#ParsedReport
23-03-2023

Credential Caution: Exploring the New Public Cloud File-Borne Phishing Attack

https://inquest.net/blog/2023/03/22/credential-caution-exploring-new-public-cloud-file-borne-phishing-attack

Industry:
Financial, Healthcare, Government

IOCs:
Domain: 11
Url: 17
Hash: 2

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Киберпреступники атаковали пользователей окружного агентства здравоохранения определенного муниципалитета с помощью вредоносного электронного письма, выдаваемого за счет на оплату. Письмо содержало URL-адрес, указывающий на PDF-документ, хранящийся на Raven, который, в свою очередь, вел на поддельную страницу входа в учетную запись Microsoft, размещенную в блочном хранилище Microsoft Azure. Вводя свои учетные данные на этой странице, пользователи неосознанно отправляли свои данные на удаленный веб-сайт. Связанные с этой атакой страницы также размещались на Azure и Backblaze B2.

Такой вид кражи учетных данных может быть использован для различных вредоносных действий. Злоумышленники могут получить доступ к частным сетям и приложениям через украденные учетные данные, подвергая конфиденциальную информацию опасности потери. Они могут использовать учетные данные для организации атак по цепочке поставок на другие цели или даже продавать их на подпольных рынках и в магазинах аккаунтов. Для защиты от такого рода атак организациям следует внедрить средства многофакторной аутентификации (MFA), чтобы защитить учетные записи пользователей от захвата. Они также должны отслеживать журналы электронной почты на предмет сообщений с терминами, связанными с заказами, счетами, платежами и подобными темами. Приняв эти меры предосторожности, организации смогут снизить риск стать жертвой подобных кампаний.

#ParsedReport
23-03-2023

BlackGuard stealer extends its capabilities in new variant

https://cybersecurity.att.com/blogs/labs-research/blackguard-stealer-extends-its-capabilities-in-new-variant

Actors/Campaigns:
Dev-0960

Threats:
Blackguard_stealer
Alien
Tron
Process_injection_technique
Process_hollowing_technique
Credential_dumping_technique

Industry:
Entertainment, Financial

Geo:
Russian

TTPs:
Tactics: 10
Technics: 20

IOCs:
File: 3
Url: 1
Hash: 1

Softs:
telegram, chromium, chrome, chromeplus, 7star, centbrowser, chedot, vivaldi, kometa, epic privacy browser, have more...

Algorithms:
zip

Functions:
OpenVPN

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

BlackGuard - это новый вариант вредоносной программы-кражи, которая продавалась как "вредоносное ПО как услуга" на подпольных форумах и в Telegram с 2021 года. Вредоносная программа была разработана с целью кражи конфиденциальных данных из широкого спектра приложений и браузеров, включая криптовалютные кошельки и пароли. Она способна распространяться через съемные носители и устройства общего доступа, а также добавляет стойкость, чтобы пережить перезагрузку системы, добавляя себя в ключ реестра Run.

Новый вариант BlackGuard имеет несколько дополнительных возможностей, таких как перехват криптовалютных адресов, скопированных в буфер обмена, и замена их адресом субъекта угрозы. Он также загружает и выполняет дополнительные вредоносные программы из командной панели управления. Кроме того, он ищет и отправляет документы с определенными расширениями обратно на свою панель управления.

Исследователи AT&T Alien Labs выявили несколько технических индикаторов, связанных с полученными сведениями. К ним относятся файлы, папки, IP-адреса, домены и другие действия, связанные с угонщиком BlackGuard. Они также опубликовали список индикаторов в OTX Pulse, который читатели могут использовать для настройки или развертывания обнаружения в своих собственных средах или для помощи в дополнительных исследованиях.

В целом, BlackGuard - это опасное вредоносное ПО, которое собирает и крадет пользовательские данные из широкого спектра приложений и браузеров. Он способен распространяться через съемные носители и общие устройства и даже может перехватывать криптовалютные кошельки. Поэтому организациям следует знать об угрозе, исходящей от этого вредоносного ПО, и принять меры по защите от него.

#ParsedReport
23-03-2023

Cinoshi Project and the Dark Side of Free MaaS

https://blog.cyble.com/2023/03/23/cinoshi-project-and-the-dark-side-of-free-maas

Threats:
Cinoshi
Zingo_stealer
Beacon

Industry:
Financial, Government

TTPs:
Tactics: 8
Technics: 20

IOCs:
Url: 13
File: 11
Path: 2
Command: 1
Registry: 5
Hash: 3

Softs:
telegram, chromium, discord, windows defender, chrome, windows update service, windows update medic service, wuauserv, task scheduler

Algorithms:
zip, base64

Win Services:
WebClient

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Cyble Research and Intelligence Labs (CRIL) недавно обнаружила новую платформу Malware-as-a-Service (MaaS) под названием Cinoshi, которая позволяет киберпреступникам проводить атаки в больших масштабах. Платформа предлагает четыре основные услуги: Stealer, Botnet, Clipper и Cryptominer. Stealer предлагается бесплатно и поставляется с панелью настройки для создания бинарного файла. Он собирает конфиденциальные данные из таких приложений, как веб-браузеры и криптографические расширения, а также из популярных приложений, таких как Discord, Telegram и Steam. Ботнет позволяет TA загружать и исполнять дополнительные семейства вредоносного ПО на системе жертвы. Клиппер нацелен на множество криптоадресов, таких как Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Neocoin, Bitcoin Cash и Dashcoin, а также может нацеливаться на пользователей Steam, подменяя их торговую ссылку steam ссылкой ТА. Cryptominer способен добывать такие криптовалюты, как Ethereum и Monero, а ТП могут настраивать сборку майнера через веб-панель.

Наличие бесплатных программ для кражи делает их легкодоступными даже для людей с ограниченными техническими знаниями, что приводит к увеличению риска для предприятий, правительств и частных лиц. Для защиты от таких угроз рекомендуется использовать лучшие методы обеспечения кибербезопасности, такие как отказ от загрузки пиратского программного обеспечения, использование надежных паролей и многофакторной аутентификации, включение автоматического обновления программного обеспечения, использование известного антивируса и пакета интернет-безопасности, воздержание от открытия ненадежных ссылок и вложений электронной почты, обучение сотрудников защите от угроз, блокирование URL-адресов, которые могут быть использованы для распространения вредоносного ПО, мониторинг сети на предмет маячков и включение решений Data Loss Prevention.

#ParsedReport
23-03-2023

Kimsuky group distributes malware disguised as a profile file (GitHub)

https://asec.ahnlab.com/ko/50275

Actors/Campaigns:
Kimsuky
Apt37

Geo:
Korea

IOCs:
File: 1
Hash: 2
Url: 1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносные программы представляют собой серьезную угрозу для пользователей компьютеров. В последние годы вредоносные макросы VBA все чаще используются для доступа к компьютерам и сетям с целью доставки вредоносного ПО. Этот тип атак особенно опасен, поскольку его трудно обнаружить.

В данном случае вредоносный макрос VBA был включен в документ Word. Когда макрос был активирован, он получил доступ к серверу Command & Control (C2) через PowerShell для загрузки и выполнения дополнительных сценариев. Тип вредоносной программы, которая в итоге была выполнена, соответствовал типу, определенному исследователями безопасности, и собирал информацию, хранящуюся в браузере.

Принцип работы этой атаки заключается в том, что злоумышленник отправляет письмо, содержащее вредоносный документ Word. Получатель открывает документ, что приводит к запуску вредоносного макроса. Макрос получает доступ к серверу C2 и загружает вредоносные сценарии, которые затем выполняются на целевой машине. После установки вредоносная программа может выполнять любые действия - от кражи данных до получения контроля над машиной.

Для защиты от атак макросов VBA пользователям следует убедиться, что они используют современное антивирусное программное обеспечение и следят за исправлениями в своих операционных системах. Кроме того, пользователям следует остерегаться открытия подозрительных писем и вложений. Если вы получили письмо с вложением или ссылкой, которые кажутся неуместными, лучше удалить письмо, не открывая его.

В заключение следует отметить, что атаки макросов VBA могут быть опасными и трудно обнаруживаемыми. Важно, чтобы пользователи оставались бдительными и предпринимали шаги для защиты от таких атак. Поддерживая свои системы в актуальном состоянии, избегая подозрительных писем и используя надежное антивирусное программное обеспечение, пользователи могут обезопасить свои машины от вредоносных макросов VBA и других видов вредоносного ПО.

#ParsedReport
23-03-2023

ASEC Weekly Malware Statistics (March 13th, 2023 March 19th, 2023)

https://asec.ahnlab.com/en/50173

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
23-03-2023

Pack it Secretly: Earth Pretas Updated Stealthy Strategies. Pack it Secretly: Earth Preta s Updated Stealthy Strategies

https://www.trendmicro.com/en_us/research/23/c/earth-preta-updated-stealthy-strategies.html

Actors/Campaigns:
Earth_preta
Red_delta

Threats:
Dll_sideloading_technique
Toneins
Toneshell
Pubload
Qmagent
Acnshell
Uac_bypass_technique
Uacme
Backdoor.win32.clexec
Coolclient
Troclient
Plugx_rat
Cobalt_strike
Mqsttang
Trojan.win32.hiupan
Trojan.win32.nupakage
Trojan.win32.zpakage
Trojan.win32.abpass
Trojan.win32.ccpass

Industry:
Iot, Government

Geo:
Myanmar, Burmese, Australian

TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 70
IP: 7
Hash: 50
Path: 8
Registry: 1
Domain: 1
Email: 2

Softs:
curl, curl), internet explorer, windows service

Algorithms:
xor, rc4, zip

Platforms:
x86

Links:
https://gist.github.com/dezhub/c0fee68d1e06657a45ec39365362fca7
https://github.com/hfiref0x/UACME/blob/c998cb1f1bafd36f566f17208b915dc48dda5edf/Source/Akagi/methods/azagarampur.c#L1199
https://github.com/hfiref0x/UACME/blob/75b39e214ef6c2e37f04463f89aa0433afb2b08a/Source/Akagi/methods/shellsup.c#L495
https://github.com/hfiref0x/UACME

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Preta - организованная и умелая группа угроз, которая активно меняет свои инструменты, тактику и процедуры (TTP) для обхода решений по обеспечению безопасности. Начиная с октября 2022 года, они начали использовать новые методы, такие как защищенные паролем архивы и методы обфускации, для развертывания вредоносных программ TONEINS, TONESHELL, PUBLOAD, HIUPAN и ACNSHELL. Кроме того, мы наблюдали использование нескольких инструментов для обхода UAC в Windows 10, включая HackTool.Win32.ABPASS и HackTool.Win32.CCPASS. Угрожающие субъекты также использовали несколько инструментов и команд для командно-контрольных операций. Для эксфильтрации они использовали WinRAR, cURL и два специальных инструмента - NUPAKAGE и ZPAKAGE - для сбора данных в пользовательском формате файлов. Для защиты от сложных угроз организациям следует обучить сотрудников распознавать фишинговые письма, принять комплексную стратегию безопасности и отслеживать вредоносную деятельность в своих сетях.

#ParsedReport
23-03-2023

Not sleeping anymore: SOMNIRECORD's wake-up call

https://www.elastic.co/security-labs/not-sleeping-anymore-somnirecords-wakeup-call

Actors/Campaigns:
Ref2924

Threats:
Somnirecord
Naplistener
Siestagraph
Beacon

IOCs:
File: 1

Links:
https://github.com/chouaibhm/DNS-Persist/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

SOMNIRECORD - это недавно обнаруженное семейство вредоносных программ, созданное злоумышленниками и написанное на языке C++. Она функционирует как бэкдор, маскируясь под DNS-запросы, чтобы обойти средства защиты, такие как брандмауэры и системы IDS, и поэтому ее трудно обнаружить и заблокировать. При запуске SOMNIRECORD генерирует случайную строку из трех символов для идентификации, затем проверяет доменное имя, жестко закодированное в коде со случайной строкой и приставкой "-PROBE". Затем вредоносная программа получает команды со своего C2-сервера посредством дальнейших DNS-запросов, добавляя случайную строку к строке "-CMD".

Эта вредоносная программа имеет пять команд, которые она может выполнять: SYS, PSL, sleep, ECM и WS. SYS собирает данные о зараженной машине, которые могут быть использованы для идентификации конкретных машин, ECM позволяет выполнять локальное программное обеспечение, sleep изменяет интервал передачи маячков на сервер C2, а WS развертывает веб-оболочку на базе ASPX. Чтобы передать результаты команд обратно на сервер C2, SOMNIRECORD кодирует результаты в виде шестнадцатеричных значений, добавляя случайную строку к строке "-DATA" и добавляя шестнадцатеричные значения.

Анализ сходства кода показывает, что злоумышленник черпал вдохновение в проекте с открытым исходным кодом под названием DNS-Persist, который содержит логику, аналогичную SOMNIRECORD. Это говорит о том, что злоумышленник подстраивает существующие инструменты под свои нужды, пытаясь при этом противостоять любым попыткам атрибуции.

В целом, SOMNIRECORD - это опасная вредоносная программа, использующая DNS для уклонения от обнаружения, что затрудняет ее отслеживание и уничтожение. Использование проекта с открытым исходным кодом также показывает, что злоумышленники предпринимают шаги по адаптации своих инструментов для собственных целей, что свидетельствует о более высоком уровне сложности. Специалисты по безопасности должны обратить на это внимание и принять соответствующие меры для защиты своих сетей от этой угрозы.

#ParsedReport
24-03-2023

ChinaZ DDoS Bot Malware Distributed to Linux SSH Servers

https://asec.ahnlab.com/en/50316

Threats:
Chinaz
Xorddos
Dofloo_botnet
Billgates
Mrblack
Synflood_technique
Udpflood_technique
Trojan/win32.agent.r192331

Industry:
Iot

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 2
Url: 3
File: 2
Hash: 3
Domain: 1

Softs:
ms-sql

Functions:
prctl, uname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносное ПО ChinaZ DDoS Bot, установленное на недостаточно управляемых SSH-серверах Linux. Это часть более крупной группы китайских угроз, впервые выявленных около 2014 года, и эта конкретная форма вредоносного ПО классифицируется как вредоносная программа с открытым исходным кодом. Она маскируется под "declient" (для систем Windows) или "Linux32"/"Linux64" (для систем Linux).

Это вредоносное ПО обычно устанавливается через плохое обслуживание или непропатченные серверы, которые уязвимы для атак через протокол удаленного рабочего стола (RDP) и службы MS-SQL для систем Windows или службы Secure Shell (SSH) для серверов Linux. В случае с ChinaZ для получения учетных данных и установки DDoS-клиента используется вредоносная программа SSH brute force. Затем злоумышленник отключает iptables, устанавливает вредоносное ПО в корневой каталог и регистрирует его в rc.local для сохранения.

Вредоносная программа собирает основную информацию с зараженной системы и отправляет ее на C&C-сервер, где по командам, отправленным с C&C-сервера, могут быть выполнены дальнейшие вредоносные действия. К ним относятся различные типы DDoS-атак, такие как SYN, UDP, ICMP и DNS Flood. К сожалению, хотя ChinaZ пока не был обнаружен в атаках на SSH-серверы Linux, его все еще можно найти в атаках на системы Windows на VirusTotal.

#ParsedReport
24-03-2023

The propagation of InfoStealer Malware through fake ChatGPT Facebook Ads

http://blog.nexusguard.com/the-propagation-of-infostealer-malware-through-fake-chatgpt-facebook-ads

Threats:
Redline_stealer

IOCs:
Url: 2
File: 4
IP: 1

Algorithms:
gzip

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Facebook Ads - это эффективный инструмент для продвижения своих продуктов и услуг. Однако киберпреступники используют эту платформу для распространения вредоносных программ, таких как InfoStealers, посредством фишинговых афер. Исследователи Nexusguard столкнулись с одной из таких кампаний 18 февраля 2023 года в виде спонсируемой рекламы, представляющей версию ChatGPT для Windows PC. После запуска исполняемого файла он порождал подпроцессы, добавлял запись в реестр для сохранения, выполнял DNS-запрос и пытался украсть информацию браузера. Это вредоносное ПО было идентифицировано как RedLine Stealer, который известен тем, что крадет имена пользователей, пароли, данные кредитных карт, криптовалюту, системный инвентарь, а также информацию FTP- и IM-клиентов. IntelX.io дает представление о том, насколько широко распространен этот тип вредоносного ПО среди агентств.

#ParsedReport
24-03-2023

UNC961 in the Multiverse of Mandiant: Three Encounters with a Financially Motivated Threat Actor

https://www.mandiant.com/resources/blog/unc961-multiverse-financially-motivated

Actors/Campaigns:
Unc961 (motivation: financially_motivated)
Unc3966 (motivation: financially_motivated)
Prophetspider

Threats:
Log4shell_vuln
Maze
Egregor
Holepunch_tool
Bluebeam_tool
Godzilla_loader
Holerun
Muteput
Txportmap_tool
Barnwork
Lightbunny
Dumplsass_tool
Adfind_tool
Mimikatz_tool
Dcsync_technique
Ntdsutil_tool
Doorway
Powerview

Geo:
America

CVEs:
CVE-2021-22205 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)

CVE-2019-19781 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix application delivery controller firmware (10.5, 11.1, 12.0, 12.1, 13.0)
- citrix netscaler gateway firmware (10.5, 11.1, 12.0, 12.1)
- citrix gateway firmware (13.0)

CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2020-14750 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle fusion middleware (12.1.3.0, 10.3.6.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2017-7504 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- redhat jboss enterprise application platform (le4.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)


TTPs:
Tactics: 2
Technics: 38

IOCs:
IP: 16
Command: 9
File: 14
Path: 11
Domain: 5
Url: 2
Registry: 1
Hash: 2

Softs:
confluence, unix, apache log4j, jboss, asp.net, windows service, windows background intelligent transfer service, winscp, active directory, outlook, have more...

Algorithms:
base64

Win Services:
BITS

Languages:
php, java

Links:
https://github.com/darkoperator/Veil-PowerView/blob/master/PowerView/functions/Invoke-ShareFinder.ps1
https://github.com/mattifestation/psreflect
https://github.com/nil-malh/JNDI-Exploit/blob/main/README\_OG.md
https://github.com/BurntSushi/ripgrep

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

UNC961 - это финансово мотивированный агент угроз, который действует по крайней мере с 2016 года, нацеливаясь на жертв в Северной Америке. Известно, что эта группа использует общедоступный код эксплойтов из недавно раскрытых уязвимостей и крадет конфиденциальные данные. Их цели - получить доступ к сетям и обеспечить доступ к кластерам угроз, связанным с выкупными программами.

Недавно команды Mandiant Managed Defense и Incident Response отреагировали на три вторжения UNC961 в различные организации. Эти жертвы либо находились под защитой Managed Defense, либо обратились после того, как UNC961 скомпрометировал их среду. Все вторжения начинались одинаково: злоумышленники активировали CVE-2021-44228, отправив эксплойт на вход в веб-портал приложения. На хосте было запущено несколько командных оболочек bash, в том числе и от других участников угрозы. Атакующий выполнил команду kill -9 вместе с многочисленными PID, чтобы завершить другие установленные оболочки, после чего была развернута утилита туннелирования HOLEPUNCH.

Компания Mandiant обнаружила уязвимость десериализации JBoss MQ Java Message Service (JMS) (CVE-2017-7504). Они наблюдали, как угрожающий агент генерировал HTTP POST-запрос и выполнял команду cmd.exe /c "dir k.txt". Это совпало с развертыванием веб-оболочки PHP с кодировкой Base64. Затем агент развернул вторую веб-оболочку, сгенерированную фреймворком BLUEBEAM. Эта оболочка использовалась для запуска команд для сбора информации о локальной сети. Клиент изолировал сервер, и объект угрозы был уничтожен.

В другом инциденте организация обнаружила файл с запиской о выкупе через 131 день после того, как UNC961 получил первоначальный доступ. В ходе расследования было установлено, что UNC961 передал доступ UNC3966 на 63-й день до сбора и эксфильтрации данных. UNC3966 перемещался по среде через протокол удаленного рабочего стола (RDP) и устанавливал бэкдор BARNWORK и туннельный вредоносный код LIGHTBUNNY в качестве запланированных задач. Агент использовал архивную утилиту 7-zip для сжатия данных, связанных с контрактами и бухгалтерской информацией, хранящихся на сетевом устройстве хранения данных (NAS), и передал данные по протоколу SSH на IP-адреса, контролируемые агентом угрозы. UNC3966 также выполнил несколько команд reg.exe для удаления ключей реестра, содержащих информацию о поиске файлов, работе удаленного рабочего стола служб терминалов и запуске приложений.

Компания Mandiant работала с заказчиком над укреплением среды и ограничением воздействия потенциального развертывания ransomware. В период ликвидации Mandiant помог заказчику подготовить ответные меры на возможные сценарии вымогательства или выкупа. Доступ UNC961 и UNC3966 был отозван, и клиент наконец-то покончил с этим кошмаром.

Организации могут защитить себя от таких субъектов угроз, как UNC961, используя услуги Mandiant по управляемому обнаружению и реагированию (MDR) и поиску угроз. Управление поверхностью атаки также поможет выявить уязвимости, неправильную конфигурацию и другие уязвимости, которые могут открыть путь к угрозам. При наличии таких средств защиты организации могут быть уверены, что их среда безопасна и они не станут жертвами злонамеренных действий UNC961.

#ParsedReport
24-03-2023

Kimsuky group uses ADS to hide malware

https://asec.ahnlab.com/ko/50394

Actors/Campaigns:
Kimsuky

Threats:
Netstat_tool
Magniber
Appleseed

Geo:
Korea

IOCs:
Command: 1
Path: 3
Hash: 2
Domain: 1

Languages:
vbscirpt

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносный код - это тип вредоносного ПО, который используется для сбора информации с хост-системы. Тип Infostealer характеризуется тем, что содержит реальный код среди множества фиктивных кодов, а также использует VBScript внутри HTML-файла. Декодированный файл представляет собой сценарий, используемый для поддержания устойчивости зараженной системы, что позволяет ей получить доступ к серверу C2 и выполнить дополнительный сценарий.

Весьма интересной техникой, используемой вредоносным кодом, является создание альтернативных потоков данных (Alternate Data Streams, ADS). Эта техника уже использовалась в прошлом программой Magniber ransomware и была впервые представлена ASEC Bloghas.

Использование таких методов, как ADS, подчеркивает растущую изощренность вредоносного кода и необходимость для пользователей сохранять бдительность в отношении потенциальных угроз. Хотя обнаружить вредоносный код и защитить системы от заражения стало сложнее, пользователи по-прежнему могут использовать такие методы, как регулярное обновление программного обеспечения и антивирусных пакетов, а также проявлять осторожность при загрузке файлов или переходе по ссылкам из неизвестных источников. Принимая такие меры, пользователи могут минимизировать риск заражения и помочь предотвратить дальнейшее распространение вредоносного кода.