполне вероятно, что BlackSnake все еще находится в стадии разработки или у него нет филиалов на данный момент, учитывая, что он, похоже, нацелен на домашних пользователей и не имеет надежной инфраструктуры, как другие семейства ransomware. Netskope Threat Protection Win32.Ransomware.Blacksnake и Gen.Malware.Detect.By.StHeur и Gen.Malware.Detect.By.Sandbox могут обеспечить проактивную защиту от этой угрозы.
В заключение следует отметить, что BlackSnake активен с августа 2022 года и недавно выпустил новый вариант, включающий модуль клиппера для кражи криптовалюты у жертв. Похоже, что он нацелен на домашних пользователей и не имеет веб-сайта для публикации украденных данных или точки контакта. Он разработан на .NET и обфусцирует важные строки, выходит из системы, если жертва находится в Азербайджане или Турции, и меняет обои рабочего стола. Защиту от этой угрозы могут обеспечить Netskope Threat Protection и Gen.Malware.Detect.By.StHeur и Gen.Malware.Detect.By.Sandbox.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
BlackSnake - это группа ransomware-as-a-service (RaaS), которая впервые появилась на хакерском форуме в августе 2022 года. 28 февраля 2023 года был замечен новый вариант BlackSnake, отличающийся наличием модуля clipper, нацеленного на криптовалютных пользователей. Это дополнительная попытка напрямую украсть деньги жертвы, одновременно шифруя файлы и требуя выкуп. Операторы BlackSnake искали компаньонов на хакерском форуме, но, похоже, что на данный момент они нацелены только на домашних пользователей, учитывая, что у него нет веб-сайта для публикации украденных данных или контактного лица.
BlackSnake разработан в .NET и обфусцирует важные строки, используя простую технику вредоносного ПО .NET. Он завершает свой процесс, если жертва находится в Азербайджане или Турции. Он останавливает определенные службы в ОС и использует комбинацию шифрования с симметричным и асимметричным ключом. Зашифрованные файлы будут иметь расширение ".pay2unlock", а обои рабочего стола будут изменены. В записке о выкупе указан другой Bitcoin-адрес, чем тот, который используется модулем clipper. Общение между злоумышленниками и жертвами происходит исключительно посредством электронной почты.
Вполне вероятно, что BlackSnake все еще находится в стадии разработки или у него нет филиалов на данный момент, учитывая, что он, похоже, нацелен на домашних пользователей и не имеет надежной инфраструктуры, как другие семейства ransomware. Netskope Threat Protection Win32.Ransomware.Blacksnake и Gen.Malware.Detect.By.StHeur и Gen.Malware.Detect.By.Sandbox могут обеспечить проактивную защиту от этой угрозы.
В заключение следует отметить, что BlackSnake активен с августа 2022 года и недавно выпустил новый вариант, включающий модуль клиппера для кражи криптовалюты у жертв. Похоже, что он нацелен на домашних пользователей и не имеет веб-сайта для публикации украденных данных или точки контакта. Он разработан на .NET и обфусцирует важные строки, выходит из системы, если жертва находится в Азербайджане или Турции, и меняет обои рабочего стола. Защиту от этой угрозы могут обеспечить Netskope Threat Protection и Gen.Malware.Detect.By.StHeur и Gen.Malware.Detect.By.Sandbox.
#ParsedReport
17-03-2023
Stealing the LIGHTSHOW (Part Two) LIGHTSHIFT and LIGHTSHOW
https://www.mandiant.com/resources/blog/lightshift-and-lightshow
Actors/Campaigns:
Unc2970 (motivation: cyber_espionage)
0ktapus (motivation: cyber_espionage)
Lazarus
Threats:
Lightshow_tool
Lightshift
Byovd_technique
Vmprotect_tool
Industry:
Financial
Geo:
Korea
CVEs:
CVE-2022-42455 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- asus armoury crate (<5.3.4.1)
IOCs:
Path: 4
Hash: 7
File: 2
Algorithms:
xor
Win API:
NtLoadDriver
Links:
17-03-2023
Stealing the LIGHTSHOW (Part Two) LIGHTSHIFT and LIGHTSHOW
https://www.mandiant.com/resources/blog/lightshift-and-lightshow
Actors/Campaigns:
Unc2970 (motivation: cyber_espionage)
0ktapus (motivation: cyber_espionage)
Lazarus
Threats:
Lightshow_tool
Lightshift
Byovd_technique
Vmprotect_tool
Industry:
Financial
Geo:
Korea
CVEs:
CVE-2022-42455 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- asus armoury crate (<5.3.4.1)
IOCs:
Path: 4
Hash: 7
File: 2
Algorithms:
xor
Win API:
NtLoadDriver
Links:
https://github.com/mandiant/Vulnerability-Disclosures
https://github.com/hfiref0x/KDU
https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2023/MNDT-2023-0003.mdMandiant
Stealing the LIGHTSHOW (Part Two) — LIGHTSHIFT and LIGHTSHOW | Mandiant
CTT Report Hub
#ParsedReport 17-03-2023 Stealing the LIGHTSHOW (Part Two) LIGHTSHIFT and LIGHTSHOW https://www.mandiant.com/resources/blog/lightshift-and-lightshow Actors/Campaigns: Unc2970 (motivation: cyber_espionage) 0ktapus (motivation: cyber_espionage) Lazarus Threats:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
BYOVD, или Bring Your Own Vulnerable Device, - это тактика, используемая северокорейской группой угроз UNC2970 для дальнейшей реализации своих операций. По наблюдениям Mandiant, UNC2970 использовала множество методов обфускации на протяжении всей цепочки доставки и исполнения. Одним из таких методов было использование уязвимых драйверов, таких как Dell DBUtil 2.3 и драйверы устройств ENE Technology, для обхода обнаружения. Компания Mandiant также обнаружила драйвер, к которому агент имел доступ, но не знал о его уязвимости, что, по сути, делало его 0-day в дикой природе.
Компания Mandiant считает, что этот TTP (Tactics, Techniques, and Procedures) будет продолжать использоваться другими субъектами угроз из-за его эффективности в обходе и смягчении решений по обнаружению и реагированию на конечные точки (EDR). Кроме того, нападение UNC2970 на исследователей в области безопасности дает им возможность расширить свой инструментарий и получить преимущество над другими субъектами, использующими BYOVD.
В заключение следует отметить, что BYOVD является мощным и эффективным инструментом для субъектов угроз, и вполне вероятно, что все больше субъектов начнут применять эту тактику. Однако организации могут предпринять шаги, чтобы защитить себя от этих угроз и обеспечить безопасность своих данных. Внедряя решение EDR, отслеживая активность пользователей и применяя передовые методы обеспечения безопасности, организации могут значительно снизить риск стать жертвой атаки BYOVD.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
BYOVD, или Bring Your Own Vulnerable Device, - это тактика, используемая северокорейской группой угроз UNC2970 для дальнейшей реализации своих операций. По наблюдениям Mandiant, UNC2970 использовала множество методов обфускации на протяжении всей цепочки доставки и исполнения. Одним из таких методов было использование уязвимых драйверов, таких как Dell DBUtil 2.3 и драйверы устройств ENE Technology, для обхода обнаружения. Компания Mandiant также обнаружила драйвер, к которому агент имел доступ, но не знал о его уязвимости, что, по сути, делало его 0-day в дикой природе.
Компания Mandiant считает, что этот TTP (Tactics, Techniques, and Procedures) будет продолжать использоваться другими субъектами угроз из-за его эффективности в обходе и смягчении решений по обнаружению и реагированию на конечные точки (EDR). Кроме того, нападение UNC2970 на исследователей в области безопасности дает им возможность расширить свой инструментарий и получить преимущество над другими субъектами, использующими BYOVD.
В заключение следует отметить, что BYOVD является мощным и эффективным инструментом для субъектов угроз, и вполне вероятно, что все больше субъектов начнут применять эту тактику. Однако организации могут предпринять шаги, чтобы защитить себя от этих угроз и обеспечить безопасность своих данных. Внедряя решение EDR, отслеживая активность пользователей и применяя передовые методы обеспечения безопасности, организации могут значительно снизить риск стать жертвой атаки BYOVD.
#ParsedReport
17-03-2023
ASEC Weekly Phishing Email Threat Trend (20230305 \~ 20230311)
https://asec.ahnlab.com/ko/49669
Threats:
Variantcrypter
Alerta
Industry:
Financial, Transport, Logistic
Geo:
Korean
TTPs:
IOCs:
File: 66
Url: 20
Algorithms:
zip
17-03-2023
ASEC Weekly Phishing Email Threat Trend (20230305 \~ 20230311)
https://asec.ahnlab.com/ko/49669
Threats:
Variantcrypter
Alerta
Industry:
Financial, Transport, Logistic
Geo:
Korean
TTPs:
IOCs:
File: 66
Url: 20
Algorithms:
zip
ASEC BLOG
ASEC 주간 피싱 이메일 위협 트렌드 (20230305 ~ 20230311) - ASEC BLOG
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 03월 05일부터 03월 11일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써…
#ParsedReport
17-03-2023
CVE-2023-23397: Exploitations in the Wild What You Need to Know
https://www.deepinstinct.com/blog/cve-2023-23397-exploitations-in-the-wild-what-you-need-to-know
Industry:
Energy, Government, Transport
Geo:
Russia, Ukraine, Iran, Iranian, Poland, Jordan, Iranians, Turkey, Russian, Romania, Polish
CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
IOCs:
File: 1
Hash: 1
IP: 7
Softs:
microsoft outlook
17-03-2023
CVE-2023-23397: Exploitations in the Wild What You Need to Know
https://www.deepinstinct.com/blog/cve-2023-23397-exploitations-in-the-wild-what-you-need-to-know
Industry:
Energy, Government, Transport
Geo:
Russia, Ukraine, Iran, Iranian, Poland, Jordan, Iranians, Turkey, Russian, Romania, Polish
CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
IOCs:
File: 1
Hash: 1
IP: 7
Softs:
microsoft outlook
Deep Instinct
CVE-2023-23397: Exploitations in the Wild – What You Need to Know | Deep Instinct
On March 14, 2023, Microsoft released a security fix for an elevation-of-privilege vulnerability (CVE-2023-23397) in Microsoft Outlook. A specially crafted email can trigger the vulnerability automatically when it is retrieved and processed by the Outlook…
#ParsedReport
16-03-2023
MoqHao Part 3: Recent Global Targeting Trends
https://www.team-cymru.com/post/moqhao-part-3-recent-global-targeting-trends
Actors/Campaigns:
Roaming_mantis (motivation: financially_motivated)
Threats:
Moqhao
Formbook
Mantis_botnet
Beacon
Industry:
Education
Geo:
India, Japan, Brazil, Australia, Austria, Malaysia, Nepal, Oceania, Suriname, Taiwan, Thailand, Portugal, Czech, Germany, Asia, Korea, Asian, Turkey, Canada, Belgium, America, Africa, France
IOCs:
Hash: 3
IP: 32
Softs:
android
Platforms:
arm
16-03-2023
MoqHao Part 3: Recent Global Targeting Trends
https://www.team-cymru.com/post/moqhao-part-3-recent-global-targeting-trends
Actors/Campaigns:
Roaming_mantis (motivation: financially_motivated)
Threats:
Moqhao
Formbook
Mantis_botnet
Beacon
Industry:
Education
Geo:
India, Japan, Brazil, Australia, Austria, Malaysia, Nepal, Oceania, Suriname, Taiwan, Thailand, Portugal, Czech, Germany, Asia, Korea, Asian, Turkey, Canada, Belgium, America, Africa, France
IOCs:
Hash: 3
IP: 32
Softs:
android
Platforms:
arm
Team-Cymru
Team Cymru Explores MoqHao Part 3: Global Targeting Trends
Protect yourself from MoqHao and Roaming Mantis with insights from Team Cymru's ongoing analysis series on this dangerous malware family.
CTT Report Hub
#ParsedReport 16-03-2023 MoqHao Part 3: Recent Global Targeting Trends https://www.team-cymru.com/post/moqhao-part-3-recent-global-targeting-trends Actors/Campaigns: Roaming_mantis (motivation: financially_motivated) Threats: Moqhao Formbook Mantis_botnet…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Группа вредоносных программ Roaming Mantis активно действует с 2018 года, нацеливаясь на страны Восточной Азии, а в последнее время распространяясь и на западные страны. За последний год MoqHao (также называемый Wroba и XLoader), семейство вредоносных программ, обычно связанное с Roaming Mantis, продолжило расширять сферу своей деятельности, в основном нацеливаясь на мобильных пользователей через smishing или фишинговые SMS-сообщения.
Анализ образцов вредоносного ПО, данных сетевой телеметрии и поворотных точек в контекстных наборах данных позволил выявить 14 C2-серверов MoqHao, с которых с конца 2022 года было зафиксировано около 1,5 миллиона коммуникаций с жертвами. Жертвы находились на всех континентах, причем наиболее пострадавшими регионами оказались Африка, Азия и Европа.
MoqHao доставляется и устанавливается на устройство жертвы, используя одноразовую инфраструктуру хранения и легитимные платформы, такие как Baidu, Imgur, Pinterest и ВКонтакте. Данные сетевой телеметрии, связанные с этими фазами заражения, могут быть осложнены наличием исследований безопасности, сканирования и доброкачественной активности пользователей.
Приблизительно 80% соединений были из региона Восточной Азии, что свидетельствует о традиционной операционной базе Roaming Mantis. Однако, если убрать соединения из этого региона, пользователи из Африки, других регионов Азии и, в частности, Европы все чаще появляются среди жертв связи с инфраструктурой MoqHao.
Очевидно, что smishing является жизнеспособным вектором первоначального доступа для доставки вредоносного ПО, а поскольку Roaming Mantis продолжает развивать свои методы доставки по всему миру, угроза для пользователей, вероятно, будет расти в ближайшие месяцы и годы. Для защиты от угроз, исходящих от Roaming Mantis, пользователи должны быть осведомлены о безопасности мобильных устройств и smishing, а также заранее блокировать соединения с любым из перечисленных серверов MoqHao C2.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Группа вредоносных программ Roaming Mantis активно действует с 2018 года, нацеливаясь на страны Восточной Азии, а в последнее время распространяясь и на западные страны. За последний год MoqHao (также называемый Wroba и XLoader), семейство вредоносных программ, обычно связанное с Roaming Mantis, продолжило расширять сферу своей деятельности, в основном нацеливаясь на мобильных пользователей через smishing или фишинговые SMS-сообщения.
Анализ образцов вредоносного ПО, данных сетевой телеметрии и поворотных точек в контекстных наборах данных позволил выявить 14 C2-серверов MoqHao, с которых с конца 2022 года было зафиксировано около 1,5 миллиона коммуникаций с жертвами. Жертвы находились на всех континентах, причем наиболее пострадавшими регионами оказались Африка, Азия и Европа.
MoqHao доставляется и устанавливается на устройство жертвы, используя одноразовую инфраструктуру хранения и легитимные платформы, такие как Baidu, Imgur, Pinterest и ВКонтакте. Данные сетевой телеметрии, связанные с этими фазами заражения, могут быть осложнены наличием исследований безопасности, сканирования и доброкачественной активности пользователей.
Приблизительно 80% соединений были из региона Восточной Азии, что свидетельствует о традиционной операционной базе Roaming Mantis. Однако, если убрать соединения из этого региона, пользователи из Африки, других регионов Азии и, в частности, Европы все чаще появляются среди жертв связи с инфраструктурой MoqHao.
Очевидно, что smishing является жизнеспособным вектором первоначального доступа для доставки вредоносного ПО, а поскольку Roaming Mantis продолжает развивать свои методы доставки по всему миру, угроза для пользователей, вероятно, будет расти в ближайшие месяцы и годы. Для защиты от угроз, исходящих от Roaming Mantis, пользователи должны быть осведомлены о безопасности мобильных устройств и smishing, а также заранее блокировать соединения с любым из перечисленных серверов MoqHao C2.
#ParsedReport
17-03-2023
Malware Distributed Disguised as a Password File
https://asec.ahnlab.com/en/49760
Actors/Campaigns:
Apt37
Kimsuky
Threats:
Dropper/lnk.agent
Geo:
Korean
IOCs:
File: 9
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 7
Hash: 3
17-03-2023
Malware Distributed Disguised as a Password File
https://asec.ahnlab.com/en/49760
Actors/Campaigns:
Apt37
Kimsuky
Threats:
Dropper/lnk.agent
Geo:
Korean
IOCs:
File: 9
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 7
Hash: 3
ASEC BLOG
Malware Distributed Disguised as a Password File - ASEC BLOG
AhnLab Security Emergency response Center (ASEC) discovered a malware strain disguised as a password file and being distributed alongside a normal file within a compressed file last month. It is difficult for users to notice that this file is malicious because…
#ParsedReport
17-03-2023
Hydrochasma: A previously unknown group targets Asian medical labs and shipping companies
https://symantec-enterprise-blogs.security.com/feature-stories/hydrochasma
Actors/Campaigns:
Hydrochasma
Unc3524
Threats:
Meterpreter_tool
Metasploit_tool
Cobalt_strike
Beacon
Fscan_tool
Procdump_tool
Browserghost_tool
Industry:
Healthcare, Government, Transport
Geo:
Asian, Japanese
IOCs:
File: 2
Hash: 52
IP: 4
Domain: 3
Url: 14
Softs:
microsoft edge, sysinternals, task scheduler
17-03-2023
Hydrochasma: A previously unknown group targets Asian medical labs and shipping companies
https://symantec-enterprise-blogs.security.com/feature-stories/hydrochasma
Actors/Campaigns:
Hydrochasma
Unc3524
Threats:
Meterpreter_tool
Metasploit_tool
Cobalt_strike
Beacon
Fscan_tool
Procdump_tool
Browserghost_tool
Industry:
Healthcare, Government, Transport
Geo:
Asian, Japanese
IOCs:
File: 2
Hash: 52
IP: 4
Domain: 3
Url: 14
Softs:
microsoft edge, sysinternals, task scheduler
Security
Hydrochasma: これまで知られていなかったグループがアジアの医療研究所や海運会社を標的に
攻撃キャンペーンで独自のマルウェアは使用されておらず、オープンソースツールのみを使用していると見られる。
CTT Report Hub
#ParsedReport 17-03-2023 Hydrochasma: A previously unknown group targets Asian medical labs and shipping companies https://symantec-enterprise-blogs.security.com/feature-stories/hydrochasma Actors/Campaigns: Hydrochasma Unc3524 Threats: Meterpreter_tool…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
С октября 2022 года неизвестный актер, известный как Hydrochasma, проводил кампании, направленные на азиатские судоходные линии и медицинские лаборатории. Предполагаемой целью этой атаки был сбор конфиденциальной информации об отраслях, которые могут быть вовлечены в производство лечения и вакцин, связанных с COVID-19. В качестве вектора заражения злоумышленник использовал общедоступные и паразитные инструменты, такие как FRP, Gogo Scan Tool, Process Dump Tool, Cobalt Strike Beacon, AlliN Scan Tool, Fscan, Dogz Proxy Tool, SoftEtherVPN, Procdump, BrowserGhost, Ghost Proxy, Ntlmrelay, Task Scheduler, Go-strip, HackBrowserData. Подразделение компании Broadcom Software Symantec отслеживает ситуацию, но не подтвердило факт утечки данных в результате этой кампании.
Отсутствие собственного вредоносного ПО предполагает, что злоумышленники были больше заинтересованы в сборе информации, чем в нанесении ущерба. Их тактика направлена на то, чтобы оставаться незамеченными как можно дольше. Пока что им это удается, поскольку личность группы остается неизвестной. Однако продукты Symantec Endpoint могут обнаружить вредоносные индикаторы компрометации (IOC), если файл доступен.
Атака Hydrochasma подчеркивает необходимость для организаций сохранять бдительность в отношении кибербезопасности. Компаниям важно быть в курсе последних угроз и технологий, а также убедиться в том, что они располагают необходимыми решениями для защиты своих сетей. Компании также должны знать о потенциальных последствиях передачи конфиденциальных данных третьим лицам. Принимая эти меры, организации могут снизить риск стать жертвой подобных атак.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
С октября 2022 года неизвестный актер, известный как Hydrochasma, проводил кампании, направленные на азиатские судоходные линии и медицинские лаборатории. Предполагаемой целью этой атаки был сбор конфиденциальной информации об отраслях, которые могут быть вовлечены в производство лечения и вакцин, связанных с COVID-19. В качестве вектора заражения злоумышленник использовал общедоступные и паразитные инструменты, такие как FRP, Gogo Scan Tool, Process Dump Tool, Cobalt Strike Beacon, AlliN Scan Tool, Fscan, Dogz Proxy Tool, SoftEtherVPN, Procdump, BrowserGhost, Ghost Proxy, Ntlmrelay, Task Scheduler, Go-strip, HackBrowserData. Подразделение компании Broadcom Software Symantec отслеживает ситуацию, но не подтвердило факт утечки данных в результате этой кампании.
Отсутствие собственного вредоносного ПО предполагает, что злоумышленники были больше заинтересованы в сборе информации, чем в нанесении ущерба. Их тактика направлена на то, чтобы оставаться незамеченными как можно дольше. Пока что им это удается, поскольку личность группы остается неизвестной. Однако продукты Symantec Endpoint могут обнаружить вредоносные индикаторы компрометации (IOC), если файл доступен.
Атака Hydrochasma подчеркивает необходимость для организаций сохранять бдительность в отношении кибербезопасности. Компаниям важно быть в курсе последних угроз и технологий, а также убедиться в том, что они располагают необходимыми решениями для защиты своих сетей. Компании также должны знать о потенциальных последствиях передачи конфиденциальных данных третьим лицам. Принимая эти меры, организации могут снизить риск стать жертвой подобных атак.
#ParsedReport
17-03-2023
eSentire Threat Intelligence Malware Analysis: Raspberry Robin
https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raspberry-robin
Actors/Campaigns:
Evil_corp (motivation: cyber_criminal)
Threats:
Raspberry_robin
Socgholish_loader
Hook
Qnapworm
Doppelpaymer
Lockbit
Wastedlocker
Dridex
Industry:
Telco
Geo:
Africa, America, Apac, Deutsche, Russian, Emea
TTPs:
Tactics: 3
Technics: 3
IOCs:
File: 11
Path: 3
Hash: 3
Url: 6
IP: 1
Softs:
microsoft defender
Algorithms:
rc4, xor
Functions:
LdrLoadDll
Win API:
VirtualAlloc, LoadLibraryA, GetProcAddress, VirtualProtect
Languages:
javascript
Platforms:
intel
17-03-2023
eSentire Threat Intelligence Malware Analysis: Raspberry Robin
https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raspberry-robin
Actors/Campaigns:
Evil_corp (motivation: cyber_criminal)
Threats:
Raspberry_robin
Socgholish_loader
Hook
Qnapworm
Doppelpaymer
Lockbit
Wastedlocker
Dridex
Industry:
Telco
Geo:
Africa, America, Apac, Deutsche, Russian, Emea
TTPs:
Tactics: 3
Technics: 3
IOCs:
File: 11
Path: 3
Hash: 3
Url: 6
IP: 1
Softs:
microsoft defender
Algorithms:
rc4, xor
Functions:
LdrLoadDll
Win API:
VirtualAlloc, LoadLibraryA, GetProcAddress, VirtualProtect
Languages:
javascript
Platforms:
intel
eSentire
eSentire Threat Intelligence Malware Analysis: Raspberry Robin
Dive deeper into the technical details gathered during eSentire’s Threat Response Unit (TRU) team’s research and threat analysis of the Raspberry Robin…
CTT Report Hub
#ParsedReport 17-03-2023 eSentire Threat Intelligence Malware Analysis: Raspberry Robin https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raspberry-robin Actors/Campaigns: Evil_corp (motivation: cyber_criminal) Threats: Raspberry_robin…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
С мая 2022 года TRU выявил 11 случаев заражения Raspberry Robin. Эта вредоносная программа распространяется через зараженные USB-накопители, которые подключаются к взломанным серверам QNAP для получения вредоносной полезной нагрузки DLL. Полезная нагрузка DLL отвечает за коммуникации C2 и отправку информации о хосте, такой как имя пользователя и имя компьютера. В августе 2022 года TRU наблюдала доставку загрузчика SocGholish, который может привести к выполнению ransomware. За этой деятельностью стоит Evil Corp., российская киберпреступная группа.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
С мая 2022 года TRU выявил 11 случаев заражения Raspberry Robin. Эта вредоносная программа распространяется через зараженные USB-накопители, которые подключаются к взломанным серверам QNAP для получения вредоносной полезной нагрузки DLL. Полезная нагрузка DLL отвечает за коммуникации C2 и отправку информации о хосте, такой как имя пользователя и имя компьютера. В августе 2022 года TRU наблюдала доставку загрузчика SocGholish, который может привести к выполнению ransomware. За этой деятельностью стоит Evil Corp., российская киберпреступная группа.
#ParsedReport
17-03-2023
Microsoft OneNote File Being Leveraged by Phishing Campaigns to Spread Malware
https://www.fortinet.com/blog/threat-research/microsoft-onenote-file-being-leveraged-by-phishing-campaigns-to-spread-malware
Threats:
Process_hollowing_technique
Asyncrat_rat
Credential_stealing_technique
Industry:
Transport
IOCs:
File: 19
Path: 1
Command: 1
IP: 2
Hash: 3
Softs:
microsoft onenote, microsoft office, onenote, windows powershell, process explorer, net framework, chrome, internet explorer
Algorithms:
gzip, zip
Functions:
EntryPoint, Main, ExecutePE, NtOpenProcess, NtQueueApcThread, NtResumeThread
Win API:
CreateProcessA, CheckRemoteDebuggerPresent, IsDebuggerPresent, AmsiScanBuffer, VirtualProtect, NtQuerySystemInformation, UpdateProcThreadAttribute, CreateProcessW, NtAllocateVirtualMemory, NtWriteVirtualMemory, have more...
Languages:
c_language
17-03-2023
Microsoft OneNote File Being Leveraged by Phishing Campaigns to Spread Malware
https://www.fortinet.com/blog/threat-research/microsoft-onenote-file-being-leveraged-by-phishing-campaigns-to-spread-malware
Threats:
Process_hollowing_technique
Asyncrat_rat
Credential_stealing_technique
Industry:
Transport
IOCs:
File: 19
Path: 1
Command: 1
IP: 2
Hash: 3
Softs:
microsoft onenote, microsoft office, onenote, windows powershell, process explorer, net framework, chrome, internet explorer
Algorithms:
gzip, zip
Functions:
EntryPoint, Main, ExecutePE, NtOpenProcess, NtQueueApcThread, NtResumeThread
Win API:
CreateProcessA, CheckRemoteDebuggerPresent, IsDebuggerPresent, AmsiScanBuffer, VirtualProtect, NtQuerySystemInformation, UpdateProcThreadAttribute, CreateProcessW, NtAllocateVirtualMemory, NtWriteVirtualMemory, have more...
Languages:
c_language
Fortinet Blog
Microsoft OneNote File Being Leveraged by Phishing Campaigns to Spread Malware | FortiGuard Labs
An in-depth analysis of a phishing campaign utilizing a Microsoft OneNote file. Learn about the contents of this malicious attack from how it executes, to evading detection, and fully controlling t…
CTT Report Hub
#ParsedReport 17-03-2023 Microsoft OneNote File Being Leveraged by Phishing Campaigns to Spread Malware https://www.fortinet.com/blog/threat-research/microsoft-onenote-file-being-leveraged-by-phishing-campaigns-to-spread-malware Threats: Process_hollowing_technique…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В данном анализе рассматривается недавняя фишинговая кампания, в которой использовались вредоносные файлы Microsoft OneNote для распространения вредоносной программы AsyncRAT. Атака начинается с фишингового письма, замаскированного под уведомление о срочной доставке. Когда получатель открывает прикрепленный файл OneNote, он содержит изображение, напоминающее кнопку, под которой скрываются четыре одинаковых файла BAT. Эти BAT-файлы используются для загрузки большего количества вредоносных файлов и, в конечном итоге, запуска вредоносной программы AsyncRAT.
AsyncRAT - это троянец удаленного доступа, позволяющий злоумышленникам получить полный контроль над устройством жертвы путем кражи учетных данных, управления файлами, ведения записей с клавиатуры, запуска DDoS-атак и записи аудио/видео. Он взаимодействует со своим C2-сервером с помощью протокола SSL и команды ClientInfo. Чтобы избежать обнаружения и анализа, вредоносная программа использует сложные методы, такие как переопределение API-функции Antimalware Scan Interface (AMSI), которая всегда возвращает код 0x80070057, что означает "параметр неверен".
Служба веб-фильтрации FortiGuard оценила загружаемые URL и сервер C2 как вредоносные веб-сайты, а FortiMail распознала фишинговое письмо как СПАМ. Мы рекомендуем читателям пройти обучение NSE по интернет-угрозам, чтобы научиться определять и защищать себя от фишинговых атак. Этот пример подчеркивает важность понимания последних фишинговых кампаний и методов вредоносного ПО, чтобы оставаться в безопасности в Интернете.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В данном анализе рассматривается недавняя фишинговая кампания, в которой использовались вредоносные файлы Microsoft OneNote для распространения вредоносной программы AsyncRAT. Атака начинается с фишингового письма, замаскированного под уведомление о срочной доставке. Когда получатель открывает прикрепленный файл OneNote, он содержит изображение, напоминающее кнопку, под которой скрываются четыре одинаковых файла BAT. Эти BAT-файлы используются для загрузки большего количества вредоносных файлов и, в конечном итоге, запуска вредоносной программы AsyncRAT.
AsyncRAT - это троянец удаленного доступа, позволяющий злоумышленникам получить полный контроль над устройством жертвы путем кражи учетных данных, управления файлами, ведения записей с клавиатуры, запуска DDoS-атак и записи аудио/видео. Он взаимодействует со своим C2-сервером с помощью протокола SSL и команды ClientInfo. Чтобы избежать обнаружения и анализа, вредоносная программа использует сложные методы, такие как переопределение API-функции Antimalware Scan Interface (AMSI), которая всегда возвращает код 0x80070057, что означает "параметр неверен".
Служба веб-фильтрации FortiGuard оценила загружаемые URL и сервер C2 как вредоносные веб-сайты, а FortiMail распознала фишинговое письмо как СПАМ. Мы рекомендуем читателям пройти обучение NSE по интернет-угрозам, чтобы научиться определять и защищать себя от фишинговых атак. Этот пример подчеркивает важность понимания последних фишинговых кампаний и методов вредоносного ПО, чтобы оставаться в безопасности в Интернете.
#ParsedReport
17-03-2023
Anti-sandbox avoidance function using pop-up window of MDS
https://asec.ahnlab.com/ko/49700
Threats:
Icedid
IOCs:
Hash: 1
Url: 1
17-03-2023
Anti-sandbox avoidance function using pop-up window of MDS
https://asec.ahnlab.com/ko/49700
Threats:
Icedid
IOCs:
Hash: 1
Url: 1
ASEC BLOG
MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능 - ASEC BLOG
AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을…
#ParsedReport
17-03-2023
ShellBot Malware Being Distributed to Linux SSH Servers
https://asec.ahnlab.com/en/49769
Threats:
Shellbot
Perlbot
Lights_perlbot
Nmap_tool
Powerbots
Gohack
Industry:
Iot
IOCs:
Url: 4
IP: 7
File: 1
Domain: 1
Hash: 8
Softs:
ms-sql, hadoop, curl, -s -l
Languages:
perl
17-03-2023
ShellBot Malware Being Distributed to Linux SSH Servers
https://asec.ahnlab.com/en/49769
Threats:
Shellbot
Perlbot
Lights_perlbot
Nmap_tool
Powerbots
Gohack
Industry:
Iot
IOCs:
Url: 4
IP: 7
File: 1
Domain: 1
Hash: 8
Softs:
ms-sql, hadoop, curl, -s -l
Languages:
perl
ASEC
ShellBot Malware Being Distributed to Linux SSH Servers - ASEC
AhnLab Security Emergency response Center (ASEC) has recently discovered the ShellBot malware being installed on poorly managed Linux SSH servers. ShellBot, also known as PerlBot, is a DDoS Bot malware developed in Perl and characteristically uses IRC protocol…
CTT Report Hub
#ParsedReport 17-03-2023 ShellBot Malware Being Distributed to Linux SSH Servers https://asec.ahnlab.com/en/49769 Threats: Shellbot Perlbot Lights_perlbot Nmap_tool Powerbots Gohack Industry: Iot IOCs: Url: 4 IP: 7 File: 1 Domain: 1 Hash: 8 Softs: ms…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносную программу ShellBot, также известную как PerlBot, проникающую на SSH-серверы Linux. Эта вредоносная программа, разработанная на языке Perl и использующая протокол IRC для связи с командно-контрольными (C&C) серверами, является старой и используется до сих пор. Она распространяется через слабо управляемые службы, такие как протокол удаленного рабочего стола (RDP) и служба MS-SQL для операционных систем Windows и службы Secure Shell (SSH) для серверов Linux. Он может быть установлен после того, как субъекты угроз используют учетные данные, полученные с помощью сканеров и вредоносных программ SSH BruteForce на целевых системах. Кроме того, среды IoT часто становятся мишенью для атак по словарю с использованием службы Telnet.
ShellBot имеет различные формы и функции благодаря своей настраиваемости. ASEC разделила его на три основных типа, основываясь на последних результатах. Версия ShellBot v2 LiGhTs Modded perlbot имеет команды, которые действительно могут быть использованы для вредоносных целей, включая атаки TCP, UDP и HTTP Flooding. Другой тип - DDoS PBot v2.0, который использует более 500 ников, включая abbore, ably и abyss, для присоединения к IRC-каналам. Он требует от пользователей проверки их никнейма и адреса хоста, прежде чем они смогут ввести команду. PowerBots, третий тип, в основном фокусируется на обратном shell и возможности загрузки файлов.
Субъекты угроз используют ShellBot для проведения многочисленных атак. Для защиты от этих атак администраторы должны убедиться, что пароли трудно угадать и периодически менять, а также обновлять их до последней версии патча, чтобы предотвратить использование уязвимостей. Также следует использовать брандмауэры для ограничения доступа злоумышленников, а V3 следует обновить до последней версии для предотвращения заражения вредоносным ПО.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносную программу ShellBot, также известную как PerlBot, проникающую на SSH-серверы Linux. Эта вредоносная программа, разработанная на языке Perl и использующая протокол IRC для связи с командно-контрольными (C&C) серверами, является старой и используется до сих пор. Она распространяется через слабо управляемые службы, такие как протокол удаленного рабочего стола (RDP) и служба MS-SQL для операционных систем Windows и службы Secure Shell (SSH) для серверов Linux. Он может быть установлен после того, как субъекты угроз используют учетные данные, полученные с помощью сканеров и вредоносных программ SSH BruteForce на целевых системах. Кроме того, среды IoT часто становятся мишенью для атак по словарю с использованием службы Telnet.
ShellBot имеет различные формы и функции благодаря своей настраиваемости. ASEC разделила его на три основных типа, основываясь на последних результатах. Версия ShellBot v2 LiGhTs Modded perlbot имеет команды, которые действительно могут быть использованы для вредоносных целей, включая атаки TCP, UDP и HTTP Flooding. Другой тип - DDoS PBot v2.0, который использует более 500 ников, включая abbore, ably и abyss, для присоединения к IRC-каналам. Он требует от пользователей проверки их никнейма и адреса хоста, прежде чем они смогут ввести команду. PowerBots, третий тип, в основном фокусируется на обратном shell и возможности загрузки файлов.
Субъекты угроз используют ShellBot для проведения многочисленных атак. Для защиты от этих атак администраторы должны убедиться, что пароли трудно угадать и периодически менять, а также обновлять их до последней версии патча, чтобы предотвратить использование уязвимостей. Также следует использовать брандмауэры для ограничения доступа злоумышленников, а V3 следует обновить до последней версии для предотвращения заражения вредоносным ПО.
#ParsedReport
18-03-2023
QBot: Laying the Foundations for Black Basta Ransomware Activity
https://www.reliaquest.com/blog/qbot-black-basta-ransomware
Actors/Campaigns:
Karakurt
Threats:
Blackbasta
Qakbot
Conti
Emotet
Cobalt_strike
Beacon
Html_smuggling_technique
Anydesk_tool
Atera_tool
Splashtop_tool
Credential_harvesting_technique
Mimikatz_tool
Netstat_tool
Lolbin_technique
Process_injection_technique
Motw_bypass_technique
Passthehash_technique
Lockbit
Royal_ransomware
Trickbot
Industry:
Government, Financial
Geo:
Germany, Russian, Ukraine
TTPs:
Tactics: 10
Technics: 18
IOCs:
File: 6
IP: 1
Domain: 1
Registry: 1
Softs:
office 365
Algorithms:
zip
Languages:
javascript
18-03-2023
QBot: Laying the Foundations for Black Basta Ransomware Activity
https://www.reliaquest.com/blog/qbot-black-basta-ransomware
Actors/Campaigns:
Karakurt
Threats:
Blackbasta
Qakbot
Conti
Emotet
Cobalt_strike
Beacon
Html_smuggling_technique
Anydesk_tool
Atera_tool
Splashtop_tool
Credential_harvesting_technique
Mimikatz_tool
Netstat_tool
Lolbin_technique
Process_injection_technique
Motw_bypass_technique
Passthehash_technique
Lockbit
Royal_ransomware
Trickbot
Industry:
Government, Financial
Geo:
Germany, Russian, Ukraine
TTPs:
Tactics: 10
Technics: 18
IOCs:
File: 6
IP: 1
Domain: 1
Registry: 1
Softs:
office 365
Algorithms:
zip
Languages:
javascript
ReliaQuest
QBot: Laying the Foundations for Black Basta Ransomware Activity - ReliaQuest
In this blog, a timeline of techniques in a real-world attack by Black Basta affiliates using the QBot banking trojan, plus how to protect yourself.
🔥1
CTT Report Hub
#ParsedReport 18-03-2023 QBot: Laying the Foundations for Black Basta Ransomware Activity https://www.reliaquest.com/blog/qbot-black-basta-ransomware Actors/Campaigns: Karakurt Threats: Blackbasta Qakbot Conti Emotet Cobalt_strike Beacon Html_smuggling_technique…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Программы-вымогатели остаются одной из самых разрушительных форм киберпреступности, причем субъекты угроз, стоящие за ними, постоянно разрабатывают новые методы и возможности для уклонения от обнаружения. 29 сентября 2022 года среда одного из клиентов была взломана с помощью фишингового письма, которое привело к развертыванию вредоносного ПО QBot. Злоумышленники получили первоначальный доступ к действительным учетным данным учетной записи службы, которая входила в группу администраторов домена, что позволило им продвинуться вбок и развернуть другие маяки Cobalt Strike. Оказалось, что злоумышленники были филиалом программы Black Basta ransomware-as-a-service (RaaS), которая появилась после того, как был уничтожен синдикат Conti ransomware.
Злоумышленники использовали многочисленные методы уклонения от защиты, включая сжатие полезной нагрузки электронной почты, преодоление хэша, внедрение процессов и сбор учетных данных. Они также развернули и настроили программное обеспечение удаленного доступа AnyDesk, Atera и Splashtop, которые используют протокол HTTPS. Кроме того, они пытались добавить учетную запись в группу Local Administrators и использовали инструменты сетевого сканирования NETSCAN.EXE и WERMGR.EXE для обнаружения сети.
Этот инцидент подчеркивает важность принятия мер по усилению защиты периметра и ограничению использования программного обеспечения для удаленного доступа. Компаниям следует отключить установку ISO, обеспечить безопасность резервных копий и регулярно проверять их на надежность, используя правило 3-2-1. Кроме того, международные правоохранительные органы жестко пресекают операции по распространению программ-выкупов, а санкции и аресты лиц, причастных к такой деятельности, становятся все более распространенным явлением. Это может привести к закрытию некоторых групп угроз, хотя, скорее всего, они просто появятся вновь в той или иной форме.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Программы-вымогатели остаются одной из самых разрушительных форм киберпреступности, причем субъекты угроз, стоящие за ними, постоянно разрабатывают новые методы и возможности для уклонения от обнаружения. 29 сентября 2022 года среда одного из клиентов была взломана с помощью фишингового письма, которое привело к развертыванию вредоносного ПО QBot. Злоумышленники получили первоначальный доступ к действительным учетным данным учетной записи службы, которая входила в группу администраторов домена, что позволило им продвинуться вбок и развернуть другие маяки Cobalt Strike. Оказалось, что злоумышленники были филиалом программы Black Basta ransomware-as-a-service (RaaS), которая появилась после того, как был уничтожен синдикат Conti ransomware.
Злоумышленники использовали многочисленные методы уклонения от защиты, включая сжатие полезной нагрузки электронной почты, преодоление хэша, внедрение процессов и сбор учетных данных. Они также развернули и настроили программное обеспечение удаленного доступа AnyDesk, Atera и Splashtop, которые используют протокол HTTPS. Кроме того, они пытались добавить учетную запись в группу Local Administrators и использовали инструменты сетевого сканирования NETSCAN.EXE и WERMGR.EXE для обнаружения сети.
Этот инцидент подчеркивает важность принятия мер по усилению защиты периметра и ограничению использования программного обеспечения для удаленного доступа. Компаниям следует отключить установку ISO, обеспечить безопасность резервных копий и регулярно проверять их на надежность, используя правило 3-2-1. Кроме того, международные правоохранительные органы жестко пресекают операции по распространению программ-выкупов, а санкции и аресты лиц, причастных к такой деятельности, становятся все более распространенным явлением. Это может привести к закрытию некоторых групп угроз, хотя, скорее всего, они просто появятся вновь в той или иной форме.