#ParsedReport
20-03-2023

Status of AhnLab Response to Korea-Germany Joint Cyber Security Advisory

https://asec.ahnlab.com/ko/49964

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Backdoor/js.agent.sc182439
Backdoor/js.agent.sc182438

Geo:
Korean, Korea, German

IOCs:
Hash: 6

Softs:
chromium, android

#ParsedReport
20-03-2023

ChinaZ DDoS Bot malware targeting Linux SSH servers

https://asec.ahnlab.com/ko/49845

Threats:
Chinaz
Xorddos
Dofloo_botnet
Billgates
Mrblack
Synflood_technique
Udpflood_technique
Trojan/win32.agent.r192331

Industry:
Iot

Geo:
China

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 2
Url: 3
File: 2
Hash: 3
Domain: 1

Softs:
ms-sql

Functions:
prctl, uname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) недавно подтвердил, что вредоносная программа ChinaZ DDoS Bot устанавливается на SSH-серверах Linux, которые управляются плохо. Этот тип вредоносного кода был впервые обнаружен около 2014 года и использовался группой атак ChinaZ для атак на системы Windows и Linux. Различные DDoS-боты, созданные этой группой, включают XorDDoS, AESDDos, BillGates, MrBlack и т.д., при этом ChinaZ или ChinaZ DDoSClient находится в центре внимания данной статьи.

Серверы в основном отвечают за предоставление определенных услуг, и злоумышленники используют другие методы, поскольку распространение вредоносных кодов таким способом ограничено. Атакам подвергаются службы, уязвимые к атакам из-за плохого управления или отсутствия исправлений до последней версии, например, протокол удаленного рабочего стола (RDP) и MS-SQL для ОС Windows, Secure Shell (SSH) и Telnet для ОС Linux. В случае с ChinaZ предполагается, что он был установлен с помощью информации, полученной от сканеров и вредоносного ПО SSH BruteForce. После входа в систему злоумышленники отключают iptables, который является брандмауэром, а затем используют wget для установки ChinaZ DDoSClient, созданного для архитектуры x86 и x64. После запуска и регистрации в rc.local он может продолжать свою работу даже после перезагрузки.

ChinaZ - это вредоносная программа с открытым исходным кодом, которая при выполнении маскируется под процесс под названием declient. Он получает адрес сервера C&C через процедуру дешифровки и собирает основную информацию о зараженной системе перед отправкой ее на сервер C&C. После получения команд от злоумышленника он может выполнять вредоносные действия, такие как атаки SYN, UDP, ICMP и DNS Flood. Что касается версии для Windows, то он копирует себя как Declient.exe по пути %SystemRoot% и регистрирует его в ключе Run, чтобы запускать себя после перезагрузки.

#ParsedReport
20-03-2023

OneNote malware disguised as reward payment (Kimsuky)

https://asec.ahnlab.com/ko/49843

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.generic.sc186657

Industry:
Financial

Geo:
Korean

IOCs:
File: 3
Url: 2
Hash: 2

Softs:
onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавно Центр реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) обнаружил вредоносный код, замаскированный под файл выплаты вознаграждения, распространяемый группой Kimsuky. Вредоносный код выполнен в виде файла OneNote и содержит контент, связанный с выплатой вознаграждения, побуждая пользователей нажать на прикрепленный корейский документ. После выполнения файла OneNote и нажатия пользователем на местоположение корейского документа создается вредоносный VBS-файл с именем personal.vbs, который запускается по временному пути. Вредоносный VBS-файл содержит обфусцированные команды, которые расшифровываются и затем выполняются, нанося потенциальный вред компьютеру или сети.

Вредоносный код в основном распространяется по электронной почте, маскируясь под форму вознаграждения или форму личной информации. Этот вредоносный код является одной из нескольких форм, используемых группой Kimsuky, включая файлы CHM, LNK и OneNote. Поэтому пользователи должны знать об угрозе и проявлять осторожность при получении и выполнении подозрительных вложений. Им следует быть особенно осторожными при работе с электронными письмами, которые, по всей видимости, связаны с выплатой вознаграждений или заполнением анкет с личной информацией.

#ParsedReport
20-03-2023

EvilQuest macOS Ransomware. Mac OS Malware Analysis

https://amr-git-dot.github.io/malware%20analysis/EvilQuest

Threats:
Evilquest

TTPs:
Tactics: 1
Technics: 0

Softs:
macos, mac os, sysctl, unix

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

EvilQuest ransomware ведет себя по-разному на MacOS и Windows OS.

После загрузки образца вредоносной программы она начинает с расшифровки домена C2 с параметром "silent" и сбора информации о зараженном хосте, после чего создает службу в Windows или Launch Agent в MacOS.

Затем он проверяет наличие виртуальной среды, прежде чем продолжить свою деятельность.

Формат файла для исполняемых файлов Mach-O и команды загрузки используются для определения назначения вредоносной программы и ее поведения в обеих операционных системах.

Понимание внутреннего устройства вредоносной программы может помочь исследователям и специалистам по безопасности лучше анализировать вредоносный код и разрабатывать контрмеры для защиты от подобных атак.

#ParsedReport
20-03-2023

ALC SCAREWARE PRETENDS TO BE A RANSOMWARE

https://www.cyfirma.com/outofband/alc-scareware-pretends-to-be-a-ransomware

Threats:
Hostile

Industry:
Financial

Geo:
Ukraine, China, Russia, Rus, Korea, Iran

TTPs:
Tactics: 6
Technics: 7

IOCs:
Hash: 8
File: 3
Coin: 1
Email: 1

Softs:
telegram

Functions:
SetTaskManager

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа CYFIRMA обнаружила в природе вредоносный образец, который маскируется под ransomware, но на самом деле является программой-пугалкой. ALC Ransomware не шифрует файлы на компьютере жертвы, а отключает диспетчер задач и блокирует экран, отображая записку с требованием выкупа. В записке упоминается, что вредоносная программа нацелена на Россию и ее партнеров, что указывает на то, что группа или злоумышленники, стоящие за этим образцом, могут быть связаны с государством, враждебно настроенным по отношению к России.

Вредоносная программа выполняется быстро, и ей требуется всего несколько секунд, чтобы эффективно заблокировать экран. После выполнения она сбрасывает на целевую машину несколько файлов, включая полезную нагрузку AlcDif.exe, запись в реестре для сохранения и два других файла - Pey и ALCKEY. Записка с выкупом предписывает жертвам заплатить выкуп в размере 554 XMR (эквивалент примерно 83 680 долларов США) на криптокошелек злоумышленников и связаться с ними по адресу Alc@cock.li. В записке также упоминается, что расшифровка невозможна по истечении недели, а через два дня сумма к оплате удваивается.

Несмотря на то, что вредоносное ПО плохо разработано и не обладает достаточной изощренностью, оно все равно может нанести значительный ущерб. Исследовательская группа CYFIRMA постоянно отслеживает и анализирует новые штаммы вредоносных программ и их поведение, чтобы дать киберзащитникам возможность лучше защитить своих клиентов от подобных атак.

Впилили классификатор новостей в прод.
Сделали на CatBoost от Яндекса.
Первая версия пока не отличает новости по стратегическому TI и срезы за период от тактического TI, но уже неплохо отфильтровывает рекламные новости и прочий спам.

Наберем доп. датасет и дообучим модельку.

Kimsuki hacking organization beware of Google browser and app store service abuse attacks

https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=25266&pageIndex=1#LINK

#ParsedReport
21-03-2023

Bad magic: new APT found in the area of Russo-Ukrainian conflict

https://securelist.com/bad-magic-apt/109087

Threats:
Powermagic
Commonmagic_tool

Industry:
Financial, Transport, Government, Foodtech

Geo:
Russian, Russia, Ukraine, Belarus, Crimea

IOCs:
File: 11
Domain: 2
Hash: 13
Path: 4
IP: 1

Softs:
windows installer, task scheduler

Algorithms:
zip, xor

Functions:
ReadAllBytes, GetString

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В октябре 2022 года в Донецкой, Луганской областях и Крыму произошла серия кибератак. Вредоносная программа, использовавшаяся в атаке, была идентифицирована как CommonMagic, первоначальный вектор компрометации которой, как полагают, осуществлялся через spear phishing или аналогичные методы. Эта вредоносная программа не имела прямого отношения к каким-либо известным кампаниям, а ее методы не отличались особой изощренностью, но были эффективными.

Вредоносный LNK указывает на удаленно размещенный вредоносный MSI-файл, который загружается и запускается исполняемой программой Windows Installer. Этот пакет дроппера содержит зашифрованную полезную нагрузку следующего этапа (service_pack.dat ), скрипт дроппера (runservice_pack.vbs ) и обманный документ, который должен быть показан жертве. Все эти файлы записываются в папку с именем %APPDATA%\WinEventCom.

Сценарий дроппера VBS затем запускает встроенный сценарий PowerShell, который расшифровывает следующий этап с помощью простого однобайтового XOR, запускает его и удаляет с диска. Этим сценарием является manutil.vbs , который служит загрузчиком для ранее неизвестного бэкдора, написанного на PowerShell под названием PowerMagic. При запуске этот бэкдор создает мьютекс WinEventCom, затем входит в бесконечный цикл, связываясь со своим C&C-сервером, получая команды и загружая результаты в ответ. В качестве транспорта он использует папки OneDrive и Dropbox, а в качестве учетных данных - токены OAuth refresh.

Актор использовал не только PowerMagic, но и более сложную, ранее невиданную модульную вредоносную структуру под названием CommonMagic. Этот фреймворк состоит из нескольких исполняемых модулей, все они хранятся в директории C:\ProgramData\CommonCommand . Данные, которыми оператор обменивается через OneDrive, шифруются с помощью библиотеки с открытым исходным кодом RC5Simple.

На данный момент обнаружены два плагина, реализующие вредоносную бизнес-логику, расположенные в каталоге C:\ProgramData\CommonCommand\Other . Прямых связей между образцами и данными, использованными в этой кампании, и какими-либо ранее известными субъектами пока не обнаружено, но расследование продолжается.

#ParsedReport
21-03-2023

ASEC weekly malware statistics (20230313 \~ 20230319)

https://asec.ahnlab.com/ko/50013

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial, Transport

Geo:
Korea

IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
22-03-2023

Analysis of SideCopy Group's Recent Attacks Using Indian Ministry of Defense Documents as Lures

https://ti.qianxin.com/blog/articles/Analysis-of-SideCopy-Group's-Recent-Attacks-Using-Indian-Ministry-of-Defense-Documents-as-Lures-EN

Actors/Campaigns:
Sidecopy (motivation: cyber_espionage)
Sidewinder

Threats:
Raindrop_tool
Cetarat_rat
Reverserat_rat
Margulasrat_rat
Allakore_rat
Cyrus

Geo:
Asian, India, Indian

IOCs:
File: 8
Hash: 27
Url: 17
Path: 2
IP: 4

Softs:
macos

Algorithms:
zip

Languages:
c_language, delphi

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

APT-группа SideCopy - это недавно выявленный агент угроз, нацеленный на индийские силы обороны и персонал вооруженных сил. Quick Heal раскрыл операцию шпионажа в сентябре 2020 года, отследив ее как независимую группу в июле 2021 года. Группа использует различные средства атаки, включая CetaRAT, ReverseRAT, MargulasRAT, AllakoreRAT и несколько C#-плагинов.

Цепочка заражения включает вредоносный LNK-файл в качестве точки входа, а затем несколько уровней вложенности файлов для передачи конечной полезной нагрузки. Фишинговые электронные письма содержат сжатые пакеты с LNK-файлами. Конечная полезная нагрузка представляет собой либо усовершенствованный троянский конь с открытым исходным кодом, написанный на Delphi, либо новый троянский конь, написанный на C++. Содержимое приманки связано с Министерством обороны Индии. Злоумышленники также используют бэкдор-программу под названием AllaKore RAT, которая находится с открытым исходным кодом на GitHub и была модифицирована группой SideCopy.

Анализ образцов показывает, что атака в основном нацелена на регион Индии. Метод дешифровки был выбран во время расшифровки и может быть правильно расшифрован только в том случае, если в настройках системного региона текущего компьютера установлено значение English (India). Кроме того, мы обнаружили, что группа SideCopy использует порнографические изображения в качестве иконок lnk-файлов для атак.

Центр разведки угроз QiAnXin продолжит следить за этим агентом угроз, обнаруживая угрозы безопасности и реагируя на них. Отечественные пользователи не пострадали, но команда QiAnXin Red Raindrop напоминает пользователям о необходимости принять меры предосторожности, такие как воздержание от перехода по ссылкам с неизвестными источниками, размещенными в социальных сетях, и установки приложений из неофициальных источников. Кроме того, пользователям следует своевременно создавать резервные копии важных файлов, а также обновлять и устанавливать исправления.

#ParsedReport
22-03-2023

A look at a Magecart skimmer using the Hunter obfuscator

https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer

Actors/Campaigns:
Magecart

Industry:
E-commerce, Financial

Geo:
Spanish

IOCs:
IP: 1
Domain: 35

Languages:
javascript, php

Links:
https://github.com/nicxlau/hunter-php-javascript-obfuscator

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Известно, что субъекты угроз используют различные методы сокрытия кода, такие как упаковщики бинарных файлов и обфускаторы, чтобы скрыть свою вредоносную деятельность. Так произошло с недавней атакой скиммера Magecart, который использует Hunter, обфускатор JavaScript с открытым исходным кодом, чтобы скрыть свой код. Атака работает путем внедрения кода на веб-сайты, вызывая удаленный URL-адрес, который загружает скиммер в процесс оформления платежа. Когда обфусцированный код расшифровывается, он показывает HTML-код с формами, ссылающимися на поля кредитной карты. Когда жертва совершает покупку во взломанном магазине и переходит к оформлению заказа, в контактную форму вводятся дополнительные поля.

Домены, зарегистрированные на Porkbun, располагаются на одном сервере, и хитрый GET-запрос может раскрыть версию кода скиммера для каждого домена. Хотя Hunter предоставляет некоторые возможности Stealth, сама атака не является сложной и, скорее всего, затронет не более сотни магазинов.

#ParsedReport
21-03-2023

Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation

https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)

Threats:
Virtualpita
Castletap
Thincrust
Virtualpie
Tableflip_tool
Reptile
Dead_drop_technique

Industry:
Iot, Telco, Government

Geo:
Chinese, China

CVEs:
CVE-2022-41328 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)


TTPs:
Tactics: 8
Technics: 34

IOCs:
File: 2
Hash: 27

Softs:
esxi, django, sysctl, unix

Algorithms:
xor, rc4

Functions:
OpenSSL

Languages:
python

YARA: Found