#ParsedReport
30-03-2023

What Do You Need to Know About SmoothOperator Supply Chain Attack on 3CX VOIP Desktop Client and What Can You Do?

https://socradar.io/what-do-you-need-to-know-about-smoothoperator-supply-chain-attack-on-3cx-voip-desktop-client-and-what-can-you-do

Actors/Campaigns:
Smoothoperator
Lazarus

Threats:
Supply_chain_technique
Wannacry

Industry:
Healthcare

Geo:
Korean, American

IOCs:
File: 2
Domain: 21
Hash: 10

Softs:
3cxdesktopapp, macos, chrome, 3cxdesktopapp macos

Algorithms:
base64

YARA: Found

Links:
https://github.com/IconStorages/images

#ParsedReport
31-03-2023

ASEC Weekly Phishing Email Threat Trend (20230319 to 20230325)

https://asec.ahnlab.com/ko/50699

Threats:
Smokeloader
Cloudeye

Industry:
Financial, Transport

Geo:
Korean, Italy

TTPs:

IOCs:
File: 52
Url: 11

Algorithms:
zip

DeepL такой лапочка... люблю его "Они были активны в Telegram и, возможно, развиваются, чтобы включить более гнусные методы атак."

#technique

Bypassing PatchGuard on modern x64 systems

https://github.com/AdamOron/PatchGuardBypass

#technique

Fork of freeBokuLoader which targets and frees Metsrv's initial reflective DLL package

https://github.com/attl4s/freeMetsrvLoader

#technique

I’d TAP That Pass -Temporary Access Passes (TAP) are enabled in the Azure AD tenant AND You have an authentication admin role in Azure AD You can assign users a short lived password called a Temporary Access Pass (TAP) that satisfies most multi-factor authentication requirements implemented in Azure

https://posts.specterops.io/id-tap-that-pass-8f79fff839ac

IT Army of Ukraine: Analysis of Threat Actors In The Ukraine-Russia War

https://threatmon.io/it-army-of-ukraine-analysis-of-threat-actors-in-the-ukraine-russia-war/

#ParsedReport
01-04-2023

3CX Supply Chain Attack Campaign. Infection Chain:

https://www.zscaler.com/security-research/3CX-supply-chain-attack-analysis-march-2023

Threats:
Supply_chain_technique

IOCs:
Path: 1
Url: 1
Hash: 4
Domain: 22

Softs:
3cxdesktopapp, chrome, 3cx electron, macos

Algorithms:
rc4, base64

Functions:
ico_decryption

Win API:
DllGetClassObject

#ParsedReport
02-04-2023

New IcedID variants shift from bank fraud to malware delivery

https://www.proofpoint.com/us/newsroom/news/new-icedid-variants-shift-bank-fraud-malware-delivery

Threats:
Icedid
Emotet
Aitm_technique

Industry:
Foodtech, Financial

Softs:
microsoft onenote, onenote

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Обнаружены два новых варианта загрузчика вредоносного ПО IcedID, Lite и Forked, которые свидетельствуют о попытке субъектов угрозы обойти обнаружение, и в 2023 году могут появиться еще варианты.
-----

Недавно были обнаружены два новых варианта загрузчика вредоносного ПО IcedID - Lite и Forked. Вариант Lite встречается с ноября 2022 года, когда он был развернут в качестве полезной нагрузки второго этапа на системах, зараженных вредоносной программой Emotet. Вариант Forked впервые появился в феврале 2023 года, распространяясь через тысячи персонализированных фишинговых писем на тему счетов с использованием вложений Microsoft OneNote (.one) для выполнения вредоносного файла HTA. В конце февраля исследователи также наблюдали маломасштабную кампанию по распространению Forked IcedID через поддельные уведомления от Национального закона о безопасности движения и автотранспорта и Управления по контролю за продуктами и лекарствами США (FDA).

Варианты Lite и Forked загрузчика IcedID отличаются от стандартной версии размером и возможностями. Lite-вариант легче - 20 КБ, и не передает информацию о хосте в C2. Forked-версия бота на 64 КБ меньше, чем стандартная, в ней отсутствует система веб-инъекций, функции AiTM (adversary in the middle) и возможности обратного подключения.

Эти новые варианты IcedID свидетельствуют о переходе к специализации бота для доставки полезной нагрузки, и исследователи прогнозируют, что в 2023 году могут появиться новые варианты. Развертывание новых версий IcedID вызывает беспокойство, поскольку свидетельствует об усилиях субъектов угрозы обойти обнаружение.

#ParsedReport
03-04-2023

Ongoing Active Trojanized 3CX Desktop App Potentially Affecting 600K Users Globally

https://cloudsek.com/blog/ongoing-active-trojanized-3cx-desktop-app-potentially-affecting-600k-users-globally

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Artemis

Industry:
Financial

IOCs:
File: 2
Domain: 21
Email: 4
Hash: 11

Softs:
3cx desktop app, macos, 3cxdesktopapp, (macos

Algorithms:
base64

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/gen\_mal\_3cx\_compromise\_mar23.yar

#ParsedReport
03-04-2023

APT-C-23. 1. Attack Action Analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492294&idx=1&sn=305266e33cb615257c8a8c03df43e36a&chksm=f9c1d1cfceb658d947b30e2453ec96cfd1d608c17aebca6e74c8ca8ed11c187569b44538756a&scene=178&cur_album_id=1955835290309230595

Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Manlinghua

Threats:
Beacon

Geo:
Israeli, Israel, Qatar

IOCs:
Hash: 6

Softs:
android

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-23 (Двухвостый скорпион) - это организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года и нацеленная на образовательные и военные учреждения с использованием платформ Windows и Android. Она использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки и обладает возможностью кражи записей разговоров.
-----

APT-C-23 (Двухвостый скорпион) - организация сетевых атак, действующая в Палестино-Израильском регионе с 2016 года. Эта организация преимущественно нацелена на образовательные и военные учреждения, использующие платформы Windows и Android. Армия обороны Израиля сообщила об успешной защите от серии кибератак ХАМАС в феврале 2020 года, а 360 Beacon Labs обнаружила последнюю атаку ХАМАС APT-C-23 (Twin-Tailed Scorpion) в июне 2022 года, которая все еще активна.

Эта атака использует фишинговые веб-сайты в качестве основного способа доставки полезной нагрузки. Злоумышленники изменили название и иконку легитимного инструмента воспроизведения видео под названием OPlayer и создали соответствующий фишинговый веб-сайт для доставки вредоносных приложений в виде подпакетов в легитимное приложение. Он модифицирует код легитимного приложения, чтобы побудить пользователя установить вредоносный подпакет и затем запустить его в фоновом режиме. Предполагается, что он способен похищать записи разговоров.

Атака была отнесена к APT-C-23 ("Двухвостый скорпион") из-за сходства с атакой, о которой сообщалось в отчете "Атаки на регион Палестина-Израиль вокруг чемпионата мира по футболу в Катаре". Кроме того, имя файла исходного кода JavaScript на фишинговом сайте и код для получения адреса загрузки приложения также совпадают. Это говорит о том, что злоумышленники освоили технологию и в будущем, скорее всего, будут атаковать самых разных жертв.

#ParsedReport
02-04-2023

A Comprehensive Analysis of the 3CX Attack

https://blog.cyble.com/2023/03/31/a-comprehensive-analysis-of-the-3cx-attack

Threats:
Supply_chain_technique
Dll_sideloading_technique

Industry:
Financial

Geo:
Korean

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Path: 1
Hash: 24
Domain: 22

Softs:
3cx desktopapp, macos, 3cxdesktopapp, chrome, windows installer

Algorithms:
base64, rc4, aes

Win API:
VirtualProtect

YARA: Found

#ParsedReport
03-04-2023

The Rise of FusionCore An Emerging Cybercrime Group from Europe

https://www.cyfirma.com/outofband/the-rise-of-fusioncore-an-emerging-cybercrime-group-from-europe

Actors/Campaigns:
Fancy_bear
Kratos

Threats:
Fusioncore
Sarinlocker
Rootfinder
Cryptonic
Golden_mine
Typhon_reborn
Hydra
Nomercy_stealer
Necrosys_actor
Typhon-r
Apollorat
Typhon_stealer
Danielnusradin_actor
Serpent
Confuserex_tool
Nbminer
Xmrig_miner
Vipera
Redline_stealer
Lockbit
Process_injection_technique
Timestomp_technique
Credential_dumping_technique

Industry:
Financial

Geo:
Greek, Asia, Sweden, Pacific

TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 1
Hash: 11
IP: 1

Softs:
telegram, virtualbox

Algorithms:
base64, aes

Platforms:
x64, x86

SIGMA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: FusionCore - европейская группа угроз, предлагающая широкий спектр вредоносных программ и услуг хакеров по найму, в основном направленных на организации посредством фишинговых атак. Команды безопасности должны принимать проактивные меры для защиты от атак FusionCore.
-----

FusionCore - это европейская группа угроз, предлагающая широкий спектр вредоносных программ в качестве услуги, хакерских программ для наемных работников и партнерских программ по борьбе с вымогательством. Основанная в 2022 году пользователем Hydra, их каталог вредоносных программ включает Typhon-R Stealer, RootFinder Stealer, RootFinder RAT, Cryptonic Crypter, RootFinder Ransomware, RootFinder Miner, Golden Mine, ApolloRAT, SarinLocker и дроппер KratoS. Основные партнеры FusionCore включают NecroSys, DanielNusradin, InsaniumDev и SysKey.

Используя фишинг как основной вектор атаки для получения первоначального доступа, FusionCore специализируется на широком спектре вредоносных программ и, скорее всего, действует из Европы. Их вредоносные программы написаны на C++, C# и Go, а для майнинга криптовалюты они используют программное обеспечение с открытым исходным кодом, такое как NBMiner и Xmrig. FusionCore также использует обфускаторы с открытым исходным кодом .NET, такие как Obfuscar, NETShield и ConfuserEX, чтобы повысить уклончивость своих криптеров, которые используются для шифрования, обфускации и манипулирования вредоносным ПО.

Группа находится под сильным влиянием греческой и римской мифологии, что заметно в названиях их псевдонимов и флагманских вредоносных программ. FusionCore - молодая группа амбициозных разработчиков вредоносных программ, расширяющих свой арсенал такими инструментами, как AnthraXXXLocker и Cryptonic. Среди целей FusionCore - муниципалитет Линдесберга в Швеции и компания, занимающаяся информационной безопасностью в Азиатско-Тихоокеанском регионе.

Разнообразный каталог вредоносных программ FusionCore представляет собой многогранный риск для организации, чреватый финансовыми потерями, сбоями в работе и репутационным ущербом. Для защиты от того, что невозможно увидеть, группам безопасности необходим полный обзор поверхности атаки, поэтому они должны внедрить сегментацию сети для ограничения воздействия успешных атак, развернуть решения для защиты конечных точек, обучить сотрудников передовым методам обеспечения безопасности, а также контролировать сетевой трафик и действия пользователей для обнаружения и реагирования на подозрительное поведение.

#ParsedReport
03-04-2023

The many faces of the IcedID attack kill chain

https://www.menlosecurity.com/blog/the-many-faces-of-the-icedid-attack-kill-chain

Actors/Campaigns:
Xinglocker

Threats:
Icedid
Html_smuggling_technique
Quantum_locker
Mount_locker
Astro_locker
Conti

IOCs:
File: 4
Path: 3
Hash: 23
IP: 13
Domain: 10

Softs:
onenote, zoom, wordpress, microsoft teams, chrome

Algorithms:
zip

Functions:
alert

Languages:
visual_basic, javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: IcedID - это печально известная вредоносная программа, которая в последние пару месяцев становится все более активной, используя множество векторов и методов атаки для обеспечения устойчивости и кражи учетных данных пользователей.
-----

IcedID, модульный троян, впервые появившийся в 2017 году, - это печально известная вредоносная программа, которая в последние пару месяцев становится все более активной. Злоумышленники используют фишинговые электронные письма, поддельные программы установки Zoom, вредоносные файлы .one или кампании вредоносной рекламы, содержащие ссылки или вложения на веб-сайты, на которых размещаются вредоносные полезные нагрузки, такие как файлы OneNote, файлы JavaScript, файлы Visual Basic Script (VBS) и исполняемые файлы (EXE). Затем вредоносная полезная нагрузка загружается с командно-контрольных (C2) серверов, контролируемых злоумышленниками. Вредоносные рекламные кампании, направленные на корпоративное население, могут привести жертв к доменам, содержащим скрипты, используемые для заражения.

Еще одним вектором атаки, использованным IcedID, был OneNote, который эксплуатировался благодаря своим возможностям обмена файлами. Угрозы могли загружать вредоносные файлы, такие как скрипты, EXE и документы, на страницы OneNote, которые затем могли быть переданы потенциальным жертвам. При открытии эти вредоносные файлы загружали дополнительные компоненты и неосознанно устанавливали IcedID в систему. В декабре 2022 года кампания IcedID была замечена в использовании файлов .url для получения файла .bat с файлового сервера WebDav с открытым каталогом.

HTML smuggling также наблюдалась в октябре 2022 года, когда IcedID был доставлен через фишинговое письмо с вложением HTML. Когда пользователи открывали и нажимали на приманку, они загружали защищенный паролем zip-файл, содержащий вредоносный ISO-файл. Считается, что IcedID в основном используется бандой Quantum Ransomware, однако конечная цель последних цепочек заражения пока не раскрыта.

IcedID закрепляетя с помощью методов манипулирования реестром, внедряет вредоносное содержимое в легитимные веб-страницы, собирает сохраненные учетные данные из веб-браузеров, делает скриншоты и записывает нажатия клавиш, а также пытается отключить продукты безопасности. Все эти методы делают IcedID одной из самых опасных угроз, существующих в настоящее время.

#ParsedReport
03-04-2023

UNC215: Spotlight on a Chinese Espionage Campaign in Israel

https://www.mandiant.com/resources/blog/unc215-chinese-espionage-campaign-in-israel

Actors/Campaigns:
Unc215 (motivation: cyber_espionage)
Emissary_panda

Threats:
Focusfjord
Credential_harvesting_technique
Adfind_tool
Hyperbro
Sysupdate
Twoface
Mimikatz_tool
Credential_dumping_technique
Process_injection_technique
Process_hollowing_technique
Timestomp_technique
Dll_sideloading_technique
Luckymouse
Mispadu
Cmder

Industry:
Healthcare, Financial, Entertainment, Telco, Transport, Government

Geo:
America, Chinese, Israeli, Iceland, Iran, Turkish, China, Asia, Uzbekistan, Israel, Kazakhstan, Iranian

CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)


TTPs:
Tactics: 1
Technics: 54

IOCs:
Hash: 23
IP: 19
File: 5

Softs:
microsoft sharepoint, active directory, telegram, windows update service, outlook, windows service

Platforms:
intel

Links:
https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/emissary\_panda\_registry

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: UNC215 - китайская шпионская группа, которая действует как минимум с 2014 года, а с 2019 года нацелилась на правительства и организации на Ближнем Востоке и в Центральной Азии, вероятно, в стратегических интересах, связанных с инициативой "Пояс и путь" и технологическим сектором Израиля.
-----

UNC215 - китайская шпионская группа, действующая как минимум с 2014 года. Их целью являются организации, имеющие стратегическое значение для финансовых, дипломатических и стратегических целей Пекина, включая правительства, технологии, телекоммуникации, оборону, финансы, развлечения и здравоохранение. Группа в основном использует уязвимость CVE-2019-0604 в Microsoft SharePoint для установки веб-оболочек и полезной нагрузки FOCUSFJORD на цели на Ближнем Востоке и в Центральной Азии. Они используют различные тактики для сокрытия своей деятельности, такие как строки на иностранных языках, код, связанный с иранскими акторами, и повторно используемые SSL-сертификаты. Они также пытаются минимизировать количество криминалистических доказательств, оставленных на скомпрометированных узлах, и используют доверительные отношения для латерального перемещения.

Деятельность UNC215 на Ближнем Востоке началась в начале 2019 года, а с января 2019 года наблюдались нападения на израильские государственные учреждения, ИТ-провайдеров и телекоммуникационные организации. Неясно, являются ли инструменты FOCUSFJORD и HYPERBRO исключительно разработкой и использованием UNC215 или это общие ресурсы с другими группами. Хотя между UNC215 и APT27 есть совпадения в выборе целей и высокоуровневых методов, нет достаточных доказательств, чтобы сделать вывод, что за оба вида деятельности отвечает один и тот же субъект.

Многомиллиардные инвестиции Китая, связанные с инициативой "Пояс и путь" (BRI), и интерес к мощному технологическому сектору Израиля, возможно, стимулируют активность UNC215 в регионе. Вероятно, они стремятся отслеживать потенциальные препятствия на пути этих проектов и будут продолжать атаковать правительства и организации, участвующие в них. Эта деятельность соответствует стратегическим интересам Китая на Ближнем Востоке.

#ParsedReport
03-04-2023

Too Log; Didn't Read - Unknown Actor Using CLFS Log Files for Stealth

https://www.mandiant.com/resources/blog/unknown-actor-using-clfs-log-files-for-stealth

Threats:
Privatelog
Stashlog
Dll_sideloading_technique
Process_injection_technique

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 10
Registry: 1
Path: 5
Email: 1
Coin: 1
Hash: 3

Softs:
windows registry

Algorithms:
hc-128, xor

Functions:
RegCreateKeyTransacted, RegOpenKeyTransacted, RegDeleteKeyTransacted, main, CoCreateGUID, ReadLogFile, ReadNextLogFile, NtCreateSection

Win API:
CreateLogFile, CloseAndResetLogFile, GetVolumeNameForVolumeMountPointW, ReserveAndAppendLog, CreateLogMarshallingArea, CreateFileTransactedA, VirtualProtect, CreateTransaction, PTOpenProviderEx, LoadLibrary, have more...

YARA: Found

Links:
https://github.com/forrest-orr/phantom-dll-hollower-poc
https://github.com/microsoft/Detours
https://github.com/libyal/libfsclfs/blob/main/documenation/Common%20Log%20File%20System%20(CLFS).asciidoc