IOC по 3CX за 30.03.2023

#ParsedReport
30-03-2023

Red flags flew over software supply chain-compromised 3CX update

https://www.reversinglabs.com/blog/red-flags-fly-over-supply-chain-compromised-3cx-update

Actors/Campaigns:
Lazarus
Stone_panda

Threats:
Supply_chain_technique
Sigflip_tool
Sigloader

Industry:
Aerospace, Government, Healthcare

Geo:
Korea

IOCs:
File: 1
Hash: 17

Softs:
3cxdesktopapp, openjs electron, 3cx desktopapp, macos

Algorithms:
rc4, base64, aes

Links:
https://github.com/med0x2e/SigFlip
https://github.com/med0x2e/SigFlip/blob/main/Native/SigLoader/SigLoader/SigLoader.cpp

22 марта 2023 года компания 3CX Ltd., производитель корпоративных решений для передачи голоса по IP (VOIP), столкнулась с компрометацией цепочки поставок. Анализ, проведенный компанией ReversingLabs, показал, что вредоносный код был добавлен в приложение подписи d3dcompiler.dll, стандартной библиотеки, используемой в приложениях OpenJS Electron, таких как 3CXDesktopApp. Вредоносный код был связан с SigFlip и SigLoader - инструментами, используемыми APT.

Вредоносное обновление имело индикаторы, которые могли бы предупредить компанию 3CX до того, как системы клиентов будут затронуты, но этого не произошло. Вредоносный код представлял собой зашифрованный RC4 шелл-код и содержал DLL-файл, который загружал URL-адреса, указывающие на инфраструктуру C2. Эти URL-адреса были зашифрованы с помощью AES и закодированы в Base64. Вредоносные ffmpeg и d3dcompiler были подписаны легитимным сертификатом, выданным компании 3CX.

#ParsedReport
31-03-2023

Coverage Advisory for 3CX Supply Chain Attack

https://www.zscaler.com/security-research/coverage-advisory-3cx-supply-chain-attack-march-2023

Threats:
Supply_chain_technique

IOCs:
File: 3
Domain: 22
Hash: 9

Softs:
3cx electron

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания 3CX выпустила предупреждение о безопасности для своего приложения 3CX Electron Windows App после того, как была обнаружена атака на цепочку поставок, связанная с файлом библиотеки. Они рекомендовали удалить программное обеспечение с любых зараженных систем и предложили включить проверку SSL для содержимого, загружаемого с вредоносных доменов.
-----

30 марта 2023 года компания 3CX выпустила предупреждение о безопасности своего приложения 3CX Electron для Windows, отметив, что исполняемые файлы для операционных систем Windows и Mac были затронуты атакой по цепочке поставок. Заражение было отслежено до библиотечного файла с именем ffmpeg.dll, который затем загрузил другой зашифрованный файл, d3dcompiler_47.dll. Этот файл имел возможность доступа к файлам .ico, размещенным на GitHub, и содержал информацию о командовании и управлении (CnC). Эти CnC-домены использовались для доставки конечной полезной нагрузки, позволяя злоумышленнику выполнять вредоносные действия в среде жертвы.

Для предотвращения дальнейшего ущерба 3CX рекомендует удалить программное обеспечение с любых зараженных систем и найти такие системы путем проверки журналов SIEM на наличие систем, пытающихся подключиться к IoC, упомянутым в сообщении. Они также советуют включить проверку SSL для содержимого, загружаемого с вредоносных доменов, чтобы его можно было просканировать.

#ParsedReport
31-03-2023

. Analysis of gangsters using cloud note platform to deliver remote control Trojans

https://www.antiy.cn/research/notice&report/research_report/20230330.html

Actors/Campaigns:
Silver_fox

Threats:
Gh0st_rat

Industry:
Financial

IOCs:
Hash: 3

Softs:
wechat

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Silver Fox - это вредоносная киберпреступная группа, которая использует фишинг, социальную инженерию и вредоносные полезные нагрузки для получения контроля над системой цели. Antiy CERT выявил активность атаки и разработал систему для обнаружения и уничтожения троянца удаленного управления. Компаниям следует защищаться от этих атак, регулярно обновляя свои системы безопасности и отслеживая подозрительную активность.
-----

Группа Silver Fox - это вредоносная киберпреступная группа, которая использует сочетание фишинга, социальной инженерии и вредоносных полезных нагрузок для получения экономической выгоды. Группа нацелена на такие отрасли, как финансы и ценные бумаги, и использует метод "белое плюс черное" для загрузки вредоносных DLL-файлов и получения размещенных вредоносных полезных нагрузок с платформ общественного обслуживания. Кроме того, они используют облачные платформы для размещения вредоносных полезных нагрузок, стеганографически прячут шеллкод в фотографии и загружают их на общедоступные фотобазы, а также получают зашифрованные сжатые пакеты или зашифрованные файлы с серверов для доставки различных троянских программ удаленного управления, таких как Gh0st, Xidu и Fatal.

После получения вредоносной полезной нагрузки вредоносный код выполняется на системе жертвы, что позволяет злоумышленникам Silver Fox получить контроль над хостом и поселиться в системе для долгосрочного контроля над объектом. Злоумышленники также используют ключевые слова поисковых систем для продвижения фишинговых веб-сайтов и используют группы социальных сетей для распространения вредоносных программ, маскирующихся под приложения или документы.

Antiy CERT выявил эту атаку группы Silver Fox и разработал интеллектуальную систему защиты конечных точек, которая может обнаружить и уничтожить троянца удаленного управления. Компаниям важно защититься от этих атак, регулярно обновляя свои системы безопасности и отслеживая подозрительную активность.

#ParsedReport
31-03-2023

SpiderLabs Blog. Anonymous Sudan: Religious Hacktivists or Russian Front Group?

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/anonymous-sudan-religious-hacktivists-or-russian-front-group

Actors/Campaigns:
Anonymous_sudans (motivation: financially_motivated, hacktivism)
Killnet (motivation: financially_motivated, hacktivism)

Industry:
Education, Healthcare, Government, Aerospace, Financial

Geo:
Ukraine, Swedish, Danish, Sudan, Netherlands, Russian, France, German, Australian, Australia, Denmark, Russia, Germany, Israeli, Dutch, Sweden, French

Softs:
telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Anonymous Sudan - это группа угроз, связанная с Killnet, которая провела ряд DDoS-атак и угроз в адрес нескольких стран. Они были активны в Telegram и, возможно, развиваются, чтобы включить более гнусные методы атак.
-----

Anonymous Sudan - это группа угроз, которая провела серию распределенных атак типа "отказ в обслуживании" (DDoS) на шведские, голландские, австралийские и немецкие организации якобы в отместку за антимусульманскую деятельность, имевшую место в этих странах. Есть основания полагать, что Anonymous Sudan является подгруппой пророссийской группы Killnet, и они публично присоединились к этой группе. Большая часть информации о Anonymous Sudan получена из Telegram-канала группы, созданного в январе 2023 года.

Основным показателем того, что Anonymous Sudan связаны с Killnet, является предпочитаемый ими вектор атак DDoS, а также другие косвенные доказательства, такие как сообщения в основном на русском языке и цели - страны, поддерживающие Украину в ее борьбе против России. Killnet, казалось, подтвердил свою связь с Anonymous Sudan, когда разместил скриншоты от Anonymous Sudan на своем канале Telegram.

Anonymous Sudan приписывают себе заслуги в проведении многочисленных DDoS-атак на правительственные и деловые ресурсы Швеции, Нидерландов и Франции, а также попытку продать данные, украденные у авиакомпании Air France. Группа также угрожала Австралии, Дании и другим странам. Они очень активно приписывают себе заслуги в проведении атак через свой канал в Telegram, но истинные причины их действий остаются неясными. Хотя DDoS-атаки остаются нормой, Anonymous Sudan, возможно, эволюционирует и включает в себя более гнусные средства нападения.

#ParsedReport
31-03-2023

Ransomware Roundup Dark Power and PayMe100USD Ransomware

https://www.fortinet.com/blog/threat-research/dark-power-and-payme100usd-ransomware

Threats:
Dark_power_ransomware
Payme100usd
Qtox
Filecoder
Kryptik_trojan

Industry:
Financial

Geo:
America, Africa

IOCs:
File: 27
Hash: 4

Softs:
outlook, onenote, thebat, wordpad, mssql

Win Services:
encsvc, powerpnt, ocssd, isqlplussvc, ocomm, agntsvc, mydesktopqos, ocautoupds, synctime, infopath, have more...

Languages:
python

Platforms:
x86, intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория FortiGuard Labs выявила два варианта ransomware, Dark Power и PayME100USD, и клиенты Fortinet защищены от них с помощью своих услуг.
-----

Лаборатория FortiGuard Labs выявила два интересных варианта ransomware - Dark Power и PayME100USD - в ландшафте ransomware.

Dark Power - это программа-вымогатель, запущенная в начале февраля 2023 года и написанная на языке программирования Nim. Она завершает определенные процессы для шифрования файлов и добавляет расширение .dark_power. Она требует отправить на кошелек злоумышленника криптовалюту Monero в размере 10 000 долларов США в течение 72 часов, иначе зашифрованные файлы будут потеряны навсегда, и утверждает, что если выкуп не будет выплачен, украденные данные со взломанной машины будут опубликованы на сайте утечки Tor.

PayMe100USD - это новая программа-вымогатель, написанная на языке Python, обнаруженная в марте 2023 года, которая, вероятно, распространялась через поддельные программы установки Bing. Она шифрует файлы на дисках D, E и F, а также каталог пользователя на диске C. Он добавляет расширение файла .PayMe100USD к пораженным файлам и выдает восемь записок с выкупом, обозначенных как PayMe 1.txt - PayMe 8.txt, в которых жертвам предлагается заплатить 100 долларов США в биткойнах в течение 48 часов, чтобы восстановить пораженные файлы и предотвратить продажу якобы украденных данных в dark net.

#ParsedReport
31-03-2023

Elastic users protected from SUDDENICONs supply chain attack. Elastic users protected from SUDDENICON s supply chain attack

https://www.elastic.co/security-labs/elastic-users-protected-from-suddenicon-supply-chain-attack

Threats:
Supply_chain_technique
Suddenicon
Remcos_rat
Process_injection_technique
Applejeus
Vigram

Geo:
Dprk

IOCs:
File: 13
Hash: 10
Domain: 21

Softs:
3cxdesktopapp, macos, "3cxdesktopapp, kibana, "macos"

Algorithms:
rc4

YARA: Found

Links:
https://github.com/IconStorages/images
https://github.com/IconStorages
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_SuddenIcon.yar

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Поступило сообщение о потенциальной атаке цепочки поставок, направленной на пользователей софтфонов 3CX VOIP, при этом 3CX рекомендует удалить программное обеспечение, а компании по безопасности публикуют первоначальную информацию. Лаборатория Elastic Security Labs продолжает отслеживать телеметрию на предмет наличия признаков угрозы. Доступен запрос, позволяющий определить программное обеспечение с подписью 3CX, выполняющее разрешение имен raw.githubusercontent.com, где были установлены вредоносные приложения, связанные с этой угрозой.
-----

29 марта 2023 года поступило сообщение о потенциальной атаке цепочки поставок, направленной на пользователей VOIP-софтфона 3CX. Вредоносный код был обнаружен в MSI-инсталляторе 3CXDesktopApp, который загружает дополнительные файлы с GitHub, взаимодействует с вредоносными командно-адресными доменами и записывает на диск ffmpeg.dll и d3dcompiler_47.dll. Последняя содержит полезную нагрузку под названием SUDDENICON. Вредоносная программа подключается к доменам C2 путем загрузки и base64-декодирования байтов, добавленных к файлам иконок, хранящихся в репозитории IconStorages на Github. Генеральный директор компании 3CX рекомендовал удалить программное обеспечение, а компании CrowdStrike и SentinelOne опубликовали первоначальную информацию об атаке.

#ParsedReport
30-03-2023

Rising Trend of OneNote Documents for Malware delivery

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rising-trend-of-onenote-documents-for-malware-delivery

Threats:
Qakbot
Icedid
Redline_stealer
Asyncrat_rat
Remcos_rat
Agent_tesla
Quasar_rat
Xworm_rat
Netwire_rat
Formbook
Doubleback

IOCs:
File: 5
Registry: 1
Hash: 7

Softs:
onenote, microsoft office, curl, nenote fi

Algorithms:
zip, base64

Functions:
MSHTA

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Авторы вредоносных программ используют креативные способы доставки полезной нагрузки, например, вредоносных документов OneNote, и пользователям необходимо быть осторожными при открытии вложений и ссылок в подозрительных письмах, чтобы оставаться защищенными.
-----

McAfee Labs недавно обнаружила новую кампанию по распространению вредоносного ПО, использующего вредоносные документы OneNote для того, чтобы убедить пользователей нажать на встроенный файл для загрузки и выполнения трояна Qakbot. Эта атака - еще один пример того, как злоумышленники находят креативные способы доставки вредоносного ПО. После того, как Microsoft внесла изменения в политику, злоумышленники переключились на использование LNK-файлов в качестве способа распространения своего вредоносного ПО. Однако благодаря функции OneNote, позволяющей пользователям прикреплять файлы к документам, документы OneNote становятся все более популярным способом развертывания вредоносной полезной нагрузки.

В первой кампании вредоносный документ доставляется в виде zip-файлов или ISO-образов в фишинговые электронные письма. После его выполнения HTA-файл используется для использования утилиты curl для загрузки полезной нагрузки Qakbot и ее выполнения с помощью rundll32.exe.

Во второй кампании злоумышленник прятал пакетный файл, содержащий команду whoami, в документе OneNote. После ее выполнения вызывается Powershell, который затем загружает полезную нагрузку Qakbot из Интернета и выполняет ее на целевой системе.

#ParsedReport
31-03-2023

AlienFox Toolkit Targets Cloud Web Hosting Frameworks to Steal Credentials

https://socradar.io/alienfox-toolkit-targets-cloud-web-hosting-frameworks-to-steal-credentials

Threats:
Alienfox
Androxgh0st

Industry:
Financial

CVEs:
CVE-2022-31279 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable


IOCs:
Email: 2
Url: 1
Hash: 49

Softs:
telegram, laravel, drupal, joomla, opencart, wordpress

Algorithms:
zip

Languages:
php, python

YARA: Found

Links:
https://github.com/advisories/GHSA-vv7q-mfpc-qgm5

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AlienFox - это вредоносный набор инструментов, разработанный киберпреступниками из Восточной Европы, который позволяет обходить двухфакторную аутентификацию и красть учетные данные и конфиденциальные данные из облачных почтовых сервисов. Он имеет три версии и включает скрипты для автоматизации действий на AWS SES, проверки конфигураций SSH и потенциальной эксплуатации CVE-2022-31279.
-----

Исследователи обнаружили новый вредоносный набор инструментов под названием AlienFox, позволяющий киберпреступникам красть учетные данные и конфиденциальную информацию из облачных почтовых сервисов. Он доступен для приобретения через частные каналы Telegram и нацелен как минимум на 18 различных облачных сервисов, таких как веб-хостинг, Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress. Как только вредоносная программа обнаруживает уязвимый сервер, она может украсть API-ключи, OAuth-токены и другие маркеры аутентификации.

Набор инструментов AlienFox считается швейцарским армейским ножом для облачных спамеров, и считается, что он был разработан киберпреступниками из Восточной Европы. Он особенно опасен, поскольку может обходить двухфакторную аутентификацию. Исследователи выявили три версии AlienFox: v2, v3 и v4.

AlienFox v2 извлекает учетные данные из конфигурации веб-сервера или файлов окружения и включает скрипты для автоматизации действий на AWS SES, проверки конфигураций SSH и потенциальной эксплуатации CVE-2022-31279. AlienFox v3 содержит скрипт Lar.py, который извлекает ключи и секреты из файлов Laravel .env. AlienFox v4 предоставляет инструменты для сбора списков целей, проверки неправильно сконфигурированных целей или уязвимостей безопасности, проверки фреймворков веб-хостинга и взлома криптовалютных кошельков для Bitcoin и Ethereum. Также были обнаружены SHA-1 хэш образца, связанного с Androxgh0st, и SHA-1 хэш ZIP-архива AlienFox.

#ParsedReport
30-03-2023

What Do You Need to Know About SmoothOperator Supply Chain Attack on 3CX VOIP Desktop Client and What Can You Do?

https://socradar.io/what-do-you-need-to-know-about-smoothoperator-supply-chain-attack-on-3cx-voip-desktop-client-and-what-can-you-do

Actors/Campaigns:
Smoothoperator
Lazarus

Threats:
Supply_chain_technique
Wannacry

Industry:
Healthcare

Geo:
Korean, American

IOCs:
File: 2
Domain: 21
Hash: 10

Softs:
3cxdesktopapp, macos, chrome, 3cxdesktopapp macos

Algorithms:
base64

YARA: Found

Links:
https://github.com/IconStorages/images