#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Xloader - это семейство вредоносных программ для кражи информации, которое с годами совершенствовалось за счет дополнительных слоев обфускации и шифрования. Zscaler ThreatLabz разработала инструменты для расшифровки кода и данных Xloader, а облачная платформа безопасности Zscaler способна обнаруживать индикаторы Xloader и Formbook.
-----

Xloader - это семейство вредоносных программ для кражи информации, которое произошло от семейства Formbook, впервые проданного на криминальных форумах в 2016 году. В начале 2020 года угрожающие субъекты, стоящие за Xloader, провели ребрендинг и перешли на модель "вредоносное ПО как услуга" (MaaS), сдавая инфраструктуру C2 в аренду клиентам. Разработчики продолжают обновлять код, добавляя дополнительные слои обфускации и шифрования с каждой новой выпущенной версией.

Последним вариантом Xloader является версия 4.3, выпущенная в январе 2023 года, которая имеет несколько модификаций, включая дополнительную обфускацию. Xloader реализует различные методы обфускации и несколько уровней шифрования для защиты критических частей кода и данных от анализа. Эти алгоритмы комбинируются различными способами для расшифровки других блоков кода и данных, таких как ключи шифрования и зашифрованные строки. Zscaler ThreatLabz разработал сценарий IDA для расшифровки зашифрованного кода Xloader, а также сценарий Python для расшифровки кода и данных Xloader.

Xloader содержит функции для расшифровки кода, которые защищены двумя уровнями шифрования в версиях 2.9 и 4.3. Алгоритм, используемый для обоих уровней, - это пользовательский алгоритм Xloader RC4 с ключом, хранящимся в структуре ConfigObj. Xloader также шифрует свою конфигурацию, включая список командно-контрольных (C2) серверов. Список C2 сначала декодируется Base64, а затем расшифровывается пользовательским слоем RC4. В версии 4.3 таблица 4-байтовых ключей строится на стеке, и каждая позиция соответствует C2. Ключ для последнего слоя RC4 генерируется путем XORing значения из ConfigObj со значением на стеке.

В целом, семейства вредоносных программ Formbook и Xloader представляют собой заметную угрозу, а угрожающие субъекты, стоящие за ними, постоянно совершенствуют свой код, пытаясь затруднить анализ. Однако исследователи Zscaler смогли разгадать слои обфускации и проанализировать ключевые компоненты кода вредоносного ПО. Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы Xloader и Formbook на различных уровнях.

#ParsedReport
29-03-2023

CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers

https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers

Actors/Campaigns:
Lazarus

IOCs:
Hash: 8

Softs:
macos

Platforms:
intel

#ParsedReport
29-03-2023

Creal: New Stealer Targeting Cryptocurrency Users Via Phishing Sites

https://blog.cyble.com/2023/03/29/creal-new-stealer-targeting-cryptocurrency-users-via-phishing-sites

Threats:
Creal_stealer
Beacon

Industry:
Entertainment

TTPs:
Tactics: 7
Technics: 14

IOCs:
Url: 38
File: 3
IP: 63
Domain: 1
Hash: 2

Softs:
pyinstaller, curl, coinbase, discord, instagram, tiktok, outlook, telegram

Algorithms:
zip

Functions:
getnode, urlopen

Win API:
gethostname

Languages:
python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники начали использовать InfoStealers для распространения криптомошенничества через каналы YouTube, от которого можно защититься, приняв определенные меры.
-----

Злоумышленники начали использовать InfoStealers для распространения криптомошенничества через каналы YouTube. Предполагается, что для получения доступа к учетным записям могло использоваться вредоносное ПО Stealer. Cyble Research and Intelligence Labs (CRIL) обнаружила фишинговый сайт, распространяющий Creal Stealer, который компилируется с помощью PyInstaller и написан на языке Python.

Программа проверяет, присутствуют ли имя пользователя, имя хоста, MAC-адрес и публичный IP-адрес жертвы в заранее составленных черных списках, и завершает выполнение, если найдено любое из значений черного списка. Он достигает постоянства, копируя себя в указанное место, и извлекает учетные данные и файлы cookie из браузеров на основе имен, упомянутых в коде. Его целью являются браузеры на базе Chromium, чат и игровые приложения, холодные криптовалютные кошельки и расширения для браузеров.

Creal Stealer также определяет IP-адрес и геолокационные данные жертвы и сохраняет украденные данные в файлах. Для утечки данных он использует веб-крючки Discord и многочисленные платформы для размещения и обмена файлами, такие как Anonfiles и Gofile.

#ParsedReport
30-03-2023

Dissecting AlienFox \| The Cloud Spammer s Swiss Army Knife

https://www.sentinelone.com/labs/dissecting-alienfox-the-cloud-spammers-swiss-army-knife

Threats:
Alienfox
Androxgh0st

Industry:
Financial, Retail

CVEs:
CVE-2022-31279 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable


IOCs:
File: 2

Softs:
microsoft office 365, telegram, laravel, drupal, joomla, opencart, wordpress, office365, sendgrid, sendinblue, have more...

Languages:
python, php

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания SentinelLabs выявила AlienFox, инструментарий, используемый злоумышленниками для сбора учетных данных у нескольких поставщиков облачных услуг, что может привести к дополнительным расходам на обслуживание, потере доверия клиентов и затратам на устранение последствий. Для защиты от инструментов AlienFox организациям следует использовать передовые методы управления конфигурацией и придерживаться принципа наименьших привилегий.
-----

Компания SentinelLabs выявила AlienFox, инструментарий, используемый злоумышленниками для сбора учетных данных у нескольких поставщиков облачных услуг. Он является модульным, с открытым исходным кодом и постоянно развивается, причем с каждой итерацией разработчики становятся все более изощренными. Для работы инструментария обычно требуется список целей, который может генерироваться различными скриптами, в том числе с использованием API платформ SecurityTrails и LeakIX. На сегодняшний день существует три основные версии AlienFox, причем последняя содержит сценарии, автоматизирующие такие вредоносные действия, как создание постоянных учетных записей Amazon Web Services (AWS) и повышение привилегий, а также сбор квот на отправку и автоматизация спам-кампаний.

Набор инструментов расширился и включает в себя другие виды деятельности, такие как взлом криптовалютных кошельков и проверка того, связан ли адрес электронной почты с учетной записью Amazon. Для защиты от инструментов AlienFox организациям следует использовать лучшие практики управления конфигурацией и придерживаться принципа наименьших привилегий, а также рассмотреть возможность использования платформы Cloud Workload Protection Platform (CWPP) на виртуальных машинах и контейнерах для обнаружения интерактивных действий с ОС. Распространение AlienFox представляет собой незарегистрированную тенденцию к атакам на более минимальные облачные сервисы, непригодные для криптомайнинга, с целью обеспечения и расширения последующих кампаний. Анализируя инструменты и результаты работы инструментов, было установлено, что субъекты используют AlienFox для идентификации и сбора учетных данных сервисов с неправильно сконфигурированных или открытых сервисов. Компрометация может привести к дополнительным расходам на обслуживание, потере доверия клиентов и затратам на устранение последствий.

#ParsedReport
30-03-2023

Moobot Strikes Again - Targeting Cacti And RealTek Vulnerabilities

https://www.fortinet.com/blog/threat-research/moobot-strikes-again-targeting-cacti-and-realtek-vulnerabilities

Threats:
Moobot
Shellbot
Perlbot
Mirai
Powerbots
Gohack
Ircbot

Geo:
Portuguese

CVEs:
CVE-2021-35394 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- realtek realtek jungle sdk (le3.4.14b)

CVE-2022-46169 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- cacti (le1.2.22)


IOCs:
File: 1
Hash: 37
Domain: 8
Url: 1
IP: 9

Languages:
perl

Platforms:
mips

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория FortiGuard Labs наблюдала несколько всплесков атак, направленных на уязвимости Cacti и Realtek в январе и марте 2021 года для распространения вредоносного ПО ShellBot и Moobot, при этом полезная нагрузка для каждой атаки была идентифицирована. Антивирус FortiGuard способен обнаружить и блокировать эти атаки, а администраторам следует принять превентивные меры, используя надежные пароли и периодически меняя их.
-----

В январе и марте 2021 года лаборатория FortiGuard Labs наблюдала многочисленные серии атак, направленных на уязвимости Cacti и Realtek. Эти атаки использовались для распространения вредоносных программ ShellBot и Moobot. ShellBot - это вредоносная программа, разработанная на языке Perl, которая использует протокол Internet Relay Chat (IRC) для связи с сервером C2. Moobot - это ботнет-вариант Mirai, который нацелен на открытые сетевые устройства. При выполнении он связывается с сервером C2, troon . dns . army, используя сообщение heartbeat 0x336699, и может быть использован для проведения дальнейших атак.

Были определены полезные нагрузки для этих двух атак. Полезная нагрузка для CVE-2021-35394 состоит из нескольких файлов, а полезная нагрузка для CVE-2022-46169 представляет собой файл сценария для загрузки Moobot. Moobot имеет зашифрованный раздел данных с конфигурацией ботнета и использует команду kill -9, чтобы убедиться, что он единственный запущен на зараженном устройстве. ShellBot имеет три варианта: PowerBots (C) GohacK, LiGhT's Modded perlbot v2, и B0tchZ 0.2a.

#ParsedReport
30-03-2023

Exploitation is a Dish Best Served Cold: Winter Vivern Uses Known Zimbra Vulnerability to Target Webmail Portals of NATO-Aligned Governments in Europe

https://www.proofpoint.com/us/blog/threat-insight/exploitation-dish-best-served-cold-winter-vivern-uses-known-zimbra-vulnerability

Actors/Campaigns:
Winter_vivern
Ta473

Threats:
Credential_harvesting_technique
Follina_vuln

Industry:
Government

Geo:
Russian, Russia, Ukrainian, Belarussian, Ukraine

CVEs:
CVE-2021-35207 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0, 8.8.15)

CVE-2022-30190 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2022-27926 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0)


IOCs:
Url: 7
Domain: 5

Softs:
wordpress, zimbra collaboration suite), zimbra collaboration suite

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA473 является APT, который с 2021 года атакует европейские правительственные, военные и дипломатические организации, а недавно начал атаковать выборных должностных лиц и сотрудников в США. Для защиты от TA473 поставщики систем безопасности рекомендуют установить исправления на все версии Zimbra Collaboration, используемые в публичных порталах веб-почты, особенно среди европейских правительственных организаций, и ограничить ресурсы публичных порталов веб-почты от публичного интернета.
-----

TA473, известный как Winter Vivern, является APT, отслеживаемым компанией Proofpoint с 2021 года. Этот агент был замечен в активных фишинговых кампаниях, направленных на европейские правительственные, военные и дипломатические организации. В конце 2022 года исследователи Proofpoint заметили фишинговые кампании, направленные на выборных должностных лиц и сотрудников в США. TA473 обычно использует однодневные уязвимости, такие как эксплойт CVE-2022-30190 (Follina), и отправляет письма со скомпрометированных адресов электронной почты, часто с доменов, размещенных на WordPress. TA473 также использует непропатченную уязвимость Zimbra в публичных порталах веб-почты, что позволяет им получить доступ к почтовым ящикам правительственных организаций в Европе.

TA473 использует инструменты сканирования, такие как Acunetix, для выявления незапароленных порталов веб-почты. TA473 тратит значительное время на изучение порталов веб-почты и написание специальных полезных нагрузок JavaScript для кражи имен пользователей, паролей, хранения активной сессии и CSRF-токенов из cookies. TA473 перерабатывает вредоносные полезные нагрузки JavaScript, разработанные для портала веб-почты каждого правительственного объекта, которые затем доставляются через фишинговые письма с вредоносными URL-адресами. TA473 использует структурированные пути URI, которые указывают хэшированное значение целевого лица, некодированное указание целевой организации и, в некоторых случаях, кодированные или открытые версии доброкачественного URL.

Исследователи Proofpoint выявили случаи использования CSRF JavaScript полезной нагрузки, доставляемой с помощью эксплуатации CVE-2022-27926 и других более ранних механизмов доставки. TA473 демонстрирует целенаправленность, настойчивость и повторяющийся процесс компрометации геополитически уязвимых целей, хотя по стандартам APT они не отличаются особой изощренностью. Для защиты от TA473 производители систем безопасности рекомендуют установить исправления на все версии Zimbra Collaboration, используемые в публичных порталах веб-почты, особенно среди европейских правительственных организаций, и ограничить доступ к ресурсам публичных порталов веб-почты из публичного интернета.

#ParsedReport
30-03-2023

What You Need to Know About the 3CX Supply Chain Attack

https://cyberint.com/blog/research/3cx-supply-chain-attack

Actors/Campaigns:
Smoothoperator
Lazarus

Threats:
Supply_chain_technique

Geo:
Korean

IOCs:
File: 2
Hash: 2
Domain: 21

Softs:
whatsapp, macos, android

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: VoIP-клиент настольного ПК компании 3CX стал объектом атаки на цепочку поставок, которая, как полагают, была организована северокорейской группой Lazarus Group, в результате чего появилось вредоносное программное обеспечение, способное вызвать кражу данных, бэкдор-приложения и обратные оболочки. Компания 3CX работает над обновлением для уменьшения нанесенного ущерба.
-----

Настольный клиент 3CX Voice Over Internet Protocol (VoIP) стал объектом атаки по цепочке поставок, которая затронула пользователей приложения как Windows, так и macOS. Угрожающим субъектам, стоящим за этой кампанией, удалось скомпрометировать инфраструктуру 3CX и развернуть вредоносное программное обеспечение, подписанное цифровыми подписями. Это вредоносное ПО известно как SmoothOperator и отвечает за загрузку и выполнение полезной нагрузки второго этапа из нескольких источников на GitHub. В результате этой атаки возможна кража данных, использование бэкдоров и обратных оболочек. Считается, что она была организована северокорейской группой Lazarus Group, хотя эта атрибуция не подтверждена. В настоящее время компания 3CX работает над обновлением программного обеспечения, которое позволит уменьшить ущерб, нанесенный этой атакой.

#ParsedReport
29-03-2023

SmoothOperator \| Ongoing Campaign Trojanizes 3CX Software in Software Supply Chain Attack

https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack

Actors/Campaigns:
Smoothoperator

Threats:
Supply_chain_technique

Industry:
Foodtech, Healthcare

IOCs:
Url: 1
Hash: 3
Email: 2
Domain: 18

Softs:
chrome, macos, android, freepbx

Algorithms:
base64

Win API:
DllGetClassObject

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания SentinelOne выявила вредоносную кампанию, направленную на платформы частных автоматических телефонных станций (PABX), и потенциальным жертвам были предоставлены технические индикаторы для охоты на кампанию SmoothOperator. Важно иметь меры безопасности для защиты от таких атак на цепочки поставок.
-----

Недавно компания SentinelOne выявила вредоносную кампанию, направленную на платформы частных автоматических телефонных станций (PABX), в частности на популярное программное обеспечение для голосовых и видеоконференций 3CXDesktopApp. Поведенческие обнаружения предотвратили запуск этих троянских программ установки и привели к немедленному карантину. Многоступенчатая цепочка атак начинается с троянизированного 3CXDesktopApp, после чего для подписи троянизированных двоичных файлов используются вредоносные сертификаты подписи кода. Угрожающий агент зарегистрировал обширную инфраструктуру, начиная с февраля 2022 года.

Вредоносный код использует загрузчик шеллкода для выполнения шеллкода из пространства кучи и рефлексивной загрузки DLL. Затем эта DLL загружает другую DLL-библиотеку, которая, по всей видимости, представляет собой программу для сбора информации о системе и данных браузера из браузеров Chrome, Edge, Brave и Firefox. Сюда входит запрос истории просмотров и данных из таблицы Places для браузеров на базе Firefox и таблицы History для браузеров на базе Chrome.

На данный момент компания SentinelOne выпустила запрос на удаление вредоносного хранилища, и клиентам не нужно предпринимать никаких действий. Потенциальным жертвам были предоставлены технические индикаторы для поиска кампании SmoothOperator. Пока неясно, кто стоит за этой атакой и какова ее конечная цель. Однако эта атака служит напоминанием о важности наличия мер безопасности для защиты от подобных атак на цепочки поставок.

#ParsedReport
30-03-2023

3CX: Supply Chain Attack Affects Thousands of Users Worldwide

https://symantec-enterprise-blogs.security.com/threat-intelligence/3cx-supply-chain-attack

Threats:
Supply_chain_technique

Geo:
Korea, Korean

IOCs:
Hash: 29
File: 22
Domain: 21

Softs:
windows installer, macos

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Связанные с Северной Кореей злоумышленники недавно использовали вредоносные библиотеки DLL для установки вредоносных программ, похищающих информацию, на компьютеры с 3CX DesktopApp, широко используемым настольным клиентом для голосовых и видеозвонков.
-----

Связанные с Северной Кореей злоумышленники недавно атаковали 3CX DesktopApp, широко используемый клиент для голосовых и видеозвонков, используя стратегию атаки, аналогичную атаке SolarWinds. Скомпрометированные программы установки для версий 18.12.407 и 18.12.416 Windows, а также версии 8.11.1213 и последней версии Mac содержали чистые версии приложения наряду с вредоносными библиотеками DLL. Вредоносные DLL с именем ffmpeg.dll использовались для установки на компьютер жертвы вредоносного ПО, похищающего информацию. Symantec идентифицировала два варианта вредоносной DLL с хэшами SHA256 aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 и 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 соответственно. После установки вредоносная программа способна собирать информацию с компьютера жертвы и отправлять ее злоумышленнику, что позволяет ему определить, возможна ли дальнейшая компрометация.

#ParsedReport
30-03-2023

3CX Supply Chain Compromise Leads to ICONIC Incident

https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Iconicstealer

Geo:
Korea, Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 7
Url: 18
Domain: 28
Email: 5
Hash: 24

Softs:
macos, windows installer, chrome

Algorithms:
aes-gcm, gzip, xor, base64

Platforms:
x64

YARA: Found

Links:
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/decrypt\_ico.py
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/rules.yar
https://gist.github.com/gravitino/391bcc2f3cab0a8906e4
https://github.com/SigmaHQ/sigma/pull/4151/files
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/suri.rules
https://github.com/Neo23x0/signature-base/blob/master/yara/gen\_mal\_3cx\_compromise\_mar23.yar
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/iocs.csv
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/github\_summary.csv

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Volexity приписывает компрометацию цепочки поставок северокорейскому субъекту угроз, при этом вредоносные обновления устанавливаются на конечные точки через приложение 3CX Desktop, и все затронутые конечные точки должны быть изолированы и исследованы.
-----

29 марта 2023 года компании Volexity стало известно о компрометации цепочки поставок северокорейским субъектом угроз. Вредоносные обновления были установлены на конечных устройствах с приложением 3CX Desktop в рамках стандартного процесса автоматического обновления. Эта вредоносная деятельность, вероятно, началась еще раньше 22 марта 2023 года. Вредоносные программы установки для Windows и macOS были получены непосредственно с серверов загрузки 3CX.

Анализ, проведенный компанией Volexity, показал, что вредоносная версия ffmpeg.dll использовалась в целях тестирования. Первый коммит на странице GitHub, содержащий ICO-файл с зашифрованным URL 3cx.com, был добавлен 7 декабря 2022 года, что позволяет предположить, что злоумышленник мог начать тестирование бэкдора уже в это время. Домен и веб-инфраструктура, использованные в атаке, были зарегистрированы еще в ноябре 2022 года.

Вредоносная программа случайным образом выбирает один из серверов из списка для получения полезной нагрузки второго этапа. Заголовок cookie является решающим компонентом для получения полезной нагрузки второго этапа. Каждый из живых серверов возвращал идентичные ответы, состоящие из шеллкода, за которым следовала 64-битная DLL, которую Volexity называет ICONICSTEALER. Компонентом бэкдора является libffmpeg.dylib, расположенный в /Contents/Frameworks/Electron Framework.framework/Versions/A/Libraries. Домены были зарегистрированы у нескольких провайдеров, включая NameCheap, Public Domain Registry и NameSilo.

CrowdStrike приписывает эту активность северокорейской группировке LABYRINTH CHOLLIMA. Регистрация инфраструктуры и общедоступные артефакты позволяют предположить, что злоумышленник имел доступ к поставщику программного обеспечения по крайней мере в начале декабря 2022 года. Любая конечная точка, затронутая этим вредоносным обновлением, должна быть изолирована и исследована на предмет дальнейших признаков компрометации.

#ParsedReport
30-03-2023

Updates from the MaaS: new threats delivered through NullMixer. Executive Summary

https://medium.com/@lcam/updates-from-the-maas-new-threats-delivered-through-nullmixer-d45defc260d1

Actors/Campaigns:
Pseudomanuscrypt
Lazarus
Killnet
Noname057

Threats:
Nullmixer
Raccoon_stealer
Fabookie
Crashedtech_loader
Redline_stealer
Confuseex_tool

Industry:
Iot

Geo:
American, Chinese, Latvian, Ukrainian, Italian, Kazakhstan, Belarus, Azerbaijan, America, Tajikistan, France, Pakistani, French, Moldova, Uzbekistan, Turkmenistan, Kyrgyzstan, Russian, Italy, Russia, North-korean, Armenia

TTPs:
Tactics: 1
Technics: 1

IOCs:
File: 11
Hash: 8
Command: 2
Path: 1

Softs:
wordpress, chrome, discord, telegram, authy

Algorithms:
curve25519, zip, ecc, xor

Languages:
php

YARA: Found

Links:
https://github.com/luca-m/what\_is\_this\_c2

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа NullMixer - это международная преступная операция, в которой использовались методы социальной инженерии, отравления SEO и вредоносной рекламы для получения первоначального доступа к более чем 8 тысячам конечных точек, причем особое внимание уделялось североамериканским, итальянским и французским целям. Она смогла заразить операционные системы Windows 10 Professional и Enterprise, включая несколько Datacenter версий Windows Server и устройства Windows Embedded, что свидетельствует о проникновении вредоносной программы даже в среды IoT.
-----

Вредоносная программа NullMixer - это распространенная по всему миру преступная операция, предоставляющая услуги по заражению различным субъектам преступных угроз. В течение марта 2023 года она смогла установить первоначальный доступ к более чем 8 тысячам конечных точек, уделяя особое внимание североамериканским, итальянским и французским целям. Злоумышленники использовали методы социальной инженерии, отравления SEO и вредоносной рекламы для заманивания своих жертв. Первоначальная полезная нагрузка включала исполняемый архив WinRAR, содержащий множество двоичных файлов, в том числе службы похищения информации и загрузчика нетрадиционных вредоносных программ. Анализ C2-инфраструктур, задействованных в этой волне, показал, что Италия и Франция были самыми целевыми европейскими странами. Менее чем за 30 дней злоумышленникам, стоящим за атакой, удалось поразить более 8 тысяч жертв.

Пакет вредоносных программ включает два неизвестных загрузчика, входящих в бизнес MaaS и PPI (CrashedLoader и Koi), а также фрагменты противоречивого, потенциально связанного с Северной Кореей псевдоманускриптного кода. Он также включает файл KiffAppE2.exe, который работает как вторичный загрузчик. Этот загрузчик основан на Crashtech Loader и использует пользовательскую криптографию ECC для защиты связи. Дополнительные полезные нагрузки включают кражу кошелька Fabookie.

Большинство жертв устанавливают операционные системы Windows 10 Professional и Enterprise, включая несколько Datacenter-версий Windows Server. Некоторые из них также являются Windows Embedded, что свидетельствует о проникновении такого вредоносного ПО даже в IoT-среды. Это указывает на то, что злоумышленники воспользовались услугами технически подкованных пользователей, включая ИТ-персонал, и сумели заразить микро- или малые предприятия или частных пользователей, а также корпоративные машины и IoT-устройства на базе Windows.

#ParsedReport
30-03-2023

GoatRAT Attacks Automated Payment Systems

https://labs.k7computing.com/index.php/goatrat-attacks-automated-payment-systems

Threats:
Goatrat

Industry:
Financial

Geo:
Brazilian

IOCs:
Domain: 1
Hash: 1
File: 2

Softs:
android, telegram