#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Crowdstrike опубликовал отчет об атаке на цепочку поставок, проведенной через 3CXDesktopApp и направленной на криптовалютные компании. Атака была приписана Lazarus, а Gopuram, как полагают, был основным имплантатом и конечной полезной нагрузкой в цепочке атаки.
-----

29 марта компания Crowdstrike опубликовала отчет об атаке на цепочку поставок, проведенной через 3CXDesktopApp, популярную программу VoIP. Были обнаружены вредоносные установочные пакеты, содержащие зараженную библиотеку dll, которая расшифровывает шеллкод из оверлея библиотеки d3dcompiler_47.dll и выполняет его. Эта полезная нагрузка извлекает URL-адреса C2-серверов из иконок, хранящихся в репозитории GitHub, который с тех пор был удален. Полезная нагрузка подключается к одному из C2-серверов и загружает программу infostealer, которую затем запускает. Дальнейшее расследование выявило DLL с именем guard64.dll, которая была загружена в зараженный процесс 3CXDesktopApp.exe. Было обнаружено, что угрожающий агент специально нацелился на криптовалютные компании, распространяя несколько модулей. Атрибуция была основана на следующих фактах: при попытке найти дополнительные имплантаты, использующие тот же шеллкод загрузчика, был обнаружен образец на мультисканере, загружающий полезную нагрузку с помощью C2-сервера wirexpro.com. Этот же сервер был указан Malwarebytes в качестве IoC для кампании AppleJeus. Кроме того, в службу мультисканера был загружен вредоносный MSI-файл, содержащий два события и доменное имя oilycargo.com, которое ранее приписывалось Lazarus многими исследователями. Установки зараженного программного обеспечения 3CX были расположены по всему миру, причем самые высокие показатели заражения наблюдались в Бразилии, Германии, Италии и Франции. Считается, что Gopuram является основным имплантатом и конечной полезной нагрузкой в цепочке атак. Дополнительные индикаторы компрометации и правила YARA для обнаружения компонентов Gopuram доступны для подписчиков TIP.

#ParsedReport
03-04-2023

BumbleBee notes

https://blog.krakz.fr/articles/bumblebee

Actors/Campaigns:
Exotic_lily

Threats:
Bumblebee
Cobalt_strike
Icedid
Emotet
Hook
Trickbot

IOCs:
File: 3
Hash: 2

Algorithms:
base64, rc4, zip

Platforms:
x86

Links:
https://github.com/LordNoteworthy/al-khaser

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BumbleBee - это вредоносная программа Loader, используемая брокерами первоначального доступа для получения доступа к целевым компаниям, которая похожа на другие вредоносные программы, такие как IcedID, Emotet и Trickbot. Она имеет собственный механизм распаковки, использует Al-Khaser, взаимодействует с командованием и управлением по HTTP и доставляется по веб-ссылке к защищенному ZIP-архиву. Его конфигурация зашифрована с помощью алгоритма RC4 и имеет длину 4105 байт.
-----

BumbleBee - это вредоносная программа Loader, используемая брокерами первоначального доступа для получения доступа к целевым компаниям. Она способна передавать различные полезные нагрузки, такие как Cobalt Strike, ransomware и другие. Он хорошо документирован и имеет множество отчетов на Malpedia. Он также известен как EXOTIC LILY в отчете, опубликованном в марте 2022 года. Он похож на другие загрузчики, такие как IcedID и Emotet, а также Trickbot, с точки зрения схожести кода и установки крючков.

Вредоносная программа имеет собственный механизм распаковки и использует множество методов обнаружения окружения, например, Al-Khaser - вредоносное приложение PoC с благими намерениями. Она обменивается данными со своей командой и управлением через HTTP. С августа 2022 года вредоносная программа встраивает в свою конфигурацию список IP-адресов, некоторые из которых являются легитимными IP-адресами. Эта техника также используется другими вредоносными программами, такими как Emotet и Trickbot.

Первая вредоносная спам-кампания по доставке BumbleBee содержала веб-ссылку на защищенный ZIP-архив. Летом 2022 года формат образа диска был изменен с ISO на VHD, и DLL больше не хранится в виде файла, а обфусцирована и встроена в сценарий PowerShell. Сценарий выполняется с политикой выполнения, установленной на обход. DLL BumbleBee хранится в сценарии PowerShell в обфусцированных строках, которые заменяются и декодируются перед вызовом. Служба обмена файлами, используемая для доставки BumbleBee, регулярно меняется, например, WeTransfer, Onedrive, Smash и т.д.

Конфигурация шифруется с помощью алгоритма RC4, причем ключ хранится в конце блока данных, содержащего зашифрованный список IP-адресов. После анализа нескольких образцов BumbleBee выяснилось, что блоб данных, содержащий IP-адреса, всегда имеет длину 4105 байт (плюс один нулевой байт), что является шаблоном, который следует искать в DLL для C2-экстрактора.

#ParsedReport
03-04-2023

3CX DesktopApp (CVE-2023-29059)

https://asec.ahnlab.com/ko/50797

Threats:
Supply_chain_technique
Trojan/win.loader.c5403102
Trojan/win.agent.c5403110
Trojan/win.loader.c5403103
Infostealer/win.agent.c5403954

CVEs:
CVE-2023-29059 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix


IOCs:
File: 2
Hash: 31
Domain: 21
Url: 1

Softs:
3cx desktopapp, 3cxdesktopapp, macos, 3cx desktop app

#ParsedReport
03-04-2023

Cl0p Ransomware: Active Threat Plaguing Businesses Worldwide

https://blog.cyble.com/2023/04/03/cl0p-ransomware-active-threat-plaguing-businesses-worldwide

Actors/Campaigns:
Fin11

Threats:
Clop
Cryptomix

Industry:
Government, Financial, Education, Healthcare

Geo:
Russia, Russian

TTPs:
Tactics: 4
Technics: 8

IOCs:
File: 3
Hash: 5

Softs:
outlook

Algorithms:
rc4, prng, xor

Functions:
SHGetSpecialFolderPathW, GetDrive

Win API:
WNetOpenEnumW, WNetEnumResourceW, WNetCloseEnum, OpenProcess, GetDriveTypeW, CreateThread, ReadFile, WriteFile, CreateFileMappingW, MapViewOfFile, have more...

Links:
https://gist.github.com/Tera0017S1/c62a928a911442e1509d127fdcd93b71

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Cl0p Ransomware - это высокоэффективная и продвинутая программа-вымогатель, которая в основном используется для атак на крупные организации и получения финансовой прибыли. Пользователи должны принимать меры предосторожности, чтобы защитить себя от этого типа атак, например, использовать надежные пароли и решения для защиты от вредоносных программ.
-----

Cl0p Ransomware - это высокоэффективное и продвинутое ransomware-as-a-service (RaaS), которое активно с 2019 года. В основном оно нацелено на крупные организации с годовым доходом от $5 млн и выше, а также на университеты, правительственные учреждения и частные компании. ТА, стоящие за вредоносным ПО, в первую очередь нацелены на получение финансовой прибыли благодаря стратегии двойного вымогательства. Cl0p Ransomware распространяется через фишинговые письма, незащищенные RDP-соединения и наборы эксплойтов. Проникнув в систему, оно начинает шифровать файлы и требует выкуп в обмен на ключ дешифрования.

Было замечено, что эта программа-вымогатель создает два потока при запуске с параметром runrun. Она проверяет наличие общих сетевых ресурсов, папок Outlook, Word или Office и шифрует содержимое этих папок. Он также проверяет, может ли он быть установлен как служба, и генерирует мьютекс. Кроме того, теперь он нацелен на системы Linux с несовершенным алгоритмом шифрования.

Учитывая растущую распространенность Cl0p Ransomware, пользователям следует принять определенные меры предосторожности, чтобы защитить себя от этого типа атак. Такие меры включают использование надежных паролей, обновление всего программного обеспечения, использование антивирусных программ и регулярное резервное копирование данных. Кроме того, пользователи должны остерегаться подозрительных электронных писем и ссылок и не переходить по незнакомым вложениям. Наконец, они должны обеспечить безопасность своих систем, используя такие меры аутентификации, как двухфакторная аутентификация.

#ParsedReport
03-04-2023

Analysis of the latest sample of "Valley Fall Bandit"

https://mp.weixin.qq.com/s/sFKNKZy9HoArZLAuSNBIIQ

Actors/Campaigns:
Valley_robber

Industry:
Financial

IOCs:
Path: 1
File: 1
IP: 1

Win API:
InternetOpenW, WinHttpOpen

Languages:
postscript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на вирусы Ци Аньсинь недавно раскрыл банду, нацеленную на финансовую и производственную отрасли, известную как "Valley Robber", и использовал возможности анализа больших данных для обнаружения и устранения троянских программ.
-----

Центр по борьбе с вирусами Ци Аньсинь недавно обнаружил банду, нацеленную на финансовую и производственную отрасли, известную как "Valley Robber". Эта банда распространяет бэкдор-программы через рекламные площадки известных поисковых систем, аналогично инциденту с утечкой данных на 4 миллиарда. В процессе поиска образца команда обнаружила, что эта банда обновила свой модуль троянского коня, что затрудняет его обнаружение и остановку. Основной процесс выборки похож на процесс выборки в предыдущих действиях, с изображением логотипа Baidu, содержащим бэкдор, скрытый в общедоступном посте изображения. Анализ образца показывает, что один и тот же IP-адрес использовался дважды, что подтверждает, что за бэкдором стоит один и тот же человек.

#ParsedReport
03-04-2023

A Royal Analysis of Royal Ransom

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/a-royal-analysis-of-royal-ransom.html

Threats:
Royal_ransomware
Conti
Vssadmin_tool
Html_smuggling_technique
Qakbot
Cobalt_strike
Passthehash_technique
Adfind_tool
Uac_bypass_technique
Powersploit
Powerview
Megasync_tool

Industry:
Foodtech, Financial, Government, Entertainment

Geo:
Chinese

TTPs:
Tactics: 3
Technics: 16

IOCs:
Hash: 6
Coin: 1
Url: 1
File: 7
Command: 2
Path: 3
Registry: 1

Softs:
esxi, visual studio, openssl, active directory, windows service

Algorithms:
aes

Win API:
GetNativeSystemInfo, RmStartSession, RmRegisterResources, RmGetList, RmShutdown, FlushFileBuffers, MoveFileExW, WSASocketW, CreateIoCompletionPort, WSAIoctl, have more...

YARA: Found

Links:
https://github.com/meganz/MEGAsync
https://github.com/PowerShellMafia/PowerSploit
https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Royal Ransom - это группа операторов ransomware, действующая с начала 2022 года, и в этом блоге обсуждаются технические детали их исполняемых файлов для Windows и Linux, а также случай реагирования на инцидент с участием ransomware.
-----

Royal Ransom - это группа операторов программ-вымогателей, действующая с начала 2022 года. У них есть свой штамм ransomware, который был выпущен в сентябре 2022 года и стал предметом совместного совета, выпущенного ФБР и CISA. В этом блоге мы рассмотрим технические подробности исполняемых файлов Royal Ransom для Windows и Linux, а также обсудим анонимный случай реагирования на инцидент, связанный с этой программой.

Версия программы для Windows имеет модуль сетевого сканера, а версия для Linux может отключать виртуальные машины ESXi. Возможно, что лица, занимавшиеся программой Conti ransomware, сейчас вовлечены в работу Royal Ransom или поделились с ними деталями. Вредоносная программа имеет глобальный охват: в блоге приводятся данные о ее обнаружении за последние два месяца.

Программа-вымогатель принимает аргументы командной строки с тремя флагами. Она удаляет все теневые копии, проверяет наличие требуемого 32-символьного идентификатора жертвы и избегает определенных расширений файлов и папок. Схема шифрования основана на чанках, подобно Conti, и программа пытается зашифровать любой файл, заблокированный процессом, отличным от explorer.exe и ее самой. Библиотека OpenSSL статически связана с вредоносной программой, а для генерации случайных значений считывается 2048 байт из /dev/random, если этого оказывается недостаточно.

В случае реагирования на инцидент первоначальный доступ был получен через вредоносное вложение HTML-файла в фишинговом электронном письме. Qbot использовался для персистенции на машине, Cobalt Strike был установлен как служба на контроллере домена, а PowerSploit использовался для повышения привилегий. После утечки данных был развернут Royal Ransom.

#ParsedReport
03-04-2023

Malicious ISO File Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/04/03/malicious-iso-file-leads-to-domain-wide-ransomware

Threats:
Icedid
Adfind_tool
Cobalt_strike
Quantum_locker
Motw_bypass_technique
Nltest_tool
Beacon
Atera_tool
Splashtop_tool
Zerologon_vuln
Dumplsass_tool
Procdump_tool
Mimikatz_tool
Dcsync_technique
Anydesk_tool
Process_injection_technique
Lolbas_technique
Netstat_tool
Meterpreter_tool

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...

TTPs:
Tactics: 12
Technics: 32

IOCs:
File: 45
Domain: 13
Command: 21
Path: 41
IP: 14
Hash: 24
Coin: 1
Email: 2

Softs:
windows defender, psexec, windows error reporting, microsoft defender, internet explorer, winlogon, windows security, sysinternals, active directory

Algorithms:
zip, base64

Functions:
GetSystem, GetSystemCobalt

Win API:
ImpersonateLoggedOnUser, CreateRemoteThread, WmiPrvSe, VirtualAllocEx, CreateThread, RtlCreateUserThread, SetThreadContext

Languages:
php

YARA: Found
SIGMA: Found

Links:
https://github.com/nsacyber/Event-Forwarding-Guidance/blob/master/Events/README.md
https://github.com/logpresso/community/blob/main/contents/006\_How\_to\_analyze\_Internet\_Explorer\_Logs.md
https://gist.github.com/Neo23x0/6af876ee72b51676c82a2db8d2cd3639
https://github.com/Und3rf10w/Aggressor-scripts/blob/master/kits/AnnoyKit/scripts/Open-HiddenInternetExplorer.ps1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа IcedID была использована вредоносной спам-кампанией для облегчения компрометации среды объекта, что привело к развертыванию маячков Cobalt Strike, эксплуатации CVE-2020-1472, сбору учетных данных и развертыванию программы Quantum ransomware.
-----

Вредоносная программа IcedID была использована вредоносной спам-кампанией в конце сентября 2022 года для облегчения компрометации среды объекта. ISO-образ содержал LNK с именем документов и скрытый каталог, содержащий DLL-маяк Cobalt Strike и пакетный файл.

Затем злоумышленники использовали вредоносную программу IcedID для сброса маяка Cobalt Strike и его выполнения с помощью файла regsvr32.exe. Были замечены многочисленные подозрительные вызовы функции CreateRemoteThread, что является известным поведением Cobalt Strike. Затем угрожающие лица использовали CVE-2020-1472 (ZeroLogon) и наблюдали всплеск трафика NetLogon. Это привело к развертыванию различных маячков по всей сети с использованием узнаваемых стандартных конфигураций Cobalt Strike.

Маячки маскировались под легитимные исполняемые файлы Microsoft Windows и создавали более 70 каналов. Затем угрожающие лица использовали WmiPrvSe.exe (WMI Provider Host) для выполнения маячков PowerShell Cobalt Strike на нескольких рабочих станциях и серверах с сайта textbin . net. Затем они проксировали RDP-соединения через маячок Cobalt Strike, чтобы снизить уязвимость собственной инфраструктуры и слиться с внутренними узлами сети.

Для доступа и сбора учетных данных со взломанных узлов использовались различные инструменты и скрипты, включая варианты Mimikatz. В 12 случаях также использовался DCSync. Были созданы удаленные службы для распространения в сети маячков Cobalt Strike, AnyDesk был установлен на нескольких серверах, а Rclone использовался для утечки копий резервных файлов. Наконец, программа Quantum ransomware использовалась для шифрования всех систем, подключенных к домену.

#ParsedReport
04-04-2023

ASEC weekly malware statistics (20230327 \~ 20230402)

https://asec.ahnlab.com/ko/50829

Actors/Campaigns:
Ta505

Threats:
Redline_stealer
Beamwinhttp_loader
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Cloudeye
Formbook
Remcos_rat
Nanocore_rat
Clipboard_grabbing_technique

Industry:
Transport

Geo:
Korea

IOCs:
IP: 4
Domain: 1
Url: 16
Email: 6
File: 19

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport
04-04-2023

SpiderLabs Blog. Deobfuscating the Recent Emotet Epoch 4 Macro

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/deobfuscating-the-recent-emotet-epoch-4-macro

Threats:
Emotet

Industry:
Financial

IOCs:
File: 1
Url: 7
Hash: 4

Softs:
onenote

Algorithms:
zip

Languages:
python

Links:
https://gist.github.com/drole/eb3ace27c10deee68b05928b3f3dee5c

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Emotet - это печально известный ботнет, который недавно возобновил рассылку спама, используя вложения OneNote и обфускацию кода для обхода сканеров безопасности и выполнения вредоносных макросов.
-----

Emotet - один из самых печально известных ботнетов, который недавно, в марте, возобновил рассылку спама после трехмесячного перерыва. Специалисты Trustwave SpiderLabs отметили, что группа вредоносных программ переключилась на использование вложений в OneNote - тактика, которую в последние месяцы переняли и другие группы вредоносных программ. Спам-кампания проходит по типичному сценарию: файл документа, содержащий вредоносный макрос, прикрепляется к убедительному письму с ответной цепочкой. Чтобы обойти сканеры безопасности, Emotet сжимает раздутый файл документа в ZIP-файл. После успешной загрузки вредоносная программа распаковывает двоичный файл и приступает к его выполнению через regsvr32.exe.

Для выполнения вредоносного макроса использовалась сложная и трудночитаемая обфускация кода. Он объявлял переменные и присваивал значения URL-адресам и расширениям файлов. Затем создавался путь к файлу с текущим временем и к нему добавлялось расширение файла .tmp. Наконец, он пытался загрузить файл с первого URL, а если это не удавалось, то пытался загрузить с остальных URL, пока загрузка не была успешной.

#ParsedReport
04-04-2023

Mantis: New Tooling Used in Attacks Against Palestinian Targets

https://symantec-enterprise-blogs.security.com/threat-intelligence/mantis-palestinian-attacks

Actors/Campaigns:
Aridviper (motivation: cyber_espionage)

Threats:
Mantis_botnet
Viper_tool
Aridgopher
Micropsia
Putty_tool
Bitsadmin
Revsocks
Pyarmor_tool
Meterpreter_tool

Industry:
Education, Government, Energy, Financial

Geo:
Israel, Palestinian

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 4
Coin: 1
File: 20
Url: 5
Registry: 1
Hash: 32
Domain: 9

Softs:
pyinstaller

Algorithms:
base64

Functions:
SetRegRunKey

Languages:
delphi

Links:
https://github.com/kost/revsocks

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mantis - это группа кибершпионажа, которая действует с 2014 года и известна тем, что нападает на организации на Ближнем Востоке. Недавно было установлено, что она использует обновленные версии пользовательских вредоносных программ для компрометации целей, кражи учетных данных и утечки информации. Это решительный субъект угрозы, который разделяет свои атаки, чтобы снизить вероятность обнаружения.
-----

Mantis - это группа кибершпионажа, действующая, предположительно, с палестинских территорий и активная, по крайней мере, с 2014 года. Она известна тем, что нападает на организации в Израиле и других странах Ближнего Востока, включая правительственные, военные, финансовые, медийные, образовательные, энергетические и аналитические центры. Группа использует фишинговые электронные письма и поддельные профили в социальных сетях, чтобы заманить жертв и заставить их установить вредоносное ПО на свои устройства.

Недавно компания Symantec обнаружила кампанию Mantis, которая началась в сентябре 2022 года и продолжалась как минимум до февраля 2023 года. Основными целями были организации на палестинских территориях, что не является беспрецедентным для Mantis. В ходе последних атак группа использовала обновленные версии своих бэкдоров Micropsia и Arid Gopher для компрометации целей, а затем приступила к масштабной краже учетных данных и утечке похищенных данных.

Злоумышленники использовали обфусцированные команды PowerShell для загрузки Base64-кодированной строки, которая запускала встроенный шеллкод. Этот шеллкод загружал другой этап с командно-контрольного (C&C) сервера. Micropsia развертывалась с использованием нескольких имен файлов и путей к ним и использовалась для запуска вторичной полезной нагрузки злоумышленников. Arid Gopher использовался для настройки персистентности, выполнения неизвестных файлов и извлечения конфигурационных данных. Он также был настроен на запуск при перезагрузке. Вредоносная программа может записывать некоторые свои действия в определенные файлы и отправлять HTTP POST-запрос на C&C-сервер при загрузке каждого файла.

Mantis, похоже, является решительным субъектом угрозы, готовым вкладывать средства в максимизацию своих шансов на успех. Он разделяет атаки на отдельные организации на несколько направлений, чтобы снизить вероятность обнаружения всей операции.

#ParsedReport
04-04-2023

3CXDesktopApp Backdoored in a Suspected Lazarus Campaign

https://blog.qualys.com/vulnerabilities-threat-research/2023/04/03/3cxdesktopapp-backdoored-in-a-suspected-lazarus-campaign

Actors/Campaigns:
Lazarus

Threats:
Supply_chain_technique
Dll_sideloading_technique
Dead_drop_technique

Industry:
Financial

Geo:
Korean

CVEs:
CVE-2023-29059 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.4
X-Force: Patch: Official fix


TTPs:
Tactics: 7
Technics: 16

IOCs:
Url: 1
Hash: 7

Softs:
3cxdesktopapp, macos, android, chrome, google chrome, microsoft edge, mozilla firefox

Algorithms:
aes, rc4, base64

Win API:
VirtualProtect, NetWkstaGetInfo

#ParsedReport
04-04-2023

Cisco Talos Intelligence Blog. Typhon Reborn V2: Updated stealer features enhanced anti-analysis and evasion capabilities

https://blog.talosintelligence.com/typhon-reborn-v2-features-enhanced-anti-analysis

Threats:
Typhon_reborn
Process_hacker_tool
Sandbox_evasion_technique
Procmon_tool
Scylla
De4dot_tool

Industry:
Financial, Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 1
File: 39
Command: 5
Url: 1
Hash: 12

Softs:
telegram, virtualbox, windows registry

Algorithms:
base64, xor

Functions:
DecryptString, main, SelfRemove, RunAntiCIS, FileGrabber

Win API:
CheckRemoteDebuggerPresent

Links:
https://github.com/Cisco-Talos/osquery\_queries/blob/master/win\_malware/typonstealer\_file\_staging.yml
https://github.com/Cisco-Talos/IOCs/tree/main/2023/04

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Typhon Reborn V2 - это вредоносная программа, предназначенная для кражи конфиденциальной информации, с функциями анти-анализа и анти-VM для уклонения от обнаружения. Она недорогая и была приобретена многими противниками. Он собирает системную информацию, сохраняет ее в сжатом архиве и отправляет злоумышленнику.
-----

Typhon Reborn - это программа для кражи информации, впервые появившаяся в темной паутине в середине 2022 года. С тех пор вредоносная программа постоянно совершенствовалась, и в январе 2023 года была выпущена версия 2 (V2). V2 содержит значительные обновления кодовой базы, включая дополнительные возможности анти-анализа и анти-виртуальных машин (VM) для уклонения от обнаружения. Он предлагается за 59 долларов США в месяц или пожизненную подписку за 540 долларов США, что делает его недорогим по сравнению с конкурирующими инфопохитителями. Анализ криптовалютного кошелька, с которого злоумышленник собирает платежи, показывает, что доступ к краже уже приобрели несколько противников, что делает вероятным его использование в дальнейших атаках.

V2 усложняет анализ путем обфускации строк, используя кодировку Base64 и применяя функцию XOR к различным строкам. Во время выполнения вредоносная программа декодирует Base64, создавая строку в кодировке UTF-8, которая затем деобфусцируется с помощью ключа XOR, хранящегося в конфигурации вредоносной программы или жестко закодированного в функции DecryptString(). Затем полученная строка снова декодируется из Base64, создавая строку обычного текста для продолжения операции.

Действия вредоносной программы определяются рядом параметров, хранящихся в ее конфигурации, которые диктуют, какая информация должна быть собрана, какие ключи используются для деобфускации строк и в каких геолокациях вредоносная программа не должна выполняться. Если среда жертвы проходит все проверки анти-анализа, Typhon Reborn V2 начинает сбор и эксфильтрацию конфиденциальной информации, такой как информация об исследовании зараженной системы, системные данные, сетевая информация, установленное программное обеспечение, пароли Wi-Fi и снимки экрана. Он собирает разнообразную системную информацию из приложений, поддерживаемых вредоносной программой, и сохраняет ее в сжатом архиве, который затем передается по HTTPS с помощью Telegram API. После успешной передачи данных злоумышленнику архив удаляется из зараженной системы, а вредоносная программа завершает свою работу.

#ParsedReport
03-04-2023

Rorschach A New Sophisticated and Fast Ransomware

https://research.checkpoint.com/2023/rorschach-a-new-sophisticated-and-fast-ransomware

Actors/Campaigns:
Darkside

Threats:
Rorschach
Lockbit
Dll_sideloading_technique
Yanluowang
Vmprotect_tool
Babuk

Geo:
Belarusian, Ukrainian, Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 48
Path: 1
Hash: 3

Softs:
bcdedit, windows powershell, windows firewall, defwatch, internet explorer, mozilla firefox, opera, msexchange, mssql, onenote, have more...

Algorithms:
hc-128, curve25519, exhibit

Win API:
GetSystemDefaultUILanguage, GetUserDefaultUILanguage, CryptGenRandom, NtSetInformationFile, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess, TerminateProcess

Win Services:
SQLPBDMS, SQLPBENGINE, MSSQLFDLauncher, SQLSERVERAGENT, MSSQLServerOLAPService, SSASTELEMETRY, SQLBrowser, MsDtsServer150, SSISTELEMETRY150, SSISScaleOutMaster150, have more...

Platforms:
x86

Links:
https://github.com/vxunderground/MalwareSourceCode/blob/main/Win32/Ransomware/Ransomware.Multi.Babuk.c.rar