#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносные программы представляют собой серьезную угрозу для пользователей компьютеров. В последние годы вредоносные макросы VBA все чаще используются для доступа к компьютерам и сетям с целью доставки вредоносного ПО. Этот тип атак особенно опасен, поскольку его трудно обнаружить.

В данном случае вредоносный макрос VBA был включен в документ Word. Когда макрос был активирован, он получил доступ к серверу Command & Control (C2) через PowerShell для загрузки и выполнения дополнительных сценариев. Тип вредоносной программы, которая в итоге была выполнена, соответствовал типу, определенному исследователями безопасности, и собирал информацию, хранящуюся в браузере.

Принцип работы этой атаки заключается в том, что злоумышленник отправляет письмо, содержащее вредоносный документ Word. Получатель открывает документ, что приводит к запуску вредоносного макроса. Макрос получает доступ к серверу C2 и загружает вредоносные сценарии, которые затем выполняются на целевой машине. После установки вредоносная программа может выполнять любые действия - от кражи данных до получения контроля над машиной.

Для защиты от атак макросов VBA пользователям следует убедиться, что они используют современное антивирусное программное обеспечение и следят за исправлениями в своих операционных системах. Кроме того, пользователям следует остерегаться открытия подозрительных писем и вложений. Если вы получили письмо с вложением или ссылкой, которые кажутся неуместными, лучше удалить письмо, не открывая его.

В заключение следует отметить, что атаки макросов VBA могут быть опасными и трудно обнаруживаемыми. Важно, чтобы пользователи оставались бдительными и предпринимали шаги для защиты от таких атак. Поддерживая свои системы в актуальном состоянии, избегая подозрительных писем и используя надежное антивирусное программное обеспечение, пользователи могут обезопасить свои машины от вредоносных макросов VBA и других видов вредоносного ПО.

#ParsedReport
23-03-2023

ASEC Weekly Malware Statistics (March 13th, 2023 March 19th, 2023)

https://asec.ahnlab.com/en/50173

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Formbook
Clipboard_grabbing_technique
Smokeloader
Lockbit
Dharma
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
Domain: 8
IP: 4
Email: 3
File: 19
Url: 28

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
23-03-2023

Pack it Secretly: Earth Pretas Updated Stealthy Strategies. Pack it Secretly: Earth Preta s Updated Stealthy Strategies

https://www.trendmicro.com/en_us/research/23/c/earth-preta-updated-stealthy-strategies.html

Actors/Campaigns:
Earth_preta
Red_delta

Threats:
Dll_sideloading_technique
Toneins
Toneshell
Pubload
Qmagent
Acnshell
Uac_bypass_technique
Uacme
Backdoor.win32.clexec
Coolclient
Troclient
Plugx_rat
Cobalt_strike
Mqsttang
Trojan.win32.hiupan
Trojan.win32.nupakage
Trojan.win32.zpakage
Trojan.win32.abpass
Trojan.win32.ccpass

Industry:
Iot, Government

Geo:
Myanmar, Burmese, Australian

TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 70
IP: 7
Hash: 50
Path: 8
Registry: 1
Domain: 1
Email: 2

Softs:
curl, curl), internet explorer, windows service

Algorithms:
xor, rc4, zip

Platforms:
x86

Links:
https://gist.github.com/dezhub/c0fee68d1e06657a45ec39365362fca7
https://github.com/hfiref0x/UACME/blob/c998cb1f1bafd36f566f17208b915dc48dda5edf/Source/Akagi/methods/azagarampur.c#L1199
https://github.com/hfiref0x/UACME/blob/75b39e214ef6c2e37f04463f89aa0433afb2b08a/Source/Akagi/methods/shellsup.c#L495
https://github.com/hfiref0x/UACME

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Preta - организованная и умелая группа угроз, которая активно меняет свои инструменты, тактику и процедуры (TTP) для обхода решений по обеспечению безопасности. Начиная с октября 2022 года, они начали использовать новые методы, такие как защищенные паролем архивы и методы обфускации, для развертывания вредоносных программ TONEINS, TONESHELL, PUBLOAD, HIUPAN и ACNSHELL. Кроме того, мы наблюдали использование нескольких инструментов для обхода UAC в Windows 10, включая HackTool.Win32.ABPASS и HackTool.Win32.CCPASS. Угрожающие субъекты также использовали несколько инструментов и команд для командно-контрольных операций. Для эксфильтрации они использовали WinRAR, cURL и два специальных инструмента - NUPAKAGE и ZPAKAGE - для сбора данных в пользовательском формате файлов. Для защиты от сложных угроз организациям следует обучить сотрудников распознавать фишинговые письма, принять комплексную стратегию безопасности и отслеживать вредоносную деятельность в своих сетях.

#ParsedReport
23-03-2023

Not sleeping anymore: SOMNIRECORD's wake-up call

https://www.elastic.co/security-labs/not-sleeping-anymore-somnirecords-wakeup-call

Actors/Campaigns:
Ref2924

Threats:
Somnirecord
Naplistener
Siestagraph
Beacon

IOCs:
File: 1

Links:
https://github.com/chouaibhm/DNS-Persist/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

SOMNIRECORD - это недавно обнаруженное семейство вредоносных программ, созданное злоумышленниками и написанное на языке C++. Она функционирует как бэкдор, маскируясь под DNS-запросы, чтобы обойти средства защиты, такие как брандмауэры и системы IDS, и поэтому ее трудно обнаружить и заблокировать. При запуске SOMNIRECORD генерирует случайную строку из трех символов для идентификации, затем проверяет доменное имя, жестко закодированное в коде со случайной строкой и приставкой "-PROBE". Затем вредоносная программа получает команды со своего C2-сервера посредством дальнейших DNS-запросов, добавляя случайную строку к строке "-CMD".

Эта вредоносная программа имеет пять команд, которые она может выполнять: SYS, PSL, sleep, ECM и WS. SYS собирает данные о зараженной машине, которые могут быть использованы для идентификации конкретных машин, ECM позволяет выполнять локальное программное обеспечение, sleep изменяет интервал передачи маячков на сервер C2, а WS развертывает веб-оболочку на базе ASPX. Чтобы передать результаты команд обратно на сервер C2, SOMNIRECORD кодирует результаты в виде шестнадцатеричных значений, добавляя случайную строку к строке "-DATA" и добавляя шестнадцатеричные значения.

Анализ сходства кода показывает, что злоумышленник черпал вдохновение в проекте с открытым исходным кодом под названием DNS-Persist, который содержит логику, аналогичную SOMNIRECORD. Это говорит о том, что злоумышленник подстраивает существующие инструменты под свои нужды, пытаясь при этом противостоять любым попыткам атрибуции.

В целом, SOMNIRECORD - это опасная вредоносная программа, использующая DNS для уклонения от обнаружения, что затрудняет ее отслеживание и уничтожение. Использование проекта с открытым исходным кодом также показывает, что злоумышленники предпринимают шаги по адаптации своих инструментов для собственных целей, что свидетельствует о более высоком уровне сложности. Специалисты по безопасности должны обратить на это внимание и принять соответствующие меры для защиты своих сетей от этой угрозы.

#ParsedReport
24-03-2023

ChinaZ DDoS Bot Malware Distributed to Linux SSH Servers

https://asec.ahnlab.com/en/50316

Threats:
Chinaz
Xorddos
Dofloo_botnet
Billgates
Mrblack
Synflood_technique
Udpflood_technique
Trojan/win32.agent.r192331

Industry:
Iot

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 2
Url: 3
File: 2
Hash: 3
Domain: 1

Softs:
ms-sql

Functions:
prctl, uname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносное ПО ChinaZ DDoS Bot, установленное на недостаточно управляемых SSH-серверах Linux. Это часть более крупной группы китайских угроз, впервые выявленных около 2014 года, и эта конкретная форма вредоносного ПО классифицируется как вредоносная программа с открытым исходным кодом. Она маскируется под "declient" (для систем Windows) или "Linux32"/"Linux64" (для систем Linux).

Это вредоносное ПО обычно устанавливается через плохое обслуживание или непропатченные серверы, которые уязвимы для атак через протокол удаленного рабочего стола (RDP) и службы MS-SQL для систем Windows или службы Secure Shell (SSH) для серверов Linux. В случае с ChinaZ для получения учетных данных и установки DDoS-клиента используется вредоносная программа SSH brute force. Затем злоумышленник отключает iptables, устанавливает вредоносное ПО в корневой каталог и регистрирует его в rc.local для сохранения.

Вредоносная программа собирает основную информацию с зараженной системы и отправляет ее на C&C-сервер, где по командам, отправленным с C&C-сервера, могут быть выполнены дальнейшие вредоносные действия. К ним относятся различные типы DDoS-атак, такие как SYN, UDP, ICMP и DNS Flood. К сожалению, хотя ChinaZ пока не был обнаружен в атаках на SSH-серверы Linux, его все еще можно найти в атаках на системы Windows на VirusTotal.

#ParsedReport
24-03-2023

The propagation of InfoStealer Malware through fake ChatGPT Facebook Ads

http://blog.nexusguard.com/the-propagation-of-infostealer-malware-through-fake-chatgpt-facebook-ads

Threats:
Redline_stealer

IOCs:
Url: 2
File: 4
IP: 1

Algorithms:
gzip

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Facebook Ads - это эффективный инструмент для продвижения своих продуктов и услуг. Однако киберпреступники используют эту платформу для распространения вредоносных программ, таких как InfoStealers, посредством фишинговых афер. Исследователи Nexusguard столкнулись с одной из таких кампаний 18 февраля 2023 года в виде спонсируемой рекламы, представляющей версию ChatGPT для Windows PC. После запуска исполняемого файла он порождал подпроцессы, добавлял запись в реестр для сохранения, выполнял DNS-запрос и пытался украсть информацию браузера. Это вредоносное ПО было идентифицировано как RedLine Stealer, который известен тем, что крадет имена пользователей, пароли, данные кредитных карт, криптовалюту, системный инвентарь, а также информацию FTP- и IM-клиентов. IntelX.io дает представление о том, насколько широко распространен этот тип вредоносного ПО среди агентств.

#ParsedReport
24-03-2023

UNC961 in the Multiverse of Mandiant: Three Encounters with a Financially Motivated Threat Actor

https://www.mandiant.com/resources/blog/unc961-multiverse-financially-motivated

Actors/Campaigns:
Unc961 (motivation: financially_motivated)
Unc3966 (motivation: financially_motivated)
Prophetspider

Threats:
Log4shell_vuln
Maze
Egregor
Holepunch_tool
Bluebeam_tool
Godzilla_loader
Holerun
Muteput
Txportmap_tool
Barnwork
Lightbunny
Dumplsass_tool
Adfind_tool
Mimikatz_tool
Dcsync_technique
Ntdsutil_tool
Doorway
Powerview

Geo:
America

CVEs:
CVE-2021-22205 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.9
X-Force: Patch: Official fix
Soft:
- gitlab (<13.10.3, <13.9.6, <13.8.8)

CVE-2019-19781 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix application delivery controller firmware (10.5, 11.1, 12.0, 12.1, 13.0)
- citrix netscaler gateway firmware (10.5, 11.1, 12.0, 12.1)
- citrix gateway firmware (13.0)

CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2020-14750 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle fusion middleware (12.1.3.0, 10.3.6.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2017-7504 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- redhat jboss enterprise application platform (le4.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)


TTPs:
Tactics: 2
Technics: 38

IOCs:
IP: 16
Command: 9
File: 14
Path: 11
Domain: 5
Url: 2
Registry: 1
Hash: 2

Softs:
confluence, unix, apache log4j, jboss, asp.net, windows service, windows background intelligent transfer service, winscp, active directory, outlook, have more...

Algorithms:
base64

Win Services:
BITS

Languages:
php, java

Links:
https://github.com/darkoperator/Veil-PowerView/blob/master/PowerView/functions/Invoke-ShareFinder.ps1
https://github.com/mattifestation/psreflect
https://github.com/nil-malh/JNDI-Exploit/blob/main/README\_OG.md
https://github.com/BurntSushi/ripgrep

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

UNC961 - это финансово мотивированный агент угроз, который действует по крайней мере с 2016 года, нацеливаясь на жертв в Северной Америке. Известно, что эта группа использует общедоступный код эксплойтов из недавно раскрытых уязвимостей и крадет конфиденциальные данные. Их цели - получить доступ к сетям и обеспечить доступ к кластерам угроз, связанным с выкупными программами.

Недавно команды Mandiant Managed Defense и Incident Response отреагировали на три вторжения UNC961 в различные организации. Эти жертвы либо находились под защитой Managed Defense, либо обратились после того, как UNC961 скомпрометировал их среду. Все вторжения начинались одинаково: злоумышленники активировали CVE-2021-44228, отправив эксплойт на вход в веб-портал приложения. На хосте было запущено несколько командных оболочек bash, в том числе и от других участников угрозы. Атакующий выполнил команду kill -9 вместе с многочисленными PID, чтобы завершить другие установленные оболочки, после чего была развернута утилита туннелирования HOLEPUNCH.

Компания Mandiant обнаружила уязвимость десериализации JBoss MQ Java Message Service (JMS) (CVE-2017-7504). Они наблюдали, как угрожающий агент генерировал HTTP POST-запрос и выполнял команду cmd.exe /c "dir k.txt". Это совпало с развертыванием веб-оболочки PHP с кодировкой Base64. Затем агент развернул вторую веб-оболочку, сгенерированную фреймворком BLUEBEAM. Эта оболочка использовалась для запуска команд для сбора информации о локальной сети. Клиент изолировал сервер, и объект угрозы был уничтожен.

В другом инциденте организация обнаружила файл с запиской о выкупе через 131 день после того, как UNC961 получил первоначальный доступ. В ходе расследования было установлено, что UNC961 передал доступ UNC3966 на 63-й день до сбора и эксфильтрации данных. UNC3966 перемещался по среде через протокол удаленного рабочего стола (RDP) и устанавливал бэкдор BARNWORK и туннельный вредоносный код LIGHTBUNNY в качестве запланированных задач. Агент использовал архивную утилиту 7-zip для сжатия данных, связанных с контрактами и бухгалтерской информацией, хранящихся на сетевом устройстве хранения данных (NAS), и передал данные по протоколу SSH на IP-адреса, контролируемые агентом угрозы. UNC3966 также выполнил несколько команд reg.exe для удаления ключей реестра, содержащих информацию о поиске файлов, работе удаленного рабочего стола служб терминалов и запуске приложений.

Компания Mandiant работала с заказчиком над укреплением среды и ограничением воздействия потенциального развертывания ransomware. В период ликвидации Mandiant помог заказчику подготовить ответные меры на возможные сценарии вымогательства или выкупа. Доступ UNC961 и UNC3966 был отозван, и клиент наконец-то покончил с этим кошмаром.

Организации могут защитить себя от таких субъектов угроз, как UNC961, используя услуги Mandiant по управляемому обнаружению и реагированию (MDR) и поиску угроз. Управление поверхностью атаки также поможет выявить уязвимости, неправильную конфигурацию и другие уязвимости, которые могут открыть путь к угрозам. При наличии таких средств защиты организации могут быть уверены, что их среда безопасна и они не станут жертвами злонамеренных действий UNC961.

#ParsedReport
24-03-2023

Kimsuky group uses ADS to hide malware

https://asec.ahnlab.com/ko/50394

Actors/Campaigns:
Kimsuky

Threats:
Netstat_tool
Magniber
Appleseed

Geo:
Korea

IOCs:
Command: 1
Path: 3
Hash: 2
Domain: 1

Languages:
vbscirpt

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вредоносный код - это тип вредоносного ПО, который используется для сбора информации с хост-системы. Тип Infostealer характеризуется тем, что содержит реальный код среди множества фиктивных кодов, а также использует VBScript внутри HTML-файла. Декодированный файл представляет собой сценарий, используемый для поддержания устойчивости зараженной системы, что позволяет ей получить доступ к серверу C2 и выполнить дополнительный сценарий.

Весьма интересной техникой, используемой вредоносным кодом, является создание альтернативных потоков данных (Alternate Data Streams, ADS). Эта техника уже использовалась в прошлом программой Magniber ransomware и была впервые представлена ASEC Bloghas.

Использование таких методов, как ADS, подчеркивает растущую изощренность вредоносного кода и необходимость для пользователей сохранять бдительность в отношении потенциальных угроз. Хотя обнаружить вредоносный код и защитить системы от заражения стало сложнее, пользователи по-прежнему могут использовать такие методы, как регулярное обновление программного обеспечения и антивирусных пакетов, а также проявлять осторожность при загрузке файлов или переходе по ссылкам из неизвестных источников. Принимая такие меры, пользователи могут минимизировать риск заражения и помочь предотвратить дальнейшее распространение вредоносного кода.

#ParsedReport
24-03-2023

Exposed: The Shocking Truth About PureCrypter Attack Chain and Its Connections to Pakistan

https://cyberstanc.com/blog/exposed-the-shocking-truth-about-purecrypter-attack-chain-and-its-connections-to-pakistan

Actors/Campaigns:
Eternity

Threats:
Purecryptor
Redline_stealer
Agent_tesla
Krbanker
Purecoder_actor
Purelogs
Process_hollowing_technique

Industry:
Financial

Geo:
Pakistan

IOCs:
Url: 2
File: 2
Email: 1

Softs:
discord

Algorithms:
xor, zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

PureCrypter является известным брокером начального доступа (IAB) в темной паутине, предлагающим вредоносный загрузчик и сервер командования и управления (C2) для субъектов угроз. Недавно была выявлена цепочка атак с использованием этого программного обеспечения, которая начиналась с электронного письма, содержащего URL-адрес приложения Discord, указывающий на образец PureCrypter в защищенном паролем ZIP-архиве. Его создатель, @PureCoder, предлагает приобрести программное обеспечение по подписке или на всю жизнь. Злоумышленники используют "впаивание" процессов для внедрения полезной нагрузки AgentTesla в легитимный процесс, чтобы избежать обнаружения антивирусными инструментами. Кроме того, для защиты связи с сервером C2 от средств мониторинга сетевого трафика используется XOR-шифрование.

Подводя итог, можно сказать, что PureCrypter - это поставщик вредоносного ПО в темной паутине, предлагающий загрузчик и сервер C2 для субъектов угроз. Благодаря возможности подписки или единовременной оплаты он стал заметным IAB. Между тем, SEDI - это поставщик решений в области безопасности, предлагающий специализированные исследования и разработки, анализ угроз, обнаружение вредоносных программ и аналитику. Они обеспечивают своим клиентам прочное партнерство и предлагают бесплатную пробную версию своих решений безопасности в течение 31 дня.

#ParsedReport
24-03-2023

Analysis of Microsoft Outlook Elevation of Privilege Vulnerability CVE-2023-23397

https://www.esentire.com/blog/analysis-of-microsoft-outlook-elevation-of-privilege-vulnerability-cve-2023-23397

Actors/Campaigns:
Fancy_bear
Dev-0960
Sandworm

Threats:
More_eggs
Conduit
Batloader

Industry:
Transport, Petroleum, Energy

Geo:
Ukrainian, Africa, Apac, Ukraine, Russia, Russian, Emea, America

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 9
File: 2

Softs:
microsoft outlook, active directory

Functions:
SMB

Platforms:
intel

YARA: Found

#ParsedReport
24-03-2023

OneNote Malware Disguised as Compensation Form (Kimsuky)

https://asec.ahnlab.com/en/50303

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.generic.sc186657

IOCs:
File: 4
Url: 2
Hash: 2

Softs:
onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил распространение вредоносного файла OneNote, замаскированного под форму компенсации. Было обнаружено, что вредоносный файл содержит файл Visual Basic Script (VBS), который используется для выполнения обфусцированной команды. После выполнения VBS-код создает вредоносный скрипт, который обращается к URL-адресу для выполнения дополнительного кода, скорее всего, в целях кражи информации.

ASEC связала эту вредоносную активность с тем же субъектом угроз, который несет ответственность за вредоносное ПО типа LNK, упомянутое в предыдущем сообщении. Эта вредоносная активность указывает на то, что группа Kimsuky по-прежнему активно распространяет вредоносное ПО в различных формах, таких как CHM, LNK и файлы OneNote.

Учитывая этот потенциальный риск безопасности, ASEC советует пользователям быть осторожными при открытии вложений электронной почты, особенно тех, которые связаны с компенсацией или личной информацией. Кроме того, пользователи должны всегда проверять источник любых отправленных им писем или файлов, прежде чем нажимать на них. Пользователи также должны убедиться, что их антивирусная защита обновлена и работает, чтобы помочь обнаружить и блокировать любые вредоносные действия.

Важно помнить, что киберпреступники постоянно меняют свою тактику нападения на жертв, поэтому организациям и частным лицам крайне важно быть в курсе последних угроз безопасности. Поэтому организации должны иметь комплексную стратегию кибербезопасности для защиты от этих вредоносных угроз. Это включает в себя обучение сотрудников опасностям фишинговых писем, обеспечение защиты устройств и сетей с помощью последних исправлений и обновлений, а также использование надежных решений безопасности.

Принимая эти меры, организации могут помочь защитить свои данные и системы от злоумышленников, которые пытаются получить доступ к конфиденциальной информации. Сохраняя бдительность и осторожность, пользователи могут обезопасить себя от вредоносных действий.

#ParsedReport
24-03-2023

ASEC Weekly Phishing Email Threat Trend (20230312 \~ 20230318)

https://asec.ahnlab.com/ko/50370

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook
Variantcrypter

Industry:
Logistic, Transport, Financial, Healthcare

Geo:
Korean

TTPs:

IOCs:
File: 67
Url: 19

Algorithms:
zip

Languages:
php

#ParsedReport
24-03-2023

New loader on the bloc - AresLoader. Intel 471 recommendations

https://intel471.com/blog/new-loader-on-the-bloc-aresloader

Actors/Campaigns:
Phantom_dev (motivation: hacktivism)
Red_hackers (motivation: hacktivism)

Threats:
Aresloader
Binder
Systembc
Amadey
Laplas_clipper
Darkblup
Raccoon_stealer
Stealc
Lumma_stealer
Aurora

Geo:
Russian, Netherlands, Russia, Germany

TTPs:
Tactics: 6
Technics: 8

IOCs:
Url: 15
Hash: 12
File: 3
IP: 10

Softs:
windows defender, telegram

Win API:
ShellExecuteA

Languages:
golang

Platforms:
intel