#ParsedReport #CompletenessLow
07-06-2023

ASEC Weekly Malware Statistics (May 22nd, 2023 May 28th, 2023)

https://asec.ahnlab.com/en/53647

Report completeness: Low

Threats:
Amadey
Smokeloader
Lockbit
Agent_tesla
Formbook
Clipboard_grabbing_technique
Lokibot_stealer
Snake_keylogger

IOCs:
Url: 21
Domain: 3
Email: 4
File: 13

Softs:
telegram, discord

#ParsedReport #CompletenessLow
07-06-2023

MOVEit Transfer Exploited to Drop File-Stealing SQL Shell

https://www.sentinelone.com/blog/moveit-transfer-exploited-to-drop-file-stealing-sql-shell

Report completeness: Low

Actors/Campaigns:
Bianlian
Karakurt

Threats:
Clop
Icefire

Victims:
Organizations in the aviation, transportation & logistics, entertainment, financial services & insurance, healthcare, pharmaceuticals & biotechnology, managed information technology service providers (msp), managed security service providers (mssp), manufacturing & building materials, mechanical engineering, print & digital media, technology, utilities & public services sectors

Industry:
Logistic, Transport, Healthcare, Financial, Entertainment, Aerospace

CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1218.006, T1059.003, T1003.001, T1057.001, T1036.003, T1002.005, T1041, T1071.001

IOCs:
File: 7
Hash: 10

Softs:
moveit, ” and (tg, goanywhere

Algorithms:
gzip, sha1

Links:
https://github.com/SentineLabs/MOVEit-IIS-Log-Scanner

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Компания SentinelOne обнаружила активное использование уязвимости в серверном приложении передачи файлов MOVEit, отслеживаемой как CVE-2023-34362, группой Cl0p ransomware. Эта атака предоставляет полезную нагрузку Microsoft IIS .aspx, которая обеспечивает ограниченное взаимодействие между пораженным веб-сервером и подключенным хранилищем блобов Azure. Компания SentinelOne заметила тенденцию к финансово мотивированным атакам на уязвимые приложения для передачи файлов, осуществляемым этим агентом, и предоставляет технические подробности, запросы и сценарий PowerShell, чтобы помочь организациям защитить себя.
-----

Компания SentinelOne обнаружила нештатную эксплуатацию уязвимости в приложении сервера передачи файлов MOVEit, отслеживаемой как CVE-2023-34362.

Злоумышленники могут обнаружить уязвимые системы с помощью сканирования портов или служб интернет-индексации, таких как Shodan.

Эта атака предоставляет полезную нагрузку Microsoft IIS .aspx, которая обеспечивает ограниченное взаимодействие между пораженным веб-сервером и подключенным хранилищем блобов Azure.

Ответственность за атаку взяла на себя группа Cl0p ransomware 5 июня, и она была замечена против более чем 20 организаций в различных секторах.

SentinelOne предоставляет технические подробности цепочки атак вместе с охотничьими запросами и сценарием PowerShell, который можно использовать для сканирования на предмет потенциальной эксплуатации.

Наблюдается более широкая тенденция финансово мотивированных атак на веб-серверы, на которых установлено уязвимое программное обеспечение для передачи файлов, включая атаки на программное обеспечение Aspera Faspex и приложение GoAnywhere для управляемой передачи файлов (MFT).

#ParsedReport #CompletenessMedium
07-06-2023

ASEC weekly malware statistics (20230529 \~ 20230604)

https://asec.ahnlab.com/ko/53706

Report completeness: Medium

Actors/Campaigns:
Ta505

Threats:
Agent_tesla
Azorult
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Transport, Financial

Geo:
Korea

IOCs:
Domain: 3
Email: 5
File: 14
Url: 32

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

SharpPanda APT's Attack Chain Targeting G20 Nations

https://threatmon.io/wp-content/uploads/2023/06/Threat_Analysis_SharpPanda_APTs_Attack_Chain_Targeting_G20_Nations-1.pdf

#technique
SignatureGate
Weaponized version of HellsGate, bypassing AV/EDR/EPPs by abusing opt-in-fix CVE-2013-3900.

https://github.com/florylsk/SignatureGate

#technique

Terminator
Reproducing Spyboy technique to terminate all EDR/XDR/AVs processes

https://github.com/ZeroMemoryEx/Terminator

#ParsedReport #CompletenessHigh
07-06-2023

RomCom Resurfaces: Targeting Politicians in Ukraine and U.S.-Based Healthcare Providing Aid to Refugees from Ukraine

https://blogs.blackberry.com/en/2023/06/romcom-resurfaces-targeting-ukraine

Report completeness: High

Threats:
Romcom_rat
Supply_chain_technique
Teamviewer_tool
Logmein_tool
Typosquatting_technique

Victims:
Ukrainian politicians, us-based healthcare company

Industry:
Government, Foodtech, Healthcare, Media

Geo:
Russian, Ukrainian, Russia, Ukraine

TTPs:
Tactics: 9
Technics: 25

IOCs:
Domain: 3
Hash: 14
File: 13
Path: 3
IP: 5
Url: 2
Email: 1

Softs:
winscp

Algorithms:
sha256

Platforms:
x64, apple

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, chart: 1, code: 2, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RomCom - это активный троян удаленного доступа (RAT), нацеленный на частных лиц и организации в Украине и тех, кто оказывает помощь Украине, использующий вредоносные дропперы и фишинговые атаки для маскировки. Он собирает основные метаданные и отправляет их на свой командно-контрольный сервер. Важно знать об угрозе, исходящей от RomCom, и тактике защиты от таких атак.
-----

Угрожающий агент RomCom активно атаковал отдельных лиц и организации в Украине, а также тех в США, кто оказывает помощь бегущим из Украины. В середине марта 2023 года BlackBerry заметила увеличение телеметрии, связанной с отслеживанием оператора, стоящего за трояном удаленного доступа (RAT) RomCom. Считается, что первоначальным вектором заражения была целевая фишинговая атака с использованием клонированного веб-сайта, на котором размещалась вредоносная версия легитимного программного обеспечения. Вредоносный файл Installer.RemoteDesktopManager.2022.3.35.0.exe был размещен на обнаруженном клонированном/поддельном сайте.

Вредоносный дроппер содержал устаревший установщик для легитимной программы, чтобы еще больше замаскировать свои цели. Основным вредоносным бинарным файлом RomCom является файл %netid4050320587.dll0 %. В число загружаемых файлов также входят: prxyms4050320587.dll, update.conf и procsys.dll. Netid3231462335.dll - это основная полезная нагрузка RomCom RAT, prxyms1500330613.dll - файл RomCom Loader, procsys.dll - кража браузера, а update.conf - небольшой вспомогательный файл конфигурации для RomCom.

RomCom собирает основные метаданные хоста и пользователя, которые затем отправляет на свой командно-контрольный (C2) сервер startleague . net для регистрации. Если первоначальные запросы не могут быть обработаны, вместо этого он попытается подключиться через ICMP-запросы. Жертвы, ставшие объектами атак RomCom, в основном находились в Украине и включали представителей военной промышленности и здравоохранения.

В начале мая 2023 года через Twitter была выявлена потенциальная C2-инфраструктура RomCom. Проанализировав отмеченные IoC, команда BlackBerry Threat Research and Intelligence подтвердила, что образцы в цепочке атак действительно содержали полезную нагрузку RomCom. Этот образец маскировался под WinSCP, но не содержал самой полезной нагрузки RomCom. Вместо этого он попытался обратиться к отмеченным IoC'ам, чтобы загрузить и выполнить себя.

RomCom является постоянной угрозой, по крайней мере, с середины 2022 года, и объект угрозы, похоже, активно интересуется тем, что делают западные страны для поддержки Украины. Медицинские записи, хранящиеся в электронном виде, особенно уязвимы и могут быть использованы в будущих военных сценариях. Вторая часть исследования будет посвящена поведенческой инженерии обнаружения, охватывающей операции RomCom. Очень важно знать о потенциальной угрозе, исходящей от таких злоумышленников, как RomCom, и помнить о применяемых ими методах защиты от таких атак.

#ParsedReport #CompletenessMedium
08-06-2023

Unmasking the Darkrace Ransomware Gang

https://blog.cyble.com/2023/06/08/unmasking-the-darkrace-ransomware-gang

Report completeness: Medium

Threats:
Darkrace
Lockbit

Industry:
Financial, Ics

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 13
Command: 3
IP: 1
Path: 1
Hash: 3

Softs:
msexchange

Algorithms:
sha1, aes, exhibit, sha256

Functions:
WoW64DisableWow64FsRedirection

Win API:
AllocateAndInitializeSid, CheckTokenMembership, GetProcAddress, WinExec, SHEmptyRecycleBinA, GetLogicalDriveStringsW, GetDriveTypeW

Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Darkrace ransomware - это новая угроза, направленная на операционные системы Windows и использующая стратегию двойного вымогательства для максимального воздействия на жертву.-----

Ransomware продолжает оставаться одной из самых серьезных угроз кибербезопасности для организаций. Недавно Cyble Research and Intelligence Labs (CRIL) обнаружила новую программу-вымогатель под названием Darkrace, которая имеет сходство с Lockbit Ransomware. Darkrace нацелен на операционные системы Windows и представляет собой 32-разрядное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицируемое по хэш-значению SHA256.

Darkrace ransomware использует мьютекс, который предотвращает повторное заражение жертвы, и включает белый список файлов и расширений файлов, которые будут исключены из процесса шифрования. Он проверяет, принадлежит ли токен имперсонации текущего потока группе Administrators, затем удаляет теневые копии зараженной системы, генерирует случайное расширение файла .1352FF327 и сбрасывает файл иконки. Он создает запись в реестре, удаляет данные из корзины и останавливает несколько служб, связанных с базами данных, резервным копированием и критическими функциями системы. Она создает пакетный файл, выполняющий команды ping и taskkill, шифрует файлы с помощью алгоритма шифрования AES и выдает записку с контактными данными для начала переговоров с группой ransomware. Программа-вымогатель также очищает журналы событий, завершает собственные запущенные процессы, удаляет свой исполняемый файл и инициирует перезагрузку системы.

Darkrace ransomware имеет много общих черт с печально известным LockBit ransomware и нацелена на предприятия, применяя двойной подход для максимального использования своих возможностей. Помимо шифрования файлов жертвы, злоумышленники применяют стратегию двойного вымогательства: выманивают конфиденциальные данные и используют угрозу их публикации на своем сайте утечки onion для принуждения к выплате выкупа. Анализ показывает, что Darkrace демонстрирует высокий уровень целенаправленности, что позволяет предположить, что злоумышленники могут заранее знать свои цели.

#ParsedReport #CompletenessMedium
08-06-2023

Lazarus attack group exploiting vulnerabilities in domestic financial security solutions

https://asec.ahnlab.com/ko/53832

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Watering_hole_technique
Kisa
Lazardoor
Trojan/win.agent
Lazarloader

Industry:
Financial

Geo:
Korea

IOCs:
File: 8
Path: 1
IP: 1
Hash: 10
Url: 9

Algorithms:
sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что группа атак Lazarus использует уязвимости в INISAFE CrossWeb EX и MagicLine4NX, а также в программах VestCert и TCO!Stream для осуществления своих атак. Организациям рекомендуется установить патч на последнюю версию этих программ для предотвращения атак, а для уязвимых версий программного обеспечения рекомендуется ручное удаление и переустановка.
-----

Группа атак Lazarus использует уязвимости INISAFE CrossWeb EX и MagicLine4NX для своих атак. Организациям, использующим эти программы, рекомендуется установить патч на последнюю версию для предотвращения атак. Злоумышленники используют метод "водяной скважины" для первоначального проникновения в систему, а затем используют уязвимость выполнения сторонних библиотек в программе VestCert для выполнения PowerShell, который подключается к серверу C2, загружает и выполняет вредоносный код.

Злоумышленники также используют уязвимость в TCO!Stream для распространения вредоносного ПО с исходной системы-жертвы на внутренние системы. Клиент всегда прослушивает порт TCP 3511 для связи с сервером. Злоумышленник создает командный пакет, который загружает и выполняет определенный файл с сервера с помощью самодельного вредоносного ПО и отправляет его клиенту. Клиент, получивший эту команду, обращается к серверу TCO!Stream, скачивает и выполняет подготовленный злоумышленником вредоносный файл. Вредоносный код, созданный злоумышленником, выполняется с помощью структуры командной строки.

Компания ASEC проанализировала уязвимости VestCert и TCO!Stream, которые эксплуатировались Lazarus, и сообщила об этом в KISA, в настоящее время уязвимости устранены. Однако во многих местах все еще используются уязвимые версии программного обеспечения, поэтому рекомендуется переустановить его после ручного удаления.

#ParsedReport #CompletenessLow
08-06-2023

Facebook clickbait leads to money scam for users

https://www.malwarebytes.com/blog/threat-intelligence/2023/06/thousands-of-malicious-google-cloud-run-instances-deployed-to-scam-facebook-users

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Facebook users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1102, T1497, T1189, T1490

IOCs:
Domain: 10
IP: 4

Links:
https://github.com/MBThreatIntel/TSS/blob/master/cloudrun.txt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют посты-приманки в Facebook для отправки жертв на мошеннические страницы, размещенные на бессерверной платформе Google, используя методы маскировки для обмана онлайн-платформ и средств безопасности. Чтобы оставаться в безопасности, пользователям следует проявлять бдительность при переходе по ссылкам из социальных сетей и использовать Malwarebytes Browser Guard для защиты от вредоносного кода.
-----

Социальные сети стали неотъемлемой частью нашей жизни, позволяя нам поддерживать связь с семьей и друзьями и даже открывать для себя новые источники развлечений. К сожалению, это также делает их мишенью для злоумышленников. В одной из недавних кампаний киберпреступники используют посты-приманки в Facebook, чтобы направить жертв на мошеннические страницы, размещенные в инфраструктуре Google. Это необычный подход, поскольку мошенничества с технической поддержкой никогда ранее не размещались на бессерверной платформе Google.

Мошенники использовали методы маскировки, чтобы обмануть онлайн-платформы и средства безопасности. При посещении этих URL-адресов с помощью VPN или из-за пределов страны, на которую направлена атака, будет показано то, что выглядит как типичный новостной сайт - одно и то же содержание с разными доменными именами. Но если реальный человек нажмет на сообщение Facebook, он получит перенаправление 302. Это инструкция на стороне сервера, которая позволит беспрепятственно загрузить другой сайт.

Google предлагает бесплатные кредиты и два миллиона запросов в месяц, что делает его недорогой платформой для мошенников. Чтобы избежать обнаружения, мошенники устанавливают запланированную задачу, которая создает новый URL-адрес Cloud Run каждые пять минут. Этот новый URL затем присваивается маскировочному домену для вредоносного перенаправления.

#ParsedReport #CompletenessHigh
08-06-2023

Asylum Ambuscade: crimeware or cyberespionage?

https://www.welivesecurity.com/2023/06/08/asylum-ambuscade-crimeware-or-cyberespionage

Report completeness: High

Actors/Campaigns:
Asylum_ambuscade (motivation: cyber_espionage)
Gamaredon (motivation: cyber_espionage)

Threats:
Cobalt_strike
Sunseed
Follina_vuln
Ahkbot
Qakbot
Nodebot
Junk_code_technique
Vmprotect_tool
Beacon
Nltest_tool
Hiddenvnc_tool
Hvnc_tool
Rhadamanthys
Autohk
Screenshotter
Ghostnet

Victims:
Smbs and individuals in north america and europe, governments in central asia and europe

Industry:
Financial, Government

Geo:
America, Ukraine, Africa, Asia, Canadian, Armenia, Ukrainian

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...

TTPs:
Tactics: 10
Technics: 24

IOCs:
File: 6
Url: 1
Path: 5
Command: 1
Hash: 31
IP: 88
Domain: 2

Softs:
autohotkey, node.js, active directory, google chrome, hrome is, hrome in, internet explorer

Algorithms:
sha1, gzip, base64, xor

Win API:
CryptUnprotectData, CreateThread, CreateRemoteThread RtlCreateUserThread, NtMapViewOfSection

Win Services:
InfoPath

Languages:
javascript, visual_basic, python, lua

Links:
https://github.com/Sentinel-One/CobaltStrikeParser

#ParsedReport #ExtractedSchema

Classified images:
code: 9, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Asylum Ambuscade - это киберпреступная группа, действующая с 2020 года и нацеленная на правительства, частных лиц и малые и средние предприятия в Европе и Северной Америке. Они используют цепочку компрометации для нападения на своих жертв и, как было установлено, проводят операции по кибершпионажу. С января 2022 года по всему миру было насчитано более 4 500 жертв.
-----

Asylum Ambuscade - киберпреступная группа, действующая как минимум с 2020 года и нацеленная на правительственные организации в Европе и Центральной Азии, а также на частных лиц и малые и средние предприятия в Северной Америке и Европе. В марте 2022 года исследователи из компании Proofpoint разоблачили группу в том, что она атаковала сотрудников европейских государственных учреждений, участвующих в оказании помощи украинским беженцам. Похоже, что группа также проводила некоторые кибершпионские кампании на стороне.

Группа использует цепочку компрометации своих жертв, начиная с письма с рассылкой, содержащего вредоносное вложение в виде таблицы Excel, в котором содержится код VBA для загрузки MSI-пакета с удаленного сервера и установки SunSeed, загрузчика на основе Lua. В июне 2022 года группа перешла на использование уязвимости Follina вместо кода VBA. Вредоносное письмо содержит написанный на украинском языке документ-обманку о предупреждении безопасности, касающемся атаки Gamaredon в Украине. Если машина считается интересной, злоумышленники запускают следующий этап: AHKBOT. Это загрузчик на базе AutoHotkey, который может быть расширен плагинами, написанными на AutoHotkey, чтобы шпионить за машиной жертвы. В марте 2023 года группа разработала аналог AHKBOT на Node.js под названием NODEBOT.

Целью этой группы является кража конфиденциальной информации и учетных данных веб-почты с официальных правительственных порталов веб-почты, а также криптовалюты у трейдеров. Для этого она использует вредоносные Google Ads, Traffic Direction System (TDS), Tcl, VBS и другие языки сценариев. Чтобы заманить людей нажать на вредоносные файлы, злоумышленники используют такие имена файлов, как Document_12_dec-1532825.js, TeamViewer_Setup.js или AnyDeskInstall.js. Эти скрипты обфусцированы с помощью имен случайных переменных и нежелательного кода, чтобы обойти обнаружение.

С января 2022 года по всему миру было насчитано более 4 500 жертв Asylum Ambuscade. Довольно необычно застать киберпреступную группу, проводящую целенаправленные операции кибершпионажа, поэтому исследователям следует внимательно следить за деятельностью Asylum Ambuscade.

#ParsedReport #CompletenessLow
08-06-2023

Malware Being Distributed Disguised as a Job Application Letter

https://asec.ahnlab.com/en/53744

Report completeness: Low

Threats:
Dropper/win.agent.c5433106
Dropper/win.agent.c5433107
Trojan/win32.agent.c174738

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1129, T1190, T1140, T1497, T1083

IOCs:
File: 18
Url: 5
Path: 3
Registry: 1
Domain: 1
Hash: 4

Functions:
InternetShortcut

Win Services:
AvastSvc, Mcshield

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что вредоносная часть программного обеспечения, замаскированная под письмо о приеме на работу, распространяется через вредоносные URL-адреса и может выполнять такие вредоносные действия, как кража информации и настройка параметров Интернета, захват скриншотов, управление службами и проверка данных интернет-куки. Пользователям рекомендуется проявлять осторожность при работе с письмами-соискателями.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил вредоносную программу, замаскированную под письмо о приеме на работу, которое распространяется через вредоносные URL-адреса. URL-адреса оформлены так, что напоминают корейский сайт по поиску работы, поэтому пользователям трудно распознать, что они поддельные. Вредоносный файл, загружаемый с этих URL, имеет расширение файла экранной заставки (.scr) и иконку документа HWP, а при его выполнении данные сжатого файла сохраняются во внутреннем RCDATA. Затем этому файлу присваивается имя "six random characters.zip", а соответствующий ему исполняемый файл "six random characters.exe" запускается через файл ярлыка.

Этот исполняемый файл загружает файл "cmcs21.dll", который создается одновременно, и выполняет экспортную функцию "CMGetCommandString". Затем загруженный файл "cmcs21.dll" регистрирует запись в реестре, чтобы обеспечить непрерывный запуск вредоносного файла. Затем он считывает и декодирует файл "yga.txt" и вводит данные в рекурсивно выполняемый процесс "wechatweb.exe". В результате вредоносное поведение, такое как кража информации, может выполняться в соответствии с командами угрожающего агента. Кроме того, эта вредоносная программа может настраивать параметры Интернета, делать скриншоты, управлять службами и проверять данные интернет-куки.

Вредоносный файл также создает в той же папке файл с именем "six random characters.Kinf", в котором хранятся закодированные данные кейлоггинга. Кроме того, вредоносная программа проверяет наличие различных антивирусных процессов, включая процесс с названием продукта AhnLab (V3Lite.exe). В связи с этим пользователям рекомендуется проявлять осторожность при работе с письмами о приеме на работу, поскольку они могут содержать вредоносное программное обеспечение.