#ParsedReport
30-03-2023

Forensic Triage of a Windows System running the Backdoored 3CX Desktop App

https://www.cadosecurity.com/forensic-triage-of-a-windows-system-running-the-backdoored-3cx-desktop-app

Threats:
Credential_stealing_technique

IOCs:
File: 6

Softs:
windows defender

YARA: Found

Links:
https://github.com/IconStorages
https://github.com/cado-security

#ParsedReport
30-03-2023

Mac Malware MacStealer Spreads as Fake P2E Apps

https://www.trendmicro.com/en_us/research/23/c/mac-malware-macstealer-spreads-as-fake-p2-e-apps.html

Threats:
Macstealer
Cpypwdstealer

Industry:
Financial

IOCs:
Domain: 8
File: 2
Hash: 50
Url: 10

Softs:
discord, telegram, macos, keplr, keychain, 'macos, tiktok

Algorithms:
zip

Languages:
cpython, python

Platforms:
apple, arm

Links:
https://github.com/Nuitka/Nuitka/blob/develop/nuitka/build/static\_src/OnefileBootstrap.c
https://github.com/n0fate/chainbreaker
https://github.com/Nuitka/Nuitka

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют методы социальной инженерии для распространения MacStealer, вредоносного криптовалютного кошелька и похитителя информации, замаскированного под легитимное игровое приложение play-to-earn (P2E), чтобы украсть данные кошельков жертв, криптовалютные кошельки и пользовательскую информацию. Люди должны знать об этой кампании и принять меры для своей защиты.
-----

MacStealer - это вредоносный криптовалютный кошелек и похититель информации, замаскированный под плагиатную версию легитимного игрового приложения "Играй и зарабатывай" (P2E). Он распространяется через сторонние веб-сайты, платформы социальных сетей, такие как Twitter, Discord и Telegram, и рекламируется как легальная игровая компания, предлагающая работу в качестве бета-тестеров. Используя методы социальной инженерии, киберпреступники пытаются похитить данные кошельков жертв, криптовалютные кошельки и пользовательскую информацию.

Анализ исходного образца показал, что MacStealer представляет собой скрипт на языке Python, скомпилированный в двоичный файл Mach-O. Он пытается отправить украденную информацию на командно-контрольный (C&C) сервер в Zip-файле. Жертвы предупреждали других об этой кампании в Twitter, а некоторые учетные записи даже были верифицированы, чтобы создать ложную иллюзию легитимности.

Вредоносная программа использует растущую популярность P2E-игр и их прибыльные цели, поскольку в них часто используются криптовалюты и кошельки. Людям следует остерегаться установки приложений из неофициальных источников и убедиться, что их решения безопасности включены для обнаружения, блокировки и снижения рисков.

#ParsedReport
30-03-2023

APT Profile: APT-C-35 / DoNot Team

https://socradar.io/apt-profile-apt-c-35-donot-team

Actors/Campaigns:
Donot (motivation: cyber_espionage)
Sandworm
Lazarus
Dropping_elephant

Threats:
Wannacry
Ehdevel
Yty

Industry:
Government, Telco

Geo:
Russian, Iranian, Asian, Kashmir, Norway, Asia, Pakistani, India, Chinese, Australia, Korean, Indian, Pakistan

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)

CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-8570 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 1
Technics: 14

IOCs:
Path: 1
File: 3

Softs:
microsoft office, android

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-35 - это спонсируемая государством группа, нацеленная на страны Южной Азии, в частности на регион Кашмир, в целях шпионажа. Организациям и частным лицам в регионе следует принять меры по защите от их атак.
-----

APT-C-35 - это спонсируемая государством Advanced Persistent Threat (APT), предположительно связанная с индийским правительством. Известно, что группа действует с 2016 года, и основной причиной ее атак является шпионаж в интересах индийского правительства. Она была замечена в основном в нападениях на страны Южной Азии, в частности на регион Кашмир. За прошедшие годы группа разработала целый ряд вредоносных инструментов и программ для шпионажа. К ним относятся EHDevel, YTY, Jaca, Gedit, Henos, DarkMusical и другие.

Группа использует фишинговые кампании для доставки вредоносных документов, содержащих вредоносные макросы, эксплойты CVE-2018-0802, CVE-2017-0199, CVE-2017-8570 и CVE-2017-11882, а также вредоносное ПО для Android, замаскированное под поддельные иконки приложений и сообщения об ошибках. В число используемых группой ТТП входят загрузка файлов из %public%\Music\Symphony с определенными расширениями, отправка обманных сообщений, чтобы создать впечатление, что программное обеспечение удаляет себя, и использование фреймворка вредоносного ПО YTY для сбора и передачи данных.

Организациям и частным лицам в регионе Кашмир следует проявлять повышенную бдительность в отношении атак группы и принимать такие меры, как избегать загрузки документов, прикрепленных к электронным письмам из неизвестных источников, принимать меры против уязвимости CVE-2017-11882, отслеживать и обнаруживать исполняемые файлы, а также блокировать исполняемые файлы, выполняемые из каталога %temp% и AppData.

#ParsedReport
30-03-2023

New TACTICAL#OCTOPUS Attack Campaign Targets US Entities with Malware Bundled in Tax-Themed Documents

https://www.securonix.com/blog/new-tacticaloctopus-attack-campaign-targets-us-entities-with-malware-bundled-in-tax-themed-documents

Threats:
Octopus
Cobalt_strike
Kovter
Process_injection_technique
Procmon_tool
Beacon

Geo:
Russian

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 11
Path: 2
IP: 4
Url: 3
Hash: 63
Command: 1

Softs:
internet explorer, windows powershell, microsoft powershell

Algorithms:
base64, des, zip

Languages:
visual_basic

Platforms:
x86

Links:
https://github.com/bobby-tablez/IP-Obfuscator

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Securonix Threat Research выявила продолжающуюся фишинговую кампанию, направленную на людей в США.
-----

В апреле 2021 года группа исследования угроз Securonix выявила продолжающуюся гиперцелевую фишинговую кампанию (TACTICAL#OCTOPUS), направленную на физических лиц в США с использованием, казалось бы, действительных налоговых форм и контрактов. Атака начинается с фишинговых писем, связанных с налогами, которые содержат защищенный паролем zip-файл, где пароль указан в теле письма. В zip-файле находятся один файл изображения и файл быстрого доступа (.lnk). Выполнение кода начинается, когда пользователь дважды щелкает по файлу .lnk, который содержит команду PowerShell one liner, загружающую файл Visual Basic с сервера C2 злоумышленника и запускающую его. Затем этот файл загружает другой файл с того же C2-сервера, двоичный файл Windows, который затем внедряется в память легитимного процесса Windows. Эта техника внедрения используется для захвата данных буфера обмена и нажатий клавиш, а также для инициирования связи C2 с исходным IP-адресом.

IOC по 3CX за 30.03.2023

#ParsedReport
30-03-2023

Red flags flew over software supply chain-compromised 3CX update

https://www.reversinglabs.com/blog/red-flags-fly-over-supply-chain-compromised-3cx-update

Actors/Campaigns:
Lazarus
Stone_panda

Threats:
Supply_chain_technique
Sigflip_tool
Sigloader

Industry:
Aerospace, Government, Healthcare

Geo:
Korea

IOCs:
File: 1
Hash: 17

Softs:
3cxdesktopapp, openjs electron, 3cx desktopapp, macos

Algorithms:
rc4, base64, aes

Links:
https://github.com/med0x2e/SigFlip
https://github.com/med0x2e/SigFlip/blob/main/Native/SigLoader/SigLoader/SigLoader.cpp

22 марта 2023 года компания 3CX Ltd., производитель корпоративных решений для передачи голоса по IP (VOIP), столкнулась с компрометацией цепочки поставок. Анализ, проведенный компанией ReversingLabs, показал, что вредоносный код был добавлен в приложение подписи d3dcompiler.dll, стандартной библиотеки, используемой в приложениях OpenJS Electron, таких как 3CXDesktopApp. Вредоносный код был связан с SigFlip и SigLoader - инструментами, используемыми APT.

Вредоносное обновление имело индикаторы, которые могли бы предупредить компанию 3CX до того, как системы клиентов будут затронуты, но этого не произошло. Вредоносный код представлял собой зашифрованный RC4 шелл-код и содержал DLL-файл, который загружал URL-адреса, указывающие на инфраструктуру C2. Эти URL-адреса были зашифрованы с помощью AES и закодированы в Base64. Вредоносные ffmpeg и d3dcompiler были подписаны легитимным сертификатом, выданным компании 3CX.

#ParsedReport
31-03-2023

Coverage Advisory for 3CX Supply Chain Attack

https://www.zscaler.com/security-research/coverage-advisory-3cx-supply-chain-attack-march-2023

Threats:
Supply_chain_technique

IOCs:
File: 3
Domain: 22
Hash: 9

Softs:
3cx electron

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания 3CX выпустила предупреждение о безопасности для своего приложения 3CX Electron Windows App после того, как была обнаружена атака на цепочку поставок, связанная с файлом библиотеки. Они рекомендовали удалить программное обеспечение с любых зараженных систем и предложили включить проверку SSL для содержимого, загружаемого с вредоносных доменов.
-----

30 марта 2023 года компания 3CX выпустила предупреждение о безопасности своего приложения 3CX Electron для Windows, отметив, что исполняемые файлы для операционных систем Windows и Mac были затронуты атакой по цепочке поставок. Заражение было отслежено до библиотечного файла с именем ffmpeg.dll, который затем загрузил другой зашифрованный файл, d3dcompiler_47.dll. Этот файл имел возможность доступа к файлам .ico, размещенным на GitHub, и содержал информацию о командовании и управлении (CnC). Эти CnC-домены использовались для доставки конечной полезной нагрузки, позволяя злоумышленнику выполнять вредоносные действия в среде жертвы.

Для предотвращения дальнейшего ущерба 3CX рекомендует удалить программное обеспечение с любых зараженных систем и найти такие системы путем проверки журналов SIEM на наличие систем, пытающихся подключиться к IoC, упомянутым в сообщении. Они также советуют включить проверку SSL для содержимого, загружаемого с вредоносных доменов, чтобы его можно было просканировать.

#ParsedReport
31-03-2023

. Analysis of gangsters using cloud note platform to deliver remote control Trojans

https://www.antiy.cn/research/notice&report/research_report/20230330.html

Actors/Campaigns:
Silver_fox

Threats:
Gh0st_rat

Industry:
Financial

IOCs:
Hash: 3

Softs:
wechat

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Silver Fox - это вредоносная киберпреступная группа, которая использует фишинг, социальную инженерию и вредоносные полезные нагрузки для получения контроля над системой цели. Antiy CERT выявил активность атаки и разработал систему для обнаружения и уничтожения троянца удаленного управления. Компаниям следует защищаться от этих атак, регулярно обновляя свои системы безопасности и отслеживая подозрительную активность.
-----

Группа Silver Fox - это вредоносная киберпреступная группа, которая использует сочетание фишинга, социальной инженерии и вредоносных полезных нагрузок для получения экономической выгоды. Группа нацелена на такие отрасли, как финансы и ценные бумаги, и использует метод "белое плюс черное" для загрузки вредоносных DLL-файлов и получения размещенных вредоносных полезных нагрузок с платформ общественного обслуживания. Кроме того, они используют облачные платформы для размещения вредоносных полезных нагрузок, стеганографически прячут шеллкод в фотографии и загружают их на общедоступные фотобазы, а также получают зашифрованные сжатые пакеты или зашифрованные файлы с серверов для доставки различных троянских программ удаленного управления, таких как Gh0st, Xidu и Fatal.

После получения вредоносной полезной нагрузки вредоносный код выполняется на системе жертвы, что позволяет злоумышленникам Silver Fox получить контроль над хостом и поселиться в системе для долгосрочного контроля над объектом. Злоумышленники также используют ключевые слова поисковых систем для продвижения фишинговых веб-сайтов и используют группы социальных сетей для распространения вредоносных программ, маскирующихся под приложения или документы.

Antiy CERT выявил эту атаку группы Silver Fox и разработал интеллектуальную систему защиты конечных точек, которая может обнаружить и уничтожить троянца удаленного управления. Компаниям важно защититься от этих атак, регулярно обновляя свои системы безопасности и отслеживая подозрительную активность.

#ParsedReport
31-03-2023

SpiderLabs Blog. Anonymous Sudan: Religious Hacktivists or Russian Front Group?

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/anonymous-sudan-religious-hacktivists-or-russian-front-group

Actors/Campaigns:
Anonymous_sudans (motivation: financially_motivated, hacktivism)
Killnet (motivation: financially_motivated, hacktivism)

Industry:
Education, Healthcare, Government, Aerospace, Financial

Geo:
Ukraine, Swedish, Danish, Sudan, Netherlands, Russian, France, German, Australian, Australia, Denmark, Russia, Germany, Israeli, Dutch, Sweden, French

Softs:
telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Anonymous Sudan - это группа угроз, связанная с Killnet, которая провела ряд DDoS-атак и угроз в адрес нескольких стран. Они были активны в Telegram и, возможно, развиваются, чтобы включить более гнусные методы атак.
-----

Anonymous Sudan - это группа угроз, которая провела серию распределенных атак типа "отказ в обслуживании" (DDoS) на шведские, голландские, австралийские и немецкие организации якобы в отместку за антимусульманскую деятельность, имевшую место в этих странах. Есть основания полагать, что Anonymous Sudan является подгруппой пророссийской группы Killnet, и они публично присоединились к этой группе. Большая часть информации о Anonymous Sudan получена из Telegram-канала группы, созданного в январе 2023 года.

Основным показателем того, что Anonymous Sudan связаны с Killnet, является предпочитаемый ими вектор атак DDoS, а также другие косвенные доказательства, такие как сообщения в основном на русском языке и цели - страны, поддерживающие Украину в ее борьбе против России. Killnet, казалось, подтвердил свою связь с Anonymous Sudan, когда разместил скриншоты от Anonymous Sudan на своем канале Telegram.

Anonymous Sudan приписывают себе заслуги в проведении многочисленных DDoS-атак на правительственные и деловые ресурсы Швеции, Нидерландов и Франции, а также попытку продать данные, украденные у авиакомпании Air France. Группа также угрожала Австралии, Дании и другим странам. Они очень активно приписывают себе заслуги в проведении атак через свой канал в Telegram, но истинные причины их действий остаются неясными. Хотя DDoS-атаки остаются нормой, Anonymous Sudan, возможно, эволюционирует и включает в себя более гнусные средства нападения.

#ParsedReport
31-03-2023

Ransomware Roundup Dark Power and PayMe100USD Ransomware

https://www.fortinet.com/blog/threat-research/dark-power-and-payme100usd-ransomware

Threats:
Dark_power_ransomware
Payme100usd
Qtox
Filecoder
Kryptik_trojan

Industry:
Financial

Geo:
America, Africa

IOCs:
File: 27
Hash: 4

Softs:
outlook, onenote, thebat, wordpad, mssql

Win Services:
encsvc, powerpnt, ocssd, isqlplussvc, ocomm, agntsvc, mydesktopqos, ocautoupds, synctime, infopath, have more...

Languages:
python

Platforms:
x86, intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория FortiGuard Labs выявила два варианта ransomware, Dark Power и PayME100USD, и клиенты Fortinet защищены от них с помощью своих услуг.
-----

Лаборатория FortiGuard Labs выявила два интересных варианта ransomware - Dark Power и PayME100USD - в ландшафте ransomware.

Dark Power - это программа-вымогатель, запущенная в начале февраля 2023 года и написанная на языке программирования Nim. Она завершает определенные процессы для шифрования файлов и добавляет расширение .dark_power. Она требует отправить на кошелек злоумышленника криптовалюту Monero в размере 10 000 долларов США в течение 72 часов, иначе зашифрованные файлы будут потеряны навсегда, и утверждает, что если выкуп не будет выплачен, украденные данные со взломанной машины будут опубликованы на сайте утечки Tor.

PayMe100USD - это новая программа-вымогатель, написанная на языке Python, обнаруженная в марте 2023 года, которая, вероятно, распространялась через поддельные программы установки Bing. Она шифрует файлы на дисках D, E и F, а также каталог пользователя на диске C. Он добавляет расширение файла .PayMe100USD к пораженным файлам и выдает восемь записок с выкупом, обозначенных как PayMe 1.txt - PayMe 8.txt, в которых жертвам предлагается заплатить 100 долларов США в биткойнах в течение 48 часов, чтобы восстановить пораженные файлы и предотвратить продажу якобы украденных данных в dark net.