#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа Центра реагирования на чрезвычайные ситуации в области безопасности (ASEC) компании "АнЛаб" подтвердила распространение StrelaStealer, вредоносного кода, который крадет информацию об учетной записи электронной почты из учетных записей Thunderbird и Outlook. Пользователям следует помнить о потенциальном ущербе от StrelaStealer и принять меры по защите, например, избегать писем из неизвестных источников и поддерживать продукты безопасности в актуальном состоянии.
-----

Аналитическая группа Центра экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердила распространение вредоносной программы StrelaStealer, похищающей информацию, среди испанских пользователей. Впервые этот вредоносный код был обнаружен в ноябре 2022 года. Обычно он распространяется через вложения в спам по электронной почте, которые представляют собой файлы ISO или ZIP. На рисунке 1 показан пример одного из таких писем, которое содержит ZIP-файл с PIF-файлом внутри. Этот PIF-файл является вредоносной программой, которая крадет информацию об учетной записи электронной почты из учетных записей Thunderbird и Outlook.

При выполнении StrelaStealer создает мьютекс путем XOR-кодирования шести цифр имени компьютера и строки "strela". Затем он собирает информацию об учетной записи Thunderbird, считывая и отправляя соответствующий файл на свой сервер Command and Control (C2). Для информации об учетной записи Outlook он считывает значение реестра и передает его на сервер C2. Кроме того, для значения пароля IMAP он расшифровывает данные с помощью API CryptUnprotectData перед отправкой их на сервер C2. Сервер C2 подтверждает получение украденной информации, проверяя строку KH в качестве значения ответа.

Учитывая потенциально опасные последствия кражи информации из учетной записи электронной почты, пользователи должны знать об опасности, исходящей от StrelaStealer, и принять меры по защите. Они должны избегать открытия электронных писем из неизвестных источников и воздерживаться от выполнения любых вложенных файлов. Кроме того, важно регулярно сканировать компьютеры и поддерживать продукты безопасности в актуальном состоянии с помощью новейших движков.

#ParsedReport #CompletenessMedium
19-05-2023

CapCut Users Under Fire

https://blog.cyble.com/2023/05/19/capcut-users-under-fire

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Batloader
Redline_stealer
Zipper
Anydesk_tool
Amsi_bypass_technique
Beacon

Geo:
India, Taiwan

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 6
Domain: 5
Hash: 5

Softs:
capcut, tiktok, pyinstaller, torch, kometa, orbitum, vivaldi, opera, discord, telegram, have more...

Wallets:
coinomi, guarda, zcash

Crypto:
ethereum

Algorithms:
sha1, sha256, zip

Functions:
message

Win API:
CryptUnprotectData

Languages:
python, lua

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL обнаружил вредоносные фишинговые веб-сайты, распространяющие различные виды вредоносного ПО, включая крадущие программы, RAT и многое другое. Пользователям важно сохранять бдительность при загрузке неизвестных приложений, поскольку ТА пользуются растущей популярностью новых приложений, чтобы заманить ничего не подозревающих пользователей на загрузку вредоносного ПО.
-----

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила серию вредоносных фишинговых сайтов, созданных под видом популярного программного обеспечения для редактирования видео CapCut. Акторы угроз (TA) использовали эти сайты для распространения различных семейств вредоносного ПО, включая крадущие программы, RAT и другие. Это особенно тревожно, учитывая, что многие пользователи могут активно искать альтернативные способы загрузки CapCut после его запрета в ряде стран.

Одним из таких семейств вредоносных программ, выявленных CRIL, является Offx Stealer. Эта программа написана на языке Python 3.9 и упакована с помощью PyInstaller, что ограничивает ее выполнение Windows 8 и более новыми версиями. После выполнения он выдает пользователю сообщение об ошибке, а в фоновом режиме начинает красть данные, такие как имена пользователей и пароли из файла Login Data, данные из файлов cookie и другую конфиденциальную информацию из приложений для обмена сообщениями, приложений для удаленного рабочего стола и приложений для криптовалютных кошельков.

Затем вредоносная программа создает ZIP-архив со всей украденной информацией и распространяет его через Telegram или AnonFiles, службу хостинга файлов. В качестве последнего шага крадущий удаляет каталог, в котором хранилась украденная информация, чтобы скрыть свою деятельность.

Обнаружение CRIL этих вредоносных фишинговых сайтов служит напоминанием о том, как важно сохранять бдительность при загрузке неизвестных приложений. ТА пользуются растущей популярностью новых приложений и пытаются заманить ничего не подозревающих пользователей, чтобы те загрузили и выполнили вредоносное программное обеспечение. Крайне важно, чтобы пользователи обращали внимание на то, откуда они загружают приложения, и убеждались, что сайт является легитимным.

#PHD12

Интересный доклад от коллег из PT по поводу разбора TI-отчетов.
Ряд подходов, что они выбрали, мы уже реализовали, проверили и даже успели от них отказаться.
Но, в целом, интересный доклад.

На каком-то мероприятии (или уже на след. PhD) расскажем как это работает у нас и какие еще есть тонкости, которые не были рассмотрены у коллег :)

https://phdays.com/broadcast/?talk=260&tag=python-moscow

Пару недель назад с коллегами из CtrlHack и Инфосистемы Джет проводили вебминар по проактивному и реактивному использованию TI. Вот запись
https://www.youtube.com/watch?v=PjKSrECivzY&ab_channel=%D0%98%D0%BD%D1%84%D0%BE%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B%D0%94%D0%B6%D0%B5%D1%82

#ParsedReport #CompletenessLow
21-05-2023

Kraken - The Deep Sea Lurker Part 1. IntroPermalink

https://0xtoxin.github.io/malware%20analysis/KrakenKeylogger-pt1

Report completeness: Low

Threats:
Kraken
Kraken_keylogger

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Hash: 6

Softs:
outlook, foxmail, google chrome, vivaldi, chromium, chedot, 360browser, torch, blisk, opera, have more...

Algorithms:
sha256

Languages:
python

Links:
https://github.com/EricZimmerman/LECmd

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В ходе недавней фишинговой кампании была обнаружена невиданная ранее вредоносная программа KrakenKeylogger, обладающая рядом мощных функций, таких как кража учетных данных, создание скриншотов, запись нажатий клавиш, выполнение команд в cmd.exe и др. Она может нанести значительный ущерб организации, если ее быстро не обнаружить и не остановить.
-----

Недавняя фишинговая кампания была идентифицирована как доставка невиданной ранее вредоносной программы KrakenKeylogger. Вредоносное письмо содержит архивное вложение, представляющее собой 32-битный двоичный файл .NET. Эта полезная нагрузка может быть проанализирована с помощью программы DnSpy для лучшего понимания ее функциональных возможностей. При дальнейшем исследовании было обнаружено, что вредоносная программа состоит из двух встроенных ресурсов, которые расшифровываются после ее выполнения. Первый ресурс, SeaCyanPul, представляет собой .DLL, отвечающую за внедрение конечной полезной нагрузки в RegAsm.exe. Второй ресурс, UnknownDetails, представляет собой конечную полезную нагрузку, которая расшифровывается с помощью простой процедуры шифрования AES-ECB без вектора инициализации (IV). Ключ, используемый для шифрования, представляет собой SHA256 нулевого значения.

Конфигурация Kraken хранится в .cctor главного класса. Некоторые конфигурации зашифрованы с помощью процедуры шифрования DES-EBC без IV. Ключ, используемый для шифрования, представляет собой MD5-хэш предварительно сконфигурированной строки. С помощью быстрого сценария Python строки конфигурации могут быть расшифрованы.

Kraken имеет несколько функциональных возможностей, которые могут быть выполнены, если пользователь отметит их во время компиляции. Он следует типичному пути кражи информации, похищая локальные учетные данные почты Outlook, Foxmail и ThunderBird. Он также ищет учетные данные FileZilla. Kraken способен делать скриншоты, записывать нажатия клавиш, собирать данные буфера обмена и искать различные типы файлов. Он также способен выполнять команды в cmd.exe, загружать данные на FTP-сервер и передавать данные на удаленный командно-контрольный сервер (C2).

Kraken является мощным инструментом и может нанести значительный ущерб организации, если его быстро не выявить и не остановить. Во второй части этого блога я расскажу о своем процессе поиска угроз, о том, почему вредоносная программа была ложно отмечена, и как мне удалось найти больше образцов для подтверждения своих выводов.

#ParsedReport #CompletenessMedium
22-05-2023

Kimsuky Group Using Meterpreter to Attack Web Servers

https://asec.ahnlab.com/en/53046

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Metasploit_tool
Appleseed
Vmprotect_tool

Victims:
Korean construction company

Industry:
Energy

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1086, T1055, T1090, T1071, T1218, T1105

IOCs:
File: 4
Command: 1
IP: 1
Hash: 2
Url: 2

Softs:
onenote

Languages:
golang

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky - это поддерживаемая Северной Кореей группа угроз, которая действует с 2013 года и недавно стала атаковать веб-серверы Windows IIS.
-----

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносную деятельность группы Kimsuky - угрожающей группы, которая, как считается, поддерживается Северной Кореей. Эта группа действует с 2013 года и первоначально атаковала связанные с Северной Кореей исследовательские институты в Южной Корее, а также корейскую энергетическую корпорацию в 2014 году. С 2017 года группа стала атаковать страны за пределами Южной Кореи.

ASEC проводит анализ различных случаев атак Kimsuky, в основном фишинговых атак типа "spear", в ходе которых к электронным письмам прикрепляются вредоносные файлы в форматах документов MS Office, OneNote или CHM. Самая последняя атака была направлена на веб-серверы Windows IIS и установку вредоносного бэкдора Metasploit Meterpreter. Кроме того, была установлена вредоносная программа-прокси, разработанная на языке GoLang. Целью атаки был веб-сервер Windows IIS корейской строительной компании. Предполагается, что уязвимость не была устранена или неадекватно управлялась.

Угроза проникла на веб-сервер IIS и выполнила команду Powershell, загрузив извне дополнительную полезную нагрузку под названием img.dat. Этот файл img.dat представляет собой вредоносный бэкдор, также известный как Metasploit Meterpreter. Затем злоумышленники использовали Meterpreter для дополнительной установки вредоносной программы proxy. C&C-адрес, использованный в атаке, ранее уже применялся группой Kimsuky, а метод, при котором процесс regsvr32.exe запускает вредоносное ПО, аналогичен методу, использованному группой Kimsuky в прошлом. Вредоносное ПО, используемое в атаках, имеет формат DLL-файла и запускается после загрузки процессом regsvr32.exe.

Вредоносная программа-прокси, используемая в этой атаке, получает два IP-адреса и номера портов из аргумента командной строки для их ретрансляции. Сигнатура, предположительно используемая для процесса проверки при передаче данных, представляет собой строку "aPpLe". Предполагается, что цель использования агентом угрозы вредоносной программы-прокси - RDP-подключение к зараженной системе на более поздних этапах.

Атака группы Kimsuky, направленная на веб-сервер Windows IIS, является напоминанием о том, что менеджеры серверов должны ставить заплатки на свои серверы и практиковать предотвращение использования известных уязвимостей. Следует также использовать защитное программное обеспечение для ограничения внешнего доступа к открытым извне серверам и обновлять V3 до последней версии для предотвращения заражения вредоносным ПО.

#ParsedReport #CompletenessMedium
22-05-2023

Analysis of attack cases leading to MeshAgent infection in domestic VPN installation

https://asec.ahnlab.com/ko/53053

Report completeness: Medium

Threats:
Spark_rat
Meshcentral_tool
Anydesk_tool
Teamviewer_tool
Ammyyrat
Tmate_tool
Netsupportmanager_rat
Dropper/win.agent.c5431031
Sparkrat
Dropper/win.meshagent.c5431027
Trojan/win.meshagent.c5431026
Malware/mdp.download.m1197

Victims:
Vpn company

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1193, T1085, T1086, T1082

IOCs:
File: 5
Command: 2
Hash: 5
Url: 2
Domain: 1

Softs:
task scheduler, macos

Languages:
golang

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил, что вредоносный код распространяется через внутренний установщик VPN, и что его трудно обнаружить из-за того, что в нем участвует как вредоносный код, так и легитимный установщик VPN. -----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил, что вредоносный код был распространен через программу установки VPN в стране. Похоже, что один и тот же злоумышленник ответственен как за эту атаку, так и за аналогичную в прошлом, хотя метод атаки несколько изменился. На этот раз вместо упаковщика, разработанного на .Net, использовался вредоносный код-дроппер, разработанный на языке Go. Кроме того, был дополнительно установлен MeshCentral's MeshAgent для функциональности удаленного рабочего стола.

Вредоносный код распространяется путем изменения файла программы установки на сайте компании VPN. Когда пользователи загружают и запускают программу установки, устанавливается как вредоносный код, так и легитимный установщик VPN. Дроппер создает и исполняет вредоносный код, внедренный в PE, а маскирующийся установщик регистрирует дополнительный файл (start.exe) в планировщике задач. Start.exe - это вредоносная программа-загрузчик, разработанная на языке Go, которая отвечает за загрузку и выполнение дополнительных вредоносных кодов извне.

Используемое вредоносное ПО - SparkRAT, вредоносная программа RAT, разработанная на языке Go, которая обеспечивает основные функции, такие как выполнение команд, кража информации, управление процессами и файлами. Она поддерживает Windows, Linux и MacOS. Затем злоумышленник устанавливает MeshAgent, бесплатный инструмент управления с открытым исходным кодом, для обеспечения удаленного контроля и потенциально вредоносных целей.

Эту атаку сложно обнаружить из-за того, что в ней участвует как вредоносный код, так и легитимный установщик VPN.

#ParsedReport #CompletenessHigh
22-05-2023

Technical Analysis of ALPHV/BlackCat Ransomware

https://cloudsek.com/blog/technical-analysis-of-alphv-blackcat-ransomware

Report completeness: High

Actors/Campaigns:
Blackcat

Threats:
Blackcat
Havoc
Uac_bypass_technique
Exmatter_tool
Vssadmin_tool

Victims:
Organizations across the world

Industry:
Education

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1036, T1035, T1045, T1053, T1078, T1547, T1548, T1543

IOCs:
Hash: 4

Softs:
microsoft com, component object model, bcdedit

Algorithms:
chacha20, aes, sha256

Functions:
FindFirstFile, FindNextFIle

Win API:
GetCommandLineW, CreateThread, CoGetObject, LookupPrivilegeValueW, AdjustTokenPrivileges, WriteFile, BCryptGenRandom, ReadFile, SeIncreaseQuotaPrivilege, SeSecurityPrivilege, have more...

Languages:
rust

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlackCat ransomware - это вредоносное программное обеспечение, которое наносит значительный ущерб организациям и частным лицам с конца 2021 года. Для нанесения ущерба она использует различные техники, такие как шифрование, обход песочницы и повышение привилегий. Исследователи безопасности определили правила YARA, помогающие обнаружить ransomware, однако организации должны сохранять бдительность и принимать необходимые превентивные меры для защиты своих систем.
-----

BlackCat ransomware - это вредоносная программа, которая наносит значительный ущерб организациям по всему миру с конца 2021 года. Она написана на языке Rust и поставляется в виде инструмента командной строки, который можно запускать с различными аргументами. Он использует шифрование AES или ChaCha20 для шифрования всех файлов в системе жертвы. Также было замечено, что злоумышленники используют инструмент для кражи .NET под названием ExMatter, разработанный той же APT-группой, для загрузки файлов с машины жертвы и давления на жертву угрозой утечки конфиденциальных данных.

Двоичный файл BlackCat содержит маркер доступа, который используется для шифрования конфигурации Ransomware и предотвращения извлечения конфигурации средствами автоматического анализа. После предоставления маркера доступа Ransomware расшифровывает выкупную записку, встроенную в двоичный файл, и сохраняет ее для последующего использования. Она также устанавливает записку о выкупе в качестве обоев рабочего стола. Ransomware готовится к повышению привилегий, создавая новый поток с помощью API CreateThread. Затем она обходит UAC, используя Microsoft COM (объектную модель компонентов), и предоставляет себе определенные привилегии с помощью API LookupPrivilegeValueW и AdjustTokenPrivileges. После этого он удаляет все теневые копии томов, отключает автоматическое восстановление, очищает журналы событий и завершает все активные службы и процессы.

Затем программа-вымогатель обходит систему, чтобы найти все файлы, и использует BCryptGenRandom для вычисления случайного AES-ключа. Для каждого файла создается блок JSON, который содержит ключ AES, используемый для шифрования файла, и информацию о файле. Ключ AES далее шифруется с помощью открытого ключа RSA, хранящегося в конфигурации BlackCat. Затем файл шифруется с помощью AES, а его содержимое записывается в файл с помощью ReadFile и WriteFile с новым расширением файла, указанным в конфигурации BlackCat.

BlackCat ransomware представляет собой серьезную угрозу как для организаций, так и для частных лиц благодаря своей способности убивать множество процессов и сервисов и технике обхода песочницы. Исследователи безопасности определили правила YARA, которые помогают охотиться за BlackCat, однако из-за постоянно меняющейся тактики, применяемой злоумышленниками, организации должны сохранять бдительность и принимать необходимые превентивные меры для защиты своих систем от подобных атак.

#ParsedReport #CompletenessHigh
22-05-2023

Bluenoroff s RustBucket campaign

https://blog.sekoia.io/bluenoroffs-rustbucket-campaign

Report completeness: High

Actors/Campaigns:
Lazarus
Kimsuky
Dream_job
Snatchcrypto

Threats:
Rustbucket
Motw_bypass_technique
Typosquatting_technique
Nukesped_rat

Victims:
Macos platform, finance-related institutions

Industry:
Financial

Geo:
Thailand, Korea, Dprk, Laos, America, Asia

IOCs:
File: 20
Domain: 4
Hash: 45
Command: 2
IP: 10

Softs:
macos, onenote, curl

Algorithms:
xor, base64, zip

Win API:
OpenProcess

Win Services:
AvastSvc

Languages:
objective_c, javascript, rust

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Bluenoroff - это финансово-ориентированная группа вторжений, которая активно атакует криптовалютные биржи, венчурные организации и другие финансовые учреждения, по крайней мере, с 2015 года в рамках усилий по получению дохода для обхода санкций. Группа использует различные методы, включая фишинговые письма, typosquatting и обновленные файлы VHD и CAB, чтобы нацелиться на своих жертв.
-----

Bluenoroff - это финансово-ориентированный набор для вторжения в Северную Корею, действующий по меньшей мере с 2015 года.

Она нацелилась на криптовалютные биржи, предприятия венчурного капитала и другие финансовые учреждения в рамках стратегической задачи Пхеньяна по получению доходов для обхода санкций.

Для своей вредоносной деятельности Bluenoroff использует различные методы, включая фишинговые письма, опечатки, файлы VHD и CAB, файлы chm (Windows Helper) и кроссплатформенный язык.

Он был замечен в рассылке ZIP-архива, содержащего не вредоносный PDF-документ и LNK-файл, маскирующийся под TXT-файл или программу для чтения PDF.

#ParsedReport #CompletenessMedium
22-05-2023

GuLoader as the Gatekeeper of AgentTesla: A Comprehensive Analysis. First checks on the initial script

https://lab52.io/blog/2023-2

Report completeness: Medium

Threats:
Cloudeye
Agent_tesla
Process_hacker_tool
Antidebugging_technique
Sandbox_evasion_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.002, T1047, T1053.005, T1083, T1036.003, T1057.001, T1071.004, T1497, T1045, T1063, have more...

IOCs:
File: 4
IP: 1
Hash: 5
Url: 2

Softs:
gatekeeper

Algorithms:
base64, exhibit, xor

Functions:
GetDeviceDriverBaseName

Win API:
VirtualAlloc, CallWindowProcA, NtProtectVirtualMemory, EnumWindows, EnumDeviceDrivers, EnumServicesStatusA, GetDeviceDriverBaseNameA

Links:
https://github.com/dr4k0nia/XorStringsNET

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этом посте представлен всесторонний анализ вредоносной программы GuLoader, ее роли в процессе заражения, ведущем к печально известному краже AgentTesla, и всего процесса заражения от начала до конца. Он также показывает наличие различных методов антианализа, таких как VEH и XOR-шифрование, используемых вредоносной программой.
-----

Девиз команды разработчиков вредоносных программ Lab52: "Нам нужны ваши вредоносные программы". В данном конкретном случае команда Threat Intelligence предоставила нам файл, который уже был отмечен 15 антивирусными системами на VirusTotal как вредоносный. В этом посте представлен всесторонний анализ вредоносной программы GuLoader, ее роли в процессе заражения, приведшем к появлению печально известного угонщика AgentTesla, и всего процесса заражения от начала до конца.

GuLoader известен своими сложными методами анти-анализа, что затрудняет процесс анализа. Однако в результате тщательного расследования удалось обнаружить этапы, ведущие к созданию конечной полезной нагрузки - AgentTesla. Домен melsicon.com (195.191.148.219) является легитимным, создан 12 лет назад и не связан с какой-либо вредоносной деятельностью, согласно источникам.

Исходный файл был закодирован в base64. После декодирования анализ выявил наличие сценария PowerShell, содержащего комментарии и функцию, отвечающую за расшифровку строк. Этот сценарий содержит параметр $Minefa3, который используется для инициирования третьего этапа выполнения вредоносной программы GuLoader.

Этот этап состоит из двух шеллкодов. Первый служит в качестве батута, расшифровывая различные секции второго шеллкода и получая точку входа. В качестве техники защиты от анализа оба шеллкода используют переходы к невыровненным байтам. Второй шеллкод демонстрирует характеристики, связанные с GuLoader, а расшифрованный из него двоичный файл имеет явные признаки AgentTesla. Он содержит два модуля, a и A, с конфигурацией в A.b. Кроме того, в нем есть несколько классов, которые наблюдались в предыдущих образцах AgentTesla и отвечают за расшифровку учетных данных каждой программы. Строки также расшифровываются с помощью инструмента XORStrings от dr4k0nia, что характерно для новых версий AgentTesla.

После проникновения во второй шеллкод для замедления попыток анализа используются такие методы защиты от анализа, как VEH (Vectored Exception Handler) и XOR-шифрование. VEH устанавливает пользовательский обработчик исключений для перехвата определенных типов исключений, таких как точки останова или нарушения доступа, до того, как они будут обработаны стандартным механизмом обработки исключений операционной системы. Затем вредоносная программа использует инструкции rdtsc и cpuid для проверки, запущена ли она на виртуальной машине, и при обнаружении виртуальной машины перезаписывает часть шеллкода нулями. Кроме того, она обращается к домену melsicon по URL https://melsicon.com/PUPWI75.bin для поиска нового этапа.

#ParsedReport #CompletenessHigh
22-05-2023

IcedID Macro Ends in Nokoyawa Ransomware

https://thedfirreport.com/2023/05/22/icedid-macro-ends-in-nokoyawa-ransomware

Report completeness: High

Threats:
Nokoyawa
Icedid
Cobalt_strike
Karma
Nemty
Adfind_tool
Beacon
Dumplsass_tool
Adget_tool
Credential_dumping_technique
Keyhole_tool
Process_injection_technique
Mimikatz_tool
Nltest_tool
Winrm_tool
Meterpreter_tool

Victims:
Italian organizations

Geo:
Italian

TTPs:
Tactics: 12
Technics: 32

ChatGPT TTPs:
do not use without manual check
T1134.001, T1087.001, T1087.002, T1071.001, T1059.003, T1059.001, T1059.005, T1486, T1482, T1083, have more...

IOCs:
Domain: 8
File: 29
IP: 13
Hash: 14
Url: 2
Command: 3
Path: 17
Coin: 1

Softs:
onenote, microsoft office, psexec, mssql, active directory, sysinternals psexec, microsoft edge, chrome, mac os, winlogon, have more...

Crypto:
bitcoin

Algorithms:
base64

Functions:
Excel, GetSystem

Win API:
DllRegisterServer, CreateRemoteThread, VirtualAllocEx, CreateThread, RtlCreateUserThread, SetThreadContext

Languages:
visual_basic, php

Platforms:
intel, x86

YARA: Found
SIGMA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
https://github.com/0xThiebaut/PCAPeek/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что угрозы нацеливались на итальянские организации с помощью Excel maldocs для развертывания вредоносного ПО IcedID, которое использовалось в сочетании с DLL-библиотеками Cobalt Strike beacon, пакетными сценариями и командами WMI для бокового распространения. Они также использовали WinRM, WMI и GetSystem для получения более высоких привилегий и развертывали вымогательское ПО Nokoyawa в масштабе с помощью PsExec.
-----

В этом деле описывается вредоносная атака, которая произошла в 4 квартале 2022 года. Угрожающие субъекты нацелились на итальянские организации с помощью Excel-малдоков, в которых был развернут IcedID. IcedID - это семейство вредоносных программ, связанное с Karma/Nemty ransomware, а вредоносный документ Excel был доставлен в рамках вредоносной кампании по электронной почте в первой половине октября 2022 года.

Попав внутрь, угрожающие субъекты использовали комбинацию DLL-библиотек Cobalt Strike beacon, пакетных скриптов и команд WMI для бокового распространения. Они подключались к взломанному серверу через RDP для развертывания полезной нагрузки Nokoyawa ransomware, Sysinternals PsExec и кластера пакетных файлов. Время распространения выкупной программы (TTR) составило около 148 часов (\~6 дней) с момента первоначального заражения. Цена выкупа была названа около 200 000 долларов США в биткоинах, но выкуп не был выплачен.

На этапе обнаружения в основном использовались встроенные инструменты Windows, такие как chcp, который позволяет отображать или устанавливать номер кодовой страницы, и 7-Zip для архивирования данных, собранных из активного каталога с помощью AdFind. Угрожающие субъекты также использовали WinRM и WMI для латерального перемещения. Для повышения привилегий они использовали функцию именованной трубы GetSystem в инструменте Cobalt Strike. Кроме того, они обращались к LSASS из процесса Cobalt Strike, вероятно, для сброса учетных данных из памяти.

Вредоносная DLL, p1.dll, была сброшена и запущена на хосте плацдарма. Эта вредоносная DLL представляет собой маяк Cobalt Strike, достигающий 23.29.115.152/aicsoftware.com по портам 757 и 8080. Позже участники угрозы также внедрили в память еще один маяк, обращающийся к 50.3.132.232/iconnectgs.com по порту 8081. Позже, на шестой день, участники угрозы добавили к вторжению новый сервер Cobalt Strike, 5.8.18.242 с портом 443.

Угрожающие лица развернули вымогательское ПО Nokoyawa с одного из серверов с помощью WMI и PsExec. В конфигурацию ransomware был включен пропуск ряда каталогов и расширений, а также включено шифрование сети и скрытых дисков. Для параметра DELETE_SHADOW было установлено значение true, чтобы удалить теневые копии томов. Затем программа-вымогатель была развернута в масштабе с использованием PsExec для шифрования домена Windows.

#ParsedReport #CompletenessLow
22-05-2023

Distribution of Remcos RAT Exploiting sqlps.exe Utility of MS-SQL Servers

https://asec.ahnlab.com/en/52920

Report completeness: Low

Threats:
Remcos_rat
Trojan/win.agent.c5361921593
Backdoor/win.bt.c523552
Malware/mdp.download.m1197

Victims:
Poorly managed ms-sql servers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.003, T1064, T1117, T1182, T1218, T1222, T1566.001

IOCs:
File: 1
IP: 1
Hash: 3
Url: 2

Softs:
ms-sql

Languages:
autoit

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил случай установки Remcos RAT на плохо управляемые серверы MS-SQL. Угрожающий агент использовал SQL Server PowerShell для взлома сервера MS-SQL и загрузки вредоносного ПО. Для предотвращения подобных атак пользователи должны убедиться, что у них установлена последняя версия антивируса, а администраторы должны использовать брандмауэры для ограничения доступа. Принятие этих мер предосторожности поможет предотвратить постоянные заражения угрожающими субъектами и вредоносными программами.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил случай установки Remcos RAT на плохо управляемые серверы MS-SQL. В этом случае для распространения вредоносной программы угроза использовала sqlps, или SQL Server PowerShell. SQL Server PowerShell - это набор команд, позволяющих пользователям управлять своими экземплярами SQL Server. Используя эту функцию, угрожающий агент смог проникнуть на сервер MS-SQL и загрузить вредоносное ПО в каталог %temp% перед его исполнением.

После выполнения вредоносная программа создавала файл, записанный с помощью QSetup Installation Suite - программы установки для операционных систем Windows. Затем эта программа установки создавала в каталоге temp два файла - файл dust и файл lone. Файл dust представлял собой обфусцированный файл сценария VBS, который выполнял команду, создающую папку со случайным именем и объединяющую файлы в каталоге temp для создания программы установки. Файл lone представлял собой обфусцированный файл сценария AutoIt, который выполнялся через сгенерированный обычный исполняемый файл AutoIt, расшифровывая Remcos RAT для его внедрения и запуска.

После установки Remcos RAT пытался подключиться к 80.66.75.51:2290, чтобы получить возможности удаленного управления файлами и процессами зараженной системы. Для предотвращения подобных атак пользователи должны убедиться, что у них установлена последняя версия V3, а администраторы должны использовать программы безопасности, такие как брандмауэры, для ограничения доступа внешних субъектов угроз к любым серверам баз данных, доступным извне. Принятие этих мер предосторожности поможет предотвратить постоянные заражения со стороны субъектов угроз и вредоносных программ.