#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlackCat ransomware - это вредоносное программное обеспечение, которое наносит значительный ущерб организациям и частным лицам с конца 2021 года. Для нанесения ущерба она использует различные техники, такие как шифрование, обход песочницы и повышение привилегий. Исследователи безопасности определили правила YARA, помогающие обнаружить ransomware, однако организации должны сохранять бдительность и принимать необходимые превентивные меры для защиты своих систем.
-----

BlackCat ransomware - это вредоносная программа, которая наносит значительный ущерб организациям по всему миру с конца 2021 года. Она написана на языке Rust и поставляется в виде инструмента командной строки, который можно запускать с различными аргументами. Он использует шифрование AES или ChaCha20 для шифрования всех файлов в системе жертвы. Также было замечено, что злоумышленники используют инструмент для кражи .NET под названием ExMatter, разработанный той же APT-группой, для загрузки файлов с машины жертвы и давления на жертву угрозой утечки конфиденциальных данных.

Двоичный файл BlackCat содержит маркер доступа, который используется для шифрования конфигурации Ransomware и предотвращения извлечения конфигурации средствами автоматического анализа. После предоставления маркера доступа Ransomware расшифровывает выкупную записку, встроенную в двоичный файл, и сохраняет ее для последующего использования. Она также устанавливает записку о выкупе в качестве обоев рабочего стола. Ransomware готовится к повышению привилегий, создавая новый поток с помощью API CreateThread. Затем она обходит UAC, используя Microsoft COM (объектную модель компонентов), и предоставляет себе определенные привилегии с помощью API LookupPrivilegeValueW и AdjustTokenPrivileges. После этого он удаляет все теневые копии томов, отключает автоматическое восстановление, очищает журналы событий и завершает все активные службы и процессы.

Затем программа-вымогатель обходит систему, чтобы найти все файлы, и использует BCryptGenRandom для вычисления случайного AES-ключа. Для каждого файла создается блок JSON, который содержит ключ AES, используемый для шифрования файла, и информацию о файле. Ключ AES далее шифруется с помощью открытого ключа RSA, хранящегося в конфигурации BlackCat. Затем файл шифруется с помощью AES, а его содержимое записывается в файл с помощью ReadFile и WriteFile с новым расширением файла, указанным в конфигурации BlackCat.

BlackCat ransomware представляет собой серьезную угрозу как для организаций, так и для частных лиц благодаря своей способности убивать множество процессов и сервисов и технике обхода песочницы. Исследователи безопасности определили правила YARA, которые помогают охотиться за BlackCat, однако из-за постоянно меняющейся тактики, применяемой злоумышленниками, организации должны сохранять бдительность и принимать необходимые превентивные меры для защиты своих систем от подобных атак.

#ParsedReport #CompletenessHigh
22-05-2023

Bluenoroff s RustBucket campaign

https://blog.sekoia.io/bluenoroffs-rustbucket-campaign

Report completeness: High

Actors/Campaigns:
Lazarus
Kimsuky
Dream_job
Snatchcrypto

Threats:
Rustbucket
Motw_bypass_technique
Typosquatting_technique
Nukesped_rat

Victims:
Macos platform, finance-related institutions

Industry:
Financial

Geo:
Thailand, Korea, Dprk, Laos, America, Asia

IOCs:
File: 20
Domain: 4
Hash: 45
Command: 2
IP: 10

Softs:
macos, onenote, curl

Algorithms:
xor, base64, zip

Win API:
OpenProcess

Win Services:
AvastSvc

Languages:
objective_c, javascript, rust

YARA: Found

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Bluenoroff - это финансово-ориентированная группа вторжений, которая активно атакует криптовалютные биржи, венчурные организации и другие финансовые учреждения, по крайней мере, с 2015 года в рамках усилий по получению дохода для обхода санкций. Группа использует различные методы, включая фишинговые письма, typosquatting и обновленные файлы VHD и CAB, чтобы нацелиться на своих жертв.
-----

Bluenoroff - это финансово-ориентированный набор для вторжения в Северную Корею, действующий по меньшей мере с 2015 года.

Она нацелилась на криптовалютные биржи, предприятия венчурного капитала и другие финансовые учреждения в рамках стратегической задачи Пхеньяна по получению доходов для обхода санкций.

Для своей вредоносной деятельности Bluenoroff использует различные методы, включая фишинговые письма, опечатки, файлы VHD и CAB, файлы chm (Windows Helper) и кроссплатформенный язык.

Он был замечен в рассылке ZIP-архива, содержащего не вредоносный PDF-документ и LNK-файл, маскирующийся под TXT-файл или программу для чтения PDF.

#ParsedReport #CompletenessMedium
22-05-2023

GuLoader as the Gatekeeper of AgentTesla: A Comprehensive Analysis. First checks on the initial script

https://lab52.io/blog/2023-2

Report completeness: Medium

Threats:
Cloudeye
Agent_tesla
Process_hacker_tool
Antidebugging_technique
Sandbox_evasion_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.002, T1047, T1053.005, T1083, T1036.003, T1057.001, T1071.004, T1497, T1045, T1063, have more...

IOCs:
File: 4
IP: 1
Hash: 5
Url: 2

Softs:
gatekeeper

Algorithms:
base64, exhibit, xor

Functions:
GetDeviceDriverBaseName

Win API:
VirtualAlloc, CallWindowProcA, NtProtectVirtualMemory, EnumWindows, EnumDeviceDrivers, EnumServicesStatusA, GetDeviceDriverBaseNameA

Links:
https://github.com/dr4k0nia/XorStringsNET

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этом посте представлен всесторонний анализ вредоносной программы GuLoader, ее роли в процессе заражения, ведущем к печально известному краже AgentTesla, и всего процесса заражения от начала до конца. Он также показывает наличие различных методов антианализа, таких как VEH и XOR-шифрование, используемых вредоносной программой.
-----

Девиз команды разработчиков вредоносных программ Lab52: "Нам нужны ваши вредоносные программы". В данном конкретном случае команда Threat Intelligence предоставила нам файл, который уже был отмечен 15 антивирусными системами на VirusTotal как вредоносный. В этом посте представлен всесторонний анализ вредоносной программы GuLoader, ее роли в процессе заражения, приведшем к появлению печально известного угонщика AgentTesla, и всего процесса заражения от начала до конца.

GuLoader известен своими сложными методами анти-анализа, что затрудняет процесс анализа. Однако в результате тщательного расследования удалось обнаружить этапы, ведущие к созданию конечной полезной нагрузки - AgentTesla. Домен melsicon.com (195.191.148.219) является легитимным, создан 12 лет назад и не связан с какой-либо вредоносной деятельностью, согласно источникам.

Исходный файл был закодирован в base64. После декодирования анализ выявил наличие сценария PowerShell, содержащего комментарии и функцию, отвечающую за расшифровку строк. Этот сценарий содержит параметр $Minefa3, который используется для инициирования третьего этапа выполнения вредоносной программы GuLoader.

Этот этап состоит из двух шеллкодов. Первый служит в качестве батута, расшифровывая различные секции второго шеллкода и получая точку входа. В качестве техники защиты от анализа оба шеллкода используют переходы к невыровненным байтам. Второй шеллкод демонстрирует характеристики, связанные с GuLoader, а расшифрованный из него двоичный файл имеет явные признаки AgentTesla. Он содержит два модуля, a и A, с конфигурацией в A.b. Кроме того, в нем есть несколько классов, которые наблюдались в предыдущих образцах AgentTesla и отвечают за расшифровку учетных данных каждой программы. Строки также расшифровываются с помощью инструмента XORStrings от dr4k0nia, что характерно для новых версий AgentTesla.

После проникновения во второй шеллкод для замедления попыток анализа используются такие методы защиты от анализа, как VEH (Vectored Exception Handler) и XOR-шифрование. VEH устанавливает пользовательский обработчик исключений для перехвата определенных типов исключений, таких как точки останова или нарушения доступа, до того, как они будут обработаны стандартным механизмом обработки исключений операционной системы. Затем вредоносная программа использует инструкции rdtsc и cpuid для проверки, запущена ли она на виртуальной машине, и при обнаружении виртуальной машины перезаписывает часть шеллкода нулями. Кроме того, она обращается к домену melsicon по URL https://melsicon.com/PUPWI75.bin для поиска нового этапа.

#ParsedReport #CompletenessHigh
22-05-2023

IcedID Macro Ends in Nokoyawa Ransomware

https://thedfirreport.com/2023/05/22/icedid-macro-ends-in-nokoyawa-ransomware

Report completeness: High

Threats:
Nokoyawa
Icedid
Cobalt_strike
Karma
Nemty
Adfind_tool
Beacon
Dumplsass_tool
Adget_tool
Credential_dumping_technique
Keyhole_tool
Process_injection_technique
Mimikatz_tool
Nltest_tool
Winrm_tool
Meterpreter_tool

Victims:
Italian organizations

Geo:
Italian

TTPs:
Tactics: 12
Technics: 32

ChatGPT TTPs:
do not use without manual check
T1134.001, T1087.001, T1087.002, T1071.001, T1059.003, T1059.001, T1059.005, T1486, T1482, T1083, have more...

IOCs:
Domain: 8
File: 29
IP: 13
Hash: 14
Url: 2
Command: 3
Path: 17
Coin: 1

Softs:
onenote, microsoft office, psexec, mssql, active directory, sysinternals psexec, microsoft edge, chrome, mac os, winlogon, have more...

Crypto:
bitcoin

Algorithms:
base64

Functions:
Excel, GetSystem

Win API:
DllRegisterServer, CreateRemoteThread, VirtualAllocEx, CreateThread, RtlCreateUserThread, SetThreadContext

Languages:
visual_basic, php

Platforms:
intel, x86

YARA: Found
SIGMA: Found

Links:
https://github.com/DidierStevens/DidierStevensSuite/blob/master/1768.py
https://github.com/0xThiebaut/PCAPeek/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что угрозы нацеливались на итальянские организации с помощью Excel maldocs для развертывания вредоносного ПО IcedID, которое использовалось в сочетании с DLL-библиотеками Cobalt Strike beacon, пакетными сценариями и командами WMI для бокового распространения. Они также использовали WinRM, WMI и GetSystem для получения более высоких привилегий и развертывали вымогательское ПО Nokoyawa в масштабе с помощью PsExec.
-----

В этом деле описывается вредоносная атака, которая произошла в 4 квартале 2022 года. Угрожающие субъекты нацелились на итальянские организации с помощью Excel-малдоков, в которых был развернут IcedID. IcedID - это семейство вредоносных программ, связанное с Karma/Nemty ransomware, а вредоносный документ Excel был доставлен в рамках вредоносной кампании по электронной почте в первой половине октября 2022 года.

Попав внутрь, угрожающие субъекты использовали комбинацию DLL-библиотек Cobalt Strike beacon, пакетных скриптов и команд WMI для бокового распространения. Они подключались к взломанному серверу через RDP для развертывания полезной нагрузки Nokoyawa ransomware, Sysinternals PsExec и кластера пакетных файлов. Время распространения выкупной программы (TTR) составило около 148 часов (\~6 дней) с момента первоначального заражения. Цена выкупа была названа около 200 000 долларов США в биткоинах, но выкуп не был выплачен.

На этапе обнаружения в основном использовались встроенные инструменты Windows, такие как chcp, который позволяет отображать или устанавливать номер кодовой страницы, и 7-Zip для архивирования данных, собранных из активного каталога с помощью AdFind. Угрожающие субъекты также использовали WinRM и WMI для латерального перемещения. Для повышения привилегий они использовали функцию именованной трубы GetSystem в инструменте Cobalt Strike. Кроме того, они обращались к LSASS из процесса Cobalt Strike, вероятно, для сброса учетных данных из памяти.

Вредоносная DLL, p1.dll, была сброшена и запущена на хосте плацдарма. Эта вредоносная DLL представляет собой маяк Cobalt Strike, достигающий 23.29.115.152/aicsoftware.com по портам 757 и 8080. Позже участники угрозы также внедрили в память еще один маяк, обращающийся к 50.3.132.232/iconnectgs.com по порту 8081. Позже, на шестой день, участники угрозы добавили к вторжению новый сервер Cobalt Strike, 5.8.18.242 с портом 443.

Угрожающие лица развернули вымогательское ПО Nokoyawa с одного из серверов с помощью WMI и PsExec. В конфигурацию ransomware был включен пропуск ряда каталогов и расширений, а также включено шифрование сети и скрытых дисков. Для параметра DELETE_SHADOW было установлено значение true, чтобы удалить теневые копии томов. Затем программа-вымогатель была развернута в масштабе с использованием PsExec для шифрования домена Windows.

#ParsedReport #CompletenessLow
22-05-2023

Distribution of Remcos RAT Exploiting sqlps.exe Utility of MS-SQL Servers

https://asec.ahnlab.com/en/52920

Report completeness: Low

Threats:
Remcos_rat
Trojan/win.agent.c5361921593
Backdoor/win.bt.c523552
Malware/mdp.download.m1197

Victims:
Poorly managed ms-sql servers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.003, T1064, T1117, T1182, T1218, T1222, T1566.001

IOCs:
File: 1
IP: 1
Hash: 3
Url: 2

Softs:
ms-sql

Languages:
autoit

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил случай установки Remcos RAT на плохо управляемые серверы MS-SQL. Угрожающий агент использовал SQL Server PowerShell для взлома сервера MS-SQL и загрузки вредоносного ПО. Для предотвращения подобных атак пользователи должны убедиться, что у них установлена последняя версия антивируса, а администраторы должны использовать брандмауэры для ограничения доступа. Принятие этих мер предосторожности поможет предотвратить постоянные заражения угрожающими субъектами и вредоносными программами.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил случай установки Remcos RAT на плохо управляемые серверы MS-SQL. В этом случае для распространения вредоносной программы угроза использовала sqlps, или SQL Server PowerShell. SQL Server PowerShell - это набор команд, позволяющих пользователям управлять своими экземплярами SQL Server. Используя эту функцию, угрожающий агент смог проникнуть на сервер MS-SQL и загрузить вредоносное ПО в каталог %temp% перед его исполнением.

После выполнения вредоносная программа создавала файл, записанный с помощью QSetup Installation Suite - программы установки для операционных систем Windows. Затем эта программа установки создавала в каталоге temp два файла - файл dust и файл lone. Файл dust представлял собой обфусцированный файл сценария VBS, который выполнял команду, создающую папку со случайным именем и объединяющую файлы в каталоге temp для создания программы установки. Файл lone представлял собой обфусцированный файл сценария AutoIt, который выполнялся через сгенерированный обычный исполняемый файл AutoIt, расшифровывая Remcos RAT для его внедрения и запуска.

После установки Remcos RAT пытался подключиться к 80.66.75.51:2290, чтобы получить возможности удаленного управления файлами и процессами зараженной системы. Для предотвращения подобных атак пользователи должны убедиться, что у них установлена последняя версия V3, а администраторы должны использовать программы безопасности, такие как брандмауэры, для ограничения доступа внешних субъектов угроз к любым серверам баз данных, доступным извне. Принятие этих мер предосторожности поможет предотвратить постоянные заражения со стороны субъектов угроз и вредоносных программ.

#ParsedReport #CompletenessLow
22-05-2023

. Analysis of the large-scale attack activities launched by the "Snake" gang against domestic users

https://www.antiy.cn/research/notice&report/research_report/20230518.html

Report completeness: Low

Actors/Campaigns:
Snake

Threats:
Shadowpad
Gh0st_rat
Beacon

Victims:
Domestic users

Geo:
Chinese

TTPs:
Tactics: 7
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1140, T1082, T1064, T1078, T1090, T1086, T1085, T1053, T1071, have more...

IOCs:
File: 23
Path: 5
Hash: 13
IP: 6

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банда "Змея" активно атакует отечественных пользователей со второй половины 2022 года, используя различные тактики для распространения вредоносных программ. Однако благодаря защите интеллектуальных систем EDR и IEP компании Antiy пользователи могут быть уверены, что их устройства будут надежно защищены от такого рода атак.
-----

Банда Snake действует со второй половины 2022 года и совершила серию атак на отечественных пользователей. Злоумышленники использовали множество методов, включая фишинговые электронные письма, сайты загрузки поддельных электронных билетов, сайты загрузки поддельных прикладных программ, социальное программное обеспечение и другие каналы для распространения вредоносных программ. Вредоносные файлы полезной нагрузки обычно размещаются в таких каталогах, как "picturess/2022", "picturess/2023" и "images" на сервере банды. Вредоносная программа загружает несколько файлов полезной нагрузки с сервера злоумышленников, декодирует инструкции по их объединению в TASLoginBase.dll, а затем после многоуровневого декодирования выпускает и исполняет в памяти вариант троянца удаленного управления Gh0st.

После получения адреса C2 из загруженного файла %ProgramData%\setting.ini вредоносная программа загружает DLL-файл с сервера C2 и загружает его в память для выполнения. Затем она запускает программу 25638.exe со встроенным паролем для анализа DAT-файла. Воспользовавшись этой возможностью, злоумышленники могут добавить вредоносные коды в файл "_TUProj.dat". Файл Media.xml в папке 25638 и в папке svchost - это два разных файла полезной нагрузки, которые затем декодируются и объединяются в TASLoginBase.dll.

Вредоносный файл TASLoginBase.dll считывает файл update.log и выполняет вариант троянца удаленного управления Gh0st, который получает адрес C2 из загруженного файла %ProgramData%\setting.ini. Это позволяет злоумышленнику получить удаленный доступ к компьютеру жертвы. Компания Antiy идентифицировала это событие атаки и создала карту отображения ATT&CK, иллюстрирующую весь процесс доставки злоумышленником троянца, похищающего секреты.

Банда "Змея" активно атакует отечественных пользователей со второй половины 2022 года, используя различные тактики для распространения вредоносных программ. Однако благодаря защите интеллектуальных систем EDR и IEP компании Antiy пользователи могут быть уверены, что их устройства будут надежно защищены от такого рода атак.

#ParsedReport #CompletenessMedium
22-05-2023

Cloud-Based Malware Delivery: The Evolution of GuLoader

https://research.checkpoint.com/2023/cloud-based-malware-delivery-the-evolution-of-guloader

Report completeness: Medium

Threats:
Cloudeye
Formbook
Remcos_rat
404keylogger
Lokibot_stealer
Agent_tesla
Nanocore_rat
Netwire_rat
Junk_code_technique
Sandbox_evasion_technique
Antidebugging_technique
Trap_flag_technique
Dropper.win.cloudeye

ChatGPT TTPs:
do not use without manual check
T1045, T1218, T1057, T1082, T1566.001, T1480, T1012, T1497

IOCs:
Hash: 9
Url: 2
Path: 1

Softs:
nsis-installer, nsis installer, qemu

Algorithms:
xor, sha256, base64

Win API:
NtProtectVirtualMemory, EnumWindows, EnumDeviceDrivers, MsiEnumProductsA, MsiGetProductInfoA, DbgBreakPoint, DbgUiRemoveBreakIn, NtSetInformationThread, RtlAddVectoredExceptionHandler

Languages:
vbscirpt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GuLoader - это известный загрузчик на основе shellcode, который использовался в ряде атак для доставки широкого спектра вредоносных программ. Он использует несколько методов уклонения от защиты и способен обходить антивирусные средства защиты.
-----

GuLoader - это известный загрузчик на основе shellcode, который использовался в ряде атак для доставки широкого спектра вредоносных программ. Его полезная нагрузка полностью зашифрована, включая PE-заголовки, и в него интегрированы методы анти-анализа, затрудняющие его анализ. GuLoader способен обходить антивирусную защиту, а его вредоносная полезная нагрузка осталась необнаруженной на VirusTotal.

Ранние версии GuLoader были реализованы в виде приложений VB6, содержащих зашифрованный шелл-код. В настоящее время наиболее распространены версии на основе VBScript и NSIS-инсталлятора. Вариант VBScript хранит шеллкод на удаленном сервере, а вариант NSIS содержит шеллкод GuLoader в зашифрованном виде.

GuLoader использует несколько методов уклонения от защиты, таких как шифрование кода, антиотладка, уклонение от песочницы и многоуровневое шифрование. Он также использует новую технику анти-анализа, разработанную в конце 2022 года, которая заключается в нарушении нормального потока выполнения кода путем намеренного выброса большого количества исключений и их обработки в векторном обработчике исключений. Эта техника была усовершенствована с помощью трех различных шаблонов для выбрасывания исключений и нарушения нормального потока выполнения кода. Кроме того, GuLoader устанавливает флаг Trap Flag, чтобы поднять одношаговое исключение, и использует инструкцию int3 в качестве техники защиты от анализа.

Строки, включая URL для загрузки конечной полезной нагрузки, шифруются и хранятся в шеллкоде в определенной форме. Чтобы обмануть автоматический анализ, GuLoader использовал другой размер, а не размер, хранящийся вместе с ключом, для вычисления нового адреса перехода. Сам алгоритм расшифровки полезной нагрузки не изменился по сравнению с предыдущими версиями GuLoader.

Угроза, исходящая от GuLoader, продолжает расти из-за того, что разработчики постоянно работают над улучшением своего продукта. В результате жертвы получают файл VBScript, который является менее подозрительным, чем файл .exe, и с меньшей вероятностью вызывает предупреждения. Использование шифрования и хранение полезной нагрузки в необработанном двоичном формате без заголовков и отдельно от загрузчика делает ее абсолютно невидимой для антивирусов.

#ParsedReport #CompletenessMedium
22-05-2023

Fake Steam Desktop Authenticator App distributing DarkCrystal RAT

https://blog.bushidotoken.net/2023/05/fake-steam-desktop-authenticator-app.html

Report completeness: Medium

Threats:
Dcrat_rat
Typosquatting_technique

Victims:
Legitimate open-source desktop app

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 5
Url: 3
Domain: 7
Email: 3
Hash: 22

Softs:
windows defender, telegram

Algorithms:
zip

Languages:
php, javascript

Links:
https://github.com/Jessecar96/SteamDesktopAuthenticator/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что киберпреступники все чаще используют поддельные веб-сайты для распространения вредоносного ПО, и аналитикам важно знать об этой тактике.
-----

В последнее время участились случаи использования поддельных веб-сайтов для распространения вредоносного ПО. Эта тактика, методы и процедуры (TTP) не нова, однако за последний год она стала более распространенной. В качестве примера можно привести случай, когда киберпреступник клонировал веб-сайт легального приложения для настольных компьютеров с открытым исходным кодом и распространил вредоносное ПО с помощью сценария .BAT.

Этот скрипт отключает Windows Defender и запускает DCRAT, иначе известный как DarkCrystal RAT. Это товарный криминальный инструмент, который может быть приобретен и развернут любым начинающим киберпреступником на различных подпольных форумах и каналах Telegram. Стоит отметить, что DCRAT также был добавлен в VirusTotal.

Аналитикам важно знать об этой тактике, поскольку она становится все более популярной среди киберпреступников. Несмотря на то, что без проведения обширного исследования трудно дать количественную оценку, можно предположить, что число случаев применения этой тактики будет продолжать расти.

#ParsedReport #CompletenessLow
22-05-2023

BlackCat Ransomware Deploys New Signed Kernel Driver. Executive Summary

https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html

Report completeness: Low

Threats:
Blackcat
Stonestop
Vmprotect_tool
Poortry

Victims:
Microsoft hardware developer accounts

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1201.002, T1158.002, T1193.001

IOCs:
Hash: 3
File: 2
Path: 1

Algorithms:
sha256

Win API:
ZwTerminateProcess, ObQueryNameString

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные субъекты постоянно ищут новые способы обойти обнаружение и получить доступ к привилегированному уровню, например, с помощью руткитов, и организации должны принимать меры предосторожности для защиты от этих угроз.
-----

В феврале 2023 года произошел инцидент с вымогательским ПО, в котором использовался вредоносный драйвер ядра, подписанный через несколько учетных записей разработчиков оборудования Microsoft. Этот драйвер использовался в ряде кибератак, включая инциденты с использованием выкупного ПО, и показывает, что операторы выкупного ПО и их аффилированные лица заинтересованы в получении доступа на привилегированном уровне для используемых ими полезных нагрузок. Чтобы избежать обнаружения продуктами безопасности, эти злоумышленники выбирают путь наименьшего сопротивления и запускают свой вредоносный код через уровень ядра.

Вредоносный драйвер, использованный в инциденте, называется ktgn.sys и используется как часть процедуры уклонения от защиты BlackCat. Активация этого драйвера происходит путем простого сравнения байтов с жестко закодированным массивом байтов, который находится в драйвере. Если сравнение проходит, то устанавливается флаг BOOLEAN, который будет проверяться перед любой операцией.

Это показывает, что злоумышленники постоянно ищут новые способы обойти обнаружение и получить доступ на привилегированном уровне. Таким образом, руткиты будут продолжать использоваться сложными группами, обладающими навыками и ресурсами для разработки этих инструментов. Эти руткиты опасны тем, что они могут скрывать сложные целевые атаки, позволяя злоумышленникам ослаблять защиту до запуска реальной полезной нагрузки.

Организациям важно знать об этих постоянных угрозах и принимать меры по защите от них. Это включает в себя наличие платформ защиты конечных точек и технологий обнаружения и реагирования на них, а также регулярный мониторинг любых подписанных драйверов или связанных с ними тактик, методов и процедур.

#ParsedReport #CompletenessMedium
22-05-2023

APT-C-28ScarCruftRokRat. 1. Affected situation

https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Apt37

Threats:
Rokrat
Chinotto
Matryoshka_rat

Victims:
Korean users

Industry:
Healthcare, Aerospace, Financial

Geo:
Korean, Asia, Korea, Asian

IOCs:
Hash: 8
Url: 1
File: 4
Path: 1
Registry: 3

Algorithms:
sha1, xor, sha256

Win API:
IsDebuggerPresent, GetTickCount

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ScarCruft, APT-организация из Северо-Восточной Азии, использовала вредоносное ПО RokRat для проведения атак с 2016 года. RokRat обладает множеством функций, включая кражу информации о браузере, содержимого буфера обмена, клавиатурного ввода, информации о USB, скриншотов, информации почтового клиента, информации о передаче файлов, информации WIFI, управления доступом к учетным данным, а также использования облачных сервисов Google, Dropbox, pcloud и Yandex. Он также способен обнаруживать файлы, связанные с VMWare, 360 security guard, тип компьютера, делать скриншоты, собирать системную информацию, красть файлы и выполнять команды.
-----

В апреле 2022 года было установлено, что организация ScarCruft распространяла вредоносное ПО RokRat методом "матрешки". В этой атаке использовался вредоносный документ, замаскированный под форму заявления на оплату, чтобы побудить пользователей включить макросы, которые затем загружали и выполняли вредоносную программу RokRat. RokRat обладает множеством функций, включая возможность кражи информации из браузера, содержимого буфера обмена, ввода с клавиатуры, информации с USB, скриншотов, информации почтового клиента, информации о передаче файлов, информации WIFI и управления доступом к учетным данным. Он также использует облачные сервисы Google, Dropbox, pcloud и Yandex.

Организация APT-C-28, также известная как ScarCruft, APT37 (Reaper) и Group123, является зарубежной организацией APT из Северо-Восточной Азии. Она действует с 2012 года, в основном нацеливаясь на Южную Корею и другие азиатские страны и такие отрасли, как химия, электроника, производство, аэрокосмическая промышленность, автомобилестроение и здравоохранение. RokRat используется этой организацией для проведения атак с 2016 года.

Когда пользователь включил макрокод во вредоносном документе, второй макрокод Macro2 был динамически расшифрован из жестко закодированных данных Macro1. Macro2 внедрял жестко закодированный Shellcode первого этапа в Notepad.exe, а затем загружал зашифрованную полезную нагрузку из контролируемого злоумышленником облачного сервиса и расшифровывал ее для получения Shellcode второго этапа. Наконец, Shellcode расшифровывает жестко закодированные данные, чтобы получить вредоносную программу RokRat.

Вредоносная программа RokRat была составлена 22 декабря 2022 года и содержит множество возможностей. Она проверяет наличие файлов, связанных с VMWare, определяет, запущен ли 360 security guard, и идентифицирует тип компьютера. Она также делает скриншоты, собирает системную информацию (имя пользователя, имя компьютера, BIOS), крадет файлы и выполняет команды. Для взаимодействия с целевым узлом он использует облачные сервисы Dropbox, Pcloud и Yandex. Добавлена функция обнаружения AV при получении информации о процессах, и если обнаружено 360 процессов, связанных с охраной, последующие вредоносные функции не будут выполнены. При очистке следов на целевой системе изменяются выполняемые команды для обеспечения лучшей сохранности. Также добавлен код фильтрации типов файлов для выборочной кражи файлов в соответствии с типом файла.

#ParsedReport #CompletenessLow
23-05-2023

StrelaStealer Being Distributed To Spanish Users

https://asec.ahnlab.com/en/53158

Report completeness: Low

Threats:
Strela_stealer
Trojan/win.generic.r577470

Victims:
Spanish users

Industry:
Financial

Geo:
Spanish

ChatGPT TTPs:
do not use without manual check
T1113, T1059, T1086

IOCs:
Path: 2
Registry: 1
Url: 1
Hash: 1

Softs:
outlook

Algorithms:
zip, xor

Win API:
CryptUnprotectData

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа Центра экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердила, что StrelaStealer Infostealer распространяется среди испанских пользователей через спам по электронной почте. Вредоносная программа крадет учетные данные из Thunderbird и Outlook, поэтому пользователям следует быть осторожными при открытии писем из неизвестных источников и поддерживать свои продукты безопасности в актуальном состоянии.
-----

Аналитическая группа Центра экстренного реагирования на чрезвычайные ситуации безопасности (ASEC) компании AhnLab недавно подтвердила, что инфопрограмма StrelaStealer распространяется среди испанских пользователей. Эта вредоносная программа была впервые обнаружена примерно в ноябре 2022 года и рассылалась в качестве вложения в спам-письма, которые обычно сопровождались ISO-файлом. Однако в последнее время злоумышленники стали использовать в качестве вложений файлы ZIP. Электронное письмо содержит сообщение на испанском языке о платежных сборах и инструкцию для пользователей проверить прикрепленный счет. Если пользователь откроет вложение, оно будет содержать PIF-файл, который является настоящей вредоносной программой, крадущей учетные данные из Thunderbird и Outlook.

При выполнении файла PIF сначала создается мьютекс, использующий 6-значное значение XOR имени компьютера и слова "strela". Затем он приступает к сбору информации из Thunderbird и Outlook. Если соответствующая информация не найдена, вредоносная программа выдает сообщение на испанском языке о том, что файл поврежден и не может быть открыт, тем самым заставляя пользователей поверить, что они имеют дело с поврежденным, а не вредоносным файлом.

В Thunderbird он крадет учетные данные, считывая файлы из определенных каталогов и отправляя их на сервер Command and Control (C2). Для Outlook он считывает определенные значения реестра и шифрует пароль с помощью API CryptUnprotectData перед отправкой его на C2. Затем злоумышленники проверяют наличие ответа, содержащего строку "KH", чтобы убедиться в успешном получении.

В связи с возможностью использования эксфильтрованной информации во вредоносных целях, испанским пользователям важно проявлять повышенную осторожность при открытии электронных писем из неизвестных источников и не выполнять их вложения. Они также должны регулярно проверять свои компьютеры и обновлять свои продукты безопасности до последней версии.