#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

PureCrypter является известным брокером начального доступа (IAB) в темной паутине, предлагающим вредоносный загрузчик и сервер командования и управления (C2) для субъектов угроз. Недавно была выявлена цепочка атак с использованием этого программного обеспечения, которая начиналась с электронного письма, содержащего URL-адрес приложения Discord, указывающий на образец PureCrypter в защищенном паролем ZIP-архиве. Его создатель, @PureCoder, предлагает приобрести программное обеспечение по подписке или на всю жизнь. Злоумышленники используют "впаивание" процессов для внедрения полезной нагрузки AgentTesla в легитимный процесс, чтобы избежать обнаружения антивирусными инструментами. Кроме того, для защиты связи с сервером C2 от средств мониторинга сетевого трафика используется XOR-шифрование.

Подводя итог, можно сказать, что PureCrypter - это поставщик вредоносного ПО в темной паутине, предлагающий загрузчик и сервер C2 для субъектов угроз. Благодаря возможности подписки или единовременной оплаты он стал заметным IAB. Между тем, SEDI - это поставщик решений в области безопасности, предлагающий специализированные исследования и разработки, анализ угроз, обнаружение вредоносных программ и аналитику. Они обеспечивают своим клиентам прочное партнерство и предлагают бесплатную пробную версию своих решений безопасности в течение 31 дня.

#ParsedReport
24-03-2023

Analysis of Microsoft Outlook Elevation of Privilege Vulnerability CVE-2023-23397

https://www.esentire.com/blog/analysis-of-microsoft-outlook-elevation-of-privilege-vulnerability-cve-2023-23397

Actors/Campaigns:
Fancy_bear
Dev-0960
Sandworm

Threats:
More_eggs
Conduit
Batloader

Industry:
Transport, Petroleum, Energy

Geo:
Ukrainian, Africa, Apac, Ukraine, Russia, Russian, Emea, America

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 9
File: 2

Softs:
microsoft outlook, active directory

Functions:
SMB

Platforms:
intel

YARA: Found

#ParsedReport
24-03-2023

OneNote Malware Disguised as Compensation Form (Kimsuky)

https://asec.ahnlab.com/en/50303

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.generic.sc186657

IOCs:
File: 4
Url: 2
Hash: 2

Softs:
onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил распространение вредоносного файла OneNote, замаскированного под форму компенсации. Было обнаружено, что вредоносный файл содержит файл Visual Basic Script (VBS), который используется для выполнения обфусцированной команды. После выполнения VBS-код создает вредоносный скрипт, который обращается к URL-адресу для выполнения дополнительного кода, скорее всего, в целях кражи информации.

ASEC связала эту вредоносную активность с тем же субъектом угроз, который несет ответственность за вредоносное ПО типа LNK, упомянутое в предыдущем сообщении. Эта вредоносная активность указывает на то, что группа Kimsuky по-прежнему активно распространяет вредоносное ПО в различных формах, таких как CHM, LNK и файлы OneNote.

Учитывая этот потенциальный риск безопасности, ASEC советует пользователям быть осторожными при открытии вложений электронной почты, особенно тех, которые связаны с компенсацией или личной информацией. Кроме того, пользователи должны всегда проверять источник любых отправленных им писем или файлов, прежде чем нажимать на них. Пользователи также должны убедиться, что их антивирусная защита обновлена и работает, чтобы помочь обнаружить и блокировать любые вредоносные действия.

Важно помнить, что киберпреступники постоянно меняют свою тактику нападения на жертв, поэтому организациям и частным лицам крайне важно быть в курсе последних угроз безопасности. Поэтому организации должны иметь комплексную стратегию кибербезопасности для защиты от этих вредоносных угроз. Это включает в себя обучение сотрудников опасностям фишинговых писем, обеспечение защиты устройств и сетей с помощью последних исправлений и обновлений, а также использование надежных решений безопасности.

Принимая эти меры, организации могут помочь защитить свои данные и системы от злоумышленников, которые пытаются получить доступ к конфиденциальной информации. Сохраняя бдительность и осторожность, пользователи могут обезопасить себя от вредоносных действий.

#ParsedReport
24-03-2023

ASEC Weekly Phishing Email Threat Trend (20230312 \~ 20230318)

https://asec.ahnlab.com/ko/50370

Threats:
Smokeloader
Cloudeye
Agent_tesla
Formbook
Variantcrypter

Industry:
Logistic, Transport, Financial, Healthcare

Geo:
Korean

TTPs:

IOCs:
File: 67
Url: 19

Algorithms:
zip

Languages:
php

#ParsedReport
24-03-2023

New loader on the bloc - AresLoader. Intel 471 recommendations

https://intel471.com/blog/new-loader-on-the-bloc-aresloader

Actors/Campaigns:
Phantom_dev (motivation: hacktivism)
Red_hackers (motivation: hacktivism)

Threats:
Aresloader
Binder
Systembc
Amadey
Laplas_clipper
Darkblup
Raccoon_stealer
Stealc
Lumma_stealer
Aurora

Geo:
Russian, Netherlands, Russia, Germany

TTPs:
Tactics: 6
Technics: 8

IOCs:
Url: 15
Hash: 12
File: 3
IP: 10

Softs:
windows defender, telegram

Win API:
ShellExecuteA

Languages:
golang

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

AresLoader - это платформа вредоносного ПО как услуги (MaaS), которая недавно была замечена в дикой природе. Услуга предлагается субъектами угроз, связанными с российским хактивизмом, и рекламируется на подпольных форумах за ежемесячную плату в размере 300 долларов США. Она включает в себя пять сборок, которые упаковываются вручную и имеют инструмент связывания, позволяющий пользователям маскировать свои вредоносные программы под легитимное программное обеспечение.

Панель AresLoader была анонсирована в конце ноября 2021 года субъектом угроз под ником AiD Lock aka DarkBLUP, который ранее был связан с пророссийской хактивистской группой Red Hackers Alliance Russia. Данные свидетельствуют о том, что несколько членов этой группы являются пользователями или администраторами AresLoader MaaS.

Intel 471 впервые обнаружил AresLoader в дикой природе 26 января 2023 года, когда он был сброшен SystemBC, а затем контроллером Amadey версии 3.50. В обоих случаях полезная нагрузка была извлечена из одного и того же места падения - http : //5.75.248 .207/loader.exe. Далее по цепочке заражения с того же IP-адреса устанавливалась полезная нагрузка Raccoon Stealer вместе с клиппером Laplas.

Исследователи вредоносного ПО Роберто Мартинес и Таисия Гаркава также обнаружили кампанию, продвигающую AresLoader. На этот раз было обнаружено несколько образцов Raccoon Stealer, которые сбрасывали загрузчик, маскируясь под установщик легитимного приложения Revo Uninstaller Pro. Это позволило предположить использование службы связывания, доступной через панель управления AresLoader.

На данный момент обнаружены такие полезные нагрузки, как "черный ход" SystemBC и прокси-туннель защищенного интернет-протокола (SOCKS), Lumma Stealer, StealC, Aurora Stealer и Laplas clipper. Инфраструктура C2 была размещена на виртуальных частных серверах (VPS) в Германии, Нидерландах и России.

Учитывая связь между угрожающими субъектами, стоящими за AresLoader, и пророссийской хактивистской группой, а также тот факт, что загрузчик используется для маскировки вредоносной полезной нагрузки под легитимные приложения, вполне вероятно, что это часть более масштабной кампании по поддержке целей государства. Поэтому организациям важно сохранять бдительность и обновлять свои системы последними исправлениями безопасности, чтобы не стать жертвой этого вредоносного ПО.

#ParsedReport
24-03-2023

Phishing Campaign Targets Chinese Nuclear Energy Industry

https://www.intezer.com/blog/research/phishing-campaign-targets-nuclear-energy-industry

Actors/Campaigns:
Bitter (motivation: cyber_espionage)

Industry:
Energy, Government

Geo:
Kyrgyzstan, Chinese, Asian, China, Pakistan, Bangladesh

TTPs:
Tactics: 7
Technics: 11

IOCs:
Hash: 13
Domain: 3

Softs:
microsoft excel, microsoft office, windows installer, curl

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Intezer недавно обнаружила фишинговую кампанию, использующую тактику и процедуры, связанные с Bitter APT, группой угроз из Азиатско-Тихоокеанского региона. Вредоносные электронные письма исходят от посольства Кыргызстана и направлены на получателей, работающих в сфере ядерной энергетики в Китае, а также в научных кругах. Письма содержат замануху в виде социальной инженерии, направленную на то, чтобы заставить адресата скачать и открыть вложения, содержащие либо Microsoft Compiled HTML Help (CHM), либо полезную нагрузку Excel. Эти полезные нагрузки сжимаются внутри файлов RAR, чтобы избежать применения методов статического анализа.

Полезная нагрузка CHM использует низкий уровень взаимодействия с пользователем и сжатие LZX для обхода статического анализа вредоносного ПО, создавая при этом запланированное задание для выполнения удаленной полезной нагрузки MSI с сервера командования и управления (C2). Полезная нагрузка Excel создает две различные запланированные задачи, которые запускаются каждые 15 минут, загружая полезные нагрузки EXE следующей стадии с помощью cURL и отправляя агенту имя зараженной машины.

Использованные приемы социальной инженерии уже встречались в других кампаниях; например, злоумышленник смог создать замануху, получив информацию из LinkedIn и с сайта Министерства иностранных дел Кыргызстана. Организациям, работающим в правительстве, энергетике и машиностроении, особенно в Азиатско-Тихоокеанском регионе, важно сохранять бдительность при получении электронных писем и поддерживать хороший уровень осведомленности о фишинговых письмах. Компании могут автоматизировать процесс расследования фишинговых писем с помощью Intezer, чтобы лучше защитить себя от таких угроз.

#technique

Nidhogg is a multi-functional rootkit for red teams.

https://github.com/Idov31/Nidhogg/

#technique

Chaos-Rootkit is a x64 kernel-mode rootkit that can hide processes or elevate their privileges, work on the latest Windows versions .

https://github.com/ZeroMemoryEx/Chaos-Rootkit

#technique

This post is a sequel to Bypassing LSA Protection in Userland and The End of PPLdump. Here, I will discuss how I was able to bypass the latest mitigation implemented by Microsoft and develop a new Userland exploit for injecting arbitrary code in a PPL with the highest signer type.

https://github.com/ZeroMemoryEx/Chaos-Rootkit

#technique

How I bypassed AMSI and compromised a Windows 11 in 2023

https://medium.com/@sharonms3377/how-i-bypassed-amsi-in-2023-ff2cd81bda6c

#ParsedReport
24-03-2023

Guidance for investigating attacks using CVE-2023-23397

https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397

Threats:
Passthehash_technique

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Path: 2
IP: 10

Softs:
outlook, microsoft exchange server, microsoft outlook, smb server, android, azure active directory, microsoft defender for endpoint, microsoft defender, azure data explorer, office 365, have more...

Functions:
InternetZone, GetFolder, FindFolder, GetItem

Win Services:
WebClient

Links:
https://github.com/stephenegriffin/mfcmapi

#ParsedReport
27-03-2023

Fork in the Ice: The New Era of IcedID

https://www.proofpoint.com/us/blog/threat-insight/fork-ice-new-era-icedid

Actors/Campaigns:
Mummyspider
Ta581
Ta578
Shathak
Ta577

Threats:
Icedid
Emotet
Bumblebee
Svcready_loader
Gozi
Qakbot
Toad_technique
Html_smuggling_technique
Seatbelt_tool
Aitm_technique

Industry:
Financial, Foodtech

Geo:
Italy, Japan

IOCs:
File: 12
Domain: 13
Url: 11
IP: 2
Hash: 6

Softs:
microsoft onenote, onenote, office 365

Algorithms:
zip, xor, base64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Компания Proofpoint выявила три варианта вредоносного ПО IcedID, впервые замеченного в 2017 году. Standard IcedID, Lite IcedID и Forked IcedID используются как минимум пятью субъектами угроз и несколькими кластерами неатрибутированной угрожающей активности. Стандартный IcedID содержит начальный загрузчик, который связывается с сервером Loader C2 и доставляет стандартного бота IcedID. Lite IcedID был замечен после заражения Emotet, он не эксфильтрирует данные хоста при проверке загрузчика и поставляет бота с минимальной функциональностью. Forked IcedID отличается от двух других вариантов, поскольку не содержит банковской функциональности, такой как веб-инъекции или backconnect. Между этими тремя вариантами было выявлено несколько ключевых различий, включая удаление банковской функциональности и добавление вредоносного кода для пользовательской загрузки license.dat в DLL-загрузчике.

Исследователи Proofpoint предполагают, что оригинальные операторы, стоящие за Emotet, используют вариант IcedID с другой функциональностью. Форкированный вариант был замечен в распространении только TA581 и одним неатрибутированным кластером угроз, использующим различные вложения электронной почты. Вполне вероятно, что этот кластер угроз использует модифицированные варианты, чтобы переориентировать вредоносное ПО с типичных банковских троянов и банковского мошенничества на доставку полезной нагрузки, что, вероятно, включает в себя приоритетную доставку программ-выкупов.

Сотни кампаний IcedID были замечены с 2022 года по март 2023 года, когда Proofpoint обнаружил кампанию с более чем 2 800 сообщениями. Эта кампания началась с захвата нитей электронной почты, которые содержали HTML-вложения, вложения .URL и пакетный файл, который загружал и выполнял загрузчик IcedID. Два домена, tourdeworldsport.com и handsinworld.com, были расшифрованы в конфигурации, а путь URI был расшифрован в функции, выполняющей HTTP-запрос.

Lite Loader предназначен для загрузки следующей стадии вредоносной программы из жестко заданного домена и URI-пути; Forked Loader функционирует аналогично Standard Loader, но отличается бинарной структурой и обфускацией. Оба загрузчика используются для блокировки загрузки бота. Исследователи заметили, что стандартный бот IcedID содержит больше функциональных возможностей, чем вариант Forked.

Похоже, что за этими кампаниями стоит та же группа, которая распространила IcedID через Emotet. Proofpoint ожидает, что, хотя многие угрозы продолжат использовать стандартный вариант, новые варианты, вероятно, будут и дальше использоваться для дополнительных атак вредоносного ПО.

#ParsedReport
27-03-2023

How scammers employ IPFS for email phishing

https://securelist.com/ipfs-phishing/109158

Industry:
Financial

Softs:
bittorrent

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

По мере развития технологий преступники и мошенники приспосабливаются к новым технологиям, чтобы продолжать свою гнусную деятельность. В 2022 году злоумышленники начали использовать IPFS (InterPlanetary File System), распределенную файловую систему, которая позволяет хранить данные в сети, подобной блокчейну, для фишинговых атак по электронной почте. Это позволило им сократить расходы, связанные с размещением фишинговых страниц, поскольку файлы не могут быть удалены третьими лицами.

Использование IPFS не ограничивается кампаниями массовой рассылки, но также применяется для более сложных целевых атак. Мошенники направляют свои усилия на конкретных лиц в компаниях, а не на случайных пользователей, часто фокусируясь на отделах закупок. Эффект замены логотипа на фишинговой форме достигается с помощью простого кода JavaScript.

Количество фишинговых писем IPFS, наблюдавшихся в ноябре и декабре 2022 года, составляло около 215 тысяч в день, но с тех пор оно постоянно увеличивалось. В феврале 2023 года было зафиксировано самое большое количество фишинговых атак IPFS, почти 400 000 писем - на 100 000 больше, чем в ноябре и декабре 2022 года.

#ParsedReport
27-03-2023

Emotet malware spreading through OneNote

https://asec.ahnlab.com/ko/50238

Threats:
Emotet
Malware/win.generic.c5398625

IOCs:
File: 2
Hash: 9
Url: 5

Softs:
onenote

#ParsedReport
26-03-2023

MacStealer: New macOS-based Stealer Malware Identified

https://www.uptycs.com/blog/macstealer-command-and-control-c2-malware

Threats:
Macstealer
Titanstealer
Parallax_rat
Hookspoofer

IOCs:
Hash: 19
Url: 3
Domain: 1
IP: 1

Softs:
telegram, macos, google chrome, keychain, "macos

Algorithms:
exhibit, zip, base64

Languages:
python

Platforms:
intel

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда исследователей угроз Uptycs недавно обнаружила новый похититель macOS, получивший название MacStealer. Эта вредоносная программа распространяется через файл .DMG, содержащий код Python, и используется для сбора учетных данных и других данных с компьютеров жертв. Собрав информацию, вредоносная программа сжимает ее в ZIP-файл и отправляет его на командно-контрольный (C2) сервер через POST-запрос. Затем сервер C2 передает файл личному Telegram-боту угрожающего субъекта.

Платформа Uptycs EDR оснащена функциями сканирования процессов YARA, расширенными возможностями обнаружения и корреляции событий файлов, процессов и сокетов, что позволило успешно выявить множество тактик, техник и процедур, которые MacStealer использует в своей цепочке уничтожения атак. В ходе дальнейшего расследования исследователи обнаружили, что распространитель вредоносного ПО получил заказы на массовое производство MacStealer от других субъектов угроз - признак того, что вредоносная программа может получить более широкое распространение.

В этой статье представлен обзор функций и возможностей MacStealer, а также платформы C2, используемой злоумышленниками. В ней также объясняется, как платформа Uptycs EDR может обнаружить TTP, используемые крадущим, и предоставить дополнительные сведения о вредоносном ПО. Наконец, в статье дается представление о планах распространителя вредоносного ПО, который намерен в будущем добавить новые функции к MacStealer.