#ParsedReport #CompletenessMedium
23-05-2023

ASEC weekly malware statistics (20230515 \~ 20230521)

https://asec.ahnlab.com/ko/53144

Report completeness: Medium

Actors/Campaigns:
Ta505

Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Lokibot_stealer
Avemaria_rat

Industry:
Transport

Geo:
Korea, Vietnam

IOCs:
Url: 39
Domain: 2
Email: 3
File: 24

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport #CompletenessLow
23-05-2023

Lazarus Group Targeting Windows IIS Web Servers

https://asec.ahnlab.com/en/53132

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Mimikatz_tool
Supply_chain_technique
Log4shell_vuln
Lazarloader

Victims:
Windows iis web servers

TTPs:
Tactics: 1
Technics: 1

IOCs:
File: 7
Path: 2
Hash: 4

Algorithms:
salsa20

Functions:
WinAPI

Win API:
FreeLibraryAndExitThread

Links:
https://github.com/nulled666/nppqcp

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Lazarus Group использовала различные векторы атак для эксплуатации веб-серверов Windows IIS и получения доступа к внутренним сетям. Менеджеры по корпоративной безопасности должны знать об этой угрозе и принимать упреждающие меры для предотвращения дальнейшего ущерба.
-----

Группа Lazarus Group была идентифицирована как активный злоумышленник, атакующий веб-серверы Windows IIS. Журнал AhnLab Smart Defense (ASD) выявил вредоносное поведение, осуществляемое через w3wp.exe, процесс веб-сервера IIS. Угроза использовала технику побочной загрузки DLL для запуска вредоносного кода, которая заключалась в размещении вредоносной DLL (msvcr100.dll) в том же пути к папке, что и обычное приложение (Wordconv.exe).

Затем вредоносная DLL используется для расшифровки закодированного PE-файла (msvcr100.dat) и ключа (df2bsr2rob5s1f8788yk6ddi4x0wz1jq) с помощью алгоритма Salsa20. Затем расшифрованный PE-файл выполняется в памяти, очищая вредоносный DLL-модуль перед удалением. Такое поведение аналогично поведению вредоносной программы cylvc.dll, о которой рассказывалось в блоге ASEC от 2022 года и которая использовалась для расшифровки файлов данных с расширением .dat с помощью алгоритма Salsa20 перед выполнением PE-файла в пространстве памяти.

Затем угрожающий агент создал дополнительное вредоносное ПО (diagn.dll), используя плагин с открытым исходным кодом для выбора цвета для Notepad++. Есть основания полагать, что для доступа к системным учетным данным использовался инструмент для кражи учетных данных, такой как Mimikatz, поскольку объект угрозы получил доступ к памяти процесса lsass.exe. Получив доступ к внутренней сети, угрожающий агент осуществил боковое перемещение через удаленный доступ (порт 3389).

Группа Lazarus Group использовала целый ряд векторов атак для осуществления первоначального взлома, включая Log4Shell, уязвимость публичного сертификата, атаку на цепочку поставок 3CX и т.д. Менеджеры по корпоративной безопасности должны быть бдительными, когда речь идет о защите от атак этой группы, используя управление поверхностью атаки и постоянно обновляя последние исправления безопасности. Проактивный мониторинг отношений аномального выполнения процессов и принятие упреждающих мер также могут помочь предотвратить нанесение дальнейшего ущерба этой группой угроз. Продукты компании "АнЛаб" обнаруживают и блокируют вредоносное ПО, использованное в этой атаке, со следующими псевдонимами.

Сорри, сегодня отчетов не будет :(
Втаскиваем классификатор изображений в прод.

В общем есть ряд нюансов в работе API телеги.
Если постить картинку, то размер сообщения сокращается до 1024 символов. У нас первый пост со списком распарсенных объектов часто превышает 1024. Саммари ChatGPT всегда очень близко к максимальному размеру сообщения - 4096.
Придется делать отдельное сообщение :( Т.е. 3 сообщения на отчет.
Вот пример.

#ParsedReport #CompletenessLow
22-05-2023

BlackCat Ransomware Deploys New Signed Kernel Driver. Executive Summary

https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html

Report completeness: Low

Threats:
Blackcat
Stonestop
Vmprotect_tool
Poortry

Victims:
Microsoft hardware developer accounts

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1201.002, T1158.002, T1193.001

IOCs:
Hash: 3
File: 2
Path: 1

Algorithms:
sha256

Win API:
ZwTerminateProcess, ObQueryNameString

#ParsedReport #ExtractedSchema

Classified images:
windows: 27, code: 25, chart: 5, schema: 5

Сообщение со схемой будет добавляться только если схему удалось найти :)
Давайте поживем до конца следующей недели с таким форматом. Потом пообщаюсь с активными пользователями канала (кто использует чат в работе) и решим, оставлять ли эту фичу, или нет.

Будьте бдительны с ChatGPT, у него иногда сносит крышу. Пару раз он выдавал куски из Шекспира, а теперь вот выдал историю США

Ну и вдогонку он решил меня добить гениальной идеей, на основе скормленного текста

#ParsedReport #CompletenessHigh
25-05-2023

People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a

Report completeness: High

Threats:
Ntdsutil_tool
Earthworm_tool
Impacket_tool
Metasploit_tool
Portproxy_tool
Netstat_tool
Wevtutil_tool
Nltest_tool
Credential_dumping_technique

Victims:
Networks across u.s. critical infrastructure sectors and other sectors worldwide

Industry:
Telco, Government

Geo:
Canadian, Australian, China

CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)

CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)


TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 24
Command: 27
Path: 27
Registry: 11
IP: 1
Hash: 11

Softs:
active directory, windows event viewer, windows firewall, windows powershell, curl, windows security, windows defender firewall

Algorithms:
sha256, zip

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Органы кибербезопасности выпустили сообщение о вредоносной активности спонсируемого государством субъекта КНР, который использует методы "living off the land" и использует взломанные устройства SOHO в качестве промежуточной инфраструктуры для передачи командно-контрольного трафика. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет.
-----

Американские и международные органы кибербезопасности выпустили совместный совет по кибербезопасности, чтобы обратить внимание на злонамеренную деятельность кибероператора, спонсируемого государством Китайская Народная Республика (КНР). Действующее лицо использует технику "living off the land", которая предполагает использование встроенных инструментов сетевого администрирования для выполнения своих задач. Примеры команд агента и сигнатур обнаружения приведены в рекомендации, чтобы помочь защитникам сетей в поиске этой активности. Действующее лицо использовало скомпрометированные сетевые устройства малого офиса/домашнего офиса (SOHO) в качестве промежуточной инфраструктуры, чтобы скрыть свою деятельность, поскольку большая часть командно-контрольного (C2) трафика исходит от местных интернет-провайдеров в географической зоне жертвы. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет, чтобы избежать их повторного использования злоумышленниками в качестве перенаправляющих устройств.

Известно, что актер использовал Impacket, Earthworm и пользовательский клиент Fast Reverse Proxy (FRP) с жестко закодированными C2-обратными вызовами на порты 8080, 8443, 8043, 8000 и 10443 с различными именами файлов.

#ParsedReport #CompletenessMedium
24-05-2023

Agrius Deploys Moneybird in Targeted Attacks Against Israeli Organizations. YARA

https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations

Report completeness: Medium

Actors/Campaigns:
Agrius
Blackshadow

Threats:
Moneybird
Apostle
Aspxspy_shell
Plink_tool
Dumplsass_tool
Procdump_tool
Cryptopp_tool
ransomware.wins

Victims:
Israeli organizations

Industry:
Education

Geo:
Middle-east, Iranian, Iran, Israel, Israeli

IOCs:
Path: 20
File: 1

Softs:
softperfect network scanner, visual studio

Algorithms:
aes-256, base64, aes-256-gcm

Win API:
GetSystemInfo, GetLogicalDrives, CoCreateGuid

YARA: Found

Links:
https://github.com/ShiftMediaProject/libgcrypt/blob/b2048356d17efd77d10cab1689cf9bd5b2cc4456/src/gcrypt.h.in
https://github.com/ShiftMediaProject/libgcrypt

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 2, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Agrius - это угроза, связанная с Министерством разведки и безопасности Ирана (MOIS), которая была связана с несколькими атаками вымогательского ПО и wiper, направленными на израильские учреждения. Последний штамм, Moneybird, написан на C++ и использует AES-256 с режимом GCM для шифрования.
-----

Agrius - угрожающий агент, связанный с Министерством разведки и безопасности Ирана (MOIS), который действует в основном на Ближнем Востоке, атакуя израильские учреждения. В 2021 году команды Check Point Incident Response Team (CPIRT) и CPR выявили новый штамм вымогательского ПО под названием Moneybird, который был развернут Agrius. Moneybird был написан на C++ и использовал для шифрования AES-256 с режимом GCM. Она имеет 194 расширения файлов, на которые нацелена, хотя может быть настроена на безразборное шифрование всех файлов в целевых путях. После шифрования в конец файла добавляется зашифрованная структура meta_info.

Agrius известен тем, что использует публичные веб-серверы и узлы VPN-сервисов, в частности, узлы ProtonVPN в Израиле. После получения доступа группа использует несколько общедоступных инструментов для проведения разведки, перемещения в стороны, сбора учетных данных и утечки информации. Среди этих инструментов - SoftPerfect Network Scanner, Plink, Procdump, FileZilla, а также Ufile.io и Easyupload.io для загрузки вредоносных файлов.

Agrius был связан с несколькими атаками с использованием ransomware и wiper, в основном на израильские учреждения, такие как Ширбит и Университет Бар-Илан. Использование Moneybird заслуживает внимания, поскольку оно демонстрирует расширение возможностей группировки и ее постоянные усилия по разработке новых инструментов. Однако группа продолжает следовать своему обычному поведению и использовать те же инструменты и методы, что и раньше.

#ParsedReport #CompletenessMedium
25-05-2023

Buhti: New Ransomware Operation Relies on Repurposed Payloads

https://symantec-enterprise-blogs.security.com/threat-intelligence/buhti-ransomware

Report completeness: Medium

Actors/Campaigns:
Syrphid

Threats:
Buhti
Babuk
Lockbit
Meterpreter_tool
Cobalt_strike
Sliver_tool
Anydesk_tool
Connectwise_rat
Beacon

Victims:
Windows and linux systems

Industry:
Financial

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)


TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 27
IP: 2

Softs:
papercut, esxi

Algorithms:
zip, sha256

Languages:
golang

Links:
https://github.com/alexmullins/zip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Buhti - это новое ransomware, которое выделяется на фоне других ransomware-существ благодаря использованию утечек семейств LockBit и Babuk ransomware, а также способности быстро использовать недавно обнаруженные уязвимости.
-----

Buhti, также известная как Blacktail, является относительно новой операцией по распространению ransomware, которая впервые стала достоянием общественности в феврале 2023 года. Группа отличается от других производителей вымогательского ПО тем, что не разрабатывает собственные полезные нагрузки, а использует варианты семейств вымогательского ПО LockBit и Babuk для атак на системы Windows и Linux. Команда Threat Hunter Team компании Symantec обнаружила попытки атак на компьютеры Windows во взломанных сетях, и, похоже, группа быстро использует недавно раскрытые уязвимости, такие как недавно исправленная уязвимость PaperCut.

Анализ полезной нагрузки, использованной Buhti против компьютеров Windows, показал, что это была минимально модифицированная версия просочившейся в сеть программы LockBit 3.0 (она же LockBit Black). Эта программа включает функцию, которая сбрасывает файл .bmp с логотипом LockBit и делает его обоями Windows, но эта функция была отключена злоумышленниками. Программа также способна отправлять системную информацию о зараженном компьютере на командно-контрольный (C&C) сервер, но эта функция также отключена, и C&C сервер не указан. Все Linux-варианты этой программы-вымогателя были вариантами просочившегося в сеть Babuk ransomware.

В дополнение к полезной нагрузке ransomware, Buhti, похоже, также разработал один пользовательский инструмент - инструмент для кражи информации, предназначенный для поиска и архивирования файлов определенных типов. Этот инструмент написан на языке Golang и предназначен для кражи следующих типов файлов: .pdf, .php, .png, .ppt, .psd, .rar, .raw, .rtf, .sql, .svg, .swf, .tar, .txt, .wav, .wma, .wmv, .xls, .xml, .yml, .zip, .aiff, .aspx, .docx, .epub, .json, .mpeg, .pptx, .xlsx, .yaml. Скопированные файлы помещаются в архив .zip, который создается с помощью.

Последние атаки Buhti также использовали недавно обнаруженную уязвимость в PaperCut NG и MF (CVE-2023-27350) и уязвимость в приложении обмена файлами Aspera Faspex от IBM (CVE-2022-47986). Эти инструменты использовались для кражи данных и доставки полезной нагрузки ransomware на несколько компьютеров в целевой сети.

Хотя повторное использование утечек полезной нагрузки часто является отличительной чертой менее квалифицированных операций с выкупными программами, общая компетентность Blacktail в проведении атак в сочетании с его способностью распознавать полезность недавно обнаруженных уязвимостей позволяет предположить, что его не стоит недооценивать. Благодаря быстрому использованию недавно обнаруженных уязвимостей и применению инструментов, разработанных на заказ, Buhti относится к тем видам вымогательского ПО, к которым не стоит относиться легкомысленно.

#ParsedReport #CompletenessLow
24-05-2023

Updates to Legion: A Cloud Credential Harvester and SMTP Hijacker

https://www.cadosecurity.com/updates-to-legion-a-cloud-credential-harvester-and-smtp-hijacker

Report completeness: Low

Threats:
Legion
Credential_harvesting_technique
Log4shell_vuln

ChatGPT TTPs:
do not use without manual check
T1078, T1543.003, T1552.003, T1098, T1555.003, T1090, T1543.001

IOCs:
File: 1
Hash: 1

Softs:
telegram, laravel, dynamodb, mac os, android, unix, macos

Languages:
python, php

Platforms:
x64, intel

Links:
https://github.com/cado-security
https://github.com/ab/aws-owl
https://github.com/pagevamp/laravel-cloudwatch-logs/tree/master

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Legion - это активно разрабатываемый хакерский инструмент, предназначенный для эксплуатации уязвимых веб-приложений и облачных сервисов в попытке сбора учетных данных. Пользователи облачных сервисов должны предпринимать шаги по защите, регулярно проверяя неправильную конфигурацию веб-приложений, альтернативы хранению секретов в файлах окружения и ища индикаторы компрометации вредоносным ПО.
-----

Компания Cado Labs недавно обнаружила и сообщила о появлении хакерского инструмента, ориентированного на облачные технологии, под названием Legion, который распространялся и продавался в различных публичных группах и каналах в службе обмена сообщениями Telegram. В образце Legion, ранее проанализированном Cado, разработчики включили код в класс под названием legion для анализа списка учетных данных базы данных и извлечения пар имен пользователей и паролей. Кроме того, вредоносная программа искала файлы переменных окружения в неправильно настроенных веб-серверах, работающих на PHP-фреймворках, таких как Laravel.

Теперь исследователи столкнулись с обновленной версией этого вредоносного ПО с некоторыми дополнительными функциями, представляющими интерес для специалистов по облачной безопасности. В обновленной версии Legion был включен импорт Paramiko (реализация протокола SSHv2 на языке Python), что позволяет вредоносной программе пытаться войти на хост через SSH, используя собранные учетные данные. Кроме того, вредоносная программа теперь ищет учетные данные, специфичные для определенных облачных сервисов, таких как AWS CloudWatch, и изменила тему тестовых электронных писем, отправляемых вредоносной программой, включив в них ссылку на King Forza - имя, которое также используется на канале YouTube, связанном с операторами вредоносной программы.

Legion - это активно разрабатываемый инструмент взлома, специально предназначенный для эксплуатации уязвимых веб-приложений в попытке сбора учетных данных. Поскольку с каждой итерацией разработчики нацеливаются на облачные сервисы, следует регулярно пересматривать рекомендации по обнаружению и предотвращению. Ошибки в конфигурации веб-приложений по-прежнему являются основным методом, используемым Legion для получения учетных данных, поэтому разработчикам и администраторам веб-приложений следует регулярно проверять доступ к ресурсам в самих приложениях и искать альтернативы хранению секретов в файлах окружения.

Кроме того, пользователи AWS должны знать, что вредоносная программа создает пользователя IAM и устанавливает тег Owner на значение ms.boharas, что является сильным индикатором компрометации вредоносной программой. Это может быть использовано для инженерных разработок и расследований. Следуя этим простым советам, пользователи облачных вычислений могут защитить себя от вредоносной деятельности Legion и других подобных хактул.

#ParsedReport #CompletenessMedium
25-05-2023

Operation "Total Exchange": New PowerExchange Backdoor Discovered in the UAE

https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered

Report completeness: Medium

Actors/Campaigns:
Total_exchange
Cobalt_katana
Oilrig

Threats:
Powerexchange
Adkoob
Exchangeleech
Beacon
Incontroller_tool
Trifive

Victims:
Government agency in the united arab emirates

Industry:
Government

Geo:
Kuwait, Emirates, Iranian

IOCs:
File: 5
Path: 14
Coin: 1
Url: 1
Hash: 7

Softs:
microsoft exchange server, microsoft exchange, microsoft edge, microsoft edge update

Algorithms:
sha1, base64, zip

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что исследовательская лаборатория выявила несколько одновременных атак, направленных на правительственную организацию в Объединенных Арабских Эмиратах, одной из которых был пользовательский целевой бэкдор на базе PowerShell под названием PowerExchange. Кроме того, на серверах Microsoft Exchange были обнаружены еще два имплантата, а также инструмент бэкдора на базе PowerShell под названием pipe. Исследования связывают бэкдор TriFive с APT34, и есть подозрение, что PowerExchange - это новая и улучшенная форма TriFive. Очень важно развернуть решения для конечных точек на всех устройствах в организации, чтобы обеспечить полный охват и защиту.
-----

В прошлом году исследовательская лаборатория FortiEDR выявила несколько одновременных атак, направленных на правительственную организацию в Объединенных Арабских Эмиратах. Одна из них была единичным случаем использования специального целевого бэкдора на базе PowerShell под названием PowerExchange. Было обнаружено, что этот бэкдор использовал сервер Microsoft Exchange жертвы в качестве протокола командования и управления (C2). Кроме того, на серверах Microsoft Exchange был обнаружен имплант веб-оболочки под названием ExchangeLeech. Цепочка заражения для этой атаки осуществлялась посредством фишинга электронной почты с zip-файлом, содержащим вредоносный исполняемый файл .NET.

Исполняемый файл был дроппером, который устанавливал и выполнял финальную полезную нагрузку, создавая три файла - autosave.exe, wsdl.ps1 и Microsoft.Exchange.WebServices.dll - в папке C:\Users\Public\MicrosoftEdge. Autosave.exe - это исполняемый файл .NET, который запускает конечную полезную нагрузку PowerShell в C:\Users\Public\MicrosoftEdge\wsdl.ps1 в новом процессе. Этот сценарий PowerShell представляет собой пользовательский бэкдор, использующий API Exchange Web Services (EWS) для подключения к серверу Exchange жертвы.

Команда FortiGuard Incident Response также обнаружила два других имплантата - System.Web.Roles.dll и System.Web.Handler.dll, оба написанные на C#, - а также инструмент бэкдора PowerShell с именем pipe. Они также обнаружили второй тип веб-оболочки, ExchangeLeech, с именем файла System.Web.ServiceAuthentication.dll. ExchangeLeech обладает уникальной способностью собирать учетные данные пользователей, входящих на сервер с использованием открытого текста и базовой аутентификации.

Исследование, опубликованное в рамках кампании xHunt, связывает бэкдор TriFive, развернутый против правительственных организаций в Кувейте, с APT34. Оба бэкдора имеют общие черты - они написаны на PowerShell, активируются периодически запланированным заданием, а канал C2 использует сервер Exchange организации с EWS API. Таким образом, мы подозреваем, что PowerExchange - это новая и улучшенная форма TriFive.

Бэкдор PowerExchange - это простой, но эффективный инструмент, поскольку он может смешиваться с доброкачественным трафиком, чтобы избежать обнаружения. Фишинг остается эффективной тактикой для угроз, использующих человеческий фактор и извлекающих выгоду из относительно низкой сложности и стоимости работы. Очень важно широко развернуть решения для конечных точек на всех устройствах в организации, чтобы обеспечить полный охват и защиту.