#ParsedReport #CompletenessHigh
19-05-2023

Malware analysis report: WinDealer (LuoYu Threat Group)

https://mssplab.github.io/threat-hunting/2023/05/08/malware-analysis-windealer.html

Report completeness: High

Actors/Campaigns:
Luoyu

Threats:
Windealer
Upx_tool

Industry:
Financial, Telco, Government

Geo:
Japanese, Chinese

ChatGPT TTPs:
do not use without manual check
T1083, T1119, T1053, T1082, T1112, T1145, T1036, T1090, T1089, T1059, have more...

IOCs:
File: 2
Hash: 4
IP: 4

Softs:
wechat, wangwang, microsoft word, microsoft visual studio

Algorithms:
aes, sha1, sha256

Functions:
Sleep

Win API:
InterlockedExchange, GetTickCount, GetUserNameW, RegCreateKeyExA, RegDeleteKeyA, RegCloseKey, RegQueryValueExA, GetTokenInformation, OpenProcessToken, OpenThreadToken, have more...

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что WinDealer - это банковский троян, тип вредоносного программного обеспечения, предназначенного для кражи конфиденциальной финансовой информации с компьютеров жертв. Он способен обходить антивирусы и другие меры безопасности, что затрудняет его обнаружение и удаление, и распространяется с помощью фишинговых писем, содержащих вредоносные вложения.
-----

WinDealer - это банковский троян, тип вредоносного ПО, предназначенного для кражи конфиденциальной финансовой информации, такой как учетные данные, номера кредитных карт и другая личная информация с компьютера жертвы. Он способен манипулировать файлами и файловыми системами, собирать информацию об устройстве, сетевых настройках и раскладке клавиатуры, составлять список запущенных процессов и установленного программного обеспечения, искать текстовые файлы и документы Microsoft Word по всей системе, делать скриншоты и обнаруживать сети с помощью ping-сканирования. Он также может включать или отключать постоянство через ключ RUN в реестре и вносить изменения в конфигурацию. Считается, что WinDealer - это китайская государственная хакерская группа, известная как LuoYu, которая активна по крайней мере с 2011 года и нацелена на широкий спектр отраслей, включая оборону, правительство, телекоммуникации и технологии.

Вредоносная программа обычно распространяется через фишинговые электронные письма, содержащие вредоносные вложения. После их открытия вредоносная программа устанавливается и начинает взаимодействовать с удаленным командно-контрольным сервером, позволяя злоумышленнику отправлять команды на зараженную систему и осуществлять утечку данных. Вредоносная программа способна обходить антивирусы и другие средства защиты, что затрудняет ее обнаружение и удаление.

WinDealer способен похищать учетные данные и конфиденциальную информацию, делать скриншоты, записывать нажатия клавиш и выполнять произвольные команды на зараженной системе. Она также создает уникальную запись в реестре для хранения идентификатора жертвы, который генерируется с помощью md5-хэша MAC-адреса, информации о физическом диске и имени пользователя. Вредоносная программа использует 16-байтовый ключ AES для шифрования C2-коммуникаций и применяет алгоритм генерации случайных IP-адресов C2, когда бэкдор не имеет конфигурации C2. Также используется обфускация вызовов функций и кража токенов с помощью привилегии SeDebugPrivilege.

#ParsedReport #CompletenessLow
19-05-2023

Rust-Based Info Stealers Abuse GitHub Codespaces

https://www.trendmicro.com/en_us/research/23/e/rust-based-info-stealers-abuse-github-codespaces.html

Report completeness: Low

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1140, T1503, T1597, T1573.001, T1574.003, T1016, T1083, T1574, T1598, T1112, have more...

IOCs:
Path: 8
File: 4
Hash: 26
Url: 13

Softs:
github codespaces, github codespace, vscode, jetbrains, discord, 360browser, amigo, chromodo, chromunium, coccoc, have more...

Languages:
rust, python

Platforms:
x86

Links:
https://docs.github.com/en/webhooks-and-events/webhooks/about-webhooks
https://github.com/features/codespaces
https://github.com/xtekky/Python-Anti-Debug/blob/29ac56ce752a2060cdb91610c22bd6dba5fbf516/anti-debug.py#L408
https://docs.github.com/en/codespaces/developing-in-codespaces/forwarding-ports-in-your-codespace
https://cli.github.com/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно обнаруженный похититель информации на основе Rustlang нацелен на машины под управлением Windows и похищает учетные данные из веб-браузеров, Discord, Steam и криптовалютных кошельков, добиваясь стойкости путем модификации установки Discord жертвы. Важно знать о потенциальных угрозах, исходящих от таких похитителей, а организациям следует убедиться, что у них есть адекватные средства защиты для обнаружения и реагирования на вредоносную активность.
-----

Недавно обнаруженный похититель информации на базе Rustlang, маскирующийся под популярную компьютерную игру, нацелен на машины под управлением Windows. Он способен использовать открытые порты на GitHub Codespaces (CS) для утечки учетных данных с зараженной машины. Вредоносный код маскируется под приложения или платформы, включает функции антиотладки и крадет данные из веб-браузеров, Discord, Steam и криптовалютных кошельков.

Похититель информации начинает свою деятельность с антиотладочного процесса, определяя, запущен ли образец в контролируемой среде. Он получает имя пользователя и имя текущего хоста, чтобы сравнить их со списком часто используемых песочниц и отладочных сред. Если найдено хоть одно совпадение, процесс кражи завершается.

Затем похититель информации начинает красть учетные данные, такие как пароли, файлы cookie и информацию о кредитных картах из популярных веб-браузеров, многие из которых основаны на проекте Chromium. Похищенная информация сжимается в файл с именем diagnostics.zip и сохраняется по пути %localappdata%\Microsoft\diagnostics.zip. Похититель отправляет украденную информацию на веб-крючок злоумышленника, загружая файл на файлообменную платформу gofile.io с помощью POST-запроса. Кроме того, он пытается передать украденную информацию на конечную точку Github CS, которая прослушивает порт 8080.

Наконец, похититель информации достигает постоянства, изменяя установку Discord жертвы. Это делается путем записи украденных токенов Discord в файл Discord Tokens.txt, расположенный в %localappdata%\Microsoft\Security.

Это пример того, как субъекты угроз могут использовать новые облачные сервисы, такие как GitHub CS, для вредоносных действий. В этой серии блогов мы подробно описали один из таких похитителей информации и то, как он способен сохраняться на машине жертвы после заражения. Важно знать о потенциальных угрозах, создаваемых такими похитителями. Кроме того, организациям следует убедиться в наличии адекватных средств защиты для обнаружения и реагирования на вредоносные действия.

#ParsedReport #CompletenessLow
19-05-2023

ASEC Weekly Phishing Email Threat Trend (20230507 to 20230513)

https://asec.ahnlab.com/ko/52983

Report completeness: Low

Threats:
Agent_tesla
Formbook

Industry:
Transport, Financial

Geo:
Korea, Korean

TTPs:

IOCs:
File: 50
Url: 19

Softs:
microsoft excel

Crypto:
bitcoin

#ParsedReport #CompletenessLow
19-05-2023

StrelaStealer spreading to Spanish users

https://asec.ahnlab.com/ko/52946

Report completeness: Low

Threats:
Strela_stealer
Trojan/win.generic.r577470

Geo:
Spanish

ChatGPT TTPs:
do not use without manual check
T1204, T1546, T1555.001, T1113, T1543.001, T1082, T1560, T1485, T1486

IOCs:
Path: 2
Registry: 1
Url: 1
Hash: 1

Softs:
outlook

Algorithms:
zip, xor

Win API:
CryptUnprotectData

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа Центра реагирования на чрезвычайные ситуации в области безопасности (ASEC) компании "АнЛаб" подтвердила распространение StrelaStealer, вредоносного кода, который крадет информацию об учетной записи электронной почты из учетных записей Thunderbird и Outlook. Пользователям следует помнить о потенциальном ущербе от StrelaStealer и принять меры по защите, например, избегать писем из неизвестных источников и поддерживать продукты безопасности в актуальном состоянии.
-----

Аналитическая группа Центра экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердила распространение вредоносной программы StrelaStealer, похищающей информацию, среди испанских пользователей. Впервые этот вредоносный код был обнаружен в ноябре 2022 года. Обычно он распространяется через вложения в спам по электронной почте, которые представляют собой файлы ISO или ZIP. На рисунке 1 показан пример одного из таких писем, которое содержит ZIP-файл с PIF-файлом внутри. Этот PIF-файл является вредоносной программой, которая крадет информацию об учетной записи электронной почты из учетных записей Thunderbird и Outlook.

При выполнении StrelaStealer создает мьютекс путем XOR-кодирования шести цифр имени компьютера и строки "strela". Затем он собирает информацию об учетной записи Thunderbird, считывая и отправляя соответствующий файл на свой сервер Command and Control (C2). Для информации об учетной записи Outlook он считывает значение реестра и передает его на сервер C2. Кроме того, для значения пароля IMAP он расшифровывает данные с помощью API CryptUnprotectData перед отправкой их на сервер C2. Сервер C2 подтверждает получение украденной информации, проверяя строку KH в качестве значения ответа.

Учитывая потенциально опасные последствия кражи информации из учетной записи электронной почты, пользователи должны знать об опасности, исходящей от StrelaStealer, и принять меры по защите. Они должны избегать открытия электронных писем из неизвестных источников и воздерживаться от выполнения любых вложенных файлов. Кроме того, важно регулярно сканировать компьютеры и поддерживать продукты безопасности в актуальном состоянии с помощью новейших движков.

#ParsedReport #CompletenessMedium
19-05-2023

CapCut Users Under Fire

https://blog.cyble.com/2023/05/19/capcut-users-under-fire

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Batloader
Redline_stealer
Zipper
Anydesk_tool
Amsi_bypass_technique
Beacon

Geo:
India, Taiwan

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 6
Domain: 5
Hash: 5

Softs:
capcut, tiktok, pyinstaller, torch, kometa, orbitum, vivaldi, opera, discord, telegram, have more...

Wallets:
coinomi, guarda, zcash

Crypto:
ethereum

Algorithms:
sha1, sha256, zip

Functions:
message

Win API:
CryptUnprotectData

Languages:
python, lua

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL обнаружил вредоносные фишинговые веб-сайты, распространяющие различные виды вредоносного ПО, включая крадущие программы, RAT и многое другое. Пользователям важно сохранять бдительность при загрузке неизвестных приложений, поскольку ТА пользуются растущей популярностью новых приложений, чтобы заманить ничего не подозревающих пользователей на загрузку вредоносного ПО.
-----

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила серию вредоносных фишинговых сайтов, созданных под видом популярного программного обеспечения для редактирования видео CapCut. Акторы угроз (TA) использовали эти сайты для распространения различных семейств вредоносного ПО, включая крадущие программы, RAT и другие. Это особенно тревожно, учитывая, что многие пользователи могут активно искать альтернативные способы загрузки CapCut после его запрета в ряде стран.

Одним из таких семейств вредоносных программ, выявленных CRIL, является Offx Stealer. Эта программа написана на языке Python 3.9 и упакована с помощью PyInstaller, что ограничивает ее выполнение Windows 8 и более новыми версиями. После выполнения он выдает пользователю сообщение об ошибке, а в фоновом режиме начинает красть данные, такие как имена пользователей и пароли из файла Login Data, данные из файлов cookie и другую конфиденциальную информацию из приложений для обмена сообщениями, приложений для удаленного рабочего стола и приложений для криптовалютных кошельков.

Затем вредоносная программа создает ZIP-архив со всей украденной информацией и распространяет его через Telegram или AnonFiles, службу хостинга файлов. В качестве последнего шага крадущий удаляет каталог, в котором хранилась украденная информация, чтобы скрыть свою деятельность.

Обнаружение CRIL этих вредоносных фишинговых сайтов служит напоминанием о том, как важно сохранять бдительность при загрузке неизвестных приложений. ТА пользуются растущей популярностью новых приложений и пытаются заманить ничего не подозревающих пользователей, чтобы те загрузили и выполнили вредоносное программное обеспечение. Крайне важно, чтобы пользователи обращали внимание на то, откуда они загружают приложения, и убеждались, что сайт является легитимным.

#PHD12

Интересный доклад от коллег из PT по поводу разбора TI-отчетов.
Ряд подходов, что они выбрали, мы уже реализовали, проверили и даже успели от них отказаться.
Но, в целом, интересный доклад.

На каком-то мероприятии (или уже на след. PhD) расскажем как это работает у нас и какие еще есть тонкости, которые не были рассмотрены у коллег :)

https://phdays.com/broadcast/?talk=260&tag=python-moscow

Пару недель назад с коллегами из CtrlHack и Инфосистемы Джет проводили вебминар по проактивному и реактивному использованию TI. Вот запись
https://www.youtube.com/watch?v=PjKSrECivzY&ab_channel=%D0%98%D0%BD%D1%84%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B%D0%94%D0%B6%D0%B5%D1%82

#ParsedReport #CompletenessLow
21-05-2023

Kraken - The Deep Sea Lurker Part 1. IntroPermalink

https://0xtoxin.github.io/malware%20analysis/KrakenKeylogger-pt1

Report completeness: Low

Threats:
Kraken
Kraken_keylogger

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Hash: 6

Softs:
outlook, foxmail, google chrome, vivaldi, chromium, chedot, 360browser, torch, blisk, opera, have more...

Algorithms:
sha256

Languages:
python

Links:
https://github.com/EricZimmerman/LECmd

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В ходе недавней фишинговой кампании была обнаружена невиданная ранее вредоносная программа KrakenKeylogger, обладающая рядом мощных функций, таких как кража учетных данных, создание скриншотов, запись нажатий клавиш, выполнение команд в cmd.exe и др. Она может нанести значительный ущерб организации, если ее быстро не обнаружить и не остановить.
-----

Недавняя фишинговая кампания была идентифицирована как доставка невиданной ранее вредоносной программы KrakenKeylogger. Вредоносное письмо содержит архивное вложение, представляющее собой 32-битный двоичный файл .NET. Эта полезная нагрузка может быть проанализирована с помощью программы DnSpy для лучшего понимания ее функциональных возможностей. При дальнейшем исследовании было обнаружено, что вредоносная программа состоит из двух встроенных ресурсов, которые расшифровываются после ее выполнения. Первый ресурс, SeaCyanPul, представляет собой .DLL, отвечающую за внедрение конечной полезной нагрузки в RegAsm.exe. Второй ресурс, UnknownDetails, представляет собой конечную полезную нагрузку, которая расшифровывается с помощью простой процедуры шифрования AES-ECB без вектора инициализации (IV). Ключ, используемый для шифрования, представляет собой SHA256 нулевого значения.

Конфигурация Kraken хранится в .cctor главного класса. Некоторые конфигурации зашифрованы с помощью процедуры шифрования DES-EBC без IV. Ключ, используемый для шифрования, представляет собой MD5-хэш предварительно сконфигурированной строки. С помощью быстрого сценария Python строки конфигурации могут быть расшифрованы.

Kraken имеет несколько функциональных возможностей, которые могут быть выполнены, если пользователь отметит их во время компиляции. Он следует типичному пути кражи информации, похищая локальные учетные данные почты Outlook, Foxmail и ThunderBird. Он также ищет учетные данные FileZilla. Kraken способен делать скриншоты, записывать нажатия клавиш, собирать данные буфера обмена и искать различные типы файлов. Он также способен выполнять команды в cmd.exe, загружать данные на FTP-сервер и передавать данные на удаленный командно-контрольный сервер (C2).

Kraken является мощным инструментом и может нанести значительный ущерб организации, если его быстро не выявить и не остановить. Во второй части этого блога я расскажу о своем процессе поиска угроз, о том, почему вредоносная программа была ложно отмечена, и как мне удалось найти больше образцов для подтверждения своих выводов.

#ParsedReport #CompletenessMedium
22-05-2023

Kimsuky Group Using Meterpreter to Attack Web Servers

https://asec.ahnlab.com/en/53046

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Metasploit_tool
Appleseed
Vmprotect_tool

Victims:
Korean construction company

Industry:
Energy

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1086, T1055, T1090, T1071, T1218, T1105

IOCs:
File: 4
Command: 1
IP: 1
Hash: 2
Url: 2

Softs:
onenote

Languages:
golang

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky - это поддерживаемая Северной Кореей группа угроз, которая действует с 2013 года и недавно стала атаковать веб-серверы Windows IIS.
-----

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносную деятельность группы Kimsuky - угрожающей группы, которая, как считается, поддерживается Северной Кореей. Эта группа действует с 2013 года и первоначально атаковала связанные с Северной Кореей исследовательские институты в Южной Корее, а также корейскую энергетическую корпорацию в 2014 году. С 2017 года группа стала атаковать страны за пределами Южной Кореи.

ASEC проводит анализ различных случаев атак Kimsuky, в основном фишинговых атак типа "spear", в ходе которых к электронным письмам прикрепляются вредоносные файлы в форматах документов MS Office, OneNote или CHM. Самая последняя атака была направлена на веб-серверы Windows IIS и установку вредоносного бэкдора Metasploit Meterpreter. Кроме того, была установлена вредоносная программа-прокси, разработанная на языке GoLang. Целью атаки был веб-сервер Windows IIS корейской строительной компании. Предполагается, что уязвимость не была устранена или неадекватно управлялась.

Угроза проникла на веб-сервер IIS и выполнила команду Powershell, загрузив извне дополнительную полезную нагрузку под названием img.dat. Этот файл img.dat представляет собой вредоносный бэкдор, также известный как Metasploit Meterpreter. Затем злоумышленники использовали Meterpreter для дополнительной установки вредоносной программы proxy. C&C-адрес, использованный в атаке, ранее уже применялся группой Kimsuky, а метод, при котором процесс regsvr32.exe запускает вредоносное ПО, аналогичен методу, использованному группой Kimsuky в прошлом. Вредоносное ПО, используемое в атаках, имеет формат DLL-файла и запускается после загрузки процессом regsvr32.exe.

Вредоносная программа-прокси, используемая в этой атаке, получает два IP-адреса и номера портов из аргумента командной строки для их ретрансляции. Сигнатура, предположительно используемая для процесса проверки при передаче данных, представляет собой строку "aPpLe". Предполагается, что цель использования агентом угрозы вредоносной программы-прокси - RDP-подключение к зараженной системе на более поздних этапах.

Атака группы Kimsuky, направленная на веб-сервер Windows IIS, является напоминанием о том, что менеджеры серверов должны ставить заплатки на свои серверы и практиковать предотвращение использования известных уязвимостей. Следует также использовать защитное программное обеспечение для ограничения внешнего доступа к открытым извне серверам и обновлять V3 до последней версии для предотвращения заражения вредоносным ПО.

#ParsedReport #CompletenessMedium
22-05-2023

Analysis of attack cases leading to MeshAgent infection in domestic VPN installation

https://asec.ahnlab.com/ko/53053

Report completeness: Medium

Threats:
Spark_rat
Meshcentral_tool
Anydesk_tool
Teamviewer_tool
Ammyyrat
Tmate_tool
Netsupportmanager_rat
Dropper/win.agent.c5431031
Sparkrat
Dropper/win.meshagent.c5431027
Trojan/win.meshagent.c5431026
Malware/mdp.download.m1197

Victims:
Vpn company

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1193, T1085, T1086, T1082

IOCs:
File: 5
Command: 2
Hash: 5
Url: 2
Domain: 1

Softs:
task scheduler, macos

Languages:
golang

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил, что вредоносный код распространяется через внутренний установщик VPN, и что его трудно обнаружить из-за того, что в нем участвует как вредоносный код, так и легитимный установщик VPN. -----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил, что вредоносный код был распространен через программу установки VPN в стране. Похоже, что один и тот же злоумышленник ответственен как за эту атаку, так и за аналогичную в прошлом, хотя метод атаки несколько изменился. На этот раз вместо упаковщика, разработанного на .Net, использовался вредоносный код-дроппер, разработанный на языке Go. Кроме того, был дополнительно установлен MeshCentral's MeshAgent для функциональности удаленного рабочего стола.

Вредоносный код распространяется путем изменения файла программы установки на сайте компании VPN. Когда пользователи загружают и запускают программу установки, устанавливается как вредоносный код, так и легитимный установщик VPN. Дроппер создает и исполняет вредоносный код, внедренный в PE, а маскирующийся установщик регистрирует дополнительный файл (start.exe) в планировщике задач. Start.exe - это вредоносная программа-загрузчик, разработанная на языке Go, которая отвечает за загрузку и выполнение дополнительных вредоносных кодов извне.

Используемое вредоносное ПО - SparkRAT, вредоносная программа RAT, разработанная на языке Go, которая обеспечивает основные функции, такие как выполнение команд, кража информации, управление процессами и файлами. Она поддерживает Windows, Linux и MacOS. Затем злоумышленник устанавливает MeshAgent, бесплатный инструмент управления с открытым исходным кодом, для обеспечения удаленного контроля и потенциально вредоносных целей.

Эту атаку сложно обнаружить из-за того, что в ней участвует как вредоносный код, так и легитимный установщик VPN.

#ParsedReport #CompletenessHigh
22-05-2023

Technical Analysis of ALPHV/BlackCat Ransomware

https://cloudsek.com/blog/technical-analysis-of-alphv-blackcat-ransomware

Report completeness: High

Actors/Campaigns:
Blackcat

Threats:
Blackcat
Havoc
Uac_bypass_technique
Exmatter_tool
Vssadmin_tool

Victims:
Organizations across the world

Industry:
Education

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1036, T1035, T1045, T1053, T1078, T1547, T1548, T1543

IOCs:
Hash: 4

Softs:
microsoft com, component object model, bcdedit

Algorithms:
chacha20, aes, sha256

Functions:
FindFirstFile, FindNextFIle

Win API:
GetCommandLineW, CreateThread, CoGetObject, LookupPrivilegeValueW, AdjustTokenPrivileges, WriteFile, BCryptGenRandom, ReadFile, SeIncreaseQuotaPrivilege, SeSecurityPrivilege, have more...

Languages:
rust

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlackCat ransomware - это вредоносное программное обеспечение, которое наносит значительный ущерб организациям и частным лицам с конца 2021 года. Для нанесения ущерба она использует различные техники, такие как шифрование, обход песочницы и повышение привилегий. Исследователи безопасности определили правила YARA, помогающие обнаружить ransomware, однако организации должны сохранять бдительность и принимать необходимые превентивные меры для защиты своих систем.
-----

BlackCat ransomware - это вредоносная программа, которая наносит значительный ущерб организациям по всему миру с конца 2021 года. Она написана на языке Rust и поставляется в виде инструмента командной строки, который можно запускать с различными аргументами. Он использует шифрование AES или ChaCha20 для шифрования всех файлов в системе жертвы. Также было замечено, что злоумышленники используют инструмент для кражи .NET под названием ExMatter, разработанный той же APT-группой, для загрузки файлов с машины жертвы и давления на жертву угрозой утечки конфиденциальных данных.

Двоичный файл BlackCat содержит маркер доступа, который используется для шифрования конфигурации Ransomware и предотвращения извлечения конфигурации средствами автоматического анализа. После предоставления маркера доступа Ransomware расшифровывает выкупную записку, встроенную в двоичный файл, и сохраняет ее для последующего использования. Она также устанавливает записку о выкупе в качестве обоев рабочего стола. Ransomware готовится к повышению привилегий, создавая новый поток с помощью API CreateThread. Затем она обходит UAC, используя Microsoft COM (объектную модель компонентов), и предоставляет себе определенные привилегии с помощью API LookupPrivilegeValueW и AdjustTokenPrivileges. После этого он удаляет все теневые копии томов, отключает автоматическое восстановление, очищает журналы событий и завершает все активные службы и процессы.

Затем программа-вымогатель обходит систему, чтобы найти все файлы, и использует BCryptGenRandom для вычисления случайного AES-ключа. Для каждого файла создается блок JSON, который содержит ключ AES, используемый для шифрования файла, и информацию о файле. Ключ AES далее шифруется с помощью открытого ключа RSA, хранящегося в конфигурации BlackCat. Затем файл шифруется с помощью AES, а его содержимое записывается в файл с помощью ReadFile и WriteFile с новым расширением файла, указанным в конфигурации BlackCat.

BlackCat ransomware представляет собой серьезную угрозу как для организаций, так и для частных лиц благодаря своей способности убивать множество процессов и сервисов и технике обхода песочницы. Исследователи безопасности определили правила YARA, которые помогают охотиться за BlackCat, однако из-за постоянно меняющейся тактики, применяемой злоумышленниками, организации должны сохранять бдительность и принимать необходимые превентивные меры для защиты своих систем от подобных атак.

#ParsedReport #CompletenessHigh
22-05-2023

Bluenoroff s RustBucket campaign

https://blog.sekoia.io/bluenoroffs-rustbucket-campaign

Report completeness: High

Actors/Campaigns:
Lazarus
Kimsuky
Dream_job
Snatchcrypto

Threats:
Rustbucket
Motw_bypass_technique
Typosquatting_technique
Nukesped_rat

Victims:
Macos platform, finance-related institutions

Industry:
Financial

Geo:
Thailand, Korea, Dprk, Laos, America, Asia

IOCs:
File: 20
Domain: 4
Hash: 45
Command: 2
IP: 10

Softs:
macos, onenote, curl

Algorithms:
xor, base64, zip

Win API:
OpenProcess

Win Services:
AvastSvc

Languages:
objective_c, javascript, rust

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Bluenoroff - это финансово-ориентированная группа вторжений, которая активно атакует криптовалютные биржи, венчурные организации и другие финансовые учреждения, по крайней мере, с 2015 года в рамках усилий по получению дохода для обхода санкций. Группа использует различные методы, включая фишинговые письма, typosquatting и обновленные файлы VHD и CAB, чтобы нацелиться на своих жертв.
-----

Bluenoroff - это финансово-ориентированный набор для вторжения в Северную Корею, действующий по меньшей мере с 2015 года.

Она нацелилась на криптовалютные биржи, предприятия венчурного капитала и другие финансовые учреждения в рамках стратегической задачи Пхеньяна по получению доходов для обхода санкций.

Для своей вредоносной деятельности Bluenoroff использует различные методы, включая фишинговые письма, опечатки, файлы VHD и CAB, файлы chm (Windows Helper) и кроссплатформенный язык.

Он был замечен в рассылке ZIP-архива, содержащего не вредоносный PDF-документ и LNK-файл, маскирующийся под TXT-файл или программу для чтения PDF.