#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банда "Змея" активно атакует отечественных пользователей со второй половины 2022 года, используя различные тактики для распространения вредоносных программ. Однако благодаря защите интеллектуальных систем EDR и IEP компании Antiy пользователи могут быть уверены, что их устройства будут надежно защищены от такого рода атак.
-----

Банда Snake действует со второй половины 2022 года и совершила серию атак на отечественных пользователей. Злоумышленники использовали множество методов, включая фишинговые электронные письма, сайты загрузки поддельных электронных билетов, сайты загрузки поддельных прикладных программ, социальное программное обеспечение и другие каналы для распространения вредоносных программ. Вредоносные файлы полезной нагрузки обычно размещаются в таких каталогах, как "picturess/2022", "picturess/2023" и "images" на сервере банды. Вредоносная программа загружает несколько файлов полезной нагрузки с сервера злоумышленников, декодирует инструкции по их объединению в TASLoginBase.dll, а затем после многоуровневого декодирования выпускает и исполняет в памяти вариант троянца удаленного управления Gh0st.

После получения адреса C2 из загруженного файла %ProgramData%\setting.ini вредоносная программа загружает DLL-файл с сервера C2 и загружает его в память для выполнения. Затем она запускает программу 25638.exe со встроенным паролем для анализа DAT-файла. Воспользовавшись этой возможностью, злоумышленники могут добавить вредоносные коды в файл "_TUProj.dat". Файл Media.xml в папке 25638 и в папке svchost - это два разных файла полезной нагрузки, которые затем декодируются и объединяются в TASLoginBase.dll.

Вредоносный файл TASLoginBase.dll считывает файл update.log и выполняет вариант троянца удаленного управления Gh0st, который получает адрес C2 из загруженного файла %ProgramData%\setting.ini. Это позволяет злоумышленнику получить удаленный доступ к компьютеру жертвы. Компания Antiy идентифицировала это событие атаки и создала карту отображения ATT&CK, иллюстрирующую весь процесс доставки злоумышленником троянца, похищающего секреты.

Банда "Змея" активно атакует отечественных пользователей со второй половины 2022 года, используя различные тактики для распространения вредоносных программ. Однако благодаря защите интеллектуальных систем EDR и IEP компании Antiy пользователи могут быть уверены, что их устройства будут надежно защищены от такого рода атак.

#ParsedReport #CompletenessMedium
22-05-2023

Cloud-Based Malware Delivery: The Evolution of GuLoader

https://research.checkpoint.com/2023/cloud-based-malware-delivery-the-evolution-of-guloader

Report completeness: Medium

Threats:
Cloudeye
Formbook
Remcos_rat
404keylogger
Lokibot_stealer
Agent_tesla
Nanocore_rat
Netwire_rat
Junk_code_technique
Sandbox_evasion_technique
Antidebugging_technique
Trap_flag_technique
Dropper.win.cloudeye

ChatGPT TTPs:
do not use without manual check
T1045, T1218, T1057, T1082, T1566.001, T1480, T1012, T1497

IOCs:
Hash: 9
Url: 2
Path: 1

Softs:
nsis-installer, nsis installer, qemu

Algorithms:
xor, sha256, base64

Win API:
NtProtectVirtualMemory, EnumWindows, EnumDeviceDrivers, MsiEnumProductsA, MsiGetProductInfoA, DbgBreakPoint, DbgUiRemoveBreakIn, NtSetInformationThread, RtlAddVectoredExceptionHandler

Languages:
vbscirpt

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: GuLoader - это известный загрузчик на основе shellcode, который использовался в ряде атак для доставки широкого спектра вредоносных программ. Он использует несколько методов уклонения от защиты и способен обходить антивирусные средства защиты.
-----

GuLoader - это известный загрузчик на основе shellcode, который использовался в ряде атак для доставки широкого спектра вредоносных программ. Его полезная нагрузка полностью зашифрована, включая PE-заголовки, и в него интегрированы методы анти-анализа, затрудняющие его анализ. GuLoader способен обходить антивирусную защиту, а его вредоносная полезная нагрузка осталась необнаруженной на VirusTotal.

Ранние версии GuLoader были реализованы в виде приложений VB6, содержащих зашифрованный шелл-код. В настоящее время наиболее распространены версии на основе VBScript и NSIS-инсталлятора. Вариант VBScript хранит шеллкод на удаленном сервере, а вариант NSIS содержит шеллкод GuLoader в зашифрованном виде.

GuLoader использует несколько методов уклонения от защиты, таких как шифрование кода, антиотладка, уклонение от песочницы и многоуровневое шифрование. Он также использует новую технику анти-анализа, разработанную в конце 2022 года, которая заключается в нарушении нормального потока выполнения кода путем намеренного выброса большого количества исключений и их обработки в векторном обработчике исключений. Эта техника была усовершенствована с помощью трех различных шаблонов для выбрасывания исключений и нарушения нормального потока выполнения кода. Кроме того, GuLoader устанавливает флаг Trap Flag, чтобы поднять одношаговое исключение, и использует инструкцию int3 в качестве техники защиты от анализа.

Строки, включая URL для загрузки конечной полезной нагрузки, шифруются и хранятся в шеллкоде в определенной форме. Чтобы обмануть автоматический анализ, GuLoader использовал другой размер, а не размер, хранящийся вместе с ключом, для вычисления нового адреса перехода. Сам алгоритм расшифровки полезной нагрузки не изменился по сравнению с предыдущими версиями GuLoader.

Угроза, исходящая от GuLoader, продолжает расти из-за того, что разработчики постоянно работают над улучшением своего продукта. В результате жертвы получают файл VBScript, который является менее подозрительным, чем файл .exe, и с меньшей вероятностью вызывает предупреждения. Использование шифрования и хранение полезной нагрузки в необработанном двоичном формате без заголовков и отдельно от загрузчика делает ее абсолютно невидимой для антивирусов.

#ParsedReport #CompletenessMedium
22-05-2023

Fake Steam Desktop Authenticator App distributing DarkCrystal RAT

https://blog.bushidotoken.net/2023/05/fake-steam-desktop-authenticator-app.html

Report completeness: Medium

Threats:
Dcrat_rat
Typosquatting_technique

Victims:
Legitimate open-source desktop app

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 5
Url: 3
Domain: 7
Email: 3
Hash: 22

Softs:
windows defender, telegram

Algorithms:
zip

Languages:
php, javascript

Links:
https://github.com/Jessecar96/SteamDesktopAuthenticator/

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что киберпреступники все чаще используют поддельные веб-сайты для распространения вредоносного ПО, и аналитикам важно знать об этой тактике.
-----

В последнее время участились случаи использования поддельных веб-сайтов для распространения вредоносного ПО. Эта тактика, методы и процедуры (TTP) не нова, однако за последний год она стала более распространенной. В качестве примера можно привести случай, когда киберпреступник клонировал веб-сайт легального приложения для настольных компьютеров с открытым исходным кодом и распространил вредоносное ПО с помощью сценария .BAT.

Этот скрипт отключает Windows Defender и запускает DCRAT, иначе известный как DarkCrystal RAT. Это товарный криминальный инструмент, который может быть приобретен и развернут любым начинающим киберпреступником на различных подпольных форумах и каналах Telegram. Стоит отметить, что DCRAT также был добавлен в VirusTotal.

Аналитикам важно знать об этой тактике, поскольку она становится все более популярной среди киберпреступников. Несмотря на то, что без проведения обширного исследования трудно дать количественную оценку, можно предположить, что число случаев применения этой тактики будет продолжать расти.

#ParsedReport #CompletenessLow
22-05-2023

BlackCat Ransomware Deploys New Signed Kernel Driver. Executive Summary

https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html

Report completeness: Low

Threats:
Blackcat
Stonestop
Vmprotect_tool
Poortry

Victims:
Microsoft hardware developer accounts

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1201.002, T1158.002, T1193.001

IOCs:
Hash: 3
File: 2
Path: 1

Algorithms:
sha256

Win API:
ZwTerminateProcess, ObQueryNameString

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные субъекты постоянно ищут новые способы обойти обнаружение и получить доступ к привилегированному уровню, например, с помощью руткитов, и организации должны принимать меры предосторожности для защиты от этих угроз.
-----

В феврале 2023 года произошел инцидент с вымогательским ПО, в котором использовался вредоносный драйвер ядра, подписанный через несколько учетных записей разработчиков оборудования Microsoft. Этот драйвер использовался в ряде кибератак, включая инциденты с использованием выкупного ПО, и показывает, что операторы выкупного ПО и их аффилированные лица заинтересованы в получении доступа на привилегированном уровне для используемых ими полезных нагрузок. Чтобы избежать обнаружения продуктами безопасности, эти злоумышленники выбирают путь наименьшего сопротивления и запускают свой вредоносный код через уровень ядра.

Вредоносный драйвер, использованный в инциденте, называется ktgn.sys и используется как часть процедуры уклонения от защиты BlackCat. Активация этого драйвера происходит путем простого сравнения байтов с жестко закодированным массивом байтов, который находится в драйвере. Если сравнение проходит, то устанавливается флаг BOOLEAN, который будет проверяться перед любой операцией.

Это показывает, что злоумышленники постоянно ищут новые способы обойти обнаружение и получить доступ на привилегированном уровне. Таким образом, руткиты будут продолжать использоваться сложными группами, обладающими навыками и ресурсами для разработки этих инструментов. Эти руткиты опасны тем, что они могут скрывать сложные целевые атаки, позволяя злоумышленникам ослаблять защиту до запуска реальной полезной нагрузки.

Организациям важно знать об этих постоянных угрозах и принимать меры по защите от них. Это включает в себя наличие платформ защиты конечных точек и технологий обнаружения и реагирования на них, а также регулярный мониторинг любых подписанных драйверов или связанных с ними тактик, методов и процедур.

#ParsedReport #CompletenessMedium
22-05-2023

APT-C-28ScarCruftRokRat. 1. Affected situation

https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Apt37

Threats:
Rokrat
Chinotto
Matryoshka_rat

Victims:
Korean users

Industry:
Healthcare, Aerospace, Financial

Geo:
Korean, Asia, Korea, Asian

IOCs:
Hash: 8
Url: 1
File: 4
Path: 1
Registry: 3

Algorithms:
sha1, xor, sha256

Win API:
IsDebuggerPresent, GetTickCount

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ScarCruft, APT-организация из Северо-Восточной Азии, использовала вредоносное ПО RokRat для проведения атак с 2016 года. RokRat обладает множеством функций, включая кражу информации о браузере, содержимого буфера обмена, клавиатурного ввода, информации о USB, скриншотов, информации почтового клиента, информации о передаче файлов, информации WIFI, управления доступом к учетным данным, а также использования облачных сервисов Google, Dropbox, pcloud и Yandex. Он также способен обнаруживать файлы, связанные с VMWare, 360 security guard, тип компьютера, делать скриншоты, собирать системную информацию, красть файлы и выполнять команды.
-----

В апреле 2022 года было установлено, что организация ScarCruft распространяла вредоносное ПО RokRat методом "матрешки". В этой атаке использовался вредоносный документ, замаскированный под форму заявления на оплату, чтобы побудить пользователей включить макросы, которые затем загружали и выполняли вредоносную программу RokRat. RokRat обладает множеством функций, включая возможность кражи информации из браузера, содержимого буфера обмена, ввода с клавиатуры, информации с USB, скриншотов, информации почтового клиента, информации о передаче файлов, информации WIFI и управления доступом к учетным данным. Он также использует облачные сервисы Google, Dropbox, pcloud и Yandex.

Организация APT-C-28, также известная как ScarCruft, APT37 (Reaper) и Group123, является зарубежной организацией APT из Северо-Восточной Азии. Она действует с 2012 года, в основном нацеливаясь на Южную Корею и другие азиатские страны и такие отрасли, как химия, электроника, производство, аэрокосмическая промышленность, автомобилестроение и здравоохранение. RokRat используется этой организацией для проведения атак с 2016 года.

Когда пользователь включил макрокод во вредоносном документе, второй макрокод Macro2 был динамически расшифрован из жестко закодированных данных Macro1. Macro2 внедрял жестко закодированный Shellcode первого этапа в Notepad.exe, а затем загружал зашифрованную полезную нагрузку из контролируемого злоумышленником облачного сервиса и расшифровывал ее для получения Shellcode второго этапа. Наконец, Shellcode расшифровывает жестко закодированные данные, чтобы получить вредоносную программу RokRat.

Вредоносная программа RokRat была составлена 22 декабря 2022 года и содержит множество возможностей. Она проверяет наличие файлов, связанных с VMWare, определяет, запущен ли 360 security guard, и идентифицирует тип компьютера. Она также делает скриншоты, собирает системную информацию (имя пользователя, имя компьютера, BIOS), крадет файлы и выполняет команды. Для взаимодействия с целевым узлом он использует облачные сервисы Dropbox, Pcloud и Yandex. Добавлена функция обнаружения AV при получении информации о процессах, и если обнаружено 360 процессов, связанных с охраной, последующие вредоносные функции не будут выполнены. При очистке следов на целевой системе изменяются выполняемые команды для обеспечения лучшей сохранности. Также добавлен код фильтрации типов файлов для выборочной кражи файлов в соответствии с типом файла.

#ParsedReport #CompletenessLow
23-05-2023

StrelaStealer Being Distributed To Spanish Users

https://asec.ahnlab.com/en/53158

Report completeness: Low

Threats:
Strela_stealer
Trojan/win.generic.r577470

Victims:
Spanish users

Industry:
Financial

Geo:
Spanish

ChatGPT TTPs:
do not use without manual check
T1113, T1059, T1086

IOCs:
Path: 2
Registry: 1
Url: 1
Hash: 1

Softs:
outlook

Algorithms:
zip, xor

Win API:
CryptUnprotectData

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа Центра экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердила, что StrelaStealer Infostealer распространяется среди испанских пользователей через спам по электронной почте. Вредоносная программа крадет учетные данные из Thunderbird и Outlook, поэтому пользователям следует быть осторожными при открытии писем из неизвестных источников и поддерживать свои продукты безопасности в актуальном состоянии.
-----

Аналитическая группа Центра экстренного реагирования на чрезвычайные ситуации безопасности (ASEC) компании AhnLab недавно подтвердила, что инфопрограмма StrelaStealer распространяется среди испанских пользователей. Эта вредоносная программа была впервые обнаружена примерно в ноябре 2022 года и рассылалась в качестве вложения в спам-письма, которые обычно сопровождались ISO-файлом. Однако в последнее время злоумышленники стали использовать в качестве вложений файлы ZIP. Электронное письмо содержит сообщение на испанском языке о платежных сборах и инструкцию для пользователей проверить прикрепленный счет. Если пользователь откроет вложение, оно будет содержать PIF-файл, который является настоящей вредоносной программой, крадущей учетные данные из Thunderbird и Outlook.

При выполнении файла PIF сначала создается мьютекс, использующий 6-значное значение XOR имени компьютера и слова "strela". Затем он приступает к сбору информации из Thunderbird и Outlook. Если соответствующая информация не найдена, вредоносная программа выдает сообщение на испанском языке о том, что файл поврежден и не может быть открыт, тем самым заставляя пользователей поверить, что они имеют дело с поврежденным, а не вредоносным файлом.

В Thunderbird он крадет учетные данные, считывая файлы из определенных каталогов и отправляя их на сервер Command and Control (C2). Для Outlook он считывает определенные значения реестра и шифрует пароль с помощью API CryptUnprotectData перед отправкой его на C2. Затем злоумышленники проверяют наличие ответа, содержащего строку "KH", чтобы убедиться в успешном получении.

В связи с возможностью использования эксфильтрованной информации во вредоносных целях, испанским пользователям важно проявлять повышенную осторожность при открытии электронных писем из неизвестных источников и не выполнять их вложения. Они также должны регулярно проверять свои компьютеры и обновлять свои продукты безопасности до последней версии.

#ParsedReport #CompletenessLow
23-05-2023

DarkCloud Infostealer Being Distributed via Spam Emails

https://asec.ahnlab.com/en/53128

Report completeness: Low

Threats:
Darkcloud
Clipbanker
Agent_tesla
Snake_keylogger
Trojan/win.generic.c5416010
Trojan/win.generic.r578585
Malware/win32.rl_generic.c4250411
Infostealer/mdp.behavior.m1965

Victims:
Users who download the email attachment

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1140, T1071, T1083, T1057, T1113, T1059, T1060, T1501, T1502, T1518, have more...

IOCs:
Path: 1
File: 5
Coin: 2
Domain: 1
Email: 2
Hash: 3

Softs:
telegram, chromium, outlook, foxmail, coreftp, winscp, chrome

Crypto:
bitcoin, ethereum, monero

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Центр реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) недавно обнаружил вредоносного агента, распространяющего вредоносное ПО DarkCloud и ClipBanker через спам-письма, которые могут украсть учетные данные и заменить адреса криптовалютных кошельков в буфере обмена пользователя на адрес агента угрозы.
-----

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносного агента, распространяющего вредоносную программу DarkCloud через спам. В письмах пользователю предлагается открыть прикрепленную копию платежной ведомости, отправленной на счет компании, которая на самом деле является дроппером, отвечающим за загрузку и выполнение DarkCloud и ClipBanker. DarkCloud - это программа для кражи учетных данных, сохраненных на зараженной системе, а ClipBanker заменяет адреса криптовалютных кошельков в буфере обмена пользователя адресом угрожающего агента.

Когда пользователь загружает и распаковывает вложение, дроппер сначала копирует себя в путь %APPDATA%\Zwldpcobpfq\Gdktpnpm.exe, а затем регистрирует себя в ключе Run, чтобы он мог работать даже после перезагрузки. Затем он генерирует две отдельные вредоносные программы по пути %TEMP%, Lilgghom.exe (ClipBanker) и Ckpomlg.exe (DarkCloud).

ClipBanker отслеживает буфер обмена на предмет адресов криптовалютных кошельков, и если находит такой адрес, то заменяет его на адрес кошелька, определенный субъектом угрозы. Это может привести к тому, что пользователи, намеревающиеся перевести средства на определенный кошелек, в итоге отправляют их на адрес злоумышленника.

DarkCloud функционирует как infostealer, собирая и похищая различные учетные данные пользователей, хранящиеся на зараженной системе. Он разработан на языке VB6 и использует протокол SMTP или Telegram API для отправки собранной информации на C&C-сервер. Для сбора учетных данных он также использует vbsqlite3.dll и хранит их в папке по пути %PUBLIC%\Libraries.

#ParsedReport #CompletenessMedium
23-05-2023

Kimsuky \| Ongoing Campaign Using Tailored Reconnaissance Toolkit

https://www.sentinelone.com/labs/kimsuky-ongoing-campaign-using-tailored-reconnaissance-toolkit

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Reconshark

Victims:
North korea-focused information services, human rights activists, and dprk-defector support organizations

Industry:
Government, Financial

Geo:
Dprk, Korean, Japan, Asia, Korea

IOCs:
Email: 1
File: 2
Path: 2
Registry: 3
Url: 2
Domain: 16
Hash: 6

Softs:
internet explorer, microsoft edge, microsoft word

Algorithms:
sha1, base64

Functions:
InternetExplorer

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что северокорейская группа Advanced Persistent Threat (APT) Kimsuky нацелена на информационные службы и организации, поддерживающие правозащитников и перебежчиков, и применяет новые тактики, такие как использование файлов Microsoft Compiled HTML Help (CHM) и менее распространенных TLDs в процессе регистрации вредоносных доменов.
-----

Компания SentinelLabs отслеживает целенаправленную кампанию Kimsuky, предполагаемой северокорейской группы, занимающейся продвинутыми постоянными угрозами (APT), против информационных служб и организаций, поддерживающих правозащитников и перебежчиков в отношении Северной Кореи. Кампания направлена на разведку файлов и эксфильтрацию системной и аппаратной информации с помощью варианта вредоносной программы RandomQuery. Kimsuky постоянно распространяет собственные вредоносные программы в рамках своих разведывательных кампаний. Они распространяют вредоносное ПО через файлы Microsoft Compiled HTML Help (CHM).

Kimsuky стратегически использует новые TLDs и доменные имена для вредоносной инфраструктуры, имитируя стандартные TLDs .com, чтобы обмануть ничего не подозревающие цели и сетевых защитников. Угроза использует Daum, южнокорейского провайдера электронной почты, для рассылки фишинговых писем на корейском языке. Письма содержат вложенный документ, утверждающий, что его автором является Ли Кванг-бэк, генеральный директор Daily NK, известного южнокорейского новостного интернет-ресурса, который предоставляет независимые репортажи о Северной Корее. Вложенный документ представляет собой CHM-файл, хранящийся в защищенном паролем архиве.

Сценарий VB в CHM-файле отправляет запрос HTTP GET на URL-адрес сервера C2 и выполняет полезную нагрузку второго этапа, возвращаемую с сервера. На основании совпадений в коде, задокументированном в предыдущей работе, считается, что полезная нагрузка второго этапа представляет собой вариант VBScript RandomQuery. Этот вариант настраивает браузер Internet Explorer путем редактирования значений реестра и собирает информацию о системе и оборудовании, установленных приложениях, документах пользователя и часто посещаемых веб-сайтах. Собранная информация затем кодируется в Base64 и отправляется HTTP POST-запрос на URL-адрес сервера C2.

В процессе регистрации вредоносных доменов Kimsuky широко использует менее распространенные TLDs, такие как .space, .asia, .click и .online. Для первичной покупки вредоносных доменов угроза использует японскую службу регистрации доменов Onamae, а для последующей регистрации доменов - VPS-хостинг ABLENET. Этот кластер активности начался 5 мая 2023 года и продолжается до настоящего отчета.

Эти инциденты подчеркивают постоянно меняющийся ландшафт северокорейских групп угроз, в сферу деятельности которых входит не только политический шпионаж, но и саботаж и финансовые угрозы. Организациям необходимо ознакомиться с тактикой, техникой и процедурами, применяемыми северокорейскими государственными APT, и принять соответствующие меры для защиты от таких атак. Также важно поддерживать состояние постоянной бдительности и развивать совместные усилия для эффективной защиты от таких атак.

#ParsedReport #CompletenessMedium
23-05-2023

WINTAPIX: A New Kernel Driver Targeting Countries in The Middle East

https://www.fortinet.com/blog/threat-research/wintapix-kernal-driver-middle-east-countries

Report completeness: Medium

Threats:
Wintapix
Donut
Vmprotect_tool
Process_hollowing_technique
Eazfuscator_tool

Victims:
Windows users

Geo:
Iranian, Qatar, Emirates, Jordan

TTPs:
Tactics: 2
Technics: 15

ChatGPT TTPs:
do not use without manual check
T1203, T1090, T1076, T1077, T1055, T1036, T1083, T1086, T1082, T1057, have more...

IOCs:
File: 11
Hash: 5
Command: 1

Softs:
windows kernel, winlogon

Algorithms:
sha256, xor

Functions:
ZwOpenProcess, ZwAllocateVirtualMemory, ZwNotifyChangeKey, PsCreateSystemThread, NtNotifyChangeDirectoryFile, GetListUrls, RunCommand, RunData

Win API:
NtWriteVirtualMemory

Links:
https://github.com/TheWover/donut

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Wintapix - это драйвер ядра Windows, развернутый иранским агентом угроз, нацеленный на Саудовскую Аравию, Иорданию, Катар и Объединенные Арабские Эмираты. Он защищен VMProtect и использует различные методы обфускации. Драйвер используется для внедрения шеллкода в процессы, установки ключей реестра и запуска прокси-прослушивателей входящих запросов. Он также способен открывать RDP-соединение с целевым сервером.
-----

Wintapix - это драйвер ядра Windows с хэшем SHA-256 8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330.

Впервые он был замечен в дикой природе в декабре 2021 года и в основном в Саудовской Аравии, но также был обнаружен в Иордании, Катаре и Объединенных Арабских Эмиратах.

Он частично защищен программным средством защиты VMProtect.

Его основная цель - создание и выполнение следующего этапа атаки с помощью шеллкода.

Он устанавливается для загрузки в Safe Boot и контролируется с помощью функции ZwNotifyChangeKey().

Шелл-код был создан с помощью проекта Donut, а исполняемый файл был защищен с помощью Smart Assembly и Eazfuscator.

Он ищет характеристики Microsoft Internet Information Services (IIS) для построения URL-адресов и нацелен только на серверы IIS.

Шифрование осуществляется как для входящих, так и для исходящих сообщений.

В настоящее время он приписывается иранскому субъекту угрозы с низкой степенью достоверности.

#ParsedReport #CompletenessMedium
23-05-2023

Android app breaking bad: From legitimate screen recording to file exfiltration within a year

https://www.welivesecurity.com/2023/05/23/android-app-breaking-bad-legitimate-screen-recording-file-exfiltration

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Ahrat
Ahmyth_rat

Victims:
Android users

Industry:
Government

Geo:
Asia, Ukraine

TTPs:
Tactics: 5
Technics: 6

ChatGPT TTPs:
do not use without manual check
T1193, T1043, T1082

IOCs:
Hash: 4
Domain: 2
IP: 2

Softs:
android

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи ESET обнаружили в Google Play Store приложение iRecorder Screen Recorder, которое содержало вредоносный код, основанный на Android RAT AhMyth с открытым исходным кодом. Предполагается, что это приложение является частью кампании по шпионажу и может передавать записи с микрофона и красть файлы с устройства. Важно знать об устанавливаемых приложениях, изучать разработчиков, стоящих за ними, и быть бдительными для обеспечения безопасности.
-----

Недавно исследователи ESET обнаружили в магазине Google Play приложение iRecorder Screen Recorder, которое набрало более 50 000 установок. Версия приложения, присутствовавшая в магазине, содержала вредоносный код, основанный на открытом исходном коде AhMyth Android RAT. Этот вредоносный код был адаптирован в новую версию AhMyth, названную AhRat. Предполагается, что вредоносный код был добавлен в чистую версию iRecorder примерно в августе 2022 года, а затем удален из магазина после предупреждения ESET.

Вредоносный iRecorder может записывать окружающий звук с микрофона устройства и загружать его на командно-контрольный сервер злоумышленника. Кроме того, оно может передавать с устройства файлы с расширениями, представляющими сохраненные веб-страницы, изображения, аудио-, видео- и документальные файлы, а также форматы файлов, используемые для сжатия нескольких файлов. Специфическое вредоносное поведение приложения, заключающееся в эксфильтрации записей с микрофона и краже файлов с определенными расширениями, позволяет предположить, что оно является частью кампании по шпионажу, однако атрибуция конкретной вредоносной группе не была сделана.

Приложение было первоначально выпущено в Google Play Store 19 сентября 2021 года, но к марту 2023 года оно собрало более 50 000 установок. Пользователи Android, установившие более раннюю версию iRecorder до версии 1.3.8, в которой отсутствовали вредоносные функции, могли неосознанно подвергнуть свои устройства воздействию AhRat, если впоследствии обновляли приложение вручную или автоматически, даже не предоставляя никаких дополнительных разрешений. Приложение также можно найти на альтернативных и неофициальных рынках Android. Разработчик iRecorder также предоставляет другие приложения в Google Play, но они не содержат вредоносного кода.

Вредоносное приложение, по-видимому, вписывается в модель разрешений приложений и не требует никаких специальных дополнительных запросов на разрешение. Оно связывается с C&C-сервером и получает ряд команд и конфигурационную информацию для выполнения и установки на целевом устройстве.

AhRat способен перехватывать журналы вызовов, контакты, текстовые сообщения, местоположение устройства, отправлять SMS-сообщения, записывать аудио и делать снимки. В Android 11 и выше были реализованы превентивные меры для защиты от вредоносных действий. Кроме того, авторы вредоносного приложения приложили усилия к тому, чтобы разобраться в коде приложения и бэк-энде.

Исследование AhRat служит примером того, как легитимное приложение может превратиться во вредоносное. Этот инцидент также демонстрирует важность контроля и осведомленности о приложениях, которые устанавливаются на устройство, а также изучения разработчиков, стоящих за ними. Важно также отметить, что вредоносное приложение все еще можно найти на альтернативных и неофициальных рынках Android, поэтому бдительность является ключевым фактором.

#ParsedReport #CompletenessLow
23-05-2023

New Ransomware Wave Engulfs over 200 Corporate Victims

https://blog.cyble.com/2023/05/23/new-ransomware-wave-engulfs-over-200-corporate-victims

Report completeness: Low

Threats:
Crosslock
Blacksuit
Rancoz
Cryptnet
Ra-group
Malaslocker
Rhysida
8base

TTPs:
Tactics: 3
Technics: 6

ChatGPT TTPs:
do not use without manual check
T1036, T1486, T1490, T1566, T1573, T1574

IOCs:
Command: 3
File: 4
Hash: 1

Softs:
telegram, zimbra

Algorithms:
aes, sha256, sha1

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Атаки Ransomware становятся все более опасными, появляются новые методы и группы, которые подвергают жертв риску. Доступность исходного кода и сборщиков позволила менее искушенным участникам атак на программы-выкупы, что создает прибыльный бизнес для преступников. Важно сохранять бдительность, когда речь идет о кибербезопасности.
-----

Атаки Ransomware становятся все более актуальной проблемой в сфере кибербезопасности. Появление множества новых штаммов ransomware и групп ransomware только за последнюю неделю в сочетании с применением новых методов двойного вымогательства поставило под угрозу более 200 жертв по всему миру. Масштабируемость и прибыльность этих преступных операций привлекла к игре с вымогательским ПО ряд новых участников угроз.

Недавно обнаруженная программа MalasLocker ransomware выделяется своим нестандартным подходом, предлагая жертвам сделать пожертвование вместо того, чтобы требовать выкуп. Также была обнаружена программа Rhysida ransomware, использующая уникальный метод доставки записки о выкупе в формате PDF. 8Base ransomware - еще один пример того, как группа ransomware использует двойное вымогательство, похищая данные жертвы перед их шифрованием.

Доступность утечки исходного кода и сборки предыдущих групп ransomware позволила менее искушенным TA участвовать в атаках ransomware. Очевидно, что ransomware становится прибыльным бизнесом, и преступники разрабатывают новые техники и методы для получения максимальной прибыли. Поскольку угроза, исходящая от ransomware, продолжает развиваться, важно сохранять бдительность в вопросах кибербезопасности.