#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

EvilQuest ransomware ведет себя по-разному на MacOS и Windows OS.

После загрузки образца вредоносной программы она начинает с расшифровки домена C2 с параметром "silent" и сбора информации о зараженном хосте, после чего создает службу в Windows или Launch Agent в MacOS.

Затем он проверяет наличие виртуальной среды, прежде чем продолжить свою деятельность.

Формат файла для исполняемых файлов Mach-O и команды загрузки используются для определения назначения вредоносной программы и ее поведения в обеих операционных системах.

Понимание внутреннего устройства вредоносной программы может помочь исследователям и специалистам по безопасности лучше анализировать вредоносный код и разрабатывать контрмеры для защиты от подобных атак.

#ParsedReport
20-03-2023

ALC SCAREWARE PRETENDS TO BE A RANSOMWARE

https://www.cyfirma.com/outofband/alc-scareware-pretends-to-be-a-ransomware

Threats:
Hostile

Industry:
Financial

Geo:
Ukraine, China, Russia, Rus, Korea, Iran

TTPs:
Tactics: 6
Technics: 7

IOCs:
Hash: 8
File: 3
Coin: 1
Email: 1

Softs:
telegram

Functions:
SetTaskManager

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа CYFIRMA обнаружила в природе вредоносный образец, который маскируется под ransomware, но на самом деле является программой-пугалкой. ALC Ransomware не шифрует файлы на компьютере жертвы, а отключает диспетчер задач и блокирует экран, отображая записку с требованием выкупа. В записке упоминается, что вредоносная программа нацелена на Россию и ее партнеров, что указывает на то, что группа или злоумышленники, стоящие за этим образцом, могут быть связаны с государством, враждебно настроенным по отношению к России.

Вредоносная программа выполняется быстро, и ей требуется всего несколько секунд, чтобы эффективно заблокировать экран. После выполнения она сбрасывает на целевую машину несколько файлов, включая полезную нагрузку AlcDif.exe, запись в реестре для сохранения и два других файла - Pey и ALCKEY. Записка с выкупом предписывает жертвам заплатить выкуп в размере 554 XMR (эквивалент примерно 83 680 долларов США) на криптокошелек злоумышленников и связаться с ними по адресу Alc@cock.li. В записке также упоминается, что расшифровка невозможна по истечении недели, а через два дня сумма к оплате удваивается.

Несмотря на то, что вредоносное ПО плохо разработано и не обладает достаточной изощренностью, оно все равно может нанести значительный ущерб. Исследовательская группа CYFIRMA постоянно отслеживает и анализирует новые штаммы вредоносных программ и их поведение, чтобы дать киберзащитникам возможность лучше защитить своих клиентов от подобных атак.

Впилили классификатор новостей в прод.
Сделали на CatBoost от Яндекса.
Первая версия пока не отличает новости по стратегическому TI и срезы за период от тактического TI, но уже неплохо отфильтровывает рекламные новости и прочий спам.

Наберем доп. датасет и дообучим модельку.

Kimsuki hacking organization beware of Google browser and app store service abuse attacks

https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=25266&pageIndex=1#LINK

#ParsedReport
21-03-2023

Bad magic: new APT found in the area of Russo-Ukrainian conflict

https://securelist.com/bad-magic-apt/109087

Threats:
Powermagic
Commonmagic_tool

Industry:
Financial, Transport, Government, Foodtech

Geo:
Russian, Russia, Ukraine, Belarus, Crimea

IOCs:
File: 11
Domain: 2
Hash: 13
Path: 4
IP: 1

Softs:
windows installer, task scheduler

Algorithms:
zip, xor

Functions:
ReadAllBytes, GetString

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В октябре 2022 года в Донецкой, Луганской областях и Крыму произошла серия кибератак. Вредоносная программа, использовавшаяся в атаке, была идентифицирована как CommonMagic, первоначальный вектор компрометации которой, как полагают, осуществлялся через spear phishing или аналогичные методы. Эта вредоносная программа не имела прямого отношения к каким-либо известным кампаниям, а ее методы не отличались особой изощренностью, но были эффективными.

Вредоносный LNK указывает на удаленно размещенный вредоносный MSI-файл, который загружается и запускается исполняемой программой Windows Installer. Этот пакет дроппера содержит зашифрованную полезную нагрузку следующего этапа (service_pack.dat ), скрипт дроппера (runservice_pack.vbs ) и обманный документ, который должен быть показан жертве. Все эти файлы записываются в папку с именем %APPDATA%\WinEventCom.

Сценарий дроппера VBS затем запускает встроенный сценарий PowerShell, который расшифровывает следующий этап с помощью простого однобайтового XOR, запускает его и удаляет с диска. Этим сценарием является manutil.vbs , который служит загрузчиком для ранее неизвестного бэкдора, написанного на PowerShell под названием PowerMagic. При запуске этот бэкдор создает мьютекс WinEventCom, затем входит в бесконечный цикл, связываясь со своим C&C-сервером, получая команды и загружая результаты в ответ. В качестве транспорта он использует папки OneDrive и Dropbox, а в качестве учетных данных - токены OAuth refresh.

Актор использовал не только PowerMagic, но и более сложную, ранее невиданную модульную вредоносную структуру под названием CommonMagic. Этот фреймворк состоит из нескольких исполняемых модулей, все они хранятся в директории C:\ProgramData\CommonCommand . Данные, которыми оператор обменивается через OneDrive, шифруются с помощью библиотеки с открытым исходным кодом RC5Simple.

На данный момент обнаружены два плагина, реализующие вредоносную бизнес-логику, расположенные в каталоге C:\ProgramData\CommonCommand\Other . Прямых связей между образцами и данными, использованными в этой кампании, и какими-либо ранее известными субъектами пока не обнаружено, но расследование продолжается.

#ParsedReport
21-03-2023

ASEC weekly malware statistics (20230313 \~ 20230319)

https://asec.ahnlab.com/ko/50013

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial, Transport

Geo:
Korea

IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
22-03-2023

Analysis of SideCopy Group's Recent Attacks Using Indian Ministry of Defense Documents as Lures

https://ti.qianxin.com/blog/articles/Analysis-of-SideCopy-Group's-Recent-Attacks-Using-Indian-Ministry-of-Defense-Documents-as-Lures-EN

Actors/Campaigns:
Sidecopy (motivation: cyber_espionage)
Sidewinder

Threats:
Raindrop_tool
Cetarat_rat
Reverserat_rat
Margulasrat_rat
Allakore_rat
Cyrus

Geo:
Asian, India, Indian

IOCs:
File: 8
Hash: 27
Url: 17
Path: 2
IP: 4

Softs:
macos

Algorithms:
zip

Languages:
c_language, delphi

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

APT-группа SideCopy - это недавно выявленный агент угроз, нацеленный на индийские силы обороны и персонал вооруженных сил. Quick Heal раскрыл операцию шпионажа в сентябре 2020 года, отследив ее как независимую группу в июле 2021 года. Группа использует различные средства атаки, включая CetaRAT, ReverseRAT, MargulasRAT, AllakoreRAT и несколько C#-плагинов.

Цепочка заражения включает вредоносный LNK-файл в качестве точки входа, а затем несколько уровней вложенности файлов для передачи конечной полезной нагрузки. Фишинговые электронные письма содержат сжатые пакеты с LNK-файлами. Конечная полезная нагрузка представляет собой либо усовершенствованный троянский конь с открытым исходным кодом, написанный на Delphi, либо новый троянский конь, написанный на C++. Содержимое приманки связано с Министерством обороны Индии. Злоумышленники также используют бэкдор-программу под названием AllaKore RAT, которая находится с открытым исходным кодом на GitHub и была модифицирована группой SideCopy.

Анализ образцов показывает, что атака в основном нацелена на регион Индии. Метод дешифровки был выбран во время расшифровки и может быть правильно расшифрован только в том случае, если в настройках системного региона текущего компьютера установлено значение English (India). Кроме того, мы обнаружили, что группа SideCopy использует порнографические изображения в качестве иконок lnk-файлов для атак.

Центр разведки угроз QiAnXin продолжит следить за этим агентом угроз, обнаруживая угрозы безопасности и реагируя на них. Отечественные пользователи не пострадали, но команда QiAnXin Red Raindrop напоминает пользователям о необходимости принять меры предосторожности, такие как воздержание от перехода по ссылкам с неизвестными источниками, размещенными в социальных сетях, и установки приложений из неофициальных источников. Кроме того, пользователям следует своевременно создавать резервные копии важных файлов, а также обновлять и устанавливать исправления.

#ParsedReport
22-03-2023

A look at a Magecart skimmer using the Hunter obfuscator

https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer

Actors/Campaigns:
Magecart

Industry:
E-commerce, Financial

Geo:
Spanish

IOCs:
IP: 1
Domain: 35

Languages:
javascript, php

Links:
https://github.com/nicxlau/hunter-php-javascript-obfuscator

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Известно, что субъекты угроз используют различные методы сокрытия кода, такие как упаковщики бинарных файлов и обфускаторы, чтобы скрыть свою вредоносную деятельность. Так произошло с недавней атакой скиммера Magecart, который использует Hunter, обфускатор JavaScript с открытым исходным кодом, чтобы скрыть свой код. Атака работает путем внедрения кода на веб-сайты, вызывая удаленный URL-адрес, который загружает скиммер в процесс оформления платежа. Когда обфусцированный код расшифровывается, он показывает HTML-код с формами, ссылающимися на поля кредитной карты. Когда жертва совершает покупку во взломанном магазине и переходит к оформлению заказа, в контактную форму вводятся дополнительные поля.

Домены, зарегистрированные на Porkbun, располагаются на одном сервере, и хитрый GET-запрос может раскрыть версию кода скиммера для каждого домена. Хотя Hunter предоставляет некоторые возможности Stealth, сама атака не является сложной и, скорее всего, затронет не более сотни магазинов.

#ParsedReport
21-03-2023

Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation

https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)

Threats:
Virtualpita
Castletap
Thincrust
Virtualpie
Tableflip_tool
Reptile
Dead_drop_technique

Industry:
Iot, Telco, Government

Geo:
Chinese, China

CVEs:
CVE-2022-41328 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)


TTPs:
Tactics: 8
Technics: 34

IOCs:
File: 2
Hash: 27

Softs:
esxi, django, sysctl, unix

Algorithms:
xor, rc4

Functions:
OpenSSL

Languages:
python

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Кибершпионаж стал вполне реальной угрозой, поскольку злоумышленники атакуют компании и их технологии, такие как межсетевые экраны, устройства IoT, гипервизоры и технологии VPN. Недавно компания Mandiant обнаружила атаку на решения Fortinet, включая межсетевой экран FortiGate, FortiManager и FortiAnalyzer. Злоумышленники использовали эксплойт нулевого дня для обхода локальных каталогов для записи файлов на диски межсетевого экрана FortiGate, что позволило им получить постоянный доступ с привилегиями супер-администратора через ICMP-перехват порта. Кроме того, злоумышленники создали пользовательские конечные точки API для установления постоянного доступа к устройствам FortiManager и FortiAnalyzer.

Злоумышленникам также удалось обойти проверку цифровой подписи OpenSSL 1.1.0 системных файлов и использовать ее во вредоносных целях. После проведения углубленного расследования активность была приписана UNC3886, китайской группировке. Затем они перешли к инфраструктуре VMWare и развернули бэкдоры на устройствах FortiAnalyzer и FortiManager, известные как THINCRUST и CASTLETAP соответственно. Это позволило им продвинуться дальше в сеть и развернуть бэкдоры VIRTUALPITA и VIRTUALPIE в гипервизоре, что дало им постоянный доступ к гостевым виртуальным машинам.

После установки списков контроля доступа (ACL) на FortiManager злоумышленники потеряли прямой публичный доступ к устройству. Чтобы восстановить доступ, они переключились с брандмауэра FortiGate Firewall и развернули три вредоносных файла: /bin/support, /bin/klogd и /bin/auth. Первый выполнял роль сценария запуска, который выполнял два других, а последний представлял собой утилиту перенаправления сетевого трафика, известную как TABLEFLIP, и бэкдор обратной оболочки под названием REPTILE. Кроме того, злоумышленники внедрили в FortiManager еще один бэкдор под названием REPTILE и изменили файл запуска /etc/init.d/localnet, чтобы он выполнял вредоносный скрипт при каждой перезагрузке системы.

Кроме того, злоумышленники подделали двоичный файл /bin/smit, изменив один байт, что заставило его пропустить проверку цифровой подписи, обычно выполняемую в системных файлах. Это позволило им очистить определенные события из нескольких источников журналов, содержащих их IP-адрес. В заключение важно помнить, что кибершпионаж - это очень реальная угроза, и необходимо предпринять шаги, чтобы убедиться, что ваши меры безопасности актуальны и способны выявить любую вредоносную активность.

#ParsedReport
21-03-2023

New information-stealing malware LummaC2, dissemination of illegal cracks

https://asec.ahnlab.com/ko/49919

Threats:
Lumma_stealer
Raccoon_stealer
Cryptbot_stealer
Redline_stealer
Vidar_stealer
Record_breaker_stealer
Clipbanker
Saturn
Chrysaor
Anydesk_tool
Trojan/win.generic.c5397321

IOCs:
File: 7
Hash: 7
Url: 1

Softs:
windows defender, chrome, chromium, kometa, opera, brave-browser, comodo dragon, coccoc, tronlink, roninwallet, have more...

Algorithms:
zip

Functions:
Sleep

Win API:
GetProcAddress, GetSystemTimeAsFileTime, GetUserNameW, GetComputerNameW

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

LummaC2 - это недавно обнаруженная вредоносная программа, предназначенная для кражи информации у ничего не подозревающих жертв. Вредоносная программа распространяется, маскируясь под крэки и серийники незаконно полученных программ. Впервые она была замечена в марте этого года и с тех пор распространяется группой атак, в основном с помощью вредоносной программы RecordBreaker (Raccoon V2). Когда пользователи нажимают на кнопку загрузки вредоносного сайта, они перенаправляются на страницу, содержащую сжатый файл вредоносной программы LummaC2. Имя файла вредоносной программы - setupfile.exe, и она способна собирать данные с компьютеров жертв.

Вредоносная программа имеет три основные характеристики. Во-первых, она обфусцирована путем вставки строк между строками, используемыми для вредоносного поведения, что затрудняет ее обнаружение. Во-вторых, при использовании API, связанных с вредоносным поведением, она получает адрес API путем прямого доступа к загруженной целевой DLL вместо использования таких функций, как Import Table или GetProcAddress. В-третьих, имя учетной записи и имя компьютера сравниваются с определенными значениями, и если они совпадают, вредоносная программа завершает работу.

Собрав информацию, вредоносная программа сжимает ее в ZIP-файл и передает методом HTTP POST с путем /c2sock и User-Agent как TeslaBrowser/5.5. Передаваемые данные включают название вредоносного кода и версию сборки.

LummaC2 - это опасная вредоносная программа, которая потенциально может нанести большой вред жертвам. Поэтому пользователи должны знать о его наличии и принять меры по защите своих систем. Им также следует избегать загрузки кряков и серийников из неавторизованных источников, поскольку они могут быть заражены вредоносным ПО, таким как LummaC2.

#ParsedReport
22-03-2023

APT Profile: Sandworm

https://socradar.io/apt-profile-sandworm

Actors/Campaigns:
Sandworm (motivation: cyber_espionage)

Threats:
Crashoverride
Killdisk
Eternal_petya
Olympic_destroyer
Magnitude
Orcshred
Soloshred
Awfulshred
Petya
Ransomboggs
Prestige_ransomware
Eternalblue_vuln
Eternalromance_vuln
Credential_dumping_technique

Industry:
Ics, Telco, Energy, Government

Geo:
Ukrainian, Russia, Ukraine, Russian, Asia, America

TTPs:
Tactics: 13
Technics: 84

Softs:
electrum

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Sandworm - одна из самых опасных групп (APT), связанных с Главным разведывательным управлением Генерального штаба России (ГРУ). С 2009 года Sandworm провела множество крупных атак на различные страны и нанесла ущерб в миллиарды долларов. Их главной целью, по-видимому, является Украина, поскольку Sandworm принимала активное участие в российско-украинской войне, где она атаковала критически важные инфраструктуры Украины и стремилась снизить моральный дух ее граждан.

Для распространения вредоносных программ группа в основном использует метод spear phishing, используя "0-day" и ранее известные инструменты, такие как BlackEnergy, Industroyer и KillDisk. NotPetya и Olympic Destroyer - еще две вредоносные программы, приписываемые Sandworm, а CaddyWiper - вредоносная программа-чистильщик, которая использовалась Sandworm до вторжения России в Украину.

#ParsedReport
21-03-2023

The Unintentional Leak: A glimpse into the attack vectors ofAPT37. Summary

https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37

Actors/Campaigns:
Apt37

Threats:
Chinotto

Industry:
Education, Financial, Foodtech, Petroleum

Geo:
Korea, Korean, Asia, Jordan

IOCs:
File: 18
Hash: 137
Path: 2
Url: 1

Softs:
android, microsoft excel, office 365

Algorithms:
base64

Functions:
xlAutoOpen, NEW