#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Binary padding - это техника, используемая авторами вредоносных программ для обхода защитных систем и песочниц путем добавления в файл нежелательных данных. Эта техника может быть использована различными способами, и ее трудно обнаружить, однако автоматизированный анализ все же может ее выявить.
-----

Binary padding - это техника, используемая авторами вредоносных программ для добавления нежелательных данных в файл с целью обхода защитных систем и песочниц. Эта техника существует уже несколько лет, но сейчас все чаще используется в фишинговых кампаниях. Она может использоваться различными способами, например, для увеличения размера файла, чтобы обойти ограничения "песочницы", создания уникальных хэшей и обфускации вредоносного кода. Вставка также увеличивает размер файла и затрудняет его транспортировку, однако угрожающие субъекты используют алгоритмы сжатия для борьбы с этим.

При добавлении нежелательного кода вредоносный код скрывается за шумом, и его труднее обнаружить при ручном анализе. Однако автоматизированный анализ все же может обнаружить эту технику. Двоичная подстановка может также создавать уникальные хэши, изменяя один бит входных данных в криптографической функции хэширования, что затрудняет обнаружение с помощью хэш-детекторов. Примером такой техники является бэкдор Kwampirs.

Авторы вредоносных программ также могут использовать большие строки в разделе данных для вставки вредоносных программ, однако эта техника легко обнаруживается. Недавно компания Trend Micro сообщила, что Emotet использует двоичную подстановку в оверлей для сжатия файлов ZIP размером от 500 МБ до 1 МБ. Компания Intezer разработала инструмент для удаления этой набивки из образцов, что облегчает их анализ.

В конечном счете, binary padding - это один из многих методов, которые авторы вредоносных программ могут использовать для обхода защитных систем и песочниц. Для обнаружения угроз, использующих нежелательные данные, поставщикам средств защиты необходимо повысить предельный размер файла и использовать методы, выходящие за рамки обнаружения на основе хэшей и сигнатур.

#ParsedReport #CompletenessMedium
18-05-2023

Andariels Jupiter malware and the case of the curious C2. Andariel s Jupiter malware and the case of the curious C2

https://medium.com/@DCSO_CyTec/andariels-jupiter-malware-and-the-case-of-the-curious-c2-dbfe29f57499

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)

Threats:
H0lygh0st
Hermit
Lockdown
Genome

Industry:
Healthcare

Geo:
Korean, Korea, Russia, Indian, Chinese, Dprk, German, Germany, China, India

ChatGPT TTPs:
do not use without manual check
T1132

IOCs:
Hash: 6
Url: 6
Domain: 2
IP: 4
File: 1

Algorithms:
xor, base64

Languages:
python

Links:
https://github.com/DCSO/Blog\_CyTec/blob/main/2023\_05\_\_andariel\_niv/misp.event.json

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Северная Корея нацелилась на Индию и Национальный институт вирусологии (NIV) в Индии в частности, вероятно, из-за борьбы Индии с COVID-19. Семейство вредоносных программ, приписываемое Andariel Group, подгруппе северокорейской Lazarus Group, было замечено в попытке атаки и находится под наблюдением DCSO. Командно-контрольный сервер вредоносной программы предполагает, что злоумышленникам удалось скомпрометировать веб-представительство NIV, которое находится на сервере немецкой компании.
-----

С 2020 года DCSO отслеживает ранее не документированное семейство вредоносных программ, приписываемое Andariel Group, подгруппе северокорейской Lazarus Group. В начале 2023 года эта вредоносная программа была замечена при попытке атаки на немецкую медицинскую/фармацевтическую компанию и впоследствии идентифицирована CISA в оповещении AA23040A. Командно-контрольный сервер вредоносной программы позволил предположить, что злоумышленникам удалось нарушить веб-присутствие Национального института вирусологии (NIV) в Индии. Это соответствует профилю злоумышленников из КНДР, нацеленных на Индию, поскольку в прошлом мы видели, как они атаковали государственные и частные секторы Индии, включая космическое агентство, атомную электростанцию и многочисленные медицинские компании.

Северная Корея объявила, что COVID-19 был ликвидирован в августе 2022 года, но в январе 2023 года случаи заболевания снова начали расти. Северная Корея отказалась от международных предложений вакцин и вместо этого начала свою первую кампанию вакцинации в сентябре 2022 года, используя китайскую вакцину. Это может объяснить, почему атаке подвергся веб-сервер NIV, поскольку он сыграл решающую роль в борьбе Индии с COVID-19.

Командно-контрольный домен niv.co.in разрешается по адресу 173.249.44.87, который выделен компании Contabo GmbH, и, по-видимому, используется индийской компанией I Knowledge Factory (IKF), занимающейся маркетингом и веб-разработкой, в качестве веб-сервера масс-хостинга. Сама вредоносная программа представляет собой базовый загрузчик и может загружать файлы, выполнять команды командного интерпретатора и отправлять обратно вывод консоли. Он также маскирует файл, копируя временные метки Explorer.exe, а если файл является EXE-файлом, то размещает на диске 40 МБ случайных байтов. Остается неясным, почему IKF решила разместить инфраструктуру некоторых своих клиентов в Германии, но DCSO считает, что IP-адрес, скорее всего, находится под контролем Andariel.

#ParsedReport #CompletenessMedium
19-05-2023

CloudWizard APT: the bad magic story goes on

https://securelist.com/cloudwizard-apt/109722

Report completeness: Medium

Actors/Campaigns:
Badmagic (motivation: cyber_espionage)
Gamaredon
Cloudatlas
Sandworm
Groundbait

Threats:
Cloudwizard_tool
Powermagic
Commonmagic_tool
Prikormka
Bugdrop
Durex43
Hwo7x8p

Geo:
Crimea, Lugansk, Ukrainian, Ukraine, Donetsk

ChatGPT TTPs:
do not use without manual check
T1094, T1027, T1053, T1112, T1071, T1047, T1089, T1045, T1064, T1078, have more...

IOCs:
Path: 10
File: 12
IP: 2
Hash: 17
Domain: 1

Softs:
windows service, nsis installer

Algorithms:
sha256, zip, aes

Functions:
GetResult, GetSettings

Win API:
GetLocalTime

Links:
https://github.com/hackedteam/soldier-win/blob/master/Soldier/gmail.cpp
https://github.com/xintrea/rc5simple/blob/master/src/RC5Simple.h
https://gist.github.com/gcolvin/7a0f251f71b7f46251d3400add8fd703

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ESET начала свое расследование в 2022 году и в ходе исследований обнаружила два связанных модульных фреймворка - CommonMagic и CloudWizard - происхождение которых датируется 2008 годом. Эти фреймворки используются для атак на частных лиц, дипломатические и исследовательские организации, расположенные в Украине и конфликтном регионе Восточной Европы, и обладают такими функциями, как создание скриншотов, запись микрофона и прослушивание клавиатуры.
-----

В марте 2023 года исследователи ESET обнаружили ранее неизвестную APT-кампанию с использованием имплантов PowerMagic и CommonMagic, которую они окрестили CloudWizard. Эта модульная структура включала в себя такие функции, как создание скриншотов, запись микрофона, кейлоггинг и многое другое. Целями атаки были частные лица, а также дипломатические и исследовательские организации, расположенные в Донецкой, Луганской областях и Крыму, а также в других частях Украины.

Расследование началось, когда ESET обнаружила телеметрические данные активного заражения, при этом вредоносное ПО работало как подозрительная служба Windows под названием syncobjsup. Расшифровав данные из файла mods.lrc с помощью RC5, ESET обнаружила библиотеку-оркестратор CloudWizard Main.dll, которая рефлекторно загружается и запускается путем вызова экспорта SvcEntry. В ответ на удары сердца оркестратор получает команды, позволяющие ему выполнять управление модулями, например, устанавливать, запускать, останавливать, удалять модули или изменять их конфигурацию. Каждая команда содержит магические байты (DE AD BE EF) и строку JSON (например, {Delete: Keylogger, Screenshot }), за которой, по желанию, следует DLL-файл модуля.

Наряду с библиотекой-оркестратором Main.dll, два модуля (Crypton.dll и Internet.dll) поставляются в комплекте с каждой установкой фреймворка CloudWizard. Модуль Crypton выполняет шифрование и дешифрование всех коммуникаций, а модуль интернет-соединения передает зашифрованные данные операторам вредоносного ПО. Он поддерживает четыре различных типа связи. Кроме того, ESET обнаружила девять вспомогательных модулей, выполняющих различные вредоносные действия, такие как сбор файлов, кейлоггинг, снятие скриншотов, запись микрофона и кража паролей.

После обнаружения оркестратора CloudWizard и его модулей ESET все еще не хватало одной части цепочки заражения - установщика фреймворка. Проведя поиск в старых данных телеметрии, ESET смогла выявить несколько инсталляторов, которые использовались в период с 2017 по 2020 год. Версия имплантата, установленного в то время, была 4.0, а самая последняя обнаруженная версия - 5.0. Как выяснила ESET, старая (4.0) и новая (5.0) версии CloudWizard имеют существенные различия.

Расследование ESET показало, что вредоносная программа Prikormka, первая публично известная украинская вредоносная программа, используемая в целевых атаках, связана с фреймворком CloudWizard. С2-серверы и Prikormka, и CloudWizard размещены на украинских хостингах, а жертвы обоих фреймворков находятся в западной и центральной Украине, а также в зоне конфликта в Восточной Европе. Кроме того, имена файлов, загруженных на C2-сервер в CommonMagic, имеют формат mm.dd _hh.mm.ss.ms.dat (в CloudWizard формат имен - dd.mm.yyyy_hh.mm.ss.ms.dat).

ESET начала свое расследование еще в 2022 году, начав с простых вредоносных скриптов PowerShell, развернутых неизвестным субъектом. В ходе исследования ESET обнаружила и приписала два крупных связанных модульных фреймворка - CommonMagic и CloudWizard, - которые берут свое начало еще в 2008 году, когда были обнаружены первые образцы Prikormka. С 2017 года следов операций Groundbait и BugDrop не обнаружено, но актор, стоящий за этими двумя операциями, не прекратил свою деятельность и продолжает развивать свой набор инструментов кибершпионажа и заражать интересующие его цели уже более 15 лет.

#ParsedReport #CompletenessHigh
19-05-2023

Malware analysis report: WinDealer (LuoYu Threat Group)

https://mssplab.github.io/threat-hunting/2023/05/08/malware-analysis-windealer.html

Report completeness: High

Actors/Campaigns:
Luoyu

Threats:
Windealer
Upx_tool

Industry:
Financial, Telco, Government

Geo:
Japanese, Chinese

ChatGPT TTPs:
do not use without manual check
T1083, T1119, T1053, T1082, T1112, T1145, T1036, T1090, T1089, T1059, have more...

IOCs:
File: 2
Hash: 4
IP: 4

Softs:
wechat, wangwang, microsoft word, microsoft visual studio

Algorithms:
aes, sha1, sha256

Functions:
Sleep

Win API:
InterlockedExchange, GetTickCount, GetUserNameW, RegCreateKeyExA, RegDeleteKeyA, RegCloseKey, RegQueryValueExA, GetTokenInformation, OpenProcessToken, OpenThreadToken, have more...

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что WinDealer - это банковский троян, тип вредоносного программного обеспечения, предназначенного для кражи конфиденциальной финансовой информации с компьютеров жертв. Он способен обходить антивирусы и другие меры безопасности, что затрудняет его обнаружение и удаление, и распространяется с помощью фишинговых писем, содержащих вредоносные вложения.
-----

WinDealer - это банковский троян, тип вредоносного ПО, предназначенного для кражи конфиденциальной финансовой информации, такой как учетные данные, номера кредитных карт и другая личная информация с компьютера жертвы. Он способен манипулировать файлами и файловыми системами, собирать информацию об устройстве, сетевых настройках и раскладке клавиатуры, составлять список запущенных процессов и установленного программного обеспечения, искать текстовые файлы и документы Microsoft Word по всей системе, делать скриншоты и обнаруживать сети с помощью ping-сканирования. Он также может включать или отключать постоянство через ключ RUN в реестре и вносить изменения в конфигурацию. Считается, что WinDealer - это китайская государственная хакерская группа, известная как LuoYu, которая активна по крайней мере с 2011 года и нацелена на широкий спектр отраслей, включая оборону, правительство, телекоммуникации и технологии.

Вредоносная программа обычно распространяется через фишинговые электронные письма, содержащие вредоносные вложения. После их открытия вредоносная программа устанавливается и начинает взаимодействовать с удаленным командно-контрольным сервером, позволяя злоумышленнику отправлять команды на зараженную систему и осуществлять утечку данных. Вредоносная программа способна обходить антивирусы и другие средства защиты, что затрудняет ее обнаружение и удаление.

WinDealer способен похищать учетные данные и конфиденциальную информацию, делать скриншоты, записывать нажатия клавиш и выполнять произвольные команды на зараженной системе. Она также создает уникальную запись в реестре для хранения идентификатора жертвы, который генерируется с помощью md5-хэша MAC-адреса, информации о физическом диске и имени пользователя. Вредоносная программа использует 16-байтовый ключ AES для шифрования C2-коммуникаций и применяет алгоритм генерации случайных IP-адресов C2, когда бэкдор не имеет конфигурации C2. Также используется обфускация вызовов функций и кража токенов с помощью привилегии SeDebugPrivilege.

#ParsedReport #CompletenessLow
19-05-2023

Rust-Based Info Stealers Abuse GitHub Codespaces

https://www.trendmicro.com/en_us/research/23/e/rust-based-info-stealers-abuse-github-codespaces.html

Report completeness: Low

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1140, T1503, T1597, T1573.001, T1574.003, T1016, T1083, T1574, T1598, T1112, have more...

IOCs:
Path: 8
File: 4
Hash: 26
Url: 13

Softs:
github codespaces, github codespace, vscode, jetbrains, discord, 360browser, amigo, chromodo, chromunium, coccoc, have more...

Languages:
rust, python

Platforms:
x86

Links:
https://docs.github.com/en/webhooks-and-events/webhooks/about-webhooks
https://github.com/features/codespaces
https://github.com/xtekky/Python-Anti-Debug/blob/29ac56ce752a2060cdb91610c22bd6dba5fbf516/anti-debug.py#L408
https://docs.github.com/en/codespaces/developing-in-codespaces/forwarding-ports-in-your-codespace
https://cli.github.com/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно обнаруженный похититель информации на основе Rustlang нацелен на машины под управлением Windows и похищает учетные данные из веб-браузеров, Discord, Steam и криптовалютных кошельков, добиваясь стойкости путем модификации установки Discord жертвы. Важно знать о потенциальных угрозах, исходящих от таких похитителей, а организациям следует убедиться, что у них есть адекватные средства защиты для обнаружения и реагирования на вредоносную активность.
-----

Недавно обнаруженный похититель информации на базе Rustlang, маскирующийся под популярную компьютерную игру, нацелен на машины под управлением Windows. Он способен использовать открытые порты на GitHub Codespaces (CS) для утечки учетных данных с зараженной машины. Вредоносный код маскируется под приложения или платформы, включает функции антиотладки и крадет данные из веб-браузеров, Discord, Steam и криптовалютных кошельков.

Похититель информации начинает свою деятельность с антиотладочного процесса, определяя, запущен ли образец в контролируемой среде. Он получает имя пользователя и имя текущего хоста, чтобы сравнить их со списком часто используемых песочниц и отладочных сред. Если найдено хоть одно совпадение, процесс кражи завершается.

Затем похититель информации начинает красть учетные данные, такие как пароли, файлы cookie и информацию о кредитных картах из популярных веб-браузеров, многие из которых основаны на проекте Chromium. Похищенная информация сжимается в файл с именем diagnostics.zip и сохраняется по пути %localappdata%\Microsoft\diagnostics.zip. Похититель отправляет украденную информацию на веб-крючок злоумышленника, загружая файл на файлообменную платформу gofile.io с помощью POST-запроса. Кроме того, он пытается передать украденную информацию на конечную точку Github CS, которая прослушивает порт 8080.

Наконец, похититель информации достигает постоянства, изменяя установку Discord жертвы. Это делается путем записи украденных токенов Discord в файл Discord Tokens.txt, расположенный в %localappdata%\Microsoft\Security.

Это пример того, как субъекты угроз могут использовать новые облачные сервисы, такие как GitHub CS, для вредоносных действий. В этой серии блогов мы подробно описали один из таких похитителей информации и то, как он способен сохраняться на машине жертвы после заражения. Важно знать о потенциальных угрозах, создаваемых такими похитителями. Кроме того, организациям следует убедиться в наличии адекватных средств защиты для обнаружения и реагирования на вредоносные действия.

#ParsedReport #CompletenessLow
19-05-2023

ASEC Weekly Phishing Email Threat Trend (20230507 to 20230513)

https://asec.ahnlab.com/ko/52983

Report completeness: Low

Threats:
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korea, Korean

TTPs:

IOCs:
File: 50
Url: 19

Softs:
microsoft excel

Crypto:
bitcoin

#ParsedReport #CompletenessLow
19-05-2023

StrelaStealer spreading to Spanish users

https://asec.ahnlab.com/ko/52946

Report completeness: Low

Threats:
Strela_stealer
Trojan/win.generic.r577470

Geo:
Spanish

ChatGPT TTPs:
do not use without manual check
T1204, T1546, T1555.001, T1113, T1543.001, T1082, T1560, T1485, T1486

IOCs:
Path: 2
Registry: 1
Url: 1
Hash: 1

Softs:
outlook

Algorithms:
zip, xor

Win API:
CryptUnprotectData

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа Центра реагирования на чрезвычайные ситуации в области безопасности (ASEC) компании "АнЛаб" подтвердила распространение StrelaStealer, вредоносного кода, который крадет информацию об учетной записи электронной почты из учетных записей Thunderbird и Outlook. Пользователям следует помнить о потенциальном ущербе от StrelaStealer и принять меры по защите, например, избегать писем из неизвестных источников и поддерживать продукты безопасности в актуальном состоянии.
-----

Аналитическая группа Центра экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердила распространение вредоносной программы StrelaStealer, похищающей информацию, среди испанских пользователей. Впервые этот вредоносный код был обнаружен в ноябре 2022 года. Обычно он распространяется через вложения в спам по электронной почте, которые представляют собой файлы ISO или ZIP. На рисунке 1 показан пример одного из таких писем, которое содержит ZIP-файл с PIF-файлом внутри. Этот PIF-файл является вредоносной программой, которая крадет информацию об учетной записи электронной почты из учетных записей Thunderbird и Outlook.

При выполнении StrelaStealer создает мьютекс путем XOR-кодирования шести цифр имени компьютера и строки "strela". Затем он собирает информацию об учетной записи Thunderbird, считывая и отправляя соответствующий файл на свой сервер Command and Control (C2). Для информации об учетной записи Outlook он считывает значение реестра и передает его на сервер C2. Кроме того, для значения пароля IMAP он расшифровывает данные с помощью API CryptUnprotectData перед отправкой их на сервер C2. Сервер C2 подтверждает получение украденной информации, проверяя строку KH в качестве значения ответа.

Учитывая потенциально опасные последствия кражи информации из учетной записи электронной почты, пользователи должны знать об опасности, исходящей от StrelaStealer, и принять меры по защите. Они должны избегать открытия электронных писем из неизвестных источников и воздерживаться от выполнения любых вложенных файлов. Кроме того, важно регулярно сканировать компьютеры и поддерживать продукты безопасности в актуальном состоянии с помощью новейших движков.

#ParsedReport #CompletenessMedium
19-05-2023

CapCut Users Under Fire

https://blog.cyble.com/2023/05/19/capcut-users-under-fire

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Batloader
Redline_stealer
Zipper
Anydesk_tool
Amsi_bypass_technique
Beacon

Geo:
India, Taiwan

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 6
Domain: 5
Hash: 5

Softs:
capcut, tiktok, pyinstaller, torch, kometa, orbitum, vivaldi, opera, discord, telegram, have more...

Wallets:
coinomi, guarda, zcash

Crypto:
ethereum

Algorithms:
sha1, sha256, zip

Functions:
message

Win API:
CryptUnprotectData

Languages:
python, lua

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL обнаружил вредоносные фишинговые веб-сайты, распространяющие различные виды вредоносного ПО, включая крадущие программы, RAT и многое другое. Пользователям важно сохранять бдительность при загрузке неизвестных приложений, поскольку ТА пользуются растущей популярностью новых приложений, чтобы заманить ничего не подозревающих пользователей на загрузку вредоносного ПО.
-----

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила серию вредоносных фишинговых сайтов, созданных под видом популярного программного обеспечения для редактирования видео CapCut. Акторы угроз (TA) использовали эти сайты для распространения различных семейств вредоносного ПО, включая крадущие программы, RAT и другие. Это особенно тревожно, учитывая, что многие пользователи могут активно искать альтернативные способы загрузки CapCut после его запрета в ряде стран.

Одним из таких семейств вредоносных программ, выявленных CRIL, является Offx Stealer. Эта программа написана на языке Python 3.9 и упакована с помощью PyInstaller, что ограничивает ее выполнение Windows 8 и более новыми версиями. После выполнения он выдает пользователю сообщение об ошибке, а в фоновом режиме начинает красть данные, такие как имена пользователей и пароли из файла Login Data, данные из файлов cookie и другую конфиденциальную информацию из приложений для обмена сообщениями, приложений для удаленного рабочего стола и приложений для криптовалютных кошельков.

Затем вредоносная программа создает ZIP-архив со всей украденной информацией и распространяет его через Telegram или AnonFiles, службу хостинга файлов. В качестве последнего шага крадущий удаляет каталог, в котором хранилась украденная информация, чтобы скрыть свою деятельность.

Обнаружение CRIL этих вредоносных фишинговых сайтов служит напоминанием о том, как важно сохранять бдительность при загрузке неизвестных приложений. ТА пользуются растущей популярностью новых приложений и пытаются заманить ничего не подозревающих пользователей, чтобы те загрузили и выполнили вредоносное программное обеспечение. Крайне важно, чтобы пользователи обращали внимание на то, откуда они загружают приложения, и убеждались, что сайт является легитимным.

#PHD12

Интересный доклад от коллег из PT по поводу разбора TI-отчетов.
Ряд подходов, что они выбрали, мы уже реализовали, проверили и даже успели от них отказаться.
Но, в целом, интересный доклад.

На каком-то мероприятии (или уже на след. PhD) расскажем как это работает у нас и какие еще есть тонкости, которые не были рассмотрены у коллег :)

https://phdays.com/broadcast/?talk=260&tag=python-moscow

Пару недель назад с коллегами из CtrlHack и Инфосистемы Джет проводили вебминар по проактивному и реактивному использованию TI. Вот запись
https://www.youtube.com/watch?v=PjKSrECivzY&ab_channel=%D0%98%D0%BD%D1%84%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B%D0%94%D0%B6%D0%B5%D1%82

#ParsedReport #CompletenessLow
21-05-2023

Kraken - The Deep Sea Lurker Part 1. IntroPermalink

https://0xtoxin.github.io/malware%20analysis/KrakenKeylogger-pt1

Report completeness: Low

Threats:
Kraken
Kraken_keylogger

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Hash: 6

Softs:
outlook, foxmail, google chrome, vivaldi, chromium, chedot, 360browser, torch, blisk, opera, have more...

Algorithms:
sha256

Languages:
python

Links:
https://github.com/EricZimmerman/LECmd

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В ходе недавней фишинговой кампании была обнаружена невиданная ранее вредоносная программа KrakenKeylogger, обладающая рядом мощных функций, таких как кража учетных данных, создание скриншотов, запись нажатий клавиш, выполнение команд в cmd.exe и др. Она может нанести значительный ущерб организации, если ее быстро не обнаружить и не остановить.
-----

Недавняя фишинговая кампания была идентифицирована как доставка невиданной ранее вредоносной программы KrakenKeylogger. Вредоносное письмо содержит архивное вложение, представляющее собой 32-битный двоичный файл .NET. Эта полезная нагрузка может быть проанализирована с помощью программы DnSpy для лучшего понимания ее функциональных возможностей. При дальнейшем исследовании было обнаружено, что вредоносная программа состоит из двух встроенных ресурсов, которые расшифровываются после ее выполнения. Первый ресурс, SeaCyanPul, представляет собой .DLL, отвечающую за внедрение конечной полезной нагрузки в RegAsm.exe. Второй ресурс, UnknownDetails, представляет собой конечную полезную нагрузку, которая расшифровывается с помощью простой процедуры шифрования AES-ECB без вектора инициализации (IV). Ключ, используемый для шифрования, представляет собой SHA256 нулевого значения.

Конфигурация Kraken хранится в .cctor главного класса. Некоторые конфигурации зашифрованы с помощью процедуры шифрования DES-EBC без IV. Ключ, используемый для шифрования, представляет собой MD5-хэш предварительно сконфигурированной строки. С помощью быстрого сценария Python строки конфигурации могут быть расшифрованы.

Kraken имеет несколько функциональных возможностей, которые могут быть выполнены, если пользователь отметит их во время компиляции. Он следует типичному пути кражи информации, похищая локальные учетные данные почты Outlook, Foxmail и ThunderBird. Он также ищет учетные данные FileZilla. Kraken способен делать скриншоты, записывать нажатия клавиш, собирать данные буфера обмена и искать различные типы файлов. Он также способен выполнять команды в cmd.exe, загружать данные на FTP-сервер и передавать данные на удаленный командно-контрольный сервер (C2).

Kraken является мощным инструментом и может нанести значительный ущерб организации, если его быстро не выявить и не остановить. Во второй части этого блога я расскажу о своем процессе поиска угроз, о том, почему вредоносная программа была ложно отмечена, и как мне удалось найти больше образцов для подтверждения своих выводов.

#ParsedReport #CompletenessMedium
22-05-2023

Kimsuky Group Using Meterpreter to Attack Web Servers

https://asec.ahnlab.com/en/53046

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Metasploit_tool
Appleseed
Vmprotect_tool

Victims:
Korean construction company

Industry:
Energy

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1086, T1055, T1090, T1071, T1218, T1105

IOCs:
File: 4
Command: 1
IP: 1
Hash: 2
Url: 2

Softs:
onenote

Languages:
golang

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky - это поддерживаемая Северной Кореей группа угроз, которая действует с 2013 года и недавно стала атаковать веб-серверы Windows IIS.
-----

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносную деятельность группы Kimsuky - угрожающей группы, которая, как считается, поддерживается Северной Кореей. Эта группа действует с 2013 года и первоначально атаковала связанные с Северной Кореей исследовательские институты в Южной Корее, а также корейскую энергетическую корпорацию в 2014 году. С 2017 года группа стала атаковать страны за пределами Южной Кореи.

ASEC проводит анализ различных случаев атак Kimsuky, в основном фишинговых атак типа "spear", в ходе которых к электронным письмам прикрепляются вредоносные файлы в форматах документов MS Office, OneNote или CHM. Самая последняя атака была направлена на веб-серверы Windows IIS и установку вредоносного бэкдора Metasploit Meterpreter. Кроме того, была установлена вредоносная программа-прокси, разработанная на языке GoLang. Целью атаки был веб-сервер Windows IIS корейской строительной компании. Предполагается, что уязвимость не была устранена или неадекватно управлялась.

Угроза проникла на веб-сервер IIS и выполнила команду Powershell, загрузив извне дополнительную полезную нагрузку под названием img.dat. Этот файл img.dat представляет собой вредоносный бэкдор, также известный как Metasploit Meterpreter. Затем злоумышленники использовали Meterpreter для дополнительной установки вредоносной программы proxy. C&C-адрес, использованный в атаке, ранее уже применялся группой Kimsuky, а метод, при котором процесс regsvr32.exe запускает вредоносное ПО, аналогичен методу, использованному группой Kimsuky в прошлом. Вредоносное ПО, используемое в атаках, имеет формат DLL-файла и запускается после загрузки процессом regsvr32.exe.

Вредоносная программа-прокси, используемая в этой атаке, получает два IP-адреса и номера портов из аргумента командной строки для их ретрансляции. Сигнатура, предположительно используемая для процесса проверки при передаче данных, представляет собой строку "aPpLe". Предполагается, что цель использования агентом угрозы вредоносной программы-прокси - RDP-подключение к зараженной системе на более поздних этапах.

Атака группы Kimsuky, направленная на веб-сервер Windows IIS, является напоминанием о том, что менеджеры серверов должны ставить заплатки на свои серверы и практиковать предотвращение использования известных уязвимостей. Следует также использовать защитное программное обеспечение для ограничения внешнего доступа к открытым извне серверам и обновлять V3 до последней версии для предотвращения заражения вредоносным ПО.

#ParsedReport #CompletenessMedium
22-05-2023

Analysis of attack cases leading to MeshAgent infection in domestic VPN installation

https://asec.ahnlab.com/ko/53053

Report completeness: Medium

Threats:
Spark_rat
Meshcentral_tool
Anydesk_tool
Teamviewer_tool
Ammyyrat
Tmate_tool
Netsupportmanager_rat
Dropper/win.agent.c5431031
Sparkrat
Dropper/win.meshagent.c5431027
Trojan/win.meshagent.c5431026
Malware/mdp.download.m1197

Victims:
Vpn company

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1193, T1085, T1086, T1082

IOCs:
File: 5
Command: 2
Hash: 5
Url: 2
Domain: 1

Softs:
task scheduler, macos

Languages:
golang