#ParsedReport
31-03-2023

SpiderLabs Blog. Anonymous Sudan: Religious Hacktivists or Russian Front Group?

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/anonymous-sudan-religious-hacktivists-or-russian-front-group

Actors/Campaigns:
Anonymous_sudans (motivation: financially_motivated, hacktivism)
Killnet (motivation: financially_motivated, hacktivism)

Industry:
Education, Healthcare, Government, Aerospace, Financial

Geo:
Ukraine, Swedish, Danish, Sudan, Netherlands, Russian, France, German, Australian, Australia, Denmark, Russia, Germany, Israeli, Dutch, Sweden, French

Softs:
telegram

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Anonymous Sudan - это группа угроз, связанная с Killnet, которая провела ряд DDoS-атак и угроз в адрес нескольких стран. Они были активны в Telegram и, возможно, развиваются, чтобы включить более гнусные методы атак.
-----

Anonymous Sudan - это группа угроз, которая провела серию распределенных атак типа "отказ в обслуживании" (DDoS) на шведские, голландские, австралийские и немецкие организации якобы в отместку за антимусульманскую деятельность, имевшую место в этих странах. Есть основания полагать, что Anonymous Sudan является подгруппой пророссийской группы Killnet, и они публично присоединились к этой группе. Большая часть информации о Anonymous Sudan получена из Telegram-канала группы, созданного в январе 2023 года.

Основным показателем того, что Anonymous Sudan связаны с Killnet, является предпочитаемый ими вектор атак DDoS, а также другие косвенные доказательства, такие как сообщения в основном на русском языке и цели - страны, поддерживающие Украину в ее борьбе против России. Killnet, казалось, подтвердил свою связь с Anonymous Sudan, когда разместил скриншоты от Anonymous Sudan на своем канале Telegram.

Anonymous Sudan приписывают себе заслуги в проведении многочисленных DDoS-атак на правительственные и деловые ресурсы Швеции, Нидерландов и Франции, а также попытку продать данные, украденные у авиакомпании Air France. Группа также угрожала Австралии, Дании и другим странам. Они очень активно приписывают себе заслуги в проведении атак через свой канал в Telegram, но истинные причины их действий остаются неясными. Хотя DDoS-атаки остаются нормой, Anonymous Sudan, возможно, эволюционирует и включает в себя более гнусные средства нападения.

#ParsedReport
31-03-2023

Ransomware Roundup Dark Power and PayMe100USD Ransomware

https://www.fortinet.com/blog/threat-research/dark-power-and-payme100usd-ransomware

Threats:
Dark_power_ransomware
Payme100usd
Qtox
Filecoder
Kryptik_trojan

Industry:
Financial

Geo:
America, Africa

IOCs:
File: 27
Hash: 4

Softs:
outlook, onenote, thebat, wordpad, mssql

Win Services:
encsvc, powerpnt, ocssd, isqlplussvc, ocomm, agntsvc, mydesktopqos, ocautoupds, synctime, infopath, have more...

Languages:
python

Platforms:
x86, intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория FortiGuard Labs выявила два варианта ransomware, Dark Power и PayME100USD, и клиенты Fortinet защищены от них с помощью своих услуг.
-----

Лаборатория FortiGuard Labs выявила два интересных варианта ransomware - Dark Power и PayME100USD - в ландшафте ransomware.

Dark Power - это программа-вымогатель, запущенная в начале февраля 2023 года и написанная на языке программирования Nim. Она завершает определенные процессы для шифрования файлов и добавляет расширение .dark_power. Она требует отправить на кошелек злоумышленника криптовалюту Monero в размере 10 000 долларов США в течение 72 часов, иначе зашифрованные файлы будут потеряны навсегда, и утверждает, что если выкуп не будет выплачен, украденные данные со взломанной машины будут опубликованы на сайте утечки Tor.

PayMe100USD - это новая программа-вымогатель, написанная на языке Python, обнаруженная в марте 2023 года, которая, вероятно, распространялась через поддельные программы установки Bing. Она шифрует файлы на дисках D, E и F, а также каталог пользователя на диске C. Он добавляет расширение файла .PayMe100USD к пораженным файлам и выдает восемь записок с выкупом, обозначенных как PayMe 1.txt - PayMe 8.txt, в которых жертвам предлагается заплатить 100 долларов США в биткойнах в течение 48 часов, чтобы восстановить пораженные файлы и предотвратить продажу якобы украденных данных в dark net.

#ParsedReport
31-03-2023

Elastic users protected from SUDDENICONs supply chain attack. Elastic users protected from SUDDENICON s supply chain attack

https://www.elastic.co/security-labs/elastic-users-protected-from-suddenicon-supply-chain-attack

Threats:
Supply_chain_technique
Suddenicon
Remcos_rat
Process_injection_technique
Applejeus
Vigram

Geo:
Dprk

IOCs:
File: 13
Hash: 10
Domain: 21

Softs:
3cxdesktopapp, macos, "3cxdesktopapp, kibana, "macos"

Algorithms:
rc4

YARA: Found

Links:
https://github.com/IconStorages/images
https://github.com/IconStorages
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_SuddenIcon.yar

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Поступило сообщение о потенциальной атаке цепочки поставок, направленной на пользователей софтфонов 3CX VOIP, при этом 3CX рекомендует удалить программное обеспечение, а компании по безопасности публикуют первоначальную информацию. Лаборатория Elastic Security Labs продолжает отслеживать телеметрию на предмет наличия признаков угрозы. Доступен запрос, позволяющий определить программное обеспечение с подписью 3CX, выполняющее разрешение имен raw.githubusercontent.com, где были установлены вредоносные приложения, связанные с этой угрозой.
-----

29 марта 2023 года поступило сообщение о потенциальной атаке цепочки поставок, направленной на пользователей VOIP-софтфона 3CX. Вредоносный код был обнаружен в MSI-инсталляторе 3CXDesktopApp, который загружает дополнительные файлы с GitHub, взаимодействует с вредоносными командно-адресными доменами и записывает на диск ffmpeg.dll и d3dcompiler_47.dll. Последняя содержит полезную нагрузку под названием SUDDENICON. Вредоносная программа подключается к доменам C2 путем загрузки и base64-декодирования байтов, добавленных к файлам иконок, хранящихся в репозитории IconStorages на Github. Генеральный директор компании 3CX рекомендовал удалить программное обеспечение, а компании CrowdStrike и SentinelOne опубликовали первоначальную информацию об атаке.

#ParsedReport
30-03-2023

Rising Trend of OneNote Documents for Malware delivery

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rising-trend-of-onenote-documents-for-malware-delivery

Threats:
Qakbot
Icedid
Redline_stealer
Asyncrat_rat
Remcos_rat
Agent_tesla
Quasar_rat
Xworm_rat
Netwire_rat
Formbook
Doubleback

IOCs:
File: 5
Registry: 1
Hash: 7

Softs:
onenote, microsoft office, curl, nenote fi

Algorithms:
zip, base64

Functions:
MSHTA

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Авторы вредоносных программ используют креативные способы доставки полезной нагрузки, например, вредоносных документов OneNote, и пользователям необходимо быть осторожными при открытии вложений и ссылок в подозрительных письмах, чтобы оставаться защищенными.
-----

McAfee Labs недавно обнаружила новую кампанию по распространению вредоносного ПО, использующего вредоносные документы OneNote для того, чтобы убедить пользователей нажать на встроенный файл для загрузки и выполнения трояна Qakbot. Эта атака - еще один пример того, как злоумышленники находят креативные способы доставки вредоносного ПО. После того, как Microsoft внесла изменения в политику, злоумышленники переключились на использование LNK-файлов в качестве способа распространения своего вредоносного ПО. Однако благодаря функции OneNote, позволяющей пользователям прикреплять файлы к документам, документы OneNote становятся все более популярным способом развертывания вредоносной полезной нагрузки.

В первой кампании вредоносный документ доставляется в виде zip-файлов или ISO-образов в фишинговые электронные письма. После его выполнения HTA-файл используется для использования утилиты curl для загрузки полезной нагрузки Qakbot и ее выполнения с помощью rundll32.exe.

Во второй кампании злоумышленник прятал пакетный файл, содержащий команду whoami, в документе OneNote. После ее выполнения вызывается Powershell, который затем загружает полезную нагрузку Qakbot из Интернета и выполняет ее на целевой системе.

#ParsedReport
31-03-2023

AlienFox Toolkit Targets Cloud Web Hosting Frameworks to Steal Credentials

https://socradar.io/alienfox-toolkit-targets-cloud-web-hosting-frameworks-to-steal-credentials

Threats:
Alienfox
Androxgh0st

Industry:
Financial

CVEs:
CVE-2022-31279 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable


IOCs:
Email: 2
Url: 1
Hash: 49

Softs:
telegram, laravel, drupal, joomla, opencart, wordpress

Algorithms:
zip

Languages:
php, python

YARA: Found

Links:
https://github.com/advisories/GHSA-vv7q-mfpc-qgm5

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AlienFox - это вредоносный набор инструментов, разработанный киберпреступниками из Восточной Европы, который позволяет обходить двухфакторную аутентификацию и красть учетные данные и конфиденциальные данные из облачных почтовых сервисов. Он имеет три версии и включает скрипты для автоматизации действий на AWS SES, проверки конфигураций SSH и потенциальной эксплуатации CVE-2022-31279.
-----

Исследователи обнаружили новый вредоносный набор инструментов под названием AlienFox, позволяющий киберпреступникам красть учетные данные и конфиденциальную информацию из облачных почтовых сервисов. Он доступен для приобретения через частные каналы Telegram и нацелен как минимум на 18 различных облачных сервисов, таких как веб-хостинг, Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress. Как только вредоносная программа обнаруживает уязвимый сервер, она может украсть API-ключи, OAuth-токены и другие маркеры аутентификации.

Набор инструментов AlienFox считается швейцарским армейским ножом для облачных спамеров, и считается, что он был разработан киберпреступниками из Восточной Европы. Он особенно опасен, поскольку может обходить двухфакторную аутентификацию. Исследователи выявили три версии AlienFox: v2, v3 и v4.

AlienFox v2 извлекает учетные данные из конфигурации веб-сервера или файлов окружения и включает скрипты для автоматизации действий на AWS SES, проверки конфигураций SSH и потенциальной эксплуатации CVE-2022-31279. AlienFox v3 содержит скрипт Lar.py, который извлекает ключи и секреты из файлов Laravel .env. AlienFox v4 предоставляет инструменты для сбора списков целей, проверки неправильно сконфигурированных целей или уязвимостей безопасности, проверки фреймворков веб-хостинга и взлома криптовалютных кошельков для Bitcoin и Ethereum. Также были обнаружены SHA-1 хэш образца, связанного с Androxgh0st, и SHA-1 хэш ZIP-архива AlienFox.

#ParsedReport
30-03-2023

What Do You Need to Know About SmoothOperator Supply Chain Attack on 3CX VOIP Desktop Client and What Can You Do?

https://socradar.io/what-do-you-need-to-know-about-smoothoperator-supply-chain-attack-on-3cx-voip-desktop-client-and-what-can-you-do

Actors/Campaigns:
Smoothoperator
Lazarus

Threats:
Supply_chain_technique
Wannacry

Industry:
Healthcare

Geo:
Korean, American

IOCs:
File: 2
Domain: 21
Hash: 10

Softs:
3cxdesktopapp, macos, chrome, 3cxdesktopapp macos

Algorithms:
base64

YARA: Found

Links:
https://github.com/IconStorages/images

#ParsedReport
31-03-2023

ASEC Weekly Phishing Email Threat Trend (20230319 to 20230325)

https://asec.ahnlab.com/ko/50699

Threats:
Smokeloader
Cloudeye

Industry:
Financial, Transport

Geo:
Korean, Italy

TTPs:

IOCs:
File: 52
Url: 11

Algorithms:
zip

DeepL такой лапочка... люблю его "Они были активны в Telegram и, возможно, развиваются, чтобы включить более гнусные методы атак."

#technique

Bypassing PatchGuard on modern x64 systems

https://github.com/AdamOron/PatchGuardBypass

#technique

Fork of freeBokuLoader which targets and frees Metsrv's initial reflective DLL package

https://github.com/attl4s/freeMetsrvLoader

#technique

I’d TAP That Pass -Temporary Access Passes (TAP) are enabled in the Azure AD tenant AND You have an authentication admin role in Azure AD You can assign users a short lived password called a Temporary Access Pass (TAP) that satisfies most multi-factor authentication requirements implemented in Azure

https://posts.specterops.io/id-tap-that-pass-8f79fff839ac

IT Army of Ukraine: Analysis of Threat Actors In The Ukraine-Russia War

https://threatmon.io/it-army-of-ukraine-analysis-of-threat-actors-in-the-ukraine-russia-war/

#ParsedReport
01-04-2023

3CX Supply Chain Attack Campaign. Infection Chain:

https://www.zscaler.com/security-research/3CX-supply-chain-attack-analysis-march-2023

Threats:
Supply_chain_technique

IOCs:
Path: 1
Url: 1
Hash: 4
Domain: 22

Softs:
3cxdesktopapp, chrome, 3cx electron, macos

Algorithms:
rc4, base64

Functions:
ico_decryption

Win API:
DllGetClassObject

#ParsedReport
02-04-2023

New IcedID variants shift from bank fraud to malware delivery

https://www.proofpoint.com/us/newsroom/news/new-icedid-variants-shift-bank-fraud-malware-delivery

Threats:
Icedid
Emotet
Aitm_technique

Industry:
Foodtech, Financial

Softs:
microsoft onenote, onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Обнаружены два новых варианта загрузчика вредоносного ПО IcedID, Lite и Forked, которые свидетельствуют о попытке субъектов угрозы обойти обнаружение, и в 2023 году могут появиться еще варианты.
-----

Недавно были обнаружены два новых варианта загрузчика вредоносного ПО IcedID - Lite и Forked. Вариант Lite встречается с ноября 2022 года, когда он был развернут в качестве полезной нагрузки второго этапа на системах, зараженных вредоносной программой Emotet. Вариант Forked впервые появился в феврале 2023 года, распространяясь через тысячи персонализированных фишинговых писем на тему счетов с использованием вложений Microsoft OneNote (.one) для выполнения вредоносного файла HTA. В конце февраля исследователи также наблюдали маломасштабную кампанию по распространению Forked IcedID через поддельные уведомления от Национального закона о безопасности движения и автотранспорта и Управления по контролю за продуктами и лекарствами США (FDA).

Варианты Lite и Forked загрузчика IcedID отличаются от стандартной версии размером и возможностями. Lite-вариант легче - 20 КБ, и не передает информацию о хосте в C2. Forked-версия бота на 64 КБ меньше, чем стандартная, в ней отсутствует система веб-инъекций, функции AiTM (adversary in the middle) и возможности обратного подключения.

Эти новые варианты IcedID свидетельствуют о переходе к специализации бота для доставки полезной нагрузки, и исследователи прогнозируют, что в 2023 году могут появиться новые варианты. Развертывание новых версий IcedID вызывает беспокойство, поскольку свидетельствует об усилиях субъектов угрозы обойти обнаружение.

#ParsedReport
03-04-2023

Ongoing Active Trojanized 3CX Desktop App Potentially Affecting 600K Users Globally

https://cloudsek.com/blog/ongoing-active-trojanized-3cx-desktop-app-potentially-affecting-600k-users-globally

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Artemis

Industry:
Financial

IOCs:
File: 2
Domain: 21
Email: 4
Hash: 11

Softs:
3cx desktop app, macos, 3cxdesktopapp, (macos

Algorithms:
base64

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/gen\_mal\_3cx\_compromise\_mar23.yar