#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что вредоносная часть программного обеспечения, замаскированная под письмо о приеме на работу, распространяется через вредоносные URL-адреса и может выполнять такие вредоносные действия, как кража информации и настройка параметров Интернета, захват скриншотов, управление службами и проверка данных интернет-куки. Пользователям рекомендуется проявлять осторожность при работе с письмами-соискателями.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил вредоносную программу, замаскированную под письмо о приеме на работу, которое распространяется через вредоносные URL-адреса. URL-адреса оформлены так, что напоминают корейский сайт по поиску работы, поэтому пользователям трудно распознать, что они поддельные. Вредоносный файл, загружаемый с этих URL, имеет расширение файла экранной заставки (.scr) и иконку документа HWP, а при его выполнении данные сжатого файла сохраняются во внутреннем RCDATA. Затем этому файлу присваивается имя "six random characters.zip", а соответствующий ему исполняемый файл "six random characters.exe" запускается через файл ярлыка.

Этот исполняемый файл загружает файл "cmcs21.dll", который создается одновременно, и выполняет экспортную функцию "CMGetCommandString". Затем загруженный файл "cmcs21.dll" регистрирует запись в реестре, чтобы обеспечить непрерывный запуск вредоносного файла. Затем он считывает и декодирует файл "yga.txt" и вводит данные в рекурсивно выполняемый процесс "wechatweb.exe". В результате вредоносное поведение, такое как кража информации, может выполняться в соответствии с командами угрожающего агента. Кроме того, эта вредоносная программа может настраивать параметры Интернета, делать скриншоты, управлять службами и проверять данные интернет-куки.

Вредоносный файл также создает в той же папке файл с именем "six random characters.Kinf", в котором хранятся закодированные данные кейлоггинга. Кроме того, вредоносная программа проверяет наличие различных антивирусных процессов, включая процесс с названием продукта AhnLab (V3Lite.exe). В связи с этим пользователям рекомендуется проявлять осторожность при работе с письмами о приеме на работу, поскольку они могут содержать вредоносное программное обеспечение.

#ParsedReport #CompletenessLow
08-06-2023

APT-C-55KimsukyQuasar RAT. 1. Attack activity analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492682&idx=1&sn=a8d1e06b180d93021da9023d773941da&chksm=f9c1d743ceb65e558f03c369efc336ae837f0cea080ec40d5bf96b7a092260a21ebb7c4f159a&scene=178&cur_album_id=1955835290309230595

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Quasar_rat
Smokeloader
Babyshark
Carbon

Victims:
South korean think tanks

Geo:
Korean, Russia, Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 12
File: 3
Coin: 1

Algorithms:
quicklz, base64

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
code: 5, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация APT-C-55 (Kimsuky) использует CHM-файлы, замаскированные под "поздравления с днем рождения", для доставки вредоносной программы Quasar RAT с целью получения доступа к информации пользователя. Вредоносный CHM-файл выступает в качестве начальной полезной нагрузки, которая затем загружает полезную нагрузку следующего этапа с удаленного C2-сервера и загружает Quasar RAT в пространство процесса CasPol.exe.
-----

Организация APT-C-55 (Kimsuky) - это группа угроз, действующая с 2013 года. Их атаки в основном направлены на Южную Корею с целью кражи конфиденциальной информации и других данных. Недавно эта группа была обнаружена при использовании CHM-файлов, замаскированных под "поздравления с днем рождения", для доставки вредоносного ПО Quasar RAT с целью получения доступа к информации пользователя.

Quasar RAT - это троянец удаленного доступа с открытым исходным кодом, написанный на .NET и предназначенный для операционных систем Windows. Он обладает такими мощными функциями, как удаленный доступ к рабочему столу, управление файлами и системами, подслушивание, восстановление пароля и удаленные команды Shell. Вредоносный CHM-файл выступает в качестве начальной полезной нагрузки в этой атаке. После его выполнения запускается вредоносный скрипт, который встраивает Base64-кодированный PowerShell-сценарий в VBS-файл. VBS-файл отвечает за загрузку следующего этапа полезной нагрузки с удаленного C2-сервера. Этот этап отвечает за распаковку сценария PowerShell и загрузку Quasar RAT в пространство процесса CasPol.exe. После загрузки RAT сможет получить информацию о пользователе.

#ParsedReport #CompletenessLow
07-06-2023

Progress MOVEit Transfer Vulnerability Being Actively Exploited

https://blog.qualys.com/vulnerabilities-threat-research/2023/06/07/progress-moveit-transfer-vulnerability-being-actively-exploited

Report completeness: Low

Threats:
Lemurloot
Clop

Industry:
Government, Healthcare

CVEs:
CVE-2023-34363 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-34362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix


IOCs:
File: 2
Hash: 26

Softs:
moveit

Algorithms:
sha256, gzip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организациям, использующим продукт Progress MOVEit Transfer, рекомендуется как можно скорее устранить критическую уязвимость (CVE-2023-34362), поскольку она активно эксплуатируется бандой cl0p ransomware. Qualys Threat Research Unit и VMDR выпустили ресурсы по обнаружению уязвимых активов и поиску действий после эксплуатации, соответственно.
-----

CVE-2023-34362 - это уязвимость SQL Injection в продукте Progress MOVEit Transfer, которая затрагивает все версии до 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) и 2023.0.1 (15.0.1). Эта уязвимость позволяет неаутентифицированному удаленному злоумышленнику собрать информацию из базы данных бэкенда, включая хранящийся в ней контент. Затем злоумышленники могут сбросить веб-оболочку LEMURLOOT, которая дает им доступ к выполнению множества действий, таких как извлечение системных настроек Azure, запрос конфиденциальных данных, создание пользователей, выполнение команд или загрузка файлов с объекта.

Банда cl0p ransomware активно использует эту уязвимость и утверждает, что она поразила сотни организаций. Они предлагают выкуп за похищенные данные или их бесплатное удаление для определенных групп, таких как правительственные, городские или полицейские организации, больницы, детские дома, дома престарелых или благотворительные фонды. Если выкуп не будет выплачен в течение 3 дней, злоумышленники угрожают обнародовать всю информацию.

Организациям, использующим это программное обеспечение, рекомендуется как можно скорее исправить эту критическую уязвимость. Qualys Threat Research Unit выпустила QID 378543, с помощью которого клиенты могут сканировать свои устройства для обнаружения уязвимых активов. VMDR также позволяет проактивно отслеживать эти угрозы с помощью прямой трансляции, предоставляемой для определения приоритетов угроз. В средах, которые подозревают, что они могли быть скомпрометированы, можно отслеживать действия после эксплойта путем поиска хэшей и имен файлов, указанных в документе IOC, предоставленном консультантом по безопасности MOVEit.

#ParsedReport #CompletenessMedium
08-06-2023

Stealth Soldier Backdoor Used in Targeted Espionage Attacks in North Africa. Key findings

https://research.checkpoint.com/2023/stealth-soldier-backdoor-used-in-targeted-espionage-attacks-in-north-africa

Report completeness: Medium

Threats:
Hyperssl
Backdoor.win32.stealthsoldier.a
Backdoor.win32.stealthsoldier.b
Powerplus
Webadmin_tool

Victims:
Libyan and egyptian targets

Industry:
Government

Geo:
Libyan, Egyptian, Africa, Libya

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1112, T1032, T1036, T1204, T1071, T1078, T1083, T1082, T1053, have more...

IOCs:
File: 18
Command: 1
Domain: 7
IP: 6
Path: 2
Url: 1
Hash: 14

Softs:
telegram, outlook, android

Algorithms:
gzip, xor

Win API:
CreateThread

Links:
https://github.com/moonD4rk/HackBrowserData

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Check Point Research обнаружила многоступенчатый бэкдор под названием "Stealth Soldier", нацеленный на организации в Северной Африке, который, вероятно, был доставлен с помощью социальной инженерии и активно поддерживается. Вредоносная программа собирает данные, получает команды от C&C и выполняет модули, а домены C&C маскируются под сайты, принадлежащие Министерству иностранных дел Ливии. Она может иметь дополнительные необнаруженные компоненты, связанные с более ранней кампанией Eye-On-The-Nile.
-----

Check Point Research выявила продолжающуюся операцию шпионажа против целей в Северной Африке с использованием ранее нераскрытого многоступенчатого бэкдора под названием Stealth Soldier. Командно-контрольная (C&C) сеть вредоносного ПО является частью более крупной инфраструктуры, используемой, по крайней мере, частично для проведения spear-phishing кампаний против правительственных организаций. Доставка вредоносной программы, вероятно, осуществлялась с помощью социальной инженерии, поскольку имена файлов были на арабском языке: Important and urgent.exe (Important and Urgent.exe) и cable401.exe (Telegram 401.exe).

Основными компонентами цепочки заражения вредоносной программы являются загрузчик, сторожевой таймер и полезная нагрузка. Загрузчик загружает дополнительный модуль PowerPlus для обеспечения стойкости. Watchdog проверяет наличие обновлений и запускает Loader, а Payload собирает данные, получает команды от C&C и выполняет модули. Были обнаружены различные версии вредоносной программы, что говорит о том, что Stealth Soldier активно поддерживается. Различные версии поддерживают такие функции наблюдения, как эксфильтрация файлов, запись экрана и микрофона, регистрация нажатий клавиш, кража информации из браузера и многое другое.

Анализ доменов C&C показывает, что некоторые из них маскируются под сайты, принадлежащие Министерству иностранных дел Ливии. Кроме того, исторические разрешения PDNS показывают, что домены C&C обращаются к IP-адресам в одной и той же ASN в диапазоне IP-адресов 185.125.230.0/24. Активно охотясь за вредоносной активностью в этой ASN, мы смогли найти ограниченный набор доменов, которые, вероятно, использовались для выдачи себя за Министерство иностранных дел Ливии при попытке фишинга. Эти домены включают mail /notify /verify /web /log /live , что позволяет предположить, что они были предназначены для использования в фишинговой кампании.

Наш анализ также выявил некоторые совпадения в инфраструктуре, используемой в этой операции, с другой кампанией Eye-On-The-Nile, направленной на цели в регионе Северной Африки. Эта связь повышает вероятность того, что текущая операция может иметь дополнительные необнаруженные компоненты, такие как мобильный бэкдор, который использовался в предыдущей кампании, но с тех пор не был замечен.

#ParsedReport #CompletenessLow
09-06-2023

ASEC Weekly Phishing Email Threat Trend (20230528 to 20230603)

https://asec.ahnlab.com/ko/53947

Report completeness: Low

Threats:
Agent_tesla
Formbook
Avemaria_rat

Industry:
Transport, Financial, Energy

Geo:
Korea, Korean

TTPs:

IOCs:
File: 52
Url: 14

Algorithms:
zip

#ParsedReport #CompletenessLow
09-06-2023

Beware of distributing malicious code disguised as a security update installer

https://asec.ahnlab.com/ko/54041

Report completeness: Low

Threats:
Dropper/win.fakegovuki

Industry:
Government

IOCs:
File: 1
Hash: 1
Domain: 1

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, code: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) раскрыли атаку, проведенную хакерской группой, которая использовала вредоносный код, замаскированный под программу установки обновлений безопасности.
-----

AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) недавно раскрыли атаку, проведенную хакерской группой, которая поддерживается определенным правительством. Используемый вредоносный код был замаскирован под программу установки обновлений безопасности и создан с помощью программы Inno Setup. Содержимое файла сценария содержало информацию об установке, которая была записана в Programs and Features, и файл вредоносного кода был создан в системном пути 'C:\ProgramData'. Этот вредоносный код был зарегистрирован в программе запуска в области реестра, чтобы он мог оставаться в системе и работать. Он был разработан для кражи системной информации и передачи ее на C&C-сервер злоумышленника, а также выполнения различных команд по удаленной команде злоумышленника.

После установки вредоносного кода он начинал работать в системе и собирать системную информацию, такую как имя пользователя компьютера, IP-адрес, версия операционной системы и так далее. Собранная системная информация затем отправлялась на C&C-сервер злоумышленника. Оттуда злоумышленник мог удаленно контролировать взломанную систему и выполнять такие команды, как загрузка и выполнение дополнительных полезных нагрузок, обновление существующего вредоносного ПО или изменение конфигурации системы.

Эта атака показывает, насколько сложным может быть вредоносное ПО, и подчеркивает важность обеспечения безопасности системы. Чтобы предотвратить этот тип атак, пользователи должны всегда остерегаться подозрительных электронных писем или загрузок и не переходить по ссылкам и вложениям из неизвестных источников. Кроме того, организациям следует внедрить комплексное решение по кибербезопасности, которое включает в себя усовершенствованную защиту от угроз и постоянный мониторинг систем.

AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) раскрыли атаку, проведенную хакерской группой, поддерживаемой определенным правительством. Вредоносный код был замаскирован под программу установки обновлений безопасности и создан с помощью программы Inno Setup. Он был разработан для кражи системной информации, такой как имя пользователя компьютера, IP-адрес, версия операционной системы, и отправки ее на C&C-сервер злоумышленников. Оттуда злоумышленник мог удаленно контролировать взломанную систему и выполнять такие команды, как загрузка и выполнение дополнительных полезных нагрузок, обновление существующих вредоносных программ или изменение конфигурации системы.

#ParsedReport #CompletenessMedium
09-06-2023

Over 45 thousand Users Fell Victim to Malicious PyPI Packages

https://blog.cyble.com/2023/06/09/over-45-thousand-users-fell-victim-to-malicious-pypi-packages

Report completeness: Medium

Threats:
Kekw
W4sp
Hyperion_tool
Creal_stealer
Hazardtoken_grabber
Beacon
Supply_chain_technique

Victims:
Python users

TTPs:
Tactics: 8
Technics: 14

IOCs:
Url: 1
File: 5
Hash: 161

Softs:
google chrome, discord

Algorithms:
sha1, sha256

Languages:
python

Links:
https://github.com/codeuk/evil-pip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL выявил всплеск вредоносных пакетов Python и обнаружил множество вредоносных пакетов, использующих похитители информации, такие как W4SP Stealer, Creal Stealer, TIKCOCK GRABBER и Hazard Token Grabber. Эти вредоносные пакеты представляют значительный риск для предприятий и пользователей, поскольку они могут быть замаскированы под библиотеки или модули легитимного программного обеспечения, но содержать скрытый вредоносный код или бэкдоры. Важно сохранять бдительность при загрузке и установке пакетов Python.
-----

Администраторы PyPI недавно, 20 мая, опубликовали отчет об инциденте, временно приостановив регистрацию новых пользователей и имен проектов в связи с чрезмерным ростом числа вредоносных пользователей и проектов, созданных в индексе PyPI за последнюю неделю. Cyble Research and Intelligence Labs (CRIL) отслеживала вредоносные пакеты python и сообщила об инфопрограмме InfoStealer, получившей название KEKW. Было обнаружено более 160 вредоносных пакетов python с общим числом загрузок более 45 000. Противники использовали пакеты с неправильным написанием, а также была выявлена новая техника обфускации W4SP Stealer.

Расследование, проведенное CRIL, показало, что угрожающие лица загружают пакеты Python с неправильным написанием, специально предназначенные для пользователей Python. Примером может служить вредоносный пакет под названием reaquests, который имитирует легитимный и широко используемый пакет Python под названием requests. Это представляет значительную опасность для пользователей, особенно если несколько угроз используют эту технику, что приведет к заражению множества ничего не подозревающих пользователей.

При анализе вредоносного пакета было обнаружено, что он предназначен для заражения жертв с помощью Infostealer, который специально нацелен на пользователей веб-браузера Google Chrome и извлекает их учетные данные для входа в систему. Похищенная информация затем передается с помощью Discord Webhook. Было зарегистрировано 1355 загрузок для серии пакетов, использующих идентичный загрузчик, который работает путем получения удаленного сценария с указанного URL и запуска его через интерпретатор Python.

CRIL выявил несколько вредоносных пакетов, распространяющих Creal Stealer - программу для кражи информации с открытым исходным кодом, которая активно используется субъектами угроз. TIKCOCK GRABBER - еще одна вредоносная программа для кражи информации, которая нацелена на извлечение конфиденциальной информации из систем жертв, в частности, на браузер Google Chrome для кражи учетных данных и данных кредитных карт. Hazard Token Grabber также является вредоносной программой для кражи информации, доступной в виде проекта с открытым исходным кодом, что стало популярным выбором среди угроз.

Наконец, было обнаружено, что вредоносный Python-пакет поставляет обфусцированный python-крадун, а именно крадун W4SP. В CRIL была замечена новая техника обфускации, которая, по-видимому, используется для облегчения заражения пользователей. Кроме того, было обнаружено, что пакет под названием Sintaxiscodigo-0.0.0-py3-none-any отвечает за распространение EvilPIP, вредоносного модуля PyPI с открытым исходным кодом. До удаления этот модуль успел загрузить более 4000 пользователей.

Вредоносные пакеты Python представляют значительный риск для предприятий, поскольку эти пакеты могут быть замаскированы под легитимные программные библиотеки или модули, но содержать скрытый вредоносный код или бэкдоры. Наличие легкодоступного кода для похитителей информации на таких платформах, как GitHub, позволило многим угрожающим субъектам использовать этот конкретный вид вредоносного ПО в своих кампаниях. Такие приемы, как использование намеренно неправильно написанных имен пакетов, еще больше облегчают пользователям неосознанную установку вредоносных пакетов, подвергая их риску заражения вредоносным ПО. Поэтому важно сохранять бдительность при загрузке и установке пакетов Python.

#ParsedReport #CompletenessLow
09-06-2023

ASEC Weekly Malware Statistics (May 29th, 2023 June 4th, 2023)

https://asec.ahnlab.com/en/53824

Report completeness: Low

Threats:
Agent_tesla
Amadey
Smokeloader
Lockbit
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
Domain: 3
Email: 5
File: 14
Url: 32

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport #CompletenessLow
09-06-2023

Core Werewolf against the defense industry and critical infrastructure

https://bi.zone/expertise/blog/core-werewolf-protiv-opk-i-kriticheskoy-infrastruktury

Report completeness: Low

Actors/Campaigns:
Core_werewolf (motivation: cyber_criminal, cyber_espionage)

Industry:
Government

Geo:
Ukraine, Russian, Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Command: 3
Domain: 44

Softs:
microsoft word, windows task scheduler, task scheduler