#ParsedReport
23-03-2023

Cinoshi Project and the Dark Side of Free MaaS

https://blog.cyble.com/2023/03/23/cinoshi-project-and-the-dark-side-of-free-maas

Threats:
Cinoshi
Zingo_stealer
Beacon

Industry:
Financial, Government

TTPs:
Tactics: 8
Technics: 20

IOCs:
Url: 13
File: 11
Path: 2
Command: 1
Registry: 5
Hash: 3

Softs:
telegram, chromium, discord, windows defender, chrome, windows update service, windows update medic service, wuauserv, task scheduler

Algorithms:
zip, base64

Win Services:
WebClient

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Cyble Research and Intelligence Labs (CRIL) недавно обнаружила новую платформу Malware-as-a-Service (MaaS) под названием Cinoshi, которая позволяет киберпреступникам проводить атаки в больших масштабах. Платформа предлагает четыре основные услуги: Stealer, Botnet, Clipper и Cryptominer. Stealer предлагается бесплатно и поставляется с панелью настройки для создания бинарного файла. Он собирает конфиденциальные данные из таких приложений, как веб-браузеры и криптографические расширения, а также из популярных приложений, таких как Discord, Telegram и Steam. Ботнет позволяет TA загружать и исполнять дополнительные семейства вредоносного ПО на системе жертвы. Клиппер нацелен на множество криптоадресов, таких как Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Neocoin, Bitcoin Cash и Dashcoin, а также может нацеливаться на пользователей Steam, подменяя их торговую ссылку steam ссылкой ТА. Cryptominer способен добывать такие криптовалюты, как Ethereum и Monero, а ТП могут настраивать сборку майнера через веб-панель.

Наличие бесплатных программ для кражи делает их легкодоступными даже для людей с ограниченными техническими знаниями, что приводит к увеличению риска для предприятий, правительств и частных лиц. Для защиты от таких угроз рекомендуется использовать лучшие методы обеспечения кибербезопасности, такие как отказ от загрузки пиратского программного обеспечения, использование надежных паролей и многофакторной аутентификации, включение автоматического обновления программного обеспечения, использование известного антивируса и пакета интернет-безопасности, воздержание от открытия ненадежных ссылок и вложений электронной почты, обучение сотрудников защите от угроз, блокирование URL-адресов, которые могут быть использованы для распространения вредоносного ПО, мониторинг сети на предмет маячков и включение решений Data Loss Prevention.

#ParsedReport
23-03-2023

Kimsuky group distributes malware disguised as a profile file (GitHub)

https://asec.ahnlab.com/ko/50275

Actors/Campaigns:
Kimsuky
Apt37

Geo:
Korea

IOCs:
File: 1
Hash: 2
Url: 1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносные программы представляют собой серьезную угрозу для пользователей компьютеров. В последние годы вредоносные макросы VBA все чаще используются для доступа к компьютерам и сетям с целью доставки вредоносного ПО. Этот тип атак особенно опасен, поскольку его трудно обнаружить.

В данном случае вредоносный макрос VBA был включен в документ Word. Когда макрос был активирован, он получил доступ к серверу Command & Control (C2) через PowerShell для загрузки и выполнения дополнительных сценариев. Тип вредоносной программы, которая в итоге была выполнена, соответствовал типу, определенному исследователями безопасности, и собирал информацию, хранящуюся в браузере.

Принцип работы этой атаки заключается в том, что злоумышленник отправляет письмо, содержащее вредоносный документ Word. Получатель открывает документ, что приводит к запуску вредоносного макроса. Макрос получает доступ к серверу C2 и загружает вредоносные сценарии, которые затем выполняются на целевой машине. После установки вредоносная программа может выполнять любые действия - от кражи данных до получения контроля над машиной.

Для защиты от атак макросов VBA пользователям следует убедиться, что они используют современное антивирусное программное обеспечение и следят за исправлениями в своих операционных системах. Кроме того, пользователям следует остерегаться открытия подозрительных писем и вложений. Если вы получили письмо с вложением или ссылкой, которые кажутся неуместными, лучше удалить письмо, не открывая его.

В заключение следует отметить, что атаки макросов VBA могут быть опасными и трудно обнаруживаемыми. Важно, чтобы пользователи оставались бдительными и предпринимали шаги для защиты от таких атак. Поддерживая свои системы в актуальном состоянии, избегая подозрительных писем и используя надежное антивирусное программное обеспечение, пользователи могут обезопасить свои машины от вредоносных макросов VBA и других видов вредоносного ПО.

#ParsedReport
23-03-2023

ASEC Weekly Malware Statistics (March 13th, 2023 March 19th, 2023)

https://asec.ahnlab.com/en/50173

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
23-03-2023

Pack it Secretly: Earth Pretas Updated Stealthy Strategies. Pack it Secretly: Earth Preta s Updated Stealthy Strategies

https://www.trendmicro.com/en_us/research/23/c/earth-preta-updated-stealthy-strategies.html

Actors/Campaigns:
Earth_preta
Red_delta

Threats:
Dll_sideloading_technique
Toneins
Toneshell
Pubload
Qmagent
Acnshell
Uac_bypass_technique
Uacme
Backdoor.win32.clexec
Coolclient
Troclient
Plugx_rat
Cobalt_strike
Mqsttang
Trojan.win32.hiupan
Trojan.win32.nupakage
Trojan.win32.zpakage
Trojan.win32.abpass
Trojan.win32.ccpass

Industry:
Iot, Government

Geo:
Myanmar, Burmese, Australian

TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 70
IP: 7
Hash: 50
Path: 8
Registry: 1
Domain: 1
Email: 2

Softs:
curl, curl), internet explorer, windows service

Algorithms:
xor, rc4, zip

Platforms:
x86

Links:
https://gist.github.com/dezhub/c0fee68d1e06657a45ec39365362fca7
https://github.com/hfiref0x/UACME/blob/c998cb1f1bafd36f566f17208b915dc48dda5edf/Source/Akagi/methods/azagarampur.c#L1199
https://github.com/hfiref0x/UACME/blob/75b39e214ef6c2e37f04463f89aa0433afb2b08a/Source/Akagi/methods/shellsup.c#L495
https://github.com/hfiref0x/UACME

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Preta - организованная и умелая группа угроз, которая активно меняет свои инструменты, тактику и процедуры (TTP) для обхода решений по обеспечению безопасности. Начиная с октября 2022 года, они начали использовать новые методы, такие как защищенные паролем архивы и методы обфускации, для развертывания вредоносных программ TONEINS, TONESHELL, PUBLOAD, HIUPAN и ACNSHELL. Кроме того, мы наблюдали использование нескольких инструментов для обхода UAC в Windows 10, включая HackTool.Win32.ABPASS и HackTool.Win32.CCPASS. Угрожающие субъекты также использовали несколько инструментов и команд для командно-контрольных операций. Для эксфильтрации они использовали WinRAR, cURL и два специальных инструмента - NUPAKAGE и ZPAKAGE - для сбора данных в пользовательском формате файлов. Для защиты от сложных угроз организациям следует обучить сотрудников распознавать фишинговые письма, принять комплексную стратегию безопасности и отслеживать вредоносную деятельность в своих сетях.

#ParsedReport
23-03-2023

Not sleeping anymore: SOMNIRECORD's wake-up call

https://www.elastic.co/security-labs/not-sleeping-anymore-somnirecords-wakeup-call

Actors/Campaigns:
Ref2924

Threats:
Somnirecord
Naplistener
Siestagraph
Beacon

IOCs:
File: 1

Links:
https://github.com/chouaibhm/DNS-Persist/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

SOMNIRECORD - это недавно обнаруженное семейство вредоносных программ, созданное злоумышленниками и написанное на языке C++. Она функционирует как бэкдор, маскируясь под DNS-запросы, чтобы обойти средства защиты, такие как брандмауэры и системы IDS, и поэтому ее трудно обнаружить и заблокировать. При запуске SOMNIRECORD генерирует случайную строку из трех символов для идентификации, затем проверяет доменное имя, жестко закодированное в коде со случайной строкой и приставкой "-PROBE". Затем вредоносная программа получает команды со своего C2-сервера посредством дальнейших DNS-запросов, добавляя случайную строку к строке "-CMD".

Эта вредоносная программа имеет пять команд, которые она может выполнять: SYS, PSL, sleep, ECM и WS. SYS собирает данные о зараженной машине, которые могут быть использованы для идентификации конкретных машин, ECM позволяет выполнять локальное программное обеспечение, sleep изменяет интервал передачи маячков на сервер C2, а WS развертывает веб-оболочку на базе ASPX. Чтобы передать результаты команд обратно на сервер C2, SOMNIRECORD кодирует результаты в виде шестнадцатеричных значений, добавляя случайную строку к строке "-DATA" и добавляя шестнадцатеричные значения.

Анализ сходства кода показывает, что злоумышленник черпал вдохновение в проекте с открытым исходным кодом под названием DNS-Persist, который содержит логику, аналогичную SOMNIRECORD. Это говорит о том, что злоумышленник подстраивает существующие инструменты под свои нужды, пытаясь при этом противостоять любым попыткам атрибуции.

В целом, SOMNIRECORD - это опасная вредоносная программа, использующая DNS для уклонения от обнаружения, что затрудняет ее отслеживание и уничтожение. Использование проекта с открытым исходным кодом также показывает, что злоумышленники предпринимают шаги по адаптации своих инструментов для собственных целей, что свидетельствует о более высоком уровне сложности. Специалисты по безопасности должны обратить на это внимание и принять соответствующие меры для защиты своих сетей от этой угрозы.

#ParsedReport
24-03-2023

ChinaZ DDoS Bot Malware Distributed to Linux SSH Servers

https://asec.ahnlab.com/en/50316

Threats:
Chinaz
Xorddos
Dofloo_botnet
Billgates
Mrblack
Synflood_technique
Udpflood_technique
Trojan/win32.agent.r192331

Industry:
Iot

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 2
Url: 3
File: 2
Hash: 3
Domain: 1

Softs:
ms-sql

Functions:
prctl, uname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносное ПО ChinaZ DDoS Bot, установленное на недостаточно управляемых SSH-серверах Linux. Это часть более крупной группы китайских угроз, впервые выявленных около 2014 года, и эта конкретная форма вредоносного ПО классифицируется как вредоносная программа с открытым исходным кодом. Она маскируется под "declient" (для систем Windows) или "Linux32"/"Linux64" (для систем Linux).

Это вредоносное ПО обычно устанавливается через плохое обслуживание или непропатченные серверы, которые уязвимы для атак через протокол удаленного рабочего стола (RDP) и службы MS-SQL для систем Windows или службы Secure Shell (SSH) для серверов Linux. В случае с ChinaZ для получения учетных данных и установки DDoS-клиента используется вредоносная программа SSH brute force. Затем злоумышленник отключает iptables, устанавливает вредоносное ПО в корневой каталог и регистрирует его в rc.local для сохранения.

Вредоносная программа собирает основную информацию с зараженной системы и отправляет ее на C&C-сервер, где по командам, отправленным с C&C-сервера, могут быть выполнены дальнейшие вредоносные действия. К ним относятся различные типы DDoS-атак, такие как SYN, UDP, ICMP и DNS Flood. К сожалению, хотя ChinaZ пока не был обнаружен в атаках на SSH-серверы Linux, его все еще можно найти в атаках на системы Windows на VirusTotal.

#ParsedReport
24-03-2023

The propagation of InfoStealer Malware through fake ChatGPT Facebook Ads

http://blog.nexusguard.com/the-propagation-of-infostealer-malware-through-fake-chatgpt-facebook-ads

Threats:
Redline_stealer

IOCs:
Url: 2
File: 4
IP: 1

Algorithms:
gzip

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Facebook Ads - это эффективный инструмент для продвижения своих продуктов и услуг. Однако киберпреступники используют эту платформу для распространения вредоносных программ, таких как InfoStealers, посредством фишинговых афер. Исследователи Nexusguard столкнулись с одной из таких кампаний 18 февраля 2023 года в виде спонсируемой рекламы, представляющей версию ChatGPT для Windows PC. После запуска исполняемого файла он порождал подпроцессы, добавлял запись в реестр для сохранения, выполнял DNS-запрос и пытался украсть информацию браузера. Это вредоносное ПО было идентифицировано как RedLine Stealer, который известен тем, что крадет имена пользователей, пароли, данные кредитных карт, криптовалюту, системный инвентарь, а также информацию FTP- и IM-клиентов. IntelX.io дает представление о том, насколько широко распространен этот тип вредоносного ПО среди агентств.

#ParsedReport
24-03-2023

UNC961 in the Multiverse of Mandiant: Three Encounters with a Financially Motivated Threat Actor

https://www.mandiant.com/resources/blog/unc961-multiverse-financially-motivated

Actors/Campaigns:
Unc961 (motivation: financially_motivated)
Unc3966 (motivation: financially_motivated)
Prophetspider

Threats:
Log4shell_vuln
Maze
Egregor
Holepunch_tool
Bluebeam_tool
Godzilla_loader
Holerun
Muteput
Txportmap_tool
Barnwork
Lightbunny
Dumplsass_tool
Adfind_tool
Mimikatz_tool
Dcsync_technique
Ntdsutil_tool
Doorway
Powerview

Geo:
America

CVEs:
CVE-2021-22205 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)

CVE-2019-19781 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix application delivery controller firmware (10.5, 11.1, 12.0, 12.1, 13.0)
- citrix netscaler gateway firmware (10.5, 11.1, 12.0, 12.1)
- citrix gateway firmware (13.0)

CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2020-14750 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle fusion middleware (12.1.3.0, 10.3.6.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2017-7504 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- redhat jboss enterprise application platform (le4.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)


TTPs:
Tactics: 2
Technics: 38

IOCs:
IP: 16
Command: 9
File: 14
Path: 11
Domain: 5
Url: 2
Registry: 1
Hash: 2

Softs:
confluence, unix, apache log4j, jboss, asp.net, windows service, windows background intelligent transfer service, winscp, active directory, outlook, have more...

Algorithms:
base64

Win Services:
BITS

Languages:
php, java

Links:
https://github.com/darkoperator/Veil-PowerView/blob/master/PowerView/functions/Invoke-ShareFinder.ps1
https://github.com/mattifestation/psreflect
https://github.com/nil-malh/JNDI-Exploit/blob/main/README\_OG.md
https://github.com/BurntSushi/ripgrep

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

UNC961 - это финансово мотивированный агент угроз, который действует по крайней мере с 2016 года, нацеливаясь на жертв в Северной Америке. Известно, что эта группа использует общедоступный код эксплойтов из недавно раскрытых уязвимостей и крадет конфиденциальные данные. Их цели - получить доступ к сетям и обеспечить доступ к кластерам угроз, связанным с выкупными программами.

Недавно команды Mandiant Managed Defense и Incident Response отреагировали на три вторжения UNC961 в различные организации. Эти жертвы либо находились под защитой Managed Defense, либо обратились после того, как UNC961 скомпрометировал их среду. Все вторжения начинались одинаково: злоумышленники активировали CVE-2021-44228, отправив эксплойт на вход в веб-портал приложения. На хосте было запущено несколько командных оболочек bash, в том числе и от других участников угрозы. Атакующий выполнил команду kill -9 вместе с многочисленными PID, чтобы завершить другие установленные оболочки, после чего была развернута утилита туннелирования HOLEPUNCH.

Компания Mandiant обнаружила уязвимость десериализации JBoss MQ Java Message Service (JMS) (CVE-2017-7504). Они наблюдали, как угрожающий агент генерировал HTTP POST-запрос и выполнял команду cmd.exe /c "dir k.txt". Это совпало с развертыванием веб-оболочки PHP с кодировкой Base64. Затем агент развернул вторую веб-оболочку, сгенерированную фреймворком BLUEBEAM. Эта оболочка использовалась для запуска команд для сбора информации о локальной сети. Клиент изолировал сервер, и объект угрозы был уничтожен.

В другом инциденте организация обнаружила файл с запиской о выкупе через 131 день после того, как UNC961 получил первоначальный доступ. В ходе расследования было установлено, что UNC961 передал доступ UNC3966 на 63-й день до сбора и эксфильтрации данных. UNC3966 перемещался по среде через протокол удаленного рабочего стола (RDP) и устанавливал бэкдор BARNWORK и туннельный вредоносный код LIGHTBUNNY в качестве запланированных задач. Агент использовал архивную утилиту 7-zip для сжатия данных, связанных с контрактами и бухгалтерской информацией, хранящихся на сетевом устройстве хранения данных (NAS), и передал данные по протоколу SSH на IP-адреса, контролируемые агентом угрозы. UNC3966 также выполнил несколько команд reg.exe для удаления ключей реестра, содержащих информацию о поиске файлов, работе удаленного рабочего стола служб терминалов и запуске приложений.

Компания Mandiant работала с заказчиком над укреплением среды и ограничением воздействия потенциального развертывания ransomware. В период ликвидации Mandiant помог заказчику подготовить ответные меры на возможные сценарии вымогательства или выкупа. Доступ UNC961 и UNC3966 был отозван, и клиент наконец-то покончил с этим кошмаром.

Организации могут защитить себя от таких субъектов угроз, как UNC961, используя услуги Mandiant по управляемому обнаружению и реагированию (MDR) и поиску угроз. Управление поверхностью атаки также поможет выявить уязвимости, неправильную конфигурацию и другие уязвимости, которые могут открыть путь к угрозам. При наличии таких средств защиты организации могут быть уверены, что их среда безопасна и они не станут жертвами злонамеренных действий UNC961.

#ParsedReport
24-03-2023

Kimsuky group uses ADS to hide malware

https://asec.ahnlab.com/ko/50394

Actors/Campaigns:
Kimsuky

Threats:
Netstat_tool
Magniber
Appleseed

Geo:
Korea

IOCs:
Command: 1
Path: 3
Hash: 2
Domain: 1

Languages:
vbscirpt

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносный код - это тип вредоносного ПО, который используется для сбора информации с хост-системы. Тип Infostealer характеризуется тем, что содержит реальный код среди множества фиктивных кодов, а также использует VBScript внутри HTML-файла. Декодированный файл представляет собой сценарий, используемый для поддержания устойчивости зараженной системы, что позволяет ей получить доступ к серверу C2 и выполнить дополнительный сценарий.

Весьма интересной техникой, используемой вредоносным кодом, является создание альтернативных потоков данных (Alternate Data Streams, ADS). Эта техника уже использовалась в прошлом программой Magniber ransomware и была впервые представлена ASEC Bloghas.

Использование таких методов, как ADS, подчеркивает растущую изощренность вредоносного кода и необходимость для пользователей сохранять бдительность в отношении потенциальных угроз. Хотя обнаружить вредоносный код и защитить системы от заражения стало сложнее, пользователи по-прежнему могут использовать такие методы, как регулярное обновление программного обеспечения и антивирусных пакетов, а также проявлять осторожность при загрузке файлов или переходе по ссылкам из неизвестных источников. Принимая такие меры, пользователи могут минимизировать риск заражения и помочь предотвратить дальнейшее распространение вредоносного кода.

#ParsedReport
24-03-2023

Exposed: The Shocking Truth About PureCrypter Attack Chain and Its Connections to Pakistan

https://cyberstanc.com/blog/exposed-the-shocking-truth-about-purecrypter-attack-chain-and-its-connections-to-pakistan

Actors/Campaigns:
Eternity

Threats:
Purecryptor
Redline_stealer
Agent_tesla
Krbanker
Purecoder_actor
Purelogs
Process_hollowing_technique

Industry:
Financial

Geo:
Pakistan

IOCs:
Url: 2
File: 2
Email: 1

Softs:
discord

Algorithms:
xor, zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

PureCrypter является известным брокером начального доступа (IAB) в темной паутине, предлагающим вредоносный загрузчик и сервер командования и управления (C2) для субъектов угроз. Недавно была выявлена цепочка атак с использованием этого программного обеспечения, которая начиналась с электронного письма, содержащего URL-адрес приложения Discord, указывающий на образец PureCrypter в защищенном паролем ZIP-архиве. Его создатель, @PureCoder, предлагает приобрести программное обеспечение по подписке или на всю жизнь. Злоумышленники используют "впаивание" процессов для внедрения полезной нагрузки AgentTesla в легитимный процесс, чтобы избежать обнаружения антивирусными инструментами. Кроме того, для защиты связи с сервером C2 от средств мониторинга сетевого трафика используется XOR-шифрование.

Подводя итог, можно сказать, что PureCrypter - это поставщик вредоносного ПО в темной паутине, предлагающий загрузчик и сервер C2 для субъектов угроз. Благодаря возможности подписки или единовременной оплаты он стал заметным IAB. Между тем, SEDI - это поставщик решений в области безопасности, предлагающий специализированные исследования и разработки, анализ угроз, обнаружение вредоносных программ и аналитику. Они обеспечивают своим клиентам прочное партнерство и предлагают бесплатную пробную версию своих решений безопасности в течение 31 дня.

#ParsedReport
24-03-2023

Analysis of Microsoft Outlook Elevation of Privilege Vulnerability CVE-2023-23397

https://www.esentire.com/blog/analysis-of-microsoft-outlook-elevation-of-privilege-vulnerability-cve-2023-23397

Actors/Campaigns:
Fancy_bear
Dev-0960
Sandworm

Threats:
More_eggs
Conduit
Batloader

Industry:
Transport, Petroleum, Energy

Geo:
Ukrainian, Africa, Apac, Ukraine, Russia, Russian, Emea, America

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 9
File: 2

Softs:
microsoft outlook, active directory

Functions:
SMB

Platforms:
intel

YARA: Found

#ParsedReport
24-03-2023

OneNote Malware Disguised as Compensation Form (Kimsuky)

https://asec.ahnlab.com/en/50303

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.generic.sc186657

IOCs:
File: 4
Url: 2
Hash: 2

Softs:
onenote