#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Группа Donot (также известная как APT-Q-38) - это спонсируемая правительством организация, расположенная в одной из стран Южной Азии. Ее атакующая деятельность ведется с конца прошлого года и направлена на такие страны, как Китай, Пакистан и Шри-Ланка. Группа часто внедряет вредоносные компоненты через макро-документы, которые затем используются для загрузки дальнейших DLL-компонентов.

Эти DLL-компоненты выполняют трехэтапный процесс "загрузчик-плагин-менеджер-плагин". Компонент загрузчика имеет две функции экспорта, одна из которых создает мьютекс и собирает информацию о программном обеспечении и системе из реестра. Затем эта информация объединяется с идентификатором жертвы, шифруется с помощью AES и кодируется в Base64 перед отправкой на сервер C2. С сервера C2 приходит ответное сообщение, которое затем разбирается для дальнейшей обработки.

Другой способ внедрения вредоносных компонентов - использование самораспаковывающихся файлов, замаскированных значком папки. Эти файлы попадают в каталог temp, где запускают файл rundll32.exe и открывают папку, содержащую документ-приманку PDF.

Менеджер плагина выполняет цикл while в начале каждой итерации, отправляя идентификатор жертвы в качестве маячка на сервер C2. URL, используемый для этой цели, отличается от того, который использовался в предыдущих атаках Donot. Сообщение не сохраняется на диске, а обрабатывается непосредственно в памяти. Менеджер плагинов также выполняет операцию самоудаления после выхода из цикла while.

Наконец, недавно группа начала использовать компоненты EXE в качестве загрузчика для получения последующих компонентов в своей атакующей деятельности. Эти компоненты имеют простую функцию загрузки двух последующих компонентов с сервера C2, причем порядок загрузки контролируется глобальной переменной с начальным значением 1.

В целом, группа Donot использует сложные методы шифрования для сокрытия критически важных строк в своих компонентах атак на базе PE, такие как двойные 01-преобразования и многоуровневое шифрование. Они также расширяют свои процессы атаки, применяя более разнообразные методы внедрения вредоносных компонентов и используя различные типы компонентов.

#ParsedReport
27-03-2023

. Analysis of Attack Activities Using Cloud Note Platform to Deliver Remote Control Trojans

https://www.antiy.cn/research/notice&report/research_report/20230324.html

Threats:
Dead_drop_technique
Gh0st_rat
Trojan/win32.downloader

Industry:
Aerospace

Geo:
Chinese

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 15
Hash: 13
IP: 1

Softs:
telegram

Languages:
visual_basic

Platforms:
arm, intel, x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В октябре 2022 года Antiy CERT обнаружил атаку, использующую облачную платформу Note для доставки троянского коня удаленного управления. Злоумышленники использовали файлы-обманки, замаскированные под приложения или документы, чтобы заманить пользователей загрузить и выполнить их. Троянец удаленного управления представлял собой вариант на основе семейства троянцев удаленного управления Gh0st с множеством настроенных вредоносных функций, таких как персистентность, кража информации, выполнение загрузок, управление файлами и т.д.

Злоумышленники используют технологию "DDR" (Dead Drop Resolvers) для размещения вредоносной полезной нагрузки в виде сжатых файлов на платформе облачных заметок, чтобы избежать обнаружения продуктами безопасности на стороне трафика. Вредоносная полезная нагрузка содержит исполняемую программу, которая загружает DLL-файл первого этапа и получает Shellcode для его расшифровки с целью получения окончательного троянца удаленного управления. Вредоносный код доставляется на хост жертвы и может быть использован для персистенции хоста, кражи системной информации, удаленного управления, загрузки и выполнения других программ и многих других операций.

Chinotto Backdoor Technical Analysis of the APT Reaper’s Powerful Weapon

https://threatmon.io/chinotto-backdoor-technical-analysis-of-the-apt-reapers-powerful/

APT43: North Korean Group Uses
Cybercrime to Fund Espionage Operations

https://mandiant.widen.net/s/zvmfw5fnjs/apt43-report

#ParsedReport
28-03-2023

Overview of AhnLab s Response to Korea-Germany Joint Cyber Security Advice

https://asec.ahnlab.com/en/50577

Actors/Campaigns:
Kimsuky

Threats:
Backdoor/js.agent.sc182439
Backdoor/js.agent.sc182438

Geo:
Korea, Korean, Germany

IOCs:
Hash: 6

Softs:
chromium, android

#ParsedReport
28-03-2023

Emotet Being Distributed via OneNote

https://asec.ahnlab.com/en/50564

Threats:
Emotet
Malware/win.generic.c5398625

IOCs:
File: 2
Hash: 9
Url: 5

Softs:
onenote

#ParsedReport
28-03-2023

Critical Start Warns of Newly Discovered Threat Group Targeting Organizations in Asia

https://www.criticalstart.com/critical-start-warns-of-newly-discovered-threat-group-targeting-organizations-in-asia

Actors/Campaigns:
Hydrochasma (motivation: cyber_espionage)

Threats:
Lolbin_technique
Meterpreter_tool
Metasploit_tool
Gogo_scaner_tool
Cobalt_strike
Allin_scaner_tool
Dogz_proxy_tool
Beacon
Fscan_tool
Procdump_tool
Browserghost_tool

Industry:
Healthcare, Transport, Government

Geo:
Asia

IOCs:
File: 1

Softs:
microsoft edge update, sysinternals, chrome, opera, task scheduler

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление группы киберугроз Hydrochasma подчеркнуло необходимость бдительности и принятия проактивных мер по защите от спонсируемого государством кибершпионажа, особенно в отраслях, связанных с лечением или вакцинами на основе COVID-19.
-----

Появление группы киберугроз Hydrochasma вызывает беспокойство у организаций, занятых в медицинской и судоходной отраслях в Азии. По крайней мере, с октября 2022 года эта группа атакует предприятия с целью кражи конфиденциальных данных или нарушения работы критической инфраструктуры. Предполагается, что они, возможно, заинтересованы в отраслях, занимающихся лечением или вакцинами, связанными с COVID-19.

Hydrochasma обычно использует фишинговое электронное письмо с вложением для получения доступа к системе жертвы. После его открытия он сбрасывает ряд "живых" инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Gogo scanning tool, Process Dumper, Cobalt Strike Beacon, AlliN scanning tool, Fscan, Dogz proxy tool, shellcode loader и поврежденный портативный исполняемый файл (PE). Также используются SoftEtherVPN, Procdump, BrowserGhost, Gost proxy, Ntlmrelay и Task Scheduler. Эти инструменты позволяют злоумышленникам получить постоянный и скрытый доступ к машинам жертв, повысить привилегии и распространиться по сети жертвы.

Угроза, исходящая от государственного кибершпионажа, становится все более распространенной и еще более усугубляется текущей пандемией. Поэтому организации должны предпринимать упреждающие шаги для защиты от возможных атак. Необходимо принять стратегию "защита в глубину" с несколькими уровнями контроля безопасности и отслеживать угрозы на предмет подозрительной активности. Анализ угроз также может помочь организациям лучше понять ТТП, используемые субъектами угроз, что позволит им выявлять и снижать потенциальные риски.

В целом, появление Hydrochasma подчеркивает необходимость бдительности и принятия упреждающих мер для защиты от спонсируемого государством кибершпионажа, особенно в отраслях, связанных с лечением или вакцинами против COVID-19. Зная о последних угрозах и принимая соответствующие меры предосторожности, организации могут лучше защитить себя от злоумышленников.

#ParsedReport
28-03-2023

Copy-paste heist or clipboard-injector attacks on cryptousers

https://securelist.com/copy-paste-heist-clipboard-injector-targeting-cryptowallets/109186

Threats:
Clipboard_injection_technique
Enigma

Industry:
Financial

Geo:
Uzbekistan, Netherlands, Ukraine, Belarus, Germany, China, Russia, Polish, Russian, France

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 20

Softs:
torbrowser, utorrent

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Атаки с использованием инъекций буфера обмена представляют собой серьезную угрозу для пользователей криптовалют и стали возможны благодаря росту стоимости криптовалют в последние годы. Очень важно, чтобы пользователи оставались бдительными и предпринимали шаги по защите, чтобы снизить риск атаки и сохранить свою криптовалюту в безопасности.
-----

Пользователи криптовалют уже давно подвергаются риску атак вредоносных программ, но одна особенно коварная форма атаки - внедрение в буфер обмена - становится все более распространенной с сентября 2022 года. В двух словах, атака осуществляется путем подмены вредоносным ПО части содержимого буфера обмена, когда оно обнаруживает в нем адрес кошелька. Эта техника не нова, впервые она была замечена в банковских троянах еще в 2013 году, но ее использование для атак на пользователей криптовалют делает ее особенно опасной.

Авторы вредоносного ПО распространяют среди русскоязычных пользователей троянские версии Tor Browser, полезной нагрузкой которых является пассивная и не поддерживающая связь вредоносная программа clipboard-injector. После установки на систему пользователя эта вредоносная программа сканирует содержимое буфера обмена с помощью набора встроенных регулярных выражений и заменяет его на один случайно выбранный адрес из жестко заданного списка. Комбинации горячих клавиш (Ctrl+Alt+F10) могут быть использованы для отключения вредоносной программы на этапе тестирования, однако в образец включены тысячи возможных адресов замены Bitcoin, что затрудняет обеспечение безопасности.

О влиянии этой конкретной вредоносной программы свидетельствуют данные, собранные из сотен образцов, которые показали, что она распространилась более чем в 50 странах мира, причем наиболее пострадавшими регионами оказались Россия и Восточная Европа. Чтобы оценить общий ущерб, причиненный вредоносной программой, мы заглянули в соответствующие блокчейны и подсчитали суммарные поступления на кошельки, связанные с вредоносным кодом. Хотя точную сумму похищенного установить не удалось, из-за особенностей конфиденциальности публичной бухгалтерской книги Monero она, скорее всего, намного больше, чем только кража биткоина.

Лучший способ защиты от атак с использованием буфера обмена - всегда загружать программное обеспечение из надежных и проверенных источников. Если пользователь подозревает, что его система уже скомпрометирована, он может использовать для проверки быстрый трюк с блокнотом - ввести или скопировать в блокнот адрес Bitcoin, нажать Ctrl+C и Ctrl+V и посмотреть, изменится ли адрес. Если да, то систему следует проверить на наличие вредоносного ПО, хотя ее также следует перестроить, чтобы убедиться, что все бэкдоры закрыты. Наконец, для обнаружения вредоносного кода пользователям следует использовать достойное решение для защиты от вредоносного ПО.

Атаки с внедрением буфера обмена представляют собой серьезную угрозу для пользователей криптовалют, что стало возможным благодаря росту стоимости криптовалют в последние годы. Поэтому очень важно, чтобы пользователи оставались бдительными и предпринимали шаги по защите, например, загружали файлы только из надежных источников и использовали антивирусное решение. Если есть подозрение на атаку, то пользователи должны немедленно принять меры, проверив с помощью трюка "Блокнот" и просканировав систему на наличие вредоносного ПО. Несмотря на распространенность таких атак, все еще возможно снизить риск и сохранить свою криптовалюту в безопасности.

#ParsedReport
28-03-2023

Tracking the CHM Malware Using EDR

https://asec.ahnlab.com/en/50580

Actors/Campaigns:
Kimsuky

TTPs:

IOCs:
File: 2
Command: 2
Path: 1
IP: 1
Url: 1
Hash: 2

#ParsedReport
28-03-2023

Dridex malware, the banking trojan

https://cybersecurity.att.com/blogs/security-essentials/dridex-malware-the-banking-trojan

Threats:
Dridex
Cridex
Process_hollowing_technique
Heavens_gate_technique

Industry:
Education, Financial

Softs:
macos

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Dridex - это банковский троянец, который активен с 2011 года, распространяется через вредоносные электронные письма, его трудно обнаружить и удалить. Недавно был разработан вариант, нацеленный на системы MacOS, и он продолжает развиваться. Усилия по устранению последствий должны включать мониторинг подозрительной активности, блокировку вредоносных IP-адресов и доменов, обновление программного обеспечения и обучение пользователей. Кроме того, мониторинг известных индикаторов компрометации может помочь обнаружить и предотвратить заражение Dridex.
-----

Dridex - это банковский троянец, активный с 2011 года и используемый в основном для кражи конфиденциальной информации. Вредоносная программа распространяется через вредоносные электронные письма, используя вложения или ссылки, которые ведут к загрузке вредоносной программы. Dridex использует такие передовые методы, как заражение без файлов, "пустота" процессов, антиотладка и антивиртуализация, чтобы избежать обнаружения и сохранить устойчивость в зараженной системе. В результате пользователям может быть сложно обнаружить и удалить Dridex из своих систем.

Злоумышленники, стоящие за Dridex, постоянно совершенствуют свою тактику и недавно разработали вариант вредоносной программы, нацеленный на системы MacOS. Этот вариант перезаписывает файлы документов вредоносными макросами для доставки вредоносного кода, что затрудняет обнаружение вредоносного файла пользователями. Кроме того, вредоносная программа использует базовое шифрование строк, чтобы скрыть свой вредоносный URL.

Dridex нацелен на финансовые учреждения, предприятия и частных лиц. Хотя администратор вредоносной программы был арестован в 2015 году, Dridex смог сохранить активность и продолжает развиваться. Усилия по устранению последствий должны включать мониторинг подозрительной активности, блокировку известных вредоносных IP-адресов и доменов, обновление программного обеспечения и обучение пользователей тому, как выявлять и избегать попыток фишинга. Кроме того, мониторинг известных индикаторов компрометации и проверка процессов и dll-файлов, которые, как известно, являются целью Dridex, может помочь обнаружить и предотвратить заражение Dridex.

#ParsedReport
27-03-2023

Supply Chain Attack via New Malicious Python Packages

https://www.fortinet.com/blog/threat-research/supply-chain-attack-via-new-malicious-python-packages

IOCs:
Hash: 64
File: 1
Url: 3

Softs:
discord

Algorithms:
base64, zip

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания FortiGuard Labs обнаружила более 60 атак нулевого дня, встроенных в пакеты PyPI, и призвала пользователей проявлять осторожность при загрузке пакетов. Разработчикам также следует принять дополнительные меры безопасности, чтобы защитить свое программное обеспечение от злоумышленников.
-----

Компания FortiGuard Labs обнаружила более 60 атак нулевого дня, встроенных в пакеты PyPI в период с февраля по середину марта 2023 года. Эти вредоносные пакеты предназначены для выполнения команды PowerShell, закодированной в Base64, подключения к URL-адресу, который может содержать вредоносный код, выполнения кода Empyrean stealer, сильно обфусцированного кода и загрузки zip-файла, содержащего вредоносный код. Метаданные и файлы setup.py указывают на то, что пакет, скорее всего, является кражей пароля через веб-крючок Discord.

Злоумышленники используют различные методы атаки, чтобы скрыть свою вредоносную деятельность. Например, они пытаются запустить потенциально вредоносный скрипт python, а затем удалить его. Они также используют сильную обфускацию, чтобы затруднить обнаружение и анализ кода.

Учитывая большое количество найденных вредоносных пакетов, FortiGuard Labs призывает пользователей Python быть бдительными при загрузке пакетов и перепроверять их перед использованием. Команда будет продолжать отслеживать новые пакеты с открытым исходным кодом и сообщать о любых найденных вредоносных пакетах, чтобы помочь защитить пользователей от атак на цепочки поставок.

#ParsedReport
28-03-2023

New Infostealer LummaC2 Being Distributed Disguised As Illegal Cracks

https://asec.ahnlab.com/en/50594

Threats:
Lumma_stealer
Raccoon_stealer
Cryptbot_stealer
Redline_stealer
Vidar_stealer
Record_breaker_stealer
Clipbanker
Saturn
Chrysaor
Anydesk_tool
Trojan/win.generic.c5397321

IOCs:
File: 7
Hash: 7
Url: 1

Softs:
windows defender, chrome, chromium, kometa, opera, brave-browser, comodo dragon, coccoc, tronlink, roninwallet, have more...

Algorithms:
zip

Functions:
Sleep

Win API:
GetProcAddress, GetSystemTimeAsFileTime, GetUserNameW, GetComputerNameW

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LummaC2 - это вредоносная программа, замаскированная под крэки и кейгены популярных программ, которая может собирать различную информацию и отправлять ее на сервер C2, что делает ее серьезной угрозой безопасности в Интернете. Пользователям следует соблюдать особую осторожность при загрузке любого типа крэков или серийных ключей.
-----

Infostealer LummaC2 - это новая вредоносная программа, которая распространяется в Интернете с начала 2021 года. Она маскируется под крэки и кейгены популярных программ, которые соблазняют пользователей скачать ее вместо искомой легитимной программы. Вредоносная программа распространяется в сжатом файле под названием NewSetupV4-Pass-55551.rar, который содержит другой сжатый файл под названием setup.rar. Setup.rar создает LummaC2, замаскированный под setupfile.exe. Он выполняет обфускацию строк, встраивая несколько строк edx765 между строками, используемыми для вредоносного поведения. Изменяя значения и используя условные операторы и операторы перехода, вредоносная программа может управлять потоком выполнения. Она также рассчитана на аварийное завершение работы при выполнении определенных условий, например, при совпадении имени пользователя или имени компьютера с заранее определенными значениями.

Целью Infostealer является разнообразная информация, включая данные браузера, программы криптовалютных кошельков, скриншоты, системную информацию, информацию об установленных программах, почтовых клиентах и других приложениях. После сбора информации она сжимается в ZIP-файл и отправляется на сервер C2 методом HTTP POST с путем /c2sock и User-Agent TeslaBrowser/5.5. Каждая передача идентифицируется уникальным идентификатором зараженного ПК, числом от 1 до 3, указывающим на тип похищенной информации, и идентификатором Lumma ID, который считается идентификатором кампании распространяемой вредоносной программы.

LummaC2 - последняя из серии вредоносных программ, распространяемых подобным образом. CryptBot, RedLine, Vidar и RecordBreaker (Raccoon V2) распространялись подобным образом, однако LummaC2 выделяется своими дополнительными функциями и возможностями. Благодаря своим передовым методам обфускации и способности поражать широкий спектр информации, LummaC2 представляет собой серьезную угрозу для безопасности в Интернете. Поэтому пользователям следует проявлять особую осторожность при загрузке любого типа кряков или серийных ключей, поскольку они могут неосознанно установить на свой компьютер вредоносное программное обеспечение.

#ParsedReport
28-03-2023

Dissecting and Detecting Babuk ransomware Cryptography. Conclusion

https://research.kudelskisecurity.com/2023/03/28/dissecting-and-detecting-babuk-ransomware-cryptography

Threats:
Babuk
Rook
Pridelocker

CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34523 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-31207 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)


IOCs:
File: 2
Hash: 1

Softs:
esxi, microsoft exchange

Algorithms:
ecdh, chacha20, curve25519, curve25519-donna, aes, salsa20, hc-128, sosemanuk

Languages:
c_language, python

Platforms:
x86, intel, arm

YARA: Found

Links:
https://github.com/kudelskisecurity/cryptography-yara-rules
https://github.com/agl/curve25519-donna
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar
https://github.com/synacktiv/pridelocker-analysis

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматривается выбор криптографических алгоритмов, используемых для создания программы Babuk ransomware, которая способна распространяться через фишинг электронной почты, незащищенные развертывания RDP и непропатченные уязвимости. В статье рассказывается о трех различных версиях программы-вымогателя и выборе криптографических алгоритмов для согласования ключей, симметричного шифрования и обнаружения.
-----

Впервые программа Babuk ransomware была обнаружена два года назад и недавно была использована в дикой природе на некоторых системах VMware ESXi. Исходный код этой программы-вымогателя был опубликован в 2021 году, что позволило другим группам создать ее копии, такие как Rook и PrideLocker. Благодаря своей портативности, она способна распространяться через фишинг электронной почты, незащищенные развертывания RDP и непропатченные уязвимости, в частности, используя 3 ошибки в Microsoft Exchange.

В этой статье рассматривается выбор криптографических алгоритмов, используемых для создания программы-вымогателя Babuk. Существует три различных версии этой программы, одна для Windows, одна для ESXi и одна для устройств NAS. Версии для Windows и ESXi написаны на языке C++, а версия для NAS - на языке Go.

Для согласования ключей между двумя сторонами алгоритм ECDH реализован на кривой Curve25519. Он повторно использует код от Адама Лэнгли для реализации кривой в версиях для Windows и ESXi, и использует пакет Go Cryptography для версии NAS. Это разумный выбор, поскольку Curve25519 является одним из самых быстрых алгоритмов и был разработан для того, чтобы быть менее подверженным ошибкам.

Для симметричного шифрования изначально используется потоковый шифр Chacha8, но из исходного кода становится ясно, что в версии для ESXi используется Sosemanuk, в версии для Windows - HC-128, а в версии для NAS - Chacha20. Эти три шифра были выбраны проектом eSTREAM как эффективные и безопасные потоковые шифры. Они являются чисто программными реализациями и отличаются высокой скоростью, причем скорость Sosemanuk составляет 388 Мбит/с.

Выбор Sosemanuk и HC-128 может быть обусловлен тем, что они не очень известны и для них нет правил Yara для обнаружения. В связи с этим мы выпустили правило Yara для обнаружения Curve25519 и улучшили правило обнаружения Chacha20. Мы также внедрили правила Yara для обнаружения потокового шифра Sosemanuk. Все это помогает исследователям быстрее выявлять криптографические алгоритмы, используемые в программах-вымогателях.

#ParsedReport
29-03-2023

ASEC weekly malware statistics (20230320 \~ 20230326)

https://asec.ahnlab.com/ko/50552

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Transport, Financial

Geo:
Korea

IOCs:
IP: 8
Domain: 3
Url: 6
Email: 2
File: 11

Softs:
telegram, nsis installer, discord

Languages:
visual_basic, php