#ParsedReport
24-03-2023

Destructive attacks by Key Wolf: how to spot the new ransomware

https://bi.zone/eng/expertise/blog/bizone-experts-have-discovered-new-attacks-with-a-ransomware-program

Actors/Campaigns:
Key_wolf

Threats:
Zippyshare
Chaos_ransomware
Vssadmin_tool

Industry:
Financial

Geo:
Russian, Ukraine

IOCs:
File: 4
Path: 1

Softs:
bcdedit

Algorithms:
aes-256-cbc, base64, rsa-1024-oaep

Functions:
Random

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда по анализу киберугроз BI.ZONE недавно обнаружила атаку, организованную хакерской группой Key Wolf. Эта вредоносная программа-вымогатель нацелена на российских пользователей и, что удивительно, не требует выкупа и не предоставляет никаких вариантов расшифровки пораженных файлов. Наши эксперты первыми обнаружили распространение новой вредоносной программы.

Key Wolf использует два вредоносных файла с почти одинаковыми именами - Informing registered.exe и Informing registered.hta (слова на русском языке можно условно перевести как Информация для зарегистрированных). Эти файлы предположительно доставляются жертвам по электронной почте. Второй - это архив со скриптом загрузки gUBmQx.exe. Файл загружается с Zippyshare с помощью Background Intelligent Transfer Service (BITS). Файл содержит программу Key Group ransomware, которая основана на семействе Chaos ransomware.

Chaos ransomware была впервые обнаружена на популярном андеграундном форуме в июне 2021 года. Пользователь ryukRans написал о конструкторе ransomware, над которым он работал, и даже поделился ссылкой на GitHub. Программа Key Group ransomware была создана с помощью Chaos Ransomware Builder 4.0.

При запуске вредоносный файл проверяет, существует ли процесс с тем же именем, что и у вредоносного файла. Если таковой имеется, это означает, что программа выкупа уже запущена, поэтому вновь запущенный процесс будет остановлен. Если каталог запуска не %APPDATA%, файл .exe ждет в течение нескольких секунд, указанных в поле sleepTextbox.

Если checkAdminPrivilage равен true, вредоносный файл копирует себя в %APPDATA% и запускает новый процесс от имени admin с помощью runas. Если checkCopyRoaming равен true, то тот же процесс происходит без повышения привилегий. Если checkStartupFolder равен true, то в %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup создается веб-ссылка на вредоносный файл, что означает, что файл будет загружен автоматически.

Кроме того, ransomware удаляет теневые копии, отключает режим восстановления, удаляет все резервные копии, копирует себя на все диски, кроме диска C, создает заметку в %APPDATA%, устанавливает тему рабочего стола и рекурсивно шифрует каждый диск и различные папки. Заметка содержит сообщение, в котором пользователей просят перевести деньги на кошелек Bitcoin, принадлежащий злоумышленникам.

#ParsedReport
26-03-2023

Bypassing Qakbot Anti-Analysis. Windows Defender

https://lab52.io/blog/bypassing-qakbot-anti-analysis-tactics

Threats:
Qakbot
Motw_bypass_technique
Sandbox_evasion_technique

Industry:
Financial

IOCs:
Path: 1
File: 62
Hash: 1

Softs:
windows defender, pccntmon, ntrtscan, virtualbox

Algorithms:
xor

Win API:
GetFileAttributesA, CreateToolhelp32Snapshot, Process32First, Module32First, Module32Next

Win Services:
MsMpEng, ekrn, SAVAdminService, MBAMService, VGAuthService

Links:
https://github.com/sandboxie-plus/Sandboxie

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

QakBot - это банковский троян, который активен с 2008 года и продолжает развиваться в 2021 году. Он использует методы анти-анализа, чтобы затруднить анализ вредоносного ПО, а также применяет такие тактики, как использование эксплойтов нулевого дня Windows и обфускация .NET для маскировки. В этой статье мы сосредоточимся на методах антианализа, используемых QakBot на ранних стадиях его выполнения.

Первая проверка QakBot связана с Windows Defender. Он будет искать репрезентативные файлы, связанные с ним, и если они присутствуют в системе, выполнение образца будет остановлено. После этого проверяется наличие приложений безопасности или инструментов анализа, способных обнаружить вредоносную программу. Для этого он сравнивает список процессов со списком известных репрезентативных имен. Он также проверяет наличие строк в имени двоичного файла, которые могут указывать на то, что он анализируется, а также ищет DLL, связанные с Sandboxie - приложением, используемым для запуска программ в изолированной среде.

Затем QakBot выполняет специальные проверки, чтобы определить, запущен ли он в виртуальной среде. Он ищет порт ввода-вывода VMWare 0x5658 и ищет магическое число VMWare 0x564D5868. Он также получает размер памяти, выделенной системе, и сравнивает его со значением 8192. Наконец, он использует инструкцию cpuid для получения информации о производителе процессора и ищет значение 1 в ECX, которое будет иметь место только в том случае, если он работает в виртуальной машине.

В целом, QakBot использует множество проверок как часть своих методов антианализа. Знание этих методов может помочь аналитикам легче выявлять и обходить их при анализе вредоносного ПО. Однако важно отметить, что в данном отчете рассматривались возможности антианализа, используемые одной конкретной версией QakBot, и другие семейства вредоносных программ могут использовать другие методы, которые здесь не рассматривались.

#ParsedReport
27-03-2023

IcedIDs VNC Backdoors: Dark Cat, Anubis & Keyhole. IcedID s VNC Backdoors: Dark Cat, Anubis & Keyhole

https://blog.nviso.eu/2023/03/20/icedids-vnc-backdoors-dark-cat-anubis-keyhole

Actors/Campaigns:
Karakurt

Threats:
Icedid
Anubis
Keyhole_tool
Conti
Revil
Nltest_tool
Cobalt_strike
Blackbasta
Goodwill

Industry:
Financial

Geo:
Russian

TTPs:

IOCs:
File: 7
Command: 2
Path: 1
IP: 11
Hash: 4

Softs:
outlook, chrome, internet explorer, windows shell, chromium, microsoft teams, whatsapp), windows explorer

Win API:
DllRegisterServer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

IcedID (он же BokBot) - это популярный троянец, который изначально описывался как банковский троянец, но затем сместил акцент на вымогательство/рандом. Он состоит из множества модулей, один из которых - плохо документированный бэкдор VNC (Virtual Network Computing). Исследователи NVISO проанализировали командно-контрольные коммуникации IcedID и выявили три варианта VNC-бэкдора, все из которых являются частью штамма HDESK. Эти бэкдоры обычно активируются на последних этапах начального доступа, чтобы начать работу с клавиатурой. Эта активность позволяет субъектам угроз выполнять такие задачи, как просмотр веб-страниц, чтение почты в Outlook или выполнение команд через командную строку и PowerShell.

Получение записей действий угрожающих субъектов полезно для понимания того, какими техническими возможностями они обладают и какие тактики, техники и процедуры (ТТП) они могут использовать. Проведя анализ, NVISO выявила варианты VNC Dark Cat, Anubis и Keyhole. Каждый из них обладает различными возможностями и характеристиками. Например, вариант Keyhole имеет новую цветовую палитру, позволяющую операторам выбирать между RGB и Grayscaled, а также обновленное стартовое меню с обновленными значками и опциями.

NVISO также определила некоторые действия, которые выполняли угрожающие стороны при использовании бэкдора VNC. Среди них whoami /upn для обнаружения пользователей системы, ipconfig для обнаружения сетевой конфигурации системы, arp -a для удаленного обнаружения системы и идентификации устройства по MAC-адресу, dir для обнаружения файлов и каталогов по SMB, nltest /dclist для удаленного обнаружения контроллеров домена, ping для тестирования сетевого подключения к удаленным системам, PowerShell для развертывания Cobalt Strike и команда DllRegisterServer для развертывания бэкдора VNC.

Исследователи NVISO также обнаружили доказательства наличия русских аннотаций, обычно связанных с преступными группами из стран СНГ, а также записки о выкупе от Karakurt Team. Из этой информации ясно, что IcedID играет важную роль в экосистеме брокеров доступа. Понимая, как работают эти бэкдоры, организации могут улучшить свои возможности реагирования и криминалистики, а также быть лучше подготовленными к обнаружению и реагированию на подобные угрозы.

#ParsedReport
27-03-2023

Dark Power Ransomware: New Double Extortion Tactics

https://www.secureblink.com/threat-research/dark-power-ransomware-new-double-extortion-tactics

Threats:
Dark_power_ransomware

Industry:
Financial

IOCs:
File: 6
Hash: 3

Softs:
mssql, microsoft office

Algorithms:
base64, aes

Win Services:
powerpnt, dbsnmp

Platforms:
x64

Links:
https://github.com/cheatfate/nimcrypto

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Dark Power ransomware - это недавно обнаруженная угроза, которая шифрует файлы в системе жертвы и требует выкуп в обмен на ключ дешифровки. Вредоносная программа использует компилятор Nim MINGW x64, который популярен среди создателей вредоносных программ благодаря своим кроссплатформенным возможностям и простоте использования. Для инициализации алгоритма шифрования используется рандомизированная строка ASCII длиной 64 символа в нижнем регистре, а для выполнения криптографических операций применяется библиотека Nimcrypto. Для шифрования используется алгоритм AES CRT, а строки внутри двоичного файла шифруются и кодируются base64.

После выполнения программа-вымогатель останавливает определенные службы и процессы, чтобы жертвы не смогли восстановить свои файлы. Она также запрашивает Windows Management Instrumentation (WMI) для получения списка всех запущенных процессов и завершает все совпадения с заранее определенными именами процессов. У банды ransomware есть веб-сайт с именами жертв, который они используют для давления на жертв с целью заставить их заплатить выкуп. Сайт содержит имя жертвы, название компании, дату атаки, объем похищенных данных и описание похищенных данных.

Самый ранний образец ransomware Dark Power был составлен 29 января 2023 года. Хотя банда не обнародовала данные о жертвах и не делала публичных заявлений, с тех пор наблюдается тенденция к увеличению числа атак с использованием ransomware. Организациям следует сохранять бдительность в отношении таких атак и принимать соответствующие меры защиты, такие как обучение пользователей, регулярное резервное копирование важных данных и развертывание современного антивирусного программного обеспечения. При принятии правильных мер безопасности организации могут защитить себя от того, чтобы стать жертвами вымогательской программы Dark Power.

#ParsedReport
27-03-2023

Heavy Shadows: Summary of Recent Attack Techniques Used by Donot Group

https://ti.qianxin.com/blog/articles/Heavy-Shadows:-Summary-of-Recent-Attack-Techniques-Used-by-Donot-Group-EN

Actors/Campaigns:
Donot (motivation: cyber_espionage)

Threats:
Raindrop_tool
Sandbox_evasion_technique
Beacon

Industry:
Government

Geo:
China, Asian, Kashmir, Pakistan

IOCs:
Hash: 30
File: 26
Url: 32

Softs:
android

Algorithms:
aes, zip, base64, xor

Win API:
NtAllocateVirtualMemory, WideCharToMultiByte, Wow64DisableWow64FsRedirection, GetLocalTime, LoadLibraryA, GetProcAddress, CreateProcessW, CreateProcessA

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Donot (также известная как APT-Q-38) - это спонсируемая правительством организация, расположенная в одной из стран Южной Азии. Ее атакующая деятельность ведется с конца прошлого года и направлена на такие страны, как Китай, Пакистан и Шри-Ланка. Группа часто внедряет вредоносные компоненты через макро-документы, которые затем используются для загрузки дальнейших DLL-компонентов.

Эти DLL-компоненты выполняют трехэтапный процесс "загрузчик-плагин-менеджер-плагин". Компонент загрузчика имеет две функции экспорта, одна из которых создает мьютекс и собирает информацию о программном обеспечении и системе из реестра. Затем эта информация объединяется с идентификатором жертвы, шифруется с помощью AES и кодируется в Base64 перед отправкой на сервер C2. С сервера C2 приходит ответное сообщение, которое затем разбирается для дальнейшей обработки.

Другой способ внедрения вредоносных компонентов - использование самораспаковывающихся файлов, замаскированных значком папки. Эти файлы попадают в каталог temp, где запускают файл rundll32.exe и открывают папку, содержащую документ-приманку PDF.

Менеджер плагина выполняет цикл while в начале каждой итерации, отправляя идентификатор жертвы в качестве маячка на сервер C2. URL, используемый для этой цели, отличается от того, который использовался в предыдущих атаках Donot. Сообщение не сохраняется на диске, а обрабатывается непосредственно в памяти. Менеджер плагинов также выполняет операцию самоудаления после выхода из цикла while.

Наконец, недавно группа начала использовать компоненты EXE в качестве загрузчика для получения последующих компонентов в своей атакующей деятельности. Эти компоненты имеют простую функцию загрузки двух последующих компонентов с сервера C2, причем порядок загрузки контролируется глобальной переменной с начальным значением 1.

В целом, группа Donot использует сложные методы шифрования для сокрытия критически важных строк в своих компонентах атак на базе PE, такие как двойные 01-преобразования и многоуровневое шифрование. Они также расширяют свои процессы атаки, применяя более разнообразные методы внедрения вредоносных компонентов и используя различные типы компонентов.

#ParsedReport
27-03-2023

. Analysis of Attack Activities Using Cloud Note Platform to Deliver Remote Control Trojans

https://www.antiy.cn/research/notice&report/research_report/20230324.html

Threats:
Dead_drop_technique
Gh0st_rat
Trojan/win32.downloader

Industry:
Aerospace

Geo:
Chinese

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 15
Hash: 13
IP: 1

Softs:
telegram

Languages:
visual_basic

Platforms:
arm, intel, x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В октябре 2022 года Antiy CERT обнаружил атаку, использующую облачную платформу Note для доставки троянского коня удаленного управления. Злоумышленники использовали файлы-обманки, замаскированные под приложения или документы, чтобы заманить пользователей загрузить и выполнить их. Троянец удаленного управления представлял собой вариант на основе семейства троянцев удаленного управления Gh0st с множеством настроенных вредоносных функций, таких как персистентность, кража информации, выполнение загрузок, управление файлами и т.д.

Злоумышленники используют технологию "DDR" (Dead Drop Resolvers) для размещения вредоносной полезной нагрузки в виде сжатых файлов на платформе облачных заметок, чтобы избежать обнаружения продуктами безопасности на стороне трафика. Вредоносная полезная нагрузка содержит исполняемую программу, которая загружает DLL-файл первого этапа и получает Shellcode для его расшифровки с целью получения окончательного троянца удаленного управления. Вредоносный код доставляется на хост жертвы и может быть использован для персистенции хоста, кражи системной информации, удаленного управления, загрузки и выполнения других программ и многих других операций.

Chinotto Backdoor Technical Analysis of the APT Reaper’s Powerful Weapon

https://threatmon.io/chinotto-backdoor-technical-analysis-of-the-apt-reapers-powerful/

APT43: North Korean Group Uses
Cybercrime to Fund Espionage Operations

https://mandiant.widen.net/s/zvmfw5fnjs/apt43-report

#ParsedReport
28-03-2023

Overview of AhnLab s Response to Korea-Germany Joint Cyber Security Advice

https://asec.ahnlab.com/en/50577

Actors/Campaigns:
Kimsuky

Threats:
Backdoor/js.agent.sc182439
Backdoor/js.agent.sc182438

Geo:
Korea, Korean, Germany

IOCs:
Hash: 6

Softs:
chromium, android

#ParsedReport
28-03-2023

Emotet Being Distributed via OneNote

https://asec.ahnlab.com/en/50564

Threats:
Emotet
Malware/win.generic.c5398625

IOCs:
File: 2
Hash: 9
Url: 5

Softs:
onenote

#ParsedReport
28-03-2023

Critical Start Warns of Newly Discovered Threat Group Targeting Organizations in Asia

https://www.criticalstart.com/critical-start-warns-of-newly-discovered-threat-group-targeting-organizations-in-asia

Actors/Campaigns:
Hydrochasma (motivation: cyber_espionage)

Threats:
Lolbin_technique
Meterpreter_tool
Metasploit_tool
Gogo_scaner_tool
Cobalt_strike
Allin_scaner_tool
Dogz_proxy_tool
Beacon
Fscan_tool
Procdump_tool
Browserghost_tool

Industry:
Healthcare, Transport, Government

Geo:
Asia

IOCs:
File: 1

Softs:
microsoft edge update, sysinternals, chrome, opera, task scheduler

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление группы киберугроз Hydrochasma подчеркнуло необходимость бдительности и принятия проактивных мер по защите от спонсируемого государством кибершпионажа, особенно в отраслях, связанных с лечением или вакцинами на основе COVID-19.
-----

Появление группы киберугроз Hydrochasma вызывает беспокойство у организаций, занятых в медицинской и судоходной отраслях в Азии. По крайней мере, с октября 2022 года эта группа атакует предприятия с целью кражи конфиденциальных данных или нарушения работы критической инфраструктуры. Предполагается, что они, возможно, заинтересованы в отраслях, занимающихся лечением или вакцинами, связанными с COVID-19.

Hydrochasma обычно использует фишинговое электронное письмо с вложением для получения доступа к системе жертвы. После его открытия он сбрасывает ряд "живых" инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Gogo scanning tool, Process Dumper, Cobalt Strike Beacon, AlliN scanning tool, Fscan, Dogz proxy tool, shellcode loader и поврежденный портативный исполняемый файл (PE). Также используются SoftEtherVPN, Procdump, BrowserGhost, Gost proxy, Ntlmrelay и Task Scheduler. Эти инструменты позволяют злоумышленникам получить постоянный и скрытый доступ к машинам жертв, повысить привилегии и распространиться по сети жертвы.

Угроза, исходящая от государственного кибершпионажа, становится все более распространенной и еще более усугубляется текущей пандемией. Поэтому организации должны предпринимать упреждающие шаги для защиты от возможных атак. Необходимо принять стратегию "защита в глубину" с несколькими уровнями контроля безопасности и отслеживать угрозы на предмет подозрительной активности. Анализ угроз также может помочь организациям лучше понять ТТП, используемые субъектами угроз, что позволит им выявлять и снижать потенциальные риски.

В целом, появление Hydrochasma подчеркивает необходимость бдительности и принятия упреждающих мер для защиты от спонсируемого государством кибершпионажа, особенно в отраслях, связанных с лечением или вакцинами против COVID-19. Зная о последних угрозах и принимая соответствующие меры предосторожности, организации могут лучше защитить себя от злоумышленников.

#ParsedReport
28-03-2023

Copy-paste heist or clipboard-injector attacks on cryptousers

https://securelist.com/copy-paste-heist-clipboard-injector-targeting-cryptowallets/109186

Threats:
Clipboard_injection_technique
Enigma

Industry:
Financial

Geo:
Uzbekistan, Netherlands, Ukraine, Belarus, Germany, China, Russia, Polish, Russian, France

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 20

Softs:
torbrowser, utorrent

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Атаки с использованием инъекций буфера обмена представляют собой серьезную угрозу для пользователей криптовалют и стали возможны благодаря росту стоимости криптовалют в последние годы. Очень важно, чтобы пользователи оставались бдительными и предпринимали шаги по защите, чтобы снизить риск атаки и сохранить свою криптовалюту в безопасности.
-----

Пользователи криптовалют уже давно подвергаются риску атак вредоносных программ, но одна особенно коварная форма атаки - внедрение в буфер обмена - становится все более распространенной с сентября 2022 года. В двух словах, атака осуществляется путем подмены вредоносным ПО части содержимого буфера обмена, когда оно обнаруживает в нем адрес кошелька. Эта техника не нова, впервые она была замечена в банковских троянах еще в 2013 году, но ее использование для атак на пользователей криптовалют делает ее особенно опасной.

Авторы вредоносного ПО распространяют среди русскоязычных пользователей троянские версии Tor Browser, полезной нагрузкой которых является пассивная и не поддерживающая связь вредоносная программа clipboard-injector. После установки на систему пользователя эта вредоносная программа сканирует содержимое буфера обмена с помощью набора встроенных регулярных выражений и заменяет его на один случайно выбранный адрес из жестко заданного списка. Комбинации горячих клавиш (Ctrl+Alt+F10) могут быть использованы для отключения вредоносной программы на этапе тестирования, однако в образец включены тысячи возможных адресов замены Bitcoin, что затрудняет обеспечение безопасности.

О влиянии этой конкретной вредоносной программы свидетельствуют данные, собранные из сотен образцов, которые показали, что она распространилась более чем в 50 странах мира, причем наиболее пострадавшими регионами оказались Россия и Восточная Европа. Чтобы оценить общий ущерб, причиненный вредоносной программой, мы заглянули в соответствующие блокчейны и подсчитали суммарные поступления на кошельки, связанные с вредоносным кодом. Хотя точную сумму похищенного установить не удалось, из-за особенностей конфиденциальности публичной бухгалтерской книги Monero она, скорее всего, намного больше, чем только кража биткоина.

Лучший способ защиты от атак с использованием буфера обмена - всегда загружать программное обеспечение из надежных и проверенных источников. Если пользователь подозревает, что его система уже скомпрометирована, он может использовать для проверки быстрый трюк с блокнотом - ввести или скопировать в блокнот адрес Bitcoin, нажать Ctrl+C и Ctrl+V и посмотреть, изменится ли адрес. Если да, то систему следует проверить на наличие вредоносного ПО, хотя ее также следует перестроить, чтобы убедиться, что все бэкдоры закрыты. Наконец, для обнаружения вредоносного кода пользователям следует использовать достойное решение для защиты от вредоносного ПО.

Атаки с внедрением буфера обмена представляют собой серьезную угрозу для пользователей криптовалют, что стало возможным благодаря росту стоимости криптовалют в последние годы. Поэтому очень важно, чтобы пользователи оставались бдительными и предпринимали шаги по защите, например, загружали файлы только из надежных источников и использовали антивирусное решение. Если есть подозрение на атаку, то пользователи должны немедленно принять меры, проверив с помощью трюка "Блокнот" и просканировав систему на наличие вредоносного ПО. Несмотря на распространенность таких атак, все еще возможно снизить риск и сохранить свою криптовалюту в безопасности.

#ParsedReport
28-03-2023

Tracking the CHM Malware Using EDR

https://asec.ahnlab.com/en/50580

Actors/Campaigns:
Kimsuky

TTPs:

IOCs:
File: 2
Command: 2
Path: 1
IP: 1
Url: 1
Hash: 2