#ParsedReport #CompletenessMedium
01-06-2023

When Python byte code bites: Who checks the contents of compiled Python files?

https://www.reversinglabs.com/blog/when-python-bytecode-bites-back-who-checks-the-contents-of-compiled-python-files

Report completeness: Medium

Actors/Campaigns:
Iconburst

Threats:
Supply_chain_technique
Fshec2_package
Havoc
W4sp
Hyperion_tool

IOCs:
File: 1
Hash: 2
IP: 1

Softs:
py2exe, pyinstaller, django

Algorithms:
exhibit

Functions:
get_path

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs недавно обнаружила вредоносный пакет под названием fshec2, который содержал скомпилированный байт-код Python, что позволило ему избежать обнаружения решениями безопасности. Это создает дополнительный риск для цепочки поставок, и организациям следует сохранять бдительность в отношении новых угроз.
-----

Команда ReversingLabs недавно обнаружила новую атаку, использующую скомпилированный код Python для уклонения от обнаружения. Этот тип атаки, скорее всего, будет пропущен большинством инструментов безопасности, которые обычно сканируют файлы исходного кода Python (PY), и представляет собой еще один риск для цепочки поставок в будущем. Команда обнаружила вредоносный пакет, названный fshec2, и сообщила о нем команде безопасности PyPI, которая в тот же день удалила его из репозитория.

Компания ReversingLabs регулярно сканирует реестры открытых исходных кодов, такие как PyPi, npm, RubyGems и GitHub, в поисках подозрительных файлов. Когда они наткнулись на fshec2, пакет привлек их внимание после сканирования с помощью платформы ReversingLabs Titanium Platform, которая извлекла подозрительную комбинацию поведения из скомпилированного двоичного файла fshec2. Угрозы часто используют обфускацию, чтобы избежать обнаружения решениями безопасности, но пакет fshec2 использовал другой подход, который не полагался на инструменты обфускации, а вместо этого поместил вредоносную функциональность в один файл, содержащий скомпилированный байт-код Python.

Авторы вредоносных программ часто допускают ошибки в конфигурации при настройке инфраструктуры, что может раскрыть интересную информацию о вредоносном ПО. В данном случае веб-хост, использовавшийся в атаке, раскрыл множество команд, и исследователи определили, что в некоторых случаях атака была успешной. Некоторые из имен файлов указывают на то, что дополнительные команды вредоносного ПО включают в себя функции кейлоггинга, что говорит о том, что могут существовать другие каналы распространения, помимо PyPI-пакета fshec2, которые не были обнаружены.

Скомпилированный байт-код Python может ускользнуть от внимания традиционных решений безопасности. Решение ReversingLabs Software Supply Chain Security поддерживает статический анализ и распаковку бинарных форматов файлов, что позволяет обнаруживать вредоносные пакеты, которые иначе остались бы незамеченными. Организациям важно сохранять бдительность в отношении новых угроз, поскольку злоумышленники постоянно ищут новые способы уклониться от обнаружения.

#ParsedReport #CompletenessLow
01-06-2023

Operation Triangulation: iOS devices targeted with previously unknown malware

https://securelist.com/operation-triangulation/109842

Report completeness: Low

Actors/Campaigns:
Triangulation (motivation: information_theft, cyber_espionage)

Victims:
Ios devices

ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1064, T1055, T1093, T1043, T1107, T1060, T1068, T1074, have more...

IOCs:
File: 1
Domain: 15

Softs:
imessage

Languages:
python

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Операция "Триангуляция" - это вредоносная кампания, направленная на устройства на базе iOS. Важно знать об этой операции и связанных с ней индикаторах компрометации, чтобы защититься от вредоносной активности.
-----

Operation Triangulation - это вредоносная кампания, направленная на устройства на базе iOS. Она начинается с эксплойта во вложении iMessage, который задействует уязвимость и приводит к выполнению кода. Код загружает несколько последующих этапов с C&C-сервера, включая дополнительные эксплойты для повышения привилегий. После успешного завершения атаки в качестве конечной полезной нагрузки загружается полнофункциональная платформа APT. Вредоносный инструментарий не поддерживает стойкость, что может объяснить, почему атака продолжается с 2019 года. Самая последняя версия устройств, успешно подвергшихся атаке, - iOS 15.7.

Хотя вредоносная программа может уничтожить следы компрометации, все же можно надежно определить, было ли устройство скомпрометировано. Например, строки использования данных с упоминанием процесса под названием BackupAgent являются надежным индикатором компрометации. Кроме того, модификации определенных файлов (com.apple.ImageIO.plist, com.apple.locationd.StatusBarIconManager.plist, com.apple.imservice.ids.FaceTime.plist) и информация об использовании данных сервисов com.apple.WebKit.WebContent, powerd/com.apple.datausage.diagnostics, lockdownd/com.apple.datausage.security могут свидетельствовать о компрометации. На сетевом уровне последовательность из нескольких событий HTTPS-соединения также может показать наличие вредоносной активности.

Для обнаружения компрометации необходимо создать резервную копию устройства и обработать ее с помощью Mobile Verification Toolkit. Если в системе установлен Python 3, следует использовать команду "pip install mvt". Кроме того, доменные имена, используемые эксплойтами и дальнейшими вредоносными этапами, могут быть идентифицированы путем проверки журналов DNS на наличие исторической информации и идентификации устройств, на которых запущено вредоносное ПО. Эта информация может быть использована для идентификации зараженных устройств. Среди известных доменов: addatamarket . net, backuprabbit . com, businessvideonews . com, cloudsponcer . com, datamarketplace . net, mobilegamerstats . com, snoweeanalytics . com, tagclick-cdn . com, topographyupdates . com, unlimitedteacup . com, virtuallaughing . com, web-trackers . com, growthtransport . com, anstv . net и ans7tv . net.

Важно знать об операции "Триангуляция" и связанных с ней индикаторах компрометации. Выполняя описанные выше действия, можно определить, было ли устройство скомпрометировано, и предпринять необходимые шаги для защиты от вредоносных действий.

#ParsedReport #CompletenessLow
01-06-2023

ASEC weekly malware statistics (20230522 \~ 20230528)

https://asec.ahnlab.com/ko/53461

Report completeness: Low

Actors/Campaigns:
Ta505

Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Formbook
Clipboard_grabbing_technique
Lokibot_stealer
Avemaria_rat
Snake_keylogger

Industry:
Transport

Geo:
Korea

IOCs:
Url: 21
Domain: 3
Email: 4
File: 13

Softs:
telegram, discord

#ParsedReport #CompletenessMedium
01-06-2023

SharpPanda APT Campaign Expands its Arsenal Targeting G20 Nations

https://blog.cyble.com/2023/06/01/sharppanda-apt-campaign-expands-its-arsenal-targeting-g20-nations

Report completeness: Medium

Actors/Campaigns:
Sharppanda (motivation: cyber_espionage)

Threats:
8t_dropper
Beacon

Victims:
High-level government officials from g20 nations

Industry:
Government, Financial, Foodtech

Geo:
Japan, China, Germany, Italy, Asia, India, Australia, Mexico, America, Asian, Turkey, France, Indonesia, Korea, Canada, Argentina, Russia, Brazil, Africa

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2018-0798 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)

CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)


TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 3
Url: 2
Path: 1
IP: 1
Hash: 4

Softs:
microsoft office, microsoft word

Algorithms:
rc4, sha1, sha256, base64

#ParsedReport #ExtractedSchema

Classified images:
code: 4, table: 2, schema: 2, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что SharpPanda - это китайская APT-группа, которая увеличила число своих кибератак с 2018 года и была связана с многочисленными кампаниями шпионажа, направленными на правительственных чиновников в странах G20. Cyble Research and Intelligence Labs (CRIL) активно отслеживает последние APT-атаки, попытки фишинга и штаммы вредоносного ПО, чтобы защитить пользователей от этих атак.
-----

SharpPanda - китайская APT-группа, которая увеличила количество кибератак с 2018 года. Группа атакует высокопоставленных правительственных чиновников из стран G20 с помощью методов spear-phishing, используя поддельный документ, связанный с G7. С помощью этой атаки группировке удается передать зараженный вредоносным ПО документ MS Office в виде файла RTF. Вредоносная полезная нагрузка включает в себя как зашифрованную полезную нагрузку, так и shellcode, содержащий загрузчик, который шифрует информацию с машины жертвы и отправляет ее на C&C-сервер. Если жертва считается интересной, C&C отвечает модулем бэкдора, способным выполнять множество операций, таких как захват скриншотов, создание/прерывание процессов и получение информации о ключах реестра.

SharpPanda была связана с многочисленными кампаниями по шпионажу, используя различные стратегии, такие как spear-phishing, социальная инженерия и использование уязвимостей нулевого дня для получения доступа. Ранее эта группа была нацелена на правительственных чиновников в странах Юго-Восточной Азии, но теперь ее внимание сместилось на высокопоставленных правительственных чиновников в Европе, Северной Америке и Южной Азии. Поскольку группа продолжает развиваться, она постоянно адаптирует свои методы и включает в свой арсенал новые инструменты. Чтобы защитить пользователей от этих атак, Cyble Research and Intelligence Labs (CRIL) активно отслеживает последние APT-атаки, попытки фишинга и штаммы вредоносных программ, публикуя информативные сообщения в блогах, которые предлагают рекомендации по защите от них.

#ParsedReport #CompletenessLow
01-06-2023

Qakbot: retool, reinfect, recycle

https://blog.lumen.com/qakbot-retool-reinfect-recycle

Report completeness: Low

Threats:
Qakbot
Html_smuggling_technique
Emotet

Industry:
Financial

IOCs:
IP: 4

Softs:
microsoft office, onenote

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/Qakbot\_retool\_reinfect\_recycle.txt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Qakbot - это мощный банковский троян, который адаптировал свои методы для обхода мер безопасности, и организации должны принимать проактивные меры для защиты от него.
-----

Qakbot, также известный как Pinkslipbot и Qbot, - это банковский троян и одна из самых мощных сетей распространения вредоносного/программного обеспечения, корни которой уходят в 2007 год. Обычно он распространяется с помощью захвата электронной почты и методов социальной инженерии, которые предполагают загрузку вредоносных файлов на машины Windows. Чтобы не отстать от развивающихся политик безопасности и средств защиты, Qakbot адаптировал свои методы первоначального проникновения и скрыл свою инфраструктуру в жилом IP-пространстве и зараженных веб-серверах.

В 2023 году Qakbot начал использовать новые механизмы доставки вредоносных программ и адаптируемую инфраструктуру командования и управления (C2), чтобы обойти меры безопасности и скрыться от обнаружения. Около 25% его C2 оставались активными только в течение одного дня, а его операторы были замечены в сокращении или прекращении деятельности на длительные периоды времени в течение лета. После этого исследователи обсудили эволюцию Qakbot с точки зрения первоначального доступа и конечных точек.

Первоначально Qakbot использовал макросы в документах Microsoft Office, но изменил тактику после того, как в 2022 году Microsoft заблокировала макросы XL4 и VBA по умолчанию. Затем он обратился к файлам OneNote и методам контрабанды HTML для получения доступа. Кроме того, продолжительность жизни отдельных ботов и C2 позволила ему передавать половину данных, которые они когда-либо отправят C2, к первому дню и 90% к седьмому дню. Кроме того, Qakbot использует жилые диапазоны IP-адресов для обхода брандмауэров и пополняет свой запас С2 за счет перепрофилирования машин жертв.

Для борьбы с Qakbot компания Black Lotus Labs обнулила маршрутизацию всей инфраструктуры верхнего уровня до публикации данного отчета и рекомендует организациям усилить защиту от фишинга как первоначального вектора доступа путем полного мониторинга сетевых ресурсов, обеспечения надлежащего управления исправлениями и проведения постоянного обучения сотрудников по вопросам фишинга и социальной инженерии. Важно знать о методах Qakbot и принимать проактивные меры для защиты от него, поскольку в настоящее время нет никаких признаков того, что его активность замедляется.

#ParsedReport #CompletenessHigh
01-06-2023

Cisco Talos Intelligence Blog. New Horabot campaign targets the Americas

https://blog.talosintelligence.com/new-horabot-targets-americas

Report completeness: High

Threats:
Horabot_botnet
Dll_sideloading_technique
Themida_tool

Victims:
Users in organizations across several business verticals - including accounting, construction and engineering, wholesale distributing and investment firms.

Industry:
Financial

Geo:
Brazil, Uruguay, Mexican, Americas, Panama, Spanish, Venezuela, Guatemala, Brazilian, Mexico, Argentina

IOCs:
IP: 7
Domain: 6
File: 20
Path: 3
Url: 68
Registry: 1
Hash: 11

Softs:
outlook, internet explorer, google chrome, hyper-v

Algorithms:
zip, base64

Functions:
GetRequestStream

Win API:
IsDebuggerPresent, OutputDebugStringW

Languages:
delphi, autoit, visual_basic

Links:
https://github.com/Maickonn/Delphi\_Remote\_Access\_PC
https://github.com/Cisco-Talos/IOCs/tree/main/2023/05/new-horabot-targets-americas.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 9, schema: 5, dump: 1, windows: 2, chart: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos выявила нового субъекта угроз, развернувшего ботнет-программу под названием Horabot, которая используется для доставки банковского трояна и спама на компьютеры жертв в рамках кампании, продолжающейся по меньшей мере с ноября 2020 года и направленной преимущественно на испаноговорящих жителей Мексики, хотя заражения были выявлены и в других странах региона. Вредоносная полезная нагрузка предназначена для кражи конфиденциальной информации, уклонения от обнаружения и распространения дополнительных фишинговых писем.
-----

Cisco Talos выявила нового субъекта угроз, развернувшего ботнет-программу под названием Horabot, которая используется для доставки банковского трояна и спама на компьютеры жертв в рамках кампании, продолжающейся по меньшей мере с ноября 2020 года. Атаки в основном направлены на испаноговорящих жителей Мексики, хотя случаи заражения были выявлены в Уругвае, Бразилии, Венесуэле, Аргентине, Гватемале и Панаме. Атакующий, по-видимому, находится в Бразилии и использует несколько узлов, включая экземпляр Amazon Web Services Elastic Compute Cloud.

Атака начинается с фишингового письма, замаскированного под уведомление о получении налоговой квитанции и содержащего вложенный вредоносный HTML-файл. При открытии HTML-файла в браузере жертвы запускается вредоносный URL-адрес, который загружает RAR-файл. Файл RAR содержит пакетный файл, который загружает сценарий загрузчика PowerShell и выполняет его. Загрузчик PowerShell загружает ZIP-файл, содержащий DLL-библиотеки полезной нагрузки и легитимные исполняемые файлы. Затем в папке запуска машины жертвы создаются файлы ярлыков Windows, которые запускают полезную нагрузку при перезагрузке машины.

Вредоносные файлы ярлыков Windows выполняют полезную нагрузку, используемую в атаке. Один из файлов выполняет боковую загрузку вредоносной DLL под названием jli.dll, банковского трояна, путем выполнения легитимной копии kinit.exe. Другой файл выполняет скомпилированный скрипт AutoIt, который расшифровывает зашифрованный файл и создает DLL с поддельным расширением файла. Вредоносная DLL представляет собой еще одну копию банковского трояна с дополнительными возможностями кражи, такими как прослушивание клавиатуры, копирование данных буфера обмена, захват скриншотов и отслеживание мыши. Третий файл выполняет аналогичные действия, выполняя AutoIt-скрипт, который сбрасывает DLL с поддельным расширением и выполняет вредоносную функцию. Эта вредоносная DLL является спамерским инструментом с возможностью кражи информации.

Четвертый файл ссылки запускает брошенный пакетный файл, который выполняет встроенную команду PowerShell для загрузки сценария загрузчика PowerShell с контролируемого злоумышленником сервера. Загрузчик PowerShell сильно обфусцирован с помощью случайных символов и строк, закодированных в base64. Он генерирует случайное имя и создает папку со случайным именем в корневом каталоге. Затем он создает два других вредоносных пакетных сценария с расширением .cmd в папке /Users/Public и два файла ярлыков Windows в папке запуска Windows.

Пятый файл-ссылка запускает другой пакетный файл, который выполняет команду PowerShell для загрузки и запуска Horabot. Специалисты Talos обнаружили, что полезная нагрузка, используемая злоумышленником в этой кампании, предназначена для кражи конфиденциальной информации, уклонения от обнаружения и распространения дополнительных фишинговых писем среди контактов жертвы. Банковский троян нацелен на конфиденциальную информацию жертвы, регистрирует нажатия клавиш и манипулирует данными буфера обмена компьютера жертвы. Спам-инструмент используется для компрометации других учетных записей электронной почты, кражи адресов электронной почты контактов и рассылки спама.

#ParsedReport #CompletenessLow
01-06-2023

Encrypted Chaos: Analysis of Crytox Ransomware

https://labs.k7computing.com/index.php/encrypted-chaos-analysis-of-crytox-ransomware

Report completeness: Low

Threats:
Crytox
Upx_tool

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1218, T1045, T1219, T1486, T1490

IOCs:
File: 2
Hash: 1

Algorithms:
ror13, aes

Win API:
CryptGenKey, CryptExportKey, CryptEncrypt, VirtualAllocEx, WriteProcessMemory, NtCreateThreadEx, SeDebugPrivilege, MapViewOfFile, OpenProcess, NtQueryInformationProcess, have more...

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Crytox Ransomware - это очень сложное вредоносное ПО, которое использует передовые методы для обхода экспертизы памяти и трудно поддается обнаружению и анализу.
-----

Crytox Ransomware - это 64-битный исполняемый файл, разработанный на языке C и обычно развертываемый путем упаковки скомпилированного исполняемого файла с помощью UPX. При распаковке размер полезной нагрузки составляет около 2,9 МБ, что необычно много для вредоносной программы. При дальнейшем анализе бинарного файла было обнаружено, что в начале секции .text был встроен целый клиент uTox.

При выполнении программа расшифровывает файл конфигурации по алгоритму AES, запускает приложение uTox по пути, указанному в файле конфигурации, и внедряет шеллкод в собственный процесс Windows, указанный в конфигурации. Этот шеллкод удаляет теневые копии томов, а затем внедряет новый шеллкод в другой родной процесс, который запускается с определенным аргументом cmdline. В нашем случае целью был svchost с командной строкой netsvcs. Последний внедренный шеллкод отвечает за шифрование пользовательских файлов на диске с расширением .waiting.

Win32 API динамически разрешаются во время выполнения, он использует ROR7 для вычисления хэша имени модуля/DLL и ROR5 для вычисления хэша экспортного API. Двоичный файл содержит жестко закодированные значения, которые являются суммой хэша модуля и хэша API, которые необходимо разрешить и вызвать. После генерации пар открытых и закрытых ключей он перечисляет все активные процессы и выбирает первый процесс svchost.exe для внедрения. Затем шеллкод внедряется в этот целевой процесс с помощью обычных API VirtualAllocEx, WriteProcessMemory и вызывается NtCreateThreadEx для выполнения шеллкода в новом потоке.

После внедрения шеллкод проверяет, включен ли у целевого процесса SeDebugPrivilege. Если да, то маркер доступа обновляется до NTAuthority/SYSTEM. Он ждет, пока процесс stage-1 завершится, чтобы получить хэндл к файлу stage-1. Он считывает файл stage 1 с диска с помощью MapViewOfFile, копирует 0x4400 байт со смещения 0x135CA4 в новую кучу, которая является ничем иным, как зашифрованной конфигурацией stage 2. Для того чтобы избежать экспертизы памяти, файл stage-1 перед удалением с диска полностью заполняется байтами NULL.

Затем шеллкод перечисляет все активные процессы и по каждому перечислению вычисляет хэш ROR13 имени процесса. Если вычисленный хэш равен 0xDCF164CD (EXPLORER.EXE) или 0x561F1820 (SVCHOST.EXE), но для svchost, он выполняет следующее, чтобы нацелиться только на конкретную службу. Если аргумент cmdline целевого процесса содержит параметр netsvcs, то он выбирается для внедрения шеллкода финальной стадии. Process id идентифицированного целевого процесса копируется в Heap, за ним следует зашифрованная полезная нагрузка финальной стадии, которая присутствует в секции ресурсов stage-1 в разделе RCDATA.

Создается мьютекс с именем itkd 4_characters_generated_based_on_targetPID, затем зашифрованные данные ресурса расшифровываются с использованием того же AES-ключа 50 60 30 30 03 02 01 01 A9 CE 67 67 7D 56 2B 2B 19 E7 FE FE 62 B5 D7 D7 E6 4D AB AB 9A EC 76 76, который использовался ранее. Расшифрованная полезная нагрузка представляет собой шеллкод финальной стадии, который внедряется в целевой процесс и выполняется с помощью NtCreateThreadEx.

Crytox Ransomware является очень сложной вредоносной программой, поскольку она способна динамически разрешать API во время выполнения, использовать хэши для имен модулей и DLL, шифровать конфигурацию и полезную нагрузку с помощью шифрования AES. Он также использует передовые методы для обхода экспертизы памяти, такие как заполнение файла stage-1 байтами NULL и удаление его с диска. Кроме того, он нацелен только на определенные службы с определенными параметрами cmdline, используя хэш ROR13. Все эти особенности делают Crytox Ransomware грозной угрозой, поскольку его трудно обнаружить и проанализировать.

#ParsedReport #CompletenessLow
01-06-2023

Distributing malicious code disguised as job application form

https://asec.ahnlab.com/ko/53562

Report completeness: Low

Threats:
Dropper/win.agent.c5433106
Dropper/win.agent.c5433107
Trojan/win32.agent.c174738

Geo:
Korean, Korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1202, T1497, T1085, T1218, T1036, T1105, T1064, T1140, T1113, T1486, have more...

IOCs:
File: 18
Url: 5
Path: 3
Registry: 1
Domain: 1
Hash: 4

Functions:
InternetShortcut

Win Services:
AvastSvc, Mcshield

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Распространяются вредоносные коды, замаскированные под анкеты соискателей, которые способны совершать вредоносные действия, такие как утечка информации. Важно, чтобы пользователи знали о вредоносных файлах, чтобы защитить себя.
-----

Центр реагирования на чрезвычайные ситуации безопасности компании "АнЛаб" (ASEC) недавно подтвердил факт распространения вредоносных кодов, замаскированных под анкеты соискателей. Эти вредоносные коды имеют функцию проверки существования различных процессов вакцин, таких как процесс в названии продукта компании (V3Lite.exe). Вредоносный файл загружается через вредоносный URL, похожий на сайт поиска работы в Корее, и имеет расширение screen saver (.scr) и иконку документа на хангыле (.hwp).

Когда файл выполняется, данные сжатого файла, существующие во внутреннем RCDATA, сохраняются как %Public% 6 цифр случайных символов .zip. После этого создается папка %Public%\Music\ 6 случайных символов, и создается файл ярлыка Интернета, чтобы можно было выполнить ранее созданный файл Korean и файл wechatweb.exe (6 случайных символов .exe). После выполнения соответствующий файл ярлыка удаляется.

Затем загружается файл wechatweb.exe (6-значный случайный символ .exe) и выполняет экспортную функцию CMGetCommandString. После этого вредоносный файл cmcs21.dll регистрирует следующий реестр, чтобы вредоносные файлы могли постоянно выполняться. Затем вредоносный код считывает файл yga.txt, декодирует его и внедряет данные в рекурсивно выполняющийся процесс wechatweb.exe (6-значный случайный символ .exe). Это позволяет совершать вредоносные действия, такие как утечка информации.

Внедренный процесс генерирует 6-значный случайный символ .Kinf в той же папке, кодирует и сохраняет данные кейлоггинга. Вредоносный код также может выполнять различные вредоносные действия, такие как установка параметров Интернета, захват экрана, управление службами и проверка данных Интернет-куки по команде злоумышленника.

Пользователям важно знать, что вредоносные файлы маскируются под анкеты соискателей и постоянно распространяются. URL-адреса вредоносных файлов часто похожи на адреса отечественных сайтов по трудоустройству, поэтому пользователям трудно распознать, что это вредоносные сайты, что требует особого внимания со стороны пользователей.

#ParsedReport #CompletenessLow
01-06-2023

NoEscape Ransomware-as-a-Service (RaaS)

https://blog.cyble.com/2023/06/01/noescape-ransomware-as-a-service-raas

Report completeness: Low

Threats:
Noescape

Geo:
Russia

TTPs:
Tactics: 5
Technics: 11

Softs:
ubuntu, esxi

Crypto:
bitcoin

Algorithms:
rsa-2048, chacha20

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программы Ransomware-as-a-Service становятся все более популярными в мире киберпреступности, и программа NoEscape RaaS является ярким примером этого, предлагая уникальный способ вымогательства у жертв с помощью своих сложных функций.
-----

Лаборатория исследований и разведки CRIL недавно обнаружила новую программу RaaS под названием NoEscape, которая предлагалась на одном из киберпреступных форумов в конце мая 2023 года. Сообщается, что программа создана без использования сторонних ресурсов или исходного кода, что делает ее домашним проектом. Она использует алгоритмы шифрования ChaCha20 и RSA и способна перезагружать систему в безопасном режиме и отключать продукты безопасности конечных точек.

NoEscape RaaS также предлагает специальную услугу по борьбе с DDoS/спамом за внушительную плату в размере 500 000 долларов США. Операторы этой программы имеют нераскрытый механизм найма аффилиатов и ставят условия не нацеливаться на организации в странах Содружества Независимых Государств (СНГ). Модель разделения прибыли в этой программе непостоянна и зависит от выплат.

Исследование открытых источников, проведенное компанией TrendMicro, выявило вредоносный файл, известный как Ransom.Win32.NOESCAPE.B, о котором стало известно 29 марта 2023 года. Этот файл может быть подброшен другим вредоносным ПО или неосознанно загружен пользователями при посещении подозрительных веб-сайтов. Он способен выполняться только на операционной системе Windows NT 10.0, что заставляет исследователей полагать, что он не связан с программой NoEscape RaaS.

Программы Ransomware-as-a-Service становятся все более популярными в мире киберпреступности, поскольку они предлагают уникальный способ вымогательства у своих жертв с помощью техники тройного вымогательства. Программа NoEscape RaaS является ярким примером этого, а ее сложные функции, такие как возможность перезагрузки системы в безопасном режиме и отключение продуктов безопасности конечных точек, делают ее мощным инструментом для киберпреступников. Несмотря на то, что вредоносный файл, обнаруженный TrendMicro, не был связан с программой NoEscape RaaS, эта программа-вымогатель как услуга по-прежнему заслуживает внимания.

#ParsedReport #CompletenessLow
02-06-2023

GuLoader VBScript Variant Returns with PowerShell Updates

https://www.esentire.com/blog/guloader-vbscript-variant-returns-with-powershell-updates

Report completeness: Low

Threats:
Cloudeye
More_eggs
Junk_code_technique
Remcos_rat

Geo:
Emea, America, Apac, Africa

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.004, T1105, T1027, T1086, T1574, T1036, T1082, T1064, T1140, have more...

IOCs:
Domain: 2
File: 4
Url: 2
Hash: 5

Algorithms:
xor, base64

Functions:
GetString

Platforms:
intel

Links:
https://gist.github.com/macostag/f62b688ace243cc7ed426c133ba3efae#file-pr-ps1