#ParsedReport #CompletenessMedium
18-05-2023

Infostealer Being Distributed to Japanese Users

https://asec.ahnlab.com/en/52869

Report completeness: Medium

Threats:
Stellar
Receiverneo
Dll_hijacking_technique
Putty_tool
Trojan/win.generic.c5424217
Trojan/win.infostealer.c5424223
Infostealer/win.agent.c5424884
Infostealer/win.agent.c5424920
Dropper/win.agent.c5424923
Dropper/win.agent.c5424924
Malware/mdp.infostealer.m2499

Geo:
Korea, Japanese

ChatGPT TTPs:
do not use without manual check
T1555, T1497.001, T1112, T1562.002, T1497, T1192, T1564, T1497.002, T1027, T1486, have more...

IOCs:
Path: 7
File: 17
Registry: 1
Hash: 11
Url: 4

Softs:
task scheduler, chrome, winscp, keepass

Crypto:
bitcoin

Functions:
DllMain, off

Win API:
AmsiScanBuffer

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносное ПО распространяется под видом игры для взрослых среди японских пользователей через нелегальные файлообменные сайты или торренты. Угрожающий агент использовал штаммы вредоносного ПО, скомпилированные им самим, а файл дроппера назывался Sound.dll. Пользователям следует проявлять осторожность при загрузке исполняемых файлов с сайтов обмена файлами и убедиться, что у них установлена последняя версия V3 для блокировки заражения вредоносным ПО.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил Infostealers, замаскированную под игру для взрослых, которая распространяется среди японских пользователей. Точный маршрут распространения неизвестен, однако, предположительно, через нелегальные файлообменные сайты или торренты из-за маскировки под игру для взрослых. Этот метод маскировки вредоносного ПО под игру для взрослых также распространен в Корее.

Угрожающий агент решил использовать штаммы вредоносных программ, составленные им самим, и два из них были идентифицированы по информации PDB - Stellar и ReceiverNeo. Эти вредоносные файлы были найдены в различных пакетах игр для взрослых, часто внутри сжатого файла в папке Lib. Файл-дроппер назывался Sound.dll, а оригинальный файл Sound.dll был переименован в SoundDX.dll. Кроме того, вредоносная программа, отвечающая за конфигурацию брандмауэра, называлась Vorbis64.dll.

Вредоносная программа выполнялась методом перехвата DLL. При запуске игровой программы Start.exe вместо легитимного библиотечного файла загружался вредоносный Sound.dll, поскольку он был перезаписан. Вредоносная Sound.dll маскировалась под настоящий файл, даже имея те же функции экспорта. В результате, когда Start.exe пытался загрузить определенную функцию из оригинального Sound.dll, вредоносный файл вместо этого делал так, что соответствующая функция выполнялась из файла SoundDX.dll, который находился в той же папке. Таким образом, пользователь не знал, что рядом с игрой запущена вредоносная программа.

Файл-дроппер, Sound.dll, генерировал два типа вредоносных программ: taskdiskmgr.exe и UpdaChk.exe. Taskdiskmgr.exe представлял собой Infostealer, известный как Stellar, который создавал папку в %TEMP% для сохранения украденных учетных данных. Его целью были файлы с определенными ключевыми словами в именах или папках, а также конфигурационные файлы в папке установки BitCoin. Собранная информация и файлы отправлялись на C&C-сервер методом POST, и Stellar пытался отключить AMSI перед запуском команды PowerShell, чтобы предотвратить его блокировку AMSI продуктов безопасности.

UpdaChk.exe, зарегистрированный в планировщике задач и периодически запускаемый, представлял собой Infostealer, известный как ReceiverNeo. Он захватывал и передавал скриншоты с зараженной системы, которые сохранялись в таких папках, как %TEMP%\29b4f6eb-ef41-4563-a989-c3d2ca47dbe5\scrnshot.jpg. Эта вредоносная программа обладала лишь простой функцией захвата скриншотов, и она прекращала свою работу, если запись Id ключа реестра, установленного Stellar, не существовала.

Важно, чтобы пользователи проявляли осторожность при загрузке исполняемых файлов с сайтов обмена файлами, и рекомендуется загружать такие продукты, как утилиты и игры, с их официальных веб-сайтов. Кроме того, пользователям следует убедиться, что у них установлена последняя версия V3, чтобы заранее блокировать заражение вредоносным ПО.

#ParsedReport #CompletenessMedium
18-05-2023

The Phantom Menace: Brute Ratel remains rare and targeted

https://news.sophos.com/en-us/2023/05/18/the-phantom-menace-brute-ratel-remains-rare-and-targeted

Report completeness: Medium

Threats:
Brc4_tool
Ratel
Cobalt_strike
Meterpreter_tool
Sliver_tool
Beacon
Chetan_nayak_actor
Powersploit
Empire_loader
Metasploit_tool

Industry:
E-commerce, Telco, Government

Geo:
German, Polish, Ukraine, Russian, Germany

ChatGPT TTPs:
do not use without manual check
T1594.001

IOCs:
File: 3
IP: 2
Hash: 7

Algorithms:
zip, sha256

Languages:
php, javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/ATK-Brutel.csv
https://github.com/BishopFox/sliver
https://github.com/PowerShellMafia/PowerSploit

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Изначально ожидалось, что Brute Ratel станет широко распространенным коммерческим наступательным инструментом безопасности, но в 2022 году он был взломан и с тех пор редко используется субъектами угроз. Cobalt Strike остается для многих основным инструментом после взлома и получил еще большее распространение. Взломанный код Brute Ratel попал на VirusTotal, что сделало его широко доступным для исследователей и поставщиков средств информационной безопасности.
-----

Изначально ожидалось, что Brute Ratel станет широко распространенным коммерческим наступательным инструментом безопасности, однако этого не произошло. В 2022 году Brute Ratel был скомпрометирован и с тех пор редко используется субъектами угроз. Cobalt Strike остается для многих основным средством защиты после взлома и получил еще большее распространение.

Brute Ratel - это инструмент пост-эксплуатации, который требует от пользователя уже полученного первоначального доступа. Он был представлен на рынке с заявлениями о том, что способен обходить платформы расширенного обнаружения и реагирования (EDR). Цены варьируются от $4 000 за полный пакет до $2 250 в год в качестве услуги. Cobalt Strike - наиболее часто используемая злоумышленниками система защиты после доступа. За последние шесть месяцев обнаружения Meterpreter были гораздо более распространены как в сигнатурных, так и в поведенческих обнаружениях. Частота обнаружения файлов Sliver приблизилась к частоте обнаружения Cobalt Strike. Поведенческие обнаружения Brute Ratel также были крайне редки.

Файл с таким же именем был обнаружен как часть заблокированного запуска Brute Ratel в другой организации в тот же день, и другие исследователи угроз столкнулись с ним в те же сроки. Этот же файл был загружен в Virus Total 10 января двумя несвязанными сторонами. Prefectrespond.online/share.php (все еще активен на 5.161.100.208 на немецком провайдере) instrumentation-database-fc-lows.trycloudflare.com/share.php (сейчас отключен) Сообщение было обнаружено как Brute Ratel call-home и заблокировано поведенческим правилом. Однако скрипт продолжал работать и неоднократно повторял попытки соединения, будучи постоянно заблокированным. Sophos сообщил о таком поведении MSP, и проблема была решена командой безопасности MSP. Файл .zip, доставивший сценарий инъекции, и сам обфусцированный сценарий JavaScript теперь блокируются файловыми правилами, а также правилами поведения.

Многие атаки, основанные на брутфорсе, обнаруживаются как обычное поведение вредоносного ПО. Злоумышленники успешно используют взломанные и переработанные версии Cobalt Strike. Brute Ratel стал редкостью среди хорошо обеспеченных ресурсами исполнителей выкупных программ. Взломанный код Brute Ratel попал на VirusTotal, что сделало его широко доступным для исследователей и поставщиков средств информационной безопасности. Разработчик Brute Ratel приложил усилия для предотвращения взлома последующих версий и злоупотреблений. Sophos обнаруживает угрозы, связанные с Brute Ratel, по сигнатурам, а также с помощью поведенческого анализа и анализа памяти. Индикаторы компрометации, связанные с Brute Ratel, можно найти на странице SophosLabs Github.

#ParsedReport #CompletenessLow
18-05-2023

SparkRAT Being Distributed Within a Korean VPN Installer

https://asec.ahnlab.com/en/52899

Report completeness: Low

Actors/Campaigns:
Dragonspark

Threats:
Spark_rat
Dropper/win.agent.c5421402
Trojan/win.malware-gen.r557808
Dropper/win.agent.c5421380
Trojan/win.generic.c5228761
Sparkrat

Geo:
Japanese, Korean, Korea, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1107, T1083, T1547.001, T1566, T1545.009, T1218.004, T1544.002, T1082, T1091, T1064, have more...

IOCs:
Path: 1
File: 4
Hash: 7

Softs:
task scheduler, macos

Languages:
golang

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ASEC обнаружила инструмент удаленного администрирования (RAT) SparkRAT, который распространяется в установщике определенной программы VPN. Предполагается, что угрожающий субъект взломал легитимную службу VPN для распространения своего вредоносного ПО, и ASEC выявила несколько индикаторов компрометации (IOC), связанных с вредоносной программой установки и SparkRAT.
-----

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил SparkRAT, инструмент удаленного администрирования (RAT), разработанный с помощью GoLang, который распространяется в инсталляторе определенной программы VPN. После установки на систему пользователя он может выполнять различные вредоносные действия, такие как удаленное выполнение команд, управление файлами и процессами, загрузка дополнительных полезных нагрузок и сбор информации с зараженной системы, например, путем создания скриншотов.

VPN-провайдер работает уже некоторое время, а программа установки доступна на корейском, английском, китайском и японском языках. Файл, загруженный с сайта, представляет собой дроппер, содержащий программу установки VPN и вредоносное ПО, которое хранится в %LOCALAPPDATA%\Syservices\svchost.exe и зарегистрировано в планировщике задач. Вредоносная программа также является дроппером, содержащим SparkRAT.

SparkRAT - это вредоносная программа RAT с открытым исходным кодом, публично доступная на GitHub. Она предоставляет основные функции, присущие вредоносным программам RAT, такие как выполнение команд, кража информации и управление процессами и файлами. Она поддерживает Windows, Linux, MacOS и китайский язык. В атакующей кампании DragonSpark использовался SparkRAT, и предполагалось, что участники угрозы свободно владеют китайским языком. VPN, используемая в текущей атаке, является программой, широко используемой в Китае, а SparkRAT не обфусцирован, что позволяет легко отличить его по используемым именам функций. Он расшифровывает данные конфигурации и получает информацию из функции инициализации main.init().

ASEC подтвердила случаи, когда SparkRAT распространялся в установщиках VPN. Предполагается, что для распространения своего вредоносного ПО субъект угрозы взломал легитимный VPN-сервис. Когда пользователи скачивают и устанавливают вредоносный установщик с официального сайта, он устанавливает не только SparkRAT, но и оригинальный установщик VPN, в результате чего пользователям сложно заметить, что они заражены вредоносным ПО. Таким образом, пользователи должны проявлять осторожность, обновляя V3 до последней версии, чтобы заранее блокировать заражение вредоносным ПО.

Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) выявил несколько индикаторов компрометации (IOC), связанных с вредоносным установщиком и SparkRAT, включая вредоносные установщики, загруженные с официального сайта, дропперы, созданные вредоносными установщиками, версии SparkRAT x64 и x86, а также вредоносные установщики, содержащие SparkRAT. Отслеживая эти IOC, пользователи могут обнаружить и предотвратить заражение от вредоносного установщика до того, как оно произойдет.

#ParsedReport #CompletenessLow
18-05-2023

RATs found hiding in the npm attic

https://www.reversinglabs.com/blog/rats-found-hiding-in-the-npm-attic

Report completeness: Low

Threats:
Turkorat
Supply_chain_technique
Typosquatting_technique

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1206

IOCs:
File: 3
Hash: 17

Languages:
javascript

Links:
https://github.com/AliTefeli02/TurkoRat

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносный Portable Executable (PE) файл под названием TurkoRat, скрытый в пакете легитимного программного обеспечения и распространяемый через репозитории с открытым исходным кодом. Чтобы защититься от этого, разработчикам следует обращать внимание на подозрительные версии, несоответствия в именовании, меньшие, чем ожидалось, загрузки и зависимости, а организациям следует использовать технологию ReversingLabs для обнаружения вредоносного ПО.
-----

ReversingLabs - это платформа безопасности цепочки поставок программного обеспечения, которая обеспечивает видимость пакетов кода, доступных в публичных репозиториях, таких как npm и PyPI. В ходе анализа миллионов пакетов команда ReversingLabs обнаружила подозрительные комбинации поведения и характеристик, которые часто ассоциируются с вредоносной деятельностью. Так было с пакетом nodejs-encrypt-agent, который, как выяснилось, содержал вредоносный Portable Executable (PE) файл.

PE-файл был идентифицирован как TurkoRat, семейство вредоносных программ с открытым исходным кодом. Он имел функции, предназначенные для кражи конфиденциальной информации, включая учетные данные пользователей и криптовалютные кошельки. Злоумышленники изменили легитимный пакет agent-base и добавили ссылку на его страницу на GitHub, чтобы придать вредоносному пакету большую аутентичность. Они также увеличили номер версии вредоносного пакета с 1.0 до 6.0.2, поскольку высокие номера версий популярны среди авторов вредоносных программ, надеющихся проникнуть в репозитории с открытым исходным кодом с помощью опечаток и других атак на цепочки поставок.

Вредоносный пакет распространялся путем сокрытия его в пакете легитимного программного обеспечения, и лишь немного отличался по названию от легитимного, что облегчало разработчикам ошибочную загрузку и использование вредоносного пакета. Чтобы защититься от этого, разработчикам следует обращать внимание на подозрительную версионность, несоответствия в названиях, меньшие, чем ожидалось, объемы загрузки и зависимости. Организациям также следует внимательно изучать особенности и поведение кода, на который они полагаются, и использовать технологию ReversingLabs для обнаружения вредоносных программ. Вредоносные пакеты, ответственные за TurkoRat, были удалены из npm, но неизвестно, сколько машин было затронуто.

#ParsedReport #CompletenessLow
18-05-2023

How Hackers Use Binary Padding to Outsmart Sandboxes and Infiltrate Your Systems

https://intezer.com/blog/research/how-hackers-use-binary-padding-to-outsmart-sandboxes

Report completeness: Low

Actors/Campaigns:
Orangeworm
Tick

Threats:
Pufferphishing_technique
Emotet
Qakbot
Kwampirs
Junk_code_technique
Laplas_clipper

Geo:
Japanese

IOCs:
Hash: 3

Algorithms:
zip

Languages:
rust

Links:
https://github.com/adeilsonsilva/malware-injection

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Binary padding - это техника, используемая авторами вредоносных программ для обхода защитных систем и песочниц путем добавления в файл нежелательных данных. Эта техника может быть использована различными способами, и ее трудно обнаружить, однако автоматизированный анализ все же может ее выявить.
-----

Binary padding - это техника, используемая авторами вредоносных программ для добавления нежелательных данных в файл с целью обхода защитных систем и песочниц. Эта техника существует уже несколько лет, но сейчас все чаще используется в фишинговых кампаниях. Она может использоваться различными способами, например, для увеличения размера файла, чтобы обойти ограничения "песочницы", создания уникальных хэшей и обфускации вредоносного кода. Вставка также увеличивает размер файла и затрудняет его транспортировку, однако угрожающие субъекты используют алгоритмы сжатия для борьбы с этим.

При добавлении нежелательного кода вредоносный код скрывается за шумом, и его труднее обнаружить при ручном анализе. Однако автоматизированный анализ все же может обнаружить эту технику. Двоичная подстановка может также создавать уникальные хэши, изменяя один бит входных данных в криптографической функции хэширования, что затрудняет обнаружение с помощью хэш-детекторов. Примером такой техники является бэкдор Kwampirs.

Авторы вредоносных программ также могут использовать большие строки в разделе данных для вставки вредоносных программ, однако эта техника легко обнаруживается. Недавно компания Trend Micro сообщила, что Emotet использует двоичную подстановку в оверлей для сжатия файлов ZIP размером от 500 МБ до 1 МБ. Компания Intezer разработала инструмент для удаления этой набивки из образцов, что облегчает их анализ.

В конечном счете, binary padding - это один из многих методов, которые авторы вредоносных программ могут использовать для обхода защитных систем и песочниц. Для обнаружения угроз, использующих нежелательные данные, поставщикам средств защиты необходимо повысить предельный размер файла и использовать методы, выходящие за рамки обнаружения на основе хэшей и сигнатур.

#ParsedReport #CompletenessMedium
18-05-2023

Andariels Jupiter malware and the case of the curious C2. Andariel s Jupiter malware and the case of the curious C2

https://medium.com/@DCSO_CyTec/andariels-jupiter-malware-and-the-case-of-the-curious-c2-dbfe29f57499

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)

Threats:
H0lygh0st
Hermit
Lockdown
Genome

Industry:
Healthcare

Geo:
Korean, Korea, Russia, Indian, Chinese, Dprk, German, Germany, China, India

ChatGPT TTPs:
do not use without manual check
T1132

IOCs:
Hash: 6
Url: 6
Domain: 2
IP: 4
File: 1

Algorithms:
xor, base64

Languages:
python

Links:
https://github.com/DCSO/Blog\_CyTec/blob/main/2023\_05\_\_andariel\_niv/misp.event.json

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Северная Корея нацелилась на Индию и Национальный институт вирусологии (NIV) в Индии в частности, вероятно, из-за борьбы Индии с COVID-19. Семейство вредоносных программ, приписываемое Andariel Group, подгруппе северокорейской Lazarus Group, было замечено в попытке атаки и находится под наблюдением DCSO. Командно-контрольный сервер вредоносной программы предполагает, что злоумышленникам удалось скомпрометировать веб-представительство NIV, которое находится на сервере немецкой компании.
-----

С 2020 года DCSO отслеживает ранее не документированное семейство вредоносных программ, приписываемое Andariel Group, подгруппе северокорейской Lazarus Group. В начале 2023 года эта вредоносная программа была замечена при попытке атаки на немецкую медицинскую/фармацевтическую компанию и впоследствии идентифицирована CISA в оповещении AA23040A. Командно-контрольный сервер вредоносной программы позволил предположить, что злоумышленникам удалось нарушить веб-присутствие Национального института вирусологии (NIV) в Индии. Это соответствует профилю злоумышленников из КНДР, нацеленных на Индию, поскольку в прошлом мы видели, как они атаковали государственные и частные секторы Индии, включая космическое агентство, атомную электростанцию и многочисленные медицинские компании.

Северная Корея объявила, что COVID-19 был ликвидирован в августе 2022 года, но в январе 2023 года случаи заболевания снова начали расти. Северная Корея отказалась от международных предложений вакцин и вместо этого начала свою первую кампанию вакцинации в сентябре 2022 года, используя китайскую вакцину. Это может объяснить, почему атаке подвергся веб-сервер NIV, поскольку он сыграл решающую роль в борьбе Индии с COVID-19.

Командно-контрольный домен niv.co.in разрешается по адресу 173.249.44.87, который выделен компании Contabo GmbH, и, по-видимому, используется индийской компанией I Knowledge Factory (IKF), занимающейся маркетингом и веб-разработкой, в качестве веб-сервера масс-хостинга. Сама вредоносная программа представляет собой базовый загрузчик и может загружать файлы, выполнять команды командного интерпретатора и отправлять обратно вывод консоли. Он также маскирует файл, копируя временные метки Explorer.exe, а если файл является EXE-файлом, то размещает на диске 40 МБ случайных байтов. Остается неясным, почему IKF решила разместить инфраструктуру некоторых своих клиентов в Германии, но DCSO считает, что IP-адрес, скорее всего, находится под контролем Andariel.

#ParsedReport #CompletenessMedium
19-05-2023

CloudWizard APT: the bad magic story goes on

https://securelist.com/cloudwizard-apt/109722

Report completeness: Medium

Actors/Campaigns:
Badmagic (motivation: cyber_espionage)
Gamaredon
Cloudatlas
Sandworm
Groundbait

Threats:
Cloudwizard_tool
Powermagic
Commonmagic_tool
Prikormka
Bugdrop
Durex43
Hwo7x8p

Geo:
Crimea, Lugansk, Ukrainian, Ukraine, Donetsk

ChatGPT TTPs:
do not use without manual check
T1094, T1027, T1053, T1112, T1071, T1047, T1089, T1045, T1064, T1078, have more...

IOCs:
Path: 10
File: 12
IP: 2
Hash: 17
Domain: 1

Softs:
windows service, nsis installer

Algorithms:
sha256, zip, aes

Functions:
GetResult, GetSettings

Win API:
GetLocalTime

Links:
https://github.com/hackedteam/soldier-win/blob/master/Soldier/gmail.cpp
https://github.com/xintrea/rc5simple/blob/master/src/RC5Simple.h
https://gist.github.com/gcolvin/7a0f251f71b7f46251d3400add8fd703

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ESET начала свое расследование в 2022 году и в ходе исследований обнаружила два связанных модульных фреймворка - CommonMagic и CloudWizard - происхождение которых датируется 2008 годом. Эти фреймворки используются для атак на частных лиц, дипломатические и исследовательские организации, расположенные в Украине и конфликтном регионе Восточной Европы, и обладают такими функциями, как создание скриншотов, запись микрофона и прослушивание клавиатуры.
-----

В марте 2023 года исследователи ESET обнаружили ранее неизвестную APT-кампанию с использованием имплантов PowerMagic и CommonMagic, которую они окрестили CloudWizard. Эта модульная структура включала в себя такие функции, как создание скриншотов, запись микрофона, кейлоггинг и многое другое. Целями атаки были частные лица, а также дипломатические и исследовательские организации, расположенные в Донецкой, Луганской областях и Крыму, а также в других частях Украины.

Расследование началось, когда ESET обнаружила телеметрические данные активного заражения, при этом вредоносное ПО работало как подозрительная служба Windows под названием syncobjsup. Расшифровав данные из файла mods.lrc с помощью RC5, ESET обнаружила библиотеку-оркестратор CloudWizard Main.dll, которая рефлекторно загружается и запускается путем вызова экспорта SvcEntry. В ответ на удары сердца оркестратор получает команды, позволяющие ему выполнять управление модулями, например, устанавливать, запускать, останавливать, удалять модули или изменять их конфигурацию. Каждая команда содержит магические байты (DE AD BE EF) и строку JSON (например, {Delete: Keylogger, Screenshot }), за которой, по желанию, следует DLL-файл модуля.

Наряду с библиотекой-оркестратором Main.dll, два модуля (Crypton.dll и Internet.dll) поставляются в комплекте с каждой установкой фреймворка CloudWizard. Модуль Crypton выполняет шифрование и дешифрование всех коммуникаций, а модуль интернет-соединения передает зашифрованные данные операторам вредоносного ПО. Он поддерживает четыре различных типа связи. Кроме того, ESET обнаружила девять вспомогательных модулей, выполняющих различные вредоносные действия, такие как сбор файлов, кейлоггинг, снятие скриншотов, запись микрофона и кража паролей.

После обнаружения оркестратора CloudWizard и его модулей ESET все еще не хватало одной части цепочки заражения - установщика фреймворка. Проведя поиск в старых данных телеметрии, ESET смогла выявить несколько инсталляторов, которые использовались в период с 2017 по 2020 год. Версия имплантата, установленного в то время, была 4.0, а самая последняя обнаруженная версия - 5.0. Как выяснила ESET, старая (4.0) и новая (5.0) версии CloudWizard имеют существенные различия.

Расследование ESET показало, что вредоносная программа Prikormka, первая публично известная украинская вредоносная программа, используемая в целевых атаках, связана с фреймворком CloudWizard. С2-серверы и Prikormka, и CloudWizard размещены на украинских хостингах, а жертвы обоих фреймворков находятся в западной и центральной Украине, а также в зоне конфликта в Восточной Европе. Кроме того, имена файлов, загруженных на C2-сервер в CommonMagic, имеют формат mm.dd _hh.mm.ss.ms.dat (в CloudWizard формат имен - dd.mm.yyyy_hh.mm.ss.ms.dat).

ESET начала свое расследование еще в 2022 году, начав с простых вредоносных скриптов PowerShell, развернутых неизвестным субъектом. В ходе исследования ESET обнаружила и приписала два крупных связанных модульных фреймворка - CommonMagic и CloudWizard, - которые берут свое начало еще в 2008 году, когда были обнаружены первые образцы Prikormka. С 2017 года следов операций Groundbait и BugDrop не обнаружено, но актор, стоящий за этими двумя операциями, не прекратил свою деятельность и продолжает развивать свой набор инструментов кибершпионажа и заражать интересующие его цели уже более 15 лет.

#ParsedReport #CompletenessHigh
19-05-2023

Malware analysis report: WinDealer (LuoYu Threat Group)

https://mssplab.github.io/threat-hunting/2023/05/08/malware-analysis-windealer.html

Report completeness: High

Actors/Campaigns:
Luoyu

Threats:
Windealer
Upx_tool

Industry:
Financial, Telco, Government

Geo:
Japanese, Chinese

ChatGPT TTPs:
do not use without manual check
T1083, T1119, T1053, T1082, T1112, T1145, T1036, T1090, T1089, T1059, have more...

IOCs:
File: 2
Hash: 4
IP: 4

Softs:
wechat, wangwang, microsoft word, microsoft visual studio

Algorithms:
aes, sha1, sha256

Functions:
Sleep

Win API:
InterlockedExchange, GetTickCount, GetUserNameW, RegCreateKeyExA, RegDeleteKeyA, RegCloseKey, RegQueryValueExA, GetTokenInformation, OpenProcessToken, OpenThreadToken, have more...

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что WinDealer - это банковский троян, тип вредоносного программного обеспечения, предназначенного для кражи конфиденциальной финансовой информации с компьютеров жертв. Он способен обходить антивирусы и другие меры безопасности, что затрудняет его обнаружение и удаление, и распространяется с помощью фишинговых писем, содержащих вредоносные вложения.
-----

WinDealer - это банковский троян, тип вредоносного ПО, предназначенного для кражи конфиденциальной финансовой информации, такой как учетные данные, номера кредитных карт и другая личная информация с компьютера жертвы. Он способен манипулировать файлами и файловыми системами, собирать информацию об устройстве, сетевых настройках и раскладке клавиатуры, составлять список запущенных процессов и установленного программного обеспечения, искать текстовые файлы и документы Microsoft Word по всей системе, делать скриншоты и обнаруживать сети с помощью ping-сканирования. Он также может включать или отключать постоянство через ключ RUN в реестре и вносить изменения в конфигурацию. Считается, что WinDealer - это китайская государственная хакерская группа, известная как LuoYu, которая активна по крайней мере с 2011 года и нацелена на широкий спектр отраслей, включая оборону, правительство, телекоммуникации и технологии.

Вредоносная программа обычно распространяется через фишинговые электронные письма, содержащие вредоносные вложения. После их открытия вредоносная программа устанавливается и начинает взаимодействовать с удаленным командно-контрольным сервером, позволяя злоумышленнику отправлять команды на зараженную систему и осуществлять утечку данных. Вредоносная программа способна обходить антивирусы и другие средства защиты, что затрудняет ее обнаружение и удаление.

WinDealer способен похищать учетные данные и конфиденциальную информацию, делать скриншоты, записывать нажатия клавиш и выполнять произвольные команды на зараженной системе. Она также создает уникальную запись в реестре для хранения идентификатора жертвы, который генерируется с помощью md5-хэша MAC-адреса, информации о физическом диске и имени пользователя. Вредоносная программа использует 16-байтовый ключ AES для шифрования C2-коммуникаций и применяет алгоритм генерации случайных IP-адресов C2, когда бэкдор не имеет конфигурации C2. Также используется обфускация вызовов функций и кража токенов с помощью привилегии SeDebugPrivilege.

#ParsedReport #CompletenessLow
19-05-2023

Rust-Based Info Stealers Abuse GitHub Codespaces

https://www.trendmicro.com/en_us/research/23/e/rust-based-info-stealers-abuse-github-codespaces.html

Report completeness: Low

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1140, T1503, T1597, T1573.001, T1574.003, T1016, T1083, T1574, T1598, T1112, have more...

IOCs:
Path: 8
File: 4
Hash: 26
Url: 13

Softs:
github codespaces, github codespace, vscode, jetbrains, discord, 360browser, amigo, chromodo, chromunium, coccoc, have more...

Languages:
rust, python

Platforms:
x86

Links:
https://docs.github.com/en/webhooks-and-events/webhooks/about-webhooks
https://github.com/features/codespaces
https://github.com/xtekky/Python-Anti-Debug/blob/29ac56ce752a2060cdb91610c22bd6dba5fbf516/anti-debug.py#L408
https://docs.github.com/en/codespaces/developing-in-codespaces/forwarding-ports-in-your-codespace
https://cli.github.com/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно обнаруженный похититель информации на основе Rustlang нацелен на машины под управлением Windows и похищает учетные данные из веб-браузеров, Discord, Steam и криптовалютных кошельков, добиваясь стойкости путем модификации установки Discord жертвы. Важно знать о потенциальных угрозах, исходящих от таких похитителей, а организациям следует убедиться, что у них есть адекватные средства защиты для обнаружения и реагирования на вредоносную активность.
-----

Недавно обнаруженный похититель информации на базе Rustlang, маскирующийся под популярную компьютерную игру, нацелен на машины под управлением Windows. Он способен использовать открытые порты на GitHub Codespaces (CS) для утечки учетных данных с зараженной машины. Вредоносный код маскируется под приложения или платформы, включает функции антиотладки и крадет данные из веб-браузеров, Discord, Steam и криптовалютных кошельков.

Похититель информации начинает свою деятельность с антиотладочного процесса, определяя, запущен ли образец в контролируемой среде. Он получает имя пользователя и имя текущего хоста, чтобы сравнить их со списком часто используемых песочниц и отладочных сред. Если найдено хоть одно совпадение, процесс кражи завершается.

Затем похититель информации начинает красть учетные данные, такие как пароли, файлы cookie и информацию о кредитных картах из популярных веб-браузеров, многие из которых основаны на проекте Chromium. Похищенная информация сжимается в файл с именем diagnostics.zip и сохраняется по пути %localappdata%\Microsoft\diagnostics.zip. Похититель отправляет украденную информацию на веб-крючок злоумышленника, загружая файл на файлообменную платформу gofile.io с помощью POST-запроса. Кроме того, он пытается передать украденную информацию на конечную точку Github CS, которая прослушивает порт 8080.

Наконец, похититель информации достигает постоянства, изменяя установку Discord жертвы. Это делается путем записи украденных токенов Discord в файл Discord Tokens.txt, расположенный в %localappdata%\Microsoft\Security.

Это пример того, как субъекты угроз могут использовать новые облачные сервисы, такие как GitHub CS, для вредоносных действий. В этой серии блогов мы подробно описали один из таких похитителей информации и то, как он способен сохраняться на машине жертвы после заражения. Важно знать о потенциальных угрозах, создаваемых такими похитителями. Кроме того, организациям следует убедиться в наличии адекватных средств защиты для обнаружения и реагирования на вредоносные действия.

#ParsedReport #CompletenessLow
19-05-2023

ASEC Weekly Phishing Email Threat Trend (20230507 to 20230513)

https://asec.ahnlab.com/ko/52983

Report completeness: Low

Threats:
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korea, Korean

TTPs:

IOCs:
File: 50
Url: 19

Softs:
microsoft excel

Crypto:
bitcoin

#ParsedReport #CompletenessLow
19-05-2023

StrelaStealer spreading to Spanish users

https://asec.ahnlab.com/ko/52946

Report completeness: Low

Threats:
Strela_stealer
Trojan/win.generic.r577470

Geo:
Spanish

ChatGPT TTPs:
do not use without manual check
T1204, T1546, T1555.001, T1113, T1543.001, T1082, T1560, T1485, T1486

IOCs:
Path: 2
Registry: 1
Url: 1
Hash: 1

Softs:
outlook

Algorithms:
zip, xor

Win API:
CryptUnprotectData

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа Центра реагирования на чрезвычайные ситуации в области безопасности (ASEC) компании "АнЛаб" подтвердила распространение StrelaStealer, вредоносного кода, который крадет информацию об учетной записи электронной почты из учетных записей Thunderbird и Outlook. Пользователям следует помнить о потенциальном ущербе от StrelaStealer и принять меры по защите, например, избегать писем из неизвестных источников и поддерживать продукты безопасности в актуальном состоянии.
-----

Аналитическая группа Центра экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердила распространение вредоносной программы StrelaStealer, похищающей информацию, среди испанских пользователей. Впервые этот вредоносный код был обнаружен в ноябре 2022 года. Обычно он распространяется через вложения в спам по электронной почте, которые представляют собой файлы ISO или ZIP. На рисунке 1 показан пример одного из таких писем, которое содержит ZIP-файл с PIF-файлом внутри. Этот PIF-файл является вредоносной программой, которая крадет информацию об учетной записи электронной почты из учетных записей Thunderbird и Outlook.

При выполнении StrelaStealer создает мьютекс путем XOR-кодирования шести цифр имени компьютера и строки "strela". Затем он собирает информацию об учетной записи Thunderbird, считывая и отправляя соответствующий файл на свой сервер Command and Control (C2). Для информации об учетной записи Outlook он считывает значение реестра и передает его на сервер C2. Кроме того, для значения пароля IMAP он расшифровывает данные с помощью API CryptUnprotectData перед отправкой их на сервер C2. Сервер C2 подтверждает получение украденной информации, проверяя строку KH в качестве значения ответа.

Учитывая потенциально опасные последствия кражи информации из учетной записи электронной почты, пользователи должны знать об опасности, исходящей от StrelaStealer, и принять меры по защите. Они должны избегать открытия электронных писем из неизвестных источников и воздерживаться от выполнения любых вложенных файлов. Кроме того, важно регулярно сканировать компьютеры и поддерживать продукты безопасности в актуальном состоянии с помощью новейших движков.