#ParsedReport
23-03-2023

Cisco Talos Intelligence Blog. Emotet Resumes Spam Operations, Switches to OneNote

https://blog.talosintelligence.com/emotet-switches-to-onenote

Threats:
Emotet
Hiatusrat

IOCs:
File: 1

Softs:
onenote, microsoft word

Algorithms:
zip

Languages:
javascript

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2023/03?ref=blog.talosintelligence.com

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

С момента своего возвращения в начале марта 2023 года ботнет Emotet активно пытался заразить жертв с помощью масштабных кампаний электронной почты. Первоначально электронные письма содержали сильно набитые документы Microsoft Word, предназначенные для обхода анализа в песочнице и защиты конечных точек. Однако из-за недавно внедренных компанией Microsoft механизмов безопасности Emotet пришлось изменить свой подход и вместо них начать распространять вредоносные документы OneNote.

Вредоносные письма содержат вложенный ZIP-архив, содержащий документ Microsoft Word или OneNote, в зависимости от того, какую кампанию Emotet использует в данный момент. Документы Word содержат вредоносные макросы VBA, которые при выполнении работают как загрузчик вредоносного ПО, извлекающий полезную нагрузку Emotet с контролируемых злоумышленниками серверов распространения. Документы OneNote содержат встроенный WSF-сценарий, расположенный за кнопкой просмотра и содержащий вредоносный код VBScript, который также отвечает за загрузку полезной нагрузки Emotet и заражение системы.

С момента своего появления Emotet несколько раз изменял свою цепочку заражения, вероятно, в результате уменьшения числа заражений и снижения показателей успешности. Это указывает на то, что субъекты угроз, стоящие за Emotet, активно отслеживают свои кампании атак и вносят изменения в зависимости от того, что работает, а что нет. Поэтому важно сохранять бдительность в отношении новых спам-кампаний и убедиться, что все меры безопасности приняты для защиты от Emotet и других подобных угроз.

#ParsedReport
23-03-2023

Nevada Ransomware Being Distributed in Korea

https://asec.ahnlab.com/en/50063

Threats:
Nevada_ransomware
Vssadmin_tool
Bcedit_tool
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785

Industry:
Financial

Geo:
Korea

TTPs:

IOCs:
File: 1
Path: 1
IP: 1
Registry: 3
Hash: 1

Softs:
windows defender

Functions:
Control

Win API:
DeviceIoControl

Languages:
rust

Platforms:
x86

Links:
https://github.com/gtworek/PSBits/blob/master/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE/IOCTL\_VOLSNAP\_SET\_MAX\_DIFF\_AREA\_SIZE.c

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации АнЛаб Секьюрити (ASEC) обнаружил случаи распространения программы Nevada ransomware. Отличительной чертой этой вредоносной программы является то, что она добавляет расширение .NEVADA к зараженным файлам. После шифрования каталогов программа генерирует в каждом каталоге заметки о выкупе с именем README.txt, содержащие ссылку на браузер Tor для оплаты. Nevada поддерживает командные опции для контроля над исполнением, включая самоудаление, загрузку дополнительного диска и работу в безопасном режиме.

Помимо этих функций, Nevada также использует DeviceIoControl для вмешательства в восстановление системы, а также для доступа к общим сетевым ресурсам в системе и выполнения шифрования. Он также способен перезагружать систему и работать в безопасном режиме, а также удалять WinDefender из списка автозапускаемых служб.

Программа-вымогатель разработана таким образом, чтобы не заражать системы в некоторых странах Содружества Независимых Государств (СНГ), например, в странах, относящихся к бывшему Советскому Союзу. Она также включает в себя процедуру проверки имен файлов и папок, которые исключены из шифрования.

Для защиты от заражения пользователям следует проявлять осторожность при запуске файлов из неизвестных источников, проверять подозрительные файлы с помощью антивирусной программы и поддерживать программу в актуальном состоянии. V3 обнаруживает это вредоносное ПО особыми способами.

Ransomware типа Nevada - это вредоносная программа, которая шифрует файлы и папки на компьютерах и требует оплаты в обмен на их разблокировку. Этот конкретный тип ransomware написан на основе Rust, и его отличительной чертой является добавление расширения .NEVADA к заражаемым файлам. После шифрования каталогов Nevada ransomware создает в каждом каталоге записку с именем README.txt, содержащую ссылку на браузер Tor для оплаты.

Nevada поддерживает различные командные опции, чтобы дать пользователям больше контроля над методом выполнения, включая самоудаление, загрузку дополнительного диска и работу в безопасном режиме. Он также использует DeviceIoControl для вмешательства в восстановление системы, доступа к общим сетевым ресурсам в системе и выполнения шифрования. Кроме того, он может перезагружать систему и работать в безопасном режиме, а также удалять WinDefender из списка служб автозапуска.

Nevada ransomware не заражает системы в некоторых странах Содружества Независимых Государств (СНГ), относящихся к бывшему Советскому Союзу, и включает в себя процедуру проверки имен файлов и папок, которые исключены из шифрования.

#ParsedReport
23-03-2023

Malicious JavaScript Injection Campaign Infects 51k Websites

https://unit42.paloaltonetworks.com/malicious-javascript-injection

Threats:
Gobruteforcer_botnet
Trigona

IOCs:
File: 2

Languages:
javascript, golang

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи Unit 42 недавно обнаружили вредоносную кампанию по внедрению JavaScript, которая была активна с 2022 года и продолжает заражать веб-сайты в 2023 году. Эта кампания многогранна по своей природе, поскольку она использует обфускацию, атаки доброкачественного добавления и многоэтапные инъекции для обхода обнаружения. Она внедряет несколько вариантов образцов вредоносного JS-кода на веб-сайты и перенаправляет жертв на вредоносный контент, такой как рекламное ПО и мошеннические страницы.

Например, злоумышленники часто используют методы обфускации, чтобы скрыть внешний URL, используемый для загрузки вредоносного JS-кода. Более того, они также используют добавление кода в большие доброкачественные файлы, что известно как атака добавления доброкачественного кода. Эти методы помогают им избежать обнаружения краулерами безопасности.

Инжектированный JS-код во всех фрагментах JS-кода, найденных в кампании, предназначен для манипулирования объектной моделью документа (DOM) и добавления внешнего вредоносного JS-кода, что облегчает злоумышленникам изменение вредоносной полезной нагрузки. Более того, недавний вариант этой кампании выполняет серию промежуточных JS-инъекций перед загрузкой полезной нагрузки, которая перенаправляет жертву на вредоносную веб-страницу. Конечная полезная нагрузка обычно перенаправляет пользователей на страницу рекламного или мошеннического ПО.

#ParsedReport
23-03-2023

New Kritec Magecart skimmer found on Magento stores

https://www.malwarebytes.com/blog/threat-intelligence/2023/03/new-kritec-skimmer

Actors/Campaigns:
Magecart

Threats:
Kritec

Geo:
Canada

IOCs:
Domain: 21

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последние месяцы скиммеры Magecart стали появляться во многих интернет-магазинах. Эти вредоносные скрипты способны украсть информацию о кредитной карте пользователя, не давая ему об этом знать. Этот новый скиммер не связан с другими активными кампаниями, и исследователи из Akamai и Recorded Future зафиксировали, что этот вредоносный скрипт встроен в библиотеку Google Tag Manager.

Недавно исследователи обнаружили новый скиммер, который они назвали "Kritec". Он также встречается в скрипте Google Tag Manager, но отличается от других скиммеров методом загрузки вредоносного JavaScript. Вместо прямого обращения к вредоносному домену, внедренный код обращается к первому домену (закодированному в Base64), генерируя в ответ URL, указывающий на фактический код скимминга. Этот код сильно обфусцирован, что затрудняет его обнаружение.

Особую опасность Kritec придает то, что в некоторых магазинах оба скиммера загружены одновременно, что означает, что информация о кредитной карте жертвы похищается дважды. Что еще хуже, утечка данных Kritec происходит иначе, чем у других скиммеров, поскольку украденные данные кредитной карты отправляются либо через WebSocket, либо через POST-запрос.

Исследователи сообщают о злоупотреблениях Kritec компанией Cloudflare, которая используется для сокрытия своей реальной инфраструктуры. К счастью, клиенты Malwarebytes защищены от этой кампании с помощью веб-защиты в Endpoint Protection и Malwarebytes Premium. Интернет-покупателям важно оставаться бдительными и знать о потенциальных угрозах, скрывающихся в сети.

#ParsedReport
23-03-2023

MDS Evasion Feature of Anti-sandboxes That Uses Pop-up Windows

https://asec.ahnlab.com/en/50198

Threats:
Icedid

IOCs:
Hash: 1
Url: 1

Algorithms:
exhibit

#ParsedReport
23-03-2023

Credential Caution: Exploring the New Public Cloud File-Borne Phishing Attack

https://inquest.net/blog/2023/03/22/credential-caution-exploring-new-public-cloud-file-borne-phishing-attack

Industry:
Financial, Healthcare, Government

IOCs:
Domain: 11
Url: 17
Hash: 2

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Киберпреступники атаковали пользователей окружного агентства здравоохранения определенного муниципалитета с помощью вредоносного электронного письма, выдаваемого за счет на оплату. Письмо содержало URL-адрес, указывающий на PDF-документ, хранящийся на Raven, который, в свою очередь, вел на поддельную страницу входа в учетную запись Microsoft, размещенную в блочном хранилище Microsoft Azure. Вводя свои учетные данные на этой странице, пользователи неосознанно отправляли свои данные на удаленный веб-сайт. Связанные с этой атакой страницы также размещались на Azure и Backblaze B2.

Такой вид кражи учетных данных может быть использован для различных вредоносных действий. Злоумышленники могут получить доступ к частным сетям и приложениям через украденные учетные данные, подвергая конфиденциальную информацию опасности потери. Они могут использовать учетные данные для организации атак по цепочке поставок на другие цели или даже продавать их на подпольных рынках и в магазинах аккаунтов. Для защиты от такого рода атак организациям следует внедрить средства многофакторной аутентификации (MFA), чтобы защитить учетные записи пользователей от захвата. Они также должны отслеживать журналы электронной почты на предмет сообщений с терминами, связанными с заказами, счетами, платежами и подобными темами. Приняв эти меры предосторожности, организации смогут снизить риск стать жертвой подобных кампаний.

#ParsedReport
23-03-2023

BlackGuard stealer extends its capabilities in new variant

https://cybersecurity.att.com/blogs/labs-research/blackguard-stealer-extends-its-capabilities-in-new-variant

Actors/Campaigns:
Dev-0960

Threats:
Blackguard_stealer
Alien
Tron
Process_injection_technique
Process_hollowing_technique
Credential_dumping_technique

Industry:
Entertainment, Financial

Geo:
Russian

TTPs:
Tactics: 10
Technics: 20

IOCs:
File: 3
Url: 1
Hash: 1

Softs:
telegram, chromium, chrome, chromeplus, 7star, centbrowser, chedot, vivaldi, kometa, epic privacy browser, have more...

Algorithms:
zip

Functions:
OpenVPN

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

BlackGuard - это новый вариант вредоносной программы-кражи, которая продавалась как "вредоносное ПО как услуга" на подпольных форумах и в Telegram с 2021 года. Вредоносная программа была разработана с целью кражи конфиденциальных данных из широкого спектра приложений и браузеров, включая криптовалютные кошельки и пароли. Она способна распространяться через съемные носители и устройства общего доступа, а также добавляет стойкость, чтобы пережить перезагрузку системы, добавляя себя в ключ реестра Run.

Новый вариант BlackGuard имеет несколько дополнительных возможностей, таких как перехват криптовалютных адресов, скопированных в буфер обмена, и замена их адресом субъекта угрозы. Он также загружает и выполняет дополнительные вредоносные программы из командной панели управления. Кроме того, он ищет и отправляет документы с определенными расширениями обратно на свою панель управления.

Исследователи AT&T Alien Labs выявили несколько технических индикаторов, связанных с полученными сведениями. К ним относятся файлы, папки, IP-адреса, домены и другие действия, связанные с угонщиком BlackGuard. Они также опубликовали список индикаторов в OTX Pulse, который читатели могут использовать для настройки или развертывания обнаружения в своих собственных средах или для помощи в дополнительных исследованиях.

В целом, BlackGuard - это опасное вредоносное ПО, которое собирает и крадет пользовательские данные из широкого спектра приложений и браузеров. Он способен распространяться через съемные носители и общие устройства и даже может перехватывать криптовалютные кошельки. Поэтому организациям следует знать об угрозе, исходящей от этого вредоносного ПО, и принять меры по защите от него.

#ParsedReport
23-03-2023

Cinoshi Project and the Dark Side of Free MaaS

https://blog.cyble.com/2023/03/23/cinoshi-project-and-the-dark-side-of-free-maas

Threats:
Cinoshi
Zingo_stealer
Beacon

Industry:
Financial, Government

TTPs:
Tactics: 8
Technics: 20

IOCs:
Url: 13
File: 11
Path: 2
Command: 1
Registry: 5
Hash: 3

Softs:
telegram, chromium, discord, windows defender, chrome, windows update service, windows update medic service, wuauserv, task scheduler

Algorithms:
zip, base64

Win Services:
WebClient

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Cyble Research and Intelligence Labs (CRIL) недавно обнаружила новую платформу Malware-as-a-Service (MaaS) под названием Cinoshi, которая позволяет киберпреступникам проводить атаки в больших масштабах. Платформа предлагает четыре основные услуги: Stealer, Botnet, Clipper и Cryptominer. Stealer предлагается бесплатно и поставляется с панелью настройки для создания бинарного файла. Он собирает конфиденциальные данные из таких приложений, как веб-браузеры и криптографические расширения, а также из популярных приложений, таких как Discord, Telegram и Steam. Ботнет позволяет TA загружать и исполнять дополнительные семейства вредоносного ПО на системе жертвы. Клиппер нацелен на множество криптоадресов, таких как Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Neocoin, Bitcoin Cash и Dashcoin, а также может нацеливаться на пользователей Steam, подменяя их торговую ссылку steam ссылкой ТА. Cryptominer способен добывать такие криптовалюты, как Ethereum и Monero, а ТП могут настраивать сборку майнера через веб-панель.

Наличие бесплатных программ для кражи делает их легкодоступными даже для людей с ограниченными техническими знаниями, что приводит к увеличению риска для предприятий, правительств и частных лиц. Для защиты от таких угроз рекомендуется использовать лучшие методы обеспечения кибербезопасности, такие как отказ от загрузки пиратского программного обеспечения, использование надежных паролей и многофакторной аутентификации, включение автоматического обновления программного обеспечения, использование известного антивируса и пакета интернет-безопасности, воздержание от открытия ненадежных ссылок и вложений электронной почты, обучение сотрудников защите от угроз, блокирование URL-адресов, которые могут быть использованы для распространения вредоносного ПО, мониторинг сети на предмет маячков и включение решений Data Loss Prevention.

#ParsedReport
23-03-2023

Kimsuky group distributes malware disguised as a profile file (GitHub)

https://asec.ahnlab.com/ko/50275

Actors/Campaigns:
Kimsuky
Apt37

Geo:
Korea

IOCs:
File: 1
Hash: 2
Url: 1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносные программы представляют собой серьезную угрозу для пользователей компьютеров. В последние годы вредоносные макросы VBA все чаще используются для доступа к компьютерам и сетям с целью доставки вредоносного ПО. Этот тип атак особенно опасен, поскольку его трудно обнаружить.

В данном случае вредоносный макрос VBA был включен в документ Word. Когда макрос был активирован, он получил доступ к серверу Command & Control (C2) через PowerShell для загрузки и выполнения дополнительных сценариев. Тип вредоносной программы, которая в итоге была выполнена, соответствовал типу, определенному исследователями безопасности, и собирал информацию, хранящуюся в браузере.

Принцип работы этой атаки заключается в том, что злоумышленник отправляет письмо, содержащее вредоносный документ Word. Получатель открывает документ, что приводит к запуску вредоносного макроса. Макрос получает доступ к серверу C2 и загружает вредоносные сценарии, которые затем выполняются на целевой машине. После установки вредоносная программа может выполнять любые действия - от кражи данных до получения контроля над машиной.

Для защиты от атак макросов VBA пользователям следует убедиться, что они используют современное антивирусное программное обеспечение и следят за исправлениями в своих операционных системах. Кроме того, пользователям следует остерегаться открытия подозрительных писем и вложений. Если вы получили письмо с вложением или ссылкой, которые кажутся неуместными, лучше удалить письмо, не открывая его.

В заключение следует отметить, что атаки макросов VBA могут быть опасными и трудно обнаруживаемыми. Важно, чтобы пользователи оставались бдительными и предпринимали шаги для защиты от таких атак. Поддерживая свои системы в актуальном состоянии, избегая подозрительных писем и используя надежное антивирусное программное обеспечение, пользователи могут обезопасить свои машины от вредоносных макросов VBA и других видов вредоносного ПО.

#ParsedReport
23-03-2023

ASEC Weekly Malware Statistics (March 13th, 2023 March 19th, 2023)

https://asec.ahnlab.com/en/50173

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
23-03-2023

Pack it Secretly: Earth Pretas Updated Stealthy Strategies. Pack it Secretly: Earth Preta s Updated Stealthy Strategies

https://www.trendmicro.com/en_us/research/23/c/earth-preta-updated-stealthy-strategies.html

Actors/Campaigns:
Earth_preta
Red_delta

Threats:
Dll_sideloading_technique
Toneins
Toneshell
Pubload
Qmagent
Acnshell
Uac_bypass_technique
Uacme
Backdoor.win32.clexec
Coolclient
Troclient
Plugx_rat
Cobalt_strike
Mqsttang
Trojan.win32.hiupan
Trojan.win32.nupakage
Trojan.win32.zpakage
Trojan.win32.abpass
Trojan.win32.ccpass

Industry:
Iot, Government

Geo:
Myanmar, Burmese, Australian

TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 70
IP: 7
Hash: 50
Path: 8
Registry: 1
Domain: 1
Email: 2

Softs:
curl, curl), internet explorer, windows service

Algorithms:
xor, rc4, zip

Platforms:
x86

Links:
https://gist.github.com/dezhub/c0fee68d1e06657a45ec39365362fca7
https://github.com/hfiref0x/UACME/blob/c998cb1f1bafd36f566f17208b915dc48dda5edf/Source/Akagi/methods/azagarampur.c#L1199
https://github.com/hfiref0x/UACME/blob/75b39e214ef6c2e37f04463f89aa0433afb2b08a/Source/Akagi/methods/shellsup.c#L495
https://github.com/hfiref0x/UACME

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Preta - организованная и умелая группа угроз, которая активно меняет свои инструменты, тактику и процедуры (TTP) для обхода решений по обеспечению безопасности. Начиная с октября 2022 года, они начали использовать новые методы, такие как защищенные паролем архивы и методы обфускации, для развертывания вредоносных программ TONEINS, TONESHELL, PUBLOAD, HIUPAN и ACNSHELL. Кроме того, мы наблюдали использование нескольких инструментов для обхода UAC в Windows 10, включая HackTool.Win32.ABPASS и HackTool.Win32.CCPASS. Угрожающие субъекты также использовали несколько инструментов и команд для командно-контрольных операций. Для эксфильтрации они использовали WinRAR, cURL и два специальных инструмента - NUPAKAGE и ZPAKAGE - для сбора данных в пользовательском формате файлов. Для защиты от сложных угроз организациям следует обучить сотрудников распознавать фишинговые письма, принять комплексную стратегию безопасности и отслеживать вредоносную деятельность в своих сетях.

#ParsedReport
23-03-2023

Not sleeping anymore: SOMNIRECORD's wake-up call

https://www.elastic.co/security-labs/not-sleeping-anymore-somnirecords-wakeup-call

Actors/Campaigns:
Ref2924

Threats:
Somnirecord
Naplistener
Siestagraph
Beacon

IOCs:
File: 1

Links:
https://github.com/chouaibhm/DNS-Persist/