#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление вымогательского ПО BlackSuit вызвало вопросы о его родстве с Royal Ransomware, которое обладает схожими характеристиками, но при этом вводит новые аргументы и методы командной строки для атак на машины под управлением Windows и Linux. Независимо от происхождения BlackSuit, организациям и частным лицам следует сохранять бдительность при защите своих файлов и данных от атак ransomware.
-----

Появление программы BlackSuit ransomware вызвало вопросы о ее родстве с Royal Ransomware. После анализа обоих образцов ransomware стало очевидно, что они имеют чрезвычайно высокую степень сходства: 98% сходства в функциях, 99,5% сходства в блоках и 98,9% сходства в переходах. BlackSuit нацелен на машины Windows и Linux, добавляет расширение файла blacksuit к файлам, которые он шифрует, сбрасывает записку о выкупе в каталог и указывает свой чат-сайт TOR в записке о выкупе вместе с уникальным идентификатором для каждой жертвы. Он также использует аргументы командной строки, похожие на те, что использует Royal, хотя есть и некоторые различия, например, строки, используемые в аргументах, и дополнительные аргументы, не встречающиеся в Royal.

И Royal, и BlackSuit ransomware используют для шифрования AES из OpenSSL и применяют технику прерывистого шифрования для ускорения процесса. Каждое семейство вымогателей избегает файлов с определенными расширениями и именами файлов, и хотя 32-разрядная версия BlackSuit для Windows имеет схожие характеристики с Royal, она также вводит новые аргументы, такие как "-delete" и "-list". BlackSuit также удаляет теневые копии с помощью специальной команды и проверяет, начинается ли IP-адрес сетевого ресурса с определенных цифр, чтобы убедиться, что он шифрует локальные системы.

Появление BlackSuit указывает на то, что это может быть новый вариант, разработанный теми же авторами, что и Royal, подражатель, использующий аналогичный код, или филиал банды Royal ransomware, внесший изменения в оригинальное семейство. Независимо от происхождения BlackSuit, субъекты угроз всегда будут пытаться найти более эффективные инструменты для наживы на своих жертвах, поэтому организациям и частным лицам следует сохранять бдительность при защите своих файлов и данных от атак ransomware.

#ParsedReport #CompletenessMedium
31-05-2023

BlackCat (ALPHV) Ransomware Levels Up for Stealth, Speed and Exfiltration

https://securityintelligence.com/posts/blackcat-ransomware-levels-up-stealth-speed-exfiltration

Report completeness: Medium

Actors/Campaigns:
Blackcat (motivation: information_theft)
Darkside
Blackmatter
Dev-0504

Threats:
Blackcat
Sphynx
Havoc
Exmatter_tool
Junk_code_technique
Impacket_tool
Secretsdump_tool
Raccoon_stealer
Vidar_stealer
Powersploit
Kerberoasting_technique
Putty_tool

Victims:
Organizations in the healthcare, government, education, manufacturing and hospitality sectors

Industry:
Financial, Education, Healthcare, Energy, Government

TTPs:
Tactics: 2
Technics: 0

IOCs:
Command: 1
File: 1
Registry: 1

Softs:
active directory, psexec, microsoft defender, winscp

Algorithms:
aes, xor, chacha20, aes-128

Win API:
GetVolumePathNamesForVolumeNameW, SetVolumeMountPointW, CoCreateInstance

Languages:
python, rust

Links:
https://github.com/fortra/impacket
https://github.com/RustCrypto/block-ciphers/blob/master/aes/

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: X-Force наблюдала многочисленные вторжения аффилированных лиц BlackCat, которые были связаны с попытками вымогательства у организаций по всему миру в различных секторах. Программа BlackCat ransomware используется для осуществления двойной схемы вымогательства, и, по оценке X-Force, субъекты, связанные с BlackCat и другими группами, занимающимися вымогательством, скорее всего, увеличат скорость и скрытность своих операций. Для защиты от этих атак организации могут контролировать выполнение программного обеспечения в клиентских системах.
-----

BlackCat ransomware - одно из ведущих семейств ransomware, наблюдаемых IBM Security X-Force в 2022 году.

Филиалы BlackCat нацелены на организации в сфере здравоохранения, государственного управления, образования, производства и гостиничного бизнеса.

Последняя версия BlackCat ransomware, получившая название Sphynx, обладает усовершенствованными возможностями, призванными помешать защитным мерам.

Филиалы BlackCat были связаны с попытками вымогательства у предприятий по всему миру в различных отраслях.

В 2022 году они перешли на язык программирования Rust из-за возможностей кастомизации, предоставляемых этим языком, а также для того, чтобы затруднить усилия по обнаружению и анализу вредоносного ПО.

Злоумышленники использовали код PowerShell, связанный с PowerSploit, общедоступным фреймворком для пост-эксплуатации PowerShell, для кражи учетных данных через Kerberoasting и смогли получить учетные данные администратора домена.

Затем злоумышленники изменили параметры политики безопасности, чтобы отключить мониторинг, защиту и уведомления системы, отключили Microsoft Defender и отредактировали стандартные параметры GPO домена, чтобы распространить и запустить инструменты злоумышленников для эксфильтрации данных и выкупа.

Исполняемые файлы вредоносной программы были помещены в каталог SYSVOL контроллера домена, что привело к распространению файлов на все остальные контроллеры домена и, соответственно, на все подключенные компьютеры.

Кроме того, злоумышленники эксфильтровали данные из целевых сетей с помощью ExMatter, прежде чем запустить программу-вымогатель.

Программа BlackCat ransomware используется для осуществления двойной схемы вымогательства.

По оценке X-Force, субъекты, связанные с BlackCat и другими группами, занимающимися распространением вымогательского ПО, скорее всего, увеличат скорость и скрытность своих операций.

#ParsedReport #CompletenessHigh
31-05-2023

Dark Pink. Episode 2

https://www.group-ib.com/blog/dark-pink-episode-2

Report completeness: High

Actors/Campaigns:
Darkpink (motivation: cyber_criminal)

Threats:
Telepowerbot
Lolbin_technique
Kamikakabot
Netlua_tool
Meterpreter_tool

Victims:
13 organizations in countries in the asia-pacific region and europe

Industry:
Government

Geo:
Belgium, Thailand, Asia-pacific

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 6
Url: 18
Path: 2
IP: 1
Registry: 3

Softs:
telegram, mozilla firefox, google chrome, microsoft excel, windows defender

Algorithms:
zip, xor

Win Services:
WebClient

#ParsedReport #ExtractedSchema

Classified images:
schema: 14, windows: 1, code: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Dark Pink - это высокоактивная и изощренная группа постоянных угроз, которая с середины 2021 года атакует 13 организаций в странах Азиатско-Тихоокеанского региона и Европы. Группа использует пользовательские инструменты, многочисленные цепочки поражения и передовые механизмы сохранения, чтобы оставаться незамеченной и распространять украденные данные. Организациям следует знать об этой угрозе и предпринять упреждающие шаги для защиты.
-----

APT Dark Pink - группа продвинутых постоянных угроз, действующая с середины 2021 года и нацеленная на 13 организаций в странах Азиатско-Тихоокеанского региона и Европы. В их число входят 5 новых жертв. Dark Pink проявляет высокую активность и изощренность, используя пользовательские инструменты, развертывая многочисленные цепочки убийств с использованием фишинговых писем и передовых механизмов сохранения, чтобы оставаться незамеченными.

Group-IB выявила пять новых жертв Dark Pink, расширив свою деятельность на Бельгию, Бруней и Таиланд. С начала 2023 года было проведено две успешные атаки. Новый аккаунт Dark Pink на GitHub был обнаружен и проанализирован исследователями Group-IB. Группа использует библиотеку дополнений Microsoft Excel для получения устойчивости на зараженных машинах. Злоумышленники распространяют полезную нагрузку через GitHub и сервис TextBin.net. В ходе недавней атаки Dark Pink осуществляла эксфильтрацию украденных данных по протоколу HTTP с помощью сервиса Webhook. Предполагается, что они используют различные техники LOLBin, чтобы избежать обнаружения на зараженных машинах.

KamiKakaBot - это вредоносная программа, используемая Dark Pink для контроля устройств и кражи конфиденциальных данных. Вредоносная программа разделена на две отдельные части и загружается непосредственно в память, не сохраняясь в файловой системе. Злоумышленники добавили обфускацию, чтобы затруднить статический анализ.

Dark Pink использует инструменты с теми же функциональными возможностями, что и в предыдущих атаках. Они также используют нетрадиционные методы, такие как изменение ассоциации файлов по умолчанию и использование SyncAppvPublishingServer.vbs для инициации TelePowerBot. Утилита ConfigSecurityPolicy используется для облегчения передачи файлов, а сервер Windows с IP-адресом 176[.10.80.38 - для перехвата и просмотра входящих HTTP-запросов.

Географическое распределение организаций-мишеней указывает на то, что география действий угроз может быть шире, чем предполагалось вначале. Тот факт, что две атаки были осуществлены в 2023 году, доказывает, что Dark Pink остается активной и представляет постоянный риск для организаций. Группа продолжает обновлять свои существующие инструменты, чтобы оставаться незамеченной. Организациям следует сохранять бдительность и принимать упреждающие меры для защиты от подобных угроз.

Мы собираем все задачи c вердиктами malicious|suspicious из online-песочниц. Из каждой задачи мы забираем и включаем в свой фид IOC, по которым песочница приняла "положительное" решение (вредоносен!).
Все остальные IP, Domain, URL, Hash мы складываем в базу и считаем агрегат по кол-ву появлений за каждый месяц.

Что делать с этой базой популярных ресурсов, которые используют зловреды - пока не ясно :) Хотя учитывать в формуле скоринга эти данные надо бы.
Будут идеи, пишите. Пока БД лежит мертвым грузом :(

Private Eyes: China’s Embrace of Open-Source Military Intelligence

https://go.recordedfuture.com/hubfs/reports/ta-2023-0601.pdf

#ParsedReport #CompletenessMedium
01-06-2023

Malware Spotlight: Camaro Dragon s TinyNote Backdoor

https://research.checkpoint.com/2023/malware-spotlight-camaro-dragons-tinynote-backdoor

Report completeness: Medium

Actors/Campaigns:
Camaro_dragon (motivation: cyber_espionage)

Threats:
Tinynote
Mqsttang
Horse_shell
Process_hollowing_technique

Victims:
European foreign affairs entities linked to southeast and east asia, myanmar entities, taiwan's government entities

Industry:
Government

Geo:
Asia, Taiwan, Myanmar, Chinese, Asian, Usa, Indonesian, Africa, Indonesia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1562.006, T1117.004, T1053.005, T1543.001, T1083, T1036, T1574.002, T1064, T1112, T1021, have more...

IOCs:
Hash: 2
IP: 4
File: 5
Path: 2
Command: 1

Softs:
smadav, sysinternals, mac os, ubuntu

Algorithms:
base64, xor, zip

Functions:
CreateWindowEx, CreateWindow

Win API:
IsWindowVisible

Languages:
php, golang

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С начала января 2023 года Camaro Dragon атаковал иностранные организации в Европе, связанные с Юго-Восточной и Восточной Азией, используя вредоносную прошивку маршрутизатора TP-Link, содержащую имплантат под названием Horse Shell, а также ранее неизвестный бэкдор на базе Go под названием TinyNote. Бэкдор TinyNote разработан для избыточности, чтобы закрепиться на зараженном компьютере и выполнять шифрование данных с помощью алгоритма шифрования XOR и кодировки Base64. Связь между бэкдором TinyNote и Camaro Dragon усиливается благодаря использованию одного и того же сервера доставки, виктимологии, приманки и значка папки.
-----

Check Point Research обнаружила всплеск активности, направленной на иностранные организации в Европе, связанные с Юго-Восточной и Восточной Азией, с начала января 2023 года, приписываемый сети шпионских операций, связанной с Китаем и известной как Camaro Dragon. В этой кампании субъекты угроз использовали вредоносную прошивку маршрутизатора TP-Link, содержащую имплантат под названием Horse Shell, а также ранее неизвестный бэкдор на базе Go под названием TinyNote. Бэкдор TinyNote распространяется под названиями, связанными с иностранными делами, и, вероятно, нацелен на посольства стран Юго-Восточной и Восточной Азии.

Бэкдор TinyNote содержит ссылку на военную инфраструктуру Мьянмы. Он обходит индонезийский антивирус SmadAV и разработан с избыточностью, чтобы закрепиться на зараженной машине путем создания окна без имени окна с именем класса EDIT. Затем он проверяет наличие строки zip в пути к файлу, создает каталог c:\programdata\Robots и создает два запланированных задания test и test2 для получения и выполнения команд PowerShell с двух различных C&C-серверов. Вероятно, это сделано для устранения единой точки отказа и позволяет выполнить легкий бэкдор PowerShell, который извлекает список команд из заголовка CMD в ответе сервера C&C.

Вредоносная программа также копирует себя в zip-файл со случайно сгенерированным именем, а также создает запланированную задачу для выполнения своей копии по этому случайному пути. После достижения устойчивости вредоносная программа перебирает систему в поисках данных и шифрует их с помощью алгоритма шифрования XOR и кодировки Base64. Затем он выбирает один случайный C&C URL из трех доступных и формирует GET-запрос. После проверки JSON и декодирования Base64 вредоносная программа создает Goroutine, который выполняет команду и продолжает прослушивать новые команды в цикле.

Связь между бэкдором TinyNote и Camaro Dragon усиливается благодаря использованию одного и того же сервера доставки, виктимологии, приманки и значка папки. Кроме того, SSL-сертификаты, используемые третьим C&C-сервером, имеют альтернативные имена mail.mofa.gov.tw, intra.mofa.gov.tw и *.mofa.gov.tw, что говорит об интересе злоумышленников к правительственным структурам Тайваня.

Бэкдор TinyNote демонстрирует целевой подход Camaro Dragon, а также обширные исследования, которые они проводят перед проникновением в системы своих жертв. Хотя бэкдор не является технически сложным, он использует несколько примечательных тактик для создания первоначальной точки опоры в зараженных системах, таких как использование Golang, минимальная облегченная функциональность и встроенный обход индонезийского антивируса SmadAV. Одновременное использование этого бэкдора вместе с другими инструментами с разным уровнем технического развития предполагает, что угрожающие субъекты активно стремятся разнообразить свой арсенал атак.

#ParsedReport #CompletenessMedium
01-06-2023

When Python byte code bites: Who checks the contents of compiled Python files?

https://www.reversinglabs.com/blog/when-python-bytecode-bites-back-who-checks-the-contents-of-compiled-python-files

Report completeness: Medium

Actors/Campaigns:
Iconburst

Threats:
Supply_chain_technique
Fshec2_package
Havoc
W4sp
Hyperion_tool

IOCs:
File: 1
Hash: 2
IP: 1

Softs:
py2exe, pyinstaller, django

Algorithms:
exhibit

Functions:
get_path

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs недавно обнаружила вредоносный пакет под названием fshec2, который содержал скомпилированный байт-код Python, что позволило ему избежать обнаружения решениями безопасности. Это создает дополнительный риск для цепочки поставок, и организациям следует сохранять бдительность в отношении новых угроз.
-----

Команда ReversingLabs недавно обнаружила новую атаку, использующую скомпилированный код Python для уклонения от обнаружения. Этот тип атаки, скорее всего, будет пропущен большинством инструментов безопасности, которые обычно сканируют файлы исходного кода Python (PY), и представляет собой еще один риск для цепочки поставок в будущем. Команда обнаружила вредоносный пакет, названный fshec2, и сообщила о нем команде безопасности PyPI, которая в тот же день удалила его из репозитория.

Компания ReversingLabs регулярно сканирует реестры открытых исходных кодов, такие как PyPi, npm, RubyGems и GitHub, в поисках подозрительных файлов. Когда они наткнулись на fshec2, пакет привлек их внимание после сканирования с помощью платформы ReversingLabs Titanium Platform, которая извлекла подозрительную комбинацию поведения из скомпилированного двоичного файла fshec2. Угрозы часто используют обфускацию, чтобы избежать обнаружения решениями безопасности, но пакет fshec2 использовал другой подход, который не полагался на инструменты обфускации, а вместо этого поместил вредоносную функциональность в один файл, содержащий скомпилированный байт-код Python.

Авторы вредоносных программ часто допускают ошибки в конфигурации при настройке инфраструктуры, что может раскрыть интересную информацию о вредоносном ПО. В данном случае веб-хост, использовавшийся в атаке, раскрыл множество команд, и исследователи определили, что в некоторых случаях атака была успешной. Некоторые из имен файлов указывают на то, что дополнительные команды вредоносного ПО включают в себя функции кейлоггинга, что говорит о том, что могут существовать другие каналы распространения, помимо PyPI-пакета fshec2, которые не были обнаружены.

Скомпилированный байт-код Python может ускользнуть от внимания традиционных решений безопасности. Решение ReversingLabs Software Supply Chain Security поддерживает статический анализ и распаковку бинарных форматов файлов, что позволяет обнаруживать вредоносные пакеты, которые иначе остались бы незамеченными. Организациям важно сохранять бдительность в отношении новых угроз, поскольку злоумышленники постоянно ищут новые способы уклониться от обнаружения.

#ParsedReport #CompletenessLow
01-06-2023

Operation Triangulation: iOS devices targeted with previously unknown malware

https://securelist.com/operation-triangulation/109842

Report completeness: Low

Actors/Campaigns:
Triangulation (motivation: information_theft, cyber_espionage)

Victims:
Ios devices

ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1064, T1055, T1093, T1043, T1107, T1060, T1068, T1074, have more...

IOCs:
File: 1
Domain: 15

Softs:
imessage

Languages:
python

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Операция "Триангуляция" - это вредоносная кампания, направленная на устройства на базе iOS. Важно знать об этой операции и связанных с ней индикаторах компрометации, чтобы защититься от вредоносной активности.
-----

Operation Triangulation - это вредоносная кампания, направленная на устройства на базе iOS. Она начинается с эксплойта во вложении iMessage, который задействует уязвимость и приводит к выполнению кода. Код загружает несколько последующих этапов с C&C-сервера, включая дополнительные эксплойты для повышения привилегий. После успешного завершения атаки в качестве конечной полезной нагрузки загружается полнофункциональная платформа APT. Вредоносный инструментарий не поддерживает стойкость, что может объяснить, почему атака продолжается с 2019 года. Самая последняя версия устройств, успешно подвергшихся атаке, - iOS 15.7.

Хотя вредоносная программа может уничтожить следы компрометации, все же можно надежно определить, было ли устройство скомпрометировано. Например, строки использования данных с упоминанием процесса под названием BackupAgent являются надежным индикатором компрометации. Кроме того, модификации определенных файлов (com.apple.ImageIO.plist, com.apple.locationd.StatusBarIconManager.plist, com.apple.imservice.ids.FaceTime.plist) и информация об использовании данных сервисов com.apple.WebKit.WebContent, powerd/com.apple.datausage.diagnostics, lockdownd/com.apple.datausage.security могут свидетельствовать о компрометации. На сетевом уровне последовательность из нескольких событий HTTPS-соединения также может показать наличие вредоносной активности.

Для обнаружения компрометации необходимо создать резервную копию устройства и обработать ее с помощью Mobile Verification Toolkit. Если в системе установлен Python 3, следует использовать команду "pip install mvt". Кроме того, доменные имена, используемые эксплойтами и дальнейшими вредоносными этапами, могут быть идентифицированы путем проверки журналов DNS на наличие исторической информации и идентификации устройств, на которых запущено вредоносное ПО. Эта информация может быть использована для идентификации зараженных устройств. Среди известных доменов: addatamarket . net, backuprabbit . com, businessvideonews . com, cloudsponcer . com, datamarketplace . net, mobilegamerstats . com, snoweeanalytics . com, tagclick-cdn . com, topographyupdates . com, unlimitedteacup . com, virtuallaughing . com, web-trackers . com, growthtransport . com, anstv . net и ans7tv . net.

Важно знать об операции "Триангуляция" и связанных с ней индикаторах компрометации. Выполняя описанные выше действия, можно определить, было ли устройство скомпрометировано, и предпринять необходимые шаги для защиты от вредоносных действий.

#ParsedReport #CompletenessLow
01-06-2023

ASEC weekly malware statistics (20230522 \~ 20230528)

https://asec.ahnlab.com/ko/53461

Report completeness: Low

Actors/Campaigns:
Ta505

Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Lokibot_stealer
Avemaria_rat
Snake_keylogger

Industry:
Transport

Geo:
Korea

IOCs:
Url: 21
Domain: 3
Email: 4
File: 13

Softs:
telegram, discord

#ParsedReport #CompletenessMedium
01-06-2023

SharpPanda APT Campaign Expands its Arsenal Targeting G20 Nations

https://blog.cyble.com/2023/06/01/sharppanda-apt-campaign-expands-its-arsenal-targeting-g20-nations

Report completeness: Medium

Actors/Campaigns:
Sharppanda (motivation: cyber_espionage)

Threats:
8t_dropper
Beacon

Victims:
High-level government officials from g20 nations

Industry:
Government, Financial, Foodtech

Geo:
Japan, China, Germany, Italy, Asia, India, Australia, Mexico, America, Asian, Turkey, France, Indonesia, Korea, Canada, Argentina, Russia, Brazil, Africa

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2018-0798 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)

CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)


TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 3
Url: 2
Path: 1
IP: 1
Hash: 4

Softs:
microsoft office, microsoft word

Algorithms:
rc4, sha1, sha256, base64

#ParsedReport #ExtractedSchema

Classified images:
code: 4, table: 2, schema: 2, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что SharpPanda - это китайская APT-группа, которая увеличила число своих кибератак с 2018 года и была связана с многочисленными кампаниями шпионажа, направленными на правительственных чиновников в странах G20. Cyble Research and Intelligence Labs (CRIL) активно отслеживает последние APT-атаки, попытки фишинга и штаммы вредоносного ПО, чтобы защитить пользователей от этих атак.
-----

SharpPanda - китайская APT-группа, которая увеличила количество кибератак с 2018 года. Группа атакует высокопоставленных правительственных чиновников из стран G20 с помощью методов spear-phishing, используя поддельный документ, связанный с G7. С помощью этой атаки группировке удается передать зараженный вредоносным ПО документ MS Office в виде файла RTF. Вредоносная полезная нагрузка включает в себя как зашифрованную полезную нагрузку, так и shellcode, содержащий загрузчик, который шифрует информацию с машины жертвы и отправляет ее на C&C-сервер. Если жертва считается интересной, C&C отвечает модулем бэкдора, способным выполнять множество операций, таких как захват скриншотов, создание/прерывание процессов и получение информации о ключах реестра.

SharpPanda была связана с многочисленными кампаниями по шпионажу, используя различные стратегии, такие как spear-phishing, социальная инженерия и использование уязвимостей нулевого дня для получения доступа. Ранее эта группа была нацелена на правительственных чиновников в странах Юго-Восточной Азии, но теперь ее внимание сместилось на высокопоставленных правительственных чиновников в Европе, Северной Америке и Южной Азии. Поскольку группа продолжает развиваться, она постоянно адаптирует свои методы и включает в свой арсенал новые инструменты. Чтобы защитить пользователей от этих атак, Cyble Research and Intelligence Labs (CRIL) активно отслеживает последние APT-атаки, попытки фишинга и штаммы вредоносных программ, публикуя информативные сообщения в блогах, которые предлагают рекомендации по защите от них.

#ParsedReport #CompletenessLow
01-06-2023

Qakbot: retool, reinfect, recycle

https://blog.lumen.com/qakbot-retool-reinfect-recycle

Report completeness: Low

Threats:
Qakbot
Html_smuggling_technique
Emotet

Industry:
Financial

IOCs:
IP: 4

Softs:
microsoft office, onenote

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Qakbot\_retool\_reinfect\_recycle.txt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Qakbot - это мощный банковский троян, который адаптировал свои методы для обхода мер безопасности, и организации должны принимать проактивные меры для защиты от него.
-----

Qakbot, также известный как Pinkslipbot и Qbot, - это банковский троян и одна из самых мощных сетей распространения вредоносного/программного обеспечения, корни которой уходят в 2007 год. Обычно он распространяется с помощью захвата электронной почты и методов социальной инженерии, которые предполагают загрузку вредоносных файлов на машины Windows. Чтобы не отстать от развивающихся политик безопасности и средств защиты, Qakbot адаптировал свои методы первоначального проникновения и скрыл свою инфраструктуру в жилом IP-пространстве и зараженных веб-серверах.

В 2023 году Qakbot начал использовать новые механизмы доставки вредоносных программ и адаптируемую инфраструктуру командования и управления (C2), чтобы обойти меры безопасности и скрыться от обнаружения. Около 25% его C2 оставались активными только в течение одного дня, а его операторы были замечены в сокращении или прекращении деятельности на длительные периоды времени в течение лета. После этого исследователи обсудили эволюцию Qakbot с точки зрения первоначального доступа и конечных точек.

Первоначально Qakbot использовал макросы в документах Microsoft Office, но изменил тактику после того, как в 2022 году Microsoft заблокировала макросы XL4 и VBA по умолчанию. Затем он обратился к файлам OneNote и методам контрабанды HTML для получения доступа. Кроме того, продолжительность жизни отдельных ботов и C2 позволила ему передавать половину данных, которые они когда-либо отправят C2, к первому дню и 90% к седьмому дню. Кроме того, Qakbot использует жилые диапазоны IP-адресов для обхода брандмауэров и пополняет свой запас С2 за счет перепрофилирования машин жертв.

Для борьбы с Qakbot компания Black Lotus Labs обнулила маршрутизацию всей инфраструктуры верхнего уровня до публикации данного отчета и рекомендует организациям усилить защиту от фишинга как первоначального вектора доступа путем полного мониторинга сетевых ресурсов, обеспечения надлежащего управления исправлениями и проведения постоянного обучения сотрудников по вопросам фишинга и социальной инженерии. Важно знать о методах Qakbot и принимать проактивные меры для защиты от него, поскольку в настоящее время нет никаких признаков того, что его активность замедляется.