#ParsedReport
30-03-2023

3CX: Supply Chain Attack Affects Thousands of Users Worldwide

https://symantec-enterprise-blogs.security.com/threat-intelligence/3cx-supply-chain-attack

Threats:
Supply_chain_technique

Geo:
Korea, Korean

IOCs:
Hash: 29
File: 22
Domain: 21

Softs:
windows installer, macos

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Связанные с Северной Кореей злоумышленники недавно использовали вредоносные библиотеки DLL для установки вредоносных программ, похищающих информацию, на компьютеры с 3CX DesktopApp, широко используемым настольным клиентом для голосовых и видеозвонков.
-----

Связанные с Северной Кореей злоумышленники недавно атаковали 3CX DesktopApp, широко используемый клиент для голосовых и видеозвонков, используя стратегию атаки, аналогичную атаке SolarWinds. Скомпрометированные программы установки для версий 18.12.407 и 18.12.416 Windows, а также версии 8.11.1213 и последней версии Mac содержали чистые версии приложения наряду с вредоносными библиотеками DLL. Вредоносные DLL с именем ffmpeg.dll использовались для установки на компьютер жертвы вредоносного ПО, похищающего информацию. Symantec идентифицировала два варианта вредоносной DLL с хэшами SHA256 aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 и 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 соответственно. После установки вредоносная программа способна собирать информацию с компьютера жертвы и отправлять ее злоумышленнику, что позволяет ему определить, возможна ли дальнейшая компрометация.

#ParsedReport
30-03-2023

3CX Supply Chain Compromise Leads to ICONIC Incident

https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Iconicstealer

Geo:
Korea, Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 7
Url: 18
Domain: 28
Email: 5
Hash: 24

Softs:
macos, windows installer, chrome

Algorithms:
aes-gcm, gzip, xor, base64

Platforms:
x64

YARA: Found

Links:
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/decrypt\_ico.py
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/rules.yar
https://gist.github.com/gravitino/391bcc2f3cab0a8906e4
https://github.com/SigmaHQ/sigma/pull/4151/files
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/suri.rules
https://github.com/Neo23x0/signature-base/blob/master/yara/gen\_mal\_3cx\_compromise\_mar23.yar
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/indicators/iocs.csv
https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/github\_summary.csv

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Volexity приписывает компрометацию цепочки поставок северокорейскому субъекту угроз, при этом вредоносные обновления устанавливаются на конечные точки через приложение 3CX Desktop, и все затронутые конечные точки должны быть изолированы и исследованы.
-----

29 марта 2023 года компании Volexity стало известно о компрометации цепочки поставок северокорейским субъектом угроз. Вредоносные обновления были установлены на конечных устройствах с приложением 3CX Desktop в рамках стандартного процесса автоматического обновления. Эта вредоносная деятельность, вероятно, началась еще раньше 22 марта 2023 года. Вредоносные программы установки для Windows и macOS были получены непосредственно с серверов загрузки 3CX.

Анализ, проведенный компанией Volexity, показал, что вредоносная версия ffmpeg.dll использовалась в целях тестирования. Первый коммит на странице GitHub, содержащий ICO-файл с зашифрованным URL 3cx.com, был добавлен 7 декабря 2022 года, что позволяет предположить, что злоумышленник мог начать тестирование бэкдора уже в это время. Домен и веб-инфраструктура, использованные в атаке, были зарегистрированы еще в ноябре 2022 года.

Вредоносная программа случайным образом выбирает один из серверов из списка для получения полезной нагрузки второго этапа. Заголовок cookie является решающим компонентом для получения полезной нагрузки второго этапа. Каждый из живых серверов возвращал идентичные ответы, состоящие из шеллкода, за которым следовала 64-битная DLL, которую Volexity называет ICONICSTEALER. Компонентом бэкдора является libffmpeg.dylib, расположенный в /Contents/Frameworks/Electron Framework.framework/Versions/A/Libraries. Домены были зарегистрированы у нескольких провайдеров, включая NameCheap, Public Domain Registry и NameSilo.

CrowdStrike приписывает эту активность северокорейской группировке LABYRINTH CHOLLIMA. Регистрация инфраструктуры и общедоступные артефакты позволяют предположить, что злоумышленник имел доступ к поставщику программного обеспечения по крайней мере в начале декабря 2022 года. Любая конечная точка, затронутая этим вредоносным обновлением, должна быть изолирована и исследована на предмет дальнейших признаков компрометации.

#ParsedReport
30-03-2023

Updates from the MaaS: new threats delivered through NullMixer. Executive Summary

https://medium.com/@lcam/updates-from-the-maas-new-threats-delivered-through-nullmixer-d45defc260d1

Actors/Campaigns:
Pseudomanuscrypt
Lazarus
Killnet
Noname057

Threats:
Nullmixer
Raccoon_stealer
Fabookie
Crashedtech_loader
Redline_stealer
Confuseex_tool

Industry:
Iot

Geo:
American, Chinese, Latvian, Ukrainian, Italian, Kazakhstan, Belarus, Azerbaijan, America, Tajikistan, France, Pakistani, French, Moldova, Uzbekistan, Turkmenistan, Kyrgyzstan, Russian, Italy, Russia, North-korean, Armenia

TTPs:
Tactics: 1
Technics: 1

IOCs:
File: 11
Hash: 8
Command: 2
Path: 1

Softs:
wordpress, chrome, discord, telegram, authy

Algorithms:
curve25519, zip, ecc, xor

Languages:
php

YARA: Found

Links:
https://github.com/luca-m/what\_is\_this\_c2

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа NullMixer - это международная преступная операция, в которой использовались методы социальной инженерии, отравления SEO и вредоносной рекламы для получения первоначального доступа к более чем 8 тысячам конечных точек, причем особое внимание уделялось североамериканским, итальянским и французским целям. Она смогла заразить операционные системы Windows 10 Professional и Enterprise, включая несколько Datacenter версий Windows Server и устройства Windows Embedded, что свидетельствует о проникновении вредоносной программы даже в среды IoT.
-----

Вредоносная программа NullMixer - это распространенная по всему миру преступная операция, предоставляющая услуги по заражению различным субъектам преступных угроз. В течение марта 2023 года она смогла установить первоначальный доступ к более чем 8 тысячам конечных точек, уделяя особое внимание североамериканским, итальянским и французским целям. Злоумышленники использовали методы социальной инженерии, отравления SEO и вредоносной рекламы для заманивания своих жертв. Первоначальная полезная нагрузка включала исполняемый архив WinRAR, содержащий множество двоичных файлов, в том числе службы похищения информации и загрузчика нетрадиционных вредоносных программ. Анализ C2-инфраструктур, задействованных в этой волне, показал, что Италия и Франция были самыми целевыми европейскими странами. Менее чем за 30 дней злоумышленникам, стоящим за атакой, удалось поразить более 8 тысяч жертв.

Пакет вредоносных программ включает два неизвестных загрузчика, входящих в бизнес MaaS и PPI (CrashedLoader и Koi), а также фрагменты противоречивого, потенциально связанного с Северной Кореей псевдоманускриптного кода. Он также включает файл KiffAppE2.exe, который работает как вторичный загрузчик. Этот загрузчик основан на Crashtech Loader и использует пользовательскую криптографию ECC для защиты связи. Дополнительные полезные нагрузки включают кражу кошелька Fabookie.

Большинство жертв устанавливают операционные системы Windows 10 Professional и Enterprise, включая несколько Datacenter-версий Windows Server. Некоторые из них также являются Windows Embedded, что свидетельствует о проникновении такого вредоносного ПО даже в IoT-среды. Это указывает на то, что злоумышленники воспользовались услугами технически подкованных пользователей, включая ИТ-персонал, и сумели заразить микро- или малые предприятия или частных пользователей, а также корпоративные машины и IoT-устройства на базе Windows.

#ParsedReport
30-03-2023

GoatRAT Attacks Automated Payment Systems

https://labs.k7computing.com/index.php/goatrat-attacks-automated-payment-systems

Threats:
Goatrat

Industry:
Financial

Geo:
Brazilian

IOCs:
Domain: 1
Hash: 1
File: 2

Softs:
android, telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Com.goatmw - это вредоносное средство удаленного администрирования (RAT) для Android, предназначенное для кражи денег путем получения доступа и контроля над целевыми устройствами и инициирования мошеннических денежных операций с использованием PIX-ключа. Важно принимать проактивные меры для защиты от таких угроз.
-----

Банковский троян GoatRAT - это вредоносное средство удаленного администрирования (RAT) для Android, предназначенное для получения доступа и контроля над целевыми устройствами, что позволяет проводить мошеннические денежные операции с использованием PIX-ключа. Вредоносная программа работает путем инициирования службы под названием Server, которая связывается с командно-контрольным (C2) сервером и запрашивает PIX-ключ для проведения мошеннических операций. После получения ключа вредоносная программа накладывает экран поверх целевых банковских приложений, запрашивая у пользователя разрешение на доступ и наложение. Если разрешение получено, вредоносная программа получает контроль над устройством, запрашивает PIX-ключ и вводит сумму денег для инициирования транзакции.

Банковские троянцы для Android становятся все более распространенными, а авторы вредоносных программ находят новые способы кражи денег. Com.goatmw - один из примеров, направленный на определенные бразильские банки. Важно принимать упреждающие меры для защиты от таких угроз, например, использовать надежное решение для обеспечения безопасности мобильных устройств.

#ParsedReport
30-03-2023

ASEC Weekly Malware Statistics (March 20th, 2023 March 26th, 2023)

https://asec.ahnlab.com/en/50667

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Agent_tesla
Garbage_cleaner
Cloudeye
Formbook
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
IP: 8
Domain: 3
Url: 6
Email: 2
File: 11

Softs:
telegram, nsis installer, discord

Languages:
php, visual_basic

#ParsedReport
30-03-2023

Forensic Triage of a Windows System running the Backdoored 3CX Desktop App

https://www.cadosecurity.com/forensic-triage-of-a-windows-system-running-the-backdoored-3cx-desktop-app

Threats:
Credential_stealing_technique

IOCs:
File: 6

Softs:
windows defender

YARA: Found

Links:
https://github.com/IconStorages
https://github.com/cado-security

#ParsedReport
30-03-2023

Mac Malware MacStealer Spreads as Fake P2E Apps

https://www.trendmicro.com/en_us/research/23/c/mac-malware-macstealer-spreads-as-fake-p2-e-apps.html

Threats:
Macstealer
Cpypwdstealer

Industry:
Financial

IOCs:
Domain: 8
File: 2
Hash: 50
Url: 10

Softs:
discord, telegram, macos, keplr, keychain, 'macos, tiktok

Algorithms:
zip

Languages:
cpython, python

Platforms:
apple, arm

Links:
https://github.com/Nuitka/Nuitka/blob/develop/nuitka/build/static\_src/OnefileBootstrap.c
https://github.com/n0fate/chainbreaker
https://github.com/Nuitka/Nuitka

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют методы социальной инженерии для распространения MacStealer, вредоносного криптовалютного кошелька и похитителя информации, замаскированного под легитимное игровое приложение play-to-earn (P2E), чтобы украсть данные кошельков жертв, криптовалютные кошельки и пользовательскую информацию. Люди должны знать об этой кампании и принять меры для своей защиты.
-----

MacStealer - это вредоносный криптовалютный кошелек и похититель информации, замаскированный под плагиатную версию легитимного игрового приложения "Играй и зарабатывай" (P2E). Он распространяется через сторонние веб-сайты, платформы социальных сетей, такие как Twitter, Discord и Telegram, и рекламируется как легальная игровая компания, предлагающая работу в качестве бета-тестеров. Используя методы социальной инженерии, киберпреступники пытаются похитить данные кошельков жертв, криптовалютные кошельки и пользовательскую информацию.

Анализ исходного образца показал, что MacStealer представляет собой скрипт на языке Python, скомпилированный в двоичный файл Mach-O. Он пытается отправить украденную информацию на командно-контрольный (C&C) сервер в Zip-файле. Жертвы предупреждали других об этой кампании в Twitter, а некоторые учетные записи даже были верифицированы, чтобы создать ложную иллюзию легитимности.

Вредоносная программа использует растущую популярность P2E-игр и их прибыльные цели, поскольку в них часто используются криптовалюты и кошельки. Людям следует остерегаться установки приложений из неофициальных источников и убедиться, что их решения безопасности включены для обнаружения, блокировки и снижения рисков.

#ParsedReport
30-03-2023

APT Profile: APT-C-35 / DoNot Team

https://socradar.io/apt-profile-apt-c-35-donot-team

Actors/Campaigns:
Donot (motivation: cyber_espionage)
Sandworm
Lazarus
Dropping_elephant

Threats:
Wannacry
Ehdevel
Yty

Industry:
Government, Telco

Geo:
Russian, Iranian, Asian, Kashmir, Norway, Asia, Pakistani, India, Chinese, Australia, Korean, Indian, Pakistan

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)

CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-8570 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 1
Technics: 14

IOCs:
Path: 1
File: 3

Softs:
microsoft office, android

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-35 - это спонсируемая государством группа, нацеленная на страны Южной Азии, в частности на регион Кашмир, в целях шпионажа. Организациям и частным лицам в регионе следует принять меры по защите от их атак.
-----

APT-C-35 - это спонсируемая государством Advanced Persistent Threat (APT), предположительно связанная с индийским правительством. Известно, что группа действует с 2016 года, и основной причиной ее атак является шпионаж в интересах индийского правительства. Она была замечена в основном в нападениях на страны Южной Азии, в частности на регион Кашмир. За прошедшие годы группа разработала целый ряд вредоносных инструментов и программ для шпионажа. К ним относятся EHDevel, YTY, Jaca, Gedit, Henos, DarkMusical и другие.

Группа использует фишинговые кампании для доставки вредоносных документов, содержащих вредоносные макросы, эксплойты CVE-2018-0802, CVE-2017-0199, CVE-2017-8570 и CVE-2017-11882, а также вредоносное ПО для Android, замаскированное под поддельные иконки приложений и сообщения об ошибках. В число используемых группой ТТП входят загрузка файлов из %public%\Music\Symphony с определенными расширениями, отправка обманных сообщений, чтобы создать впечатление, что программное обеспечение удаляет себя, и использование фреймворка вредоносного ПО YTY для сбора и передачи данных.

Организациям и частным лицам в регионе Кашмир следует проявлять повышенную бдительность в отношении атак группы и принимать такие меры, как избегать загрузки документов, прикрепленных к электронным письмам из неизвестных источников, принимать меры против уязвимости CVE-2017-11882, отслеживать и обнаруживать исполняемые файлы, а также блокировать исполняемые файлы, выполняемые из каталога %temp% и AppData.

#ParsedReport
30-03-2023

New TACTICAL#OCTOPUS Attack Campaign Targets US Entities with Malware Bundled in Tax-Themed Documents

https://www.securonix.com/blog/new-tacticaloctopus-attack-campaign-targets-us-entities-with-malware-bundled-in-tax-themed-documents

Threats:
Octopus
Cobalt_strike
Kovter
Process_injection_technique
Procmon_tool
Beacon

Geo:
Russian

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 11
Path: 2
IP: 4
Url: 3
Hash: 63
Command: 1

Softs:
internet explorer, windows powershell, microsoft powershell

Algorithms:
base64, des, zip

Languages:
visual_basic

Platforms:
x86

Links:
https://github.com/bobby-tablez/IP-Obfuscator

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Securonix Threat Research выявила продолжающуюся фишинговую кампанию, направленную на людей в США.
-----

В апреле 2021 года группа исследования угроз Securonix выявила продолжающуюся гиперцелевую фишинговую кампанию (TACTICAL#OCTOPUS), направленную на физических лиц в США с использованием, казалось бы, действительных налоговых форм и контрактов. Атака начинается с фишинговых писем, связанных с налогами, которые содержат защищенный паролем zip-файл, где пароль указан в теле письма. В zip-файле находятся один файл изображения и файл быстрого доступа (.lnk). Выполнение кода начинается, когда пользователь дважды щелкает по файлу .lnk, который содержит команду PowerShell one liner, загружающую файл Visual Basic с сервера C2 злоумышленника и запускающую его. Затем этот файл загружает другой файл с того же C2-сервера, двоичный файл Windows, который затем внедряется в память легитимного процесса Windows. Эта техника внедрения используется для захвата данных буфера обмена и нажатий клавиш, а также для инициирования связи C2 с исходным IP-адресом.

IOC по 3CX за 30.03.2023

#ParsedReport
30-03-2023

Red flags flew over software supply chain-compromised 3CX update

https://www.reversinglabs.com/blog/red-flags-fly-over-supply-chain-compromised-3cx-update

Actors/Campaigns:
Lazarus
Stone_panda

Threats:
Supply_chain_technique
Sigflip_tool
Sigloader

Industry:
Aerospace, Government, Healthcare

Geo:
Korea

IOCs:
File: 1
Hash: 17

Softs:
3cxdesktopapp, openjs electron, 3cx desktopapp, macos

Algorithms:
rc4, base64, aes

Links:
https://github.com/med0x2e/SigFlip
https://github.com/med0x2e/SigFlip/blob/main/Native/SigLoader/SigLoader/SigLoader.cpp