#ParsedReport
21-03-2023

The Unintentional Leak: A glimpse into the attack vectors ofAPT37. Summary

https://www.zscaler.com/blogs/security-research/unintentional-leak-glimpse-attack-vectors-apt37

Actors/Campaigns:
Apt37

Threats:
Chinotto

Industry:
Education, Financial, Foodtech, Petroleum

Geo:
Korea, Korean, Asia, Jordan

IOCs:
File: 18
Hash: 137
Path: 2
Url: 1

Softs:
android, microsoft excel, office 365

Algorithms:
base64

Functions:
xlAutoOpen, NEW

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

APT37 - это базирующийся в Северной Корее APT, которая действует уже более двух лет и нацелена на отдельных людей в южнокорейских организациях. Он распространяет бэкдор Chinotto PowerShell с использованием различных векторов атак, включая файлы справки Windows (CHM), HTA, HWP (Hancom office), XLL (MS Excel Add-in) и макросы MS Office, а также фишинговые атаки на учетные данные. Недавно специалисты Zscaler ThreatLabz обнаружили репозиторий GitHub, принадлежащий одному из членов APT37, что дало нам доступ к обширной информации об их деятельности, мотивах, целях и используемых темах.

Векторы атак, использованные APT37 в этой кампании, включают размещение вредоносной полезной нагрузки внутри архивных файлов, LNK-файлов с HTML-приманками, XLL-файлов, файлов MS Office Word с макросами и HWP-файлов со встроенными OLE-объектами. Анализ истории коммитов репозитория GitHub показал, что первый коммит произошел в октябре 2020 года, что говорит о том, что угрожающему субъекту удалось сохранить репозиторий без обнаружения и уничтожения.

В ходе нашего расследования мы также выяснили, что APT37 в значительной степени нацелена на организации в Южной Корее, о чем свидетельствуют темы и приманки, используемые в их кампаниях социальной инженерии. Они постоянно обновляют свои тактики, методы и процедуры и экспериментируют с новыми форматами файлов и методами обхода систем безопасности. Мы будем продолжать следить за деятельностью этого агента угроз и обеспечивать защиту наших клиентов от APT37.

#ParsedReport
21-03-2023

CHM malware tracking using EDR

https://asec.ahnlab.com/ko/49939

Actors/Campaigns:
Kimsuky

TTPs:

IOCs:
File: 2
Command: 2
Path: 1
IP: 1
Url: 1
Hash: 2

#ParsedReport
22-03-2023

Nexus: a new Android botnet?

https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet

Threats:
Nexus
Anatsa
Sova
Bratarat

Industry:
Financial

Geo:
Francesco, Belarus, Ukraine, Uzbekistan, Moldova, Tajikistan, Kyrgyzstan, Indonesia, Armenia, Azerbaijan, Japanese, Russia, Russian, Kazakhstan

IOCs:
Hash: 1
IP: 2

Softs:
android, telegram)

Algorithms:
aes

Functions:
preloadCheck

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Nexus - это новый банковский троян для Android, впервые замеченный на многочисленных подпольных хакерских форумах в январе 2023 года. Он продвигается как вредоносное ПО как услуга (MaaS), когда разработчики предлагают свои услуги другим преступникам или частным лицам на основе аренды или подписки. Nexus обладает всеми возможностями для проведения атак на банковские приложения и криптовалютные сервисы, таких как кража учетных данных и перехват SMS. Он также имеет встроенный список инъекций против 450 финансовых приложений.

Анализ Nexus показал, что он содержит некоторое сходство кода с SOVA, банковским трояном для Android, появившимся в середине 2021 года. Считается, что авторы Nexus переняли и повторно использовали старые наработки SOVA, тем более что его автор начал делиться информацией о Nexus и его связи с SOVA. Nexus обладает возможностями шифрования, хотя этот модуль, похоже, находится в стадии разработки. Кроме того, в коде присутствуют многочисленные отладочные строки и механизм протоколирования, который отслеживает все выполняемые действия, что говорит о том, что вредоносная программа все еще находится на ранней стадии разработки.

Веб-панель Nexus C2 позволяет злоумышленникам удаленно управлять устройствами жертвы и отдавать команды для сбора украденных данных. Она также содержит полный список из 450 страниц входа в банковские приложения для перехвата действительных учетных данных и может быть настроена для создания пользовательских инъекций. Хотя Nexus все еще находится на ранней стадии развития, уровень заражения, о котором сообщают многочисленные C2-панели, говорит о том, что это уже реальная угроза, способная заразить сотни устройств по всему миру. Вполне вероятно, что Nexus продолжит развиваться и станет еще более опасным в ближайшем будущем.

#ParsedReport
22-03-2023

Session Cookies, Keychains, SSH Keys and More \| 7 Kinds of Data Malware Steals from macOS Users

https://www.sentinelone.com/blog/session-cookies-keychains-ssh-keys-and-more-7-kinds-of-data-malware-steals-from-macos-users

Threats:
Teamviewer_tool
Xcsset
Dazzlespy
Cloudmensis_rat
Formbook
Chromeloader
Cratedepression
Typosquatting_technique
Poseidon

Industry:
E-commerce

Geo:
Chinese

IOCs:
File: 10
Hash: 39

Softs:
macos, keychain, slack, zoom, chrome, 'chrome', (macos, unix

Algorithms:
base64, 3des, des

Functions:
getifaddrs, NSFullUserName, interface

Languages:
rust, python

Platforms:
apple

Links:
https://github.com/jukai9316/JKEncrypt
https://github.com/acheong08/CVE-2022-26726-POC
https://github.com/SentineLabs/XProtect-Malware-Families/blob/main/XProtect\_Signature\_Names.txt
https://github.com/The404Hacking/EggShell-RAT

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Устройства Mac в основном были надежным убежищем от атак вымогательских программ, которые в течение последних пяти лет поражали конечные точки Windows. Вместо этого злоумышленники перешли к другим методам атак, таким как перехват cookie-файлов сеанса, связок ключей, SSH-ключей и других данных от рекламного ПО, шпионских программ и других вредоносных процессов. Эти данные могут использоваться для кампаний шпионажа, атак на цепочки поставок и продаваться на подпольных форумах или рынках.

Для защиты своих активов организациям необходимо знать, какие данные являются целью вредоносных программ для macOS. Сеансовые файлы cookie обычно находятся в доступных пользователю местах и могут быть украдены, если злоумышленник знает пароль пользователя для входа в систему. Связки ключей используют надежное шифрование, но могут быть разблокированы с помощью пароля пользователя, что делает их привлекательной целью для злоумышленников. Вредоносные процессы могут также просить пользователя повысить привилегии, устанавливать привилегированные исполняемые файлы и красть пароли с помощью диалоговых уведомлений.

Pureland infostealer - один из примеров вредоносного ПО, которое нацелено как на зашифрованные, так и на незашифрованные базы данных, связанные с корпоративным программным обеспечением. Она похищает учетные данные, такие как строки данных Chrome, а также ключи SSH и AWS. Другие примеры вредоносных программ для macOS включают OSX.Zuru, CrateDepression, DazzleSpy, XLoader и ChromeLoader. Все эти вредоносные программы запрашивают и извлекают данные об окружающей среде с хостов, которые могут быть использованы для выборочной доставки вредоносных программ и их исполнения.

#ParsedReport
21-03-2023

. DarkPink Organizes Attacks Targeting Indonesian Diplomatic Service and Philippine Military

https://www.antiy.cn/research/notice&report/research_report/20230320.html

Actors/Campaigns:
Darkpink (motivation: cyber_espionage, information_theft)

Threats:
Dll_sideloading_technique
Kamikakabot
Telepowerbot
Dllhijacker
Pss
Trojan/win32.agentb

Industry:
Maritime

Geo:
Indonesian, Malaysia, Philippines, Indonesia, Norwegian, Vietnam, Cambodia, Australia, Asia, Philippine

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 11
Hash: 2
Registry: 1

Softs:
telegram, microsoft visual c++, visual studio, chrome, winlogon

Algorithms:
base64, xor

Functions:
GetExportedTypes

Platforms:
amd64, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

APT-организация DarkPink действует с середины 2021 года, атакуя различные ведомства и отрасли в Юго-Восточной Азии. Недавно они провели атаки на Министерство иностранных дел Республики Индонезия и руководителя Исполнительного совета АСЕАН, а также на военную сферу на Филиппинах. Злоумышленники использовали ISO-образ, содержащий вредоносный код, доставленный посредством spear phishing, чтобы побудить пользователей открыть замаскированный исполняемый файл. Вредоносные модули использовали боковую загрузку DLL для обхода обнаружения и создавали переменные окружения, запланированные задачи и мьютекс для достижения персистентности.

Вредоносные полезные нагрузки собирали основную информацию о машине жертвы и отправляли ее обратно в Telegram, где злоумышленники общались с зараженным хостом в цикле для получения команд и отправки результатов команд. В качестве полезных нагрузок использовались KamiKakaBot 1 и TelePowerBot 1. По сравнению с предыдущими атаками DarkPink, есть некоторые изменения в деталях, включая добавление новой функции шифрования строк для KamiKakaBot 1, чтобы скрыть некоторые особенности.

В целом, DarkPink продолжает использовать самостоятельно разработанные инструменты и корректировать их в соответствии с различными целями атак для осуществления скрытой и постоянной шпионской деятельности. Злоумышленники используют фишинг копьем для доставки вредоносных ISO-образов и боковой загрузки DLL для обхода мер безопасности. Они также собирают информацию с зараженных узлов и общаются через Telegram. Такая тактика демонстрирует изощренность этой конкретной APT-группы, что делает ее угрозой, к которой следует относиться серьезно.

#ParsedReport
22-03-2023

Emotet Comeback: New Campaign Using Binary Padding to Evade Detection

https://www.netskope.com/blog/emotet-comeback-new-campaign-using-binary-padding-to-evade-detection

Threats:
Emotet
Hiatusrat
Amphitryon

IOCs:
File: 3

Softs:
microsoft office

Algorithms:
zip

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet - невероятно живучий ботнет, который действует с 2021 года. Несмотря на то, что в январе того же года его деятельность была пресечена Европолом, уже через несколько месяцев он вернулся и начал распространяться. В мае 2022 года Microsoft выпустила новые средства контроля, связанные с вредоносными макросами, а Netskope Threat Labs обнаружила кампанию Emotet, использующую LNK-файлы в качестве способа доставки. В июне 2022 года была обнаружена новая кампания, в которой злоумышленники по-прежнему использовали файлы Office. В марте 2023 года была запущена еще одна кампания с тем же методом доставки, но злоумышленники добавили технику для увеличения размера файлов и обхода решений безопасности.

В последней кампании Emotet использует Microsoft Office, двоичный блокнот и ZIP-файлы для доставки полезной нагрузки. Он использует один и тот же шаблон Office с 2021 года, а полезная нагрузка хранится в зашифрованном виде как ресурсы в PE-файле. Конечная полезная нагрузка похожа на ту, что была получена в мае 2022 года. Помимо техники двоичной подшивки, злоумышленники Emotet используют те же приемы, что и в более ранних кампаниях, например, злоупотребление файлами Microsoft Office с одним и тем же шаблоном, распространение через спам-письма и использование нескольких URL-адресов для загрузки второго этапа.

#ParsedReport
21-03-2023

NAPLISTENER: more bad dreams from developers of SIESTAGRAPH

https://www.elastic.co/security-labs/naplistener-more-bad-dreams-from-the-developers-of-siestagraph

Actors/Campaigns:
Ref2924 (motivation: information_theft)

Threats:
Naplistener
Siestagraph
Remcos_rat

Geo:
Asia

IOCs:
File: 3

Softs:
windows service

Algorithms:
base64

Functions:
SetRespHeader

Languages:
python

Links:
https://github.com/A-D-Team/SharpMemshell/blob/main/HttpListener/memshell.cs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатория Elastic Security Labs недавно заметила изменение в тактике одного из субъектов угроз, который сместил акцент с кражи данных на создание постоянного доступа. Для достижения этой цели они развернули новый образец вредоносного ПО под названием NAPLISTENER. Этот исполняемый файл написан на языке C# и функционирует как HTTP-приемник. Он способен принимать запросы из Интернета, декодировать их из формата Base64 и выполнять в памяти.

Чтобы помочь избежать обнаружения, NAPLISTENER ведет себя аналогично легитимным веб-серверам, запущенным на целевой машине. Он требует создания и регистрации SSL-сертификата для использования, а также запуска скрипта python с полезной нагрузкой, закодированной в формате Base64.

Анализ кода выявил сходство между NAPLISTENER и публичным репозиторием GitHub, что говорит о том, что угрожающий субъект использует открытый код для разработки дополнительных прототипов и кода производственного качества. Это свидетельствует о необходимости совершенствования методов обнаружения для защиты от подобных угроз.

#ParsedReport
21-03-2023

Notorious SideCopy APT group sets sights on India s DRDO

https://blog.cyble.com/2023/03/21/notorious-sidecopy-apt-group-sets-sights-on-indias-drdo

Actors/Campaigns:
Sidecopy
Sidewinder
Transparenttribe

Threats:
Dll_sideloading_technique
Beacon

Industry:
Maritime, Government, Aerospace

Geo:
Asian, Pakistan, Indian, Afghanistan, India

TTPs:
Tactics: 7
Technics: 12

IOCs:
Url: 4
File: 8
Path: 2
IP: 1
Hash: 5

Softs:
microsoft powerpoint

Algorithms:
base64, zip

Functions:
PinkAgain

Win API:
CreateProcessW

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

SideCopy APT - это агент угроз из Пакистана, действующий с 2019 года и нацеленный на страны Южной Азии, такие как Индия и Афганистан. Он получил свое название благодаря цепочке заражения, которая имитирует цепочку заражения SideWinder APT. Недавно Cyble Research and Intelligence Labs (CRIL) обнаружила сообщение в Twitter о текущей кампании SideCopy APT против Организации оборонных исследований и разработок (DRDO) правительства Индии.

Атака начинается со спам-письма, содержащего ссылку на вредоносный файл, размещенный на взломанном сайте. Ссылка позволяет пользователям загрузить ZIP-файл, содержащий LNK-файл под названием "DRDO K4 Missile Clean room.pptx.lnk". После выполнения этот ЛНК-файл декодирует и распаковывает PPT-файл, закодированный в формате Base64, и запускает его. Кроме того, DLL-загрузчик использовался для развертывания вредоносной программы AuTo Stealer, которая может собирать PDF-документы, файлы Office/текст/базы данных и изображения и передавать их по HTTP или TCP.

SideCopy - это APT-группа, которая постоянно совершенствует свои методы и включает в свой арсенал новые инструменты. Чтобы защитить пользователей от этих известных атак, CRIL рекомендует следовать передовым методам обеспечения кибербезопасности, таким как избегать пиратского программного обеспечения, использовать надежные пароли, включать автоматическое обновление программного обеспечения, использовать надежный антивирус, воздерживаться от открытия ненадежных ссылок и вложений электронной почты, обучать сотрудников защите от фишинга/недоверенных URL, блокировать URL, которые могут распространять вредоносное ПО, контролировать маячки на сетевом уровне, использовать решения для предотвращения потери данных и т.д.

В целом, SideCopy APT - это опасная угроза, использующая сложную тактику и изощренные инструменты для атак на правительственных и военных чиновников в Индии и Афганистане. Следование рекомендованным лучшим практикам безопасности поможет предотвратить кибератаки и сохранить данные пользователей в безопасности.

#ParsedReport
23-03-2023

Operation Tainted Love \| Chinese APTs Target Telcos in New Attacks

https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks

Actors/Campaigns:
Tainted_love (motivation: financially_motivated, cyber_espionage)
Soft_cell (motivation: financially_motivated, cyber_espionage)
Gallium (motivation: cyber_espionage)
Axiom (motivation: financially_motivated, cyber_espionage)

Threats:
Mimikatz_tool
Mim221
Phant0m
Doublepulsar
Slingshot
Pingpull
Mim220

Industry:
Entertainment, Government, Financial, Telco

Geo:
Africa, Chinese, Asia, Vietnam

TTPs:
Tactics: 1
Technics: 0

IOCs:
Command: 11
Path: 14
IP: 1
File: 3
Hash: 6

Softs:
microsoft exchange, microsoft exchange server, active directory, psexec, local security authority, windows authentication, sysinternals

Algorithms:
aes

Functions:
RPC, GetMyVersion, GetLogonInfo

Win API:
LoadLibrary, SeDebugPrivilege

Platforms:
x64

Links:
https://github.com/hlldz/Phant0m/blob/master/phant0m/phant0m-rdll/ReflectiveLoader.c
https://github.com/yt0ng/cracking\_softcell/blob/main/Cracking\_SOFTCLL\_TLP\_WHITE.pdf
https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e
https://github.com/gentilkiwi/mimikatz

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В первом квартале 2023 года компания SentinelLabs выявила увеличение числа кибератак, направленных на телекоммуникационный сектор китайскими субъектами кибершпионажа. Злоумышленники используют веб-оболочки, чтобы закрепиться и развернуть пользовательское вредоносное ПО для кражи учетных данных "mim221", которое было обновлено новыми функциями защиты от обнаружения. Хотя точная группа, стоящая за атакой, остается неясной, она, скорее всего, связана с кампанией Operation Soft Cell и APT41.

Злоумышленники используют такие приемы, как reflective image loading и token impersonation, чтобы избежать обнаружения. Архитектура вредоносной программы состоит из четырех компонентов: исполняемого файла pc.exe Windows и содержащихся в нем DLL AddSecurityPackage64.dll, pc.dll и getHashFlsa64.dll. Эти компоненты отвечают за получение системных привилегий, отключение регистрации событий и внедрение вредоносного кода в процесс LSASS.

Известно, что китайские группы кибершпионажа проявляют стратегический интерес к Ближнему Востоку, и эта активность является еще одним примером их попыток атаковать различные организации. Наш анализ вредоносной программы mim221 демонстрирует постоянные усилия этих субъектов угроз по обновлению своего инструментария новыми техниками для уклонения от обнаружения.

Это вызывает особую озабоченность, учитывая, что эти атаки направлены на конфиденциальную информацию, хранящуюся у поставщиков телекоммуникационных услуг. Поэтому они должны сохранять бдительность в защите от постоянно меняющихся угроз со стороны китайских субъектов кибершпионажа.

#ParsedReport
23-03-2023

Shining Light on Dark Power: Yet another ransomware gang

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html

Threats:
Dark_power_ransomware
Qtox
Crypren

Industry:
Education, Healthcare, Foodtech, Entertainment, Financial

Geo:
Algeria, France, Usa, Turkey, Israel, Peru, Czech, Egypt

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 26
Hash: 3
Coin: 1

Softs:
mssql, microsoft office, adobe illustrator

Algorithms:
base64, aes

Functions:
ClearEventLog

Win Services:
powerpnt, dbsnmp

Languages:
rust, golang

Platforms:
x86, x64, intel

Links:
https://github.com/cheatfate/nimcrypto

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Банда Dark Power ransomware - относительно новый игрок в мире киберпреступности. Они разработали собственную уникальную программу-выкуп, написанную на языке программирования Nim, что обеспечивает ей кроссплатформенность. Программа создает рандомизированную строку ASCII длиной 64 символа в нижнем регистре для инициализации алгоритма шифрования, что затрудняет создание универсального инструмента расшифровки. Она нацелена на определенные службы на машине жертвы, такие как veeam, memtas, sql, mssql, backup, vss, sophos, svc$ и mepocs, и все связанные с ними процессы завершаются. Программа-вымогатель также исключает файлы, папки и расширения, чтобы обеспечить работоспособность системы.

Как только все целевые службы и процессы остановлены, ransomware генерирует PDF-записку с требованием выплатить 10 000 долларов США на адрес блокчейна Monero. В записке о выкупе также содержится веб-сайт Tor, на котором указаны жертвы и идентификатор qTox для чата. В природе существует две версии этой программы-выкупа, каждая из которых имеет свой ключ шифрования и формат. После полного шифрования содержимого файла программа переименовывает зашифрованные файлы с расширением ".dark_power". Группа утверждает, что успешно атаковала десять жертв в различных отраслях, включая образование, ИТ, здравоохранение, производство и пищевую промышленность.

Оплата выкупа не гарантирует, что файлы будут расшифрованы, и жертвам следует обратиться за помощью к авторитетным специалистам по безопасности, чтобы восстановить свои данные. Авторы вредоносных программ все чаще используют новые языки, такие как Nim, Golang или Rust, для разработки своих вымогательских программ, что усложняет задачу защитников. Это подчеркивает важность обмена информацией о возникающих угрозах, чтобы помочь всему сообществу.

#ParsedReport
23-03-2023

Cisco Talos Intelligence Blog. Emotet Resumes Spam Operations, Switches to OneNote

https://blog.talosintelligence.com/emotet-switches-to-onenote

Threats:
Emotet
Hiatusrat

IOCs:
File: 1

Softs:
onenote, microsoft word

Algorithms:
zip

Languages:
javascript

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2023/03?ref=blog.talosintelligence.com

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С момента своего возвращения в начале марта 2023 года ботнет Emotet активно пытался заразить жертв с помощью масштабных кампаний электронной почты. Первоначально электронные письма содержали сильно набитые документы Microsoft Word, предназначенные для обхода анализа в песочнице и защиты конечных точек. Однако из-за недавно внедренных компанией Microsoft механизмов безопасности Emotet пришлось изменить свой подход и вместо них начать распространять вредоносные документы OneNote.

Вредоносные письма содержат вложенный ZIP-архив, содержащий документ Microsoft Word или OneNote, в зависимости от того, какую кампанию Emotet использует в данный момент. Документы Word содержат вредоносные макросы VBA, которые при выполнении работают как загрузчик вредоносного ПО, извлекающий полезную нагрузку Emotet с контролируемых злоумышленниками серверов распространения. Документы OneNote содержат встроенный WSF-сценарий, расположенный за кнопкой просмотра и содержащий вредоносный код VBScript, который также отвечает за загрузку полезной нагрузки Emotet и заражение системы.

С момента своего появления Emotet несколько раз изменял свою цепочку заражения, вероятно, в результате уменьшения числа заражений и снижения показателей успешности. Это указывает на то, что субъекты угроз, стоящие за Emotet, активно отслеживают свои кампании атак и вносят изменения в зависимости от того, что работает, а что нет. Поэтому важно сохранять бдительность в отношении новых спам-кампаний и убедиться, что все меры безопасности приняты для защиты от Emotet и других подобных угроз.