#ParsedReport #ExtractedSchema

Classified images:
windows: 27, code: 25, chart: 5, schema: 5

Сообщение со схемой будет добавляться только если схему удалось найти :)
Давайте поживем до конца следующей недели с таким форматом. Потом пообщаюсь с активными пользователями канала (кто использует чат в работе) и решим, оставлять ли эту фичу, или нет.

Будьте бдительны с ChatGPT, у него иногда сносит крышу. Пару раз он выдавал куски из Шекспира, а теперь вот выдал историю США

Ну и вдогонку он решил меня добить гениальной идеей, на основе скормленного текста

#ParsedReport #CompletenessHigh
25-05-2023

People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a

Report completeness: High

Threats:
Ntdsutil_tool
Earthworm_tool
Impacket_tool
Metasploit_tool
Portproxy_tool
Netstat_tool
Wevtutil_tool
Nltest_tool
Credential_dumping_technique

Victims:
Networks across u.s. critical infrastructure sectors and other sectors worldwide

Industry:
Telco, Government

Geo:
Canadian, Australian, China

CVEs:
CVE-2021-27860 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fatpipeinc ipvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc warp firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)
- fatpipeinc mpvpn firmware (5.2.0, 6.1.2, 7.1.2, 9.1.2, 10.1.2, 10.2.2)

CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)


TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 24
Command: 27
Path: 27
Registry: 11
IP: 1
Hash: 11

Softs:
active directory, windows event viewer, windows firewall, windows powershell, curl, windows security, windows defender firewall

Algorithms:
sha256, zip

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Органы кибербезопасности выпустили сообщение о вредоносной активности спонсируемого государством субъекта КНР, который использует методы "living off the land" и использует взломанные устройства SOHO в качестве промежуточной инфраструктуры для передачи командно-контрольного трафика. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет.
-----

Американские и международные органы кибербезопасности выпустили совместный совет по кибербезопасности, чтобы обратить внимание на злонамеренную деятельность кибероператора, спонсируемого государством Китайская Народная Республика (КНР). Действующее лицо использует технику "living off the land", которая предполагает использование встроенных инструментов сетевого администрирования для выполнения своих задач. Примеры команд агента и сигнатур обнаружения приведены в рекомендации, чтобы помочь защитникам сетей в поиске этой активности. Действующее лицо использовало скомпрометированные сетевые устройства малого офиса/домашнего офиса (SOHO) в качестве промежуточной инфраструктуры, чтобы скрыть свою деятельность, поскольку большая часть командно-контрольного (C2) трафика исходит от местных интернет-провайдеров в географической зоне жертвы. Владельцы устройств SOHO должны убедиться, что интерфейсы управления сетью не выведены в Интернет, чтобы избежать их повторного использования злоумышленниками в качестве перенаправляющих устройств.

Известно, что актер использовал Impacket, Earthworm и пользовательский клиент Fast Reverse Proxy (FRP) с жестко закодированными C2-обратными вызовами на порты 8080, 8443, 8043, 8000 и 10443 с различными именами файлов.

#ParsedReport #CompletenessMedium
24-05-2023

Agrius Deploys Moneybird in Targeted Attacks Against Israeli Organizations. YARA

https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations

Report completeness: Medium

Actors/Campaigns:
Agrius
Blackshadow

Threats:
Moneybird
Apostle
Aspxspy_shell
Plink_tool
Dumplsass_tool
Procdump_tool
Cryptopp_tool
ransomware.wins

Victims:
Israeli organizations

Industry:
Education

Geo:
Middle-east, Iranian, Iran, Israel, Israeli

IOCs:
Path: 20
File: 1

Softs:
softperfect network scanner, visual studio

Algorithms:
aes-256, base64, aes-256-gcm

Win API:
GetSystemInfo, GetLogicalDrives, CoCreateGuid

YARA: Found

Links:
https://github.com/ShiftMediaProject/libgcrypt/blob/b2048356d17efd77d10cab1689cf9bd5b2cc4456/src/gcrypt.h.in
https://github.com/ShiftMediaProject/libgcrypt

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 2, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Agrius - это угроза, связанная с Министерством разведки и безопасности Ирана (MOIS), которая была связана с несколькими атаками вымогательского ПО и wiper, направленными на израильские учреждения. Последний штамм, Moneybird, написан на C++ и использует AES-256 с режимом GCM для шифрования.
-----

Agrius - угрожающий агент, связанный с Министерством разведки и безопасности Ирана (MOIS), который действует в основном на Ближнем Востоке, атакуя израильские учреждения. В 2021 году команды Check Point Incident Response Team (CPIRT) и CPR выявили новый штамм вымогательского ПО под названием Moneybird, который был развернут Agrius. Moneybird был написан на C++ и использовал для шифрования AES-256 с режимом GCM. Она имеет 194 расширения файлов, на которые нацелена, хотя может быть настроена на безразборное шифрование всех файлов в целевых путях. После шифрования в конец файла добавляется зашифрованная структура meta_info.

Agrius известен тем, что использует публичные веб-серверы и узлы VPN-сервисов, в частности, узлы ProtonVPN в Израиле. После получения доступа группа использует несколько общедоступных инструментов для проведения разведки, перемещения в стороны, сбора учетных данных и утечки информации. Среди этих инструментов - SoftPerfect Network Scanner, Plink, Procdump, FileZilla, а также Ufile.io и Easyupload.io для загрузки вредоносных файлов.

Agrius был связан с несколькими атаками с использованием ransomware и wiper, в основном на израильские учреждения, такие как Ширбит и Университет Бар-Илан. Использование Moneybird заслуживает внимания, поскольку оно демонстрирует расширение возможностей группировки и ее постоянные усилия по разработке новых инструментов. Однако группа продолжает следовать своему обычному поведению и использовать те же инструменты и методы, что и раньше.

#ParsedReport #CompletenessMedium
25-05-2023

Buhti: New Ransomware Operation Relies on Repurposed Payloads

https://symantec-enterprise-blogs.security.com/threat-intelligence/buhti-ransomware

Report completeness: Medium

Actors/Campaigns:
Syrphid

Threats:
Buhti
Babuk
Lockbit
Meterpreter_tool
Cobalt_strike
Sliver_tool
Anydesk_tool
Connectwise_rat
Beacon

Victims:
Windows and linux systems

Industry:
Financial

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)


TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 27
IP: 2

Softs:
papercut, esxi

Algorithms:
zip, sha256

Languages:
golang

Links:
https://github.com/alexmullins/zip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Buhti - это новое ransomware, которое выделяется на фоне других ransomware-существ благодаря использованию утечек семейств LockBit и Babuk ransomware, а также способности быстро использовать недавно обнаруженные уязвимости.
-----

Buhti, также известная как Blacktail, является относительно новой операцией по распространению ransomware, которая впервые стала достоянием общественности в феврале 2023 года. Группа отличается от других производителей вымогательского ПО тем, что не разрабатывает собственные полезные нагрузки, а использует варианты семейств вымогательского ПО LockBit и Babuk для атак на системы Windows и Linux. Команда Threat Hunter Team компании Symantec обнаружила попытки атак на компьютеры Windows во взломанных сетях, и, похоже, группа быстро использует недавно раскрытые уязвимости, такие как недавно исправленная уязвимость PaperCut.

Анализ полезной нагрузки, использованной Buhti против компьютеров Windows, показал, что это была минимально модифицированная версия просочившейся в сеть программы LockBit 3.0 (она же LockBit Black). Эта программа включает функцию, которая сбрасывает файл .bmp с логотипом LockBit и делает его обоями Windows, но эта функция была отключена злоумышленниками. Программа также способна отправлять системную информацию о зараженном компьютере на командно-контрольный (C&C) сервер, но эта функция также отключена, и C&C сервер не указан. Все Linux-варианты этой программы-вымогателя были вариантами просочившегося в сеть Babuk ransomware.

В дополнение к полезной нагрузке ransomware, Buhti, похоже, также разработал один пользовательский инструмент - инструмент для кражи информации, предназначенный для поиска и архивирования файлов определенных типов. Этот инструмент написан на языке Golang и предназначен для кражи следующих типов файлов: .pdf, .php, .png, .ppt, .psd, .rar, .raw, .rtf, .sql, .svg, .swf, .tar, .txt, .wav, .wma, .wmv, .xls, .xml, .yml, .zip, .aiff, .aspx, .docx, .epub, .json, .mpeg, .pptx, .xlsx, .yaml. Скопированные файлы помещаются в архив .zip, который создается с помощью.

Последние атаки Buhti также использовали недавно обнаруженную уязвимость в PaperCut NG и MF (CVE-2023-27350) и уязвимость в приложении обмена файлами Aspera Faspex от IBM (CVE-2022-47986). Эти инструменты использовались для кражи данных и доставки полезной нагрузки ransomware на несколько компьютеров в целевой сети.

Хотя повторное использование утечек полезной нагрузки часто является отличительной чертой менее квалифицированных операций с выкупными программами, общая компетентность Blacktail в проведении атак в сочетании с его способностью распознавать полезность недавно обнаруженных уязвимостей позволяет предположить, что его не стоит недооценивать. Благодаря быстрому использованию недавно обнаруженных уязвимостей и применению инструментов, разработанных на заказ, Buhti относится к тем видам вымогательского ПО, к которым не стоит относиться легкомысленно.

#ParsedReport #CompletenessLow
24-05-2023

Updates to Legion: A Cloud Credential Harvester and SMTP Hijacker

https://www.cadosecurity.com/updates-to-legion-a-cloud-credential-harvester-and-smtp-hijacker

Report completeness: Low

Threats:
Legion
Credential_harvesting_technique
Log4shell_vuln

ChatGPT TTPs:
do not use without manual check
T1078, T1543.003, T1552.003, T1098, T1555.003, T1090, T1543.001

IOCs:
File: 1
Hash: 1

Softs:
telegram, laravel, dynamodb, mac os, android, unix, macos

Languages:
python, php

Platforms:
x64, intel

Links:
https://github.com/cado-security
https://github.com/ab/aws-owl
https://github.com/pagevamp/laravel-cloudwatch-logs/tree/master

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Legion - это активно разрабатываемый хакерский инструмент, предназначенный для эксплуатации уязвимых веб-приложений и облачных сервисов в попытке сбора учетных данных. Пользователи облачных сервисов должны предпринимать шаги по защите, регулярно проверяя неправильную конфигурацию веб-приложений, альтернативы хранению секретов в файлах окружения и ища индикаторы компрометации вредоносным ПО.
-----

Компания Cado Labs недавно обнаружила и сообщила о появлении хакерского инструмента, ориентированного на облачные технологии, под названием Legion, который распространялся и продавался в различных публичных группах и каналах в службе обмена сообщениями Telegram. В образце Legion, ранее проанализированном Cado, разработчики включили код в класс под названием legion для анализа списка учетных данных базы данных и извлечения пар имен пользователей и паролей. Кроме того, вредоносная программа искала файлы переменных окружения в неправильно настроенных веб-серверах, работающих на PHP-фреймворках, таких как Laravel.

Теперь исследователи столкнулись с обновленной версией этого вредоносного ПО с некоторыми дополнительными функциями, представляющими интерес для специалистов по облачной безопасности. В обновленной версии Legion был включен импорт Paramiko (реализация протокола SSHv2 на языке Python), что позволяет вредоносной программе пытаться войти на хост через SSH, используя собранные учетные данные. Кроме того, вредоносная программа теперь ищет учетные данные, специфичные для определенных облачных сервисов, таких как AWS CloudWatch, и изменила тему тестовых электронных писем, отправляемых вредоносной программой, включив в них ссылку на King Forza - имя, которое также используется на канале YouTube, связанном с операторами вредоносной программы.

Legion - это активно разрабатываемый инструмент взлома, специально предназначенный для эксплуатации уязвимых веб-приложений в попытке сбора учетных данных. Поскольку с каждой итерацией разработчики нацеливаются на облачные сервисы, следует регулярно пересматривать рекомендации по обнаружению и предотвращению. Ошибки в конфигурации веб-приложений по-прежнему являются основным методом, используемым Legion для получения учетных данных, поэтому разработчикам и администраторам веб-приложений следует регулярно проверять доступ к ресурсам в самих приложениях и искать альтернативы хранению секретов в файлах окружения.

Кроме того, пользователи AWS должны знать, что вредоносная программа создает пользователя IAM и устанавливает тег Owner на значение ms.boharas, что является сильным индикатором компрометации вредоносной программой. Это может быть использовано для инженерных разработок и расследований. Следуя этим простым советам, пользователи облачных вычислений могут защитить себя от вредоносной деятельности Legion и других подобных хактул.

#ParsedReport #CompletenessMedium
25-05-2023

Operation "Total Exchange": New PowerExchange Backdoor Discovered in the UAE

https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered

Report completeness: Medium

Actors/Campaigns:
Total_exchange
Cobalt_katana
Oilrig

Threats:
Powerexchange
Adkoob
Exchangeleech
Beacon
Incontroller_tool
Trifive

Victims:
Government agency in the united arab emirates

Industry:
Government

Geo:
Kuwait, Emirates, Iranian

IOCs:
File: 5
Path: 14
Coin: 1
Url: 1
Hash: 7

Softs:
microsoft exchange server, microsoft exchange, microsoft edge, microsoft edge update

Algorithms:
sha1, base64, zip

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что исследовательская лаборатория выявила несколько одновременных атак, направленных на правительственную организацию в Объединенных Арабских Эмиратах, одной из которых был пользовательский целевой бэкдор на базе PowerShell под названием PowerExchange. Кроме того, на серверах Microsoft Exchange были обнаружены еще два имплантата, а также инструмент бэкдора на базе PowerShell под названием pipe. Исследования связывают бэкдор TriFive с APT34, и есть подозрение, что PowerExchange - это новая и улучшенная форма TriFive. Очень важно развернуть решения для конечных точек на всех устройствах в организации, чтобы обеспечить полный охват и защиту.
-----

В прошлом году исследовательская лаборатория FortiEDR выявила несколько одновременных атак, направленных на правительственную организацию в Объединенных Арабских Эмиратах. Одна из них была единичным случаем использования специального целевого бэкдора на базе PowerShell под названием PowerExchange. Было обнаружено, что этот бэкдор использовал сервер Microsoft Exchange жертвы в качестве протокола командования и управления (C2). Кроме того, на серверах Microsoft Exchange был обнаружен имплант веб-оболочки под названием ExchangeLeech. Цепочка заражения для этой атаки осуществлялась посредством фишинга электронной почты с zip-файлом, содержащим вредоносный исполняемый файл .NET.

Исполняемый файл был дроппером, который устанавливал и выполнял финальную полезную нагрузку, создавая три файла - autosave.exe, wsdl.ps1 и Microsoft.Exchange.WebServices.dll - в папке C:\Users\Public\MicrosoftEdge. Autosave.exe - это исполняемый файл .NET, который запускает конечную полезную нагрузку PowerShell в C:\Users\Public\MicrosoftEdge\wsdl.ps1 в новом процессе. Этот сценарий PowerShell представляет собой пользовательский бэкдор, использующий API Exchange Web Services (EWS) для подключения к серверу Exchange жертвы.

Команда FortiGuard Incident Response также обнаружила два других имплантата - System.Web.Roles.dll и System.Web.Handler.dll, оба написанные на C#, - а также инструмент бэкдора PowerShell с именем pipe. Они также обнаружили второй тип веб-оболочки, ExchangeLeech, с именем файла System.Web.ServiceAuthentication.dll. ExchangeLeech обладает уникальной способностью собирать учетные данные пользователей, входящих на сервер с использованием открытого текста и базовой аутентификации.

Исследование, опубликованное в рамках кампании xHunt, связывает бэкдор TriFive, развернутый против правительственных организаций в Кувейте, с APT34. Оба бэкдора имеют общие черты - они написаны на PowerShell, активируются периодически запланированным заданием, а канал C2 использует сервер Exchange организации с EWS API. Таким образом, мы подозреваем, что PowerExchange - это новая и улучшенная форма TriFive.

Бэкдор PowerExchange - это простой, но эффективный инструмент, поскольку он может смешиваться с доброкачественным трафиком, чтобы избежать обнаружения. Фишинг остается эффективной тактикой для угроз, использующих человеческий фактор и извлекающих выгоду из относительно низкой сложности и стоимости работы. Очень важно широко развернуть решения для конечных точек на всех устройствах в организации, чтобы обеспечить полный охват и защиту.

#ParsedReport #CompletenessMedium
25-05-2023

ASEC Weekly Malware Statistics (May 15th, 2023 May 21st, 2023)

https://asec.ahnlab.com/en/53198

Report completeness: Medium

Threats:
Amadey
Smokeloader
Lockbit
Agent_tesla
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Lokibot_stealer

Industry:
Transport

Geo:
Vietnam

IOCs:
Url: 39
Domain: 2
Email: 3
File: 24

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport #CompletenessMedium
23-05-2023

New MDBotnet Unleashes DDoS Attacks

https://blog.cyble.com/2023/05/23/new-mdbotnet-unleashes-ddos-attacks

Report completeness: Medium

Threats:
Mdbotnet
Synflood_technique
Beacon

Victims:
Individuals and organizations

Industry:
Financial

Geo:
Russia, Russian

TTPs:
Tactics: 5
Technics: 8

IOCs:
IP: 2
File: 7
Hash: 3

Algorithms:
sha256, sha1

Functions:
GetUpdater

Win API:
GetCurrentProcess

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста - рассказать о появлении MDBotnet, нового вида вредоносного ПО, предназначенного для проведения распределенных атак типа "отказ в обслуживании" (DDoS), и объяснить, какую угрозу оно представляет для частных лиц и организаций, а также проактивные меры, необходимые для защиты от таких атак.
-----

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила на одном из киберпреступных форумов новый штамм вредоносного ПО под названием MDBotnet. Происхождение этой вредоносной программы может быть приписано Актору Угроз (TA), связанному с Россией. Эта вредоносная программа MDBotnet была специально разработана для проведения распределенных атак типа "отказ в обслуживании" (DDoS) на целевых жертв с использованием техники атаки HTTP/SYN flood.

Основная цель DDoS-атаки - нарушить работу объекта, нанести финансовый ущерб или повредить его репутации. ТП рекламировал услугу MDBotnet по цене 2 500 (российских рублей) с предложением пожизненного доступа. Кроме того, в рекламе содержалась подробная информация о функциях, включенных в сервис MDBotnet. К ним относилось установление TCP-сокетного соединения с сервером, проверка наличия определенного файла, загрузка этого файла с сервера и создание ключа реестра для автоматического запуска svhost.exe во время запуска.

MDBotnet выполняет вредоносные действия при выполнении, например, получает данные от сервера и выполняет действия на основе полученных команд. Команда UPDATE вызывает метод Start класса Update для выполнения Updater.exe, а команда HTTP_GET вызывает метод Start класса HTTPGetAttack. Основной задачей этого класса является проведение распределенной атаки типа "отказ в обслуживании" (DDoS) путем отправки повторяющихся HTTP GET-запросов на указанный URL. Метод Start инициирует новый поток, ответственный за выполнение атаки, а метод HTTPAttack постоянно генерирует дополнительные потоки для отправки HTTP GET-запросов.

Кроме того, MDBotnet может запускать атаку SYN flood, также называемую SYNAttack. Этот тип кибератаки направлен на использование процесса квитирования протокола Transmission Control Protocol (TCP), используемого для установления сетевых соединений между устройствами. Целью SYN-атаки является наводнение целевой системы чрезмерным количеством запросов на соединение, что приводит к перегрузке системы, отсутствию реакции или даже полному отказу.

Основная цель файла Updater.exe - загрузить с удаленного сервера последнюю версию исполняемого файла MDBotnet (svhost.exe). Этот исполняемый файл выполняет вредоносные действия, такие как получение данных с сервера и выполнение действий на основе полученных команд.

Подпольные форумы позволяют киберпреступникам легко приобретать вредоносные программы и дополнительные услуги, что позволяет им заниматься финансовым мошенничеством, нарушать работу или наносить ущерб жертвам, не обладая обширными техническими знаниями. Доступность ботов и сопутствующих услуг значительно повысила уязвимость людей и организаций к кибератакам, включая DDoS-атаки. В настоящее время ТП, ответственные за MDBotnet, активно работают, но с ограниченными функциональными возможностями. Хотя код для атаки SYN flood присутствует во вредоносной программе, он остается неактивным, что указывает на то, что вредоносная программа все еще находится в разработке. Это означает, что в следующих версиях MDBotnet может быть расширено использование различных техник DDoS, охватывающих более широкий спектр методов атаки.

Киберпреступность - это растущая угроза, которая может иметь серьезные последствия для отдельных лиц и организаций. Важно быть в курсе последних событий в этой области, чтобы лучше защитить себя. CRIL будет продолжать следить за развитием событий, связанных с MDBotnet, и держать наших читателей в курсе событий. Понимая возможности этой вредоносной программы и потенциальные угрозы, которые она представляет, мы сможем принять упреждающие меры для защиты наших систем от DDoS-атак.

#ParsedReport #CompletenessMedium
25-05-2023

Shedding light on AceCryptor and its operation

https://www.welivesecurity.com/2023/05/25/shedding-light-acecryptor-operation

Report completeness: Medium

Threats:
Acecryptor
Process_hollowing_technique
Reflectiveloader
Smokeloader
Emotet
Redline_stealer
Clipbanker
Raccoon_stealer
Ranumbot
Amadey
Pony
Pitou
Tofsee
Phobos
Formbook
Danabot
Avemaria_rat
Junk_code_technique
Kryptik_trojan
Filecoder
Wingo
Hermes
Kovter
Gandcrab
Locky
Process_injection_technique

Geo:
Ukraine

TTPs:
Tactics: 2
Technics: 7

IOCs:
Hash: 19
File: 1

Algorithms:
rc4, sha1

Win API:
GetProcAddress, RegisterClassExA, CreateWindowExA, PostMessageA, GetMessageA, LoadLibraryA, VirtualAlloc, GetFileAttributesA, CreateProcessA, SetErrorMode, have more...

Languages:
python

YARA: Found

Links:
https://github.com/cuckoosandbox/monitor/blob/2deb9ccd75d5a7a3fe05b2625b03a8639d6ee36b/bin/monitor.c#L35
https://github.com/OALabs/hashdb/blob/main/algorithms/shl1\_add.py

#ParsedReport #ExtractedSchema

Classified images:
chart: 4, code: 6, dump: 2, windows: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AceCryptor - это криптор-как-услуга (CaaS), используемый десятками семейств вредоносных программ с 2016 года, а исследователи ESET обнаружили и заблокировали более 240 000 просмотров этого вредоносного ПО в период с 2021 по 2022 год. Вероятно, она продается на темных веб-форумах и распространяется через троянские программы установки, спам-сообщения и другие вредоносные программы. Трудно оценить последствия заражения вредоносным ПО с пакетом AceCryptor, а более тщательный мониторинг поможет в профилактике и обнаружении новых кампаний.
-----

AceCryptor - это криптор-как-услуга (CaaS), используемый десятками семейств вредоносного ПО с 2016 года. Исследователи ESET раскрыли подробности о вредоносном инструменте и защитили более 80 000 клиентов от вредоносного ПО, упакованного AceCryptor.

Криптор активно разрабатывался, и в 2021-2022 годах было выявлено множество его вариантов. По оценкам, во вредоносных программах, упакованных AceCryptor, было обнаружено более 200 имен детекторов ESET. Наблюдение за его деятельностью помогает в мониторинге вредоносного ПО.

AceCryptor встречается по всему миру, и компания ESET обнаружила и заблокировала более 240 000 обращений к этой вредоносной программе в период с 2021 по 2022 год. Вероятно, он продается на темных веб-форумах, и его услуги удобны для авторов вредоносных программ, которые не хотят вкладывать время и ресурсы в разработку собственных крипторешений.

AceCryptor-packed malware обычно распространяется через троянские программы установки пиратского программного обеспечения или спам по электронной почте, содержащий вредоносные вложения, а также может быть загружен другими вредоносными программами. Криптор имеет многоступенчатую трехслойную архитектуру, причем известны две версии первого слоя - одна использует алгоритм TEA (Tiny Encryption Algorithm), а другая - LCG (Linear Congruential Generator). Второй слой - это шеллкод, который расшифровывает и запускает третий слой, а третий слой - это еще больший шеллкод, который запускает полезную нагрузку.

Авторы AceCryptor используют циклы для многочисленных обфускаций, например, используют их с нежелательным кодом для задержки и для скрытия важных операций. Они также используют API GetProcAddress и LoadLibraryA для разрешения функций, используют функцию контрольной суммы shl1_add, создают окно с именем mfoaskdfnoa и выполняют анти-VM проверку, направленную против Cuckoo sandbox, IDA Pro+Bochs и Norman SandBox.

AceCryptor - это долгоживущая и распространенная криптор-вредоносная программа, и пострадать от нее может каждый. Трудно оценить последствия заражения вредоносным ПО, содержащим AceCryptor, а очистить зараженную машину может быть очень сложно. Более тщательный мониторинг поможет в профилактике и обнаружении новых кампаний семейств вредоносных программ, упакованных этим криптором.