#ParsedReport
31-03-2023
Elastic users protected from SUDDENICONs supply chain attack. Elastic users protected from SUDDENICON s supply chain attack
https://www.elastic.co/security-labs/elastic-users-protected-from-suddenicon-supply-chain-attack
Threats:
Supply_chain_technique
Suddenicon
Remcos_rat
Process_injection_technique
Applejeus
Vigram
Geo:
Dprk
IOCs:
File: 13
Hash: 10
Domain: 21
Softs:
3cxdesktopapp, macos, "3cxdesktopapp, kibana, "macos"
Algorithms:
rc4
YARA: Found
Links:
31-03-2023
Elastic users protected from SUDDENICONs supply chain attack. Elastic users protected from SUDDENICON s supply chain attack
https://www.elastic.co/security-labs/elastic-users-protected-from-suddenicon-supply-chain-attack
Threats:
Supply_chain_technique
Suddenicon
Remcos_rat
Process_injection_technique
Applejeus
Vigram
Geo:
Dprk
IOCs:
File: 13
Hash: 10
Domain: 21
Softs:
3cxdesktopapp, macos, "3cxdesktopapp, kibana, "macos"
Algorithms:
rc4
YARA: Found
Links:
https://github.com/IconStorages/imageshttps://github.com/IconStorageshttps://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_SuddenIcon.yarElastic Blog
Elastic users protected from SUDDENICON’s supply chain attack
Elastic alert telemetry has observed protection events related to the supply chain attacks targeting the 3CXDesktopApp update process.
CTT Report Hub
#ParsedReport 31-03-2023 Elastic users protected from SUDDENICONs supply chain attack. Elastic users protected from SUDDENICON s supply chain attack https://www.elastic.co/security-labs/elastic-users-protected-from-suddenicon-supply-chain-attack Threats:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Поступило сообщение о потенциальной атаке цепочки поставок, направленной на пользователей софтфонов 3CX VOIP, при этом 3CX рекомендует удалить программное обеспечение, а компании по безопасности публикуют первоначальную информацию. Лаборатория Elastic Security Labs продолжает отслеживать телеметрию на предмет наличия признаков угрозы. Доступен запрос, позволяющий определить программное обеспечение с подписью 3CX, выполняющее разрешение имен raw.githubusercontent.com, где были установлены вредоносные приложения, связанные с этой угрозой.
-----
29 марта 2023 года поступило сообщение о потенциальной атаке цепочки поставок, направленной на пользователей VOIP-софтфона 3CX. Вредоносный код был обнаружен в MSI-инсталляторе 3CXDesktopApp, который загружает дополнительные файлы с GitHub, взаимодействует с вредоносными командно-адресными доменами и записывает на диск ffmpeg.dll и d3dcompiler_47.dll. Последняя содержит полезную нагрузку под названием SUDDENICON. Вредоносная программа подключается к доменам C2 путем загрузки и base64-декодирования байтов, добавленных к файлам иконок, хранящихся в репозитории IconStorages на Github. Генеральный директор компании 3CX рекомендовал удалить программное обеспечение, а компании CrowdStrike и SentinelOne опубликовали первоначальную информацию об атаке.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Поступило сообщение о потенциальной атаке цепочки поставок, направленной на пользователей софтфонов 3CX VOIP, при этом 3CX рекомендует удалить программное обеспечение, а компании по безопасности публикуют первоначальную информацию. Лаборатория Elastic Security Labs продолжает отслеживать телеметрию на предмет наличия признаков угрозы. Доступен запрос, позволяющий определить программное обеспечение с подписью 3CX, выполняющее разрешение имен raw.githubusercontent.com, где были установлены вредоносные приложения, связанные с этой угрозой.
-----
29 марта 2023 года поступило сообщение о потенциальной атаке цепочки поставок, направленной на пользователей VOIP-софтфона 3CX. Вредоносный код был обнаружен в MSI-инсталляторе 3CXDesktopApp, который загружает дополнительные файлы с GitHub, взаимодействует с вредоносными командно-адресными доменами и записывает на диск ffmpeg.dll и d3dcompiler_47.dll. Последняя содержит полезную нагрузку под названием SUDDENICON. Вредоносная программа подключается к доменам C2 путем загрузки и base64-декодирования байтов, добавленных к файлам иконок, хранящихся в репозитории IconStorages на Github. Генеральный директор компании 3CX рекомендовал удалить программное обеспечение, а компании CrowdStrike и SentinelOne опубликовали первоначальную информацию об атаке.
#ParsedReport
30-03-2023
Rising Trend of OneNote Documents for Malware delivery
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rising-trend-of-onenote-documents-for-malware-delivery
Threats:
Qakbot
Icedid
Redline_stealer
Asyncrat_rat
Remcos_rat
Agent_tesla
Quasar_rat
Xworm_rat
Netwire_rat
Formbook
Doubleback
IOCs:
File: 5
Registry: 1
Hash: 7
Softs:
onenote, microsoft office, curl, nenote fi
Algorithms:
zip, base64
Functions:
MSHTA
Languages:
visual_basic
30-03-2023
Rising Trend of OneNote Documents for Malware delivery
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rising-trend-of-onenote-documents-for-malware-delivery
Threats:
Qakbot
Icedid
Redline_stealer
Asyncrat_rat
Remcos_rat
Agent_tesla
Quasar_rat
Xworm_rat
Netwire_rat
Formbook
Doubleback
IOCs:
File: 5
Registry: 1
Hash: 7
Softs:
onenote, microsoft office, curl, nenote fi
Algorithms:
zip, base64
Functions:
MSHTA
Languages:
visual_basic
McAfee Blog
The Rising Trend of OneNote Documents for Malware delivery | McAfee Blog
Authored By Anandeshwar Unnikrishnan,Sakshi Jaiswal,Anuradha M McAfee Labs has recently observed a new Malware campaign which used malicious OneNote
CTT Report Hub
#ParsedReport 30-03-2023 Rising Trend of OneNote Documents for Malware delivery https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rising-trend-of-onenote-documents-for-malware-delivery Threats: Qakbot Icedid Redline_stealer Asyncrat_rat Remcos_rat Agent_tesla…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Авторы вредоносных программ используют креативные способы доставки полезной нагрузки, например, вредоносных документов OneNote, и пользователям необходимо быть осторожными при открытии вложений и ссылок в подозрительных письмах, чтобы оставаться защищенными.
-----
McAfee Labs недавно обнаружила новую кампанию по распространению вредоносного ПО, использующего вредоносные документы OneNote для того, чтобы убедить пользователей нажать на встроенный файл для загрузки и выполнения трояна Qakbot. Эта атака - еще один пример того, как злоумышленники находят креативные способы доставки вредоносного ПО. После того, как Microsoft внесла изменения в политику, злоумышленники переключились на использование LNK-файлов в качестве способа распространения своего вредоносного ПО. Однако благодаря функции OneNote, позволяющей пользователям прикреплять файлы к документам, документы OneNote становятся все более популярным способом развертывания вредоносной полезной нагрузки.
В первой кампании вредоносный документ доставляется в виде zip-файлов или ISO-образов в фишинговые электронные письма. После его выполнения HTA-файл используется для использования утилиты curl для загрузки полезной нагрузки Qakbot и ее выполнения с помощью rundll32.exe.
Во второй кампании злоумышленник прятал пакетный файл, содержащий команду whoami, в документе OneNote. После ее выполнения вызывается Powershell, который затем загружает полезную нагрузку Qakbot из Интернета и выполняет ее на целевой системе.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Авторы вредоносных программ используют креативные способы доставки полезной нагрузки, например, вредоносных документов OneNote, и пользователям необходимо быть осторожными при открытии вложений и ссылок в подозрительных письмах, чтобы оставаться защищенными.
-----
McAfee Labs недавно обнаружила новую кампанию по распространению вредоносного ПО, использующего вредоносные документы OneNote для того, чтобы убедить пользователей нажать на встроенный файл для загрузки и выполнения трояна Qakbot. Эта атака - еще один пример того, как злоумышленники находят креативные способы доставки вредоносного ПО. После того, как Microsoft внесла изменения в политику, злоумышленники переключились на использование LNK-файлов в качестве способа распространения своего вредоносного ПО. Однако благодаря функции OneNote, позволяющей пользователям прикреплять файлы к документам, документы OneNote становятся все более популярным способом развертывания вредоносной полезной нагрузки.
В первой кампании вредоносный документ доставляется в виде zip-файлов или ISO-образов в фишинговые электронные письма. После его выполнения HTA-файл используется для использования утилиты curl для загрузки полезной нагрузки Qakbot и ее выполнения с помощью rundll32.exe.
Во второй кампании злоумышленник прятал пакетный файл, содержащий команду whoami, в документе OneNote. После ее выполнения вызывается Powershell, который затем загружает полезную нагрузку Qakbot из Интернета и выполняет ее на целевой системе.
#ParsedReport
31-03-2023
AlienFox Toolkit Targets Cloud Web Hosting Frameworks to Steal Credentials
https://socradar.io/alienfox-toolkit-targets-cloud-web-hosting-frameworks-to-steal-credentials
Threats:
Alienfox
Androxgh0st
Industry:
Financial
CVEs:
CVE-2022-31279 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
IOCs:
Email: 2
Url: 1
Hash: 49
Softs:
telegram, laravel, drupal, joomla, opencart, wordpress
Algorithms:
zip
Languages:
php, python
YARA: Found
Links:
31-03-2023
AlienFox Toolkit Targets Cloud Web Hosting Frameworks to Steal Credentials
https://socradar.io/alienfox-toolkit-targets-cloud-web-hosting-frameworks-to-steal-credentials
Threats:
Alienfox
Androxgh0st
Industry:
Financial
CVEs:
CVE-2022-31279 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
IOCs:
Email: 2
Url: 1
Hash: 49
Softs:
telegram, laravel, drupal, joomla, opencart, wordpress
Algorithms:
zip
Languages:
php, python
YARA: Found
Links:
https://github.com/advisories/GHSA-vv7q-mfpc-qgm5SOCRadar® Cyber Intelligence Inc.
AlienFox Toolkit Targets Cloud Web Hosting Frameworks to Steal Credentials
Cybercriminals are using a new toolkit called AlienFox to steal login credentials and sensitive data from cloud-based email services...
CTT Report Hub
#ParsedReport 31-03-2023 AlienFox Toolkit Targets Cloud Web Hosting Frameworks to Steal Credentials https://socradar.io/alienfox-toolkit-targets-cloud-web-hosting-frameworks-to-steal-credentials Threats: Alienfox Androxgh0st Industry: Financial CVEs:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: AlienFox - это вредоносный набор инструментов, разработанный киберпреступниками из Восточной Европы, который позволяет обходить двухфакторную аутентификацию и красть учетные данные и конфиденциальные данные из облачных почтовых сервисов. Он имеет три версии и включает скрипты для автоматизации действий на AWS SES, проверки конфигураций SSH и потенциальной эксплуатации CVE-2022-31279.
-----
Исследователи обнаружили новый вредоносный набор инструментов под названием AlienFox, позволяющий киберпреступникам красть учетные данные и конфиденциальную информацию из облачных почтовых сервисов. Он доступен для приобретения через частные каналы Telegram и нацелен как минимум на 18 различных облачных сервисов, таких как веб-хостинг, Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress. Как только вредоносная программа обнаруживает уязвимый сервер, она может украсть API-ключи, OAuth-токены и другие маркеры аутентификации.
Набор инструментов AlienFox считается швейцарским армейским ножом для облачных спамеров, и считается, что он был разработан киберпреступниками из Восточной Европы. Он особенно опасен, поскольку может обходить двухфакторную аутентификацию. Исследователи выявили три версии AlienFox: v2, v3 и v4.
AlienFox v2 извлекает учетные данные из конфигурации веб-сервера или файлов окружения и включает скрипты для автоматизации действий на AWS SES, проверки конфигураций SSH и потенциальной эксплуатации CVE-2022-31279. AlienFox v3 содержит скрипт Lar.py, который извлекает ключи и секреты из файлов Laravel .env. AlienFox v4 предоставляет инструменты для сбора списков целей, проверки неправильно сконфигурированных целей или уязвимостей безопасности, проверки фреймворков веб-хостинга и взлома криптовалютных кошельков для Bitcoin и Ethereum. Также были обнаружены SHA-1 хэш образца, связанного с Androxgh0st, и SHA-1 хэш ZIP-архива AlienFox.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: AlienFox - это вредоносный набор инструментов, разработанный киберпреступниками из Восточной Европы, который позволяет обходить двухфакторную аутентификацию и красть учетные данные и конфиденциальные данные из облачных почтовых сервисов. Он имеет три версии и включает скрипты для автоматизации действий на AWS SES, проверки конфигураций SSH и потенциальной эксплуатации CVE-2022-31279.
-----
Исследователи обнаружили новый вредоносный набор инструментов под названием AlienFox, позволяющий киберпреступникам красть учетные данные и конфиденциальную информацию из облачных почтовых сервисов. Он доступен для приобретения через частные каналы Telegram и нацелен как минимум на 18 различных облачных сервисов, таких как веб-хостинг, Laravel, Drupal, Joomla, Magento, Opencart, Prestashop и WordPress. Как только вредоносная программа обнаруживает уязвимый сервер, она может украсть API-ключи, OAuth-токены и другие маркеры аутентификации.
Набор инструментов AlienFox считается швейцарским армейским ножом для облачных спамеров, и считается, что он был разработан киберпреступниками из Восточной Европы. Он особенно опасен, поскольку может обходить двухфакторную аутентификацию. Исследователи выявили три версии AlienFox: v2, v3 и v4.
AlienFox v2 извлекает учетные данные из конфигурации веб-сервера или файлов окружения и включает скрипты для автоматизации действий на AWS SES, проверки конфигураций SSH и потенциальной эксплуатации CVE-2022-31279. AlienFox v3 содержит скрипт Lar.py, который извлекает ключи и секреты из файлов Laravel .env. AlienFox v4 предоставляет инструменты для сбора списков целей, проверки неправильно сконфигурированных целей или уязвимостей безопасности, проверки фреймворков веб-хостинга и взлома криптовалютных кошельков для Bitcoin и Ethereum. Также были обнаружены SHA-1 хэш образца, связанного с Androxgh0st, и SHA-1 хэш ZIP-архива AlienFox.
#ParsedReport
30-03-2023
What Do You Need to Know About SmoothOperator Supply Chain Attack on 3CX VOIP Desktop Client and What Can You Do?
https://socradar.io/what-do-you-need-to-know-about-smoothoperator-supply-chain-attack-on-3cx-voip-desktop-client-and-what-can-you-do
Actors/Campaigns:
Smoothoperator
Lazarus
Threats:
Supply_chain_technique
Wannacry
Industry:
Healthcare
Geo:
Korean, American
IOCs:
File: 2
Domain: 21
Hash: 10
Softs:
3cxdesktopapp, macos, chrome, 3cxdesktopapp macos
Algorithms:
base64
YARA: Found
Links:
30-03-2023
What Do You Need to Know About SmoothOperator Supply Chain Attack on 3CX VOIP Desktop Client and What Can You Do?
https://socradar.io/what-do-you-need-to-know-about-smoothoperator-supply-chain-attack-on-3cx-voip-desktop-client-and-what-can-you-do
Actors/Campaigns:
Smoothoperator
Lazarus
Threats:
Supply_chain_technique
Wannacry
Industry:
Healthcare
Geo:
Korean, American
IOCs:
File: 2
Domain: 21
Hash: 10
Softs:
3cxdesktopapp, macos, chrome, 3cxdesktopapp macos
Algorithms:
base64
YARA: Found
Links:
https://github.com/IconStorages/imagesSOCRadar® Cyber Intelligence Inc.
What Do You Need to Know About SmoothOperator Supply Chain Attack on 3CX VOIP Desktop Client and What Can You Do?
The SmoothOperator Supply Chain Attack is a campaign that targets the 3CX VOIP software clients, including top brands like American Express, AirFrance, BMW, Toyota, Mercedes, the National Health Service, and Coca-Cola.
#ParsedReport
31-03-2023
ASEC Weekly Phishing Email Threat Trend (20230319 to 20230325)
https://asec.ahnlab.com/ko/50699
Threats:
Smokeloader
Cloudeye
Industry:
Financial, Transport
Geo:
Korean, Italy
TTPs:
IOCs:
File: 52
Url: 11
Algorithms:
zip
31-03-2023
ASEC Weekly Phishing Email Threat Trend (20230319 to 20230325)
https://asec.ahnlab.com/ko/50699
Threats:
Smokeloader
Cloudeye
Industry:
Financial, Transport
Geo:
Korean, Italy
TTPs:
IOCs:
File: 52
Url: 11
Algorithms:
zip
ASEC
ASEC 주간 피싱 이메일 위협 트렌드 (20230319 ~ 20230325)
AhnLab Security Emergency response Center(ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 03월 19일부터 03월 25일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 …
DeepL такой лапочка... люблю его "Они были активны в Telegram и, возможно, развиваются, чтобы включить более гнусные методы атак."
🔥3👍1
#technique
Fork of freeBokuLoader which targets and frees Metsrv's initial reflective DLL package
https://github.com/attl4s/freeMetsrvLoader
Fork of freeBokuLoader which targets and frees Metsrv's initial reflective DLL package
https://github.com/attl4s/freeMetsrvLoader
GitHub
GitHub - attl4s/freeMetsrvLoader: freeBokuLoader fork which targets and frees Metsrv's initial reflective DLL package
freeBokuLoader fork which targets and frees Metsrv's initial reflective DLL package - attl4s/freeMetsrvLoader
#technique
I’d TAP That Pass -Temporary Access Passes (TAP) are enabled in the Azure AD tenant AND You have an authentication admin role in Azure AD You can assign users a short lived password called a Temporary Access Pass (TAP) that satisfies most multi-factor authentication requirements implemented in Azure
https://posts.specterops.io/id-tap-that-pass-8f79fff839ac
I’d TAP That Pass -Temporary Access Passes (TAP) are enabled in the Azure AD tenant AND You have an authentication admin role in Azure AD You can assign users a short lived password called a Temporary Access Pass (TAP) that satisfies most multi-factor authentication requirements implemented in Azure
https://posts.specterops.io/id-tap-that-pass-8f79fff839ac
Medium
I’d TAP That Pass
A better way to attack Azure AD with temporary access passes
IT Army of Ukraine: Analysis of Threat Actors In The Ukraine-Russia War
https://threatmon.io/it-army-of-ukraine-analysis-of-threat-actors-in-the-ukraine-russia-war/
https://threatmon.io/it-army-of-ukraine-analysis-of-threat-actors-in-the-ukraine-russia-war/
threatmon.io
IT Army of Ukraine: Analysis of Threat Actors In The Ukraine-Russia War | ThreatMon
Read to IT Army of Ukraine: Analysis of Threat Actors In The Ukraine-Russia War report and now download it to learn more details.
#ParsedReport
01-04-2023
3CX Supply Chain Attack Campaign. Infection Chain:
https://www.zscaler.com/security-research/3CX-supply-chain-attack-analysis-march-2023
Threats:
Supply_chain_technique
IOCs:
Path: 1
Url: 1
Hash: 4
Domain: 22
Softs:
3cxdesktopapp, chrome, 3cx electron, macos
Algorithms:
rc4, base64
Functions:
ico_decryption
Win API:
DllGetClassObject
01-04-2023
3CX Supply Chain Attack Campaign. Infection Chain:
https://www.zscaler.com/security-research/3CX-supply-chain-attack-analysis-march-2023
Threats:
Supply_chain_technique
IOCs:
Path: 1
Url: 1
Hash: 4
Domain: 22
Softs:
3cxdesktopapp, chrome, 3cx electron, macos
Algorithms:
rc4, base64
Functions:
ico_decryption
Win API:
DllGetClassObject
Zscaler
3CX supply chain attack analysis | 03-31-2023
Zscaler Security Advisory for 3CX Supply chain attack analysis.
#ParsedReport
02-04-2023
New IcedID variants shift from bank fraud to malware delivery
https://www.proofpoint.com/us/newsroom/news/new-icedid-variants-shift-bank-fraud-malware-delivery
Threats:
Icedid
Emotet
Aitm_technique
Industry:
Foodtech, Financial
Softs:
microsoft onenote, onenote
02-04-2023
New IcedID variants shift from bank fraud to malware delivery
https://www.proofpoint.com/us/newsroom/news/new-icedid-variants-shift-bank-fraud-malware-delivery
Threats:
Icedid
Emotet
Aitm_technique
Industry:
Foodtech, Financial
Softs:
microsoft onenote, onenote
BleepingComputer
New IcedID variants shift from bank fraud to malware delivery
New IcedID variants have been found without the usual online banking fraud functionality and instead focus on installing further malware on compromised systems.
CTT Report Hub
#ParsedReport 02-04-2023 New IcedID variants shift from bank fraud to malware delivery https://www.proofpoint.com/us/newsroom/news/new-icedid-variants-shift-bank-fraud-malware-delivery Threats: Icedid Emotet Aitm_technique Industry: Foodtech, Financial…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Обнаружены два новых варианта загрузчика вредоносного ПО IcedID, Lite и Forked, которые свидетельствуют о попытке субъектов угрозы обойти обнаружение, и в 2023 году могут появиться еще варианты.
-----
Недавно были обнаружены два новых варианта загрузчика вредоносного ПО IcedID - Lite и Forked. Вариант Lite встречается с ноября 2022 года, когда он был развернут в качестве полезной нагрузки второго этапа на системах, зараженных вредоносной программой Emotet. Вариант Forked впервые появился в феврале 2023 года, распространяясь через тысячи персонализированных фишинговых писем на тему счетов с использованием вложений Microsoft OneNote (.one) для выполнения вредоносного файла HTA. В конце февраля исследователи также наблюдали маломасштабную кампанию по распространению Forked IcedID через поддельные уведомления от Национального закона о безопасности движения и автотранспорта и Управления по контролю за продуктами и лекарствами США (FDA).
Варианты Lite и Forked загрузчика IcedID отличаются от стандартной версии размером и возможностями. Lite-вариант легче - 20 КБ, и не передает информацию о хосте в C2. Forked-версия бота на 64 КБ меньше, чем стандартная, в ней отсутствует система веб-инъекций, функции AiTM (adversary in the middle) и возможности обратного подключения.
Эти новые варианты IcedID свидетельствуют о переходе к специализации бота для доставки полезной нагрузки, и исследователи прогнозируют, что в 2023 году могут появиться новые варианты. Развертывание новых версий IcedID вызывает беспокойство, поскольку свидетельствует об усилиях субъектов угрозы обойти обнаружение.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Обнаружены два новых варианта загрузчика вредоносного ПО IcedID, Lite и Forked, которые свидетельствуют о попытке субъектов угрозы обойти обнаружение, и в 2023 году могут появиться еще варианты.
-----
Недавно были обнаружены два новых варианта загрузчика вредоносного ПО IcedID - Lite и Forked. Вариант Lite встречается с ноября 2022 года, когда он был развернут в качестве полезной нагрузки второго этапа на системах, зараженных вредоносной программой Emotet. Вариант Forked впервые появился в феврале 2023 года, распространяясь через тысячи персонализированных фишинговых писем на тему счетов с использованием вложений Microsoft OneNote (.one) для выполнения вредоносного файла HTA. В конце февраля исследователи также наблюдали маломасштабную кампанию по распространению Forked IcedID через поддельные уведомления от Национального закона о безопасности движения и автотранспорта и Управления по контролю за продуктами и лекарствами США (FDA).
Варианты Lite и Forked загрузчика IcedID отличаются от стандартной версии размером и возможностями. Lite-вариант легче - 20 КБ, и не передает информацию о хосте в C2. Forked-версия бота на 64 КБ меньше, чем стандартная, в ней отсутствует система веб-инъекций, функции AiTM (adversary in the middle) и возможности обратного подключения.
Эти новые варианты IcedID свидетельствуют о переходе к специализации бота для доставки полезной нагрузки, и исследователи прогнозируют, что в 2023 году могут появиться новые варианты. Развертывание новых версий IcedID вызывает беспокойство, поскольку свидетельствует об усилиях субъектов угрозы обойти обнаружение.
#ParsedReport
03-04-2023
Ongoing Active Trojanized 3CX Desktop App Potentially Affecting 600K Users Globally
https://cloudsek.com/blog/ongoing-active-trojanized-3cx-desktop-app-potentially-affecting-600k-users-globally
Actors/Campaigns:
Lazarus
Threats:
Supply_chain_technique
Artemis
Industry:
Financial
IOCs:
File: 2
Domain: 21
Email: 4
Hash: 11
Softs:
3cx desktop app, macos, 3cxdesktopapp, (macos
Algorithms:
base64
YARA: Found
Links:
03-04-2023
Ongoing Active Trojanized 3CX Desktop App Potentially Affecting 600K Users Globally
https://cloudsek.com/blog/ongoing-active-trojanized-3cx-desktop-app-potentially-affecting-600k-users-globally
Actors/Campaigns:
Lazarus
Threats:
Supply_chain_technique
Artemis
Industry:
Financial
IOCs:
File: 2
Domain: 21
Email: 4
Hash: 11
Softs:
3cx desktop app, macos, 3cxdesktopapp, (macos
Algorithms:
base64
YARA: Found
Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/gen\_mal\_3cx\_compromise\_mar23.yarCloudsek
Ongoing Active Trojanized 3CX Desktop App Potentially Affecting 600K Users Globally | CloudSEK
On 29th March, 2023 there were reports of malicious activity originating from a signed 3CX desktop application. CrowdStrike’s Falcon Overwatch has claimed to have observed malicious activities from both Windows and macOS binaries.
#ParsedReport
03-04-2023
APT-C-23. 1. Attack Action Analysis
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492294&idx=1&sn=305266e33cb615257c8a8c03df43e36a&chksm=f9c1d1cfceb658d947b30e2453ec96cfd1d608c17aebca6e74c8ca8ed11c187569b44538756a&scene=178&cur_album_id=1955835290309230595
Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Manlinghua
Threats:
Beacon
Geo:
Israeli, Israel, Qatar
IOCs:
Hash: 6
Softs:
android
03-04-2023
APT-C-23. 1. Attack Action Analysis
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492294&idx=1&sn=305266e33cb615257c8a8c03df43e36a&chksm=f9c1d1cfceb658d947b30e2453ec96cfd1d608c17aebca6e74c8ca8ed11c187569b44538756a&scene=178&cur_album_id=1955835290309230595
Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Manlinghua
Threats:
Beacon
Geo:
Israeli, Israel, Qatar
IOCs:
Hash: 6
Softs:
android
Weixin Official Accounts Platform
APT-C-23(双尾蝎)组织最新攻击活动分析
近期,360烽火实验室再次发现哈马斯最新的攻击行动,本次攻击行动与《针对巴以地区围绕卡塔尔世界杯的攻击行动》报告中攻击组织存在较大关联
CTT Report Hub
#ParsedReport 03-04-2023 APT-C-23. 1. Attack Action Analysis https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492294&idx=1&sn=305266e33cb615257c8a8c03df43e36a&chksm=f9c1d1cfceb658d947b30e2453ec96cfd1d608c17aebca6e74c8ca8ed11c187569b44538756a&sc…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-C-23 (Двухвостый скорпион) - это организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года и нацеленная на образовательные и военные учреждения с использованием платформ Windows и Android. Она использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки и обладает возможностью кражи записей разговоров.
-----
APT-C-23 (Двухвостый скорпион) - организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года. Эта организация преимущественно нацелена на образовательные и военные учреждения, использующие платформы Windows и Android. Армия обороны Израиля сообщила об успешной защите от серии кибератак ХАМАС в феврале 2020 года, а 360 Beacon Labs обнаружила последнюю атаку ХАМАС APT-C-23 (Twin-Tailed Scorpion) в июне 2022 года, которая все еще активна.
Эта атака использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки. Злоумышленники изменили название и иконку легитимного инструмента воспроизведения видео под названием OPlayer и создали соответствующий фишинговый веб-сайт для доставки вредоносных приложений в виде подпакетов в легитимное приложение. Он модифицирует код легитимного приложения, чтобы побудить пользователя установить вредоносный подпакет и затем запустить его в фоновом режиме. Предполагается, что он способен похищать записи разговоров.
Атака была отнесена к APT-C-23 ("Двухвостый скорпион") из-за сходства с атакой, о которой сообщалось в отчете "Атаки на регион Палестина-Израиль вокруг чемпионата мира по футболу в Катаре". Кроме того, имя файла исходного кода JavaScript на фишинговом сайте и код для получения адреса загрузки приложения также совпадают. Это говорит о том, что злоумышленники освоили технологию и в будущем, скорее всего, будут атаковать самых разных жертв.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-C-23 (Двухвостый скорпион) - это организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года и нацеленная на образовательные и военные учреждения с использованием платформ Windows и Android. Она использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки и обладает возможностью кражи записей разговоров.
-----
APT-C-23 (Двухвостый скорпион) - организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года. Эта организация преимущественно нацелена на образовательные и военные учреждения, использующие платформы Windows и Android. Армия обороны Израиля сообщила об успешной защите от серии кибератак ХАМАС в феврале 2020 года, а 360 Beacon Labs обнаружила последнюю атаку ХАМАС APT-C-23 (Twin-Tailed Scorpion) в июне 2022 года, которая все еще активна.
Эта атака использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки. Злоумышленники изменили название и иконку легитимного инструмента воспроизведения видео под названием OPlayer и создали соответствующий фишинговый веб-сайт для доставки вредоносных приложений в виде подпакетов в легитимное приложение. Он модифицирует код легитимного приложения, чтобы побудить пользователя установить вредоносный подпакет и затем запустить его в фоновом режиме. Предполагается, что он способен похищать записи разговоров.
Атака была отнесена к APT-C-23 ("Двухвостый скорпион") из-за сходства с атакой, о которой сообщалось в отчете "Атаки на регион Палестина-Израиль вокруг чемпионата мира по футболу в Катаре". Кроме того, имя файла исходного кода JavaScript на фишинговом сайте и код для получения адреса загрузки приложения также совпадают. Это говорит о том, что злоумышленники освоили технологию и в будущем, скорее всего, будут атаковать самых разных жертв.
#ParsedReport
02-04-2023
A Comprehensive Analysis of the 3CX Attack
https://blog.cyble.com/2023/03/31/a-comprehensive-analysis-of-the-3cx-attack
Threats:
Supply_chain_technique
Dll_sideloading_technique
Industry:
Financial
Geo:
Korean
TTPs:
Tactics: 5
Technics: 9
IOCs:
File: 3
Path: 1
Hash: 24
Domain: 22
Softs:
3cx desktopapp, macos, 3cxdesktopapp, chrome, windows installer
Algorithms:
base64, rc4, aes
Win API:
VirtualProtect
YARA: Found
02-04-2023
A Comprehensive Analysis of the 3CX Attack
https://blog.cyble.com/2023/03/31/a-comprehensive-analysis-of-the-3cx-attack
Threats:
Supply_chain_technique
Dll_sideloading_technique
Industry:
Financial
Geo:
Korean
TTPs:
Tactics: 5
Technics: 9
IOCs:
File: 3
Path: 1
Hash: 24
Domain: 22
Softs:
3cx desktopapp, macos, 3cxdesktopapp, chrome, windows installer
Algorithms:
base64, rc4, aes
Win API:
VirtualProtect
YARA: Found
Cyble
Cyble - A Comprehensive Analysis Of The 3CX Attack
Cyble Research & Intelligence Labs analyzes the recent 3CX supply chain attack and the malicious methods employed by the attackers.
#ParsedReport
03-04-2023
The Rise of FusionCore An Emerging Cybercrime Group from Europe
https://www.cyfirma.com/outofband/the-rise-of-fusioncore-an-emerging-cybercrime-group-from-europe
Actors/Campaigns:
Fancy_bear
Kratos
Threats:
Fusioncore
Sarinlocker
Rootfinder
Cryptonic
Golden_mine
Typhon_reborn
Hydra
Nomercy_stealer
Necrosys_actor
Typhon-r
Apollorat
Typhon_stealer
Danielnusradin_actor
Serpent
Confuserex_tool
Nbminer
Xmrig_miner
Vipera
Redline_stealer
Lockbit
Process_injection_technique
Timestomp_technique
Credential_dumping_technique
Industry:
Financial
Geo:
Greek, Asia, Sweden, Pacific
TTPs:
Tactics: 10
Technics: 34
IOCs:
File: 1
Hash: 11
IP: 1
Softs:
telegram, virtualbox
Algorithms:
base64, aes
Platforms:
x64, x86
SIGMA: Found
03-04-2023
The Rise of FusionCore An Emerging Cybercrime Group from Europe
https://www.cyfirma.com/outofband/the-rise-of-fusioncore-an-emerging-cybercrime-group-from-europe
Actors/Campaigns:
Fancy_bear
Kratos
Threats:
Fusioncore
Sarinlocker
Rootfinder
Cryptonic
Golden_mine
Typhon_reborn
Hydra
Nomercy_stealer
Necrosys_actor
Typhon-r
Apollorat
Typhon_stealer
Danielnusradin_actor
Serpent
Confuserex_tool
Nbminer
Xmrig_miner
Vipera
Redline_stealer
Lockbit
Process_injection_technique
Timestomp_technique
Credential_dumping_technique
Industry:
Financial
Geo:
Greek, Asia, Sweden, Pacific
TTPs:
Tactics: 10
Technics: 34
IOCs:
File: 1
Hash: 11
IP: 1
Softs:
telegram, virtualbox
Algorithms:
base64, aes
Platforms:
x64, x86
SIGMA: Found
CYFIRMA
The Rise of FusionCore An Emerging Cybercrime Group from Europe - CYFIRMA
EXECUTIVE SUMMARY The CYFIRMA research team has identified a new up-and-coming European threat actor group known as FusionCore. Running Malware-as-a-service,...