#ParsedReport #CompletenessMedium
06-06-2023

Kimsuky Strikes Again \| New Social Engineering Campaign Aims to Steal Credentials and Gather Strategic Intelligence

https://www.sentinelone.com/labs/kimsuky-new-social-engineering-campaign-aims-to-steal-credentials-and-gather-strategic-intelligence

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Reconshark
B374k_tool

Victims:
Experts in north korean affairs from the non-government sector

Industry:
Government

Geo:
Korean, Chad, Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1036, T1566, T1189, T1071.001, T1485, T1486, T1055.001, T1036.005

IOCs:
Domain: 4
IP: 1
Url: 6
Hash: 4
File: 1
Email: 2

Algorithms:
base64, sha1

Languages:
php, javascript

Links:
https://github.com/b374k/b374k

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Kimsuky использует целевую социальную инженерию для кражи учетных данных из Google, служб подписки и других источников. Они также используют вредоносное ПО и вредоносные веб-сайты в рамках своей кампании и зарегистрировали домен, связанный с этой группой. SentinelLabs отслеживает их деятельность, чтобы лучше защитить потенциальные цели.
-----

Северокорейская APT-группа Kimsuky использовала целевую кампанию социальной инженерии против экспертов по делам Северной Кореи. Эта кампания отслеживалась SentinelLabs и NK News и, предположительно, была организована агентом угроз Kimsuky. Целью кампании является кража учетных данных из Google, подписных служб и других источников для получения доступа к конфиденциальной информации.

Кимсуки разослал электронные письма, выдавая себя за Чада О Кэрролла, основателя NK News, чтобы завоевать доверие. Письма содержат поддельные URL-адреса документов Google и документов Office, содержащих вредоносное ПО ReconShark. Эта вредоносная программа используется для утечки информации, которая может быть использована для проведения точных атак. Кимсуки также пытался украсть учетные данные подписчиков NK News, распространяя электронные письма, которые заманивали пользователей на вредоносный сайт.

Kimsuky также зарегистрировал домен staradvertiser.store, который ссылается на IP-адрес, связанный с группой. Группа также зарегистрировала домен nknews.pro, на котором расположен защищенный паролем сайт удаленного управления. Известно, что Kimsuky использует инструмент b374k для удаленного управления своей инфраструктурой.

Деятельность Kimsuky демонстрирует растущую приверженность группы тактике социальной инженерии. Потенциальным объектам важно сохранять бдительность и использовать эффективные меры безопасности для защиты от этой тактики. SentinelLabs продолжает активно следить за деятельностью Kimsuky, чтобы лучше понять и пресечь ее тактику.

#ParsedReport #CompletenessMedium
06-06-2023

ITG10 Likely Targeting South Korean Entities of Interest to the Democratic People s Republic of Korea (DPRK)

https://securityintelligence.com/posts/itg10-targeting-south-korean-entities

Report completeness: Medium

Actors/Campaigns:
Itg10
Apt37
Scarcruft

Threats:
Supply_chain_technique
Rokrat

Victims:
South korean government, universities, think tanks, and dissidents, organizations or individuals involved with a construction project in the middle east

Industry:
Education, Energy, Financial, Government

Geo:
Korean, Dprk, Korea

IOCs:
File: 3
Path: 1
Hash: 23
Url: 5
Domain: 2

Softs:
microsoft word

Algorithms:
zip

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: IBM Security X-Force обнаружил фишинговую кампанию, организованную группой под названием ITG10, которая поставляет вредоносное ПО RokRAT с документами, предназначенными для лиц и организаций, участвующих во внешней политике, связанной с Корейским полуостровом. Злоумышленники использовали несколько методов доставки вредоносного ПО, и X-Force обнаружил три LNK-файла, отличающихся по поведению.
-----

В конце апреля 2023 года IBM Security X-Force обнаружил фишинговую кампанию, организованную группой под названием ITG10, которая, вероятно, связана с APT37 и ScarCruft. Вредоносная кампания была направлена на доставку вредоносного ПО RokRAT с помощью файлов LNK, которые передавали два файла ярлыков Windows, содержащих обфусцированные сценарии PowerShell. Эти сценарии отвечали за загрузку шеллкода второй стадии. Сам RokRAT был способен выполнять удаленные C2-команды, эксфильтрацию данных, загрузку/выгрузку файлов и кейлоггинг. Обнаруженные документы позволяют предположить, что целью ITG10 могут быть лица и организации, участвующие во внешней политике, связанной с Корейским полуостровом, такие как правительство Южной Кореи, университеты, аналитические центры и диссиденты.

Вредоносные субъекты, стоящие за этой фишинговой кампанией, были замечены в распространении RokRAT различными способами. В одном случае они разослали файлы Zip-архивов, содержащие множество документов-приманок, предназначенных для персонала южнокорейских государственных учреждений, коммуникационных и образовательных центров, а также предприятий энергетики, производства и цепочки поставок. Примеры этих документов включают "Contract detail.pdf", связанный с производством радиодрамы, запланированной к трансляции в мае 2023 года, и "April 29, 2023 Seminar.pdf", который представляется маршрутом для мероприятия, проводимого в апреле 2023 года и предназначенного для научных и правительственных работников.

В другом случае злоумышленники разослали zip-файл projects in Libya.zip, содержащий LNK-файл Pipelines Profile ( lnk , а также дополнительные англоязычные файлы-приманки. Эти документы включали документ Microsoft Word и PDF-копию документа под названием Proposed MOU GTE Korea, а также PDF под названием MFZ Executive Summary Korea с подробным технико-экономическим обоснованием развития и расширения свободной зоны морского порта Мисурата. Целью этой фишинговой кампании, по-видимому, были организации или частные лица, связанные со строительными проектами на Ближнем Востоке, поскольку этот регион является традиционным заказчиком многих крупномасштабных строительных проектов для южнокорейских компаний.

X-Force также обнаружила три LNK-файла, которые вели себя иначе, чем другие образцы. Эти LNK-файлы передавали VBS, при этом техника обфускации передаваемых файлов заключалась в шестнадцатеричном кодировании, а не в конкатенации строк. Кроме того, вместо пакетного файла LNK-файлы сбрасывали VBS и файл-обманку JPEG в папку пользователя %TEMPT%. На момент анализа X-Force не смогла получить конечную полезную нагрузку с серверов, так как они были отключены. Необходимы дальнейшие исследования и анализ для определения релевантности и атрибуции.

#ParsedReport #CompletenessMedium
06-06-2023

LockBit 2.0 Ransomware Resurfaces

https://blog.cyble.com/2023/06/06/lockbit-2-0-ransomware-resurfaces

Report completeness: Medium

Threats:
Lockbit

Victims:
Korean individuals

Industry:
Financial

Geo:
Korea, Korean

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 3
Path: 2
Command: 1
Url: 2
Hash: 3

Softs:
curl, bcdedit

Algorithms:
sha1, sha256, zip

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа вымогателей LockBit активно атакует людей в Корее с помощью вредоносных документов с 2022 года, и организациям следует принять меры для защиты от этой угрозы.-----

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно обнаружила продолжающуюся кампанию, связанную с группой LockBit ransomware, активно действующей с 2019 года. LockBit использует двойной метод вымогательства, состоящий из шифрования данных и угроз опубликовать украденные данные на определенных сайтах утечки, чтобы заставить жертв заплатить выкуп. Последняя кампания LockBit, первоначально обнаруженная в 2022 году, была нацелена на жителей Кореи с помощью вредоносных файлов .docx, доставляемых через фишинговые электронные письма и попутные загрузки.

Анализ конкретного образца показал, что эта программа использует технику внедрения шаблона для установления соединения с удаленным сервером и получения последующего компонента атаки. После успешного выполнения LockBit ransomware инициирует ряд действий, включая шифрование файлов с расширением .lockbit, удаление теневых копий с помощью vssadmin.exe, отключение восстановления при запуске с помощью инструмента bcdedit и оставление записки с инструкциями по оплате.

Изменение поведения LockBit, приняв стратегию распространения своей полезной нагрузки через вредоносные документы, было неожиданным, что затрудняет определение его мотивов. Тем не менее, угроза вымогательского ПО LockBit сохраняется, что побуждает пользователей принимать надежные меры безопасности для защиты от потенциальных атак.

#ParsedReport #CompletenessLow
07-06-2023

ASEC Weekly Malware Statistics (May 22nd, 2023 May 28th, 2023)

https://asec.ahnlab.com/en/53647

Report completeness: Low

Threats:
Amadey
Smokeloader
Lockbit
Agent_tesla
Formbook
Clipboard_grabbing_technique
Lokibot_stealer
Snake_keylogger

IOCs:
Url: 21
Domain: 3
Email: 4
File: 13

Softs:
telegram, discord

#ParsedReport #CompletenessLow
07-06-2023

MOVEit Transfer Exploited to Drop File-Stealing SQL Shell

https://www.sentinelone.com/blog/moveit-transfer-exploited-to-drop-file-stealing-sql-shell

Report completeness: Low

Actors/Campaigns:
Bianlian
Karakurt

Threats:
Clop
Icefire

Victims:
Organizations in the aviation, transportation & logistics, entertainment, financial services & insurance, healthcare, pharmaceuticals & biotechnology, managed information technology service providers (msp), managed security service providers (mssp), manufacturing & building materials, mechanical engineering, print & digital media, technology, utilities & public services sectors

Industry:
Logistic, Transport, Healthcare, Financial, Entertainment, Aerospace

CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1218.006, T1059.003, T1003.001, T1057.001, T1036.003, T1002.005, T1041, T1071.001

IOCs:
File: 7
Hash: 10

Softs:
moveit, ” and (tg, goanywhere

Algorithms:
gzip, sha1

Links:
https://github.com/SentineLabs/MOVEit-IIS-Log-Scanner

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Компания SentinelOne обнаружила активное использование уязвимости в серверном приложении передачи файлов MOVEit, отслеживаемой как CVE-2023-34362, группой Cl0p ransomware. Эта атака предоставляет полезную нагрузку Microsoft IIS .aspx, которая обеспечивает ограниченное взаимодействие между пораженным веб-сервером и подключенным хранилищем блобов Azure. Компания SentinelOne заметила тенденцию к финансово мотивированным атакам на уязвимые приложения для передачи файлов, осуществляемым этим агентом, и предоставляет технические подробности, запросы и сценарий PowerShell, чтобы помочь организациям защитить себя.
-----

Компания SentinelOne обнаружила нештатную эксплуатацию уязвимости в приложении сервера передачи файлов MOVEit, отслеживаемой как CVE-2023-34362.

Злоумышленники могут обнаружить уязвимые системы с помощью сканирования портов или служб интернет-индексации, таких как Shodan.

Эта атака предоставляет полезную нагрузку Microsoft IIS .aspx, которая обеспечивает ограниченное взаимодействие между пораженным веб-сервером и подключенным хранилищем блобов Azure.

Ответственность за атаку взяла на себя группа Cl0p ransomware 5 июня, и она была замечена против более чем 20 организаций в различных секторах.

SentinelOne предоставляет технические подробности цепочки атак вместе с охотничьими запросами и сценарием PowerShell, который можно использовать для сканирования на предмет потенциальной эксплуатации.

Наблюдается более широкая тенденция финансово мотивированных атак на веб-серверы, на которых установлено уязвимое программное обеспечение для передачи файлов, включая атаки на программное обеспечение Aspera Faspex и приложение GoAnywhere для управляемой передачи файлов (MFT).

#ParsedReport #CompletenessMedium
07-06-2023

ASEC weekly malware statistics (20230529 \~ 20230604)

https://asec.ahnlab.com/ko/53706

Report completeness: Medium

Actors/Campaigns:
Ta505

Threats:
Agent_tesla
Azorult
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Transport, Financial

Geo:
Korea

IOCs:
Domain: 3
Email: 5
File: 14
Url: 32

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

SharpPanda APT's Attack Chain Targeting G20 Nations

https://threatmon.io/wp-content/uploads/2023/06/Threat_Analysis_SharpPanda_APTs_Attack_Chain_Targeting_G20_Nations-1.pdf

#technique
SignatureGate
Weaponized version of HellsGate, bypassing AV/EDR/EPPs by abusing opt-in-fix CVE-2013-3900.

https://github.com/florylsk/SignatureGate

#technique

Terminator
Reproducing Spyboy technique to terminate all EDR/XDR/AVs processes

https://github.com/ZeroMemoryEx/Terminator

#ParsedReport #CompletenessHigh
07-06-2023

RomCom Resurfaces: Targeting Politicians in Ukraine and U.S.-Based Healthcare Providing Aid to Refugees from Ukraine

https://blogs.blackberry.com/en/2023/06/romcom-resurfaces-targeting-ukraine

Report completeness: High

Threats:
Romcom_rat
Supply_chain_technique
Teamviewer_tool
Logmein_tool
Typosquatting_technique

Victims:
Ukrainian politicians, us-based healthcare company

Industry:
Government, Foodtech, Healthcare, Media

Geo:
Russian, Ukrainian, Russia, Ukraine

TTPs:
Tactics: 9
Technics: 25

IOCs:
Domain: 3
Hash: 14
File: 13
Path: 3
IP: 5
Url: 2
Email: 1

Softs:
winscp

Algorithms:
sha256

Platforms:
x64, apple

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, chart: 1, code: 2, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RomCom - это активный троян удаленного доступа (RAT), нацеленный на частных лиц и организации в Украине и тех, кто оказывает помощь Украине, использующий вредоносные дропперы и фишинговые атаки для маскировки. Он собирает основные метаданные и отправляет их на свой командно-контрольный сервер. Важно знать об угрозе, исходящей от RomCom, и тактике защиты от таких атак.
-----

Угрожающий агент RomCom активно атаковал отдельных лиц и организации в Украине, а также тех в США, кто оказывает помощь бегущим из Украины. В середине марта 2023 года BlackBerry заметила увеличение телеметрии, связанной с отслеживанием оператора, стоящего за трояном удаленного доступа (RAT) RomCom. Считается, что первоначальным вектором заражения была целевая фишинговая атака с использованием клонированного веб-сайта, на котором размещалась вредоносная версия легитимного программного обеспечения. Вредоносный файл Installer.RemoteDesktopManager.2022.3.35.0.exe был размещен на обнаруженном клонированном/поддельном сайте.

Вредоносный дроппер содержал устаревший установщик для легитимной программы, чтобы еще больше замаскировать свои цели. Основным вредоносным бинарным файлом RomCom является файл %netid4050320587.dll0 %. В число загружаемых файлов также входят: prxyms4050320587.dll, update.conf и procsys.dll. Netid3231462335.dll - это основная полезная нагрузка RomCom RAT, prxyms1500330613.dll - файл RomCom Loader, procsys.dll - кража браузера, а update.conf - небольшой вспомогательный файл конфигурации для RomCom.

RomCom собирает основные метаданные хоста и пользователя, которые затем отправляет на свой командно-контрольный (C2) сервер startleague . net для регистрации. Если первоначальные запросы не могут быть обработаны, вместо этого он попытается подключиться через ICMP-запросы. Жертвы, ставшие объектами атак RomCom, в основном находились в Украине и включали представителей военной промышленности и здравоохранения.

В начале мая 2023 года через Twitter была выявлена потенциальная C2-инфраструктура RomCom. Проанализировав отмеченные IoC, команда BlackBerry Threat Research and Intelligence подтвердила, что образцы в цепочке атак действительно содержали полезную нагрузку RomCom. Этот образец маскировался под WinSCP, но не содержал самой полезной нагрузки RomCom. Вместо этого он попытался обратиться к отмеченным IoC'ам, чтобы загрузить и выполнить себя.

RomCom является постоянной угрозой, по крайней мере, с середины 2022 года, и объект угрозы, похоже, активно интересуется тем, что делают западные страны для поддержки Украины. Медицинские записи, хранящиеся в электронном виде, особенно уязвимы и могут быть использованы в будущих военных сценариях. Вторая часть исследования будет посвящена поведенческой инженерии обнаружения, охватывающей операции RomCom. Очень важно знать о потенциальной угрозе, исходящей от таких злоумышленников, как RomCom, и помнить о применяемых ими методах защиты от таких атак.

#ParsedReport #CompletenessMedium
08-06-2023

Unmasking the Darkrace Ransomware Gang

https://blog.cyble.com/2023/06/08/unmasking-the-darkrace-ransomware-gang

Report completeness: Medium

Threats:
Darkrace
Lockbit

Industry:
Financial, Ics

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 13
Command: 3
IP: 1
Path: 1
Hash: 3

Softs:
msexchange

Algorithms:
sha1, aes, exhibit, sha256

Functions:
WoW64DisableWow64FsRedirection

Win API:
AllocateAndInitializeSid, CheckTokenMembership, GetProcAddress, WinExec, SHEmptyRecycleBinA, GetLogicalDriveStringsW, GetDriveTypeW

Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Darkrace ransomware - это новая угроза, направленная на операционные системы Windows и использующая стратегию двойного вымогательства для максимального воздействия на жертву.-----

Ransomware продолжает оставаться одной из самых серьезных угроз кибербезопасности для организаций. Недавно Cyble Research and Intelligence Labs (CRIL) обнаружила новую программу-вымогатель под названием Darkrace, которая имеет сходство с Lockbit Ransomware. Darkrace нацелен на операционные системы Windows и представляет собой 32-разрядное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицируемое по хэш-значению SHA256.

Darkrace ransomware использует мьютекс, который предотвращает повторное заражение жертвы, и включает белый список файлов и расширений файлов, которые будут исключены из процесса шифрования. Он проверяет, принадлежит ли токен имперсонации текущего потока группе Administrators, затем удаляет теневые копии зараженной системы, генерирует случайное расширение файла .1352FF327 и сбрасывает файл иконки. Он создает запись в реестре, удаляет данные из корзины и останавливает несколько служб, связанных с базами данных, резервным копированием и критическими функциями системы. Она создает пакетный файл, выполняющий команды ping и taskkill, шифрует файлы с помощью алгоритма шифрования AES и выдает записку с контактными данными для начала переговоров с группой ransomware. Программа-вымогатель также очищает журналы событий, завершает собственные запущенные процессы, удаляет свой исполняемый файл и инициирует перезагрузку системы.

Darkrace ransomware имеет много общих черт с печально известным LockBit ransomware и нацелена на предприятия, применяя двойной подход для максимального использования своих возможностей. Помимо шифрования файлов жертвы, злоумышленники применяют стратегию двойного вымогательства: выманивают конфиденциальные данные и используют угрозу их публикации на своем сайте утечки onion для принуждения к выплате выкупа. Анализ показывает, что Darkrace демонстрирует высокий уровень целенаправленности, что позволяет предположить, что злоумышленники могут заранее знать свои цели.

#ParsedReport #CompletenessMedium
08-06-2023

Lazarus attack group exploiting vulnerabilities in domestic financial security solutions

https://asec.ahnlab.com/ko/53832

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Watering_hole_technique
Kisa
Lazardoor
Trojan/win.agent
Lazarloader

Industry:
Financial

Geo:
Korea

IOCs:
File: 8
Path: 1
IP: 1
Hash: 10
Url: 9

Algorithms:
sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что группа атак Lazarus использует уязвимости в INISAFE CrossWeb EX и MagicLine4NX, а также в программах VestCert и TCO!Stream для осуществления своих атак. Организациям рекомендуется установить патч на последнюю версию этих программ для предотвращения атак, а для уязвимых версий программного обеспечения рекомендуется ручное удаление и переустановка.
-----

Группа атак Lazarus использует уязвимости INISAFE CrossWeb EX и MagicLine4NX для своих атак. Организациям, использующим эти программы, рекомендуется установить патч на последнюю версию для предотвращения атак. Злоумышленники используют метод "водяной скважины" для первоначального проникновения в систему, а затем используют уязвимость выполнения сторонних библиотек в программе VestCert для выполнения PowerShell, который подключается к серверу C2, загружает и выполняет вредоносный код.

Злоумышленники также используют уязвимость в TCO!Stream для распространения вредоносного ПО с исходной системы-жертвы на внутренние системы. Клиент всегда прослушивает порт TCP 3511 для связи с сервером. Злоумышленник создает командный пакет, который загружает и выполняет определенный файл с сервера с помощью самодельного вредоносного ПО и отправляет его клиенту. Клиент, получивший эту команду, обращается к серверу TCO!Stream, скачивает и выполняет подготовленный злоумышленником вредоносный файл. Вредоносный код, созданный злоумышленником, выполняется с помощью структуры командной строки.

Компания ASEC проанализировала уязвимости VestCert и TCO!Stream, которые эксплуатировались Lazarus, и сообщила об этом в KISA, в настоящее время уязвимости устранены. Однако во многих местах все еще используются уязвимые версии программного обеспечения, поэтому рекомендуется переустановить его после ручного удаления.