#ParsedReport
27-03-2023

Rhadamanthys: The Everything Bagel Infostealer. Key Takeaways

https://research.checkpoint.com/2023/rhadamanthys-the-everything-bagel-infostealer

Threats:
Rhadamanthys
Lockbit
Emotet
Teamviewer_tool
Tron

Industry:
Government, Energy

Geo:
Canada, India, Russian

IOCs:
File: 7
Path: 1

Softs:
google chrome, pale moon, winscp, coreftp, outlook, foxmail, authy, keepass, pidgin, discord, have more...

Functions:
OpenVPN

Win API:
RegQueryValueExW

Links:
https://github.com/LordNoteworthy/al-khaser
https://github.com/mpx/lua-cjson/blob/e8972ac754788d3ef10a57a36016d6c3e85ba20d/lua\_cjson.c

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Rhadamanthys - это продвинутый похититель информации, дебютировавший в темной паутине в сентябре прошлого года. Он был создан человеком под псевдонимом kingcrete2022, и с тех пор о нем говорят в мире киберпреступников. Вредоносная программа продается как готовое решение для тех, у кого нет технических знаний для организации собственных операций. Она оснащена множеством функций, которые позволяют ей красть информацию из таких программ, как KMeleon и Pale Moon, а также криптовалюту из расширения для браузера Firefox Auvitas Wallet.

Кампании Rhadamanthys носят неизбирательный характер и направлены на страны по всему миру. Это типично для такого рода вредоносных программ, однако это может привести к тому, что крупные организации могут подвергнуться атакам типа "drive-by", которые имеют потенциал к эскалации. Поэтому важно понимать возможности этой вредоносной программы, чтобы снизить риски, которые она представляет.

Чтобы проанализировать Rhadamanthys, Эли Салем прошел шесть этапов выполнения, через которые проходит вредоносная программа, прежде чем достигнет своей функции кражи информации. Эти этапы включают дропперы, шеллкоды, инсталляторы, дампы памяти и другой вредоносный код. Адреса в памяти обеспечивают способ криминалистического разрешения вызовов API доморощенных таблиц функций в бесхозных дампах памяти. Этот метод позволил Салему преобразовать дамп памяти в пригодную для работы интерактивную базу данных дизассемблирования. Отсюда они смогли представить пошаговое описание того, как вредоносная программа собирает собственную базу данных украденной информации Google Chrome.

Авторы вредоносных программ полагаются на доверие и особенности, чтобы привлечь жертв, и они должны постоянно быть бдительными, чтобы опережать появляющиеся вредоносные инструменты. Rhadamanthys является хорошим примером того, на что некоторые идут, чтобы создать эффективный продукт, а также рисков, которые представляют эти продукты, если их не проанализировать должным образом. Те, кто хочет защитить себя от подобных угроз, должны быть в курсе последних разработок в области анализа вредоносных программ и защитных стратегий.

#ParsedReport
27-03-2023

Earth Preta s Cyberespionage Campaign Hits Over 200

https://www.trendmicro.com/en_us/research/23/c/earth-preta-cyberespionage-campaign-hits-over-200.html

Actors/Campaigns:
Earth_preta (motivation: cyber_espionage)
Red_delta (motivation: cyber_espionage)

Threats:
Plugx_rat
Dll_sideloading_technique

Industry:
Transport, Government, Foodtech, Maritime, Ngo, Energy, Financial

Geo:
Vietnam, Africa, Guinea, Netherlands, Ghana, France, Asian, Singapore, Togo, Australia, Myanmar

IOCs:
File: 4
Hash: 70

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Preta - это группа передовых постоянных угроз (APT), осуществляющая серию кибершпионских операций с 2022 года. Мы выявили более 200 жертв и провели глубокий анализ структуры, целей и требований Earth Preta. Наши результаты показывают, что в Earth Preta существует централизованное подразделение по разработке, ответственное за производство имплантатов и инструментов, которые затем распространяются среди других оперативных групп для внедрения и имплантации. Это демонстрирует высокий уровень экспертизы и специализации внутри каждой группы.

Earth Preta сменила свои цели с академических учреждений на морские, судоходные, пограничные и иммиграционные службы. Анализ их тактики, техники и процедур (ТТП) показывает наличие иерархической структуры, управление опытом и изменение целей. Мы выявили две оперативные группы, Группа 5171 и Группа 1358, преследующие схожие цели. Группа 5171 использует сложные методы, чтобы избежать обнаружения, а группа 1358 использует вредоносные USB-накопители для компрометации. Группа 724 нацелена на такие отрасли, как финансы, правительство, производство, изготовление, строительство, энергетика, транспорт, авиаперевозки и производство продуктов питания.

Эти сведения о возможностях, целях и влиянии Earth Preta на международную безопасность и интеллектуальную собственность могут помочь в разработке эффективных контрмер. Для защиты критически важной инфраструктуры и интеллектуальной собственности необходимо скоординированное реагирование частного сектора, научных кругов и гражданского общества. Международное сотрудничество, осведомленность и обмен информацией имеют решающее значение в борьбе с этой серьезной угрозой.

#ParsedReport
27-03-2023

DBatLoader: Actively Distributing Malwares Targeting European Businesses. Introduction:

https://www.zscaler.com/blogs/security-research/dbatloader-actively-distributing-malwares-targeting-european-businesses

Threats:
Dbat_loader
Remcos_rat
Formbook
Dll_sideloading_technique
Process_injection_technique
Timestomp_technique
Netwire_rat
Avemaria_rat
Steganography_technique
Dll_hijacking_technique

Industry:
Financial

TTPs:
Tactics: 7
Technics: 27

IOCs:
File: 7
IP: 2
Registry: 1
Url: 7
Hash: 35
Domain: 3

Softs:
wordpress, onenote, microsoft defender, windows explorer

Algorithms:
base64, zip

Functions:
Oncreate

Win API:
VirtualAlloc

Languages:
javascript, python, delphi

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследовательская группа ThreatLabz компании Zscaler выявила новую кампанию с участием DBatLoader/ModiLoader, которая активно нацелена на производственные компании и предприятия в европейских странах посредством фишинговых электронных писем. Вредоносная полезная нагрузка распространяется через веб-сайты WordPress, имеющие авторизованные SSL-сертификаты, - тактика, обычно используемая субъектами угроз для обхода систем обнаружения. В фишинговых письмах злоумышленники используют различные приемы, чтобы обманом заставить пользователей загрузить полезную нагрузку, например, используют схемы на курьерскую тематику и маскируют PDF-вложения под документы пересмотренного заказа, счета на оплату, расценки, заказы на продажу и другие подобные документы. Полезная нагрузка вредоносного ПО, проанализированная в ходе данного расследования, использует имитацию доверенных каталогов для обхода системы контроля учетных записей пользователей Windows (UAC) и повышения уровня привилегий без отображения запроса UAC.

Для дальнейшего изучения поведения DBatLoader исследователи из Zscaler ThreatLabz отобразили многочисленные методы из MITRE ATT&CK framework и присвоили баллы угрозы на основе полученных результатов. Они также определили несколько ключевых индикаторов компрометации, связанных с вредоносной программой, включая LNK-файлы, сценарии PowerShell и закодированные данные в разделе ресурсов файла. Команда разработала сценарий на языке python для декодирования зашифрованной секции ресурсов и извлечения DLL второго этапа, которая выполняет дополнительные вредоносные действия, такие как сброс пакетных файлов и создание ключей реестра для сохранения.

DBatLoader - это сложная, но скрытная вредоносная программа, которая постоянно адаптируется к новым механизмам распространения, что затрудняет ее идентификацию и обнаружение. Для защиты от таких угроз организации должны использовать передовые методы, такие как обучение по вопросам безопасности, внедрение многоуровневых средств защиты и мониторинг почтовых кампаний на наличие признаков вредоносной активности. Команда Zscaler ThreatLabz ведет постоянный мониторинг кампании и сообщит обо всех новых результатах, которые они обнаружат.

#ParsedReport
24-03-2023

Destructive attacks by Key Wolf: how to spot the new ransomware

https://bi.zone/eng/expertise/blog/bizone-experts-have-discovered-new-attacks-with-a-ransomware-program

Actors/Campaigns:
Key_wolf

Threats:
Zippyshare
Chaos_ransomware
Vssadmin_tool

Industry:
Financial

Geo:
Russian, Ukraine

IOCs:
File: 4
Path: 1

Softs:
bcdedit

Algorithms:
aes-256-cbc, base64, rsa-1024-oaep

Functions:
Random

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда по анализу киберугроз BI.ZONE недавно обнаружила атаку, организованную хакерской группой Key Wolf. Эта вредоносная программа-вымогатель нацелена на российских пользователей и, что удивительно, не требует выкупа и не предоставляет никаких вариантов расшифровки пораженных файлов. Наши эксперты первыми обнаружили распространение новой вредоносной программы.

Key Wolf использует два вредоносных файла с почти одинаковыми именами - Informing registered.exe и Informing registered.hta (слова на русском языке можно условно перевести как Информация для зарегистрированных). Эти файлы предположительно доставляются жертвам по электронной почте. Второй - это архив со скриптом загрузки gUBmQx.exe. Файл загружается с Zippyshare с помощью Background Intelligent Transfer Service (BITS). Файл содержит программу Key Group ransomware, которая основана на семействе Chaos ransomware.

Chaos ransomware была впервые обнаружена на популярном андеграундном форуме в июне 2021 года. Пользователь ryukRans написал о конструкторе ransomware, над которым он работал, и даже поделился ссылкой на GitHub. Программа Key Group ransomware была создана с помощью Chaos Ransomware Builder 4.0.

При запуске вредоносный файл проверяет, существует ли процесс с тем же именем, что и у вредоносного файла. Если таковой имеется, это означает, что программа выкупа уже запущена, поэтому вновь запущенный процесс будет остановлен. Если каталог запуска не %APPDATA%, файл .exe ждет в течение нескольких секунд, указанных в поле sleepTextbox.

Если checkAdminPrivilage равен true, вредоносный файл копирует себя в %APPDATA% и запускает новый процесс от имени admin с помощью runas. Если checkCopyRoaming равен true, то тот же процесс происходит без повышения привилегий. Если checkStartupFolder равен true, то в %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup создается веб-ссылка на вредоносный файл, что означает, что файл будет загружен автоматически.

Кроме того, ransomware удаляет теневые копии, отключает режим восстановления, удаляет все резервные копии, копирует себя на все диски, кроме диска C, создает заметку в %APPDATA%, устанавливает тему рабочего стола и рекурсивно шифрует каждый диск и различные папки. Заметка содержит сообщение, в котором пользователей просят перевести деньги на кошелек Bitcoin, принадлежащий злоумышленникам.

#ParsedReport
26-03-2023

Bypassing Qakbot Anti-Analysis. Windows Defender

https://lab52.io/blog/bypassing-qakbot-anti-analysis-tactics

Threats:
Qakbot
Motw_bypass_technique
Sandbox_evasion_technique

Industry:
Financial

IOCs:
Path: 1
File: 62
Hash: 1

Softs:
windows defender, pccntmon, ntrtscan, virtualbox

Algorithms:
xor

Win API:
GetFileAttributesA, CreateToolhelp32Snapshot, Process32First, Module32First, Module32Next

Win Services:
MsMpEng, ekrn, SAVAdminService, MBAMService, VGAuthService

Links:
https://github.com/sandboxie-plus/Sandboxie

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

QakBot - это банковский троян, который активен с 2008 года и продолжает развиваться в 2021 году. Он использует методы анти-анализа, чтобы затруднить анализ вредоносного ПО, а также применяет такие тактики, как использование эксплойтов нулевого дня Windows и обфускация .NET для маскировки. В этой статье мы сосредоточимся на методах антианализа, используемых QakBot на ранних стадиях его выполнения.

Первая проверка QakBot связана с Windows Defender. Он будет искать репрезентативные файлы, связанные с ним, и если они присутствуют в системе, выполнение образца будет остановлено. После этого проверяется наличие приложений безопасности или инструментов анализа, способных обнаружить вредоносную программу. Для этого он сравнивает список процессов со списком известных репрезентативных имен. Он также проверяет наличие строк в имени двоичного файла, которые могут указывать на то, что он анализируется, а также ищет DLL, связанные с Sandboxie - приложением, используемым для запуска программ в изолированной среде.

Затем QakBot выполняет специальные проверки, чтобы определить, запущен ли он в виртуальной среде. Он ищет порт ввода-вывода VMWare 0x5658 и ищет магическое число VMWare 0x564D5868. Он также получает размер памяти, выделенной системе, и сравнивает его со значением 8192. Наконец, он использует инструкцию cpuid для получения информации о производителе процессора и ищет значение 1 в ECX, которое будет иметь место только в том случае, если он работает в виртуальной машине.

В целом, QakBot использует множество проверок как часть своих методов антианализа. Знание этих методов может помочь аналитикам легче выявлять и обходить их при анализе вредоносного ПО. Однако важно отметить, что в данном отчете рассматривались возможности антианализа, используемые одной конкретной версией QakBot, и другие семейства вредоносных программ могут использовать другие методы, которые здесь не рассматривались.

#ParsedReport
27-03-2023

IcedIDs VNC Backdoors: Dark Cat, Anubis & Keyhole. IcedID s VNC Backdoors: Dark Cat, Anubis & Keyhole

https://blog.nviso.eu/2023/03/20/icedids-vnc-backdoors-dark-cat-anubis-keyhole

Actors/Campaigns:
Karakurt

Threats:
Icedid
Anubis
Keyhole_tool
Conti
Revil
Nltest_tool
Cobalt_strike
Blackbasta
Goodwill

Industry:
Financial

Geo:
Russian

TTPs:

IOCs:
File: 7
Command: 2
Path: 1
IP: 11
Hash: 4

Softs:
outlook, chrome, internet explorer, windows shell, chromium, microsoft teams, whatsapp), windows explorer

Win API:
DllRegisterServer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

IcedID (он же BokBot) - это популярный троянец, который изначально описывался как банковский троянец, но затем сместил акцент на вымогательство/рандом. Он состоит из множества модулей, один из которых - плохо документированный бэкдор VNC (Virtual Network Computing). Исследователи NVISO проанализировали командно-контрольные коммуникации IcedID и выявили три варианта VNC-бэкдора, все из которых являются частью штамма HDESK. Эти бэкдоры обычно активируются на последних этапах начального доступа, чтобы начать работу с клавиатурой. Эта активность позволяет субъектам угроз выполнять такие задачи, как просмотр веб-страниц, чтение почты в Outlook или выполнение команд через командную строку и PowerShell.

Получение записей действий угрожающих субъектов полезно для понимания того, какими техническими возможностями они обладают и какие тактики, техники и процедуры (ТТП) они могут использовать. Проведя анализ, NVISO выявила варианты VNC Dark Cat, Anubis и Keyhole. Каждый из них обладает различными возможностями и характеристиками. Например, вариант Keyhole имеет новую цветовую палитру, позволяющую операторам выбирать между RGB и Grayscaled, а также обновленное стартовое меню с обновленными значками и опциями.

NVISO также определила некоторые действия, которые выполняли угрожающие стороны при использовании бэкдора VNC. Среди них whoami /upn для обнаружения пользователей системы, ipconfig для обнаружения сетевой конфигурации системы, arp -a для удаленного обнаружения системы и идентификации устройства по MAC-адресу, dir для обнаружения файлов и каталогов по SMB, nltest /dclist для удаленного обнаружения контроллеров домена, ping для тестирования сетевого подключения к удаленным системам, PowerShell для развертывания Cobalt Strike и команда DllRegisterServer для развертывания бэкдора VNC.

Исследователи NVISO также обнаружили доказательства наличия русских аннотаций, обычно связанных с преступными группами из стран СНГ, а также записки о выкупе от Karakurt Team. Из этой информации ясно, что IcedID играет важную роль в экосистеме брокеров доступа. Понимая, как работают эти бэкдоры, организации могут улучшить свои возможности реагирования и криминалистики, а также быть лучше подготовленными к обнаружению и реагированию на подобные угрозы.

#ParsedReport
27-03-2023

Dark Power Ransomware: New Double Extortion Tactics

https://www.secureblink.com/threat-research/dark-power-ransomware-new-double-extortion-tactics

Threats:
Dark_power_ransomware

Industry:
Financial

IOCs:
File: 6
Hash: 3

Softs:
mssql, microsoft office

Algorithms:
base64, aes

Win Services:
powerpnt, dbsnmp

Platforms:
x64

Links:
https://github.com/cheatfate/nimcrypto

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Dark Power ransomware - это недавно обнаруженная угроза, которая шифрует файлы в системе жертвы и требует выкуп в обмен на ключ дешифровки. Вредоносная программа использует компилятор Nim MINGW x64, который популярен среди создателей вредоносных программ благодаря своим кроссплатформенным возможностям и простоте использования. Для инициализации алгоритма шифрования используется рандомизированная строка ASCII длиной 64 символа в нижнем регистре, а для выполнения криптографических операций применяется библиотека Nimcrypto. Для шифрования используется алгоритм AES CRT, а строки внутри двоичного файла шифруются и кодируются base64.

После выполнения программа-вымогатель останавливает определенные службы и процессы, чтобы жертвы не смогли восстановить свои файлы. Она также запрашивает Windows Management Instrumentation (WMI) для получения списка всех запущенных процессов и завершает все совпадения с заранее определенными именами процессов. У банды ransomware есть веб-сайт с именами жертв, который они используют для давления на жертв с целью заставить их заплатить выкуп. Сайт содержит имя жертвы, название компании, дату атаки, объем похищенных данных и описание похищенных данных.

Самый ранний образец ransomware Dark Power был составлен 29 января 2023 года. Хотя банда не обнародовала данные о жертвах и не делала публичных заявлений, с тех пор наблюдается тенденция к увеличению числа атак с использованием ransomware. Организациям следует сохранять бдительность в отношении таких атак и принимать соответствующие меры защиты, такие как обучение пользователей, регулярное резервное копирование важных данных и развертывание современного антивирусного программного обеспечения. При принятии правильных мер безопасности организации могут защитить себя от того, чтобы стать жертвами вымогательской программы Dark Power.

#ParsedReport
27-03-2023

Heavy Shadows: Summary of Recent Attack Techniques Used by Donot Group

https://ti.qianxin.com/blog/articles/Heavy-Shadows:-Summary-of-Recent-Attack-Techniques-Used-by-Donot-Group-EN

Actors/Campaigns:
Donot (motivation: cyber_espionage)

Threats:
Raindrop_tool
Sandbox_evasion_technique
Beacon

Industry:
Government

Geo:
China, Asian, Kashmir, Pakistan

IOCs:
Hash: 30
File: 26
Url: 32

Softs:
android

Algorithms:
aes, zip, base64, xor

Win API:
NtAllocateVirtualMemory, WideCharToMultiByte, Wow64DisableWow64FsRedirection, GetLocalTime, LoadLibraryA, GetProcAddress, CreateProcessW, CreateProcessA

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Donot (также известная как APT-Q-38) - это спонсируемая правительством организация, расположенная в одной из стран Южной Азии. Ее атакующая деятельность ведется с конца прошлого года и направлена на такие страны, как Китай, Пакистан и Шри-Ланка. Группа часто внедряет вредоносные компоненты через макро-документы, которые затем используются для загрузки дальнейших DLL-компонентов.

Эти DLL-компоненты выполняют трехэтапный процесс "загрузчик-плагин-менеджер-плагин". Компонент загрузчика имеет две функции экспорта, одна из которых создает мьютекс и собирает информацию о программном обеспечении и системе из реестра. Затем эта информация объединяется с идентификатором жертвы, шифруется с помощью AES и кодируется в Base64 перед отправкой на сервер C2. С сервера C2 приходит ответное сообщение, которое затем разбирается для дальнейшей обработки.

Другой способ внедрения вредоносных компонентов - использование самораспаковывающихся файлов, замаскированных значком папки. Эти файлы попадают в каталог temp, где запускают файл rundll32.exe и открывают папку, содержащую документ-приманку PDF.

Менеджер плагина выполняет цикл while в начале каждой итерации, отправляя идентификатор жертвы в качестве маячка на сервер C2. URL, используемый для этой цели, отличается от того, который использовался в предыдущих атаках Donot. Сообщение не сохраняется на диске, а обрабатывается непосредственно в памяти. Менеджер плагинов также выполняет операцию самоудаления после выхода из цикла while.

Наконец, недавно группа начала использовать компоненты EXE в качестве загрузчика для получения последующих компонентов в своей атакующей деятельности. Эти компоненты имеют простую функцию загрузки двух последующих компонентов с сервера C2, причем порядок загрузки контролируется глобальной переменной с начальным значением 1.

В целом, группа Donot использует сложные методы шифрования для сокрытия критически важных строк в своих компонентах атак на базе PE, такие как двойные 01-преобразования и многоуровневое шифрование. Они также расширяют свои процессы атаки, применяя более разнообразные методы внедрения вредоносных компонентов и используя различные типы компонентов.

#ParsedReport
27-03-2023

. Analysis of Attack Activities Using Cloud Note Platform to Deliver Remote Control Trojans

https://www.antiy.cn/research/notice&report/research_report/20230324.html

Threats:
Dead_drop_technique
Gh0st_rat
Trojan/win32.downloader

Industry:
Aerospace

Geo:
Chinese

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 15
Hash: 13
IP: 1

Softs:
telegram

Languages:
visual_basic

Platforms:
arm, intel, x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В октябре 2022 года Antiy CERT обнаружил атаку, использующую облачную платформу Note для доставки троянского коня удаленного управления. Злоумышленники использовали файлы-обманки, замаскированные под приложения или документы, чтобы заманить пользователей загрузить и выполнить их. Троянец удаленного управления представлял собой вариант на основе семейства троянцев удаленного управления Gh0st с множеством настроенных вредоносных функций, таких как персистентность, кража информации, выполнение загрузок, управление файлами и т.д.

Злоумышленники используют технологию "DDR" (Dead Drop Resolvers) для размещения вредоносной полезной нагрузки в виде сжатых файлов на платформе облачных заметок, чтобы избежать обнаружения продуктами безопасности на стороне трафика. Вредоносная полезная нагрузка содержит исполняемую программу, которая загружает DLL-файл первого этапа и получает Shellcode для его расшифровки с целью получения окончательного троянца удаленного управления. Вредоносный код доставляется на хост жертвы и может быть использован для персистенции хоста, кражи системной информации, удаленного управления, загрузки и выполнения других программ и многих других операций.

Chinotto Backdoor Technical Analysis of the APT Reaper’s Powerful Weapon

https://threatmon.io/chinotto-backdoor-technical-analysis-of-the-apt-reapers-powerful/

APT43: North Korean Group Uses
Cybercrime to Fund Espionage Operations

https://mandiant.widen.net/s/zvmfw5fnjs/apt43-report

#ParsedReport
28-03-2023

Overview of AhnLab s Response to Korea-Germany Joint Cyber Security Advice

https://asec.ahnlab.com/en/50577

Actors/Campaigns:
Kimsuky

Threats:
Backdoor/js.agent.sc182439
Backdoor/js.agent.sc182438

Geo:
Korea, Korean, Germany

IOCs:
Hash: 6

Softs:
chromium, android