#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что NoEscape RaaS представляет собой значительную угрозу для организаций всех типов и что организациям следует принять меры предосторожности для защиты своих систем от этой ransomware.
-----

NoEscape - это недавно появившаяся инициатива Ransomware-as-a-Service (Raas), которая предлагает аффилированным лицам ряд вариантов создания исполняемых файлов. На партнерском сайте компании представлена панель управления с различными настройками для создания исполняемых файлов ransomware, позволяющая филиалам указывать размер больших файлов, к которым применяется частичное шифрование, определять основной путь для шифрования, а также нацеливаться на определенные службы и процессы. После отключения UAC программа завершает процессы и останавливает активные службы в системе, а затем сбрасывает записку с выкупом под названием HOW_TO_RECOVER_FILES.txt в несколько каталогов. Затем она определяет файлы и каталоги для шифрования, используя библиотеки Microsoft Enhanced RSA и AES Cryptographic Provider для их шифрования с помощью алгоритма chacha20.

Затем программа-выкуп переименовывает зашифрованные файлы с расширением .CCBDFHCHFD и заменяет их оригинальными файлами, а также запускает серию команд для удаления теневых копий и резервных копий системы. В записке о выкупе жертвы получают инструкции о том, как установить контакт с NoEscape Ransomware Group, чтобы начать переговоры о выкупе. Linux-вариант состоит из трех файлов: script_linux.sh, script_esxi.sh и 164f8295_linux.elf, каждый из которых служит определенным целям и вносит свой вклад в общую функциональность ransomware.

NoEscape RaaS представляет собой значительную угрозу для организаций всех типов. Она может нанести разнообразный ущерб, такой как потеря ценных данных, нарушение работы, финансовые потери, а также потеря репутации и целостности. Организациям следует внимательно следить за NoEscape RaaS, ее инструментами, тактикой и процедурами, а также принимать меры предосторожности для защиты своих систем от ransomware.

#ParsedReport #CompletenessLow
03-06-2023

Technical Analysis of Bandit Stealer. Key Points

https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer

Report completeness: Low

Actors/Campaigns:
Dev-0960

Threats:
Bandit_stealer
Creal_stealer
Lunagrabber
Process_hacker_tool
Ollydbg_tool

IOCs:
Hash: 8
Path: 1
Command: 1
File: 1
IP: 59

Softs:
telegram, virtualbox, qemu, kometa, centbrowser, amigo, epic privacy browser, 7star, vivaldi, google chrome, have more...

Wallets:
electrum, metamask, guarda, coinbase, saturn_wallet, coin98, tronlink, terra_station, electron_cash, guild_wallet, have more...

Crypto:
binance, ethereum, bitcoin, litecoin, monero, dogecoin

Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, GetAdaptersAddresses, CreateToolhelp32Snapshot, CryptUnprotectData

Win Services:
vgauthservice

Languages:
golang

Links:
https://github.com/errias/Kyoku-Cookie-Token-Stealer
https://pkg.go.dev/github.com/prometheus/procfs
https://github.com/Smug246/Luna-Grabber
https://github.com/Ayhuuu/Creal-Stealer

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Bandit Stealer - это тип вредоносной программы для кражи информации, которая собирает конфиденциальные данные с машин жертв и отправляет их обратно на командно-контрольный сервер через Telegram. В нем также реализованы методы обнаружения и обхода виртуальных машин и песочниц вредоносного ПО, и он постоянно обновляется новыми функциями.
-----

Bandit Stealer - это тип вредоносной программы для кражи информации, которая продается на подпольных криминальных форумах с апреля 2023 года. Она была написана с использованием языка программирования Go, который становится все более популярным среди разработчиков вредоносных программ. Bandit способен собирать конфиденциальные данные с компьютеров жертв, такие как файлы cookie, сохраненные данные для входа в систему и информацию о кредитных картах из более чем десятка веб-браузеров. Он также нацелен на настольные приложения криптовалютных кошельков, собирает учетные данные с FTP-клиентов и почтовых клиентов, а также крадет нажатия клавиш и данные буфера обмена. Вся украденная информация отправляется обратно на командно-контрольный сервер (C2) через Telegram.

Bandit реализует многочисленные методы обнаружения и обхода виртуальных машин и песочниц вредоносного ПО. Он проверяет наличие отладчика с помощью двух API Windows, пытается повысить права с помощью команды runas и получает внешний IP-адрес системы с api.ipify.org. Затем он сравнивает эти значения с черными списками IP-адресов, MAC-адресов, имен компьютеров, имен пользователей и имен процессов для идентификации виртуальных сред. Bandit Stealer также загружает дополнительную информацию о конфигурации из Pastebin.

Как только Bandit Stealer завершает сбор данных, он отправляет их обратно субъекту угрозы через Telegram. В ответ он получает закодированную структуру в формате JSON и постоянно обновляется новыми функциями для улучшения функциональности сбора данных. Используя Telegram в качестве сервера C2, он затрудняет попытки захвата и делает Bandit Stealer потенциальной угрозой в обозримом будущем.

#ParsedReport #CompletenessMedium
05-06-2023

HelloTeacher: New Android Malware Targeting Banking Users In Vietnam

https://blog.cyble.com/2023/06/05/helloteacher-new-android-malware-targeting-banking-users-in-vietnam

Report completeness: Medium

Threats:
Helloteacher

Victims:
Unsuspecting users in vietnam

Industry:
Financial

Geo:
China, Vietnam, Chinese, Vietnamese

TTPs:
Tactics: 3
Technics: 8

IOCs:
Url: 3
File: 1
Hash: 3

Softs:
android, viber, kik messenger

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что обнаружение варианта "HelloTeacher" шпионского ПО для Android подчеркивает растущую изощренность и обманную тактику, используемую злоумышленниками, и что люди могут снизить риск стать жертвой этих угроз, проявляя осторожность при загрузке популярных приложений для обмена сообщениями из сторонних магазинов или подозрительных веб-сайтов.
-----

Cyble Research & Intelligence Labs (CRIL) недавно обнаружила новый вариант шпионской программы для Android, которую окрестили "HelloTeacher" из-за наличия в ее исходном коде тестового сервиса. Это шпионское ПО предназначено для пользователей из Вьетнама, маскируясь под популярные приложения для обмена сообщениями, такие как Viber и Kik Messenger. После установки HelloTeacher вооружается целым рядом сложных возможностей, таких как утечка контактной информации, данных SMS, фотографий, списка установленных приложений, а также возможность делать снимки и записывать экран зараженного устройства.

Более того, угрожающий агент, стоящий за HelloTeacher, попытался интегрировать его с мощью банковского трояна, злоупотребляя службой доступности, сфокусировавшись на трех известных вьетнамских банках. Эта вредоносная программа способна отслеживать взаимодействие пользователя с мобильными приложениями TPbank и MB Bank, а также получать данные о состоянии счета в TPbank Mobile. Кроме того, HelloTeacher также пытался осуществить мошенничество на устройстве, нацеленное на MB Bank, пытаясь вставить значения в текстовые поля мобильного приложения MB Bank.

Для выполнения своих вредоносных операций HelloTeacher предлагает жертвам включить службу Accessibility для предоставления автоматических разрешений. Он связывается с командно-контрольным сервером (C&C), расположенным по адресу hxxp://api.sixmiss.com/abb-api/client/, и использует MediaProjection для записи экрана целевого устройства и отправки его на C&C-сервер. Кроме того, код содержит несколько строк на китайском языке, что указывает на то, что TA может быть китайского происхождения.

Обнаружение вредоносной программы HelloTeacher для Android демонстрирует постоянно развивающуюся изощренность и обманные тактики, применяемые злоумышленниками. Поскольку TA, стоящая за этим шпионским ПО, продемонстрировала намерение включить в него функции банковского трояна, важно проявлять осторожность при загрузке популярных приложений для обмена сообщениями из сторонних магазинов или подозрительных веб-сайтов. Приняв эту меру предосторожности, люди могут значительно снизить риск стать жертвой этих сложных угроз.

#ParsedReport #CompletenessLow
05-06-2023

Iran Cyber Threat Overview. IRANIAN CYBER OFFENSIVE ORGANISATION

https://blog.sekoia.io/iran-cyber-threat-overview

Report completeness: Low

Actors/Campaigns:
Dev-0343 (motivation: hacktivism)
Irgc
Phosphorus
Cotton_sandstorm (motivation: cyber_espionage)
Cleaver (motivation: cyber_espionage)
Cobalt_mirage
Muddywater
Oilrig
Siamesekitten (motivation: cyber_espionage)
Agrius
Darkbit
Silent_librarian
Domestic_kitten
Fox_kitten
Apt33
Unc3890

Threats:
Nemesis
Rana
Saitama
Disttrack
Stuxnet
Log4shell_vuln
Proxyshell_vuln

Victims:
Israel, saudi arabia, arab gulf countries, us critical infrastructures, energy companies, major us utility and gas entity, middle-east telecom operators, egypt-based shipping and marine services companies, individuals conducting research related to middle-east and iran affairs, albania, middle-east telecom operators, maritime transportation sectors

Industry:
Energy, Government, Aerospace, Transport, Maritime, Education, Telco, Petroleum, Ngo

Geo:
Albania, Teheran, Palestinian, French, Albanian, American, Russia, Middle-east, Tunisia, Iran, Bahrain, China, Israel, Israeli, Usa, Jordan, Iranian, Tehran, Morocco, Lebanon, Egypt

CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...
CVE-2022-47986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- ibm aspera faspex (le4.4.1, 4.4.2)


TTPs:
Tactics: 1
Technics: 0

Softs:
telegram

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исламская Республика Иран использует свои кибервозможности для поддержания внутренней стабильности, защиты национальной территории и достижения своих внешнеполитических целей, нацеливаясь на соседние государства и проводя разрушительные кампании. Иранские комплекты вторжений становятся все более сложными с точки зрения технических навыков и оперативной реактивности и способны координировать действия нескольких комплектов вторжений. Иран подозревается в использовании киберперсонажей для прикрытия деструктивной деятельности и/или усиления информационных операций, направленных на обеспечение регионального влияния.
-----

Исламская Республика Иран использует свои кибер-операции для поддержания внутренней стабильности, защиты национальной территории и достижения своих внешнеполитических целей. Известно, что она использует соседние государства, такие как Израиль, Саудовская Аравия и страны Персидского залива, для сбора разведданных и проводит разрушительные кампании, такие как Shamoon 2012. Иранские комплекты вторжений направлены на энергетику, телекоммуникации, морские перевозки и критически важные сектора инфраструктуры. Иранские комплексы вторжений становятся все более изощренными в плане технических навыков и оперативной реакции на публично раскрытые уязвимости и способны координировать действия нескольких комплексов вторжений, связанных с одной и той же структурой. Иран имеет связи с шиитскими политическими группами, такими как "Хезболла", и подозревается в использовании киберперсон для прикрытия деструктивной деятельности и/или усиления информационных операций.

#ParsedReport #CompletenessLow
04-06-2023

Inside the Infamous Royal Ransomware Group: Unveiling Their Reign of Cyber Chaos

https://www.cloudsek.com/blog/inside-the-infamous-royal-ransomware-group-unveiling-their-reign-of-cyber-chaos

Report completeness: Low

Threats:
Royal_ransomware
Reign
Zeon

Victims:
Us and international entities

Industry:
Education, Financial, Healthcare, Government

Geo:
Canada, India, Italy, Ukraine, Russia, Germany, France, Brazil

IOCs:
File: 9
IP: 54
Domain: 8
Url: 4
Hash: 19

Crypto:
bitcoin

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Royal ransomware - это сложная и опасная киберпреступная организация, действующая из России и Украины, способная требовать миллионные выкупы и передавать конфиденциальные данные. Для защиты от таких атак организациям необходимо иметь надежные протоколы кибербезопасности и план реагирования на инциденты.
-----

Группа Royal ransomware - относительно новый игрок в мире киберпреступности, ее самая ранняя известная деятельность датируется серединой 2022 года. По оценкам всех жертв, которые стали жертвами этой группы, на сегодняшний день группа Royal Ransomware произвела утечку более 249 терабайт данных, и число ее атак со временем увеличивается. Группа атаковала компании с общим доходом более 48 миллиардов долларов, большинство жертв находятся в США. Известно, что группа требовала многомиллионные выкупы и угрожала утечкой конфиденциальных данных, если ее требования не будут выполнены.

Группа Royal ransomware использует различные методы для получения первоначального доступа к сетям жертв. Наиболее распространенной тактикой является успешная рассылка фишинговых писем. Жертвы неосознанно устанавливают вредоносное ПО Royal ransomware после получения фишинговых писем, содержащих вредоносные PDF-документы, или через вредоносную рекламу. По сообщениям доверенных сторонних источников, группа Royal ransomware может использовать брокеров для получения первоначального доступа и источника трафика путем сбора учетных данных виртуальных частных сетей (VPN) из журналов краж.

Группа Royal ransomware - это умелая киберпреступная организация, разработавшая собственные вредоносные программы и инструменты шифрования. Считается, что она действует в основном из России и Украины и имеет тесные связи с другими киберпреступными организациями, действующими в этом регионе. Эта группа попала в заголовки газет, совершив массированную атаку на город Даллас, штат Техас, в январе 2023 года, и потребовав выкуп в размере от 1 до 11 миллионов долларов США в биткоинах.

Очевидно, что группа Royal ransomware - это очень сложная и опасная организация, представляющая серьезную угрозу для предприятий и частных лиц во всем мире. Для защиты от таких атак организациям следует убедиться, что у них имеются надежные протоколы и системы кибербезопасности, а также комплексный план реагирования на инциденты. Кроме того, организациям следует знать о тактике, используемой группой Royal ransomware, и сохранять бдительность при любых признаках потенциальных атак.

North Korea-Aligned TAG-71 Spoofs Financial Institutions in Asia and US

https://go.recordedfuture.com/hubfs/reports/cta-2023-0606.pdf

#ParsedReport #CompletenessLow
06-06-2023

Xollam, the Latest Face of TargetCompany. Simultaneously active: Xollam and Mallox variants

https://www.trendmicro.com/en_us/research/23/f/xollam-the-latest-face-of-targetcompany.html

Report completeness: Low

Actors/Campaigns:
Bluesky

Threats:
Xollam
Targetcompany
Mauicrypt
Remcos_rat
Gmer_tool
Pchunter64_tool
Jadtre

Industry:
Financial

Geo:
Indian

IOCs:
File: 3

Softs:
microsoft sql, ms sql, microsoft onenote, onenote, telegram

Algorithms:
aes-128, chacha20, curve25519, xor

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 5, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Семейство вымогательских программ TargetCompany активно с июня 2021 года и за это время успело эволюционировать, изменив название, методы первоначального доступа и схему двойного вымогательства. Оно также создало канал Telegram и сайт утечки данных для объявления своих жертв, а также создало партнерскую программу для модели Mallox RaaS.
-----

Программа TargetCompany ransomware активна с июня 2021 года, когда она впервые была обнаружена, добавляя к зашифрованным файлам расширение .tohnichi. Это было признаком целенаправленной атаки на организацию Tohnichi, поэтому изначально она была известна как Tohnichi ransomware. После этого семейство ransomware эволюционировало, сменив несколько названий, что означало значительные обновления в алгоритме шифрования и характеристиках дешифратора.

Семейство вариантов вымогательского ПО TargetCompany использовало различные методы первоначального доступа, включая уязвимости в Microsoft SQL (MS SQL) Server, которые применялись в вариантах Tohnichi, Mallox и Fargo. Однако последний вариант Xollam отклоняется от проверенного метода банды и использует файлы Microsoft OneNote в качестве начального доступа для распространения и доставки вредоносного ПО. В этом варианте используется псевдо-безфайловая техника через PowerShell, которая выполняет рефлексивную загрузку для загрузки своей полезной нагрузки.

Помимо изменений в поведении ransomware, банда, стоящая за TargetCompany, в 2022 году ввела схему двойного вымогательства, создав канал Telegram, а затем сайт утечки данных для объявления своих жертв. Они также создали партнерскую программу для модели Mallox RaaS. С марта 2022 года по апрель 2023 года группа разработчиков ransomware предприняла 269 попыток атаковать клиентов Trend Micro.

#ParsedReport #CompletenessMedium
06-06-2023

LockBit Ransomware 2.0 Resurfaces

https://blog.cyble.com/2023/06/06/lockbit-ransomware-2-0-resurfaces

Report completeness: Medium

Threats:
Lockbit

Victims:
Korean individuals

Industry:
Financial

Geo:
Korean, Korea

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 3
Path: 2
Command: 1
Url: 2
Hash: 3

Softs:
curl, bcdedit

Algorithms:
zip, sha1, sha256

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа LockBit ransomware была обнаружена в рамках продолжающейся кампании, использующей вредоносные файлы документов для атак на жителей Кореи, что может привести к серьезным последствиям, если не принять меры. Лаборатория Cyble Research & Intelligence Labs будет следить за этой программой и предоставлять читателям обновленную информацию.
-----

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила продолжающуюся кампанию, связанную с печально известной группой разработчиков вымогательского ПО LockBit. LockBit активно действует с сентября 2019 года, используя различные методы распространения своего вредоносного ПО, такие как распространение фишинговых писем с вредоносными файлами, загрузка с диска и использование уязвимостей в протоколе удаленного рабочего стола (RDP). Для повышения вероятности получения выкупа от жертв LockBit применяет двойную технику вымогательства, которая включает шифрование данных и угрозу опубликовать украденную информацию на специально созданных сайтах утечки.

Недавно CRIL обнаружил кампанию LockBit maldocs, которая была первоначально обнаружена в 2022 году и была нацелена на жителей Кореи. В своей последней кампании LockBit снова использовал вредоносные файлы документов для нападения на корейцев. Для этого в файл settings.xml.rels, который находится в пакете документов, вставляется URL-адрес, содержащий вредоносный файл шаблона (.dotm). После открытия вредоносного документа он пытается установить соединение с удаленным сервером для получения последующего компонента атаки. Этот компонент содержит обфусцированный макрос VBA, который приводит к загрузке Lockbit ransomware 2.0.

После успешного запуска LockBit ransomware в системе он начинает ряд действий, включая шифрование файлов с расширением .lockbit, удаление теневых копий с помощью vssadmin.exe, отключение восстановления при запуске с помощью инструмента bcdedit и т.д.. Кроме того, оставляется записка с инструкциями по оплате выкупа.

Недавний переход LockBit от использования других тактик к распространению своей полезной нагрузки через документы застал нас врасплох. Однако очевидно, что Lockbit остается серьезной угрозой, развивающейся и расширяющей свои возможности. Поэтому пользователи должны сохранять бдительность и принимать надежные меры безопасности для защиты от потенциальных атак Lockbit ransomware. Потеря ценных данных, репутации и целостности организации, конфиденциальной деловой информации, нарушение работы и финансовые потери - все это возможные последствия атаки LockBit. Cyble Research & Intelligence Labs продолжит отслеживать кампании по борьбе с вымогательским ПО и предоставлять читателям обновленную информацию.

#ParsedReport #CompletenessMedium
06-06-2023

Kimsuky Strikes Again \| New Social Engineering Campaign Aims to Steal Credentials and Gather Strategic Intelligence

https://www.sentinelone.com/labs/kimsuky-new-social-engineering-campaign-aims-to-steal-credentials-and-gather-strategic-intelligence

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Reconshark
B374k_tool

Victims:
Experts in north korean affairs from the non-government sector

Industry:
Government

Geo:
Korean, Chad, Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1036, T1566, T1189, T1071.001, T1485, T1486, T1055.001, T1036.005

IOCs:
Domain: 4
IP: 1
Url: 6
Hash: 4
File: 1
Email: 2

Algorithms:
base64, sha1

Languages:
php, javascript

Links:
https://github.com/b374k/b374k

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Kimsuky использует целевую социальную инженерию для кражи учетных данных из Google, служб подписки и других источников. Они также используют вредоносное ПО и вредоносные веб-сайты в рамках своей кампании и зарегистрировали домен, связанный с этой группой. SentinelLabs отслеживает их деятельность, чтобы лучше защитить потенциальные цели.
-----

Северокорейская APT-группа Kimsuky использовала целевую кампанию социальной инженерии против экспертов по делам Северной Кореи. Эта кампания отслеживалась SentinelLabs и NK News и, предположительно, была организована агентом угроз Kimsuky. Целью кампании является кража учетных данных из Google, подписных служб и других источников для получения доступа к конфиденциальной информации.

Кимсуки разослал электронные письма, выдавая себя за Чада О Кэрролла, основателя NK News, чтобы завоевать доверие. Письма содержат поддельные URL-адреса документов Google и документов Office, содержащих вредоносное ПО ReconShark. Эта вредоносная программа используется для утечки информации, которая может быть использована для проведения точных атак. Кимсуки также пытался украсть учетные данные подписчиков NK News, распространяя электронные письма, которые заманивали пользователей на вредоносный сайт.

Kimsuky также зарегистрировал домен staradvertiser.store, который ссылается на IP-адрес, связанный с группой. Группа также зарегистрировала домен nknews.pro, на котором расположен защищенный паролем сайт удаленного управления. Известно, что Kimsuky использует инструмент b374k для удаленного управления своей инфраструктурой.

Деятельность Kimsuky демонстрирует растущую приверженность группы тактике социальной инженерии. Потенциальным объектам важно сохранять бдительность и использовать эффективные меры безопасности для защиты от этой тактики. SentinelLabs продолжает активно следить за деятельностью Kimsuky, чтобы лучше понять и пресечь ее тактику.

#ParsedReport #CompletenessMedium
06-06-2023

ITG10 Likely Targeting South Korean Entities of Interest to the Democratic People s Republic of Korea (DPRK)

https://securityintelligence.com/posts/itg10-targeting-south-korean-entities

Report completeness: Medium

Actors/Campaigns:
Itg10
Apt37
Scarcruft

Threats:
Supply_chain_technique
Rokrat

Victims:
South korean government, universities, think tanks, and dissidents, organizations or individuals involved with a construction project in the middle east

Industry:
Education, Energy, Financial, Government

Geo:
Korean, Dprk, Korea

IOCs:
File: 3
Path: 1
Hash: 23
Url: 5
Domain: 2

Softs:
microsoft word

Algorithms:
zip

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: IBM Security X-Force обнаружил фишинговую кампанию, организованную группой под названием ITG10, которая поставляет вредоносное ПО RokRAT с документами, предназначенными для лиц и организаций, участвующих во внешней политике, связанной с Корейским полуостровом. Злоумышленники использовали несколько методов доставки вредоносного ПО, и X-Force обнаружил три LNK-файла, отличающихся по поведению.
-----

В конце апреля 2023 года IBM Security X-Force обнаружил фишинговую кампанию, организованную группой под названием ITG10, которая, вероятно, связана с APT37 и ScarCruft. Вредоносная кампания была направлена на доставку вредоносного ПО RokRAT с помощью файлов LNK, которые передавали два файла ярлыков Windows, содержащих обфусцированные сценарии PowerShell. Эти сценарии отвечали за загрузку шеллкода второй стадии. Сам RokRAT был способен выполнять удаленные C2-команды, эксфильтрацию данных, загрузку/выгрузку файлов и кейлоггинг. Обнаруженные документы позволяют предположить, что целью ITG10 могут быть лица и организации, участвующие во внешней политике, связанной с Корейским полуостровом, такие как правительство Южной Кореи, университеты, аналитические центры и диссиденты.

Вредоносные субъекты, стоящие за этой фишинговой кампанией, были замечены в распространении RokRAT различными способами. В одном случае они разослали файлы Zip-архивов, содержащие множество документов-приманок, предназначенных для персонала южнокорейских государственных учреждений, коммуникационных и образовательных центров, а также предприятий энергетики, производства и цепочки поставок. Примеры этих документов включают "Contract detail.pdf", связанный с производством радиодрамы, запланированной к трансляции в мае 2023 года, и "April 29, 2023 Seminar.pdf", который представляется маршрутом для мероприятия, проводимого в апреле 2023 года и предназначенного для научных и правительственных работников.

В другом случае злоумышленники разослали zip-файл projects in Libya.zip, содержащий LNK-файл Pipelines Profile ( lnk , а также дополнительные англоязычные файлы-приманки. Эти документы включали документ Microsoft Word и PDF-копию документа под названием Proposed MOU GTE Korea, а также PDF под названием MFZ Executive Summary Korea с подробным технико-экономическим обоснованием развития и расширения свободной зоны морского порта Мисурата. Целью этой фишинговой кампании, по-видимому, были организации или частные лица, связанные со строительными проектами на Ближнем Востоке, поскольку этот регион является традиционным заказчиком многих крупномасштабных строительных проектов для южнокорейских компаний.

X-Force также обнаружила три LNK-файла, которые вели себя иначе, чем другие образцы. Эти LNK-файлы передавали VBS, при этом техника обфускации передаваемых файлов заключалась в шестнадцатеричном кодировании, а не в конкатенации строк. Кроме того, вместо пакетного файла LNK-файлы сбрасывали VBS и файл-обманку JPEG в папку пользователя %TEMPT%. На момент анализа X-Force не смогла получить конечную полезную нагрузку с серверов, так как они были отключены. Необходимы дальнейшие исследования и анализ для определения релевантности и атрибуции.