Впилили классификатор новостей в прод.
Сделали на CatBoost от Яндекса.
Первая версия пока не отличает новости по стратегическому TI и срезы за период от тактического TI, но уже неплохо отфильтровывает рекламные новости и прочий спам.
Наберем доп. датасет и дообучим модельку.
Сделали на CatBoost от Яндекса.
Первая версия пока не отличает новости по стратегическому TI и срезы за период от тактического TI, но уже неплохо отфильтровывает рекламные новости и прочий спам.
Наберем доп. датасет и дообучим модельку.
Kimsuki hacking organization beware of Google browser and app store service abuse attacks
https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=25266&pageIndex=1#LINK
https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=SecurityAdvice_main&nttId=25266&pageIndex=1#LINK
#ParsedReport
21-03-2023
Bad magic: new APT found in the area of Russo-Ukrainian conflict
https://securelist.com/bad-magic-apt/109087
Threats:
Powermagic
Commonmagic_tool
Industry:
Financial, Transport, Government, Foodtech
Geo:
Russian, Russia, Ukraine, Belarus, Crimea
IOCs:
File: 11
Domain: 2
Hash: 13
Path: 4
IP: 1
Softs:
windows installer, task scheduler
Algorithms:
zip, xor
Functions:
ReadAllBytes, GetString
21-03-2023
Bad magic: new APT found in the area of Russo-Ukrainian conflict
https://securelist.com/bad-magic-apt/109087
Threats:
Powermagic
Commonmagic_tool
Industry:
Financial, Transport, Government, Foodtech
Geo:
Russian, Russia, Ukraine, Belarus, Crimea
IOCs:
File: 11
Domain: 2
Hash: 13
Path: 4
IP: 1
Softs:
windows installer, task scheduler
Algorithms:
zip, xor
Functions:
ReadAllBytes, GetString
Securelist
Bad magic: new APT found in the area of Russo-Ukrainian conflict
In October 2022, we identified an active infection of government, agriculture and transportation organizations located in the Donetsk, Lugansk, and Crimea regions.
CTT Report Hub
#ParsedReport 21-03-2023 Bad magic: new APT found in the area of Russo-Ukrainian conflict https://securelist.com/bad-magic-apt/109087 Threats: Powermagic Commonmagic_tool Industry: Financial, Transport, Government, Foodtech Geo: Russian, Russia, Ukraine…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В октябре 2022 года в Донецкой, Луганской областях и Крыму произошла серия кибератак. Вредоносная программа, использовавшаяся в атаке, была идентифицирована как CommonMagic, первоначальный вектор компрометации которой, как полагают, осуществлялся через spear phishing или аналогичные методы. Эта вредоносная программа не имела прямого отношения к каким-либо известным кампаниям, а ее методы не отличались особой изощренностью, но были эффективными.
Вредоносный LNK указывает на удаленно размещенный вредоносный MSI-файл, который загружается и запускается исполняемой программой Windows Installer. Этот пакет дроппера содержит зашифрованную полезную нагрузку следующего этапа (service_pack.dat ), скрипт дроппера (runservice_pack.vbs ) и обманный документ, который должен быть показан жертве. Все эти файлы записываются в папку с именем %APPDATA%\WinEventCom.
Сценарий дроппера VBS затем запускает встроенный сценарий PowerShell, который расшифровывает следующий этап с помощью простого однобайтового XOR, запускает его и удаляет с диска. Этим сценарием является manutil.vbs , который служит загрузчиком для ранее неизвестного бэкдора, написанного на PowerShell под названием PowerMagic. При запуске этот бэкдор создает мьютекс WinEventCom, затем входит в бесконечный цикл, связываясь со своим C&C-сервером, получая команды и загружая результаты в ответ. В качестве транспорта он использует папки OneDrive и Dropbox, а в качестве учетных данных - токены OAuth refresh.
Актор использовал не только PowerMagic, но и более сложную, ранее невиданную модульную вредоносную структуру под названием CommonMagic. Этот фреймворк состоит из нескольких исполняемых модулей, все они хранятся в директории C:\ProgramData\CommonCommand . Данные, которыми оператор обменивается через OneDrive, шифруются с помощью библиотеки с открытым исходным кодом RC5Simple.
На данный момент обнаружены два плагина, реализующие вредоносную бизнес-логику, расположенные в каталоге C:\ProgramData\CommonCommand\Other . Прямых связей между образцами и данными, использованными в этой кампании, и какими-либо ранее известными субъектами пока не обнаружено, но расследование продолжается.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
В октябре 2022 года в Донецкой, Луганской областях и Крыму произошла серия кибератак. Вредоносная программа, использовавшаяся в атаке, была идентифицирована как CommonMagic, первоначальный вектор компрометации которой, как полагают, осуществлялся через spear phishing или аналогичные методы. Эта вредоносная программа не имела прямого отношения к каким-либо известным кампаниям, а ее методы не отличались особой изощренностью, но были эффективными.
Вредоносный LNK указывает на удаленно размещенный вредоносный MSI-файл, который загружается и запускается исполняемой программой Windows Installer. Этот пакет дроппера содержит зашифрованную полезную нагрузку следующего этапа (service_pack.dat ), скрипт дроппера (runservice_pack.vbs ) и обманный документ, который должен быть показан жертве. Все эти файлы записываются в папку с именем %APPDATA%\WinEventCom.
Сценарий дроппера VBS затем запускает встроенный сценарий PowerShell, который расшифровывает следующий этап с помощью простого однобайтового XOR, запускает его и удаляет с диска. Этим сценарием является manutil.vbs , который служит загрузчиком для ранее неизвестного бэкдора, написанного на PowerShell под названием PowerMagic. При запуске этот бэкдор создает мьютекс WinEventCom, затем входит в бесконечный цикл, связываясь со своим C&C-сервером, получая команды и загружая результаты в ответ. В качестве транспорта он использует папки OneDrive и Dropbox, а в качестве учетных данных - токены OAuth refresh.
Актор использовал не только PowerMagic, но и более сложную, ранее невиданную модульную вредоносную структуру под названием CommonMagic. Этот фреймворк состоит из нескольких исполняемых модулей, все они хранятся в директории C:\ProgramData\CommonCommand . Данные, которыми оператор обменивается через OneDrive, шифруются с помощью библиотеки с открытым исходным кодом RC5Simple.
На данный момент обнаружены два плагина, реализующие вредоносную бизнес-логику, расположенные в каталоге C:\ProgramData\CommonCommand\Other . Прямых связей между образцами и данными, использованными в этой кампании, и какими-либо ранее известными субъектами пока не обнаружено, но расследование продолжается.
#ParsedReport
21-03-2023
ASEC weekly malware statistics (20230313 \~ 20230319)
https://asec.ahnlab.com/ko/50013
Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat
Industry:
Financial, Transport
Geo:
Korea
IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28
Softs:
telegram, nsis installer, discord
Languages:
visual_basic
21-03-2023
ASEC weekly malware statistics (20230313 \~ 20230319)
https://asec.ahnlab.com/ko/50013
Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat
Industry:
Financial, Transport
Geo:
Korea
IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28
Softs:
telegram, nsis installer, discord
Languages:
visual_basic
ASEC BLOG
ASEC 주간 악성코드 통계 (20230313 ~ 20230319) - ASEC BLOG
ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 3월 13일 월요일부터 3월 19일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.8%로 1위를 차지하였으며, 그 다음으로는 백도어가 34.5%, 이어서 다운로더 18.7%, 랜섬웨어 1.7%, 뱅킹 0.9%, 코인마이너 0.4%로 집계되었다. Top 1 – …
#ParsedReport
22-03-2023
Analysis of SideCopy Group's Recent Attacks Using Indian Ministry of Defense Documents as Lures
https://ti.qianxin.com/blog/articles/Analysis-of-SideCopy-Group's-Recent-Attacks-Using-Indian-Ministry-of-Defense-Documents-as-Lures-EN
Actors/Campaigns:
Sidecopy (motivation: cyber_espionage)
Sidewinder
Threats:
Raindrop_tool
Cetarat_rat
Reverserat_rat
Margulasrat_rat
Allakore_rat
Cyrus
Geo:
Asian, India, Indian
IOCs:
File: 8
Hash: 27
Url: 17
Path: 2
IP: 4
Softs:
macos
Algorithms:
zip
Languages:
c_language, delphi
22-03-2023
Analysis of SideCopy Group's Recent Attacks Using Indian Ministry of Defense Documents as Lures
https://ti.qianxin.com/blog/articles/Analysis-of-SideCopy-Group's-Recent-Attacks-Using-Indian-Ministry-of-Defense-Documents-as-Lures-EN
Actors/Campaigns:
Sidecopy (motivation: cyber_espionage)
Sidewinder
Threats:
Raindrop_tool
Cetarat_rat
Reverserat_rat
Margulasrat_rat
Allakore_rat
Cyrus
Geo:
Asian, India, Indian
IOCs:
File: 8
Hash: 27
Url: 17
Path: 2
IP: 4
Softs:
macos
Algorithms:
zip
Languages:
c_language, delphi
Qianxin
奇安信威胁情报中心
Nuxt.js project
CTT Report Hub
#ParsedReport 22-03-2023 Analysis of SideCopy Group's Recent Attacks Using Indian Ministry of Defense Documents as Lures https://ti.qianxin.com/blog/articles/Analysis-of-SideCopy-Group's-Recent-Attacks-Using-Indian-Ministry-of-Defense-Documents-as-Lures…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
APT-группа SideCopy - это недавно выявленный агент угроз, нацеленный на индийские силы обороны и персонал вооруженных сил. Quick Heal раскрыл операцию шпионажа в сентябре 2020 года, отследив ее как независимую группу в июле 2021 года. Группа использует различные средства атаки, включая CetaRAT, ReverseRAT, MargulasRAT, AllakoreRAT и несколько C#-плагинов.
Цепочка заражения включает вредоносный LNK-файл в качестве точки входа, а затем несколько уровней вложенности файлов для передачи конечной полезной нагрузки. Фишинговые электронные письма содержат сжатые пакеты с LNK-файлами. Конечная полезная нагрузка представляет собой либо усовершенствованный троянский конь с открытым исходным кодом, написанный на Delphi, либо новый троянский конь, написанный на C++. Содержимое приманки связано с Министерством обороны Индии. Злоумышленники также используют бэкдор-программу под названием AllaKore RAT, которая находится с открытым исходным кодом на GitHub и была модифицирована группой SideCopy.
Анализ образцов показывает, что атака в основном нацелена на регион Индии. Метод дешифровки был выбран во время расшифровки и может быть правильно расшифрован только в том случае, если в настройках системного региона текущего компьютера установлено значение English (India). Кроме того, мы обнаружили, что группа SideCopy использует порнографические изображения в качестве иконок lnk-файлов для атак.
Центр разведки угроз QiAnXin продолжит следить за этим агентом угроз, обнаруживая угрозы безопасности и реагируя на них. Отечественные пользователи не пострадали, но команда QiAnXin Red Raindrop напоминает пользователям о необходимости принять меры предосторожности, такие как воздержание от перехода по ссылкам с неизвестными источниками, размещенными в социальных сетях, и установки приложений из неофициальных источников. Кроме того, пользователям следует своевременно создавать резервные копии важных файлов, а также обновлять и устанавливать исправления.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
APT-группа SideCopy - это недавно выявленный агент угроз, нацеленный на индийские силы обороны и персонал вооруженных сил. Quick Heal раскрыл операцию шпионажа в сентябре 2020 года, отследив ее как независимую группу в июле 2021 года. Группа использует различные средства атаки, включая CetaRAT, ReverseRAT, MargulasRAT, AllakoreRAT и несколько C#-плагинов.
Цепочка заражения включает вредоносный LNK-файл в качестве точки входа, а затем несколько уровней вложенности файлов для передачи конечной полезной нагрузки. Фишинговые электронные письма содержат сжатые пакеты с LNK-файлами. Конечная полезная нагрузка представляет собой либо усовершенствованный троянский конь с открытым исходным кодом, написанный на Delphi, либо новый троянский конь, написанный на C++. Содержимое приманки связано с Министерством обороны Индии. Злоумышленники также используют бэкдор-программу под названием AllaKore RAT, которая находится с открытым исходным кодом на GitHub и была модифицирована группой SideCopy.
Анализ образцов показывает, что атака в основном нацелена на регион Индии. Метод дешифровки был выбран во время расшифровки и может быть правильно расшифрован только в том случае, если в настройках системного региона текущего компьютера установлено значение English (India). Кроме того, мы обнаружили, что группа SideCopy использует порнографические изображения в качестве иконок lnk-файлов для атак.
Центр разведки угроз QiAnXin продолжит следить за этим агентом угроз, обнаруживая угрозы безопасности и реагируя на них. Отечественные пользователи не пострадали, но команда QiAnXin Red Raindrop напоминает пользователям о необходимости принять меры предосторожности, такие как воздержание от перехода по ссылкам с неизвестными источниками, размещенными в социальных сетях, и установки приложений из неофициальных источников. Кроме того, пользователям следует своевременно создавать резервные копии важных файлов, а также обновлять и устанавливать исправления.
#ParsedReport
22-03-2023
A look at a Magecart skimmer using the Hunter obfuscator
https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer
Actors/Campaigns:
Magecart
Industry:
E-commerce, Financial
Geo:
Spanish
IOCs:
IP: 1
Domain: 35
Languages:
javascript, php
Links:
22-03-2023
A look at a Magecart skimmer using the Hunter obfuscator
https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer
Actors/Campaigns:
Magecart
Industry:
E-commerce, Financial
Geo:
Spanish
IOCs:
IP: 1
Domain: 35
Languages:
javascript, php
Links:
https://github.com/nicxlau/hunter-php-javascript-obfuscatorMalwarebytes
A look at a Magecart skimmer using the Hunter obfuscator
Threat actors are notorious for trying to hide their code in various ways, from binary packers to obfuscators. On their own,...
CTT Report Hub
#ParsedReport 22-03-2023 A look at a Magecart skimmer using the Hunter obfuscator https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer Actors/Campaigns: Magecart Industry: E-commerce, Financial Geo: Spanish IOCs: IP: 1 Domain:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Известно, что субъекты угроз используют различные методы сокрытия кода, такие как упаковщики бинарных файлов и обфускаторы, чтобы скрыть свою вредоносную деятельность. Так произошло с недавней атакой скиммера Magecart, который использует Hunter, обфускатор JavaScript с открытым исходным кодом, чтобы скрыть свой код. Атака работает путем внедрения кода на веб-сайты, вызывая удаленный URL-адрес, который загружает скиммер в процесс оформления платежа. Когда обфусцированный код расшифровывается, он показывает HTML-код с формами, ссылающимися на поля кредитной карты. Когда жертва совершает покупку во взломанном магазине и переходит к оформлению заказа, в контактную форму вводятся дополнительные поля.
Домены, зарегистрированные на Porkbun, располагаются на одном сервере, и хитрый GET-запрос может раскрыть версию кода скиммера для каждого домена. Хотя Hunter предоставляет некоторые возможности Stealth, сама атака не является сложной и, скорее всего, затронет не более сотни магазинов.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Известно, что субъекты угроз используют различные методы сокрытия кода, такие как упаковщики бинарных файлов и обфускаторы, чтобы скрыть свою вредоносную деятельность. Так произошло с недавней атакой скиммера Magecart, который использует Hunter, обфускатор JavaScript с открытым исходным кодом, чтобы скрыть свой код. Атака работает путем внедрения кода на веб-сайты, вызывая удаленный URL-адрес, который загружает скиммер в процесс оформления платежа. Когда обфусцированный код расшифровывается, он показывает HTML-код с формами, ссылающимися на поля кредитной карты. Когда жертва совершает покупку во взломанном магазине и переходит к оформлению заказа, в контактную форму вводятся дополнительные поля.
Домены, зарегистрированные на Porkbun, располагаются на одном сервере, и хитрый GET-запрос может раскрыть версию кода скиммера для каждого домена. Хотя Hunter предоставляет некоторые возможности Stealth, сама атака не является сложной и, скорее всего, затронет не более сотни магазинов.
#ParsedReport
21-03-2023
Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation
https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem
Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Threats:
Virtualpita
Castletap
Thincrust
Virtualpie
Tableflip_tool
Reptile
Dead_drop_technique
Industry:
Iot, Telco, Government
Geo:
Chinese, China
CVEs:
CVE-2022-41328 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)
TTPs:
Tactics: 8
Technics: 34
IOCs:
File: 2
Hash: 27
Softs:
esxi, django, sysctl, unix
Algorithms:
xor, rc4
Functions:
OpenSSL
Languages:
python
YARA: Found
21-03-2023
Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation
https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem
Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Threats:
Virtualpita
Castletap
Thincrust
Virtualpie
Tableflip_tool
Reptile
Dead_drop_technique
Industry:
Iot, Telco, Government
Geo:
Chinese, China
CVEs:
CVE-2022-41328 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)
TTPs:
Tactics: 8
Technics: 34
IOCs:
File: 2
Hash: 27
Softs:
esxi, django, sysctl, unix
Algorithms:
xor, rc4
Functions:
OpenSSL
Languages:
python
YARA: Found
Google Cloud Blog
Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation | Google Cloud Blog
A suspected Chinese actor used a zero-day vulnerability in FortiOS and multiple custom malware families as part of an espionage campaign.
CTT Report Hub
#ParsedReport 21-03-2023 Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem Actors/Campaigns: Unc3886 (motivation: cyber_espionage) Threats: Virtualpita…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Кибершпионаж стал вполне реальной угрозой, поскольку злоумышленники атакуют компании и их технологии, такие как межсетевые экраны, устройства IoT, гипервизоры и технологии VPN. Недавно компания Mandiant обнаружила атаку на решения Fortinet, включая межсетевой экран FortiGate, FortiManager и FortiAnalyzer. Злоумышленники использовали эксплойт нулевого дня для обхода локальных каталогов для записи файлов на диски межсетевого экрана FortiGate, что позволило им получить постоянный доступ с привилегиями супер-администратора через ICMP-перехват порта. Кроме того, злоумышленники создали пользовательские конечные точки API для установления постоянного доступа к устройствам FortiManager и FortiAnalyzer.
Злоумышленникам также удалось обойти проверку цифровой подписи OpenSSL 1.1.0 системных файлов и использовать ее во вредоносных целях. После проведения углубленного расследования активность была приписана UNC3886, китайской группировке. Затем они перешли к инфраструктуре VMWare и развернули бэкдоры на устройствах FortiAnalyzer и FortiManager, известные как THINCRUST и CASTLETAP соответственно. Это позволило им продвинуться дальше в сеть и развернуть бэкдоры VIRTUALPITA и VIRTUALPIE в гипервизоре, что дало им постоянный доступ к гостевым виртуальным машинам.
После установки списков контроля доступа (ACL) на FortiManager злоумышленники потеряли прямой публичный доступ к устройству. Чтобы восстановить доступ, они переключились с брандмауэра FortiGate Firewall и развернули три вредоносных файла: /bin/support, /bin/klogd и /bin/auth. Первый выполнял роль сценария запуска, который выполнял два других, а последний представлял собой утилиту перенаправления сетевого трафика, известную как TABLEFLIP, и бэкдор обратной оболочки под названием REPTILE. Кроме того, злоумышленники внедрили в FortiManager еще один бэкдор под названием REPTILE и изменили файл запуска /etc/init.d/localnet, чтобы он выполнял вредоносный скрипт при каждой перезагрузке системы.
Кроме того, злоумышленники подделали двоичный файл /bin/smit, изменив один байт, что заставило его пропустить проверку цифровой подписи, обычно выполняемую в системных файлах. Это позволило им очистить определенные события из нескольких источников журналов, содержащих их IP-адрес. В заключение важно помнить, что кибершпионаж - это очень реальная угроза, и необходимо предпринять шаги, чтобы убедиться, что ваши меры безопасности актуальны и способны выявить любую вредоносную активность.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Кибершпионаж стал вполне реальной угрозой, поскольку злоумышленники атакуют компании и их технологии, такие как межсетевые экраны, устройства IoT, гипервизоры и технологии VPN. Недавно компания Mandiant обнаружила атаку на решения Fortinet, включая межсетевой экран FortiGate, FortiManager и FortiAnalyzer. Злоумышленники использовали эксплойт нулевого дня для обхода локальных каталогов для записи файлов на диски межсетевого экрана FortiGate, что позволило им получить постоянный доступ с привилегиями супер-администратора через ICMP-перехват порта. Кроме того, злоумышленники создали пользовательские конечные точки API для установления постоянного доступа к устройствам FortiManager и FortiAnalyzer.
Злоумышленникам также удалось обойти проверку цифровой подписи OpenSSL 1.1.0 системных файлов и использовать ее во вредоносных целях. После проведения углубленного расследования активность была приписана UNC3886, китайской группировке. Затем они перешли к инфраструктуре VMWare и развернули бэкдоры на устройствах FortiAnalyzer и FortiManager, известные как THINCRUST и CASTLETAP соответственно. Это позволило им продвинуться дальше в сеть и развернуть бэкдоры VIRTUALPITA и VIRTUALPIE в гипервизоре, что дало им постоянный доступ к гостевым виртуальным машинам.
После установки списков контроля доступа (ACL) на FortiManager злоумышленники потеряли прямой публичный доступ к устройству. Чтобы восстановить доступ, они переключились с брандмауэра FortiGate Firewall и развернули три вредоносных файла: /bin/support, /bin/klogd и /bin/auth. Первый выполнял роль сценария запуска, который выполнял два других, а последний представлял собой утилиту перенаправления сетевого трафика, известную как TABLEFLIP, и бэкдор обратной оболочки под названием REPTILE. Кроме того, злоумышленники внедрили в FortiManager еще один бэкдор под названием REPTILE и изменили файл запуска /etc/init.d/localnet, чтобы он выполнял вредоносный скрипт при каждой перезагрузке системы.
Кроме того, злоумышленники подделали двоичный файл /bin/smit, изменив один байт, что заставило его пропустить проверку цифровой подписи, обычно выполняемую в системных файлах. Это позволило им очистить определенные события из нескольких источников журналов, содержащих их IP-адрес. В заключение важно помнить, что кибершпионаж - это очень реальная угроза, и необходимо предпринять шаги, чтобы убедиться, что ваши меры безопасности актуальны и способны выявить любую вредоносную активность.
#ParsedReport
21-03-2023
New information-stealing malware LummaC2, dissemination of illegal cracks
https://asec.ahnlab.com/ko/49919
Threats:
Lumma_stealer
Raccoon_stealer
Cryptbot_stealer
Redline_stealer
Vidar_stealer
Record_breaker_stealer
Clipbanker
Saturn
Chrysaor
Anydesk_tool
Trojan/win.generic.c5397321
IOCs:
File: 7
Hash: 7
Url: 1
Softs:
windows defender, chrome, chromium, kometa, opera, brave-browser, comodo dragon, coccoc, tronlink, roninwallet, have more...
Algorithms:
zip
Functions:
Sleep
Win API:
GetProcAddress, GetSystemTimeAsFileTime, GetUserNameW, GetComputerNameW
21-03-2023
New information-stealing malware LummaC2, dissemination of illegal cracks
https://asec.ahnlab.com/ko/49919
Threats:
Lumma_stealer
Raccoon_stealer
Cryptbot_stealer
Redline_stealer
Vidar_stealer
Record_breaker_stealer
Clipbanker
Saturn
Chrysaor
Anydesk_tool
Trojan/win.generic.c5397321
IOCs:
File: 7
Hash: 7
Url: 1
Softs:
windows defender, chrome, chromium, kometa, opera, brave-browser, comodo dragon, coccoc, tronlink, roninwallet, have more...
Algorithms:
zip
Functions:
Sleep
Win API:
GetProcAddress, GetSystemTimeAsFileTime, GetUserNameW, GetComputerNameW
ASEC BLOG
신종 정보 탈취 악성코드 LummaC2, 불법 크랙 위장 유포 - ASEC BLOG
신종 정보 탈취 악성코드인 “LummaC2″가 크랙, 시리얼 등의 불법 프로그램을 위장하여 유포 중이다. 동일한 방식으로 CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) 등의 악성코드가 유포되며 본 블로그를 통하여 여러 차례 소개하였다. LummaC2 Stealer는 올해 초부터 다크웹에서 판매되는 것으로 보이며 보이며, 올해 3월부터는 크랙 위장 공격 그룹에 의해 유포 중이다. 해당 방식으로의 악성코드 유포는…
CTT Report Hub
#ParsedReport 21-03-2023 New information-stealing malware LummaC2, dissemination of illegal cracks https://asec.ahnlab.com/ko/49919 Threats: Lumma_stealer Raccoon_stealer Cryptbot_stealer Redline_stealer Vidar_stealer Record_breaker_stealer Clipbanker Saturn…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
LummaC2 - это недавно обнаруженная вредоносная программа, предназначенная для кражи информации у ничего не подозревающих жертв. Вредоносная программа распространяется, маскируясь под крэки и серийники незаконно полученных программ. Впервые она была замечена в марте этого года и с тех пор распространяется группой атак, в основном с помощью вредоносной программы RecordBreaker (Raccoon V2). Когда пользователи нажимают на кнопку загрузки вредоносного сайта, они перенаправляются на страницу, содержащую сжатый файл вредоносной программы LummaC2. Имя файла вредоносной программы - setupfile.exe, и она способна собирать данные с компьютеров жертв.
Вредоносная программа имеет три основные характеристики. Во-первых, она обфусцирована путем вставки строк между строками, используемыми для вредоносного поведения, что затрудняет ее обнаружение. Во-вторых, при использовании API, связанных с вредоносным поведением, она получает адрес API путем прямого доступа к загруженной целевой DLL вместо использования таких функций, как Import Table или GetProcAddress. В-третьих, имя учетной записи и имя компьютера сравниваются с определенными значениями, и если они совпадают, вредоносная программа завершает работу.
Собрав информацию, вредоносная программа сжимает ее в ZIP-файл и передает методом HTTP POST с путем /c2sock и User-Agent как TeslaBrowser/5.5. Передаваемые данные включают название вредоносного кода и версию сборки.
LummaC2 - это опасная вредоносная программа, которая потенциально может нанести большой вред жертвам. Поэтому пользователи должны знать о его наличии и принять меры по защите своих систем. Им также следует избегать загрузки кряков и серийников из неавторизованных источников, поскольку они могут быть заражены вредоносным ПО, таким как LummaC2.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
LummaC2 - это недавно обнаруженная вредоносная программа, предназначенная для кражи информации у ничего не подозревающих жертв. Вредоносная программа распространяется, маскируясь под крэки и серийники незаконно полученных программ. Впервые она была замечена в марте этого года и с тех пор распространяется группой атак, в основном с помощью вредоносной программы RecordBreaker (Raccoon V2). Когда пользователи нажимают на кнопку загрузки вредоносного сайта, они перенаправляются на страницу, содержащую сжатый файл вредоносной программы LummaC2. Имя файла вредоносной программы - setupfile.exe, и она способна собирать данные с компьютеров жертв.
Вредоносная программа имеет три основные характеристики. Во-первых, она обфусцирована путем вставки строк между строками, используемыми для вредоносного поведения, что затрудняет ее обнаружение. Во-вторых, при использовании API, связанных с вредоносным поведением, она получает адрес API путем прямого доступа к загруженной целевой DLL вместо использования таких функций, как Import Table или GetProcAddress. В-третьих, имя учетной записи и имя компьютера сравниваются с определенными значениями, и если они совпадают, вредоносная программа завершает работу.
Собрав информацию, вредоносная программа сжимает ее в ZIP-файл и передает методом HTTP POST с путем /c2sock и User-Agent как TeslaBrowser/5.5. Передаваемые данные включают название вредоносного кода и версию сборки.
LummaC2 - это опасная вредоносная программа, которая потенциально может нанести большой вред жертвам. Поэтому пользователи должны знать о его наличии и принять меры по защите своих систем. Им также следует избегать загрузки кряков и серийников из неавторизованных источников, поскольку они могут быть заражены вредоносным ПО, таким как LummaC2.
#ParsedReport
22-03-2023
APT Profile: Sandworm
https://socradar.io/apt-profile-sandworm
Actors/Campaigns:
Sandworm (motivation: cyber_espionage)
Threats:
Crashoverride
Killdisk
Eternal_petya
Olympic_destroyer
Magnitude
Orcshred
Soloshred
Awfulshred
Petya
Ransomboggs
Prestige_ransomware
Eternalblue_vuln
Eternalromance_vuln
Credential_dumping_technique
Industry:
Ics, Telco, Energy, Government
Geo:
Ukrainian, Russia, Ukraine, Russian, Asia, America
TTPs:
Tactics: 13
Technics: 84
Softs:
electrum
Languages:
visual_basic
22-03-2023
APT Profile: Sandworm
https://socradar.io/apt-profile-sandworm
Actors/Campaigns:
Sandworm (motivation: cyber_espionage)
Threats:
Crashoverride
Killdisk
Eternal_petya
Olympic_destroyer
Magnitude
Orcshred
Soloshred
Awfulshred
Petya
Ransomboggs
Prestige_ransomware
Eternalblue_vuln
Eternalromance_vuln
Credential_dumping_technique
Industry:
Ics, Telco, Energy, Government
Geo:
Ukrainian, Russia, Ukraine, Russian, Asia, America
TTPs:
Tactics: 13
Technics: 84
Softs:
electrum
Languages:
visual_basic
SOCRadar® Cyber Intelligence Inc.
APT Profile: Sandworm - SOCRadar® Cyber Intelligence Inc.
Threat actors range from teenagers eager to earn quick cash to state-sponsored actors with agendas behind their operations. The agendas of these
CTT Report Hub
#ParsedReport 22-03-2023 APT Profile: Sandworm https://socradar.io/apt-profile-sandworm Actors/Campaigns: Sandworm (motivation: cyber_espionage) Threats: Crashoverride Killdisk Eternal_petya Olympic_destroyer Magnitude Orcshred Soloshred Awfulshred Petya…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Sandworm - одна из самых опасных групп (APT), связанных с Главным разведывательным управлением Генерального штаба России (ГРУ). С 2009 года Sandworm провела множество крупных атак на различные страны и нанесла ущерб в миллиарды долларов. Их главной целью, по-видимому, является Украина, поскольку Sandworm принимала активное участие в российско-украинской войне, где она атаковала критически важные инфраструктуры Украины и стремилась снизить моральный дух ее граждан.
Для распространения вредоносных программ группа в основном использует метод spear phishing, используя "0-day" и ранее известные инструменты, такие как BlackEnergy, Industroyer и KillDisk. NotPetya и Olympic Destroyer - еще две вредоносные программы, приписываемые Sandworm, а CaddyWiper - вредоносная программа-чистильщик, которая использовалась Sandworm до вторжения России в Украину.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Sandworm - одна из самых опасных групп (APT), связанных с Главным разведывательным управлением Генерального штаба России (ГРУ). С 2009 года Sandworm провела множество крупных атак на различные страны и нанесла ущерб в миллиарды долларов. Их главной целью, по-видимому, является Украина, поскольку Sandworm принимала активное участие в российско-украинской войне, где она атаковала критически важные инфраструктуры Украины и стремилась снизить моральный дух ее граждан.
Для распространения вредоносных программ группа в основном использует метод spear phishing, используя "0-day" и ранее известные инструменты, такие как BlackEnergy, Industroyer и KillDisk. NotPetya и Olympic Destroyer - еще две вредоносные программы, приписываемые Sandworm, а CaddyWiper - вредоносная программа-чистильщик, которая использовалась Sandworm до вторжения России в Украину.
#ParsedReport
21-03-2023
The Unintentional Leak: A glimpse into the attack vectors ofAPT37. Summary
https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37
Actors/Campaigns:
Apt37
Threats:
Chinotto
Industry:
Education, Financial, Foodtech, Petroleum
Geo:
Korea, Korean, Asia, Jordan
IOCs:
File: 18
Hash: 137
Path: 2
Url: 1
Softs:
android, microsoft excel, office 365
Algorithms:
base64
Functions:
xlAutoOpen, NEW
21-03-2023
The Unintentional Leak: A glimpse into the attack vectors ofAPT37. Summary
https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37
Actors/Campaigns:
Apt37
Threats:
Chinotto
Industry:
Education, Financial, Foodtech, Petroleum
Geo:
Korea, Korean, Asia, Jordan
IOCs:
File: 18
Hash: 137
Path: 2
Url: 1
Softs:
android, microsoft excel, office 365
Algorithms:
base64
Functions:
xlAutoOpen, NEW
Zscaler
APT37 | ThreatLabz
An operational security failure by the North Korean threat actor - APT37, led to the discovery of many previously unknown tools and techniques used by them
CTT Report Hub
#ParsedReport 21-03-2023 The Unintentional Leak: A glimpse into the attack vectors ofAPT37. Summary https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37 Actors/Campaigns: Apt37 Threats: Chinotto Industry: Education…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
APT37 - это базирующийся в Северной Корее APT, которая действует уже более двух лет и нацелена на отдельных людей в южнокорейских организациях. Он распространяет бэкдор Chinotto PowerShell с использованием различных векторов атак, включая файлы справки Windows (CHM), HTA, HWP (Hancom office), XLL (MS Excel Add-in) и макросы MS Office, а также фишинговые атаки на учетные данные. Недавно специалисты Zscaler ThreatLabz обнаружили репозиторий GitHub, принадлежащий одному из членов APT37, что дало нам доступ к обширной информации об их деятельности, мотивах, целях и используемых темах.
Векторы атак, использованные APT37 в этой кампании, включают размещение вредоносной полезной нагрузки внутри архивных файлов, LNK-файлов с HTML-приманками, XLL-файлов, файлов MS Office Word с макросами и HWP-файлов со встроенными OLE-объектами. Анализ истории коммитов репозитория GitHub показал, что первый коммит произошел в октябре 2020 года, что говорит о том, что угрожающему субъекту удалось сохранить репозиторий без обнаружения и уничтожения.
В ходе нашего расследования мы также выяснили, что APT37 в значительной степени нацелена на организации в Южной Корее, о чем свидетельствуют темы и приманки, используемые в их кампаниях социальной инженерии. Они постоянно обновляют свои тактики, методы и процедуры и экспериментируют с новыми форматами файлов и методами обхода систем безопасности. Мы будем продолжать следить за деятельностью этого агента угроз и обеспечивать защиту наших клиентов от APT37.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
APT37 - это базирующийся в Северной Корее APT, которая действует уже более двух лет и нацелена на отдельных людей в южнокорейских организациях. Он распространяет бэкдор Chinotto PowerShell с использованием различных векторов атак, включая файлы справки Windows (CHM), HTA, HWP (Hancom office), XLL (MS Excel Add-in) и макросы MS Office, а также фишинговые атаки на учетные данные. Недавно специалисты Zscaler ThreatLabz обнаружили репозиторий GitHub, принадлежащий одному из членов APT37, что дало нам доступ к обширной информации об их деятельности, мотивах, целях и используемых темах.
Векторы атак, использованные APT37 в этой кампании, включают размещение вредоносной полезной нагрузки внутри архивных файлов, LNK-файлов с HTML-приманками, XLL-файлов, файлов MS Office Word с макросами и HWP-файлов со встроенными OLE-объектами. Анализ истории коммитов репозитория GitHub показал, что первый коммит произошел в октябре 2020 года, что говорит о том, что угрожающему субъекту удалось сохранить репозиторий без обнаружения и уничтожения.
В ходе нашего расследования мы также выяснили, что APT37 в значительной степени нацелена на организации в Южной Корее, о чем свидетельствуют темы и приманки, используемые в их кампаниях социальной инженерии. Они постоянно обновляют свои тактики, методы и процедуры и экспериментируют с новыми форматами файлов и методами обхода систем безопасности. Мы будем продолжать следить за деятельностью этого агента угроз и обеспечивать защиту наших клиентов от APT37.
#ParsedReport
21-03-2023
CHM malware tracking using EDR
https://asec.ahnlab.com/ko/49939
Actors/Campaigns:
Kimsuky
TTPs:
IOCs:
File: 2
Command: 2
Path: 1
IP: 1
Url: 1
Hash: 2
21-03-2023
CHM malware tracking using EDR
https://asec.ahnlab.com/ko/49939
Actors/Campaigns:
Kimsuky
TTPs:
IOCs:
File: 2
Command: 2
Path: 1
IP: 1
Url: 1
Hash: 2
ASEC
EDR을 활용한 CHM 악성코드 추적 - ASEC
AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. 패스워드 파일로 위장하여 유포 중인 악성코드 – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는…
#ParsedReport
22-03-2023
Nexus: a new Android botnet?
https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet
Threats:
Nexus
Anatsa
Sova
Bratarat
Industry:
Financial
Geo:
Francesco, Belarus, Ukraine, Uzbekistan, Moldova, Tajikistan, Kyrgyzstan, Indonesia, Armenia, Azerbaijan, Japanese, Russia, Russian, Kazakhstan
IOCs:
Hash: 1
IP: 2
Softs:
android, telegram)
Algorithms:
aes
Functions:
preloadCheck
22-03-2023
Nexus: a new Android botnet?
https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet
Threats:
Nexus
Anatsa
Sova
Bratarat
Industry:
Financial
Geo:
Francesco, Belarus, Ukraine, Uzbekistan, Moldova, Tajikistan, Kyrgyzstan, Indonesia, Armenia, Azerbaijan, Japanese, Russia, Russian, Kazakhstan
IOCs:
Hash: 1
IP: 2
Softs:
android, telegram)
Algorithms:
aes
Functions:
preloadCheck
Cleafy
Nexus: a new Android botnet? | Cleafy Labs
A new Android banking trojan might be spreading under the name of Nexus. It is promoted via a MaaS subscription and it contains some relations with an already known SOVA banking trojan. Read the full article to know more about this new player in cybercrime.
CTT Report Hub
#ParsedReport 22-03-2023 Nexus: a new Android botnet? https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet Threats: Nexus Anatsa Sova Bratarat Industry: Financial Geo: Francesco, Belarus, Ukraine, Uzbekistan, Moldova, Tajikistan, Kyrgyzstan,…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Nexus - это новый банковский троян для Android, впервые замеченный на многочисленных подпольных хакерских форумах в январе 2023 года. Он продвигается как вредоносное ПО как услуга (MaaS), когда разработчики предлагают свои услуги другим преступникам или частным лицам на основе аренды или подписки. Nexus обладает всеми возможностями для проведения атак на банковские приложения и криптовалютные сервисы, таких как кража учетных данных и перехват SMS. Он также имеет встроенный список инъекций против 450 финансовых приложений.
Анализ Nexus показал, что он содержит некоторое сходство кода с SOVA, банковским трояном для Android, появившимся в середине 2021 года. Считается, что авторы Nexus переняли и повторно использовали старые наработки SOVA, тем более что его автор начал делиться информацией о Nexus и его связи с SOVA. Nexus обладает возможностями шифрования, хотя этот модуль, похоже, находится в стадии разработки. Кроме того, в коде присутствуют многочисленные отладочные строки и механизм протоколирования, который отслеживает все выполняемые действия, что говорит о том, что вредоносная программа все еще находится на ранней стадии разработки.
Веб-панель Nexus C2 позволяет злоумышленникам удаленно управлять устройствами жертвы и отдавать команды для сбора украденных данных. Она также содержит полный список из 450 страниц входа в банковские приложения для перехвата действительных учетных данных и может быть настроена для создания пользовательских инъекций. Хотя Nexus все еще находится на ранней стадии развития, уровень заражения, о котором сообщают многочисленные C2-панели, говорит о том, что это уже реальная угроза, способная заразить сотни устройств по всему миру. Вполне вероятно, что Nexus продолжит развиваться и станет еще более опасным в ближайшем будущем.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Nexus - это новый банковский троян для Android, впервые замеченный на многочисленных подпольных хакерских форумах в январе 2023 года. Он продвигается как вредоносное ПО как услуга (MaaS), когда разработчики предлагают свои услуги другим преступникам или частным лицам на основе аренды или подписки. Nexus обладает всеми возможностями для проведения атак на банковские приложения и криптовалютные сервисы, таких как кража учетных данных и перехват SMS. Он также имеет встроенный список инъекций против 450 финансовых приложений.
Анализ Nexus показал, что он содержит некоторое сходство кода с SOVA, банковским трояном для Android, появившимся в середине 2021 года. Считается, что авторы Nexus переняли и повторно использовали старые наработки SOVA, тем более что его автор начал делиться информацией о Nexus и его связи с SOVA. Nexus обладает возможностями шифрования, хотя этот модуль, похоже, находится в стадии разработки. Кроме того, в коде присутствуют многочисленные отладочные строки и механизм протоколирования, который отслеживает все выполняемые действия, что говорит о том, что вредоносная программа все еще находится на ранней стадии разработки.
Веб-панель Nexus C2 позволяет злоумышленникам удаленно управлять устройствами жертвы и отдавать команды для сбора украденных данных. Она также содержит полный список из 450 страниц входа в банковские приложения для перехвата действительных учетных данных и может быть настроена для создания пользовательских инъекций. Хотя Nexus все еще находится на ранней стадии развития, уровень заражения, о котором сообщают многочисленные C2-панели, говорит о том, что это уже реальная угроза, способная заразить сотни устройств по всему миру. Вполне вероятно, что Nexus продолжит развиваться и станет еще более опасным в ближайшем будущем.