#ParsedReport #CompletenessMedium
22-05-2023

Kimsuky Group Using Meterpreter to Attack Web Servers

https://asec.ahnlab.com/en/53046

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Metasploit_tool
Appleseed
Vmprotect_tool

Victims:
Korean construction company

Industry:
Energy

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1086, T1055, T1090, T1071, T1218, T1105

IOCs:
File: 4
Command: 1
IP: 1
Hash: 2
Url: 2

Softs:
onenote

Languages:
golang

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky - это поддерживаемая Северной Кореей группа угроз, которая действует с 2013 года и недавно стала атаковать веб-серверы Windows IIS.
-----

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносную деятельность группы Kimsuky - угрожающей группы, которая, как считается, поддерживается Северной Кореей. Эта группа действует с 2013 года и первоначально атаковала связанные с Северной Кореей исследовательские институты в Южной Корее, а также корейскую энергетическую корпорацию в 2014 году. С 2017 года группа стала атаковать страны за пределами Южной Кореи.

ASEC проводит анализ различных случаев атак Kimsuky, в основном фишинговых атак типа "spear", в ходе которых к электронным письмам прикрепляются вредоносные файлы в форматах документов MS Office, OneNote или CHM. Самая последняя атака была направлена на веб-серверы Windows IIS и установку вредоносного бэкдора Metasploit Meterpreter. Кроме того, была установлена вредоносная программа-прокси, разработанная на языке GoLang. Целью атаки был веб-сервер Windows IIS корейской строительной компании. Предполагается, что уязвимость не была устранена или неадекватно управлялась.

Угроза проникла на веб-сервер IIS и выполнила команду Powershell, загрузив извне дополнительную полезную нагрузку под названием img.dat. Этот файл img.dat представляет собой вредоносный бэкдор, также известный как Metasploit Meterpreter. Затем злоумышленники использовали Meterpreter для дополнительной установки вредоносной программы proxy. C&C-адрес, использованный в атаке, ранее уже применялся группой Kimsuky, а метод, при котором процесс regsvr32.exe запускает вредоносное ПО, аналогичен методу, использованному группой Kimsuky в прошлом. Вредоносное ПО, используемое в атаках, имеет формат DLL-файла и запускается после загрузки процессом regsvr32.exe.

Вредоносная программа-прокси, используемая в этой атаке, получает два IP-адреса и номера портов из аргумента командной строки для их ретрансляции. Сигнатура, предположительно используемая для процесса проверки при передаче данных, представляет собой строку "aPpLe". Предполагается, что цель использования агентом угрозы вредоносной программы-прокси - RDP-подключение к зараженной системе на более поздних этапах.

Атака группы Kimsuky, направленная на веб-сервер Windows IIS, является напоминанием о том, что менеджеры серверов должны ставить заплатки на свои серверы и практиковать предотвращение использования известных уязвимостей. Следует также использовать защитное программное обеспечение для ограничения внешнего доступа к открытым извне серверам и обновлять V3 до последней версии для предотвращения заражения вредоносным ПО.

#ParsedReport #CompletenessMedium
22-05-2023

Analysis of attack cases leading to MeshAgent infection in domestic VPN installation

https://asec.ahnlab.com/ko/53053

Report completeness: Medium

Threats:
Spark_rat
Meshcentral_tool
Anydesk_tool
Teamviewer_tool
Ammyyrat
Tmate_tool
Netsupportmanager_rat
Dropper/win.agent.c5431031
Sparkrat
Dropper/win.meshagent.c5431027
Trojan/win.meshagent.c5431026
Malware/mdp.download.m1197

Victims:
Vpn company

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1193, T1085, T1086, T1082

IOCs:
File: 5
Command: 2
Hash: 5
Url: 2
Domain: 1

Softs:
task scheduler, macos

Languages:
golang

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил, что вредоносный код распространяется через внутренний установщик VPN, и что его трудно обнаружить из-за того, что в нем участвует как вредоносный код, так и легитимный установщик VPN. -----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил, что вредоносный код был распространен через программу установки VPN в стране. Похоже, что один и тот же злоумышленник ответственен как за эту атаку, так и за аналогичную в прошлом, хотя метод атаки несколько изменился. На этот раз вместо упаковщика, разработанного на .Net, использовался вредоносный код-дроппер, разработанный на языке Go. Кроме того, был дополнительно установлен MeshCentral's MeshAgent для функциональности удаленного рабочего стола.

Вредоносный код распространяется путем изменения файла программы установки на сайте компании VPN. Когда пользователи загружают и запускают программу установки, устанавливается как вредоносный код, так и легитимный установщик VPN. Дроппер создает и исполняет вредоносный код, внедренный в PE, а маскирующийся установщик регистрирует дополнительный файл (start.exe) в планировщике задач. Start.exe - это вредоносная программа-загрузчик, разработанная на языке Go, которая отвечает за загрузку и выполнение дополнительных вредоносных кодов извне.

Используемое вредоносное ПО - SparkRAT, вредоносная программа RAT, разработанная на языке Go, которая обеспечивает основные функции, такие как выполнение команд, кража информации, управление процессами и файлами. Она поддерживает Windows, Linux и MacOS. Затем злоумышленник устанавливает MeshAgent, бесплатный инструмент управления с открытым исходным кодом, для обеспечения удаленного контроля и потенциально вредоносных целей.

Эту атаку сложно обнаружить из-за того, что в ней участвует как вредоносный код, так и легитимный установщик VPN.

#ParsedReport #CompletenessHigh
22-05-2023

Technical Analysis of ALPHV/BlackCat Ransomware

https://cloudsek.com/blog/technical-analysis-of-alphv-blackcat-ransomware

Report completeness: High

Actors/Campaigns:
Blackcat

Threats:
Blackcat
Havoc
Uac_bypass_technique
Exmatter_tool
Vssadmin_tool

Victims:
Organizations across the world

Industry:
Education

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1036, T1035, T1045, T1053, T1078, T1547, T1548, T1543

IOCs:
Hash: 4

Softs:
microsoft com, component object model, bcdedit

Algorithms:
chacha20, aes, sha256

Functions:
FindFirstFile, FindNextFIle

Win API:
GetCommandLineW, CreateThread, CoGetObject, LookupPrivilegeValueW, AdjustTokenPrivileges, WriteFile, BCryptGenRandom, ReadFile, SeIncreaseQuotaPrivilege, SeSecurityPrivilege, have more...

Languages:
rust

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlackCat ransomware - это вредоносное программное обеспечение, которое наносит значительный ущерб организациям и частным лицам с конца 2021 года. Для нанесения ущерба она использует различные техники, такие как шифрование, обход песочницы и повышение привилегий. Исследователи безопасности определили правила YARA, помогающие обнаружить ransomware, однако организации должны сохранять бдительность и принимать необходимые превентивные меры для защиты своих систем.
-----

BlackCat ransomware - это вредоносная программа, которая наносит значительный ущерб организациям по всему миру с конца 2021 года. Она написана на языке Rust и поставляется в виде инструмента командной строки, который можно запускать с различными аргументами. Он использует шифрование AES или ChaCha20 для шифрования всех файлов в системе жертвы. Также было замечено, что злоумышленники используют инструмент для кражи .NET под названием ExMatter, разработанный той же APT-группой, для загрузки файлов с машины жертвы и давления на жертву угрозой утечки конфиденциальных данных.

Двоичный файл BlackCat содержит маркер доступа, который используется для шифрования конфигурации Ransomware и предотвращения извлечения конфигурации средствами автоматического анализа. После предоставления маркера доступа Ransomware расшифровывает выкупную записку, встроенную в двоичный файл, и сохраняет ее для последующего использования. Она также устанавливает записку о выкупе в качестве обоев рабочего стола. Ransomware готовится к повышению привилегий, создавая новый поток с помощью API CreateThread. Затем она обходит UAC, используя Microsoft COM (объектную модель компонентов), и предоставляет себе определенные привилегии с помощью API LookupPrivilegeValueW и AdjustTokenPrivileges. После этого он удаляет все теневые копии томов, отключает автоматическое восстановление, очищает журналы событий и завершает все активные службы и процессы.

Затем программа-вымогатель обходит систему, чтобы найти все файлы, и использует BCryptGenRandom для вычисления случайного AES-ключа. Для каждого файла создается блок JSON, который содержит ключ AES, используемый для шифрования файла, и информацию о файле. Ключ AES далее шифруется с помощью открытого ключа RSA, хранящегося в конфигурации BlackCat. Затем файл шифруется с помощью AES, а его содержимое записывается в файл с помощью ReadFile и WriteFile с новым расширением файла, указанным в конфигурации BlackCat.

BlackCat ransomware представляет собой серьезную угрозу как для организаций, так и для частных лиц благодаря своей способности убивать множество процессов и сервисов и технике обхода песочницы. Исследователи безопасности определили правила YARA, которые помогают охотиться за BlackCat, однако из-за постоянно меняющейся тактики, применяемой злоумышленниками, организации должны сохранять бдительность и принимать необходимые превентивные меры для защиты своих систем от подобных атак.

#ParsedReport #CompletenessHigh
22-05-2023

Bluenoroff s RustBucket campaign

https://blog.sekoia.io/bluenoroffs-rustbucket-campaign

Report completeness: High

Actors/Campaigns:
Lazarus
Kimsuky
Dream_job
Snatchcrypto

Threats:
Rustbucket
Motw_bypass_technique
Typosquatting_technique
Nukesped_rat

Victims:
Macos platform, finance-related institutions

Industry:
Financial

Geo:
Thailand, Korea, Dprk, Laos, America, Asia

IOCs:
File: 20
Domain: 4
Hash: 45
Command: 2
IP: 10

Softs:
macos, onenote, curl

Algorithms:
xor, base64, zip

Win API:
OpenProcess

Win Services:
AvastSvc

Languages:
objective_c, javascript, rust

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Bluenoroff - это финансово-ориентированная группа вторжений, которая активно атакует криптовалютные биржи, венчурные организации и другие финансовые учреждения, по крайней мере, с 2015 года в рамках усилий по получению дохода для обхода санкций. Группа использует различные методы, включая фишинговые письма, typosquatting и обновленные файлы VHD и CAB, чтобы нацелиться на своих жертв.
-----

Bluenoroff - это финансово-ориентированный набор для вторжения в Северную Корею, действующий по меньшей мере с 2015 года.

Она нацелилась на криптовалютные биржи, предприятия венчурного капитала и другие финансовые учреждения в рамках стратегической задачи Пхеньяна по получению доходов для обхода санкций.

Для своей вредоносной деятельности Bluenoroff использует различные методы, включая фишинговые письма, опечатки, файлы VHD и CAB, файлы chm (Windows Helper) и кроссплатформенный язык.

Он был замечен в рассылке ZIP-архива, содержащего не вредоносный PDF-документ и LNK-файл, маскирующийся под TXT-файл или программу для чтения PDF.

#ParsedReport #CompletenessMedium
22-05-2023

GuLoader as the Gatekeeper of AgentTesla: A Comprehensive Analysis. First checks on the initial script

https://lab52.io/blog/2023-2

Report completeness: Medium

Threats:
Cloudeye
Agent_tesla
Process_hacker_tool
Antidebugging_technique
Sandbox_evasion_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.002, T1047, T1053.005, T1083, T1036.003, T1057.001, T1071.004, T1497, T1045, T1063, have more...

IOCs:
File: 4
IP: 1
Hash: 5
Url: 2

Softs:
gatekeeper

Algorithms:
base64, exhibit, xor

Functions:
GetDeviceDriverBaseName

Win API:
VirtualAlloc, CallWindowProcA, NtProtectVirtualMemory, EnumWindows, EnumDeviceDrivers, EnumServicesStatusA, GetDeviceDriverBaseNameA

Links:
https://github.com/dr4k0nia/XorStringsNET

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этом посте представлен всесторонний анализ вредоносной программы GuLoader, ее роли в процессе заражения, ведущем к печально известному краже AgentTesla, и всего процесса заражения от начала до конца. Он также показывает наличие различных методов антианализа, таких как VEH и XOR-шифрование, используемых вредоносной программой.
-----

Девиз команды разработчиков вредоносных программ Lab52: "Нам нужны ваши вредоносные программы". В данном конкретном случае команда Threat Intelligence предоставила нам файл, который уже был отмечен 15 антивирусными системами на VirusTotal как вредоносный. В этом посте представлен всесторонний анализ вредоносной программы GuLoader, ее роли в процессе заражения, приведшем к появлению печально известного угонщика AgentTesla, и всего процесса заражения от начала до конца.

GuLoader известен своими сложными методами анти-анализа, что затрудняет процесс анализа. Однако в результате тщательного расследования удалось обнаружить этапы, ведущие к созданию конечной полезной нагрузки - AgentTesla. Домен melsicon.com (195.191.148.219) является легитимным, создан 12 лет назад и не связан с какой-либо вредоносной деятельностью, согласно источникам.

Исходный файл был закодирован в base64. После декодирования анализ выявил наличие сценария PowerShell, содержащего комментарии и функцию, отвечающую за расшифровку строк. Этот сценарий содержит параметр $Minefa3, который используется для инициирования третьего этапа выполнения вредоносной программы GuLoader.

Этот этап состоит из двух шеллкодов. Первый служит в качестве батута, расшифровывая различные секции второго шеллкода и получая точку входа. В качестве техники защиты от анализа оба шеллкода используют переходы к невыровненным байтам. Второй шеллкод демонстрирует характеристики, связанные с GuLoader, а расшифрованный из него двоичный файл имеет явные признаки AgentTesla. Он содержит два модуля, a и A, с конфигурацией в A.b. Кроме того, в нем есть несколько классов, которые наблюдались в предыдущих образцах AgentTesla и отвечают за расшифровку учетных данных каждой программы. Строки также расшифровываются с помощью инструмента XORStrings от dr4k0nia, что характерно для новых версий AgentTesla.

После проникновения во второй шеллкод для замедления попыток анализа используются такие методы защиты от анализа, как VEH (Vectored Exception Handler) и XOR-шифрование. VEH устанавливает пользовательский обработчик исключений для перехвата определенных типов исключений, таких как точки останова или нарушения доступа, до того, как они будут обработаны стандартным механизмом обработки исключений операционной системы. Затем вредоносная программа использует инструкции rdtsc и cpuid для проверки, запущена ли она на виртуальной машине, и при обнаружении виртуальной машины перезаписывает часть шеллкода нулями. Кроме того, она обращается к домену melsicon по URL https://melsicon.com/PUPWI75.bin для поиска нового этапа.

#ParsedReport #CompletenessHigh
22-05-2023

IcedID Macro Ends in Nokoyawa Ransomware

https://thedfirreport.com/2023/05/22/icedid-macro-ends-in-nokoyawa-ransomware

Report completeness: High

Threats:
Nokoyawa
Icedid
Cobalt_strike
Karma
Nemty
Adfind_tool
Beacon
Dumplsass_tool
Adget_tool
Credential_dumping_technique
Keyhole_tool
Process_injection_technique
Mimikatz_tool
Nltest_tool
Winrm_tool
Meterpreter_tool

Victims:
Italian organizations

Geo:
Italian

TTPs:
Tactics: 12
Technics: 32

ChatGPT TTPs:
do not use without manual check
T1134.001, T1087.001, T1087.002, T1071.001, T1059.003, T1059.001, T1059.005, T1486, T1482, T1083, have more...

IOCs:
Domain: 8
File: 29
IP: 13
Hash: 14
Url: 2
Command: 3
Path: 17
Coin: 1

Softs:
onenote, microsoft office, psexec, mssql, active directory, sysinternals psexec, microsoft edge, chrome, mac os, winlogon, have more...

Crypto:
bitcoin

Algorithms:
base64

Functions:
Excel, GetSystem

Win API:
DllRegisterServer, CreateRemoteThread, VirtualAllocEx, CreateThread, RtlCreateUserThread, SetThreadContext

Languages:
visual_basic, php

Platforms:
intel, x86

YARA: Found
SIGMA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
https://github.com/0xThiebaut/PCAPeek/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что угрозы нацеливались на итальянские организации с помощью Excel maldocs для развертывания вредоносного ПО IcedID, которое использовалось в сочетании с DLL-библиотеками Cobalt Strike beacon, пакетными сценариями и командами WMI для бокового распространения. Они также использовали WinRM, WMI и GetSystem для получения более высоких привилегий и развертывали вымогательское ПО Nokoyawa в масштабе с помощью PsExec.
-----

В этом деле описывается вредоносная атака, которая произошла в 4 квартале 2022 года. Угрожающие субъекты нацелились на итальянские организации с помощью Excel-малдоков, в которых был развернут IcedID. IcedID - это семейство вредоносных программ, связанное с Karma/Nemty ransomware, а вредоносный документ Excel был доставлен в рамках вредоносной кампании по электронной почте в первой половине октября 2022 года.

Попав внутрь, угрожающие субъекты использовали комбинацию DLL-библиотек Cobalt Strike beacon, пакетных скриптов и команд WMI для бокового распространения. Они подключались к взломанному серверу через RDP для развертывания полезной нагрузки Nokoyawa ransomware, Sysinternals PsExec и кластера пакетных файлов. Время распространения выкупной программы (TTR) составило около 148 часов (\~6 дней) с момента первоначального заражения. Цена выкупа была названа около 200 000 долларов США в биткоинах, но выкуп не был выплачен.

На этапе обнаружения в основном использовались встроенные инструменты Windows, такие как chcp, который позволяет отображать или устанавливать номер кодовой страницы, и 7-Zip для архивирования данных, собранных из активного каталога с помощью AdFind. Угрожающие субъекты также использовали WinRM и WMI для латерального перемещения. Для повышения привилегий они использовали функцию именованной трубы GetSystem в инструменте Cobalt Strike. Кроме того, они обращались к LSASS из процесса Cobalt Strike, вероятно, для сброса учетных данных из памяти.

Вредоносная DLL, p1.dll, была сброшена и запущена на хосте плацдарма. Эта вредоносная DLL представляет собой маяк Cobalt Strike, достигающий 23.29.115.152/aicsoftware.com по портам 757 и 8080. Позже участники угрозы также внедрили в память еще один маяк, обращающийся к 50.3.132.232/iconnectgs.com по порту 8081. Позже, на шестой день, участники угрозы добавили к вторжению новый сервер Cobalt Strike, 5.8.18.242 с портом 443.

Угрожающие лица развернули вымогательское ПО Nokoyawa с одного из серверов с помощью WMI и PsExec. В конфигурацию ransomware был включен пропуск ряда каталогов и расширений, а также включено шифрование сети и скрытых дисков. Для параметра DELETE_SHADOW было установлено значение true, чтобы удалить теневые копии томов. Затем программа-вымогатель была развернута в масштабе с использованием PsExec для шифрования домена Windows.

#ParsedReport #CompletenessLow
22-05-2023

Distribution of Remcos RAT Exploiting sqlps.exe Utility of MS-SQL Servers

https://asec.ahnlab.com/en/52920

Report completeness: Low

Threats:
Remcos_rat
Trojan/win.agent.c5361921593
Backdoor/win.bt.c523552
Malware/mdp.download.m1197

Victims:
Poorly managed ms-sql servers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.003, T1064, T1117, T1182, T1218, T1222, T1566.001

IOCs:
File: 1
IP: 1
Hash: 3
Url: 2

Softs:
ms-sql

Languages:
autoit

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил случай установки Remcos RAT на плохо управляемые серверы MS-SQL. Угрожающий агент использовал SQL Server PowerShell для взлома сервера MS-SQL и загрузки вредоносного ПО. Для предотвращения подобных атак пользователи должны убедиться, что у них установлена последняя версия антивируса, а администраторы должны использовать брандмауэры для ограничения доступа. Принятие этих мер предосторожности поможет предотвратить постоянные заражения угрожающими субъектами и вредоносными программами.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил случай установки Remcos RAT на плохо управляемые серверы MS-SQL. В этом случае для распространения вредоносной программы угроза использовала sqlps, или SQL Server PowerShell. SQL Server PowerShell - это набор команд, позволяющих пользователям управлять своими экземплярами SQL Server. Используя эту функцию, угрожающий агент смог проникнуть на сервер MS-SQL и загрузить вредоносное ПО в каталог %temp% перед его исполнением.

После выполнения вредоносная программа создавала файл, записанный с помощью QSetup Installation Suite - программы установки для операционных систем Windows. Затем эта программа установки создавала в каталоге temp два файла - файл dust и файл lone. Файл dust представлял собой обфусцированный файл сценария VBS, который выполнял команду, создающую папку со случайным именем и объединяющую файлы в каталоге temp для создания программы установки. Файл lone представлял собой обфусцированный файл сценария AutoIt, который выполнялся через сгенерированный обычный исполняемый файл AutoIt, расшифровывая Remcos RAT для его внедрения и запуска.

После установки Remcos RAT пытался подключиться к 80.66.75.51:2290, чтобы получить возможности удаленного управления файлами и процессами зараженной системы. Для предотвращения подобных атак пользователи должны убедиться, что у них установлена последняя версия V3, а администраторы должны использовать программы безопасности, такие как брандмауэры, для ограничения доступа внешних субъектов угроз к любым серверам баз данных, доступным извне. Принятие этих мер предосторожности поможет предотвратить постоянные заражения со стороны субъектов угроз и вредоносных программ.

#ParsedReport #CompletenessLow
22-05-2023

. Analysis of the large-scale attack activities launched by the "Snake" gang against domestic users

https://www.antiy.cn/research/notice&report/research_report/20230518.html

Report completeness: Low

Actors/Campaigns:
Snake

Threats:
Shadowpad
Gh0st_rat
Beacon

Victims:
Domestic users

Geo:
Chinese

TTPs:
Tactics: 7
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1140, T1082, T1064, T1078, T1090, T1086, T1085, T1053, T1071, have more...

IOCs:
File: 23
Path: 5
Hash: 13
IP: 6

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банда "Змея" активно атакует отечественных пользователей со второй половины 2022 года, используя различные тактики для распространения вредоносных программ. Однако благодаря защите интеллектуальных систем EDR и IEP компании Antiy пользователи могут быть уверены, что их устройства будут надежно защищены от такого рода атак.
-----

Банда Snake действует со второй половины 2022 года и совершила серию атак на отечественных пользователей. Злоумышленники использовали множество методов, включая фишинговые электронные письма, сайты загрузки поддельных электронных билетов, сайты загрузки поддельных прикладных программ, социальное программное обеспечение и другие каналы для распространения вредоносных программ. Вредоносные файлы полезной нагрузки обычно размещаются в таких каталогах, как "picturess/2022", "picturess/2023" и "images" на сервере банды. Вредоносная программа загружает несколько файлов полезной нагрузки с сервера злоумышленников, декодирует инструкции по их объединению в TASLoginBase.dll, а затем после многоуровневого декодирования выпускает и исполняет в памяти вариант троянца удаленного управления Gh0st.

После получения адреса C2 из загруженного файла %ProgramData%\setting.ini вредоносная программа загружает DLL-файл с сервера C2 и загружает его в память для выполнения. Затем она запускает программу 25638.exe со встроенным паролем для анализа DAT-файла. Воспользовавшись этой возможностью, злоумышленники могут добавить вредоносные коды в файл "_TUProj.dat". Файл Media.xml в папке 25638 и в папке svchost - это два разных файла полезной нагрузки, которые затем декодируются и объединяются в TASLoginBase.dll.

Вредоносный файл TASLoginBase.dll считывает файл update.log и выполняет вариант троянца удаленного управления Gh0st, который получает адрес C2 из загруженного файла %ProgramData%\setting.ini. Это позволяет злоумышленнику получить удаленный доступ к компьютеру жертвы. Компания Antiy идентифицировала это событие атаки и создала карту отображения ATT&CK, иллюстрирующую весь процесс доставки злоумышленником троянца, похищающего секреты.

Банда "Змея" активно атакует отечественных пользователей со второй половины 2022 года, используя различные тактики для распространения вредоносных программ. Однако благодаря защите интеллектуальных систем EDR и IEP компании Antiy пользователи могут быть уверены, что их устройства будут надежно защищены от такого рода атак.

#ParsedReport #CompletenessMedium
22-05-2023

Cloud-Based Malware Delivery: The Evolution of GuLoader

https://research.checkpoint.com/2023/cloud-based-malware-delivery-the-evolution-of-guloader

Report completeness: Medium

Threats:
Cloudeye
Formbook
Remcos_rat
404keylogger
Lokibot_stealer
Agent_tesla
Nanocore_rat
Netwire_rat
Junk_code_technique
Sandbox_evasion_technique
Antidebugging_technique
Trap_flag_technique
Dropper.win.cloudeye

ChatGPT TTPs:
do not use without manual check
T1045, T1218, T1057, T1082, T1566.001, T1480, T1012, T1497

IOCs:
Hash: 9
Url: 2
Path: 1

Softs:
nsis-installer, nsis installer, qemu

Algorithms:
xor, sha256, base64

Win API:
NtProtectVirtualMemory, EnumWindows, EnumDeviceDrivers, MsiEnumProductsA, MsiGetProductInfoA, DbgBreakPoint, DbgUiRemoveBreakIn, NtSetInformationThread, RtlAddVectoredExceptionHandler

Languages:
vbscirpt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GuLoader - это известный загрузчик на основе shellcode, который использовался в ряде атак для доставки широкого спектра вредоносных программ. Он использует несколько методов уклонения от защиты и способен обходить антивирусные средства защиты.
-----

GuLoader - это известный загрузчик на основе shellcode, который использовался в ряде атак для доставки широкого спектра вредоносных программ. Его полезная нагрузка полностью зашифрована, включая PE-заголовки, и в него интегрированы методы анти-анализа, затрудняющие его анализ. GuLoader способен обходить антивирусную защиту, а его вредоносная полезная нагрузка осталась необнаруженной на VirusTotal.

Ранние версии GuLoader были реализованы в виде приложений VB6, содержащих зашифрованный шелл-код. В настоящее время наиболее распространены версии на основе VBScript и NSIS-инсталлятора. Вариант VBScript хранит шеллкод на удаленном сервере, а вариант NSIS содержит шеллкод GuLoader в зашифрованном виде.

GuLoader использует несколько методов уклонения от защиты, таких как шифрование кода, антиотладка, уклонение от песочницы и многоуровневое шифрование. Он также использует новую технику анти-анализа, разработанную в конце 2022 года, которая заключается в нарушении нормального потока выполнения кода путем намеренного выброса большого количества исключений и их обработки в векторном обработчике исключений. Эта техника была усовершенствована с помощью трех различных шаблонов для выбрасывания исключений и нарушения нормального потока выполнения кода. Кроме того, GuLoader устанавливает флаг Trap Flag, чтобы поднять одношаговое исключение, и использует инструкцию int3 в качестве техники защиты от анализа.

Строки, включая URL для загрузки конечной полезной нагрузки, шифруются и хранятся в шеллкоде в определенной форме. Чтобы обмануть автоматический анализ, GuLoader использовал другой размер, а не размер, хранящийся вместе с ключом, для вычисления нового адреса перехода. Сам алгоритм расшифровки полезной нагрузки не изменился по сравнению с предыдущими версиями GuLoader.

Угроза, исходящая от GuLoader, продолжает расти из-за того, что разработчики постоянно работают над улучшением своего продукта. В результате жертвы получают файл VBScript, который является менее подозрительным, чем файл .exe, и с меньшей вероятностью вызывает предупреждения. Использование шифрования и хранение полезной нагрузки в необработанном двоичном формате без заголовков и отдельно от загрузчика делает ее абсолютно невидимой для антивирусов.

#ParsedReport #CompletenessMedium
22-05-2023

Fake Steam Desktop Authenticator App distributing DarkCrystal RAT

https://blog.bushidotoken.net/2023/05/fake-steam-desktop-authenticator-app.html

Report completeness: Medium

Threats:
Dcrat_rat
Typosquatting_technique

Victims:
Legitimate open-source desktop app

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 5
Url: 3
Domain: 7
Email: 3
Hash: 22

Softs:
windows defender, telegram

Algorithms:
zip

Languages:
php, javascript

Links:
https://github.com/Jessecar96/SteamDesktopAuthenticator/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что киберпреступники все чаще используют поддельные веб-сайты для распространения вредоносного ПО, и аналитикам важно знать об этой тактике.
-----

В последнее время участились случаи использования поддельных веб-сайтов для распространения вредоносного ПО. Эта тактика, методы и процедуры (TTP) не нова, однако за последний год она стала более распространенной. В качестве примера можно привести случай, когда киберпреступник клонировал веб-сайт легального приложения для настольных компьютеров с открытым исходным кодом и распространил вредоносное ПО с помощью сценария .BAT.

Этот скрипт отключает Windows Defender и запускает DCRAT, иначе известный как DarkCrystal RAT. Это товарный криминальный инструмент, который может быть приобретен и развернут любым начинающим киберпреступником на различных подпольных форумах и каналах Telegram. Стоит отметить, что DCRAT также был добавлен в VirusTotal.

Аналитикам важно знать об этой тактике, поскольку она становится все более популярной среди киберпреступников. Несмотря на то, что без проведения обширного исследования трудно дать количественную оценку, можно предположить, что число случаев применения этой тактики будет продолжать расти.

#ParsedReport #CompletenessLow
22-05-2023

BlackCat Ransomware Deploys New Signed Kernel Driver. Executive Summary

https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html

Report completeness: Low

Threats:
Blackcat
Stonestop
Vmprotect_tool
Poortry

Victims:
Microsoft hardware developer accounts

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1201.002, T1158.002, T1193.001

IOCs:
Hash: 3
File: 2
Path: 1

Algorithms:
sha256

Win API:
ZwTerminateProcess, ObQueryNameString