#ParsedReport
22-03-2023

Emotet Comeback: New Campaign Using Binary Padding to Evade Detection

https://www.netskope.com/blog/emotet-comeback-new-campaign-using-binary-padding-to-evade-detection

Threats:
Emotet
Hiatusrat
Amphitryon

IOCs:
File: 3

Softs:
microsoft office

Algorithms:
zip

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Emotet - невероятно живучий ботнет, который действует с 2021 года. Несмотря на то, что в январе того же года его деятельность была пресечена Европолом, уже через несколько месяцев он вернулся и начал распространяться. В мае 2022 года Microsoft выпустила новые средства контроля, связанные с вредоносными макросами, а Netskope Threat Labs обнаружила кампанию Emotet, использующую LNK-файлы в качестве способа доставки. В июне 2022 года была обнаружена новая кампания, в которой злоумышленники по-прежнему использовали файлы Office. В марте 2023 года была запущена еще одна кампания с тем же методом доставки, но злоумышленники добавили технику для увеличения размера файлов и обхода решений безопасности.

В последней кампании Emotet использует Microsoft Office, двоичный блокнот и ZIP-файлы для доставки полезной нагрузки. Он использует один и тот же шаблон Office с 2021 года, а полезная нагрузка хранится в зашифрованном виде как ресурсы в PE-файле. Конечная полезная нагрузка похожа на ту, что была получена в мае 2022 года. Помимо техники двоичной подшивки, злоумышленники Emotet используют те же приемы, что и в более ранних кампаниях, например, злоупотребление файлами Microsoft Office с одним и тем же шаблоном, распространение через спам-письма и использование нескольких URL-адресов для загрузки второго этапа.

#ParsedReport
21-03-2023

NAPLISTENER: more bad dreams from developers of SIESTAGRAPH

https://www.elastic.co/security-labs/naplistener-more-bad-dreams-from-the-developers-of-siestagraph

Actors/Campaigns:
Ref2924 (motivation: information_theft)

Threats:
Naplistener
Siestagraph
Remcos_rat

Geo:
Asia

IOCs:
File: 3

Softs:
windows service

Algorithms:
base64

Functions:
SetRespHeader

Languages:
python

Links:
https://github.com/A-D-Team/SharpMemshell/blob/main/HttpListener/memshell.cs

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Лаборатория Elastic Security Labs недавно заметила изменение в тактике одного из субъектов угроз, который сместил акцент с кражи данных на создание постоянного доступа. Для достижения этой цели они развернули новый образец вредоносного ПО под названием NAPLISTENER. Этот исполняемый файл написан на языке C# и функционирует как HTTP-приемник. Он способен принимать запросы из Интернета, декодировать их из формата Base64 и выполнять в памяти.

Чтобы помочь избежать обнаружения, NAPLISTENER ведет себя аналогично легитимным веб-серверам, запущенным на целевой машине. Он требует создания и регистрации SSL-сертификата для использования, а также запуска скрипта python с полезной нагрузкой, закодированной в формате Base64.

Анализ кода выявил сходство между NAPLISTENER и публичным репозиторием GitHub, что говорит о том, что угрожающий субъект использует открытый код для разработки дополнительных прототипов и кода производственного качества. Это свидетельствует о необходимости совершенствования методов обнаружения для защиты от подобных угроз.

#ParsedReport
21-03-2023

Notorious SideCopy APT group sets sights on India s DRDO

https://blog.cyble.com/2023/03/21/notorious-sidecopy-apt-group-sets-sights-on-indias-drdo

Actors/Campaigns:
Sidecopy
Sidewinder
Transparenttribe

Threats:
Dll_sideloading_technique
Beacon

Industry:
Maritime, Government, Aerospace

Geo:
Asian, Pakistan, Indian, Afghanistan, India

TTPs:
Tactics: 7
Technics: 12

IOCs:
Url: 4
File: 8
Path: 2
IP: 1
Hash: 5

Softs:
microsoft powerpoint

Algorithms:
base64, zip

Functions:
PinkAgain

Win API:
CreateProcessW

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

SideCopy APT - это агент угроз из Пакистана, действующий с 2019 года и нацеленный на страны Южной Азии, такие как Индия и Афганистан. Он получил свое название благодаря цепочке заражения, которая имитирует цепочку заражения SideWinder APT. Недавно Cyble Research and Intelligence Labs (CRIL) обнаружила сообщение в Twitter о текущей кампании SideCopy APT против Организации оборонных исследований и разработок (DRDO) правительства Индии.

Атака начинается со спам-письма, содержащего ссылку на вредоносный файл, размещенный на взломанном сайте. Ссылка позволяет пользователям загрузить ZIP-файл, содержащий LNK-файл под названием "DRDO K4 Missile Clean room.pptx.lnk". После выполнения этот ЛНК-файл декодирует и распаковывает PPT-файл, закодированный в формате Base64, и запускает его. Кроме того, DLL-загрузчик использовался для развертывания вредоносной программы AuTo Stealer, которая может собирать PDF-документы, файлы Office/текст/базы данных и изображения и передавать их по HTTP или TCP.

SideCopy - это APT-группа, которая постоянно совершенствует свои методы и включает в свой арсенал новые инструменты. Чтобы защитить пользователей от этих известных атак, CRIL рекомендует следовать передовым методам обеспечения кибербезопасности, таким как избегать пиратского программного обеспечения, использовать надежные пароли, включать автоматическое обновление программного обеспечения, использовать надежный антивирус, воздерживаться от открытия ненадежных ссылок и вложений электронной почты, обучать сотрудников защите от фишинга/недоверенных URL, блокировать URL, которые могут распространять вредоносное ПО, контролировать маячки на сетевом уровне, использовать решения для предотвращения потери данных и т.д.

В целом, SideCopy APT - это опасная угроза, использующая сложную тактику и изощренные инструменты для атак на правительственных и военных чиновников в Индии и Афганистане. Следование рекомендованным лучшим практикам безопасности поможет предотвратить кибератаки и сохранить данные пользователей в безопасности.

#ParsedReport
23-03-2023

Operation Tainted Love \| Chinese APTs Target Telcos in New Attacks

https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks

Actors/Campaigns:
Tainted_love (motivation: financially_motivated, cyber_espionage)
Soft_cell (motivation: financially_motivated, cyber_espionage)
Gallium (motivation: cyber_espionage)
Axiom (motivation: financially_motivated, cyber_espionage)

Threats:
Mimikatz_tool
Mim221
Phant0m
Doublepulsar
Slingshot
Pingpull
Mim220

Industry:
Entertainment, Government, Financial, Telco

Geo:
Africa, Chinese, Asia, Vietnam

TTPs:
Tactics: 1
Technics: 0

IOCs:
Command: 11
Path: 14
IP: 1
File: 3
Hash: 6

Softs:
microsoft exchange, microsoft exchange server, active directory, psexec, local security authority, windows authentication, sysinternals

Algorithms:
aes

Functions:
RPC, GetMyVersion, GetLogonInfo

Win API:
LoadLibrary, SeDebugPrivilege

Platforms:
x64

Links:
https://github.com/hlldz/Phant0m/blob/master/phant0m/phant0m-rdll/ReflectiveLoader.c
https://github.com/yt0ng/cracking\_softcell/blob/main/Cracking\_SOFTCLL\_TLP\_WHITE.pdf
https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e
https://github.com/gentilkiwi/mimikatz

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В первом квартале 2023 года компания SentinelLabs выявила увеличение числа кибератак, направленных на телекоммуникационный сектор китайскими субъектами кибершпионажа. Злоумышленники используют веб-оболочки, чтобы закрепиться и развернуть пользовательское вредоносное ПО для кражи учетных данных "mim221", которое было обновлено новыми функциями защиты от обнаружения. Хотя точная группа, стоящая за атакой, остается неясной, она, скорее всего, связана с кампанией Operation Soft Cell и APT41.

Злоумышленники используют такие приемы, как reflective image loading и token impersonation, чтобы избежать обнаружения. Архитектура вредоносной программы состоит из четырех компонентов: исполняемого файла pc.exe Windows и содержащихся в нем DLL AddSecurityPackage64.dll, pc.dll и getHashFlsa64.dll. Эти компоненты отвечают за получение системных привилегий, отключение регистрации событий и внедрение вредоносного кода в процесс LSASS.

Известно, что китайские группы кибершпионажа проявляют стратегический интерес к Ближнему Востоку, и эта активность является еще одним примером их попыток атаковать различные организации. Наш анализ вредоносной программы mim221 демонстрирует постоянные усилия этих субъектов угроз по обновлению своего инструментария новыми техниками для уклонения от обнаружения.

Это вызывает особую озабоченность, учитывая, что эти атаки направлены на конфиденциальную информацию, хранящуюся у поставщиков телекоммуникационных услуг. Поэтому они должны сохранять бдительность в защите от постоянно меняющихся угроз со стороны китайских субъектов кибершпионажа.

#ParsedReport
23-03-2023

Shining Light on Dark Power: Yet another ransomware gang

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html

Threats:
Dark_power_ransomware
Qtox
Crypren

Industry:
Education, Healthcare, Foodtech, Entertainment, Financial

Geo:
Algeria, France, Usa, Turkey, Israel, Peru, Czech, Egypt

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 26
Hash: 3
Coin: 1

Softs:
mssql, microsoft office, adobe illustrator

Algorithms:
base64, aes

Functions:
ClearEventLog

Win Services:
powerpnt, dbsnmp

Languages:
rust, golang

Platforms:
x86, x64, intel

Links:
https://github.com/cheatfate/nimcrypto

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Банда Dark Power ransomware - относительно новый игрок в мире киберпреступности. Они разработали собственную уникальную программу-выкуп, написанную на языке программирования Nim, что обеспечивает ей кроссплатформенность. Программа создает рандомизированную строку ASCII длиной 64 символа в нижнем регистре для инициализации алгоритма шифрования, что затрудняет создание универсального инструмента расшифровки. Она нацелена на определенные службы на машине жертвы, такие как veeam, memtas, sql, mssql, backup, vss, sophos, svc$ и mepocs, и все связанные с ними процессы завершаются. Программа-вымогатель также исключает файлы, папки и расширения, чтобы обеспечить работоспособность системы.

Как только все целевые службы и процессы остановлены, ransomware генерирует PDF-записку с требованием выплатить 10 000 долларов США на адрес блокчейна Monero. В записке о выкупе также содержится веб-сайт Tor, на котором указаны жертвы и идентификатор qTox для чата. В природе существует две версии этой программы-выкупа, каждая из которых имеет свой ключ шифрования и формат. После полного шифрования содержимого файла программа переименовывает зашифрованные файлы с расширением ".dark_power". Группа утверждает, что успешно атаковала десять жертв в различных отраслях, включая образование, ИТ, здравоохранение, производство и пищевую промышленность.

Оплата выкупа не гарантирует, что файлы будут расшифрованы, и жертвам следует обратиться за помощью к авторитетным специалистам по безопасности, чтобы восстановить свои данные. Авторы вредоносных программ все чаще используют новые языки, такие как Nim, Golang или Rust, для разработки своих вымогательских программ, что усложняет задачу защитников. Это подчеркивает важность обмена информацией о возникающих угрозах, чтобы помочь всему сообществу.

#ParsedReport
23-03-2023

Cisco Talos Intelligence Blog. Emotet Resumes Spam Operations, Switches to OneNote

https://blog.talosintelligence.com/emotet-switches-to-onenote

Threats:
Emotet
Hiatusrat

IOCs:
File: 1

Softs:
onenote, microsoft word

Algorithms:
zip

Languages:
javascript

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2023/03?ref=blog.talosintelligence.com

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С момента своего возвращения в начале марта 2023 года ботнет Emotet активно пытался заразить жертв с помощью масштабных кампаний электронной почты. Первоначально электронные письма содержали сильно набитые документы Microsoft Word, предназначенные для обхода анализа в песочнице и защиты конечных точек. Однако из-за недавно внедренных компанией Microsoft механизмов безопасности Emotet пришлось изменить свой подход и вместо них начать распространять вредоносные документы OneNote.

Вредоносные письма содержат вложенный ZIP-архив, содержащий документ Microsoft Word или OneNote, в зависимости от того, какую кампанию Emotet использует в данный момент. Документы Word содержат вредоносные макросы VBA, которые при выполнении работают как загрузчик вредоносного ПО, извлекающий полезную нагрузку Emotet с контролируемых злоумышленниками серверов распространения. Документы OneNote содержат встроенный WSF-сценарий, расположенный за кнопкой просмотра и содержащий вредоносный код VBScript, который также отвечает за загрузку полезной нагрузки Emotet и заражение системы.

С момента своего появления Emotet несколько раз изменял свою цепочку заражения, вероятно, в результате уменьшения числа заражений и снижения показателей успешности. Это указывает на то, что субъекты угроз, стоящие за Emotet, активно отслеживают свои кампании атак и вносят изменения в зависимости от того, что работает, а что нет. Поэтому важно сохранять бдительность в отношении новых спам-кампаний и убедиться, что все меры безопасности приняты для защиты от Emotet и других подобных угроз.

#ParsedReport
23-03-2023

Nevada Ransomware Being Distributed in Korea

https://asec.ahnlab.com/en/50063

Threats:
Nevada_ransomware
Vssadmin_tool
Bcedit_tool
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785

Industry:
Financial

Geo:
Korea

TTPs:

IOCs:
File: 1
Path: 1
IP: 1
Registry: 3
Hash: 1

Softs:
windows defender

Functions:
Control

Win API:
DeviceIoControl

Languages:
rust

Platforms:
x86

Links:
https://github.com/gtworek/PSBits/blob/master/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE.c

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации АнЛаб Секьюрити (ASEC) обнаружил случаи распространения программы Nevada ransomware. Отличительной чертой этой вредоносной программы является то, что она добавляет расширение .NEVADA к зараженным файлам. После шифрования каталогов программа генерирует в каждом каталоге заметки о выкупе с именем README.txt, содержащие ссылку на браузер Tor для оплаты. Nevada поддерживает командные опции для контроля над исполнением, включая самоудаление, загрузку дополнительного диска и работу в безопасном режиме.

Помимо этих функций, Nevada также использует DeviceIoControl для вмешательства в восстановление системы, а также для доступа к общим сетевым ресурсам в системе и выполнения шифрования. Он также способен перезагружать систему и работать в безопасном режиме, а также удалять WinDefender из списка автозапускаемых служб.

Программа-вымогатель разработана таким образом, чтобы не заражать системы в некоторых странах Содружества Независимых Государств (СНГ), например, в странах, относящихся к бывшему Советскому Союзу. Она также включает в себя процедуру проверки имен файлов и папок, которые исключены из шифрования.

Для защиты от заражения пользователям следует проявлять осторожность при запуске файлов из неизвестных источников, проверять подозрительные файлы с помощью антивирусной программы и поддерживать программу в актуальном состоянии. V3 обнаруживает это вредоносное ПО особыми способами.

Ransomware типа Nevada - это вредоносная программа, которая шифрует файлы и папки на компьютерах и требует оплаты в обмен на их разблокировку. Этот конкретный тип ransomware написан на основе Rust, и его отличительной чертой является добавление расширения .NEVADA к заражаемым файлам. После шифрования каталогов Nevada ransomware создает в каждом каталоге записку с именем README.txt, содержащую ссылку на браузер Tor для оплаты.

Nevada поддерживает различные командные опции, чтобы дать пользователям больше контроля над методом выполнения, включая самоудаление, загрузку дополнительного диска и работу в безопасном режиме. Он также использует DeviceIoControl для вмешательства в восстановление системы, доступа к общим сетевым ресурсам в системе и выполнения шифрования. Кроме того, он может перезагружать систему и работать в безопасном режиме, а также удалять WinDefender из списка служб автозапуска.

Nevada ransomware не заражает системы в некоторых странах Содружества Независимых Государств (СНГ), относящихся к бывшему Советскому Союзу, и включает в себя процедуру проверки имен файлов и папок, которые исключены из шифрования.

#ParsedReport
23-03-2023

Malicious JavaScript Injection Campaign Infects 51k Websites

https://unit42.paloaltonetworks.com/malicious-javascript-injection

Threats:
Gobruteforcer_botnet
Trigona

IOCs:
File: 2

Languages:
javascript, golang

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи Unit 42 недавно обнаружили вредоносную кампанию по внедрению JavaScript, которая была активна с 2022 года и продолжает заражать веб-сайты в 2023 году. Эта кампания многогранна по своей природе, поскольку она использует обфускацию, атаки доброкачественного добавления и многоэтапные инъекции для обхода обнаружения. Она внедряет несколько вариантов образцов вредоносного JS-кода на веб-сайты и перенаправляет жертв на вредоносный контент, такой как рекламное ПО и мошеннические страницы.

Например, злоумышленники часто используют методы обфускации, чтобы скрыть внешний URL, используемый для загрузки вредоносного JS-кода. Более того, они также используют добавление кода в большие доброкачественные файлы, что известно как атака добавления доброкачественного кода. Эти методы помогают им избежать обнаружения краулерами безопасности.

Инжектированный JS-код во всех фрагментах JS-кода, найденных в кампании, предназначен для манипулирования объектной моделью документа (DOM) и добавления внешнего вредоносного JS-кода, что облегчает злоумышленникам изменение вредоносной полезной нагрузки. Более того, недавний вариант этой кампании выполняет серию промежуточных JS-инъекций перед загрузкой полезной нагрузки, которая перенаправляет жертву на вредоносную веб-страницу. Конечная полезная нагрузка обычно перенаправляет пользователей на страницу рекламного или мошеннического ПО.

#ParsedReport
23-03-2023

New Kritec Magecart skimmer found on Magento stores

https://www.malwarebytes.com/blog/threat-intelligence/2023/03/new-kritec-skimmer

Actors/Campaigns:
Magecart

Threats:
Kritec

Geo:
Canada

IOCs:
Domain: 21

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последние месяцы скиммеры Magecart стали появляться во многих интернет-магазинах. Эти вредоносные скрипты способны украсть информацию о кредитной карте пользователя, не давая ему об этом знать. Этот новый скиммер не связан с другими активными кампаниями, и исследователи из Akamai и Recorded Future зафиксировали, что этот вредоносный скрипт встроен в библиотеку Google Tag Manager.

Недавно исследователи обнаружили новый скиммер, который они назвали "Kritec". Он также встречается в скрипте Google Tag Manager, но отличается от других скиммеров методом загрузки вредоносного JavaScript. Вместо прямого обращения к вредоносному домену, внедренный код обращается к первому домену (закодированному в Base64), генерируя в ответ URL, указывающий на фактический код скимминга. Этот код сильно обфусцирован, что затрудняет его обнаружение.

Особую опасность Kritec придает то, что в некоторых магазинах оба скиммера загружены одновременно, что означает, что информация о кредитной карте жертвы похищается дважды. Что еще хуже, утечка данных Kritec происходит иначе, чем у других скиммеров, поскольку украденные данные кредитной карты отправляются либо через WebSocket, либо через POST-запрос.

Исследователи сообщают о злоупотреблениях Kritec компанией Cloudflare, которая используется для сокрытия своей реальной инфраструктуры. К счастью, клиенты Malwarebytes защищены от этой кампании с помощью веб-защиты в Endpoint Protection и Malwarebytes Premium. Интернет-покупателям важно оставаться бдительными и знать о потенциальных угрозах, скрывающихся в сети.

#ParsedReport
23-03-2023

MDS Evasion Feature of Anti-sandboxes That Uses Pop-up Windows

https://asec.ahnlab.com/en/50198

Threats:
Icedid

IOCs:
Hash: 1
Url: 1

Algorithms:
exhibit

#ParsedReport
23-03-2023

Credential Caution: Exploring the New Public Cloud File-Borne Phishing Attack

https://inquest.net/blog/2023/03/22/credential-caution-exploring-new-public-cloud-file-borne-phishing-attack

Industry:
Financial, Healthcare, Government

IOCs:
Domain: 11
Url: 17
Hash: 2

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Киберпреступники атаковали пользователей окружного агентства здравоохранения определенного муниципалитета с помощью вредоносного электронного письма, выдаваемого за счет на оплату. Письмо содержало URL-адрес, указывающий на PDF-документ, хранящийся на Raven, который, в свою очередь, вел на поддельную страницу входа в учетную запись Microsoft, размещенную в блочном хранилище Microsoft Azure. Вводя свои учетные данные на этой странице, пользователи неосознанно отправляли свои данные на удаленный веб-сайт. Связанные с этой атакой страницы также размещались на Azure и Backblaze B2.

Такой вид кражи учетных данных может быть использован для различных вредоносных действий. Злоумышленники могут получить доступ к частным сетям и приложениям через украденные учетные данные, подвергая конфиденциальную информацию опасности потери. Они могут использовать учетные данные для организации атак по цепочке поставок на другие цели или даже продавать их на подпольных рынках и в магазинах аккаунтов. Для защиты от такого рода атак организациям следует внедрить средства многофакторной аутентификации (MFA), чтобы защитить учетные записи пользователей от захвата. Они также должны отслеживать журналы электронной почты на предмет сообщений с терминами, связанными с заказами, счетами, платежами и подобными темами. Приняв эти меры предосторожности, организации смогут снизить риск стать жертвой подобных кампаний.