#ParsedReport
22-03-2023
A look at a Magecart skimmer using the Hunter obfuscator
https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer
Actors/Campaigns:
Magecart
Industry:
E-commerce, Financial
Geo:
Spanish
IOCs:
IP: 1
Domain: 35
Languages:
javascript, php
Links:
22-03-2023
A look at a Magecart skimmer using the Hunter obfuscator
https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer
Actors/Campaigns:
Magecart
Industry:
E-commerce, Financial
Geo:
Spanish
IOCs:
IP: 1
Domain: 35
Languages:
javascript, php
Links:
https://github.com/nicxlau/hunter-php-javascript-obfuscatorMalwarebytes
A look at a Magecart skimmer using the Hunter obfuscator
Threat actors are notorious for trying to hide their code in various ways, from binary packers to obfuscators. On their own,...
CTT Report Hub
#ParsedReport 22-03-2023 A look at a Magecart skimmer using the Hunter obfuscator https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer Actors/Campaigns: Magecart Industry: E-commerce, Financial Geo: Spanish IOCs: IP: 1 Domain:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Известно, что субъекты угроз используют различные методы сокрытия кода, такие как упаковщики бинарных файлов и обфускаторы, чтобы скрыть свою вредоносную деятельность. Так произошло с недавней атакой скиммера Magecart, который использует Hunter, обфускатор JavaScript с открытым исходным кодом, чтобы скрыть свой код. Атака работает путем внедрения кода на веб-сайты, вызывая удаленный URL-адрес, который загружает скиммер в процесс оформления платежа. Когда обфусцированный код расшифровывается, он показывает HTML-код с формами, ссылающимися на поля кредитной карты. Когда жертва совершает покупку во взломанном магазине и переходит к оформлению заказа, в контактную форму вводятся дополнительные поля.
Домены, зарегистрированные на Porkbun, располагаются на одном сервере, и хитрый GET-запрос может раскрыть версию кода скиммера для каждого домена. Хотя Hunter предоставляет некоторые возможности Stealth, сама атака не является сложной и, скорее всего, затронет не более сотни магазинов.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Известно, что субъекты угроз используют различные методы сокрытия кода, такие как упаковщики бинарных файлов и обфускаторы, чтобы скрыть свою вредоносную деятельность. Так произошло с недавней атакой скиммера Magecart, который использует Hunter, обфускатор JavaScript с открытым исходным кодом, чтобы скрыть свой код. Атака работает путем внедрения кода на веб-сайты, вызывая удаленный URL-адрес, который загружает скиммер в процесс оформления платежа. Когда обфусцированный код расшифровывается, он показывает HTML-код с формами, ссылающимися на поля кредитной карты. Когда жертва совершает покупку во взломанном магазине и переходит к оформлению заказа, в контактную форму вводятся дополнительные поля.
Домены, зарегистрированные на Porkbun, располагаются на одном сервере, и хитрый GET-запрос может раскрыть версию кода скиммера для каждого домена. Хотя Hunter предоставляет некоторые возможности Stealth, сама атака не является сложной и, скорее всего, затронет не более сотни магазинов.
#ParsedReport
21-03-2023
Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation
https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem
Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Threats:
Virtualpita
Castletap
Thincrust
Virtualpie
Tableflip_tool
Reptile
Dead_drop_technique
Industry:
Iot, Telco, Government
Geo:
Chinese, China
CVEs:
CVE-2022-41328 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)
TTPs:
Tactics: 8
Technics: 34
IOCs:
File: 2
Hash: 27
Softs:
esxi, django, sysctl, unix
Algorithms:
xor, rc4
Functions:
OpenSSL
Languages:
python
YARA: Found
21-03-2023
Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation
https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem
Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Threats:
Virtualpita
Castletap
Thincrust
Virtualpie
Tableflip_tool
Reptile
Dead_drop_technique
Industry:
Iot, Telco, Government
Geo:
Chinese, China
CVEs:
CVE-2022-41328 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)
TTPs:
Tactics: 8
Technics: 34
IOCs:
File: 2
Hash: 27
Softs:
esxi, django, sysctl, unix
Algorithms:
xor, rc4
Functions:
OpenSSL
Languages:
python
YARA: Found
Google Cloud Blog
Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation | Google Cloud Blog
A suspected Chinese actor used a zero-day vulnerability in FortiOS and multiple custom malware families as part of an espionage campaign.
CTT Report Hub
#ParsedReport 21-03-2023 Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem Actors/Campaigns: Unc3886 (motivation: cyber_espionage) Threats: Virtualpita…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Кибершпионаж стал вполне реальной угрозой, поскольку злоумышленники атакуют компании и их технологии, такие как межсетевые экраны, устройства IoT, гипервизоры и технологии VPN. Недавно компания Mandiant обнаружила атаку на решения Fortinet, включая межсетевой экран FortiGate, FortiManager и FortiAnalyzer. Злоумышленники использовали эксплойт нулевого дня для обхода локальных каталогов для записи файлов на диски межсетевого экрана FortiGate, что позволило им получить постоянный доступ с привилегиями супер-администратора через ICMP-перехват порта. Кроме того, злоумышленники создали пользовательские конечные точки API для установления постоянного доступа к устройствам FortiManager и FortiAnalyzer.
Злоумышленникам также удалось обойти проверку цифровой подписи OpenSSL 1.1.0 системных файлов и использовать ее во вредоносных целях. После проведения углубленного расследования активность была приписана UNC3886, китайской группировке. Затем они перешли к инфраструктуре VMWare и развернули бэкдоры на устройствах FortiAnalyzer и FortiManager, известные как THINCRUST и CASTLETAP соответственно. Это позволило им продвинуться дальше в сеть и развернуть бэкдоры VIRTUALPITA и VIRTUALPIE в гипервизоре, что дало им постоянный доступ к гостевым виртуальным машинам.
После установки списков контроля доступа (ACL) на FortiManager злоумышленники потеряли прямой публичный доступ к устройству. Чтобы восстановить доступ, они переключились с брандмауэра FortiGate Firewall и развернули три вредоносных файла: /bin/support, /bin/klogd и /bin/auth. Первый выполнял роль сценария запуска, который выполнял два других, а последний представлял собой утилиту перенаправления сетевого трафика, известную как TABLEFLIP, и бэкдор обратной оболочки под названием REPTILE. Кроме того, злоумышленники внедрили в FortiManager еще один бэкдор под названием REPTILE и изменили файл запуска /etc/init.d/localnet, чтобы он выполнял вредоносный скрипт при каждой перезагрузке системы.
Кроме того, злоумышленники подделали двоичный файл /bin/smit, изменив один байт, что заставило его пропустить проверку цифровой подписи, обычно выполняемую в системных файлах. Это позволило им очистить определенные события из нескольких источников журналов, содержащих их IP-адрес. В заключение важно помнить, что кибершпионаж - это очень реальная угроза, и необходимо предпринять шаги, чтобы убедиться, что ваши меры безопасности актуальны и способны выявить любую вредоносную активность.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Кибершпионаж стал вполне реальной угрозой, поскольку злоумышленники атакуют компании и их технологии, такие как межсетевые экраны, устройства IoT, гипервизоры и технологии VPN. Недавно компания Mandiant обнаружила атаку на решения Fortinet, включая межсетевой экран FortiGate, FortiManager и FortiAnalyzer. Злоумышленники использовали эксплойт нулевого дня для обхода локальных каталогов для записи файлов на диски межсетевого экрана FortiGate, что позволило им получить постоянный доступ с привилегиями супер-администратора через ICMP-перехват порта. Кроме того, злоумышленники создали пользовательские конечные точки API для установления постоянного доступа к устройствам FortiManager и FortiAnalyzer.
Злоумышленникам также удалось обойти проверку цифровой подписи OpenSSL 1.1.0 системных файлов и использовать ее во вредоносных целях. После проведения углубленного расследования активность была приписана UNC3886, китайской группировке. Затем они перешли к инфраструктуре VMWare и развернули бэкдоры на устройствах FortiAnalyzer и FortiManager, известные как THINCRUST и CASTLETAP соответственно. Это позволило им продвинуться дальше в сеть и развернуть бэкдоры VIRTUALPITA и VIRTUALPIE в гипервизоре, что дало им постоянный доступ к гостевым виртуальным машинам.
После установки списков контроля доступа (ACL) на FortiManager злоумышленники потеряли прямой публичный доступ к устройству. Чтобы восстановить доступ, они переключились с брандмауэра FortiGate Firewall и развернули три вредоносных файла: /bin/support, /bin/klogd и /bin/auth. Первый выполнял роль сценария запуска, который выполнял два других, а последний представлял собой утилиту перенаправления сетевого трафика, известную как TABLEFLIP, и бэкдор обратной оболочки под названием REPTILE. Кроме того, злоумышленники внедрили в FortiManager еще один бэкдор под названием REPTILE и изменили файл запуска /etc/init.d/localnet, чтобы он выполнял вредоносный скрипт при каждой перезагрузке системы.
Кроме того, злоумышленники подделали двоичный файл /bin/smit, изменив один байт, что заставило его пропустить проверку цифровой подписи, обычно выполняемую в системных файлах. Это позволило им очистить определенные события из нескольких источников журналов, содержащих их IP-адрес. В заключение важно помнить, что кибершпионаж - это очень реальная угроза, и необходимо предпринять шаги, чтобы убедиться, что ваши меры безопасности актуальны и способны выявить любую вредоносную активность.
#ParsedReport
21-03-2023
New information-stealing malware LummaC2, dissemination of illegal cracks
https://asec.ahnlab.com/ko/49919
Threats:
Lumma_stealer
Raccoon_stealer
Cryptbot_stealer
Redline_stealer
Vidar_stealer
Record_breaker_stealer
Clipbanker
Saturn
Chrysaor
Anydesk_tool
Trojan/win.generic.c5397321
IOCs:
File: 7
Hash: 7
Url: 1
Softs:
windows defender, chrome, chromium, kometa, opera, brave-browser, comodo dragon, coccoc, tronlink, roninwallet, have more...
Algorithms:
zip
Functions:
Sleep
Win API:
GetProcAddress, GetSystemTimeAsFileTime, GetUserNameW, GetComputerNameW
21-03-2023
New information-stealing malware LummaC2, dissemination of illegal cracks
https://asec.ahnlab.com/ko/49919
Threats:
Lumma_stealer
Raccoon_stealer
Cryptbot_stealer
Redline_stealer
Vidar_stealer
Record_breaker_stealer
Clipbanker
Saturn
Chrysaor
Anydesk_tool
Trojan/win.generic.c5397321
IOCs:
File: 7
Hash: 7
Url: 1
Softs:
windows defender, chrome, chromium, kometa, opera, brave-browser, comodo dragon, coccoc, tronlink, roninwallet, have more...
Algorithms:
zip
Functions:
Sleep
Win API:
GetProcAddress, GetSystemTimeAsFileTime, GetUserNameW, GetComputerNameW
ASEC BLOG
신종 정보 탈취 악성코드 LummaC2, 불법 크랙 위장 유포 - ASEC BLOG
신종 정보 탈취 악성코드인 “LummaC2″가 크랙, 시리얼 등의 불법 프로그램을 위장하여 유포 중이다. 동일한 방식으로 CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) 등의 악성코드가 유포되며 본 블로그를 통하여 여러 차례 소개하였다. LummaC2 Stealer는 올해 초부터 다크웹에서 판매되는 것으로 보이며 보이며, 올해 3월부터는 크랙 위장 공격 그룹에 의해 유포 중이다. 해당 방식으로의 악성코드 유포는…
CTT Report Hub
#ParsedReport 21-03-2023 New information-stealing malware LummaC2, dissemination of illegal cracks https://asec.ahnlab.com/ko/49919 Threats: Lumma_stealer Raccoon_stealer Cryptbot_stealer Redline_stealer Vidar_stealer Record_breaker_stealer Clipbanker Saturn…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
LummaC2 - это недавно обнаруженная вредоносная программа, предназначенная для кражи информации у ничего не подозревающих жертв. Вредоносная программа распространяется, маскируясь под крэки и серийники незаконно полученных программ. Впервые она была замечена в марте этого года и с тех пор распространяется группой атак, в основном с помощью вредоносной программы RecordBreaker (Raccoon V2). Когда пользователи нажимают на кнопку загрузки вредоносного сайта, они перенаправляются на страницу, содержащую сжатый файл вредоносной программы LummaC2. Имя файла вредоносной программы - setupfile.exe, и она способна собирать данные с компьютеров жертв.
Вредоносная программа имеет три основные характеристики. Во-первых, она обфусцирована путем вставки строк между строками, используемыми для вредоносного поведения, что затрудняет ее обнаружение. Во-вторых, при использовании API, связанных с вредоносным поведением, она получает адрес API путем прямого доступа к загруженной целевой DLL вместо использования таких функций, как Import Table или GetProcAddress. В-третьих, имя учетной записи и имя компьютера сравниваются с определенными значениями, и если они совпадают, вредоносная программа завершает работу.
Собрав информацию, вредоносная программа сжимает ее в ZIP-файл и передает методом HTTP POST с путем /c2sock и User-Agent как TeslaBrowser/5.5. Передаваемые данные включают название вредоносного кода и версию сборки.
LummaC2 - это опасная вредоносная программа, которая потенциально может нанести большой вред жертвам. Поэтому пользователи должны знать о его наличии и принять меры по защите своих систем. Им также следует избегать загрузки кряков и серийников из неавторизованных источников, поскольку они могут быть заражены вредоносным ПО, таким как LummaC2.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
LummaC2 - это недавно обнаруженная вредоносная программа, предназначенная для кражи информации у ничего не подозревающих жертв. Вредоносная программа распространяется, маскируясь под крэки и серийники незаконно полученных программ. Впервые она была замечена в марте этого года и с тех пор распространяется группой атак, в основном с помощью вредоносной программы RecordBreaker (Raccoon V2). Когда пользователи нажимают на кнопку загрузки вредоносного сайта, они перенаправляются на страницу, содержащую сжатый файл вредоносной программы LummaC2. Имя файла вредоносной программы - setupfile.exe, и она способна собирать данные с компьютеров жертв.
Вредоносная программа имеет три основные характеристики. Во-первых, она обфусцирована путем вставки строк между строками, используемыми для вредоносного поведения, что затрудняет ее обнаружение. Во-вторых, при использовании API, связанных с вредоносным поведением, она получает адрес API путем прямого доступа к загруженной целевой DLL вместо использования таких функций, как Import Table или GetProcAddress. В-третьих, имя учетной записи и имя компьютера сравниваются с определенными значениями, и если они совпадают, вредоносная программа завершает работу.
Собрав информацию, вредоносная программа сжимает ее в ZIP-файл и передает методом HTTP POST с путем /c2sock и User-Agent как TeslaBrowser/5.5. Передаваемые данные включают название вредоносного кода и версию сборки.
LummaC2 - это опасная вредоносная программа, которая потенциально может нанести большой вред жертвам. Поэтому пользователи должны знать о его наличии и принять меры по защите своих систем. Им также следует избегать загрузки кряков и серийников из неавторизованных источников, поскольку они могут быть заражены вредоносным ПО, таким как LummaC2.
#ParsedReport
22-03-2023
APT Profile: Sandworm
https://socradar.io/apt-profile-sandworm
Actors/Campaigns:
Sandworm (motivation: cyber_espionage)
Threats:
Crashoverride
Killdisk
Eternal_petya
Olympic_destroyer
Magnitude
Orcshred
Soloshred
Awfulshred
Petya
Ransomboggs
Prestige_ransomware
Eternalblue_vuln
Eternalromance_vuln
Credential_dumping_technique
Industry:
Ics, Telco, Energy, Government
Geo:
Ukrainian, Russia, Ukraine, Russian, Asia, America
TTPs:
Tactics: 13
Technics: 84
Softs:
electrum
Languages:
visual_basic
22-03-2023
APT Profile: Sandworm
https://socradar.io/apt-profile-sandworm
Actors/Campaigns:
Sandworm (motivation: cyber_espionage)
Threats:
Crashoverride
Killdisk
Eternal_petya
Olympic_destroyer
Magnitude
Orcshred
Soloshred
Awfulshred
Petya
Ransomboggs
Prestige_ransomware
Eternalblue_vuln
Eternalromance_vuln
Credential_dumping_technique
Industry:
Ics, Telco, Energy, Government
Geo:
Ukrainian, Russia, Ukraine, Russian, Asia, America
TTPs:
Tactics: 13
Technics: 84
Softs:
electrum
Languages:
visual_basic
SOCRadar® Cyber Intelligence Inc.
APT Profile: Sandworm - SOCRadar® Cyber Intelligence Inc.
Threat actors range from teenagers eager to earn quick cash to state-sponsored actors with agendas behind their operations. The agendas of these
CTT Report Hub
#ParsedReport 22-03-2023 APT Profile: Sandworm https://socradar.io/apt-profile-sandworm Actors/Campaigns: Sandworm (motivation: cyber_espionage) Threats: Crashoverride Killdisk Eternal_petya Olympic_destroyer Magnitude Orcshred Soloshred Awfulshred Petya…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Sandworm - одна из самых опасных групп (APT), связанных с Главным разведывательным управлением Генерального штаба России (ГРУ). С 2009 года Sandworm провела множество крупных атак на различные страны и нанесла ущерб в миллиарды долларов. Их главной целью, по-видимому, является Украина, поскольку Sandworm принимала активное участие в российско-украинской войне, где она атаковала критически важные инфраструктуры Украины и стремилась снизить моральный дух ее граждан.
Для распространения вредоносных программ группа в основном использует метод spear phishing, используя "0-day" и ранее известные инструменты, такие как BlackEnergy, Industroyer и KillDisk. NotPetya и Olympic Destroyer - еще две вредоносные программы, приписываемые Sandworm, а CaddyWiper - вредоносная программа-чистильщик, которая использовалась Sandworm до вторжения России в Украину.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Sandworm - одна из самых опасных групп (APT), связанных с Главным разведывательным управлением Генерального штаба России (ГРУ). С 2009 года Sandworm провела множество крупных атак на различные страны и нанесла ущерб в миллиарды долларов. Их главной целью, по-видимому, является Украина, поскольку Sandworm принимала активное участие в российско-украинской войне, где она атаковала критически важные инфраструктуры Украины и стремилась снизить моральный дух ее граждан.
Для распространения вредоносных программ группа в основном использует метод spear phishing, используя "0-day" и ранее известные инструменты, такие как BlackEnergy, Industroyer и KillDisk. NotPetya и Olympic Destroyer - еще две вредоносные программы, приписываемые Sandworm, а CaddyWiper - вредоносная программа-чистильщик, которая использовалась Sandworm до вторжения России в Украину.
#ParsedReport
21-03-2023
The Unintentional Leak: A glimpse into the attack vectors ofAPT37. Summary
https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37
Actors/Campaigns:
Apt37
Threats:
Chinotto
Industry:
Education, Financial, Foodtech, Petroleum
Geo:
Korea, Korean, Asia, Jordan
IOCs:
File: 18
Hash: 137
Path: 2
Url: 1
Softs:
android, microsoft excel, office 365
Algorithms:
base64
Functions:
xlAutoOpen, NEW
21-03-2023
The Unintentional Leak: A glimpse into the attack vectors ofAPT37. Summary
https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37
Actors/Campaigns:
Apt37
Threats:
Chinotto
Industry:
Education, Financial, Foodtech, Petroleum
Geo:
Korea, Korean, Asia, Jordan
IOCs:
File: 18
Hash: 137
Path: 2
Url: 1
Softs:
android, microsoft excel, office 365
Algorithms:
base64
Functions:
xlAutoOpen, NEW
Zscaler
APT37 | ThreatLabz
An operational security failure by the North Korean threat actor - APT37, led to the discovery of many previously unknown tools and techniques used by them
CTT Report Hub
#ParsedReport 21-03-2023 The Unintentional Leak: A glimpse into the attack vectors ofAPT37. Summary https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37 Actors/Campaigns: Apt37 Threats: Chinotto Industry: Education…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
APT37 - это базирующийся в Северной Корее APT, которая действует уже более двух лет и нацелена на отдельных людей в южнокорейских организациях. Он распространяет бэкдор Chinotto PowerShell с использованием различных векторов атак, включая файлы справки Windows (CHM), HTA, HWP (Hancom office), XLL (MS Excel Add-in) и макросы MS Office, а также фишинговые атаки на учетные данные. Недавно специалисты Zscaler ThreatLabz обнаружили репозиторий GitHub, принадлежащий одному из членов APT37, что дало нам доступ к обширной информации об их деятельности, мотивах, целях и используемых темах.
Векторы атак, использованные APT37 в этой кампании, включают размещение вредоносной полезной нагрузки внутри архивных файлов, LNK-файлов с HTML-приманками, XLL-файлов, файлов MS Office Word с макросами и HWP-файлов со встроенными OLE-объектами. Анализ истории коммитов репозитория GitHub показал, что первый коммит произошел в октябре 2020 года, что говорит о том, что угрожающему субъекту удалось сохранить репозиторий без обнаружения и уничтожения.
В ходе нашего расследования мы также выяснили, что APT37 в значительной степени нацелена на организации в Южной Корее, о чем свидетельствуют темы и приманки, используемые в их кампаниях социальной инженерии. Они постоянно обновляют свои тактики, методы и процедуры и экспериментируют с новыми форматами файлов и методами обхода систем безопасности. Мы будем продолжать следить за деятельностью этого агента угроз и обеспечивать защиту наших клиентов от APT37.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
APT37 - это базирующийся в Северной Корее APT, которая действует уже более двух лет и нацелена на отдельных людей в южнокорейских организациях. Он распространяет бэкдор Chinotto PowerShell с использованием различных векторов атак, включая файлы справки Windows (CHM), HTA, HWP (Hancom office), XLL (MS Excel Add-in) и макросы MS Office, а также фишинговые атаки на учетные данные. Недавно специалисты Zscaler ThreatLabz обнаружили репозиторий GitHub, принадлежащий одному из членов APT37, что дало нам доступ к обширной информации об их деятельности, мотивах, целях и используемых темах.
Векторы атак, использованные APT37 в этой кампании, включают размещение вредоносной полезной нагрузки внутри архивных файлов, LNK-файлов с HTML-приманками, XLL-файлов, файлов MS Office Word с макросами и HWP-файлов со встроенными OLE-объектами. Анализ истории коммитов репозитория GitHub показал, что первый коммит произошел в октябре 2020 года, что говорит о том, что угрожающему субъекту удалось сохранить репозиторий без обнаружения и уничтожения.
В ходе нашего расследования мы также выяснили, что APT37 в значительной степени нацелена на организации в Южной Корее, о чем свидетельствуют темы и приманки, используемые в их кампаниях социальной инженерии. Они постоянно обновляют свои тактики, методы и процедуры и экспериментируют с новыми форматами файлов и методами обхода систем безопасности. Мы будем продолжать следить за деятельностью этого агента угроз и обеспечивать защиту наших клиентов от APT37.
#ParsedReport
21-03-2023
CHM malware tracking using EDR
https://asec.ahnlab.com/ko/49939
Actors/Campaigns:
Kimsuky
TTPs:
IOCs:
File: 2
Command: 2
Path: 1
IP: 1
Url: 1
Hash: 2
21-03-2023
CHM malware tracking using EDR
https://asec.ahnlab.com/ko/49939
Actors/Campaigns:
Kimsuky
TTPs:
IOCs:
File: 2
Command: 2
Path: 1
IP: 1
Url: 1
Hash: 2
ASEC
EDR을 활용한 CHM 악성코드 추적 - ASEC
AhnLab Security Emergency response Center(ASEC)은 최근 CHM(Compiled HTML Help File)을 이용한 APT 공격 사례를 공개하였다. 패스워드 파일로 위장하여 유포 중인 악성코드 – ASEC BLOG AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는…
#ParsedReport
22-03-2023
Nexus: a new Android botnet?
https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet
Threats:
Nexus
Anatsa
Sova
Bratarat
Industry:
Financial
Geo:
Francesco, Belarus, Ukraine, Uzbekistan, Moldova, Tajikistan, Kyrgyzstan, Indonesia, Armenia, Azerbaijan, Japanese, Russia, Russian, Kazakhstan
IOCs:
Hash: 1
IP: 2
Softs:
android, telegram)
Algorithms:
aes
Functions:
preloadCheck
22-03-2023
Nexus: a new Android botnet?
https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet
Threats:
Nexus
Anatsa
Sova
Bratarat
Industry:
Financial
Geo:
Francesco, Belarus, Ukraine, Uzbekistan, Moldova, Tajikistan, Kyrgyzstan, Indonesia, Armenia, Azerbaijan, Japanese, Russia, Russian, Kazakhstan
IOCs:
Hash: 1
IP: 2
Softs:
android, telegram)
Algorithms:
aes
Functions:
preloadCheck
Cleafy
Nexus: a new Android botnet? | Cleafy Labs
A new Android banking trojan might be spreading under the name of Nexus. It is promoted via a MaaS subscription and it contains some relations with an already known SOVA banking trojan. Read the full article to know more about this new player in cybercrime.
CTT Report Hub
#ParsedReport 22-03-2023 Nexus: a new Android botnet? https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet Threats: Nexus Anatsa Sova Bratarat Industry: Financial Geo: Francesco, Belarus, Ukraine, Uzbekistan, Moldova, Tajikistan, Kyrgyzstan,…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Nexus - это новый банковский троян для Android, впервые замеченный на многочисленных подпольных хакерских форумах в январе 2023 года. Он продвигается как вредоносное ПО как услуга (MaaS), когда разработчики предлагают свои услуги другим преступникам или частным лицам на основе аренды или подписки. Nexus обладает всеми возможностями для проведения атак на банковские приложения и криптовалютные сервисы, таких как кража учетных данных и перехват SMS. Он также имеет встроенный список инъекций против 450 финансовых приложений.
Анализ Nexus показал, что он содержит некоторое сходство кода с SOVA, банковским трояном для Android, появившимся в середине 2021 года. Считается, что авторы Nexus переняли и повторно использовали старые наработки SOVA, тем более что его автор начал делиться информацией о Nexus и его связи с SOVA. Nexus обладает возможностями шифрования, хотя этот модуль, похоже, находится в стадии разработки. Кроме того, в коде присутствуют многочисленные отладочные строки и механизм протоколирования, который отслеживает все выполняемые действия, что говорит о том, что вредоносная программа все еще находится на ранней стадии разработки.
Веб-панель Nexus C2 позволяет злоумышленникам удаленно управлять устройствами жертвы и отдавать команды для сбора украденных данных. Она также содержит полный список из 450 страниц входа в банковские приложения для перехвата действительных учетных данных и может быть настроена для создания пользовательских инъекций. Хотя Nexus все еще находится на ранней стадии развития, уровень заражения, о котором сообщают многочисленные C2-панели, говорит о том, что это уже реальная угроза, способная заразить сотни устройств по всему миру. Вполне вероятно, что Nexus продолжит развиваться и станет еще более опасным в ближайшем будущем.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Nexus - это новый банковский троян для Android, впервые замеченный на многочисленных подпольных хакерских форумах в январе 2023 года. Он продвигается как вредоносное ПО как услуга (MaaS), когда разработчики предлагают свои услуги другим преступникам или частным лицам на основе аренды или подписки. Nexus обладает всеми возможностями для проведения атак на банковские приложения и криптовалютные сервисы, таких как кража учетных данных и перехват SMS. Он также имеет встроенный список инъекций против 450 финансовых приложений.
Анализ Nexus показал, что он содержит некоторое сходство кода с SOVA, банковским трояном для Android, появившимся в середине 2021 года. Считается, что авторы Nexus переняли и повторно использовали старые наработки SOVA, тем более что его автор начал делиться информацией о Nexus и его связи с SOVA. Nexus обладает возможностями шифрования, хотя этот модуль, похоже, находится в стадии разработки. Кроме того, в коде присутствуют многочисленные отладочные строки и механизм протоколирования, который отслеживает все выполняемые действия, что говорит о том, что вредоносная программа все еще находится на ранней стадии разработки.
Веб-панель Nexus C2 позволяет злоумышленникам удаленно управлять устройствами жертвы и отдавать команды для сбора украденных данных. Она также содержит полный список из 450 страниц входа в банковские приложения для перехвата действительных учетных данных и может быть настроена для создания пользовательских инъекций. Хотя Nexus все еще находится на ранней стадии развития, уровень заражения, о котором сообщают многочисленные C2-панели, говорит о том, что это уже реальная угроза, способная заразить сотни устройств по всему миру. Вполне вероятно, что Nexus продолжит развиваться и станет еще более опасным в ближайшем будущем.
#ParsedReport
22-03-2023
Session Cookies, Keychains, SSH Keys and More \| 7 Kinds of Data Malware Steals from macOS Users
https://www.sentinelone.com/blog/session-cookies-keychains-ssh-keys-and-more-7-kinds-of-data-malware-steals-from-macos-users
Threats:
Teamviewer_tool
Xcsset
Dazzlespy
Cloudmensis_rat
Formbook
Chromeloader
Cratedepression
Typosquatting_technique
Poseidon
Industry:
E-commerce
Geo:
Chinese
IOCs:
File: 10
Hash: 39
Softs:
macos, keychain, slack, zoom, chrome, 'chrome', (macos, unix
Algorithms:
base64, 3des, des
Functions:
getifaddrs, NSFullUserName, interface
Languages:
rust, python
Platforms:
apple
Links:
22-03-2023
Session Cookies, Keychains, SSH Keys and More \| 7 Kinds of Data Malware Steals from macOS Users
https://www.sentinelone.com/blog/session-cookies-keychains-ssh-keys-and-more-7-kinds-of-data-malware-steals-from-macos-users
Threats:
Teamviewer_tool
Xcsset
Dazzlespy
Cloudmensis_rat
Formbook
Chromeloader
Cratedepression
Typosquatting_technique
Poseidon
Industry:
E-commerce
Geo:
Chinese
IOCs:
File: 10
Hash: 39
Softs:
macos, keychain, slack, zoom, chrome, 'chrome', (macos, unix
Algorithms:
base64, 3des, des
Functions:
getifaddrs, NSFullUserName, interface
Languages:
rust, python
Platforms:
apple
Links:
https://github.com/jukai9316/JKEncrypthttps://github.com/acheong08/CVE-2022-26726-POChttps://github.com/SentineLabs/XProtect-Malware-Families/blob/main/XProtect\_Signature\_Names.txthttps://github.com/The404Hacking/EggShell-RATSentinelOne
Session Cookies, Keychains, SSH Keys and More | 7 Kinds of Data Malware Steals from macOS Users
Stealing data from Mac devices can unlock the door for both financially-motivated cybercrime and espionage. Learn how recent macOS malware does it.
CTT Report Hub
#ParsedReport 22-03-2023 Session Cookies, Keychains, SSH Keys and More \| 7 Kinds of Data Malware Steals from macOS Users https://www.sentinelone.com/blog/session-cookies-keychains-ssh-keys-and-more-7-kinds-of-data-malware-steals-from-macos-users Threats:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Устройства Mac в основном были надежным убежищем от атак вымогательских программ, которые в течение последних пяти лет поражали конечные точки Windows. Вместо этого злоумышленники перешли к другим методам атак, таким как перехват cookie-файлов сеанса, связок ключей, SSH-ключей и других данных от рекламного ПО, шпионских программ и других вредоносных процессов. Эти данные могут использоваться для кампаний шпионажа, атак на цепочки поставок и продаваться на подпольных форумах или рынках.
Для защиты своих активов организациям необходимо знать, какие данные являются целью вредоносных программ для macOS. Сеансовые файлы cookie обычно находятся в доступных пользователю местах и могут быть украдены, если злоумышленник знает пароль пользователя для входа в систему. Связки ключей используют надежное шифрование, но могут быть разблокированы с помощью пароля пользователя, что делает их привлекательной целью для злоумышленников. Вредоносные процессы могут также просить пользователя повысить привилегии, устанавливать привилегированные исполняемые файлы и красть пароли с помощью диалоговых уведомлений.
Pureland infostealer - один из примеров вредоносного ПО, которое нацелено как на зашифрованные, так и на незашифрованные базы данных, связанные с корпоративным программным обеспечением. Она похищает учетные данные, такие как строки данных Chrome, а также ключи SSH и AWS. Другие примеры вредоносных программ для macOS включают OSX.Zuru, CrateDepression, DazzleSpy, XLoader и ChromeLoader. Все эти вредоносные программы запрашивают и извлекают данные об окружающей среде с хостов, которые могут быть использованы для выборочной доставки вредоносных программ и их исполнения.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Устройства Mac в основном были надежным убежищем от атак вымогательских программ, которые в течение последних пяти лет поражали конечные точки Windows. Вместо этого злоумышленники перешли к другим методам атак, таким как перехват cookie-файлов сеанса, связок ключей, SSH-ключей и других данных от рекламного ПО, шпионских программ и других вредоносных процессов. Эти данные могут использоваться для кампаний шпионажа, атак на цепочки поставок и продаваться на подпольных форумах или рынках.
Для защиты своих активов организациям необходимо знать, какие данные являются целью вредоносных программ для macOS. Сеансовые файлы cookie обычно находятся в доступных пользователю местах и могут быть украдены, если злоумышленник знает пароль пользователя для входа в систему. Связки ключей используют надежное шифрование, но могут быть разблокированы с помощью пароля пользователя, что делает их привлекательной целью для злоумышленников. Вредоносные процессы могут также просить пользователя повысить привилегии, устанавливать привилегированные исполняемые файлы и красть пароли с помощью диалоговых уведомлений.
Pureland infostealer - один из примеров вредоносного ПО, которое нацелено как на зашифрованные, так и на незашифрованные базы данных, связанные с корпоративным программным обеспечением. Она похищает учетные данные, такие как строки данных Chrome, а также ключи SSH и AWS. Другие примеры вредоносных программ для macOS включают OSX.Zuru, CrateDepression, DazzleSpy, XLoader и ChromeLoader. Все эти вредоносные программы запрашивают и извлекают данные об окружающей среде с хостов, которые могут быть использованы для выборочной доставки вредоносных программ и их исполнения.
#ParsedReport
21-03-2023
. DarkPink Organizes Attacks Targeting Indonesian Diplomatic Service and Philippine Military
https://www.antiy.cn/research/notice&report/research_report/20230320.html
Actors/Campaigns:
Darkpink (motivation: cyber_espionage, information_theft)
Threats:
Dll_sideloading_technique
Kamikakabot
Telepowerbot
Dllhijacker
Pss
Trojan/win32.agentb
Industry:
Maritime
Geo:
Indonesian, Malaysia, Philippines, Indonesia, Norwegian, Vietnam, Cambodia, Australia, Asia, Philippine
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 11
Hash: 2
Registry: 1
Softs:
telegram, microsoft visual c++, visual studio, chrome, winlogon
Algorithms:
base64, xor
Functions:
GetExportedTypes
Platforms:
amd64, x64
21-03-2023
. DarkPink Organizes Attacks Targeting Indonesian Diplomatic Service and Philippine Military
https://www.antiy.cn/research/notice&report/research_report/20230320.html
Actors/Campaigns:
Darkpink (motivation: cyber_espionage, information_theft)
Threats:
Dll_sideloading_technique
Kamikakabot
Telepowerbot
Dllhijacker
Pss
Trojan/win32.agentb
Industry:
Maritime
Geo:
Indonesian, Malaysia, Philippines, Indonesia, Norwegian, Vietnam, Cambodia, Australia, Asia, Philippine
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 11
Hash: 2
Registry: 1
Softs:
telegram, microsoft visual c++, visual studio, chrome, winlogon
Algorithms:
base64, xor
Functions:
GetExportedTypes
Platforms:
amd64, x64
www.antiy.cn
DarkPink组织针对印度尼西亚外交部门和菲律宾军事部门的攻击活动
安天CERT近期监测到多起APT组织DarkPink针对印度尼西亚外交部门及菲律宾军事部门的攻击活动
CTT Report Hub
#ParsedReport 21-03-2023 . DarkPink Organizes Attacks Targeting Indonesian Diplomatic Service and Philippine Military https://www.antiy.cn/research/notice&report/research_report/20230320.html Actors/Campaigns: Darkpink (motivation: cyber_espionage, information_theft)…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
APT-организация DarkPink действует с середины 2021 года, атакуя различные ведомства и отрасли в Юго-Восточной Азии. Недавно они провели атаки на Министерство иностранных дел Республики Индонезия и руководителя Исполнительного совета АСЕАН, а также на военную сферу на Филиппинах. Злоумышленники использовали ISO-образ, содержащий вредоносный код, доставленный посредством spear phishing, чтобы побудить пользователей открыть замаскированный исполняемый файл. Вредоносные модули использовали боковую загрузку DLL для обхода обнаружения и создавали переменные окружения, запланированные задачи и мьютекс для достижения персистентности.
Вредоносные полезные нагрузки собирали основную информацию о машине жертвы и отправляли ее обратно в Telegram, где злоумышленники общались с зараженным хостом в цикле для получения команд и отправки результатов команд. В качестве полезных нагрузок использовались KamiKakaBot 1 и TelePowerBot 1. По сравнению с предыдущими атаками DarkPink, есть некоторые изменения в деталях, включая добавление новой функции шифрования строк для KamiKakaBot 1, чтобы скрыть некоторые особенности.
В целом, DarkPink продолжает использовать самостоятельно разработанные инструменты и корректировать их в соответствии с различными целями атак для осуществления скрытой и постоянной шпионской деятельности. Злоумышленники используют фишинг копьем для доставки вредоносных ISO-образов и боковой загрузки DLL для обхода мер безопасности. Они также собирают информацию с зараженных узлов и общаются через Telegram. Такая тактика демонстрирует изощренность этой конкретной APT-группы, что делает ее угрозой, к которой следует относиться серьезно.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
APT-организация DarkPink действует с середины 2021 года, атакуя различные ведомства и отрасли в Юго-Восточной Азии. Недавно они провели атаки на Министерство иностранных дел Республики Индонезия и руководителя Исполнительного совета АСЕАН, а также на военную сферу на Филиппинах. Злоумышленники использовали ISO-образ, содержащий вредоносный код, доставленный посредством spear phishing, чтобы побудить пользователей открыть замаскированный исполняемый файл. Вредоносные модули использовали боковую загрузку DLL для обхода обнаружения и создавали переменные окружения, запланированные задачи и мьютекс для достижения персистентности.
Вредоносные полезные нагрузки собирали основную информацию о машине жертвы и отправляли ее обратно в Telegram, где злоумышленники общались с зараженным хостом в цикле для получения команд и отправки результатов команд. В качестве полезных нагрузок использовались KamiKakaBot 1 и TelePowerBot 1. По сравнению с предыдущими атаками DarkPink, есть некоторые изменения в деталях, включая добавление новой функции шифрования строк для KamiKakaBot 1, чтобы скрыть некоторые особенности.
В целом, DarkPink продолжает использовать самостоятельно разработанные инструменты и корректировать их в соответствии с различными целями атак для осуществления скрытой и постоянной шпионской деятельности. Злоумышленники используют фишинг копьем для доставки вредоносных ISO-образов и боковой загрузки DLL для обхода мер безопасности. Они также собирают информацию с зараженных узлов и общаются через Telegram. Такая тактика демонстрирует изощренность этой конкретной APT-группы, что делает ее угрозой, к которой следует относиться серьезно.
#ParsedReport
22-03-2023
Emotet Comeback: New Campaign Using Binary Padding to Evade Detection
https://www.netskope.com/blog/emotet-comeback-new-campaign-using-binary-padding-to-evade-detection
Threats:
Emotet
Hiatusrat
Amphitryon
IOCs:
File: 3
Softs:
microsoft office
Algorithms:
zip
YARA: Found
22-03-2023
Emotet Comeback: New Campaign Using Binary Padding to Evade Detection
https://www.netskope.com/blog/emotet-comeback-new-campaign-using-binary-padding-to-evade-detection
Threats:
Emotet
Hiatusrat
Amphitryon
IOCs:
File: 3
Softs:
microsoft office
Algorithms:
zip
YARA: Found
Netskope
Emotet Comeback: New Campaign Using Binary Padding to Evade Detection
Summary Emotet is undoubtedly a very resilient botnet. Even though its operation was disrupted by Europol in January 2021, Emotet came back a few months
CTT Report Hub
#ParsedReport 22-03-2023 Emotet Comeback: New Campaign Using Binary Padding to Evade Detection https://www.netskope.com/blog/emotet-comeback-new-campaign-using-binary-padding-to-evade-detection Threats: Emotet Hiatusrat Amphitryon IOCs: File: 3 Softs:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Emotet - невероятно живучий ботнет, который действует с 2021 года. Несмотря на то, что в январе того же года его деятельность была пресечена Европолом, уже через несколько месяцев он вернулся и начал распространяться. В мае 2022 года Microsoft выпустила новые средства контроля, связанные с вредоносными макросами, а Netskope Threat Labs обнаружила кампанию Emotet, использующую LNK-файлы в качестве способа доставки. В июне 2022 года была обнаружена новая кампания, в которой злоумышленники по-прежнему использовали файлы Office. В марте 2023 года была запущена еще одна кампания с тем же методом доставки, но злоумышленники добавили технику для увеличения размера файлов и обхода решений безопасности.
В последней кампании Emotet использует Microsoft Office, двоичный блокнот и ZIP-файлы для доставки полезной нагрузки. Он использует один и тот же шаблон Office с 2021 года, а полезная нагрузка хранится в зашифрованном виде как ресурсы в PE-файле. Конечная полезная нагрузка похожа на ту, что была получена в мае 2022 года. Помимо техники двоичной подшивки, злоумышленники Emotet используют те же приемы, что и в более ранних кампаниях, например, злоупотребление файлами Microsoft Office с одним и тем же шаблоном, распространение через спам-письма и использование нескольких URL-адресов для загрузки второго этапа.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Emotet - невероятно живучий ботнет, который действует с 2021 года. Несмотря на то, что в январе того же года его деятельность была пресечена Европолом, уже через несколько месяцев он вернулся и начал распространяться. В мае 2022 года Microsoft выпустила новые средства контроля, связанные с вредоносными макросами, а Netskope Threat Labs обнаружила кампанию Emotet, использующую LNK-файлы в качестве способа доставки. В июне 2022 года была обнаружена новая кампания, в которой злоумышленники по-прежнему использовали файлы Office. В марте 2023 года была запущена еще одна кампания с тем же методом доставки, но злоумышленники добавили технику для увеличения размера файлов и обхода решений безопасности.
В последней кампании Emotet использует Microsoft Office, двоичный блокнот и ZIP-файлы для доставки полезной нагрузки. Он использует один и тот же шаблон Office с 2021 года, а полезная нагрузка хранится в зашифрованном виде как ресурсы в PE-файле. Конечная полезная нагрузка похожа на ту, что была получена в мае 2022 года. Помимо техники двоичной подшивки, злоумышленники Emotet используют те же приемы, что и в более ранних кампаниях, например, злоупотребление файлами Microsoft Office с одним и тем же шаблоном, распространение через спам-письма и использование нескольких URL-адресов для загрузки второго этапа.
#ParsedReport
21-03-2023
NAPLISTENER: more bad dreams from developers of SIESTAGRAPH
https://www.elastic.co/security-labs/naplistener-more-bad-dreams-from-the-developers-of-siestagraph
Actors/Campaigns:
Ref2924 (motivation: information_theft)
Threats:
Naplistener
Siestagraph
Remcos_rat
Geo:
Asia
IOCs:
File: 3
Softs:
windows service
Algorithms:
base64
Functions:
SetRespHeader
Languages:
python
Links:
21-03-2023
NAPLISTENER: more bad dreams from developers of SIESTAGRAPH
https://www.elastic.co/security-labs/naplistener-more-bad-dreams-from-the-developers-of-siestagraph
Actors/Campaigns:
Ref2924 (motivation: information_theft)
Threats:
Naplistener
Siestagraph
Remcos_rat
Geo:
Asia
IOCs:
File: 3
Softs:
windows service
Algorithms:
base64
Functions:
SetRespHeader
Languages:
python
Links:
https://github.com/A-D-Team/SharpMemshell/blob/main/HttpListener/memshell.cswww.elastic.co
NAPLISTENER: more bad dreams from developers of SIESTAGRAPH — Elastic Security Labs
Elastic Security Labs observes that the threat behind SIESTAGRAPH has shifted priorities from data theft to persistent access, deploying new malware like NAPLISTENER to evade detection.
CTT Report Hub
#ParsedReport 21-03-2023 NAPLISTENER: more bad dreams from developers of SIESTAGRAPH https://www.elastic.co/security-labs/naplistener-more-bad-dreams-from-the-developers-of-siestagraph Actors/Campaigns: Ref2924 (motivation: information_theft) Threats:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Лаборатория Elastic Security Labs недавно заметила изменение в тактике одного из субъектов угроз, который сместил акцент с кражи данных на создание постоянного доступа. Для достижения этой цели они развернули новый образец вредоносного ПО под названием NAPLISTENER. Этот исполняемый файл написан на языке C# и функционирует как HTTP-приемник. Он способен принимать запросы из Интернета, декодировать их из формата Base64 и выполнять в памяти.
Чтобы помочь избежать обнаружения, NAPLISTENER ведет себя аналогично легитимным веб-серверам, запущенным на целевой машине. Он требует создания и регистрации SSL-сертификата для использования, а также запуска скрипта python с полезной нагрузкой, закодированной в формате Base64.
Анализ кода выявил сходство между NAPLISTENER и публичным репозиторием GitHub, что говорит о том, что угрожающий субъект использует открытый код для разработки дополнительных прототипов и кода производственного качества. Это свидетельствует о необходимости совершенствования методов обнаружения для защиты от подобных угроз.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
Лаборатория Elastic Security Labs недавно заметила изменение в тактике одного из субъектов угроз, который сместил акцент с кражи данных на создание постоянного доступа. Для достижения этой цели они развернули новый образец вредоносного ПО под названием NAPLISTENER. Этот исполняемый файл написан на языке C# и функционирует как HTTP-приемник. Он способен принимать запросы из Интернета, декодировать их из формата Base64 и выполнять в памяти.
Чтобы помочь избежать обнаружения, NAPLISTENER ведет себя аналогично легитимным веб-серверам, запущенным на целевой машине. Он требует создания и регистрации SSL-сертификата для использования, а также запуска скрипта python с полезной нагрузкой, закодированной в формате Base64.
Анализ кода выявил сходство между NAPLISTENER и публичным репозиторием GitHub, что говорит о том, что угрожающий субъект использует открытый код для разработки дополнительных прототипов и кода производственного качества. Это свидетельствует о необходимости совершенствования методов обнаружения для защиты от подобных угроз.