#ParsedReport
02-04-2023

A Comprehensive Analysis of the 3CX Attack

https://blog.cyble.com/2023/03/31/a-comprehensive-analysis-of-the-3cx-attack

Threats:
Supply_chain_technique
Dll_sideloading_technique

Industry:
Financial

Geo:
Korean

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Path: 1
Hash: 24
Domain: 22

Softs:
3cx desktopapp, macos, 3cxdesktopapp, chrome, windows installer

Algorithms:
base64, rc4, aes

Win API:
VirtualProtect

YARA: Found

#ParsedReport
03-04-2023

The Rise of FusionCore An Emerging Cybercrime Group from Europe

https://www.cyfirma.com/outofband/the-rise-of-fusioncore-an-emerging-cybercrime-group-from-europe

Actors/Campaigns:
Fancy_bear
Kratos

Threats:
Fusioncore
Sarinlocker
Rootfinder
Cryptonic
Golden_mine
Typhon_reborn
Hydra
Nomercy_stealer
Necrosys_actor
Typhon-r
Apollorat
Typhon_stealer
Danielnusradin_actor
Serpent
Confuserex_tool
Nbminer
Xmrig_miner
Vipera
Redline_stealer
Lockbit
Process_injection_technique
Timestomp_technique
Credential_dumping_technique

Industry:
Financial

Geo:
Greek, Asia, Sweden, Pacific

TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 1
Hash: 11
IP: 1

Softs:
telegram, virtualbox

Algorithms:
base64, aes

Platforms:
x64, x86

SIGMA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: FusionCore - европейская группа угроз, предлагающая широкий спектр вредоносных программ и услуг хакеров по найму, в основном направленных на организации посредством фишинговых атак. Команды безопасности должны принимать проактивные меры для защиты от атак FusionCore.
-----

FusionCore - это европейская группа угроз, предлагающая широкий спектр вредоносных программ в качестве услуги, хакерских программ для наемных работников и партнерских программ по борьбе с вымогательством. Основанная в 2022 году пользователем Hydra, их каталог вредоносных программ включает Typhon-R Stealer, RootFinder Stealer, RootFinder RAT, Cryptonic Crypter, RootFinder Ransomware, RootFinder Miner, Golden Mine, ApolloRAT, SarinLocker и дроппер KratoS. Основные партнеры FusionCore включают NecroSys, DanielNusradin, InsaniumDev и SysKey.

Используя фишинг как основной вектор атаки для получения первоначального доступа, FusionCore специализируется на широком спектре вредоносных программ и, скорее всего, действует из Европы. Их вредоносные программы написаны на C++, C# и Go, а для майнинга криптовалюты они используют программное обеспечение с открытым исходным кодом, такое как NBMiner и Xmrig. FusionCore также использует обфускаторы с открытым исходным кодом .NET, такие как Obfuscar, NETShield и ConfuserEX, чтобы повысить уклончивость своих криптеров, которые используются для шифрования, обфускации и манипулирования вредоносным ПО.

Группа находится под сильным влиянием греческой и римской мифологии, что заметно в названиях их псевдонимов и флагманских вредоносных программ. FusionCore - молодая группа амбициозных разработчиков вредоносных программ, расширяющих свой арсенал такими инструментами, как AnthraXXXLocker и Cryptonic. Среди целей FusionCore - муниципалитет Линдесберга в Швеции и компания, занимающаяся информационной безопасностью в Азиатско-Тихоокеанском регионе.

Разнообразный каталог вредоносных программ FusionCore представляет собой многогранный риск для организации, чреватый финансовыми потерями, сбоями в работе и репутационным ущербом. Для защиты от того, что невозможно увидеть, группам безопасности необходим полный обзор поверхности атаки, поэтому они должны внедрить сегментацию сети для ограничения воздействия успешных атак, развернуть решения для защиты конечных точек, обучить сотрудников передовым методам обеспечения безопасности, а также контролировать сетевой трафик и действия пользователей для обнаружения и реагирования на подозрительное поведение.

#ParsedReport
03-04-2023

The many faces of the IcedID attack kill chain

https://www.menlosecurity.com/blog/the-many-faces-of-the-icedid-attack-kill-chain

Actors/Campaigns:
Xinglocker

Threats:
Icedid
Html_smuggling_technique
Quantum_locker
Mount_locker
Astro_locker
Conti

IOCs:
File: 4
Path: 3
Hash: 23
IP: 13
Domain: 10

Softs:
onenote, zoom, wordpress, microsoft teams, chrome

Algorithms:
zip

Functions:
alert

Languages:
visual_basic, javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: IcedID - это печально известная вредоносная программа, которая в последние пару месяцев становится все более активной, используя множество векторов и методов атаки для обеспечения устойчивости и кражи учетных данных пользователей.
-----

IcedID, модульный троян, впервые появившийся в 2017 году, - это печально известная вредоносная программа, которая в последние пару месяцев становится все более активной. Злоумышленники используют фишинговые электронные письма, поддельные программы установки Zoom, вредоносные файлы .one или кампании вредоносной рекламы, содержащие ссылки или вложения на веб-сайты, на которых размещаются вредоносные полезные нагрузки, такие как файлы OneNote, файлы JavaScript, файлы Visual Basic Script (VBS) и исполняемые файлы (EXE). Затем вредоносная полезная нагрузка загружается с командно-контрольных (C2) серверов, контролируемых злоумышленниками. Вредоносные рекламные кампании, направленные на корпоративное население, могут привести жертв к доменам, содержащим скрипты, используемые для заражения.

Еще одним вектором атаки, использованным IcedID, был OneNote, который эксплуатировался благодаря своим возможностям обмена файлами. Угрозы могли загружать вредоносные файлы, такие как скрипты, EXE и документы, на страницы OneNote, которые затем могли быть переданы потенциальным жертвам. При открытии эти вредоносные файлы загружали дополнительные компоненты и неосознанно устанавливали IcedID в систему. В декабре 2022 года кампания IcedID была замечена в использовании файлов .url для получения файла .bat с файлового сервера WebDav с открытым каталогом.

HTML smuggling также наблюдалась в октябре 2022 года, когда IcedID был доставлен через фишинговое письмо с вложением HTML. Когда пользователи открывали и нажимали на приманку, они загружали защищенный паролем zip-файл, содержащий вредоносный ISO-файл. Считается, что IcedID в основном используется бандой Quantum Ransomware, однако конечная цель последних цепочек заражения пока не раскрыта.

IcedID закрепляетя с помощью методов манипулирования реестром, внедряет вредоносное содержимое в легитимные веб-страницы, собирает сохраненные учетные данные из веб-браузеров, делает скриншоты и записывает нажатия клавиш, а также пытается отключить продукты безопасности. Все эти методы делают IcedID одной из самых опасных угроз, существующих в настоящее время.

#ParsedReport
03-04-2023

UNC215: Spotlight on a Chinese Espionage Campaign in Israel

https://www.mandiant.com/resources/blog/unc215-chinese-espionage-campaign-in-israel

Actors/Campaigns:
Unc215 (motivation: cyber_espionage)
Emissary_panda

Threats:
Focusfjord
Credential_harvesting_technique
Adfind_tool
Hyperbro
Sysupdate
Twoface
Mimikatz_tool
Credential_dumping_technique
Process_injection_technique
Process_hollowing_technique
Timestomp_technique
Dll_sideloading_technique
Luckymouse
Mispadu
Cmder

Industry:
Healthcare, Financial, Entertainment, Telco, Transport, Government

Geo:
America, Chinese, Israeli, Iceland, Iran, Turkish, China, Asia, Uzbekistan, Israel, Kazakhstan, Iranian

CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)


TTPs:
Tactics: 1
Technics: 54

IOCs:
Hash: 23
IP: 19
File: 5

Softs:
microsoft sharepoint, active directory, telegram, windows update service, outlook, windows service

Platforms:
intel

Links:
https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/emissary\_panda\_registry

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: UNC215 - китайская шпионская группа, которая действует как минимум с 2014 года, а с 2019 года нацелилась на правительства и организации на Ближнем Востоке и в Центральной Азии, вероятно, в стратегических интересах, связанных с инициативой "Пояс и путь" и технологическим сектором Израиля.
-----

UNC215 - китайская шпионская группа, действующая как минимум с 2014 года. Их целью являются организации, имеющие стратегическое значение для финансовых, дипломатических и стратегических целей Пекина, включая правительства, технологии, телекоммуникации, оборону, финансы, развлечения и здравоохранение. Группа в основном использует уязвимость CVE-2019-0604 в Microsoft SharePoint для установки веб-оболочек и полезной нагрузки FOCUSFJORD на цели на Ближнем Востоке и в Центральной Азии. Они используют различные тактики для сокрытия своей деятельности, такие как строки на иностранных языках, код, связанный с иранскими акторами, и повторно используемые SSL-сертификаты. Они также пытаются минимизировать количество криминалистических доказательств, оставленных на скомпрометированных узлах, и используют доверительные отношения для латерального перемещения.

Деятельность UNC215 на Ближнем Востоке началась в начале 2019 года, а с января 2019 года наблюдались нападения на израильские государственные учреждения, ИТ-провайдеров и телекоммуникационные организации. Неясно, являются ли инструменты FOCUSFJORD и HYPERBRO исключительно разработкой и использованием UNC215 или это общие ресурсы с другими группами. Хотя между UNC215 и APT27 есть совпадения в выборе целей и высокоуровневых методов, нет достаточных доказательств, чтобы сделать вывод, что за оба вида деятельности отвечает один и тот же субъект.

Многомиллиардные инвестиции Китая, связанные с инициативой "Пояс и путь" (BRI), и интерес к мощному технологическому сектору Израиля, возможно, стимулируют активность UNC215 в регионе. Вероятно, они стремятся отслеживать потенциальные препятствия на пути этих проектов и будут продолжать атаковать правительства и организации, участвующие в них. Эта деятельность соответствует стратегическим интересам Китая на Ближнем Востоке.

#ParsedReport
03-04-2023

Too Log; Didn't Read - Unknown Actor Using CLFS Log Files for Stealth

https://www.mandiant.com/resources/blog/unknown-actor-using-clfs-log-files-for-stealth

Threats:
Privatelog
Stashlog
Dll_sideloading_technique
Process_injection_technique

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 10
Registry: 1
Path: 5
Email: 1
Coin: 1
Hash: 3

Softs:
windows registry

Algorithms:
hc-128, xor

Functions:
RegCreateKeyTransacted, RegOpenKeyTransacted, RegDeleteKeyTransacted, main, CoCreateGUID, ReadLogFile, ReadNextLogFile, NtCreateSection

Win API:
CreateLogFile, CloseAndResetLogFile, GetVolumeNameForVolumeMountPointW, ReserveAndAppendLog, CreateLogMarshallingArea, CreateFileTransactedA, VirtualProtect, CreateTransaction, PTOpenProviderEx, LoadLibrary, have more...

YARA: Found

Links:
https://github.com/forrest-orr/phantom-dll-hollower-poc
https://github.com/microsoft/Detours
https://github.com/libyal/libfsclfs/blob/main/documenation/Common%20Log%20File%20System%20(CLFS).asciidoc

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Mandiant обнаружила два новых семейства вредоносных программ, PRIVATELOG и STASHLOG, которые используют Common Log File System (CLFS) для сокрытия данных, и создала правила YARA для их поиска. Эти семейства вредоносных программ еще не были замечены в средах клиентов, поэтому важно сохранять бдительность и использовать инструменты, предоставленные компанией Mandiant, для их обнаружения.
-----

Команда Mandiant Advanced Practices недавно обнаружила два новых семейства вредоносных программ - PRIVATELOG и STASHLOG. Эти образцы используют новую технику сокрытия данных, используя Common Log File System (CLFS). Это дает злоумышленникам возможность скрыть свои данные в виде записей журнала удобным способом, поскольку они доступны через API-функции, схожие по своей природе с вредоносным ПО, которое может полагаться на реестр Windows или расширенные атрибуты NTFS для сокрытия своих данных.

PRIVATELOG - это необфусцированная 64-битная DLL с именем prntvpt.dll, а STASHLOG имеет два различных режима работы. Строки, используемые обоими примерами, обфусцированы, каждая из них зашифрована уникальным потоком байтов. Используемый алгоритм шифрования - HC-128, который редко встречается во вредоносных программах.

Mandiant создал правила YARA для поиска PRIVATELOG и STASHLOG, а также возможных вариантов, основанных на различных методологиях и уникальных строках, которые они используют. Эти правила следует тщательно протестировать, прежде чем запускать их в производственной среде. В дополнение к статическому поиску с помощью Yara, Mandiant также рекомендует искать подобные индикаторы компрометации в событиях процесса, загрузки изображений или записи файлов в типичных журналах EDR.

Компания Mandiant пока не обнаружила PRIVATELOG или STASHLOG в средах клиентов или не восстановила полезную нагрузку второго этапа, запущенную PRIVATELOG. Это указывает на то, что вредоносная программа может находиться в стадии разработки, быть работой исследователя или целенаправленной деятельностью. Поэтому важно сохранять бдительность и использовать инструменты, предоставленные компанией Mandiant, для обнаружения этой новой угрозы.

#ParsedReport
03-04-2023

UNC1151 Assessed with High Confidence to have Links to Belarus, Ghostwriter Campaign Aligned with Belarusian Government Interests

https://www.mandiant.com/resources/blog/unc1151-linked-to-belarus-government

Actors/Campaigns:
Ghostwriter (motivation: cyber_espionage)
Fancy_bear
Duke
Turla
Sandworm

Threats:
Gophish_tool
Credential_harvesting_technique

Industry:
Government, Media

Geo:
Ukrainian, Irish, Lithuania, Poland, Russian, Russia, German, Minsk, Latvian, France, Belarusian, Ukraine, Estonia, Germany, Latvia, American, Colombian, Polish, Belarus, Malta

IOCs:
File: 1

Softs:
telegram, outlook

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: UNC1151 связана с белорусским правительством и провела множество вторжений в украинские государственные структуры с целью получения конфиденциальной информации. Данные свидетельствуют о том, что операторы, стоящие за UNC1151, находятся в Минске, Беларусь, и группа участвовала в информационных операциях в поддержку интересов Минска после спорных выборов в Беларуси в августе 2020 года.
-----

Компания Mandiant Threat Intelligence с высокой степенью достоверности установила, что UNC1151 связан с белорусским правительством. Эта оценка основана на технических и геополитических показателях. UNC1151 действует с 2017 года, атакуя ряд правительственных организаций и организаций частного сектора, в основном в Украине, Литве, Латвии, Польше и Германии. Он зарегистрировал домены для кражи учетных данных, отправлял фишинговые электронные письма правительствам Колумбии, Ирландии и Швейцарии и провел несколько значительных вторжений в украинские государственные структуры. Источники письменного контента для операций Ghostwriter и вредоносного ПО, используемого UNC1151, остаются неопределенными.

Чувствительные технические данные указывают на то, что операторы, стоящие за UNC1151, скорее всего, находятся в Минске, Беларусь. Эта оценка основана на многочисленных источниках, которые связывают эту деятельность с лицами, находящимися в Беларуси. Кроме того, отдельные технические доказательства подтверждают связь между операторами, стоящими за UNC1151, и белорусскими военными. Доказательства местонахождения в Беларуси и связи с белорусскими военными были непосредственно замечены компанией Mandiant. Эти связи были подтверждены отдельными источниками.

Операции UNC1151 были сосредоточены на получении конфиденциальной информации, и никаких попыток монетизации обнаружено не было. До 2020 года информационные операции Ghostwriter были в основном антинатовскими, но с середины 2020 года они сосредоточились на соседях Беларуси, распространяя дезинформацию, представляя присутствие иностранных войск в регионе как угрозу для жителей и утверждая, что затраты на членство в НАТО наносят ущерб местному населению. После спорных выборов в Беларуси в августе 2020 года операции "Автора призраков" стали более четко соответствовать интересам Минска. Продвигаемые нарративы были сосредоточены на обвинениях в коррупции или скандалах в правящих партиях Литвы и Польши, попытках создать напряженность в польско-литовских отношениях и дискредитации белорусской оппозиции. Операции писателей-призраков также были представлены на белорусском государственном телевидении как факт.

UNC1151 не нацеливалась на российские или белорусские государственные структуры, и не было никаких пересечений с другими отслеживаемыми российскими группами, включая APT28, APT29, Turla, Sandworm и TEMP.Armageddon. Хотя мы не можем исключить поддержку или участие России в операциях UNC1151 или Ghostwriter, ТТП, используемые UNC1151, уникальны для этой группы. Высокоуровневые ТТП пересекаются с российскими операциями, и большая часть целевых и информационных операций соответствует российским целям.

Белорусское спонсорство UNC1151 и связи с операциями "Ghostwriter" демонстрируют доступность и скрытность провокационных информационных операций. Хотя операция кибершпионажа была регионально ориентированной и в основном использовала платформу с открытым исходным кодом для кражи учетных данных, она была способна поддерживать эффективные информационные операции. Подобные кибер-операции являются одним из многих инструментов, используемых правительствами для достижения своих целей, и существуют не в вакууме, а используются наряду с другими видами операций.

#ParsedReport
02-04-2023

Moey! Phishkit: Here we go. GOTCHA!

https://seguranca-informatica.pt/campanha-maliciosa-personificando-a-moey-em-curso

Industry:
Financial

Geo:
Morocco, Portugal, Brazil

IOCs:
File: 1
IP: 1
Url: 1

Softs:
google chrome

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют все более изощренные тактики для нападения на жертв, и люди должны быть бдительными, нажимая на подозрительные ссылки или электронные письма, чтобы защититься от фишинговых атак.
-----

Эта новая фишинговая кампания является примером все более изощренных методов, которые киберпреступники используют для нападения на жертв. Злоумышленники пытались придать кампании законный вид, создавая впечатление, что она исходит от надежного источника, используя географически привязанные IP-адреса и даже создавая "медовые" учетные записи. Анализ кампании показал, что она ведется из Марокко и содержит ошибки, возникшие в результате автоматического перевода. Кроме того, URL, закодированный в теле письма, направляет жертву на очевидно надежный домен, а сервер, на котором он расположен, уже использовался в контексте киберпреступлений.

#ParsedReport
03-04-2023

Moqhao masters new tricks

https://www.telekom.com/en/blog/group/article/moqhao-masters-new-tricks-1031484

Actors/Campaigns:
Roaming_mantis
Yanbian_gang

Threats:
Moqhao
Formbook
Mantis_botnet
Dns_hijacking_technique
Havoc

Industry:
Financial, Telco

Geo:
Chinese, Germany, Russian, China, Korea, Asia, German, Deutsche

IOCs:
File: 2
Url: 2
Hash: 6

Softs:
android, chrome

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Yanbian Gang - это китайская группировка, действующая с 2013 года. Она выпустила обновленную версию вредоносной программы Roaming Mantis для Android, способную обходить текстовые CAPTCHA, что позволяет ей взламывать беспроводные маршрутизаторы путем перебора их веб-интерфейсов и перехвата DNS.
-----

Банда Yanbian - это китайская организация, действующая с 2013 года, которая расширила свою деятельность и стала атаковать страны по всему миру с помощью своей коллекции вредоносных программ для Android, известных как Roaming Mantis. Это вредоносное ПО способно похищать конфиденциальную информацию, устанавливать дополнительные приложения и рассылать поддельные SMS-сообщения (Smishing) с целью заражения новых жертв. В июле 2022 года была выпущена обновленная версия Moqhao, основного компонента Roaming Mantis, с геозондированием и проверкой ОС. Эта последняя версия Moqhao способна обходить текстовые CAPTCHA, что позволяет ей взламывать беспроводные маршрутизаторы путем перебора их веб-интерфейсов и осуществлять перехват DNS.

Беспроводные маршрутизаторы критически важны для перехвата DNS, поскольку они содержат всю информацию, необходимую для выполнения процесса разрешения. Если маршрутизатор заражен, он может быть использован субъектами угроз для перехвата или манипулирования сетевым трафиком. Поэтому защита маршрутизаторов должна быть приоритетной задачей при обеспечении безопасности домашней сети. Для предотвращения PWNtcha-атак на маршрутизаторы Moqhao рекомендуется использовать надежные пароли, поддерживать маршрутизаторы в актуальном состоянии, отключить удаленный доступ и настроить маршрутизатор так, чтобы он принимал соединения только от доверенных устройств. Кроме того, пользователям следует с осторожностью относиться к любым подозрительным SMS-сообщениям, поскольку они могут быть использованы для загрузки вредоносной программы Moqhao на устройство. Наконец, важно следить за появлением новых инфекций Moqhao и принимать меры по защите от них.

#ParsedReport
02-04-2023

SpiderLabs Blog. Trustwave Action Response: Supply Chain Attack Using 3CX PBAX Software

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/trustwave-action-response-supply-chain-attack-using-3cx-pbax-software

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique

Geo:
Dprk, Korea, Korean

IOCs:
File: 7
Domain: 21
Url: 21
Hash: 14

Softs:
chrome, 3cxdesktopapp, macos

Algorithms:
rc4, base64

#ParsedReport
03-04-2023

Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack

https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Gopuram
Applejeus
Dll_hijacking_technique
Timestomp_technique
Netspi

Geo:
France, Brazil, Italy, Asia, Asian, Germany

IOCs:
File: 8
Path: 4
Hash: 5
Domain: 2

Softs:
3cxdesktopapp, macos

Algorithms:
ror13

Win API:
CryptUnprotectData, DllGetClassObject

YARA: Found

Links:
https://github.com/hfiref0x/KDU

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Crowdstrike опубликовал отчет об атаке на цепочку поставок, проведенной через 3CXDesktopApp и направленной на криптовалютные компании. Атака была приписана Lazarus, а Gopuram, как полагают, был основным имплантатом и конечной полезной нагрузкой в цепочке атаки.
-----

29 марта компания Crowdstrike опубликовала отчет об атаке на цепочку поставок, проведенной через 3CXDesktopApp, популярную программу VoIP. Были обнаружены вредоносные установочные пакеты, содержащие зараженную библиотеку dll, которая расшифровывает шеллкод из оверлея библиотеки d3dcompiler_47.dll и выполняет его. Эта полезная нагрузка извлекает URL-адреса C2-серверов из иконок, хранящихся в репозитории GitHub, который с тех пор был удален. Полезная нагрузка подключается к одному из C2-серверов и загружает программу infostealer, которую затем запускает. Дальнейшее расследование выявило DLL с именем guard64.dll, которая была загружена в зараженный процесс 3CXDesktopApp.exe. Было обнаружено, что угрожающий агент специально нацелился на криптовалютные компании, распространяя несколько модулей. Атрибуция была основана на следующих фактах: при попытке найти дополнительные имплантаты, использующие тот же шеллкод загрузчика, был обнаружен образец на мультисканере, загружающий полезную нагрузку с помощью C2-сервера wirexpro.com. Этот же сервер был указан Malwarebytes в качестве IoC для кампании AppleJeus. Кроме того, в службу мультисканера был загружен вредоносный MSI-файл, содержащий два события и доменное имя oilycargo.com, которое ранее приписывалось Lazarus многими исследователями. Установки зараженного программного обеспечения 3CX были расположены по всему миру, причем самые высокие показатели заражения наблюдались в Бразилии, Германии, Италии и Франции. Считается, что Gopuram является основным имплантатом и конечной полезной нагрузкой в цепочке атак. Дополнительные индикаторы компрометации и правила YARA для обнаружения компонентов Gopuram доступны для подписчиков TIP.

#ParsedReport
03-04-2023

BumbleBee notes

https://blog.krakz.fr/articles/bumblebee

Actors/Campaigns:
Exotic_lily

Threats:
Bumblebee
Cobalt_strike
Icedid
Emotet
Hook
Trickbot

IOCs:
File: 3
Hash: 2

Algorithms:
base64, rc4, zip

Platforms:
x86

Links:
https://github.com/LordNoteworthy/al-khaser

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BumbleBee - это вредоносная программа Loader, используемая брокерами первоначального доступа для получения доступа к целевым компаниям, которая похожа на другие вредоносные программы, такие как IcedID, Emotet и Trickbot. Она имеет собственный механизм распаковки, использует Al-Khaser, взаимодействует с командованием и управлением по HTTP и доставляется по веб-ссылке к защищенному ZIP-архиву. Его конфигурация зашифрована с помощью алгоритма RC4 и имеет длину 4105 байт.
-----

BumbleBee - это вредоносная программа Loader, используемая брокерами первоначального доступа для получения доступа к целевым компаниям. Она способна передавать различные полезные нагрузки, такие как Cobalt Strike, ransomware и другие. Он хорошо документирован и имеет множество отчетов на Malpedia. Он также известен как EXOTIC LILY в отчете, опубликованном в марте 2022 года. Он похож на другие загрузчики, такие как IcedID и Emotet, а также Trickbot, с точки зрения схожести кода и установки крючков.

Вредоносная программа имеет собственный механизм распаковки и использует множество методов обнаружения окружения, например, Al-Khaser - вредоносное приложение PoC с благими намерениями. Она обменивается данными со своей командой и управлением через HTTP. С августа 2022 года вредоносная программа встраивает в свою конфигурацию список IP-адресов, некоторые из которых являются легитимными IP-адресами. Эта техника также используется другими вредоносными программами, такими как Emotet и Trickbot.

Первая вредоносная спам-кампания по доставке BumbleBee содержала веб-ссылку на защищенный ZIP-архив. Летом 2022 года формат образа диска был изменен с ISO на VHD, и DLL больше не хранится в виде файла, а обфусцирована и встроена в сценарий PowerShell. Сценарий выполняется с политикой выполнения, установленной на обход. DLL BumbleBee хранится в сценарии PowerShell в обфусцированных строках, которые заменяются и декодируются перед вызовом. Служба обмена файлами, используемая для доставки BumbleBee, регулярно меняется, например, WeTransfer, Onedrive, Smash и т.д.

Конфигурация шифруется с помощью алгоритма RC4, причем ключ хранится в конце блока данных, содержащего зашифрованный список IP-адресов. После анализа нескольких образцов BumbleBee выяснилось, что блоб данных, содержащий IP-адреса, всегда имеет длину 4105 байт (плюс один нулевой байт), что является шаблоном, который следует искать в DLL для C2-экстрактора.

#ParsedReport
03-04-2023

3CX DesktopApp (CVE-2023-29059)

https://asec.ahnlab.com/ko/50797

Threats:
Supply_chain_technique
Trojan/win.loader.c5403102
Trojan/win.agent.c5403110
Trojan/win.loader.c5403103
Infostealer/win.agent.c5403954

CVEs:
CVE-2023-29059 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix


IOCs:
File: 2
Hash: 31
Domain: 21
Url: 1

Softs:
3cx desktopapp, 3cxdesktopapp, macos, 3cx desktop app