#ParsedReport
27-03-2023

Emotet malware spreading through OneNote

https://asec.ahnlab.com/ko/50238

Threats:
Emotet
Malware/win.generic.c5398625

IOCs:
File: 2
Hash: 9
Url: 5

Softs:
onenote

#ParsedReport
26-03-2023

MacStealer: New macOS-based Stealer Malware Identified

https://www.uptycs.com/blog/macstealer-command-and-control-c2-malware

Threats:
Macstealer
Titanstealer
Parallax_rat
Hookspoofer

IOCs:
Hash: 19
Url: 3
Domain: 1
IP: 1

Softs:
telegram, macos, google chrome, keychain, "macos

Algorithms:
exhibit, zip, base64

Languages:
python

Platforms:
intel

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда исследователей угроз Uptycs недавно обнаружила новый похититель macOS, получивший название MacStealer. Эта вредоносная программа распространяется через файл .DMG, содержащий код Python, и используется для сбора учетных данных и других данных с компьютеров жертв. Собрав информацию, вредоносная программа сжимает ее в ZIP-файл и отправляет его на командно-контрольный (C2) сервер через POST-запрос. Затем сервер C2 передает файл личному Telegram-боту угрожающего субъекта.

Платформа Uptycs EDR оснащена функциями сканирования процессов YARA, расширенными возможностями обнаружения и корреляции событий файлов, процессов и сокетов, что позволило успешно выявить множество тактик, техник и процедур, которые MacStealer использует в своей цепочке уничтожения атак. В ходе дальнейшего расследования исследователи обнаружили, что распространитель вредоносного ПО получил заказы на массовое производство MacStealer от других субъектов угроз - признак того, что вредоносная программа может получить более широкое распространение.

В этой статье представлен обзор функций и возможностей MacStealer, а также платформы C2, используемой злоумышленниками. В ней также объясняется, как платформа Uptycs EDR может обнаружить TTP, используемые крадущим, и предоставить дополнительные сведения о вредоносном ПО. Наконец, в статье дается представление о планах распространителя вредоносного ПО, который намерен в будущем добавить новые функции к MacStealer.

#ParsedReport
25-03-2023

REF2924: how to maintain persistence as an (advanced?) threat. Preamble

https://www.elastic.co/security-labs/ref2924-howto-maintain-persistence-as-an-advanced-threat

Actors/Campaigns:
Ref2924

Threats:
Remcos_rat
Adfind_tool
Behinder
Godzilla_loader
Impacket_tool
Secretsdump_tool
Naplistener
Doorme
Siestagraph
Somnirecord

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 7
Hash: 2
Path: 1

Softs:
microsoft exchange outlook, active directory, visual studio

Functions:
CreateInstance, GetType

Languages:
golang, python

YARA: Found

Links:
https://github.com/zcgonvh/NTDSDumpEx
https://github.com/fortra/impacket/blob/master/examples/secretsdump.py
https://github.com/3gstudent/Pentest-and-Development-Tips
https://github.com/BeichenDream/Godzilla
https://github.com/rebeyond/Behinder

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последние месяцы наблюдается заметный сдвиг в способах атак, отслеживаемых в рамках REF2924. Изначально злоумышленники использовали специально разработанное вредоносное ПО, предназначенное для осуществления вредоносной деятельности. Однако по мере развития атаки та же группа начала использовать инструменты с открытым исходным кодом и общедоступный исходный код в качестве основы для разработки новых возможностей.

Злоумышленник применил несколько техник для поддержания постоянства в среде жертвы. 16 февраля 2023 года специалисты Elastic Security Labs заметили, что компилятор Microsoft .NET (csc.exe ) используется для компиляции DLL-файла с именем App_Web_lgntop.aspx.ec688436.pkx46see.dll (a50ca8df4181918fe0636272f31e19815f1b97cce6d871e15e03b0ee0e3da17b). Выходной файл был идентифицирован как вредоносный и подвергнут анализу. Данный код предназначен для выполнения набора заранее определенных команд; если сегодня понедельник или четверг в 5 утра, то будут выполнены определенные команды.

Ключ "e45e329feb5d925b" был обнаружен в ходе анализа и оказался результатом взятия первой половины MD5-хэша строки "rebeyond". Строка rebeyond относится к разработчику фреймворка веб-оболочки Behinder. Этот ключ также является значением по умолчанию при генерации шаблона оболочки с использованием фреймворков Behinder или Godzilla webshell. Кроме того, 13 февраля 2023 года была замечена новая постоянная вредоносная программа под названием kavUpdate.exe, написанная на .NET и имеющая небольшой след.

2 января 2023 года в среде жертвы были развернуты TFirewall и AdFind. Nat.exe был замечен 6 марта 2023 года и был определен как упакованная версия инструмента Impacket secretsdump. Техника, использованная для развертывания NAPLISTENER, описана здесь, а метод развертывания вредоносных модулей IIS, таких как DOORME, можно найти в этой записи блога. Запись о веб-оболочках Godzilla и Behinder в серверах exchange близко отражает то, как эти возможности были реализованы в целевых средах.

Elastic Security Labs также выявила репозитории с открытым исходным кодом, которые в минимальной степени послужили источником вдохновения для полезных нагрузок, как описано в других публикациях компании. Очевидно, что злоумышленник перешел от использования собственных вредоносных программ к инструментам с открытым исходным кодом или общедоступным исходным кодам для разработки новых возможностей. Угрожающий субъект, по-видимому, хорошо разбирается в использовании различных техник и инструментов, что свидетельствует о его техническом мастерстве.

В целом, сообщество безопасности должно сохранять бдительность в отношении такого рода деятельности и продолжать отслеживать угрозы на предмет изменений в тактике и методах. Знание того, какие тактики и методы используются, дает организациям возможность проактивно разрабатывать стратегии обнаружения и защиты от потенциальных угроз.

#ParsedReport
27-03-2023

Rhadamanthys: The Everything Bagel Infostealer. Key Takeaways

https://research.checkpoint.com/2023/rhadamanthys-the-everything-bagel-infostealer

Threats:
Rhadamanthys
Lockbit
Emotet
Teamviewer_tool
Tron

Industry:
Government, Energy

Geo:
Canada, India, Russian

IOCs:
File: 7
Path: 1

Softs:
google chrome, pale moon, winscp, coreftp, outlook, foxmail, authy, keepass, pidgin, discord, have more...

Functions:
OpenVPN

Win API:
RegQueryValueExW

Links:
https://github.com/LordNoteworthy/al-khaser
https://github.com/mpx/lua-cjson/blob/e8972ac754788d3ef10a57a36016d6c3e85ba20d/lua\_cjson.c

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Rhadamanthys - это продвинутый похититель информации, дебютировавший в темной паутине в сентябре прошлого года. Он был создан человеком под псевдонимом kingcrete2022, и с тех пор о нем говорят в мире киберпреступников. Вредоносная программа продается как готовое решение для тех, у кого нет технических знаний для организации собственных операций. Она оснащена множеством функций, которые позволяют ей красть информацию из таких программ, как KMeleon и Pale Moon, а также криптовалюту из расширения для браузера Firefox Auvitas Wallet.

Кампании Rhadamanthys носят неизбирательный характер и направлены на страны по всему миру. Это типично для такого рода вредоносных программ, однако это может привести к тому, что крупные организации могут подвергнуться атакам типа "drive-by", которые имеют потенциал к эскалации. Поэтому важно понимать возможности этой вредоносной программы, чтобы снизить риски, которые она представляет.

Чтобы проанализировать Rhadamanthys, Эли Салем прошел шесть этапов выполнения, через которые проходит вредоносная программа, прежде чем достигнет своей функции кражи информации. Эти этапы включают дропперы, шеллкоды, инсталляторы, дампы памяти и другой вредоносный код. Адреса в памяти обеспечивают способ криминалистического разрешения вызовов API доморощенных таблиц функций в бесхозных дампах памяти. Этот метод позволил Салему преобразовать дамп памяти в пригодную для работы интерактивную базу данных дизассемблирования. Отсюда они смогли представить пошаговое описание того, как вредоносная программа собирает собственную базу данных украденной информации Google Chrome.

Авторы вредоносных программ полагаются на доверие и особенности, чтобы привлечь жертв, и они должны постоянно быть бдительными, чтобы опережать появляющиеся вредоносные инструменты. Rhadamanthys является хорошим примером того, на что некоторые идут, чтобы создать эффективный продукт, а также рисков, которые представляют эти продукты, если их не проанализировать должным образом. Те, кто хочет защитить себя от подобных угроз, должны быть в курсе последних разработок в области анализа вредоносных программ и защитных стратегий.

#ParsedReport
27-03-2023

Earth Preta s Cyberespionage Campaign Hits Over 200

https://www.trendmicro.com/en_us/research/23/c/earth-preta-cyberespionage-campaign-hits-over-200.html

Actors/Campaigns:
Earth_preta (motivation: cyber_espionage)
Red_delta (motivation: cyber_espionage)

Threats:
Plugx_rat
Dll_sideloading_technique

Industry:
Transport, Government, Foodtech, Maritime, Ngo, Energy, Financial

Geo:
Vietnam, Africa, Guinea, Netherlands, Ghana, France, Asian, Singapore, Togo, Australia, Myanmar

IOCs:
File: 4
Hash: 70

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Preta - это группа передовых постоянных угроз (APT), осуществляющая серию кибершпионских операций с 2022 года. Мы выявили более 200 жертв и провели глубокий анализ структуры, целей и требований Earth Preta. Наши результаты показывают, что в Earth Preta существует централизованное подразделение по разработке, ответственное за производство имплантатов и инструментов, которые затем распространяются среди других оперативных групп для внедрения и имплантации. Это демонстрирует высокий уровень экспертизы и специализации внутри каждой группы.

Earth Preta сменила свои цели с академических учреждений на морские, судоходные, пограничные и иммиграционные службы. Анализ их тактики, техники и процедур (ТТП) показывает наличие иерархической структуры, управление опытом и изменение целей. Мы выявили две оперативные группы, Группа 5171 и Группа 1358, преследующие схожие цели. Группа 5171 использует сложные методы, чтобы избежать обнаружения, а группа 1358 использует вредоносные USB-накопители для компрометации. Группа 724 нацелена на такие отрасли, как финансы, правительство, производство, изготовление, строительство, энергетика, транспорт, авиаперевозки и производство продуктов питания.

Эти сведения о возможностях, целях и влиянии Earth Preta на международную безопасность и интеллектуальную собственность могут помочь в разработке эффективных контрмер. Для защиты критически важной инфраструктуры и интеллектуальной собственности необходимо скоординированное реагирование частного сектора, научных кругов и гражданского общества. Международное сотрудничество, осведомленность и обмен информацией имеют решающее значение в борьбе с этой серьезной угрозой.

#ParsedReport
27-03-2023

DBatLoader: Actively Distributing Malwares Targeting European Businesses. Introduction:

https://www.zscaler.com/blogs/security-research/dbatloader-actively-distributing-malwares-targeting-european-businesses

Threats:
Dbat_loader
Remcos_rat
Formbook
Dll_sideloading_technique
Process_injection_technique
Timestomp_technique
Netwire_rat
Avemaria_rat
Steganography_technique
Dll_hijacking_technique

Industry:
Financial

TTPs:
Tactics: 7
Technics: 27

IOCs:
File: 7
IP: 2
Registry: 1
Url: 7
Hash: 35
Domain: 3

Softs:
wordpress, onenote, microsoft defender, windows explorer

Algorithms:
base64, zip

Functions:
Oncreate

Win API:
VirtualAlloc

Languages:
javascript, python, delphi

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа ThreatLabz компании Zscaler выявила новую кампанию с участием DBatLoader/ModiLoader, которая активно нацелена на производственные компании и предприятия в европейских странах посредством фишинговых электронных писем. Вредоносная полезная нагрузка распространяется через веб-сайты WordPress, имеющие авторизованные SSL-сертификаты, - тактика, обычно используемая субъектами угроз для обхода систем обнаружения. В фишинговых письмах злоумышленники используют различные приемы, чтобы обманом заставить пользователей загрузить полезную нагрузку, например, используют схемы на курьерскую тематику и маскируют PDF-вложения под документы пересмотренного заказа, счета на оплату, расценки, заказы на продажу и другие подобные документы. Полезная нагрузка вредоносного ПО, проанализированная в ходе данного расследования, использует имитацию доверенных каталогов для обхода системы контроля учетных записей пользователей Windows (UAC) и повышения уровня привилегий без отображения запроса UAC.

Для дальнейшего изучения поведения DBatLoader исследователи из Zscaler ThreatLabz отобразили многочисленные методы из MITRE ATT&CK framework и присвоили баллы угрозы на основе полученных результатов. Они также определили несколько ключевых индикаторов компрометации, связанных с вредоносной программой, включая LNK-файлы, сценарии PowerShell и закодированные данные в разделе ресурсов файла. Команда разработала сценарий на языке python для декодирования зашифрованной секции ресурсов и извлечения DLL второго этапа, которая выполняет дополнительные вредоносные действия, такие как сброс пакетных файлов и создание ключей реестра для сохранения.

DBatLoader - это сложная, но скрытная вредоносная программа, которая постоянно адаптируется к новым механизмам распространения, что затрудняет ее идентификацию и обнаружение. Для защиты от таких угроз организации должны использовать передовые методы, такие как обучение по вопросам безопасности, внедрение многоуровневых средств защиты и мониторинг почтовых кампаний на наличие признаков вредоносной активности. Команда Zscaler ThreatLabz ведет постоянный мониторинг кампании и сообщит обо всех новых результатах, которые они обнаружат.

#ParsedReport
24-03-2023

Destructive attacks by Key Wolf: how to spot the new ransomware

https://bi.zone/eng/expertise/blog/bizone-experts-have-discovered-new-attacks-with-a-ransomware-program

Actors/Campaigns:
Key_wolf

Threats:
Zippyshare
Chaos_ransomware
Vssadmin_tool

Industry:
Financial

Geo:
Russian, Ukraine

IOCs:
File: 4
Path: 1

Softs:
bcdedit

Algorithms:
aes-256-cbc, base64, rsa-1024-oaep

Functions:
Random

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда по анализу киберугроз BI.ZONE недавно обнаружила атаку, организованную хакерской группой Key Wolf. Эта вредоносная программа-вымогатель нацелена на российских пользователей и, что удивительно, не требует выкупа и не предоставляет никаких вариантов расшифровки пораженных файлов. Наши эксперты первыми обнаружили распространение новой вредоносной программы.

Key Wolf использует два вредоносных файла с почти одинаковыми именами - Informing registered.exe и Informing registered.hta (слова на русском языке можно условно перевести как Информация для зарегистрированных). Эти файлы предположительно доставляются жертвам по электронной почте. Второй - это архив со скриптом загрузки gUBmQx.exe. Файл загружается с Zippyshare с помощью Background Intelligent Transfer Service (BITS). Файл содержит программу Key Group ransomware, которая основана на семействе Chaos ransomware.

Chaos ransomware была впервые обнаружена на популярном андеграундном форуме в июне 2021 года. Пользователь ryukRans написал о конструкторе ransomware, над которым он работал, и даже поделился ссылкой на GitHub. Программа Key Group ransomware была создана с помощью Chaos Ransomware Builder 4.0.

При запуске вредоносный файл проверяет, существует ли процесс с тем же именем, что и у вредоносного файла. Если таковой имеется, это означает, что программа выкупа уже запущена, поэтому вновь запущенный процесс будет остановлен. Если каталог запуска не %APPDATA%, файл .exe ждет в течение нескольких секунд, указанных в поле sleepTextbox.

Если checkAdminPrivilage равен true, вредоносный файл копирует себя в %APPDATA% и запускает новый процесс от имени admin с помощью runas. Если checkCopyRoaming равен true, то тот же процесс происходит без повышения привилегий. Если checkStartupFolder равен true, то в %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup создается веб-ссылка на вредоносный файл, что означает, что файл будет загружен автоматически.

Кроме того, ransomware удаляет теневые копии, отключает режим восстановления, удаляет все резервные копии, копирует себя на все диски, кроме диска C, создает заметку в %APPDATA%, устанавливает тему рабочего стола и рекурсивно шифрует каждый диск и различные папки. Заметка содержит сообщение, в котором пользователей просят перевести деньги на кошелек Bitcoin, принадлежащий злоумышленникам.

#ParsedReport
26-03-2023

Bypassing Qakbot Anti-Analysis. Windows Defender

https://lab52.io/blog/bypassing-qakbot-anti-analysis-tactics

Threats:
Qakbot
Motw_bypass_technique
Sandbox_evasion_technique

Industry:
Financial

IOCs:
Path: 1
File: 62
Hash: 1

Softs:
windows defender, pccntmon, ntrtscan, virtualbox

Algorithms:
xor

Win API:
GetFileAttributesA, CreateToolhelp32Snapshot, Process32First, Module32First, Module32Next

Win Services:
MsMpEng, ekrn, SAVAdminService, MBAMService, VGAuthService

Links:
https://github.com/sandboxie-plus/Sandboxie

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

QakBot - это банковский троян, который активен с 2008 года и продолжает развиваться в 2021 году. Он использует методы анти-анализа, чтобы затруднить анализ вредоносного ПО, а также применяет такие тактики, как использование эксплойтов нулевого дня Windows и обфускация .NET для маскировки. В этой статье мы сосредоточимся на методах антианализа, используемых QakBot на ранних стадиях его выполнения.

Первая проверка QakBot связана с Windows Defender. Он будет искать репрезентативные файлы, связанные с ним, и если они присутствуют в системе, выполнение образца будет остановлено. После этого проверяется наличие приложений безопасности или инструментов анализа, способных обнаружить вредоносную программу. Для этого он сравнивает список процессов со списком известных репрезентативных имен. Он также проверяет наличие строк в имени двоичного файла, которые могут указывать на то, что он анализируется, а также ищет DLL, связанные с Sandboxie - приложением, используемым для запуска программ в изолированной среде.

Затем QakBot выполняет специальные проверки, чтобы определить, запущен ли он в виртуальной среде. Он ищет порт ввода-вывода VMWare 0x5658 и ищет магическое число VMWare 0x564D5868. Он также получает размер памяти, выделенной системе, и сравнивает его со значением 8192. Наконец, он использует инструкцию cpuid для получения информации о производителе процессора и ищет значение 1 в ECX, которое будет иметь место только в том случае, если он работает в виртуальной машине.

В целом, QakBot использует множество проверок как часть своих методов антианализа. Знание этих методов может помочь аналитикам легче выявлять и обходить их при анализе вредоносного ПО. Однако важно отметить, что в данном отчете рассматривались возможности антианализа, используемые одной конкретной версией QakBot, и другие семейства вредоносных программ могут использовать другие методы, которые здесь не рассматривались.

#ParsedReport
27-03-2023

IcedIDs VNC Backdoors: Dark Cat, Anubis & Keyhole. IcedID s VNC Backdoors: Dark Cat, Anubis & Keyhole

https://blog.nviso.eu/2023/03/20/icedids-vnc-backdoors-dark-cat-anubis-keyhole

Actors/Campaigns:
Karakurt

Threats:
Icedid
Anubis
Keyhole_tool
Conti
Revil
Nltest_tool
Cobalt_strike
Blackbasta
Goodwill

Industry:
Financial

Geo:
Russian

TTPs:

IOCs:
File: 7
Command: 2
Path: 1
IP: 11
Hash: 4

Softs:
outlook, chrome, internet explorer, windows shell, chromium, microsoft teams, whatsapp), windows explorer

Win API:
DllRegisterServer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

IcedID (он же BokBot) - это популярный троянец, который изначально описывался как банковский троянец, но затем сместил акцент на вымогательство/рандом. Он состоит из множества модулей, один из которых - плохо документированный бэкдор VNC (Virtual Network Computing). Исследователи NVISO проанализировали командно-контрольные коммуникации IcedID и выявили три варианта VNC-бэкдора, все из которых являются частью штамма HDESK. Эти бэкдоры обычно активируются на последних этапах начального доступа, чтобы начать работу с клавиатурой. Эта активность позволяет субъектам угроз выполнять такие задачи, как просмотр веб-страниц, чтение почты в Outlook или выполнение команд через командную строку и PowerShell.

Получение записей действий угрожающих субъектов полезно для понимания того, какими техническими возможностями они обладают и какие тактики, техники и процедуры (ТТП) они могут использовать. Проведя анализ, NVISO выявила варианты VNC Dark Cat, Anubis и Keyhole. Каждый из них обладает различными возможностями и характеристиками. Например, вариант Keyhole имеет новую цветовую палитру, позволяющую операторам выбирать между RGB и Grayscaled, а также обновленное стартовое меню с обновленными значками и опциями.

NVISO также определила некоторые действия, которые выполняли угрожающие стороны при использовании бэкдора VNC. Среди них whoami /upn для обнаружения пользователей системы, ipconfig для обнаружения сетевой конфигурации системы, arp -a для удаленного обнаружения системы и идентификации устройства по MAC-адресу, dir для обнаружения файлов и каталогов по SMB, nltest /dclist для удаленного обнаружения контроллеров домена, ping для тестирования сетевого подключения к удаленным системам, PowerShell для развертывания Cobalt Strike и команда DllRegisterServer для развертывания бэкдора VNC.

Исследователи NVISO также обнаружили доказательства наличия русских аннотаций, обычно связанных с преступными группами из стран СНГ, а также записки о выкупе от Karakurt Team. Из этой информации ясно, что IcedID играет важную роль в экосистеме брокеров доступа. Понимая, как работают эти бэкдоры, организации могут улучшить свои возможности реагирования и криминалистики, а также быть лучше подготовленными к обнаружению и реагированию на подобные угрозы.

#ParsedReport
27-03-2023

Dark Power Ransomware: New Double Extortion Tactics

https://www.secureblink.com/threat-research/dark-power-ransomware-new-double-extortion-tactics

Threats:
Dark_power_ransomware

Industry:
Financial

IOCs:
File: 6
Hash: 3

Softs:
mssql, microsoft office

Algorithms:
base64, aes

Win Services:
powerpnt, dbsnmp

Platforms:
x64

Links:
https://github.com/cheatfate/nimcrypto

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Dark Power ransomware - это недавно обнаруженная угроза, которая шифрует файлы в системе жертвы и требует выкуп в обмен на ключ дешифровки. Вредоносная программа использует компилятор Nim MINGW x64, который популярен среди создателей вредоносных программ благодаря своим кроссплатформенным возможностям и простоте использования. Для инициализации алгоритма шифрования используется рандомизированная строка ASCII длиной 64 символа в нижнем регистре, а для выполнения криптографических операций применяется библиотека Nimcrypto. Для шифрования используется алгоритм AES CRT, а строки внутри двоичного файла шифруются и кодируются base64.

После выполнения программа-вымогатель останавливает определенные службы и процессы, чтобы жертвы не смогли восстановить свои файлы. Она также запрашивает Windows Management Instrumentation (WMI) для получения списка всех запущенных процессов и завершает все совпадения с заранее определенными именами процессов. У банды ransomware есть веб-сайт с именами жертв, который они используют для давления на жертв с целью заставить их заплатить выкуп. Сайт содержит имя жертвы, название компании, дату атаки, объем похищенных данных и описание похищенных данных.

Самый ранний образец ransomware Dark Power был составлен 29 января 2023 года. Хотя банда не обнародовала данные о жертвах и не делала публичных заявлений, с тех пор наблюдается тенденция к увеличению числа атак с использованием ransomware. Организациям следует сохранять бдительность в отношении таких атак и принимать соответствующие меры защиты, такие как обучение пользователей, регулярное резервное копирование важных данных и развертывание современного антивирусного программного обеспечения. При принятии правильных мер безопасности организации могут защитить себя от того, чтобы стать жертвами вымогательской программы Dark Power.

#ParsedReport
27-03-2023

Heavy Shadows: Summary of Recent Attack Techniques Used by Donot Group

https://ti.qianxin.com/blog/articles/Heavy-Shadows:-Summary-of-Recent-Attack-Techniques-Used-by-Donot-Group-EN

Actors/Campaigns:
Donot (motivation: cyber_espionage)

Threats:
Raindrop_tool
Sandbox_evasion_technique
Beacon

Industry:
Government

Geo:
China, Asian, Kashmir, Pakistan

IOCs:
Hash: 30
File: 26
Url: 32

Softs:
android

Algorithms:
aes, zip, base64, xor

Win API:
NtAllocateVirtualMemory, WideCharToMultiByte, Wow64DisableWow64FsRedirection, GetLocalTime, LoadLibraryA, GetProcAddress, CreateProcessW, CreateProcessA

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Donot (также известная как APT-Q-38) - это спонсируемая правительством организация, расположенная в одной из стран Южной Азии. Ее атакующая деятельность ведется с конца прошлого года и направлена на такие страны, как Китай, Пакистан и Шри-Ланка. Группа часто внедряет вредоносные компоненты через макро-документы, которые затем используются для загрузки дальнейших DLL-компонентов.

Эти DLL-компоненты выполняют трехэтапный процесс "загрузчик-плагин-менеджер-плагин". Компонент загрузчика имеет две функции экспорта, одна из которых создает мьютекс и собирает информацию о программном обеспечении и системе из реестра. Затем эта информация объединяется с идентификатором жертвы, шифруется с помощью AES и кодируется в Base64 перед отправкой на сервер C2. С сервера C2 приходит ответное сообщение, которое затем разбирается для дальнейшей обработки.

Другой способ внедрения вредоносных компонентов - использование самораспаковывающихся файлов, замаскированных значком папки. Эти файлы попадают в каталог temp, где запускают файл rundll32.exe и открывают папку, содержащую документ-приманку PDF.

Менеджер плагина выполняет цикл while в начале каждой итерации, отправляя идентификатор жертвы в качестве маячка на сервер C2. URL, используемый для этой цели, отличается от того, который использовался в предыдущих атаках Donot. Сообщение не сохраняется на диске, а обрабатывается непосредственно в памяти. Менеджер плагинов также выполняет операцию самоудаления после выхода из цикла while.

Наконец, недавно группа начала использовать компоненты EXE в качестве загрузчика для получения последующих компонентов в своей атакующей деятельности. Эти компоненты имеют простую функцию загрузки двух последующих компонентов с сервера C2, причем порядок загрузки контролируется глобальной переменной с начальным значением 1.

В целом, группа Donot использует сложные методы шифрования для сокрытия критически важных строк в своих компонентах атак на базе PE, такие как двойные 01-преобразования и многоуровневое шифрование. Они также расширяют свои процессы атаки, применяя более разнообразные методы внедрения вредоносных компонентов и используя различные типы компонентов.