#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные субъекты постоянно ищут новые способы обойти обнаружение и получить доступ к привилегированному уровню, например, с помощью руткитов, и организации должны принимать меры предосторожности для защиты от этих угроз.
-----

В феврале 2023 года произошел инцидент с вымогательским ПО, в котором использовался вредоносный драйвер ядра, подписанный через несколько учетных записей разработчиков оборудования Microsoft. Этот драйвер использовался в ряде кибератак, включая инциденты с использованием выкупного ПО, и показывает, что операторы выкупного ПО и их аффилированные лица заинтересованы в получении доступа на привилегированном уровне для используемых ими полезных нагрузок. Чтобы избежать обнаружения продуктами безопасности, эти злоумышленники выбирают путь наименьшего сопротивления и запускают свой вредоносный код через уровень ядра.

Вредоносный драйвер, использованный в инциденте, называется ktgn.sys и используется как часть процедуры уклонения от защиты BlackCat. Активация этого драйвера происходит путем простого сравнения байтов с жестко закодированным массивом байтов, который находится в драйвере. Если сравнение проходит, то устанавливается флаг BOOLEAN, который будет проверяться перед любой операцией.

Это показывает, что злоумышленники постоянно ищут новые способы обойти обнаружение и получить доступ на привилегированном уровне. Таким образом, руткиты будут продолжать использоваться сложными группами, обладающими навыками и ресурсами для разработки этих инструментов. Эти руткиты опасны тем, что они могут скрывать сложные целевые атаки, позволяя злоумышленникам ослаблять защиту до запуска реальной полезной нагрузки.

Организациям важно знать об этих постоянных угрозах и принимать меры по защите от них. Это включает в себя наличие платформ защиты конечных точек и технологий обнаружения и реагирования на них, а также регулярный мониторинг любых подписанных драйверов или связанных с ними тактик, методов и процедур.

#ParsedReport #CompletenessMedium
22-05-2023

APT-C-28ScarCruftRokRat. 1. Affected situation

https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Apt37

Threats:
Rokrat
Chinotto
Matryoshka_rat

Victims:
Korean users

Industry:
Healthcare, Aerospace, Financial

Geo:
Korean, Asia, Korea, Asian

IOCs:
Hash: 8
Url: 1
File: 4
Path: 1
Registry: 3

Algorithms:
sha1, xor, sha256

Win API:
IsDebuggerPresent, GetTickCount

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ScarCruft, APT-организация из Северо-Восточной Азии, использовала вредоносное ПО RokRat для проведения атак с 2016 года. RokRat обладает множеством функций, включая кражу информации о браузере, содержимого буфера обмена, клавиатурного ввода, информации о USB, скриншотов, информации почтового клиента, информации о передаче файлов, информации WIFI, управления доступом к учетным данным, а также использования облачных сервисов Google, Dropbox, pcloud и Yandex. Он также способен обнаруживать файлы, связанные с VMWare, 360 security guard, тип компьютера, делать скриншоты, собирать системную информацию, красть файлы и выполнять команды.
-----

В апреле 2022 года было установлено, что организация ScarCruft распространяла вредоносное ПО RokRat методом "матрешки". В этой атаке использовался вредоносный документ, замаскированный под форму заявления на оплату, чтобы побудить пользователей включить макросы, которые затем загружали и выполняли вредоносную программу RokRat. RokRat обладает множеством функций, включая возможность кражи информации из браузера, содержимого буфера обмена, ввода с клавиатуры, информации с USB, скриншотов, информации почтового клиента, информации о передаче файлов, информации WIFI и управления доступом к учетным данным. Он также использует облачные сервисы Google, Dropbox, pcloud и Yandex.

Организация APT-C-28, также известная как ScarCruft, APT37 (Reaper) и Group123, является зарубежной организацией APT из Северо-Восточной Азии. Она действует с 2012 года, в основном нацеливаясь на Южную Корею и другие азиатские страны и такие отрасли, как химия, электроника, производство, аэрокосмическая промышленность, автомобилестроение и здравоохранение. RokRat используется этой организацией для проведения атак с 2016 года.

Когда пользователь включил макрокод во вредоносном документе, второй макрокод Macro2 был динамически расшифрован из жестко закодированных данных Macro1. Macro2 внедрял жестко закодированный Shellcode первого этапа в Notepad.exe, а затем загружал зашифрованную полезную нагрузку из контролируемого злоумышленником облачного сервиса и расшифровывал ее для получения Shellcode второго этапа. Наконец, Shellcode расшифровывает жестко закодированные данные, чтобы получить вредоносную программу RokRat.

Вредоносная программа RokRat была составлена 22 декабря 2022 года и содержит множество возможностей. Она проверяет наличие файлов, связанных с VMWare, определяет, запущен ли 360 security guard, и идентифицирует тип компьютера. Она также делает скриншоты, собирает системную информацию (имя пользователя, имя компьютера, BIOS), крадет файлы и выполняет команды. Для взаимодействия с целевым узлом он использует облачные сервисы Dropbox, Pcloud и Yandex. Добавлена функция обнаружения AV при получении информации о процессах, и если обнаружено 360 процессов, связанных с охраной, последующие вредоносные функции не будут выполнены. При очистке следов на целевой системе изменяются выполняемые команды для обеспечения лучшей сохранности. Также добавлен код фильтрации типов файлов для выборочной кражи файлов в соответствии с типом файла.

#ParsedReport #CompletenessLow
23-05-2023

StrelaStealer Being Distributed To Spanish Users

https://asec.ahnlab.com/en/53158

Report completeness: Low

Threats:
Strela_stealer
Trojan/win.generic.r577470

Victims:
Spanish users

Industry:
Financial

Geo:
Spanish

ChatGPT TTPs:
do not use without manual check
T1113, T1059, T1086

IOCs:
Path: 2
Registry: 1
Url: 1
Hash: 1

Softs:
outlook

Algorithms:
zip, xor

Win API:
CryptUnprotectData

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа анализа Центра экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердила, что StrelaStealer Infostealer распространяется среди испанских пользователей через спам по электронной почте. Вредоносная программа крадет учетные данные из Thunderbird и Outlook, поэтому пользователям следует быть осторожными при открытии писем из неизвестных источников и поддерживать свои продукты безопасности в актуальном состоянии.
-----

Аналитическая группа Центра экстренного реагирования на чрезвычайные ситуации безопасности (ASEC) компании AhnLab недавно подтвердила, что инфопрограмма StrelaStealer распространяется среди испанских пользователей. Эта вредоносная программа была впервые обнаружена примерно в ноябре 2022 года и рассылалась в качестве вложения в спам-письма, которые обычно сопровождались ISO-файлом. Однако в последнее время злоумышленники стали использовать в качестве вложений файлы ZIP. Электронное письмо содержит сообщение на испанском языке о платежных сборах и инструкцию для пользователей проверить прикрепленный счет. Если пользователь откроет вложение, оно будет содержать PIF-файл, который является настоящей вредоносной программой, крадущей учетные данные из Thunderbird и Outlook.

При выполнении файла PIF сначала создается мьютекс, использующий 6-значное значение XOR имени компьютера и слова "strela". Затем он приступает к сбору информации из Thunderbird и Outlook. Если соответствующая информация не найдена, вредоносная программа выдает сообщение на испанском языке о том, что файл поврежден и не может быть открыт, тем самым заставляя пользователей поверить, что они имеют дело с поврежденным, а не вредоносным файлом.

В Thunderbird он крадет учетные данные, считывая файлы из определенных каталогов и отправляя их на сервер Command and Control (C2). Для Outlook он считывает определенные значения реестра и шифрует пароль с помощью API CryptUnprotectData перед отправкой его на C2. Затем злоумышленники проверяют наличие ответа, содержащего строку "KH", чтобы убедиться в успешном получении.

В связи с возможностью использования эксфильтрованной информации во вредоносных целях, испанским пользователям важно проявлять повышенную осторожность при открытии электронных писем из неизвестных источников и не выполнять их вложения. Они также должны регулярно проверять свои компьютеры и обновлять свои продукты безопасности до последней версии.

#ParsedReport #CompletenessLow
23-05-2023

DarkCloud Infostealer Being Distributed via Spam Emails

https://asec.ahnlab.com/en/53128

Report completeness: Low

Threats:
Darkcloud
Clipbanker
Agent_tesla
Snake_keylogger
Trojan/win.generic.c5416010
Trojan/win.generic.r578585
Malware/win32.rl_generic.c4250411
Infostealer/mdp.behavior.m1965

Victims:
Users who download the email attachment

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1140, T1071, T1083, T1057, T1113, T1059, T1060, T1501, T1502, T1518, have more...

IOCs:
Path: 1
File: 5
Coin: 2
Domain: 1
Email: 2
Hash: 3

Softs:
telegram, chromium, outlook, foxmail, coreftp, winscp, chrome

Crypto:
bitcoin, ethereum, monero

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Центр реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) недавно обнаружил вредоносного агента, распространяющего вредоносное ПО DarkCloud и ClipBanker через спам-письма, которые могут украсть учетные данные и заменить адреса криптовалютных кошельков в буфере обмена пользователя на адрес агента угрозы.
-----

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил вредоносного агента, распространяющего вредоносную программу DarkCloud через спам. В письмах пользователю предлагается открыть прикрепленную копию платежной ведомости, отправленной на счет компании, которая на самом деле является дроппером, отвечающим за загрузку и выполнение DarkCloud и ClipBanker. DarkCloud - это программа для кражи учетных данных, сохраненных на зараженной системе, а ClipBanker заменяет адреса криптовалютных кошельков в буфере обмена пользователя адресом угрожающего агента.

Когда пользователь загружает и распаковывает вложение, дроппер сначала копирует себя в путь %APPDATA%\Zwldpcobpfq\Gdktpnpm.exe, а затем регистрирует себя в ключе Run, чтобы он мог работать даже после перезагрузки. Затем он генерирует две отдельные вредоносные программы по пути %TEMP%, Lilgghom.exe (ClipBanker) и Ckpomlg.exe (DarkCloud).

ClipBanker отслеживает буфер обмена на предмет адресов криптовалютных кошельков, и если находит такой адрес, то заменяет его на адрес кошелька, определенный субъектом угрозы. Это может привести к тому, что пользователи, намеревающиеся перевести средства на определенный кошелек, в итоге отправляют их на адрес злоумышленника.

DarkCloud функционирует как infostealer, собирая и похищая различные учетные данные пользователей, хранящиеся на зараженной системе. Он разработан на языке VB6 и использует протокол SMTP или Telegram API для отправки собранной информации на C&C-сервер. Для сбора учетных данных он также использует vbsqlite3.dll и хранит их в папке по пути %PUBLIC%\Libraries.

#ParsedReport #CompletenessMedium
23-05-2023

Kimsuky \| Ongoing Campaign Using Tailored Reconnaissance Toolkit

https://www.sentinelone.com/labs/kimsuky-ongoing-campaign-using-tailored-reconnaissance-toolkit

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Reconshark

Victims:
North korea-focused information services, human rights activists, and dprk-defector support organizations

Industry:
Government, Financial

Geo:
Dprk, Korean, Japan, Asia, Korea

IOCs:
Email: 1
File: 2
Path: 2
Registry: 3
Url: 2
Domain: 16
Hash: 6

Softs:
internet explorer, microsoft edge, microsoft word

Algorithms:
sha1, base64

Functions:
InternetExplorer

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что северокорейская группа Advanced Persistent Threat (APT) Kimsuky нацелена на информационные службы и организации, поддерживающие правозащитников и перебежчиков, и применяет новые тактики, такие как использование файлов Microsoft Compiled HTML Help (CHM) и менее распространенных TLDs в процессе регистрации вредоносных доменов.
-----

Компания SentinelLabs отслеживает целенаправленную кампанию Kimsuky, предполагаемой северокорейской группы, занимающейся продвинутыми постоянными угрозами (APT), против информационных служб и организаций, поддерживающих правозащитников и перебежчиков в отношении Северной Кореи. Кампания направлена на разведку файлов и эксфильтрацию системной и аппаратной информации с помощью варианта вредоносной программы RandomQuery. Kimsuky постоянно распространяет собственные вредоносные программы в рамках своих разведывательных кампаний. Они распространяют вредоносное ПО через файлы Microsoft Compiled HTML Help (CHM).

Kimsuky стратегически использует новые TLDs и доменные имена для вредоносной инфраструктуры, имитируя стандартные TLDs .com, чтобы обмануть ничего не подозревающие цели и сетевых защитников. Угроза использует Daum, южнокорейского провайдера электронной почты, для рассылки фишинговых писем на корейском языке. Письма содержат вложенный документ, утверждающий, что его автором является Ли Кванг-бэк, генеральный директор Daily NK, известного южнокорейского новостного интернет-ресурса, который предоставляет независимые репортажи о Северной Корее. Вложенный документ представляет собой CHM-файл, хранящийся в защищенном паролем архиве.

Сценарий VB в CHM-файле отправляет запрос HTTP GET на URL-адрес сервера C2 и выполняет полезную нагрузку второго этапа, возвращаемую с сервера. На основании совпадений в коде, задокументированном в предыдущей работе, считается, что полезная нагрузка второго этапа представляет собой вариант VBScript RandomQuery. Этот вариант настраивает браузер Internet Explorer путем редактирования значений реестра и собирает информацию о системе и оборудовании, установленных приложениях, документах пользователя и часто посещаемых веб-сайтах. Собранная информация затем кодируется в Base64 и отправляется HTTP POST-запрос на URL-адрес сервера C2.

В процессе регистрации вредоносных доменов Kimsuky широко использует менее распространенные TLDs, такие как .space, .asia, .click и .online. Для первичной покупки вредоносных доменов угроза использует японскую службу регистрации доменов Onamae, а для последующей регистрации доменов - VPS-хостинг ABLENET. Этот кластер активности начался 5 мая 2023 года и продолжается до настоящего отчета.

Эти инциденты подчеркивают постоянно меняющийся ландшафт северокорейских групп угроз, в сферу деятельности которых входит не только политический шпионаж, но и саботаж и финансовые угрозы. Организациям необходимо ознакомиться с тактикой, техникой и процедурами, применяемыми северокорейскими государственными APT, и принять соответствующие меры для защиты от таких атак. Также важно поддерживать состояние постоянной бдительности и развивать совместные усилия для эффективной защиты от таких атак.

#ParsedReport #CompletenessMedium
23-05-2023

WINTAPIX: A New Kernel Driver Targeting Countries in The Middle East

https://www.fortinet.com/blog/threat-research/wintapix-kernal-driver-middle-east-countries

Report completeness: Medium

Threats:
Wintapix
Donut
Vmprotect_tool
Process_hollowing_technique
Eazfuscator_tool

Victims:
Windows users

Geo:
Iranian, Qatar, Emirates, Jordan

TTPs:
Tactics: 2
Technics: 15

ChatGPT TTPs:
do not use without manual check
T1203, T1090, T1076, T1077, T1055, T1036, T1083, T1086, T1082, T1057, have more...

IOCs:
File: 11
Hash: 5
Command: 1

Softs:
windows kernel, winlogon

Algorithms:
sha256, xor

Functions:
ZwOpenProcess, ZwAllocateVirtualMemory, ZwNotifyChangeKey, PsCreateSystemThread, NtNotifyChangeDirectoryFile, GetListUrls, RunCommand, RunData

Win API:
NtWriteVirtualMemory

Links:
https://github.com/TheWover/donut

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Wintapix - это драйвер ядра Windows, развернутый иранским агентом угроз, нацеленный на Саудовскую Аравию, Иорданию, Катар и Объединенные Арабские Эмираты. Он защищен VMProtect и использует различные методы обфускации. Драйвер используется для внедрения шеллкода в процессы, установки ключей реестра и запуска прокси-прослушивателей входящих запросов. Он также способен открывать RDP-соединение с целевым сервером.
-----

Wintapix - это драйвер ядра Windows с хэшем SHA-256 8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330.

Впервые он был замечен в дикой природе в декабре 2021 года и в основном в Саудовской Аравии, но также был обнаружен в Иордании, Катаре и Объединенных Арабских Эмиратах.

Он частично защищен программным средством защиты VMProtect.

Его основная цель - создание и выполнение следующего этапа атаки с помощью шеллкода.

Он устанавливается для загрузки в Safe Boot и контролируется с помощью функции ZwNotifyChangeKey().

Шелл-код был создан с помощью проекта Donut, а исполняемый файл был защищен с помощью Smart Assembly и Eazfuscator.

Он ищет характеристики Microsoft Internet Information Services (IIS) для построения URL-адресов и нацелен только на серверы IIS.

Шифрование осуществляется как для входящих, так и для исходящих сообщений.

В настоящее время он приписывается иранскому субъекту угрозы с низкой степенью достоверности.

#ParsedReport #CompletenessMedium
23-05-2023

Android app breaking bad: From legitimate screen recording to file exfiltration within a year

https://www.welivesecurity.com/2023/05/23/android-app-breaking-bad-legitimate-screen-recording-file-exfiltration

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Ahrat
Ahmyth_rat

Victims:
Android users

Industry:
Government

Geo:
Asia, Ukraine

TTPs:
Tactics: 5
Technics: 6

ChatGPT TTPs:
do not use without manual check
T1193, T1043, T1082

IOCs:
Hash: 4
Domain: 2
IP: 2

Softs:
android

Algorithms:
zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи ESET обнаружили в Google Play Store приложение iRecorder Screen Recorder, которое содержало вредоносный код, основанный на Android RAT AhMyth с открытым исходным кодом. Предполагается, что это приложение является частью кампании по шпионажу и может передавать записи с микрофона и красть файлы с устройства. Важно знать об устанавливаемых приложениях, изучать разработчиков, стоящих за ними, и быть бдительными для обеспечения безопасности.
-----

Недавно исследователи ESET обнаружили в магазине Google Play приложение iRecorder Screen Recorder, которое набрало более 50 000 установок. Версия приложения, присутствовавшая в магазине, содержала вредоносный код, основанный на открытом исходном коде AhMyth Android RAT. Этот вредоносный код был адаптирован в новую версию AhMyth, названную AhRat. Предполагается, что вредоносный код был добавлен в чистую версию iRecorder примерно в августе 2022 года, а затем удален из магазина после предупреждения ESET.

Вредоносный iRecorder может записывать окружающий звук с микрофона устройства и загружать его на командно-контрольный сервер злоумышленника. Кроме того, оно может передавать с устройства файлы с расширениями, представляющими сохраненные веб-страницы, изображения, аудио-, видео- и документальные файлы, а также форматы файлов, используемые для сжатия нескольких файлов. Специфическое вредоносное поведение приложения, заключающееся в эксфильтрации записей с микрофона и краже файлов с определенными расширениями, позволяет предположить, что оно является частью кампании по шпионажу, однако атрибуция конкретной вредоносной группе не была сделана.

Приложение было первоначально выпущено в Google Play Store 19 сентября 2021 года, но к марту 2023 года оно собрало более 50 000 установок. Пользователи Android, установившие более раннюю версию iRecorder до версии 1.3.8, в которой отсутствовали вредоносные функции, могли неосознанно подвергнуть свои устройства воздействию AhRat, если впоследствии обновляли приложение вручную или автоматически, даже не предоставляя никаких дополнительных разрешений. Приложение также можно найти на альтернативных и неофициальных рынках Android. Разработчик iRecorder также предоставляет другие приложения в Google Play, но они не содержат вредоносного кода.

Вредоносное приложение, по-видимому, вписывается в модель разрешений приложений и не требует никаких специальных дополнительных запросов на разрешение. Оно связывается с C&C-сервером и получает ряд команд и конфигурационную информацию для выполнения и установки на целевом устройстве.

AhRat способен перехватывать журналы вызовов, контакты, текстовые сообщения, местоположение устройства, отправлять SMS-сообщения, записывать аудио и делать снимки. В Android 11 и выше были реализованы превентивные меры для защиты от вредоносных действий. Кроме того, авторы вредоносного приложения приложили усилия к тому, чтобы разобраться в коде приложения и бэк-энде.

Исследование AhRat служит примером того, как легитимное приложение может превратиться во вредоносное. Этот инцидент также демонстрирует важность контроля и осведомленности о приложениях, которые устанавливаются на устройство, а также изучения разработчиков, стоящих за ними. Важно также отметить, что вредоносное приложение все еще можно найти на альтернативных и неофициальных рынках Android, поэтому бдительность является ключевым фактором.

#ParsedReport #CompletenessLow
23-05-2023

New Ransomware Wave Engulfs over 200 Corporate Victims

https://blog.cyble.com/2023/05/23/new-ransomware-wave-engulfs-over-200-corporate-victims

Report completeness: Low

Threats:
Crosslock
Blacksuit
Rancoz
Cryptnet
Ra-group
Malaslocker
Rhysida
8base

TTPs:
Tactics: 3
Technics: 6

ChatGPT TTPs:
do not use without manual check
T1036, T1486, T1490, T1566, T1573, T1574

IOCs:
Command: 3
File: 4
Hash: 1

Softs:
telegram, zimbra

Algorithms:
aes, sha256, sha1

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Атаки Ransomware становятся все более опасными, появляются новые методы и группы, которые подвергают жертв риску. Доступность исходного кода и сборщиков позволила менее искушенным участникам атак на программы-выкупы, что создает прибыльный бизнес для преступников. Важно сохранять бдительность, когда речь идет о кибербезопасности.
-----

Атаки Ransomware становятся все более актуальной проблемой в сфере кибербезопасности. Появление множества новых штаммов ransomware и групп ransomware только за последнюю неделю в сочетании с применением новых методов двойного вымогательства поставило под угрозу более 200 жертв по всему миру. Масштабируемость и прибыльность этих преступных операций привлекла к игре с вымогательским ПО ряд новых участников угроз.

Недавно обнаруженная программа MalasLocker ransomware выделяется своим нестандартным подходом, предлагая жертвам сделать пожертвование вместо того, чтобы требовать выкуп. Также была обнаружена программа Rhysida ransomware, использующая уникальный метод доставки записки о выкупе в формате PDF. 8Base ransomware - еще один пример того, как группа ransomware использует двойное вымогательство, похищая данные жертвы перед их шифрованием.

Доступность утечки исходного кода и сборки предыдущих групп ransomware позволила менее искушенным TA участвовать в атаках ransomware. Очевидно, что ransomware становится прибыльным бизнесом, и преступники разрабатывают новые техники и методы для получения максимальной прибыли. Поскольку угроза, исходящая от ransomware, продолжает развиваться, важно сохранять бдительность в вопросах кибербезопасности.

#ParsedReport #CompletenessMedium
23-05-2023

Meet the GoldenJackal APT group. Don t expect any howls

https://securelist.com/goldenjackal-apt-group/109677

Report completeness: Medium

Actors/Campaigns:
Goldenjackal (motivation: information_theft, hacktivism, cyber_espionage, cyber_criminal)
Turla
Blackshadow

Threats:
Jackalcontrol
Jackalworm
Jackalsteal
Jackalperinfo
Jackalscreenwatcher
Follina_vuln
Netstat_tool
Kazuar

Victims:
Government and diplomatic entities in the middle east and south asia

Industry:
Government

Geo:
Azerbaijan, Turkey, Afghanistan, Pakistan, Asia, Iran, Iraq

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 12
Url: 36
Command: 1
Hash: 10
Path: 3

Softs:
skype for business, psexec, net framework, windows service, windows scheduled task, adguard, windows registry, chrome, opera, wordpress, have more...

Algorithms:
aes, gzip, xor, des, base64

Functions:
GetSysInfo

Win API:
DriveType

Languages:
php

Platforms:
x64, intel

YARA: Found

Links:
https://github.com/thalysonsousa/follina/blob/main/teste.html

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа GoldenJackal действует с 2019 года, нацеливаясь на правительственные и дипломатические учреждения на Ближнем Востоке и в Южной Азии. Они используют специфический набор инструментов вредоносного ПО .NET, включая JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher, и были замечены за размещением логики, связанной с C2, на взломанных веб-сайтах WordPress. Жертвы были замечены в нескольких странах. Существует некоторое сходство между GoldenJackal и Turla.
-----

GoldenJackal - это APT-группа, впервые замеченная в середине 2020 года. Считается, что группа активна с 2019 года и нацелена на правительственные и дипломатические структуры на Ближнем Востоке и в Южной Азии. Группа имеет специфический инструментарий вредоносного ПО .NET, включая JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher. В качестве векторов заражения использовались поддельные программы установки Skype и вредоносные документы Word.

Троянец JackalControl позволяет злоумышленникам удаленно контролировать целевую машину и генерирует BOT_ID для идентификации скомпрометированной системы. Он взаимодействует с помощью HTTP POST-запросов и может быть запущен как стандартная программа или служба Windows. Для обеспечения устойчивости вредоносная программа может создать запланированную задачу Windows, ключ запуска в реестре или службу Windows. Для шифрования результатов команд она использует кодировки GZIP, DES и base64.

JackalSteal - это имплант, используемый для поиска интересующих файлов на целевой системе и их эксфильтрации на сервер C2. Он может использоваться для мониторинга съемных USB-накопителей, удаленных общих ресурсов и всех логических дисков. Он сериализует данные в XML, шифрует их с помощью DES и хранит полезную нагрузку в %ApplicationData%\SNMP\cache\%Filename%.

JackalWorm - это вредоносная программа, предназначенная для заражения систем, использующих съемные USB-накопители. При обнаружении съемного USB-накопителя JackalWorm копирует себя в корень диска и создает скрытый каталог с тем же именем. Затем он устанавливает троянскую программу JackalControl. Последующие подключенные съемные накопители будут повторно заражены JackalWorm.

Вредоносная программа perinfo собирает и хранит информацию в двоичном файле, сжатом с помощью GZIP. Она также пытается украсть учетные данные, хранящиеся в базах данных браузера жертвы. Эта же функция была замечена в первых вариантах JackalControl, но была удалена из более новых вариантов.

JackalScreenWatcher используется для сбора скриншотов рабочего стола жертвы и отправки изображений на удаленный, жестко запрограммированный C2-сервер. Он настроен на обработку некоторых аргументов, которые являются необязательными и могут быть предоставлены в качестве входных данных. Когда обнаруживается активность пользователя, он делает снимок экрана и отправляет его на удаленный сервер. Зашифрованная полезная нагрузка аналогична той, что используется JackalSteal, и содержит имя удаленного файла и данные скриншота.

Мы полагаем, что злоумышленники загружают вредоносный PHP-файл на взломанные веб-сайты WordPress в качестве метода размещения логики, связанной с C2. Жертвы были замечены в Афганистане, Азербайджане, Иране, Ираке, Пакистане и Турции. Мы не можем связать GoldenJackal с каким-либо известным агентом, однако есть некоторые сходства между GoldenJackal и Turla.

#ParsedReport #CompletenessMedium
23-05-2023

ASEC weekly malware statistics (20230515 \~ 20230521)

https://asec.ahnlab.com/ko/53144

Report completeness: Medium

Actors/Campaigns:
Ta505

Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Lokibot_stealer
Avemaria_rat

Industry:
Transport

Geo:
Korea, Vietnam

IOCs:
Url: 39
Domain: 2
Email: 3
File: 24

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport #CompletenessLow
23-05-2023

Lazarus Group Targeting Windows IIS Web Servers

https://asec.ahnlab.com/en/53132

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Mimikatz_tool
Supply_chain_technique
Log4shell_vuln
Lazarloader

Victims:
Windows iis web servers

TTPs:
Tactics: 1
Technics: 1

IOCs:
File: 7
Path: 2
Hash: 4

Algorithms:
salsa20

Functions:
WinAPI

Win API:
FreeLibraryAndExitThread

Links:
https://github.com/nulled666/nppqcp

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Lazarus Group использовала различные векторы атак для эксплуатации веб-серверов Windows IIS и получения доступа к внутренним сетям. Менеджеры по корпоративной безопасности должны знать об этой угрозе и принимать упреждающие меры для предотвращения дальнейшего ущерба.
-----

Группа Lazarus Group была идентифицирована как активный злоумышленник, атакующий веб-серверы Windows IIS. Журнал AhnLab Smart Defense (ASD) выявил вредоносное поведение, осуществляемое через w3wp.exe, процесс веб-сервера IIS. Угроза использовала технику побочной загрузки DLL для запуска вредоносного кода, которая заключалась в размещении вредоносной DLL (msvcr100.dll) в том же пути к папке, что и обычное приложение (Wordconv.exe).

Затем вредоносная DLL используется для расшифровки закодированного PE-файла (msvcr100.dat) и ключа (df2bsr2rob5s1f8788yk6ddi4x0wz1jq) с помощью алгоритма Salsa20. Затем расшифрованный PE-файл выполняется в памяти, очищая вредоносный DLL-модуль перед удалением. Такое поведение аналогично поведению вредоносной программы cylvc.dll, о которой рассказывалось в блоге ASEC от 2022 года и которая использовалась для расшифровки файлов данных с расширением .dat с помощью алгоритма Salsa20 перед выполнением PE-файла в пространстве памяти.

Затем угрожающий агент создал дополнительное вредоносное ПО (diagn.dll), используя плагин с открытым исходным кодом для выбора цвета для Notepad++. Есть основания полагать, что для доступа к системным учетным данным использовался инструмент для кражи учетных данных, такой как Mimikatz, поскольку объект угрозы получил доступ к памяти процесса lsass.exe. Получив доступ к внутренней сети, угрожающий агент осуществил боковое перемещение через удаленный доступ (порт 3389).

Группа Lazarus Group использовала целый ряд векторов атак для осуществления первоначального взлома, включая Log4Shell, уязвимость публичного сертификата, атаку на цепочку поставок 3CX и т.д. Менеджеры по корпоративной безопасности должны быть бдительными, когда речь идет о защите от атак этой группы, используя управление поверхностью атаки и постоянно обновляя последние исправления безопасности. Проактивный мониторинг отношений аномального выполнения процессов и принятие упреждающих мер также могут помочь предотвратить нанесение дальнейшего ущерба этой группой угроз. Продукты компании "АнЛаб" обнаруживают и блокируют вредоносное ПО, использованное в этой атаке, со следующими псевдонимами.

Сорри, сегодня отчетов не будет :(
Втаскиваем классификатор изображений в прод.