#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Legion - это активно разрабатываемый хакерский инструмент, предназначенный для эксплуатации уязвимых веб-приложений и облачных сервисов в попытке сбора учетных данных. Пользователи облачных сервисов должны предпринимать шаги по защите, регулярно проверяя неправильную конфигурацию веб-приложений, альтернативы хранению секретов в файлах окружения и ища индикаторы компрометации вредоносным ПО.
-----

Компания Cado Labs недавно обнаружила и сообщила о появлении хакерского инструмента, ориентированного на облачные технологии, под названием Legion, который распространялся и продавался в различных публичных группах и каналах в службе обмена сообщениями Telegram. В образце Legion, ранее проанализированном Cado, разработчики включили код в класс под названием legion для анализа списка учетных данных базы данных и извлечения пар имен пользователей и паролей. Кроме того, вредоносная программа искала файлы переменных окружения в неправильно настроенных веб-серверах, работающих на PHP-фреймворках, таких как Laravel.

Теперь исследователи столкнулись с обновленной версией этого вредоносного ПО с некоторыми дополнительными функциями, представляющими интерес для специалистов по облачной безопасности. В обновленной версии Legion был включен импорт Paramiko (реализация протокола SSHv2 на языке Python), что позволяет вредоносной программе пытаться войти на хост через SSH, используя собранные учетные данные. Кроме того, вредоносная программа теперь ищет учетные данные, специфичные для определенных облачных сервисов, таких как AWS CloudWatch, и изменила тему тестовых электронных писем, отправляемых вредоносной программой, включив в них ссылку на King Forza - имя, которое также используется на канале YouTube, связанном с операторами вредоносной программы.

Legion - это активно разрабатываемый инструмент взлома, специально предназначенный для эксплуатации уязвимых веб-приложений в попытке сбора учетных данных. Поскольку с каждой итерацией разработчики нацеливаются на облачные сервисы, следует регулярно пересматривать рекомендации по обнаружению и предотвращению. Ошибки в конфигурации веб-приложений по-прежнему являются основным методом, используемым Legion для получения учетных данных, поэтому разработчикам и администраторам веб-приложений следует регулярно проверять доступ к ресурсам в самих приложениях и искать альтернативы хранению секретов в файлах окружения.

Кроме того, пользователи AWS должны знать, что вредоносная программа создает пользователя IAM и устанавливает тег Owner на значение ms.boharas, что является сильным индикатором компрометации вредоносной программой. Это может быть использовано для инженерных разработок и расследований. Следуя этим простым советам, пользователи облачных вычислений могут защитить себя от вредоносной деятельности Legion и других подобных хактул.

#ParsedReport #CompletenessMedium
25-05-2023

Operation "Total Exchange": New PowerExchange Backdoor Discovered in the UAE

https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered

Report completeness: Medium

Actors/Campaigns:
Total_exchange
Cobalt_katana
Oilrig

Threats:
Powerexchange
Adkoob
Exchangeleech
Beacon
Incontroller_tool
Trifive

Victims:
Government agency in the united arab emirates

Industry:
Government

Geo:
Kuwait, Emirates, Iranian

IOCs:
File: 5
Path: 14
Coin: 1
Url: 1
Hash: 7

Softs:
microsoft exchange server, microsoft exchange, microsoft edge, microsoft edge update

Algorithms:
sha1, base64, zip

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что исследовательская лаборатория выявила несколько одновременных атак, направленных на правительственную организацию в Объединенных Арабских Эмиратах, одной из которых был пользовательский целевой бэкдор на базе PowerShell под названием PowerExchange. Кроме того, на серверах Microsoft Exchange были обнаружены еще два имплантата, а также инструмент бэкдора на базе PowerShell под названием pipe. Исследования связывают бэкдор TriFive с APT34, и есть подозрение, что PowerExchange - это новая и улучшенная форма TriFive. Очень важно развернуть решения для конечных точек на всех устройствах в организации, чтобы обеспечить полный охват и защиту.
-----

В прошлом году исследовательская лаборатория FortiEDR выявила несколько одновременных атак, направленных на правительственную организацию в Объединенных Арабских Эмиратах. Одна из них была единичным случаем использования специального целевого бэкдора на базе PowerShell под названием PowerExchange. Было обнаружено, что этот бэкдор использовал сервер Microsoft Exchange жертвы в качестве протокола командования и управления (C2). Кроме того, на серверах Microsoft Exchange был обнаружен имплант веб-оболочки под названием ExchangeLeech. Цепочка заражения для этой атаки осуществлялась посредством фишинга электронной почты с zip-файлом, содержащим вредоносный исполняемый файл .NET.

Исполняемый файл был дроппером, который устанавливал и выполнял финальную полезную нагрузку, создавая три файла - autosave.exe, wsdl.ps1 и Microsoft.Exchange.WebServices.dll - в папке C:\Users\Public\MicrosoftEdge. Autosave.exe - это исполняемый файл .NET, который запускает конечную полезную нагрузку PowerShell в C:\Users\Public\MicrosoftEdge\wsdl.ps1 в новом процессе. Этот сценарий PowerShell представляет собой пользовательский бэкдор, использующий API Exchange Web Services (EWS) для подключения к серверу Exchange жертвы.

Команда FortiGuard Incident Response также обнаружила два других имплантата - System.Web.Roles.dll и System.Web.Handler.dll, оба написанные на C#, - а также инструмент бэкдора PowerShell с именем pipe. Они также обнаружили второй тип веб-оболочки, ExchangeLeech, с именем файла System.Web.ServiceAuthentication.dll. ExchangeLeech обладает уникальной способностью собирать учетные данные пользователей, входящих на сервер с использованием открытого текста и базовой аутентификации.

Исследование, опубликованное в рамках кампании xHunt, связывает бэкдор TriFive, развернутый против правительственных организаций в Кувейте, с APT34. Оба бэкдора имеют общие черты - они написаны на PowerShell, активируются периодически запланированным заданием, а канал C2 использует сервер Exchange организации с EWS API. Таким образом, мы подозреваем, что PowerExchange - это новая и улучшенная форма TriFive.

Бэкдор PowerExchange - это простой, но эффективный инструмент, поскольку он может смешиваться с доброкачественным трафиком, чтобы избежать обнаружения. Фишинг остается эффективной тактикой для угроз, использующих человеческий фактор и извлекающих выгоду из относительно низкой сложности и стоимости работы. Очень важно широко развернуть решения для конечных точек на всех устройствах в организации, чтобы обеспечить полный охват и защиту.

#ParsedReport #CompletenessMedium
25-05-2023

ASEC Weekly Malware Statistics (May 15th, 2023 May 21st, 2023)

https://asec.ahnlab.com/en/53198

Report completeness: Medium

Threats:
Amadey
Smokeloader
Lockbit
Agent_tesla
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat
Lokibot_stealer

Industry:
Transport

Geo:
Vietnam

IOCs:
Url: 39
Domain: 2
Email: 3
File: 24

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport #CompletenessMedium
23-05-2023

New MDBotnet Unleashes DDoS Attacks

https://blog.cyble.com/2023/05/23/new-mdbotnet-unleashes-ddos-attacks

Report completeness: Medium

Threats:
Mdbotnet
Synflood_technique
Beacon

Victims:
Individuals and organizations

Industry:
Financial

Geo:
Russia, Russian

TTPs:
Tactics: 5
Technics: 8

IOCs:
IP: 2
File: 7
Hash: 3

Algorithms:
sha256, sha1

Functions:
GetUpdater

Win API:
GetCurrentProcess

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста - рассказать о появлении MDBotnet, нового вида вредоносного ПО, предназначенного для проведения распределенных атак типа "отказ в обслуживании" (DDoS), и объяснить, какую угрозу оно представляет для частных лиц и организаций, а также проактивные меры, необходимые для защиты от таких атак.
-----

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила на одном из киберпреступных форумов новый штамм вредоносного ПО под названием MDBotnet. Происхождение этой вредоносной программы может быть приписано Актору Угроз (TA), связанному с Россией. Эта вредоносная программа MDBotnet была специально разработана для проведения распределенных атак типа "отказ в обслуживании" (DDoS) на целевых жертв с использованием техники атаки HTTP/SYN flood.

Основная цель DDoS-атаки - нарушить работу объекта, нанести финансовый ущерб или повредить его репутации. ТП рекламировал услугу MDBotnet по цене 2 500 (российских рублей) с предложением пожизненного доступа. Кроме того, в рекламе содержалась подробная информация о функциях, включенных в сервис MDBotnet. К ним относилось установление TCP-сокетного соединения с сервером, проверка наличия определенного файла, загрузка этого файла с сервера и создание ключа реестра для автоматического запуска svhost.exe во время запуска.

MDBotnet выполняет вредоносные действия при выполнении, например, получает данные от сервера и выполняет действия на основе полученных команд. Команда UPDATE вызывает метод Start класса Update для выполнения Updater.exe, а команда HTTP_GET вызывает метод Start класса HTTPGetAttack. Основной задачей этого класса является проведение распределенной атаки типа "отказ в обслуживании" (DDoS) путем отправки повторяющихся HTTP GET-запросов на указанный URL. Метод Start инициирует новый поток, ответственный за выполнение атаки, а метод HTTPAttack постоянно генерирует дополнительные потоки для отправки HTTP GET-запросов.

Кроме того, MDBotnet может запускать атаку SYN flood, также называемую SYNAttack. Этот тип кибератаки направлен на использование процесса квитирования протокола Transmission Control Protocol (TCP), используемого для установления сетевых соединений между устройствами. Целью SYN-атаки является наводнение целевой системы чрезмерным количеством запросов на соединение, что приводит к перегрузке системы, отсутствию реакции или даже полному отказу.

Основная цель файла Updater.exe - загрузить с удаленного сервера последнюю версию исполняемого файла MDBotnet (svhost.exe). Этот исполняемый файл выполняет вредоносные действия, такие как получение данных с сервера и выполнение действий на основе полученных команд.

Подпольные форумы позволяют киберпреступникам легко приобретать вредоносные программы и дополнительные услуги, что позволяет им заниматься финансовым мошенничеством, нарушать работу или наносить ущерб жертвам, не обладая обширными техническими знаниями. Доступность ботов и сопутствующих услуг значительно повысила уязвимость людей и организаций к кибератакам, включая DDoS-атаки. В настоящее время ТП, ответственные за MDBotnet, активно работают, но с ограниченными функциональными возможностями. Хотя код для атаки SYN flood присутствует во вредоносной программе, он остается неактивным, что указывает на то, что вредоносная программа все еще находится в разработке. Это означает, что в следующих версиях MDBotnet может быть расширено использование различных техник DDoS, охватывающих более широкий спектр методов атаки.

Киберпреступность - это растущая угроза, которая может иметь серьезные последствия для отдельных лиц и организаций. Важно быть в курсе последних событий в этой области, чтобы лучше защитить себя. CRIL будет продолжать следить за развитием событий, связанных с MDBotnet, и держать наших читателей в курсе событий. Понимая возможности этой вредоносной программы и потенциальные угрозы, которые она представляет, мы сможем принять упреждающие меры для защиты наших систем от DDoS-атак.

#ParsedReport #CompletenessMedium
25-05-2023

Shedding light on AceCryptor and its operation

https://www.welivesecurity.com/2023/05/25/shedding-light-acecryptor-operation

Report completeness: Medium

Threats:
Acecryptor
Process_hollowing_technique
Reflectiveloader
Smokeloader
Emotet
Redline_stealer
Clipbanker
Raccoon_stealer
Ranumbot
Amadey
Pony
Pitou
Tofsee
Phobos
Formbook
Danabot
Avemaria_rat
Junk_code_technique
Kryptik_trojan
Filecoder
Wingo
Hermes
Kovter
Gandcrab
Locky
Process_injection_technique

Geo:
Ukraine

TTPs:
Tactics: 2
Technics: 7

IOCs:
Hash: 19
File: 1

Algorithms:
rc4, sha1

Win API:
GetProcAddress, RegisterClassExA, CreateWindowExA, PostMessageA, GetMessageA, LoadLibraryA, VirtualAlloc, GetFileAttributesA, CreateProcessA, SetErrorMode, have more...

Languages:
python

YARA: Found

Links:
https://github.com/cuckoosandbox/monitor/blob/2deb9ccd75d5a7a3fe05b2625b03a8639d6ee36b/bin/monitor.c#L35
https://github.com/OALabs/hashdb/blob/main/algorithms/shl1\_add.py

#ParsedReport #ExtractedSchema

Classified images:
chart: 4, code: 6, dump: 2, windows: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AceCryptor - это криптор-как-услуга (CaaS), используемый десятками семейств вредоносных программ с 2016 года, а исследователи ESET обнаружили и заблокировали более 240 000 просмотров этого вредоносного ПО в период с 2021 по 2022 год. Вероятно, она продается на темных веб-форумах и распространяется через троянские программы установки, спам-сообщения и другие вредоносные программы. Трудно оценить последствия заражения вредоносным ПО с пакетом AceCryptor, а более тщательный мониторинг поможет в профилактике и обнаружении новых кампаний.
-----

AceCryptor - это криптор-как-услуга (CaaS), используемый десятками семейств вредоносного ПО с 2016 года. Исследователи ESET раскрыли подробности о вредоносном инструменте и защитили более 80 000 клиентов от вредоносного ПО, упакованного AceCryptor.

Криптор активно разрабатывался, и в 2021-2022 годах было выявлено множество его вариантов. По оценкам, во вредоносных программах, упакованных AceCryptor, было обнаружено более 200 имен детекторов ESET. Наблюдение за его деятельностью помогает в мониторинге вредоносного ПО.

AceCryptor встречается по всему миру, и компания ESET обнаружила и заблокировала более 240 000 обращений к этой вредоносной программе в период с 2021 по 2022 год. Вероятно, он продается на темных веб-форумах, и его услуги удобны для авторов вредоносных программ, которые не хотят вкладывать время и ресурсы в разработку собственных крипторешений.

AceCryptor-packed malware обычно распространяется через троянские программы установки пиратского программного обеспечения или спам по электронной почте, содержащий вредоносные вложения, а также может быть загружен другими вредоносными программами. Криптор имеет многоступенчатую трехслойную архитектуру, причем известны две версии первого слоя - одна использует алгоритм TEA (Tiny Encryption Algorithm), а другая - LCG (Linear Congruential Generator). Второй слой - это шеллкод, который расшифровывает и запускает третий слой, а третий слой - это еще больший шеллкод, который запускает полезную нагрузку.

Авторы AceCryptor используют циклы для многочисленных обфускаций, например, используют их с нежелательным кодом для задержки и для скрытия важных операций. Они также используют API GetProcAddress и LoadLibraryA для разрешения функций, используют функцию контрольной суммы shl1_add, создают окно с именем mfoaskdfnoa и выполняют анти-VM проверку, направленную против Cuckoo sandbox, IDA Pro+Bochs и Norman SandBox.

AceCryptor - это долгоживущая и распространенная криптор-вредоносная программа, и пострадать от нее может каждый. Трудно оценить последствия заражения вредоносным ПО, содержащим AceCryptor, а очистить зараженную машину может быть очень сложно. Более тщательный мониторинг поможет в профилактике и обнаружении новых кампаний семейств вредоносных программ, упакованных этим криптором.

#ParsedReport #CompletenessMedium
24-05-2023

Technical Analysis of Pikabot. Key Points

https://www.zscaler.com/blogs/security-research/technical-analysis-pikabot

Report completeness: Medium

Threats:
Pikabot
Advobfuscator_tool
Qakbot
Cobalt_strike
Antidebugging_technique
Trap_flag_technique

Geo:
Georgian, Kazakhstan, Russia, Belarus, Ukrainian, Slovenia, Russian, Slovenian, Tajikistan, Ukraine, Georgia, Belarusian

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Registry: 2
Command: 2
Hash: 6
Url: 5

Algorithms:
aes, base64, cbc, xor

Win API:
Beep, CheckRemoteDebuggerPresent, IsDebuggerPresent, NtGlobalFlag, NtQueryInformationProcess, GetWriteWatch

Languages:
python

Platforms:
intel

Links:
https://github.com/threatlabz/tools/tree/main/pikabot
https://github.com/BaumFX/cpp-anti-debug/blob/master/anti\_debug.cpp#L260
https://github.com/BaumFX/cpp-anti-debug/blob/master/anti\_debug.cpp#L456
https://github.com/thefLink/DeepSleep
https://github.com/andrivet/ADVobfuscator
https://github.com/CheckPointSW/Evasions/blob/master/\_techniques/processes.md

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Pikabot - это новый троян, состоящий из двух компонентов: загрузчика и основного модуля. Он реализует вредоносную функциональность, добавляет стойкость и собирает системную информацию со скомпрометированного хоста. Сетевые запросы шифруются с помощью Base64, AES (режим CBC) и 32-байтового ключа.
-----

Pikabot - это новый троян, появившийся в начале 2023 года и состоящий из двух компонентов: загрузчика и основного модуля. Он способен получать команды от командно-контрольного сервера, такие как внедрение произвольного шеллкода, DLL или исполняемых файлов. Он имеет некоторое сходство с Qakbot, но нет достаточных доказательств, чтобы однозначно связать их с одним и тем же субъектом угрозы.

Основной модуль реализует вредоносные функции, такие как выполнение произвольных команд и внедрение полезной нагрузки, предоставляемой командно-контрольным сервером. Он использует ряд методов антианализа и общедоступный инструмент ADVobfuscator для обфускации строк. Инжектор используется для расшифровки и внедрения основного модуля, а также реализует такие методы защиты от анализа, как обработчики исключений, проверка флага BeingDebugged и использование функций Windows API IsDebuggerPresent и CheckRemoteDebuggerPresent.

Pikabot также добавляет постоянство на скомпрометированном хосте, создавая новое значение с путем к файлу в ключе реестра Run и повреждая текущий исполняемый файл. Кроме того, он загружает сценарий PowerShell с командно-контрольного сервера и сохраняет его в HKEY_CURRENT_USER\Software\predefined_name вместе с зашифрованными командно-контрольными серверами. Наконец, он устанавливает значение в ключе реестра Run для выполнения сценария PowerShell.

Pikabot регистрирует скомпрометированный хост на командно-контрольных серверах и собирает системную информацию. Он запрашивает задания у сервера и поддерживает различные типы команд. Сетевые запросы шифруются с помощью Base64, AES (режим CBC) и 32-байтового ключа.

#ParsedReport #CompletenessLow
24-05-2023

Malvertising via brand impersonation is back again

https://www.malwarebytes.com/blog/threat-intelligence/2023/05/malvertising-its-a-jungle-out-there

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Users

IOCs:
Domain: 16

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Малвертайзинг - это форма вредоносной рекламы, которая снова на подъеме и часто используется преступниками, чтобы привести к мошенничеству, вредоносному ПО и фишинговым сайтам. Рекламодатели могут использовать сократители URL, маскировочные сервисы или недавно зарегистрированные домены для распространения вредоносного контента среди своих жертв.
-----

Малвертайзинг - это форма вредоносной рекламы, которая влияет на опыт пользователей и доверие к их любимой поисковой системе. В последнее время многочисленные инциденты показали, что вредоносная реклама снова на подъеме, и это во многом связано с тем, что преступники покупают рекламу и отображают официальный сайт бренда в рекламном сниппете. Эти объявления могут вести к мошенничеству или вредоносному ПО, и даже к фишинговым сайтам, которые пытаются украсть пароли и номера кредитных карт.

Рекламодатели могут быть законными аффилированными лицами, связанными с брендом, но они также могут использовать для вредоносной деятельности укорачиватели URL, маскировочные сервисы или недавно зарегистрированные домены. Что еще хуже, субъекты угроз часто используют службы фильтрации трафика, чтобы направлять вредоносный контент исключительно на предполагаемые жертвы. Такая система распределения и фильтрации трафика известна как маскировка, при которой используется как легитимный URL (или приманка), так и денежный URL (вредоносный).

#ParsedReport #CompletenessLow
25-05-2023

Obsidian ORB Ransomware Demands Gift Cards as Payment

https://blog.cyble.com/2023/05/25/obsidian-orb-ransomware-demands-gift-cards-as-payment

Report completeness: Low

Threats:
Obsidian_orb
Chaos_ransomware
Blacksnake
Onyx
Rancoz

Industry:
Financial

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 5
Hash: 1

Algorithms:
aes, sha1, sha256

Functions:
GetDrives

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Obsidian ORB Ransomware - это модифицированная версия кода Chaos ransomware, которая распространяется путем создания своих копий в каталоге %appdata% и выполнения нескольких команд через cmd.exe. Он также принимает платежи за выкуп в виде подарочных карт от популярных платформ. Важно сохранять бдительность в отношении таких атак.
-----

Ransomware - одна из самых больших угроз кибербезопасности, при этом используются такие тактики, как двойное вымогательство и таймеры обратного отсчета. Новейший вариант, Obsidian ORB Ransomware, является модифицированной версией печально известного кода Chaos ransomware, утечка которого произошла в Интернете.

В отличие от других вариантов ransomware, TA, стоящие за Obsidian ORB, решили принимать платежи за выкуп в виде подарочных карт с таких популярных платформ, как Roblox, Paysafe, Payday и Steam.

Ransomware распространяется путем создания своих копий в каталоге %appdata% и создания файла ярлыка в папке Windows Startup. Она сканирует машину жертвы для выявления доступных дисков и шифрует определенные папки с помощью библиотек Microsoft Enhanced RSA и AES Cryptographic Provider. В каждом каталоге, где происходит шифрование файлов, создается записка с выкупом под названием "read_it.txt". Фоновое изображение рабочего стола взломанной системы также изменяется. Кроме того, ransomware выполняет несколько команд через cmd.exe для удаления резервных копий и отключения режима восстановления на зараженной системе.

Нередко субъекты угроз используют существующий код ransomware в качестве шаблона для новых вариантов. Такой подход удобен и эффективен для них, поскольку они могут изменять и настраивать код в соответствии со своими предпочтениями. В данном случае TA модифицировал код Chaos ransomware, создав Obsidian ORB ransomware.

Cyble Research & Intelligence Labs (CRIL) постоянно отслеживает кампании по борьбе с вымогательским ПО и будет информировать читателей о последних новостях. Важно сохранять бдительность в отношении подобных атак, поскольку они могут иметь серьезные последствия как для частных лиц, так и для организаций.

#ParsedReport #CompletenessMedium
25-05-2023

Operation Magalenha \| Long-Running Campaign Pursues Portuguese Credentials and PII

https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Maxtrilha
Smokeloader
Geral
Beacon

Victims:
Users of portuguese financial institutions

Industry:
Government, Financial

Geo:
Portuguese, Russian, American, Spain, America, Belize, Portugal, Brazilian, Andorra

IOCs:
File: 2
Registry: 1
Url: 20
IP: 1
Hash: 106

Softs:
google chrome

Algorithms:
base64, sha1

Languages:
delphi

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Operation Magalenha - бразильская угрожающая группа, которая нацелена на пользователей более 30 финансовых учреждений, развертывая два варианта бэкдора под названием PeepingTitle на языке программирования Delphi. Эта угрожающая группа стратегически перенесла хостинг своей инфраструктуры на Timeweb, российского поставщика услуг IaaS. Организациям и частным лицам необходимо сохранять бдительность и принимать проактивные меры для защиты от этой угрозы.
-----

SentinelLabs отслеживает бразильскую группу угроз под названием Operation Magalenha с 2021 года. Эта кампания является последней итерацией более широкой группы, которая нацелена на пользователей более 30 финансовых учреждений. Угрожающие субъекты развертывают два варианта бэкдоров под названием PeepingTitle, которые являются частью бразильской экосистемы вредоносного ПО для финансовых учреждений. Эти бэкдоры реализованы на языке программирования Delphi и обладают шпионскими возможностями, такими как мониторинг взаимодействия окон, несанкционированное снятие скриншотов, завершение процессов и развертывание дальнейшего вредоносного ПО.

Угрожающая группа стратегически перенесла хостинг своей инфраструктуры от IaaS-провайдеров с более строгими мерами защиты от злоупотреблений, таких как крупный американский облачный провайдер, к Timeweb, российскому IaaS-провайдеру, известному своей более мягкой политикой. Вредоносная программа обычно распространяется через фишинговые электронные письма, социальную инженерию и вредоносные веб-сайты, а скрипты открывают TinyURL на сайты для входа пользователей Energias de Portugal и Португальского налогового и таможенного управления.

Анализ инфраструктуры, связанной с угрожающей группой, выявил изменения в дизайне операции в середине 2022 года, а также улики, указывающие на бразильско-португалоязычных участников угрозы. Образцы вредоносного ПО сигнализировали по адресу 193.218.204.207 и содержали бразильско-португальский текст "ПЕРЕМЕННАЯ В порядке" и "ОБНОВИТЬ".

Операция Magalenha демонстрирует настойчивость группировок и их способность обновлять свой арсенал вредоносного ПО и тактику. Это позволяет им оставаться эффективными в своих кампаниях, и они продемонстрировали понимание финансового ландшафта в португало- и испаноязычных странах Европы, Центральной и Латинской Америки. Поэтому организациям и частным лицам необходимо сохранять бдительность и принимать упреждающие меры для защиты от этой угрозы.

#technique

Don't @ Me: URL Obfuscation Through Schema Abuse

https://www.mandiant.com/resources/blog/url-obfuscation-schema-abuse

#ParsedReport #CompletenessMedium
26-05-2023

Akira Ransomware Unleashing Chaos using Conti Leaks

https://labs.k7computing.com/index.php/akira-ransomware-unleashing-chaos-using-conti-leaks

Report completeness: Medium

Actors/Campaigns:
Bluesky

Threats:
Akira_ransomware
Conti
Credential_stealing_technique
Radmin_tool
Pchunter_tool
Chisel_tool
Meterpreter_tool
Cobalt_strike
Anydesk_tool
Onyx
Scarecrow

Victims:
16 organisations worldwide

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1110, T1075, T1021, T1076, T1077, T1086, T1053, T1542, T1036, have more...

IOCs:
File: 3
Registry: 1
Command: 1
Url: 1
Hash: 5

Softs:
mssql, windows defender

Algorithms:
chacha20

Win API:
QueryPerformanceCounter, QueueUserAPC, WaitForMultipleObjects, CoCreateInstance, GetLogicalDriveStringsA, FindFirstFileW, FindNextFileW, RmGetList, RmShutdown, CryptGenRandom, have more...

Win Services:
db2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Akira ransomware была использована для атаки на более чем 16 организаций по всему миру, используя слабые места в системе безопасности, такие как фишинговые письма, эксплуатация RDP и уязвимости программного обеспечения. Злоумышленники также использовали методы уклонения и инструменты эксфильтрации, и есть подозрения, что они скопировали исходный код программы Conti ransomware. Важно принять упреждающие меры, чтобы обезопасить системы от подобных атак в будущем.
-----

Атаки Ransomware стали серьезной проблемой для частных лиц и организаций. С появлением Ransomware-as-a-Service и утечкой исходного кода популярных вымогательских программ, угрожающие стороны принимают эту стратегию. Одной из недавно замеченных программ-вымогателей является Akira, которая начала свою кампанию в конце марта 2023 года и уже заразила более 16 организаций по всему миру. У нее есть свой собственный сайт Tor в ретро-стиле, где она публично раскрывает украденные данные, если жертва не заплатит выкуп.

Операторы программы Akira ransomware нацеливаются на уязвимые системы и используют слабые места в системе безопасности для получения первоначального доступа. Их распространенная тактика включает фишинговые письма, использование протокола удаленного рабочего стола (RDP) и уязвимостей программного обеспечения для проникновения в системы и проведения атак. Кроме того, они используют и другие методы, такие как перебор плохо управляемых серверов MsSQL. В конкретном случае с программой Akira ransomware злоумышленники в первую очередь использовали плохо настроенные соединения Remote Desktop Protocol (RDP), которые были открыты для доступа в Интернет, с обходом MFA и слабыми паролями. Для получения доступа злоумышленники создавали службы Windows для дампа памяти из lsass.exe с целью кражи учетных данных и создавали запланированные задачи для выполнения удаленного листинга каталогов. Они также использовали AdvancedIP Scanner для поиска всех подключенных в сети систем и Radmin для удаленного доступа.

Для уклонения злоумышленники добавили в реестр для обхода сканирования в реальном времени в Windows Defender HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\ и использовали путь C:\programdata для запуска большинства своих инструментов и финального ransomware. Отмечается, что они также устанавливали шпионские программы, руткиты и майнеры монет и запускали их в течение нескольких дней, прежде чем заразить систему вымогательским ПО. Для утечки данных злоумышленники использовали программы туннелирования, такие как chisel и cloudflare free tunnel, чтобы обойти брандмауэр и скрыть свой IP. Они также использовали AnyDesk для сохранения данных, а в ransomware было три функции, связанные со строковыми операциями, которые были объявлены как Static-функции.

Программа-вымогатель имела три режима шифрования и принимала аргументы командной строки. Она использовала библиотеку Boost.Asio C++ для создания нескольких потоков для асинхронной работы и вызывала API GetLogicalDriveStringsA для заполнения всех логических дисков. Программа-вымогатель также использовала FindFirstFileW и FindNextFileW для анализа всех каталогов и размещения записки о выкупе akira_readme.txt. Она также убивала процессы, зарегистрированные ресурсы в диспетчере перезагрузки windows, чтобы шифровать файлы непрерывно.

При дальнейшем анализе было обнаружено, что участники угрозы скопировали утечку исходного кода программы Conti ransomware, которая имела схожие расширения и список процессов. Это указывает на потенциальный рост числа подобных инцидентов в будущем. Поэтому важно принимать упреждающие меры для повышения безопасности и защиты систем.

#ParsedReport #CompletenessMedium
26-05-2023

BatLoader Impersonates Midjourney, ChatGPT in Drive-by Cyberattacks

https://www.esentire.com/blog/batloader-impersonates-midjourney-chatgpt-in-drive-by-cyberattacks

Report completeness: Medium

Threats:
Batloader
Redline_stealer
More_eggs
Process_hacker_tool

Victims:
Chatgpt, Midjourney

Geo:
Russian, Apac, Emea, America, Africa

ChatGPT TTPs:
do not use without manual check
T1497, T1495, T1496, T1081

IOCs:
Domain: 5
Url: 2
File: 2
Hash: 7
IP: 1

Softs:
midjourney, chatgpt, discord, microsoft edge, windows defender application control

Languages:
php

Platforms:
intel