APT43: North Korean Group Uses
Cybercrime to Fund Espionage Operations

https://mandiant.widen.net/s/zvmfw5fnjs/apt43-report

#ParsedReport
28-03-2023

Overview of AhnLab s Response to Korea-Germany Joint Cyber Security Advice

https://asec.ahnlab.com/en/50577

Actors/Campaigns:
Kimsuky

Threats:
Backdoor/js.agent.sc182439
Backdoor/js.agent.sc182438

Geo:
Korea, Korean, Germany

IOCs:
Hash: 6

Softs:
chromium, android

#ParsedReport
28-03-2023

Emotet Being Distributed via OneNote

https://asec.ahnlab.com/en/50564

Threats:
Emotet
Malware/win.generic.c5398625

IOCs:
File: 2
Hash: 9
Url: 5

Softs:
onenote

#ParsedReport
28-03-2023

Critical Start Warns of Newly Discovered Threat Group Targeting Organizations in Asia

https://www.criticalstart.com/critical-start-warns-of-newly-discovered-threat-group-targeting-organizations-in-asia

Actors/Campaigns:
Hydrochasma (motivation: cyber_espionage)

Threats:
Lolbin_technique
Meterpreter_tool
Metasploit_tool
Gogo_scaner_tool
Cobalt_strike
Allin_scaner_tool
Dogz_proxy_tool
Beacon
Fscan_tool
Procdump_tool
Browserghost_tool

Industry:
Healthcare, Transport, Government

Geo:
Asia

IOCs:
File: 1

Softs:
microsoft edge update, sysinternals, chrome, opera, task scheduler

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление группы киберугроз Hydrochasma подчеркнуло необходимость бдительности и принятия проактивных мер по защите от спонсируемого государством кибершпионажа, особенно в отраслях, связанных с лечением или вакцинами на основе COVID-19.
-----

Появление группы киберугроз Hydrochasma вызывает беспокойство у организаций, занятых в медицинской и судоходной отраслях в Азии. По крайней мере, с октября 2022 года эта группа атакует предприятия с целью кражи конфиденциальных данных или нарушения работы критической инфраструктуры. Предполагается, что они, возможно, заинтересованы в отраслях, занимающихся лечением или вакцинами, связанными с COVID-19.

Hydrochasma обычно использует фишинговое электронное письмо с вложением для получения доступа к системе жертвы. После его открытия он сбрасывает ряд "живых" инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Gogo scanning tool, Process Dumper, Cobalt Strike Beacon, AlliN scanning tool, Fscan, Dogz proxy tool, shellcode loader и поврежденный портативный исполняемый файл (PE). Также используются SoftEtherVPN, Procdump, BrowserGhost, Gost proxy, Ntlmrelay и Task Scheduler. Эти инструменты позволяют злоумышленникам получить постоянный и скрытый доступ к машинам жертв, повысить привилегии и распространиться по сети жертвы.

Угроза, исходящая от государственного кибершпионажа, становится все более распространенной и еще более усугубляется текущей пандемией. Поэтому организации должны предпринимать упреждающие шаги для защиты от возможных атак. Необходимо принять стратегию "защита в глубину" с несколькими уровнями контроля безопасности и отслеживать угрозы на предмет подозрительной активности. Анализ угроз также может помочь организациям лучше понять ТТП, используемые субъектами угроз, что позволит им выявлять и снижать потенциальные риски.

В целом, появление Hydrochasma подчеркивает необходимость бдительности и принятия упреждающих мер для защиты от спонсируемого государством кибершпионажа, особенно в отраслях, связанных с лечением или вакцинами против COVID-19. Зная о последних угрозах и принимая соответствующие меры предосторожности, организации могут лучше защитить себя от злоумышленников.

#ParsedReport
28-03-2023

Copy-paste heist or clipboard-injector attacks on cryptousers

https://securelist.com/copy-paste-heist-clipboard-injector-targeting-cryptowallets/109186

Threats:
Clipboard_injection_technique
Enigma

Industry:
Financial

Geo:
Uzbekistan, Netherlands, Ukraine, Belarus, Germany, China, Russia, Polish, Russian, France

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 20

Softs:
torbrowser, utorrent

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Атаки с использованием инъекций буфера обмена представляют собой серьезную угрозу для пользователей криптовалют и стали возможны благодаря росту стоимости криптовалют в последние годы. Очень важно, чтобы пользователи оставались бдительными и предпринимали шаги по защите, чтобы снизить риск атаки и сохранить свою криптовалюту в безопасности.
-----

Пользователи криптовалют уже давно подвергаются риску атак вредоносных программ, но одна особенно коварная форма атаки - внедрение в буфер обмена - становится все более распространенной с сентября 2022 года. В двух словах, атака осуществляется путем подмены вредоносным ПО части содержимого буфера обмена, когда оно обнаруживает в нем адрес кошелька. Эта техника не нова, впервые она была замечена в банковских троянах еще в 2013 году, но ее использование для атак на пользователей криптовалют делает ее особенно опасной.

Авторы вредоносного ПО распространяют среди русскоязычных пользователей троянские версии Tor Browser, полезной нагрузкой которых является пассивная и не поддерживающая связь вредоносная программа clipboard-injector. После установки на систему пользователя эта вредоносная программа сканирует содержимое буфера обмена с помощью набора встроенных регулярных выражений и заменяет его на один случайно выбранный адрес из жестко заданного списка. Комбинации горячих клавиш (Ctrl+Alt+F10) могут быть использованы для отключения вредоносной программы на этапе тестирования, однако в образец включены тысячи возможных адресов замены Bitcoin, что затрудняет обеспечение безопасности.

О влиянии этой конкретной вредоносной программы свидетельствуют данные, собранные из сотен образцов, которые показали, что она распространилась более чем в 50 странах мира, причем наиболее пострадавшими регионами оказались Россия и Восточная Европа. Чтобы оценить общий ущерб, причиненный вредоносной программой, мы заглянули в соответствующие блокчейны и подсчитали суммарные поступления на кошельки, связанные с вредоносным кодом. Хотя точную сумму похищенного установить не удалось, из-за особенностей конфиденциальности публичной бухгалтерской книги Monero она, скорее всего, намного больше, чем только кража биткоина.

Лучший способ защиты от атак с использованием буфера обмена - всегда загружать программное обеспечение из надежных и проверенных источников. Если пользователь подозревает, что его система уже скомпрометирована, он может использовать для проверки быстрый трюк с блокнотом - ввести или скопировать в блокнот адрес Bitcoin, нажать Ctrl+C и Ctrl+V и посмотреть, изменится ли адрес. Если да, то систему следует проверить на наличие вредоносного ПО, хотя ее также следует перестроить, чтобы убедиться, что все бэкдоры закрыты. Наконец, для обнаружения вредоносного кода пользователям следует использовать достойное решение для защиты от вредоносного ПО.

Атаки с внедрением буфера обмена представляют собой серьезную угрозу для пользователей криптовалют, что стало возможным благодаря росту стоимости криптовалют в последние годы. Поэтому очень важно, чтобы пользователи оставались бдительными и предпринимали шаги по защите, например, загружали файлы только из надежных источников и использовали антивирусное решение. Если есть подозрение на атаку, то пользователи должны немедленно принять меры, проверив с помощью трюка "Блокнот" и просканировав систему на наличие вредоносного ПО. Несмотря на распространенность таких атак, все еще возможно снизить риск и сохранить свою криптовалюту в безопасности.

#ParsedReport
28-03-2023

Tracking the CHM Malware Using EDR

https://asec.ahnlab.com/en/50580

Actors/Campaigns:
Kimsuky

TTPs:

IOCs:
File: 2
Command: 2
Path: 1
IP: 1
Url: 1
Hash: 2

#ParsedReport
28-03-2023

Dridex malware, the banking trojan

https://cybersecurity.att.com/blogs/security-essentials/dridex-malware-the-banking-trojan

Threats:
Dridex
Cridex
Process_hollowing_technique
Heavens_gate_technique

Industry:
Education, Financial

Softs:
macos

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Dridex - это банковский троянец, который активен с 2011 года, распространяется через вредоносные электронные письма, его трудно обнаружить и удалить. Недавно был разработан вариант, нацеленный на системы MacOS, и он продолжает развиваться. Усилия по устранению последствий должны включать мониторинг подозрительной активности, блокировку вредоносных IP-адресов и доменов, обновление программного обеспечения и обучение пользователей. Кроме того, мониторинг известных индикаторов компрометации может помочь обнаружить и предотвратить заражение Dridex.
-----

Dridex - это банковский троянец, активный с 2011 года и используемый в основном для кражи конфиденциальной информации. Вредоносная программа распространяется через вредоносные электронные письма, используя вложения или ссылки, которые ведут к загрузке вредоносной программы. Dridex использует такие передовые методы, как заражение без файлов, "пустота" процессов, антиотладка и антивиртуализация, чтобы избежать обнаружения и сохранить устойчивость в зараженной системе. В результате пользователям может быть сложно обнаружить и удалить Dridex из своих систем.

Злоумышленники, стоящие за Dridex, постоянно совершенствуют свою тактику и недавно разработали вариант вредоносной программы, нацеленный на системы MacOS. Этот вариант перезаписывает файлы документов вредоносными макросами для доставки вредоносного кода, что затрудняет обнаружение вредоносного файла пользователями. Кроме того, вредоносная программа использует базовое шифрование строк, чтобы скрыть свой вредоносный URL.

Dridex нацелен на финансовые учреждения, предприятия и частных лиц. Хотя администратор вредоносной программы был арестован в 2015 году, Dridex смог сохранить активность и продолжает развиваться. Усилия по устранению последствий должны включать мониторинг подозрительной активности, блокировку известных вредоносных IP-адресов и доменов, обновление программного обеспечения и обучение пользователей тому, как выявлять и избегать попыток фишинга. Кроме того, мониторинг известных индикаторов компрометации и проверка процессов и dll-файлов, которые, как известно, являются целью Dridex, может помочь обнаружить и предотвратить заражение Dridex.

#ParsedReport
27-03-2023

Supply Chain Attack via New Malicious Python Packages

https://www.fortinet.com/blog/threat-research/supply-chain-attack-via-new-malicious-python-packages

IOCs:
Hash: 64
File: 1
Url: 3

Softs:
discord

Algorithms:
base64, zip

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания FortiGuard Labs обнаружила более 60 атак нулевого дня, встроенных в пакеты PyPI, и призвала пользователей проявлять осторожность при загрузке пакетов. Разработчикам также следует принять дополнительные меры безопасности, чтобы защитить свое программное обеспечение от злоумышленников.
-----

Компания FortiGuard Labs обнаружила более 60 атак нулевого дня, встроенных в пакеты PyPI в период с февраля по середину марта 2023 года. Эти вредоносные пакеты предназначены для выполнения команды PowerShell, закодированной в Base64, подключения к URL-адресу, который может содержать вредоносный код, выполнения кода Empyrean stealer, сильно обфусцированного кода и загрузки zip-файла, содержащего вредоносный код. Метаданные и файлы setup.py указывают на то, что пакет, скорее всего, является кражей пароля через веб-крючок Discord.

Злоумышленники используют различные методы атаки, чтобы скрыть свою вредоносную деятельность. Например, они пытаются запустить потенциально вредоносный скрипт python, а затем удалить его. Они также используют сильную обфускацию, чтобы затруднить обнаружение и анализ кода.

Учитывая большое количество найденных вредоносных пакетов, FortiGuard Labs призывает пользователей Python быть бдительными при загрузке пакетов и перепроверять их перед использованием. Команда будет продолжать отслеживать новые пакеты с открытым исходным кодом и сообщать о любых найденных вредоносных пакетах, чтобы помочь защитить пользователей от атак на цепочки поставок.

#ParsedReport
28-03-2023

New Infostealer LummaC2 Being Distributed Disguised As Illegal Cracks

https://asec.ahnlab.com/en/50594

Threats:
Lumma_stealer
Raccoon_stealer
Cryptbot_stealer
Redline_stealer
Vidar_stealer
Record_breaker_stealer
Clipbanker
Saturn
Chrysaor
Anydesk_tool
Trojan/win.generic.c5397321

IOCs:
File: 7
Hash: 7
Url: 1

Softs:
windows defender, chrome, chromium, kometa, opera, brave-browser, comodo dragon, coccoc, tronlink, roninwallet, have more...

Algorithms:
zip

Functions:
Sleep

Win API:
GetProcAddress, GetSystemTimeAsFileTime, GetUserNameW, GetComputerNameW

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LummaC2 - это вредоносная программа, замаскированная под крэки и кейгены популярных программ, которая может собирать различную информацию и отправлять ее на сервер C2, что делает ее серьезной угрозой безопасности в Интернете. Пользователям следует соблюдать особую осторожность при загрузке любого типа крэков или серийных ключей.
-----

Infostealer LummaC2 - это новая вредоносная программа, которая распространяется в Интернете с начала 2021 года. Она маскируется под крэки и кейгены популярных программ, которые соблазняют пользователей скачать ее вместо искомой легитимной программы. Вредоносная программа распространяется в сжатом файле под названием NewSetupV4-Pass-55551.rar, который содержит другой сжатый файл под названием setup.rar. Setup.rar создает LummaC2, замаскированный под setupfile.exe. Он выполняет обфускацию строк, встраивая несколько строк edx765 между строками, используемыми для вредоносного поведения. Изменяя значения и используя условные операторы и операторы перехода, вредоносная программа может управлять потоком выполнения. Она также рассчитана на аварийное завершение работы при выполнении определенных условий, например, при совпадении имени пользователя или имени компьютера с заранее определенными значениями.

Целью Infostealer является разнообразная информация, включая данные браузера, программы криптовалютных кошельков, скриншоты, системную информацию, информацию об установленных программах, почтовых клиентах и других приложениях. После сбора информации она сжимается в ZIP-файл и отправляется на сервер C2 методом HTTP POST с путем /c2sock и User-Agent TeslaBrowser/5.5. Каждая передача идентифицируется уникальным идентификатором зараженного ПК, числом от 1 до 3, указывающим на тип похищенной информации, и идентификатором Lumma ID, который считается идентификатором кампании распространяемой вредоносной программы.

LummaC2 - последняя из серии вредоносных программ, распространяемых подобным образом. CryptBot, RedLine, Vidar и RecordBreaker (Raccoon V2) распространялись подобным образом, однако LummaC2 выделяется своими дополнительными функциями и возможностями. Благодаря своим передовым методам обфускации и способности поражать широкий спектр информации, LummaC2 представляет собой серьезную угрозу для безопасности в Интернете. Поэтому пользователям следует проявлять особую осторожность при загрузке любого типа кряков или серийных ключей, поскольку они могут неосознанно установить на свой компьютер вредоносное программное обеспечение.

#ParsedReport
28-03-2023

Dissecting and Detecting Babuk ransomware Cryptography. Conclusion

https://research.kudelskisecurity.com/2023/03/28/dissecting-and-detecting-babuk-ransomware-cryptography

Threats:
Babuk
Rook
Pridelocker

CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34523 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-31207 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)


IOCs:
File: 2
Hash: 1

Softs:
esxi, microsoft exchange

Algorithms:
ecdh, chacha20, curve25519, curve25519-donna, aes, salsa20, hc-128, sosemanuk

Languages:
c_language, python

Platforms:
x86, intel, arm

YARA: Found

Links:
https://github.com/kudelskisecurity/cryptography-yara-rules
https://github.com/agl/curve25519-donna
https://github.com/Yara-Rules/rules/blob/master/crypto/crypto\_signatures.yar
https://github.com/synacktiv/pridelocker-analysis

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматривается выбор криптографических алгоритмов, используемых для создания программы Babuk ransomware, которая способна распространяться через фишинг электронной почты, незащищенные развертывания RDP и непропатченные уязвимости. В статье рассказывается о трех различных версиях программы-вымогателя и выборе криптографических алгоритмов для согласования ключей, симметричного шифрования и обнаружения.
-----

Впервые программа Babuk ransomware была обнаружена два года назад и недавно была использована в дикой природе на некоторых системах VMware ESXi. Исходный код этой программы-вымогателя был опубликован в 2021 году, что позволило другим группам создать ее копии, такие как Rook и PrideLocker. Благодаря своей портативности, она способна распространяться через фишинг электронной почты, незащищенные развертывания RDP и непропатченные уязвимости, в частности, используя 3 ошибки в Microsoft Exchange.

В этой статье рассматривается выбор криптографических алгоритмов, используемых для создания программы-вымогателя Babuk. Существует три различных версии этой программы, одна для Windows, одна для ESXi и одна для устройств NAS. Версии для Windows и ESXi написаны на языке C++, а версия для NAS - на языке Go.

Для согласования ключей между двумя сторонами алгоритм ECDH реализован на кривой Curve25519. Он повторно использует код от Адама Лэнгли для реализации кривой в версиях для Windows и ESXi, и использует пакет Go Cryptography для версии NAS. Это разумный выбор, поскольку Curve25519 является одним из самых быстрых алгоритмов и был разработан для того, чтобы быть менее подверженным ошибкам.

Для симметричного шифрования изначально используется потоковый шифр Chacha8, но из исходного кода становится ясно, что в версии для ESXi используется Sosemanuk, в версии для Windows - HC-128, а в версии для NAS - Chacha20. Эти три шифра были выбраны проектом eSTREAM как эффективные и безопасные потоковые шифры. Они являются чисто программными реализациями и отличаются высокой скоростью, причем скорость Sosemanuk составляет 388 Мбит/с.

Выбор Sosemanuk и HC-128 может быть обусловлен тем, что они не очень известны и для них нет правил Yara для обнаружения. В связи с этим мы выпустили правило Yara для обнаружения Curve25519 и улучшили правило обнаружения Chacha20. Мы также внедрили правила Yara для обнаружения потокового шифра Sosemanuk. Все это помогает исследователям быстрее выявлять криптографические алгоритмы, используемые в программах-вымогателях.

#ParsedReport
29-03-2023

ASEC weekly malware statistics (20230320 \~ 20230326)

https://asec.ahnlab.com/ko/50552

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Transport, Financial

Geo:
Korea

IOCs:
IP: 8
Domain: 3
Url: 6
Email: 2
File: 11

Softs:
telegram, nsis installer, discord

Languages:
visual_basic, php

#ParsedReport
29-03-2023

BianLian Ransomware Changes Faces

https://www.avertium.com/resources/threat-reports/bianlian-ransomware-changes-faces

Threats:
Hydra
Havoc

Industry:
Government, Entertainment, Healthcare, Financial

Geo:
California, China

IOCs:
Hash: 46

Algorithms:
aes, aes-256

Languages:
golang

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Выпуск расшифровщика для BianLian позволил жертвам получить доступ к своим данным без уплаты выкупа, однако организациям необходимо принять меры по обеспечению безопасности своих данных для предотвращения подобных атак в будущем.
-----

Появление BianLian в августе 2022 года быстро сделало его известным как программу-вымогатель, которая шифровала файлы в течение нескольких минут. Эта вредоносная программа была написана на языке Golang и скомпилирована как 64-битный исполняемый файл для Windows, что затрудняло ее обнаружение и анализ. В качестве дополнительной меры BianLian использовал методы уклонения от анализа, делая вызовы API, которые могли вызвать сбои в песочницах или автоматизированных системах анализа. На сайте вымогателя было указано 118 жертв, 71% из которых находились в США. BianLian нацелился на такие организации, как больница Святой Розы в Калифорнии и город Уэйнсборо, штат Вирджиния.

В марте 2023 года команда исследователей и аналитиков компании Avast разработала дешифратор для BianLian, позволяющий жертвам получить доступ к своим данным без уплаты выкупа. Дешифратор работал на основе симметричного алгоритма AES256, используемого BianLian для шифрования файлов, что позволило Avast восстановить ключ шифрования и написать новый дешифратор. Несмотря на успешный выпуск дешифровщика, это, скорее всего, лишь временная неудача для BianLian, которая теперь работает как группа вымогателей, а не как группа по борьбе с вымогательством. Изучая жертв и адаптируя угрозы, BianLian, вероятно, разработает новый шифровальщик, использующий шифрование с открытым ключом, что означает, что один и тот же ключ не может быть использован как для шифрования, так и для дешифрования.

Влияние выпущенного расшифровщика было огромным, поскольку он дал жертвам возможность получить доступ к своим данным без необходимости платить выкуп. Однако появление BianLian подчеркнуло необходимость более надежных программ кибербезопасности и более эффективных планов реагирования на инциденты для предотвращения подобных атак в будущем. Организациям также следует помнить об опасности программ-вымогателей и групп вымогателей и принимать необходимые меры для обеспечения безопасности своих данных.

#ParsedReport
29-03-2023

Kimsuky Group Uses ADS to Conceal Malware

https://asec.ahnlab.com/en/50625

Actors/Campaigns:
Kimsuky

Threats:
Netstat_tool
Magniber
Appleseed

Geo:
Northkorea

IOCs:
Command: 1
Path: 3
Hash: 2
Domain: 1

Platforms:
x86

#ParsedReport
29-03-2023

Kimsuky Group Distributes Malware Disguised as Profile Template (GitHub)

https://asec.ahnlab.com/en/50621

Actors/Campaigns:
Kimsuky
Apt37

Geo:
Northkorea

IOCs:
File: 1
Hash: 2
Url: 1