#ParsedReport #ExtractedSchema

Classified images:
code: 9, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Asylum Ambuscade - это киберпреступная группа, действующая с 2020 года и нацеленная на правительства, частных лиц и малые и средние предприятия в Европе и Северной Америке. Они используют цепочку компрометации для нападения на своих жертв и, как было установлено, проводят операции по кибершпионажу. С января 2022 года по всему миру было насчитано более 4 500 жертв.
-----

Asylum Ambuscade - киберпреступная группа, действующая как минимум с 2020 года и нацеленная на правительственные организации в Европе и Центральной Азии, а также на частных лиц и малые и средние предприятия в Северной Америке и Европе. В марте 2022 года исследователи из компании Proofpoint разоблачили группу в том, что она атаковала сотрудников европейских государственных учреждений, участвующих в оказании помощи украинским беженцам. Похоже, что группа также проводила некоторые кибершпионские кампании на стороне.

Группа использует цепочку компрометации своих жертв, начиная с письма с рассылкой, содержащего вредоносное вложение в виде таблицы Excel, в котором содержится код VBA для загрузки MSI-пакета с удаленного сервера и установки SunSeed, загрузчика на основе Lua. В июне 2022 года группа перешла на использование уязвимости Follina вместо кода VBA. Вредоносное письмо содержит написанный на украинском языке документ-обманку о предупреждении безопасности, касающемся атаки Gamaredon в Украине. Если машина считается интересной, злоумышленники запускают следующий этап: AHKBOT. Это загрузчик на базе AutoHotkey, который может быть расширен плагинами, написанными на AutoHotkey, чтобы шпионить за машиной жертвы. В марте 2023 года группа разработала аналог AHKBOT на Node.js под названием NODEBOT.

Целью этой группы является кража конфиденциальной информации и учетных данных веб-почты с официальных правительственных порталов веб-почты, а также криптовалюты у трейдеров. Для этого она использует вредоносные Google Ads, Traffic Direction System (TDS), Tcl, VBS и другие языки сценариев. Чтобы заманить людей нажать на вредоносные файлы, злоумышленники используют такие имена файлов, как Document_12_dec-1532825.js, TeamViewer_Setup.js или AnyDeskInstall.js. Эти скрипты обфусцированы с помощью имен случайных переменных и нежелательного кода, чтобы обойти обнаружение.

С января 2022 года по всему миру было насчитано более 4 500 жертв Asylum Ambuscade. Довольно необычно застать киберпреступную группу, проводящую целенаправленные операции кибершпионажа, поэтому исследователям следует внимательно следить за деятельностью Asylum Ambuscade.

#ParsedReport #CompletenessLow
08-06-2023

Malware Being Distributed Disguised as a Job Application Letter

https://asec.ahnlab.com/en/53744

Report completeness: Low

Threats:
Dropper/win.agent.c5433106
Dropper/win.agent.c5433107
Trojan/win32.agent.c174738

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1129, T1190, T1140, T1497, T1083

IOCs:
File: 18
Url: 5
Path: 3
Registry: 1
Domain: 1
Hash: 4

Functions:
InternetShortcut

Win Services:
AvastSvc, Mcshield

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что вредоносная часть программного обеспечения, замаскированная под письмо о приеме на работу, распространяется через вредоносные URL-адреса и может выполнять такие вредоносные действия, как кража информации и настройка параметров Интернета, захват скриншотов, управление службами и проверка данных интернет-куки. Пользователям рекомендуется проявлять осторожность при работе с письмами-соискателями.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил вредоносную программу, замаскированную под письмо о приеме на работу, которое распространяется через вредоносные URL-адреса. URL-адреса оформлены так, что напоминают корейский сайт по поиску работы, поэтому пользователям трудно распознать, что они поддельные. Вредоносный файл, загружаемый с этих URL, имеет расширение файла экранной заставки (.scr) и иконку документа HWP, а при его выполнении данные сжатого файла сохраняются во внутреннем RCDATA. Затем этому файлу присваивается имя "six random characters.zip", а соответствующий ему исполняемый файл "six random characters.exe" запускается через файл ярлыка.

Этот исполняемый файл загружает файл "cmcs21.dll", который создается одновременно, и выполняет экспортную функцию "CMGetCommandString". Затем загруженный файл "cmcs21.dll" регистрирует запись в реестре, чтобы обеспечить непрерывный запуск вредоносного файла. Затем он считывает и декодирует файл "yga.txt" и вводит данные в рекурсивно выполняемый процесс "wechatweb.exe". В результате вредоносное поведение, такое как кража информации, может выполняться в соответствии с командами угрожающего агента. Кроме того, эта вредоносная программа может настраивать параметры Интернета, делать скриншоты, управлять службами и проверять данные интернет-куки.

Вредоносный файл также создает в той же папке файл с именем "six random characters.Kinf", в котором хранятся закодированные данные кейлоггинга. Кроме того, вредоносная программа проверяет наличие различных антивирусных процессов, включая процесс с названием продукта AhnLab (V3Lite.exe). В связи с этим пользователям рекомендуется проявлять осторожность при работе с письмами о приеме на работу, поскольку они могут содержать вредоносное программное обеспечение.

#ParsedReport #CompletenessLow
08-06-2023

APT-C-55KimsukyQuasar RAT. 1. Attack activity analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492682&idx=1&sn=a8d1e06b180d93021da9023d773941da&chksm=f9c1d743ceb65e558f03c369efc336ae837f0cea080ec40d5bf96b7a092260a21ebb7c4f159a&scene=178&cur_album_id=1955835290309230595

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Quasar_rat
Smokeloader
Babyshark
Carbon

Victims:
South korean think tanks

Geo:
Korean, Russia, Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 12
File: 3
Coin: 1

Algorithms:
quicklz, base64

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
code: 5, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация APT-C-55 (Kimsuky) использует CHM-файлы, замаскированные под "поздравления с днем рождения", для доставки вредоносной программы Quasar RAT с целью получения доступа к информации пользователя. Вредоносный CHM-файл выступает в качестве начальной полезной нагрузки, которая затем загружает полезную нагрузку следующего этапа с удаленного C2-сервера и загружает Quasar RAT в пространство процесса CasPol.exe.
-----

Организация APT-C-55 (Kimsuky) - это группа угроз, действующая с 2013 года. Их атаки в основном направлены на Южную Корею с целью кражи конфиденциальной информации и других данных. Недавно эта группа была обнаружена при использовании CHM-файлов, замаскированных под "поздравления с днем рождения", для доставки вредоносного ПО Quasar RAT с целью получения доступа к информации пользователя.

Quasar RAT - это троянец удаленного доступа с открытым исходным кодом, написанный на .NET и предназначенный для операционных систем Windows. Он обладает такими мощными функциями, как удаленный доступ к рабочему столу, управление файлами и системами, подслушивание, восстановление пароля и удаленные команды Shell. Вредоносный CHM-файл выступает в качестве начальной полезной нагрузки в этой атаке. После его выполнения запускается вредоносный скрипт, который встраивает Base64-кодированный PowerShell-сценарий в VBS-файл. VBS-файл отвечает за загрузку следующего этапа полезной нагрузки с удаленного C2-сервера. Этот этап отвечает за распаковку сценария PowerShell и загрузку Quasar RAT в пространство процесса CasPol.exe. После загрузки RAT сможет получить информацию о пользователе.

#ParsedReport #CompletenessLow
07-06-2023

Progress MOVEit Transfer Vulnerability Being Actively Exploited

https://blog.qualys.com/vulnerabilities-threat-research/2023/06/07/progress-moveit-transfer-vulnerability-being-actively-exploited

Report completeness: Low

Threats:
Lemurloot
Clop

Industry:
Government, Healthcare

CVEs:
CVE-2023-34363 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-34362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix


IOCs:
File: 2
Hash: 26

Softs:
moveit

Algorithms:
sha256, gzip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организациям, использующим продукт Progress MOVEit Transfer, рекомендуется как можно скорее устранить критическую уязвимость (CVE-2023-34362), поскольку она активно эксплуатируется бандой cl0p ransomware. Qualys Threat Research Unit и VMDR выпустили ресурсы по обнаружению уязвимых активов и поиску действий после эксплуатации, соответственно.
-----

CVE-2023-34362 - это уязвимость SQL Injection в продукте Progress MOVEit Transfer, которая затрагивает все версии до 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) и 2023.0.1 (15.0.1). Эта уязвимость позволяет неаутентифицированному удаленному злоумышленнику собрать информацию из базы данных бэкенда, включая хранящийся в ней контент. Затем злоумышленники могут сбросить веб-оболочку LEMURLOOT, которая дает им доступ к выполнению множества действий, таких как извлечение системных настроек Azure, запрос конфиденциальных данных, создание пользователей, выполнение команд или загрузка файлов с объекта.

Банда cl0p ransomware активно использует эту уязвимость и утверждает, что она поразила сотни организаций. Они предлагают выкуп за похищенные данные или их бесплатное удаление для определенных групп, таких как правительственные, городские или полицейские организации, больницы, детские дома, дома престарелых или благотворительные фонды. Если выкуп не будет выплачен в течение 3 дней, злоумышленники угрожают обнародовать всю информацию.

Организациям, использующим это программное обеспечение, рекомендуется как можно скорее исправить эту критическую уязвимость. Qualys Threat Research Unit выпустила QID 378543, с помощью которого клиенты могут сканировать свои устройства для обнаружения уязвимых активов. VMDR также позволяет проактивно отслеживать эти угрозы с помощью прямой трансляции, предоставляемой для определения приоритетов угроз. В средах, которые подозревают, что они могли быть скомпрометированы, можно отслеживать действия после эксплойта путем поиска хэшей и имен файлов, указанных в документе IOC, предоставленном консультантом по безопасности MOVEit.

#ParsedReport #CompletenessMedium
08-06-2023

Stealth Soldier Backdoor Used in Targeted Espionage Attacks in North Africa. Key findings

https://research.checkpoint.com/2023/stealth-soldier-backdoor-used-in-targeted-espionage-attacks-in-north-africa

Report completeness: Medium

Threats:
Hyperssl
Backdoor.win32.stealthsoldier.a
Backdoor.win32.stealthsoldier.b
Powerplus
Webadmin_tool

Victims:
Libyan and egyptian targets

Industry:
Government

Geo:
Libyan, Egyptian, Africa, Libya

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1112, T1032, T1036, T1204, T1071, T1078, T1083, T1082, T1053, have more...

IOCs:
File: 18
Command: 1
Domain: 7
IP: 6
Path: 2
Url: 1
Hash: 14

Softs:
telegram, outlook, android

Algorithms:
gzip, xor

Win API:
CreateThread

Links:
https://github.com/moonD4rk/HackBrowserData

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Check Point Research обнаружила многоступенчатый бэкдор под названием "Stealth Soldier", нацеленный на организации в Северной Африке, который, вероятно, был доставлен с помощью социальной инженерии и активно поддерживается. Вредоносная программа собирает данные, получает команды от C&C и выполняет модули, а домены C&C маскируются под сайты, принадлежащие Министерству иностранных дел Ливии. Она может иметь дополнительные необнаруженные компоненты, связанные с более ранней кампанией Eye-On-The-Nile.
-----

Check Point Research выявила продолжающуюся операцию шпионажа против целей в Северной Африке с использованием ранее нераскрытого многоступенчатого бэкдора под названием Stealth Soldier. Командно-контрольная (C&C) сеть вредоносного ПО является частью более крупной инфраструктуры, используемой, по крайней мере, частично для проведения spear-phishing кампаний против правительственных организаций. Доставка вредоносной программы, вероятно, осуществлялась с помощью социальной инженерии, поскольку имена файлов были на арабском языке: Important and urgent.exe (Important and Urgent.exe) и cable401.exe (Telegram 401.exe).

Основными компонентами цепочки заражения вредоносной программы являются загрузчик, сторожевой таймер и полезная нагрузка. Загрузчик загружает дополнительный модуль PowerPlus для обеспечения стойкости. Watchdog проверяет наличие обновлений и запускает Loader, а Payload собирает данные, получает команды от C&C и выполняет модули. Были обнаружены различные версии вредоносной программы, что говорит о том, что Stealth Soldier активно поддерживается. Различные версии поддерживают такие функции наблюдения, как эксфильтрация файлов, запись экрана и микрофона, регистрация нажатий клавиш, кража информации из браузера и многое другое.

Анализ доменов C&C показывает, что некоторые из них маскируются под сайты, принадлежащие Министерству иностранных дел Ливии. Кроме того, исторические разрешения PDNS показывают, что домены C&C обращаются к IP-адресам в одной и той же ASN в диапазоне IP-адресов 185.125.230.0/24. Активно охотясь за вредоносной активностью в этой ASN, мы смогли найти ограниченный набор доменов, которые, вероятно, использовались для выдачи себя за Министерство иностранных дел Ливии при попытке фишинга. Эти домены включают mail /notify /verify /web /log /live , что позволяет предположить, что они были предназначены для использования в фишинговой кампании.

Наш анализ также выявил некоторые совпадения в инфраструктуре, используемой в этой операции, с другой кампанией Eye-On-The-Nile, направленной на цели в регионе Северной Африки. Эта связь повышает вероятность того, что текущая операция может иметь дополнительные необнаруженные компоненты, такие как мобильный бэкдор, который использовался в предыдущей кампании, но с тех пор не был замечен.

#ParsedReport #CompletenessLow
09-06-2023

ASEC Weekly Phishing Email Threat Trend (20230528 to 20230603)

https://asec.ahnlab.com/ko/53947

Report completeness: Low

Threats:
Agent_tesla
Formbook
Avemaria_rat

Industry:
Transport, Financial, Energy

Geo:
Korea, Korean

TTPs:

IOCs:
File: 52
Url: 14

Algorithms:
zip

#ParsedReport #CompletenessLow
09-06-2023

Beware of distributing malicious code disguised as a security update installer

https://asec.ahnlab.com/ko/54041

Report completeness: Low

Threats:
Dropper/win.fakegovuki

Industry:
Government

IOCs:
File: 1
Hash: 1
Domain: 1

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, code: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) раскрыли атаку, проведенную хакерской группой, которая использовала вредоносный код, замаскированный под программу установки обновлений безопасности.
-----

AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) недавно раскрыли атаку, проведенную хакерской группой, которая поддерживается определенным правительством. Используемый вредоносный код был замаскирован под программу установки обновлений безопасности и создан с помощью программы Inno Setup. Содержимое файла сценария содержало информацию об установке, которая была записана в Programs and Features, и файл вредоносного кода был создан в системном пути 'C:\ProgramData'. Этот вредоносный код был зарегистрирован в программе запуска в области реестра, чтобы он мог оставаться в системе и работать. Он был разработан для кражи системной информации и передачи ее на C&C-сервер злоумышленника, а также выполнения различных команд по удаленной команде злоумышленника.

После установки вредоносного кода он начинал работать в системе и собирать системную информацию, такую как имя пользователя компьютера, IP-адрес, версия операционной системы и так далее. Собранная системная информация затем отправлялась на C&C-сервер злоумышленника. Оттуда злоумышленник мог удаленно контролировать взломанную систему и выполнять такие команды, как загрузка и выполнение дополнительных полезных нагрузок, обновление существующего вредоносного ПО или изменение конфигурации системы.

Эта атака показывает, насколько сложным может быть вредоносное ПО, и подчеркивает важность обеспечения безопасности системы. Чтобы предотвратить этот тип атак, пользователи должны всегда остерегаться подозрительных электронных писем или загрузок и не переходить по ссылкам и вложениям из неизвестных источников. Кроме того, организациям следует внедрить комплексное решение по кибербезопасности, которое включает в себя усовершенствованную защиту от угроз и постоянный мониторинг систем.

AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) раскрыли атаку, проведенную хакерской группой, поддерживаемой определенным правительством. Вредоносный код был замаскирован под программу установки обновлений безопасности и создан с помощью программы Inno Setup. Он был разработан для кражи системной информации, такой как имя пользователя компьютера, IP-адрес, версия операционной системы, и отправки ее на C&C-сервер злоумышленников. Оттуда злоумышленник мог удаленно контролировать взломанную систему и выполнять такие команды, как загрузка и выполнение дополнительных полезных нагрузок, обновление существующих вредоносных программ или изменение конфигурации системы.

#ParsedReport #CompletenessMedium
09-06-2023

Over 45 thousand Users Fell Victim to Malicious PyPI Packages

https://blog.cyble.com/2023/06/09/over-45-thousand-users-fell-victim-to-malicious-pypi-packages

Report completeness: Medium

Threats:
Kekw
W4sp
Hyperion_tool
Creal_stealer
Hazardtoken_grabber
Beacon
Supply_chain_technique

Victims:
Python users

TTPs:
Tactics: 8
Technics: 14

IOCs:
Url: 1
File: 5
Hash: 161

Softs:
google chrome, discord

Algorithms:
sha1, sha256

Languages:
python

Links:
https://github.com/codeuk/evil-pip