#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Void Rabisu, вредоносный агент, связанный с бэкдором RomCom, с октября 2022 года сменил мотивацию с финансовой выгоды на геополитические цели и использует сторонний сервис для подписания двоичных файлов сертификатами вроде бы легитимных канадских компаний.
-----

Void Rabisu, вредоносный агент, связанный с бэкдором RomCom, с октября 2022 года сменил мотивацию с финансовой выгоды на геополитические цели. RomCom распространяется через сайты-приманки, создаваемые быстрыми сериями, и является примером финансово мотивированных угроз, чьи цели и мотивы все больше совпадают с геополитическими обстоятельствами. Помимо использования рекламы Google Ads для привлечения жертв, RomCom распространяется через троянизированные версии легитимных приложений, включая приложения для чатов, PDF-ридеры, приложения для удаленного рабочего стола и менеджеры паролей. Целями вредоносной программы являются Украина и страны НАТО, организации финансового, энергетического и водного секторов, местное правительственное агентство по поддержке украинских беженцев, а также банки и поставщики ИТ-услуг в Европе, США и Азии.

RomCom 3.0 состоит из трех компонентов: загрузчика, сетевого компонента и рабочего компонента. Он поддерживает 42 команды, включая команды для загрузки и запуска легитимного программного обеспечения, и похищает сохраненные учетные данные и историю просмотров из браузеров. Вредоносная программа защищена с помощью VMProtect и подписана действительными сертификатами, а также использует функции анти-VM для обнаружения запуска на виртуальной машине.

Void Rabisu, похоже, использует сторонний сервис, который помогает подписывать двоичные файлы сертификатами вроде бы легитимных канадских компаний. Такие компании имеют такие странности, как несуществующие номера телефонов, стоковые фотографии руководителей и адреса офисов, которые не совпадают. В данном случае сертификат был подписан канадской компанией Noray Consulting Ltd., которая, по-видимому, является либо поддельной, либо законной компанией, которой злоупотребляют, чтобы пройти проверку, необходимую для получения права подписывать двоичные файлы.

#ParsedReport #CompletenessLow
30-05-2023

FlowCloud malware infection via USB Flash Drive

https://insight-jp.nttsecurity.com/post/102ifpu/flowcloud-malware-infection-via-usb-flash-drive

Report completeness: Low

Actors/Campaigns:
Red_delta
Ta410 (motivation: cyber_espionage)
Webworm (motivation: cyber_espionage)
Ta428

Threats:
Flowcloud
Killlsomeone
Proxyshell_vuln
Proxylogon_exploit
Lookback

Victims:
Japanese organizations, Us public institutions, Global organizations, Manufacturing company

Geo:
Japan, Chinese, China, Japanese

ChatGPT TTPs:
do not use without manual check
T1140, T1083, T1064, T1036, T1082, T1050

IOCs:
File: 3
Hash: 9
Domain: 2
IP: 4

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что группа под названием TA410 атакует широкий круг глобальных организаций, используя вредоносное ПО FlowCloud, и недавние атаки были замечены в Японии и США. Цепочка атак включает запуск EXE-файла с USB-накопителя, а IP-адреса, связанные с атаками, находятся в Китае.
-----

В прошлом году такие злоумышленники, как Mustang Panda, KilllSomeOne и TA410, атаковали японские организации через USB-накопители.

Вредоносное ПО FlowCloud используется с 2019 года TA410 и классифицируется на три подгруппы.

В 2022 году была проведена атака на японскую производственную компанию, которая была приписана подгруппе под названием LookingFrog.

Вредоносная программа FlowCloud использовалась в многочисленных атаках за короткий промежуток времени с июня по август 2022 года.

Конфиг вредоносной программы FlowCloud содержит пояснительные комментарии на упрощенном китайском языке и осуществляет обмен данными через порты 562 и 563.

Руткит совместим с Windows 11 версии 21H2.

Большинство IP-адресов назначения, перечисленных в конфиге вредоносной программы FlowCloud, находятся в Китае.

#ParsedReport #CompletenessMedium
30-05-2023

PixBankBot: New ATS-Based Malware Poses Threat to the Brazilian Banking Sector

https://blog.cyble.com/2023/05/30/pixbankbot-new-ats-based-malware-poses-threat-to-the-brazilian-banking-sector

Report completeness: Medium

Threats:
Brasdex
Pixpirate
Goatrat
Lizar

Victims:
Brazilian banks utilizing pix instant payment system

Industry:
Financial

Geo:
Brazilian, Brasil, Ita, Brazil, American

TTPs:
Tactics: 4
Technics: 6

IOCs:
Url: 2
File: 1
Hash: 4

Softs:
android

Algorithms:
sha256, sha1

#ParsedReport #ExtractedSchema

Classified images:
code: 14, schema: 2, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Рост числа вариантов банковских троянов для Android, нацеленных на бразильские банки, представляет собой угрозу для финансовых учреждений в эпоху цифровых платежей. Эти трояны могут осуществлять мошеннические операции и собирать информацию о пользователе, интегрируя фреймворк ATS и используя сервисы доступности.
-----

Pix произвела революцию в сфере платежей и переводов, позволив более 138 миллионам пользователей совершать транзакции по состоянию на апрель 2023 года. К сожалению, бразильские банки, использующие систему мгновенных платежей Pix, подвергаются постоянным атакам со стороны угроз. Компания Cyble Research & Intelligence Labs обнаружила новый вариант банковского троянца для Android под названием PixBankBot, созданный специально для атак на бразильские банки через систему автоматических переводов (ATS). Вредоносная программа ловко маскируется под PDF-приложение с иконкой и названием, чтобы казаться подлинной. После установки он предлагает пользователю включить службу доступности, которая затем используется для перехвата клавиатуры и фреймворка ATS.

Вредоносная программа получает уникальный идентификатор, известный как Pix-ключ, связанный с информацией о банковском счете получателя, и отправляет основную информацию об устройстве, такую как имя устройства, версия Android, IP и регион, на командно-контрольный сервер (C&C). После обнаружения целевого банковского приложения вредоносная программа создает поддельное окно настоящего приложения, скрывая свои вредоносные действия от ничего не подозревающих жертв. Затем он ищет определенные элементы, связанные с ключом Pix и суммой перевода, вставляет их и автоматически нажимает на элементы пользовательского интерфейса для завершения процесса перевода денег. Кроме того, он проверяет, включена ли биометрическая аутентификация, и пытается обманом заставить жертву подтвердить подлинность своих отпечатков пальцев. После завершения перевода вредоносная программа отправляет сумму перевода и название целевого банка на C&C-сервер, а затем удаляется с зараженного устройства.

Рост числа вариантов банковских троянов для Android на базе ATS, нацеленных на бразильские банки, свидетельствует об эволюции угроз, с которыми сталкиваются финансовые учреждения в эпоху цифровых платежей. Эти трояны могут осуществлять мошеннические операции и собирать конфиденциальную информацию о пользователе, интегрируя фреймворк ATS и используя службы доступности, чтобы делать это без вмешательства пользователя. Кроме того, они используют тактику удаления с зараженных устройств, что позволяет им оставаться незамеченными. Таким образом, пользователи и финансовые учреждения должны сохранять бдительность, чтобы не стать жертвой этих новых угроз.

#ParsedReport #CompletenessLow
30-05-2023

Subgroup of the Blind Eagle? Analysis of recent attack activities from the Hagga organization

https://ti.qianxin.com/blog/articles/Subgroup-of-Blind-Eagle-Analysis-of-Recent-Attack-Activities-from-Hagga-Group-CN

Report completeness: Low

Actors/Campaigns:
Blindeagle (motivation: information_theft)
Aggaa (motivation: information_theft)
Gorgon

Threats:
Raindrop_tool
Revenge_rat
Agent_tesla
Limerat
Njrat
Asyncrat_rat
Nanocore_rat
Remcos_rat
Mana_tool
Harpoon
Imminentmonitor_rat
Avemaria_rat
Quasar_rat
Eziriz_tool

Victims:
Colombian government, financial institutions, large domestic companies and multinational companies

Industry:
Petroleum, Financial, Foodtech, Government

Geo:
Nigerian, Colombian, Colombia, Asia, Columbia, Chinese, Pakistani, Ecuador, America, Panama, Chile, Americas, Spanish, China, Taiwan

CVEs:
CVE-2017-1188210 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


ChatGPT TTPs:
do not use without manual check
T1036, T1045, T1064, T1086, T1032, T1117, T1078, T1076

IOCs:
IP: 5
File: 4
Hash: 46

Softs:
mysql

Crypto:
bitcoin

Algorithms:
base64

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 9, code: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Red Raindrop Центра разведки угроз Qi Anxin расследует возможную связь между организацией Hagga и организацией APT Blind Eagle (APT-Q-98) и заметила схожую тактику, используемую обеими организациями.
-----

Команда Red Raindrop Центра разведки угроз Qi Anxin отслеживает крупные APT-организации по всему миру. В последнее время они отслеживают деятельность организации Hagga, которая впервые была публично раскрыта в марте 2019 года и, как полагают, является частью более крупной кампании, затрагивающей всю Европу и Азию, а также США. Известно, что организация Hagga использует Internet Archive, Pastebin и Blogspot для размещения вредоносных скриптов и полезных нагрузок, часто RevengeRAT, LimeRAT, NjRAT, AsyncRAT, NanoCoreRAT, RemcosRAT и Agent Tesla.

В то же время команда также обнаружила организацию АПТ Blind Eagle (APT-Q-98), которую независимо и впервые раскрыл Цяньсинь. Эта организация в основном нацелена на Колумбию, в основном на правительственные учреждения и крупные компании (финансовые, нефтяные, производственные и т.д.). Тактика, используемая Blind Eagle, включает взлом испанских веб-сайтов, регистрацию доменных имен с защитой конфиденциальности, загрузку полезных файлов и документов, а также отправку вредоносных документов MHTML с макросами через RAR и фишинговые электронные письма.

Команда Red Raindrop заметила, что атака на китайскую компанию предположительно была связана с IP-адресом 172.174.176.153, который использовался для хранения последующей полезной нагрузки Blind Eagle. Это привело к предположению, что организация Hagga, возможно, продает свои собственные хакерские услуги. После дальнейшего анализа ТТП как организации Hagga, так и организации Blind Eagle, они пришли к выводу, что нет веских доказательств связи между этими двумя организациями, но есть предположение, что они могут дополнять друг друга.

Считается, что Hagga совершала атаки на Европу в 2020 году и, как выяснилось, занималась кражей биткоинов. Также подозревается, что они продавали или предоставляли вредоносное ПО нигерийским угрожающим субъектам и, возможно, организации Blind Eagle. Вложение INV20230503.xlsx в гарпунном письме содержало уязвимость CVE-2017-11882. Через уязвимость можно было получить доступ к GEE.vbs, установленному на 109.206.240.64, а затем выпустить и выполнить KJH.vbs в каталоге %appdata%. Конечной инжектированной полезной нагрузкой был RemcosRAT.

Очевидно, что организации Blind Eagle и Hagga имеют схожие ТТП, и вполне возможно, что они каким-то образом связаны между собой. В отсутствие убедительных доказательств команда Red Raindrop выдвинула несколько предположений и будет продолжать проводить долгосрочное отслеживание и последующие действия, чтобы своевременно обнаруживать угрозы безопасности и быстро реагировать на них.

#ParsedReport #CompletenessHigh
30-05-2023

CryptoClippy is Evolving to Pilfer Even More Financial Data

https://intezer.com/blog/research/cryptoclippy-evolves-to-pilfer-more-financial-data

Report completeness: High

Actors/Campaigns:
Darkside

Threats:
Cryptoclippy
Imminentmonitor_rat
Uac_bypass_technique

Victims:
Portuguese speakers, payment services commonly used in brazil, services specifically used in brazil, including brazil's postal service and pix payment service, critical payment application and transaction information from unsuspecting victims in brazil.

Industry:
Financial

Geo:
Portuguese, Brazil, Israel

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 5
File: 6
Registry: 1
Domain: 2
Hash: 36

Softs:
whatsapp, nsis installer, winlogon

Algorithms:
xor, base64, rc4

Win API:
RtlGetVersion, GetSystemFirmwareTable, CoCreateInstance, GetTokenInformation

Links:
https://github.com/jthuraisamy/SysWhispers2
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-Shellcode.ps1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CryptoClippy - это быстро развивающийся банковский троян, который нацелен на португалоговорящих жителей Бразилии и использует программы установки NSIS, скрипты, закодированные с помощью RC4, и уникальную технику выполнения bat-файлов с повышенными правами. Организации и частные лица должны оставаться в курсе событий и укреплять свои средства защиты для борьбы с этой угрозой.
-----

CryptoClippy - это банковский троян, нацеленный на носителей португальского языка. Он быстро развивается и расширяет свои возможности, чтобы атаковать более широкий спектр платежных сервисов, особенно тех, которые широко используются в Бразилии. Субъекты угрозы CryptoClippy используют программы установки NSIS для развертывания первого этапа атаки. Программа установки пытается выглядеть легитимной, но в фоновом режиме она пытается подключиться к удаленному серверу C2. URL-адрес декодируется с помощью Base64, и ответ содержит пять частей: три скрипта, загрузчик и файл конфигурации.

Полезной нагрузкой загрузчика с предыдущего этапа является вредоносная программа CryptoClippy. Анализ образца вредоносной программы выявил три функции для обработки содержимого буфера обмена, одна из которых переключает адреса криптокошельков. Она проверяет буфер обмена на наличие строки 0014br.gov.bcb.pix и в случае обнаружения отправляет содержимое на сервер C2. Кроме того, вредоносная программа получает имя пользователя, имя компьютера, версию Windows и информацию о прошивке. Она создает каталог в \AppData\Roaming\ с именем, основанным на ответе от C2. Чтобы установить постоянство на машине жертвы, он создает LNK в \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Reposita.lnk.

Вредоносная программа содержит три сценария, закодированных с использованием RC4. Один из них создает запланированную задачу для сохранения, а BAT-файл выполняет второй скрипт, брошенный вредоносной программой. Также используется уникальная техника для выполнения bat-файла с повышенными правами. Доменное имя C2 - flowmudy . com, а отправляемый URL имеет формат: https://flowmudy.com/?act=481c. Значение act меняется в зависимости от функции, инициирующей обмен данными. Агент пользователя хранится в жестко заданной конфигурации в исполняемом файле и кодируется с помощью RC4.

Из анализа CryptoClippy видно, что он быстро развивается и расширяет свои возможности для получения платежных приложений и информации о транзакциях от ничего не подозревающих жертв в Бразилии. Организации и частные лица должны быть в курсе новых тенденций и укреплять свои средства защиты, чтобы эффективно бороться с этой быстро меняющейся угрозой.

#ParsedReport #CompletenessLow
30-05-2023

Obfuscated Batch Scripts in OneNote Document

https://blog.cerbero.io/?p=2696

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1064, T1086, T1059, T1076

IOCs:
Hash: 1
File: 2

Softs:
onenote, curl

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что вредоносный документ OneNote содержит вредоносный скрипт, который пытается загрузить и выполнить вредоносный файл, который может быть использован для выполнения вредоносных действий или кражи конфиденциальной информации из целевой системы.
-----

Текст во вредоносном документе OneNote содержит два обфусцированных пакетных сценария. Чтобы понять, что они делают, мы будем использовать коммерческий пакет Simple Batch Emulator. Первый сценарий содержит команду echo, которая сообщает, что он открывает облачное вложение, за которой следует несколько неподдерживаемых команд. Эти команды включают установку переменной "is_minimized", запуск скрипта в свернутом режиме, использование curl для загрузки файла sodnymrp.jsj, запуск файла с помощью rundll32, удаление файла, а затем отображение предупреждения javascript. Второй сценарий аналогичен, но с другим файлом под названием fjxipv.jah.

Из текста ясно, что вредоносный документ OneNote содержит вредоносный скрипт, который пытается загрузить и выполнить вредоносный файл. Вполне вероятно, что вредоносный файл содержит код, предназначенный для выполнения вредоносных действий на целевой системе. Также возможно, что вредоносный файл содержит код, предназначенный для кражи конфиденциальной информации из целевой системы.

#ParsedReport #CompletenessLow
30-05-2023

PatchWork- EyeShell

https://mp.weixin.qq.com/s/WU0VnMCf-FQyXiBkZfZAEw

Report completeness: Low

Actors/Campaigns:
Dropping_elephant
Lazarus

Threats:
Eyeshell
Watering_hole_technique
Badnews_rat

Victims:
Key domestic universities, research institutes, scientific research institutes and other related research organizations

Industry:
Government, Education

Geo:
Bangladesh, Asia, Nepal, Myanmar, Cambodia, Pakistan

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 1

Softs:
net framework

Algorithms:
sha256, aes-128, base64

Functions:
Base64

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 16, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
APT-группа Patchwork - это субъект угроз, связанный с одной из стран Южной Азии, который атакует многочисленных дипломатов и экономистов с помощью пользовательских инструментов атаки. Недавно команда 404-Advanced Threat Intelligence Team обнаружила упрощенный бэкдор под названием EyeShell и самостоятельно разработанный троянский конь под названием BADNEWS, используемый вместе с EyeShell.
-----

APT-группа Patchwork, также известная как Dropping Elephant, Chinastrats, Monsoon, Sarit, Quilted Tiger, APT-C-09 и ZINC EMERSON, впервые была замечена в декабре 2015 года, когда она атаковала дипломатов и экономистов, используя набор пользовательских инструментов атаки. Предполагается, что этой организацией управляет агент угроз, связанный с одной из стран Южной Азии, а ее основными целями являются Пакистан, Шри-Ланка, Непал, Бангладеш, Мьянма, Камбоджа и другие страны.

Недавно команда 404-Advanced Threat Intelligence Team обнаружила в своем арсенале упрощенный бэкдор, разработанный .NET, в ходе постоянного отслеживания PatchWork. Этот бэкдор был назван EyeShell из-за пространства имен, используемого бэкдором - Eye. Предположительно, его версия была v1.0.

EyeShell можно разделить на три модуля в соответствии с его функциональными модулями: модуль инициализации, модуль интерактивной инициализации и модуль взаимодействия. Модуль Initialization создавал уникальный Mutex и хранил адрес и порт C2 в массиве. Модуль интерактивной инициализации использовался для сетевых взаимодействий, которые шифровались с помощью AES-128. Модуль Interaction представлял собой бесконечный цикл, который считывал команды, выданные сервером из интерфейса TCPStream Read.

Команда 404-Advanced Threat Intelligence Team также обнаружила, что EyeShell использовался вместе с BADNEWS, троянским конем собственной разработки компании PatchWork.

#ParsedReport #CompletenessLow
30-05-2023

Bl00dy Ransomware Targets Indian University: Actively Exploiting PaperCut Vulnerability

https://blog.cyble.com/2023/05/30/bl00dy-ransomware-targets-indian-university-actively-exploiting-papercut-vulnerability

Report completeness: Low

Actors/Campaigns:
Bl00dy

Threats:
Lockbit
Conti

Victims:
India-based institute offering various undergraduate and graduate courses

Industry:
Education

Geo:
India, Indian

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


Softs:
papercut, active directory, telegram

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Bl00dy Ransomware Group активно использует уязвимость CVE-2023-27350 для атак на университеты, колледжи и другие организации и размещает скриншоты своих жертв и скриншоты чата переговоров, чтобы заставить их заплатить выкуп. Организациям следует устранить уязвимости и развернуть средства контроля безопасности для защиты от таких атак.
-----

Группа Bl00dy Ransomware впервые появилась в августе 2022 года и начала атаковать университеты и колледжи в США с помощью критической уязвимости PaperCut NG в апреле-мае 2023 года. Группа использует Telegram и Twitter для размещения информации о своих жертвах и утверждает, что с начала мая 2023 года атаковала по меньшей мере шесть колледжей/школ. 28 мая группа успешно атаковала институт в Индии, требуя выкуп в размере 90 000 долларов США.

Уязвимость CVE-2023-27350, имеющая оценку CVSS v3 9,8 из 10, позволяет удаленному злоумышленнику обойти аутентификацию и выполнить произвольный код в контексте SYSTEM. Эта уязвимость активно эксплуатируется бандой Bl00dy Ransomware, как стало известно из совместной рекомендации по кибербезопасности (CSA), выпущенной ФБР и CISA. Согласно исследованиям из открытых источников, 1013 экземпляров все еще находятся в открытом доступе, что делает многие организации уязвимыми для атак.

Группа Bl00dy Ransomware Group активно размещает скриншоты своих взломанных организаций, а также скриншоты чатов переговоров с жертвами и образцы данных, чтобы заставить их заплатить выкуп. Компания Cyble Research & Intelligence Labs (CRIL) в блоге от 25 апреля 2023 года рассказала о критичности этой уязвимости и подвергшихся опасности мировых активах.

Группа Bl00dy ransomware является одной из наиболее активных групп ransomware в среде угроз. Для защиты от таких атак организациям следует обеспечить исправление всех обнаруженных и раскрытых уязвимостей, а также развернуть соответствующие средства контроля безопасности для своевременного обнаружения и реагирования на угрозы.

#ParsedReport #CompletenessMedium
30-05-2023

Exposed: The PowerExchange Backdoor Vulnerability in Microsoft Exchange Servers. Get Global Threat Intelligence on Real Time

https://cloudsek.com/threatintelligence/exposed-the-powerexchange-backdoor-vulnerability-in-microsoft-exchange-servers

Report completeness: Medium

Actors/Campaigns:
Cobalt_katana
Oilrig

Threats:
Powerexchange
Credential_harvesting_technique
Exchangeleech
Trifive

Victims:
Microsoft exchange servers and a custom-made powershell backdoor deployed on an unidentified uae government entity.

Industry:
Government, Transport

Geo:
Iranian

TTPs:
Tactics: 8
Technics: 11

IOCs:
Coin: 1

Softs:
microsoft exchange, microsoft edge, microsoft edge update

Algorithms:
base64

YARA: Found

Links:
https://github.com/Kevin-Robertson/Invoke-TheHash

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1