#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация APT-C-55 (Kimsuky) использует CHM-файлы, замаскированные под "поздравления с днем рождения", для доставки вредоносной программы Quasar RAT с целью получения доступа к информации пользователя. Вредоносный CHM-файл выступает в качестве начальной полезной нагрузки, которая затем загружает полезную нагрузку следующего этапа с удаленного C2-сервера и загружает Quasar RAT в пространство процесса CasPol.exe.
-----

Организация APT-C-55 (Kimsuky) - это группа угроз, действующая с 2013 года. Их атаки в основном направлены на Южную Корею с целью кражи конфиденциальной информации и других данных. Недавно эта группа была обнаружена при использовании CHM-файлов, замаскированных под "поздравления с днем рождения", для доставки вредоносного ПО Quasar RAT с целью получения доступа к информации пользователя.

Quasar RAT - это троянец удаленного доступа с открытым исходным кодом, написанный на .NET и предназначенный для операционных систем Windows. Он обладает такими мощными функциями, как удаленный доступ к рабочему столу, управление файлами и системами, подслушивание, восстановление пароля и удаленные команды Shell. Вредоносный CHM-файл выступает в качестве начальной полезной нагрузки в этой атаке. После его выполнения запускается вредоносный скрипт, который встраивает Base64-кодированный PowerShell-сценарий в VBS-файл. VBS-файл отвечает за загрузку следующего этапа полезной нагрузки с удаленного C2-сервера. Этот этап отвечает за распаковку сценария PowerShell и загрузку Quasar RAT в пространство процесса CasPol.exe. После загрузки RAT сможет получить информацию о пользователе.

#ParsedReport #CompletenessLow
07-06-2023

Progress MOVEit Transfer Vulnerability Being Actively Exploited

https://blog.qualys.com/vulnerabilities-threat-research/2023/06/07/progress-moveit-transfer-vulnerability-being-actively-exploited

Report completeness: Low

Threats:
Lemurloot
Clop

Industry:
Government, Healthcare

CVEs:
CVE-2023-34363 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-34362 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix


IOCs:
File: 2
Hash: 26

Softs:
moveit

Algorithms:
sha256, gzip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организациям, использующим продукт Progress MOVEit Transfer, рекомендуется как можно скорее устранить критическую уязвимость (CVE-2023-34362), поскольку она активно эксплуатируется бандой cl0p ransomware. Qualys Threat Research Unit и VMDR выпустили ресурсы по обнаружению уязвимых активов и поиску действий после эксплуатации, соответственно.
-----

CVE-2023-34362 - это уязвимость SQL Injection в продукте Progress MOVEit Transfer, которая затрагивает все версии до 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) и 2023.0.1 (15.0.1). Эта уязвимость позволяет неаутентифицированному удаленному злоумышленнику собрать информацию из базы данных бэкенда, включая хранящийся в ней контент. Затем злоумышленники могут сбросить веб-оболочку LEMURLOOT, которая дает им доступ к выполнению множества действий, таких как извлечение системных настроек Azure, запрос конфиденциальных данных, создание пользователей, выполнение команд или загрузка файлов с объекта.

Банда cl0p ransomware активно использует эту уязвимость и утверждает, что она поразила сотни организаций. Они предлагают выкуп за похищенные данные или их бесплатное удаление для определенных групп, таких как правительственные, городские или полицейские организации, больницы, детские дома, дома престарелых или благотворительные фонды. Если выкуп не будет выплачен в течение 3 дней, злоумышленники угрожают обнародовать всю информацию.

Организациям, использующим это программное обеспечение, рекомендуется как можно скорее исправить эту критическую уязвимость. Qualys Threat Research Unit выпустила QID 378543, с помощью которого клиенты могут сканировать свои устройства для обнаружения уязвимых активов. VMDR также позволяет проактивно отслеживать эти угрозы с помощью прямой трансляции, предоставляемой для определения приоритетов угроз. В средах, которые подозревают, что они могли быть скомпрометированы, можно отслеживать действия после эксплойта путем поиска хэшей и имен файлов, указанных в документе IOC, предоставленном консультантом по безопасности MOVEit.

#ParsedReport #CompletenessMedium
08-06-2023

Stealth Soldier Backdoor Used in Targeted Espionage Attacks in North Africa. Key findings

https://research.checkpoint.com/2023/stealth-soldier-backdoor-used-in-targeted-espionage-attacks-in-north-africa

Report completeness: Medium

Threats:
Hyperssl
Backdoor.win32.stealthsoldier.a
Backdoor.win32.stealthsoldier.b
Powerplus
Webadmin_tool

Victims:
Libyan and egyptian targets

Industry:
Government

Geo:
Libyan, Egyptian, Africa, Libya

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1112, T1032, T1036, T1204, T1071, T1078, T1083, T1082, T1053, have more...

IOCs:
File: 18
Command: 1
Domain: 7
IP: 6
Path: 2
Url: 1
Hash: 14

Softs:
telegram, outlook, android

Algorithms:
gzip, xor

Win API:
CreateThread

Links:
https://github.com/moonD4rk/HackBrowserData

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Check Point Research обнаружила многоступенчатый бэкдор под названием "Stealth Soldier", нацеленный на организации в Северной Африке, который, вероятно, был доставлен с помощью социальной инженерии и активно поддерживается. Вредоносная программа собирает данные, получает команды от C&C и выполняет модули, а домены C&C маскируются под сайты, принадлежащие Министерству иностранных дел Ливии. Она может иметь дополнительные необнаруженные компоненты, связанные с более ранней кампанией Eye-On-The-Nile.
-----

Check Point Research выявила продолжающуюся операцию шпионажа против целей в Северной Африке с использованием ранее нераскрытого многоступенчатого бэкдора под названием Stealth Soldier. Командно-контрольная (C&C) сеть вредоносного ПО является частью более крупной инфраструктуры, используемой, по крайней мере, частично для проведения spear-phishing кампаний против правительственных организаций. Доставка вредоносной программы, вероятно, осуществлялась с помощью социальной инженерии, поскольку имена файлов были на арабском языке: Important and urgent.exe (Important and Urgent.exe) и cable401.exe (Telegram 401.exe).

Основными компонентами цепочки заражения вредоносной программы являются загрузчик, сторожевой таймер и полезная нагрузка. Загрузчик загружает дополнительный модуль PowerPlus для обеспечения стойкости. Watchdog проверяет наличие обновлений и запускает Loader, а Payload собирает данные, получает команды от C&C и выполняет модули. Были обнаружены различные версии вредоносной программы, что говорит о том, что Stealth Soldier активно поддерживается. Различные версии поддерживают такие функции наблюдения, как эксфильтрация файлов, запись экрана и микрофона, регистрация нажатий клавиш, кража информации из браузера и многое другое.

Анализ доменов C&C показывает, что некоторые из них маскируются под сайты, принадлежащие Министерству иностранных дел Ливии. Кроме того, исторические разрешения PDNS показывают, что домены C&C обращаются к IP-адресам в одной и той же ASN в диапазоне IP-адресов 185.125.230.0/24. Активно охотясь за вредоносной активностью в этой ASN, мы смогли найти ограниченный набор доменов, которые, вероятно, использовались для выдачи себя за Министерство иностранных дел Ливии при попытке фишинга. Эти домены включают mail /notify /verify /web /log /live , что позволяет предположить, что они были предназначены для использования в фишинговой кампании.

Наш анализ также выявил некоторые совпадения в инфраструктуре, используемой в этой операции, с другой кампанией Eye-On-The-Nile, направленной на цели в регионе Северной Африки. Эта связь повышает вероятность того, что текущая операция может иметь дополнительные необнаруженные компоненты, такие как мобильный бэкдор, который использовался в предыдущей кампании, но с тех пор не был замечен.

#ParsedReport #CompletenessLow
09-06-2023

ASEC Weekly Phishing Email Threat Trend (20230528 to 20230603)

https://asec.ahnlab.com/ko/53947

Report completeness: Low

Threats:
Agent_tesla
Formbook
Avemaria_rat

Industry:
Transport, Financial, Energy

Geo:
Korea, Korean

TTPs:

IOCs:
File: 52
Url: 14

Algorithms:
zip

#ParsedReport #CompletenessLow
09-06-2023

Beware of distributing malicious code disguised as a security update installer

https://asec.ahnlab.com/ko/54041

Report completeness: Low

Threats:
Dropper/win.fakegovuki

Industry:
Government

IOCs:
File: 1
Hash: 1
Domain: 1

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, code: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) раскрыли атаку, проведенную хакерской группой, которая использовала вредоносный код, замаскированный под программу установки обновлений безопасности.
-----

AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) недавно раскрыли атаку, проведенную хакерской группой, которая поддерживается определенным правительством. Используемый вредоносный код был замаскирован под программу установки обновлений безопасности и создан с помощью программы Inno Setup. Содержимое файла сценария содержало информацию об установке, которая была записана в Programs and Features, и файл вредоносного кода был создан в системном пути 'C:\ProgramData'. Этот вредоносный код был зарегистрирован в программе запуска в области реестра, чтобы он мог оставаться в системе и работать. Он был разработан для кражи системной информации и передачи ее на C&C-сервер злоумышленника, а также выполнения различных команд по удаленной команде злоумышленника.

После установки вредоносного кода он начинал работать в системе и собирать системную информацию, такую как имя пользователя компьютера, IP-адрес, версия операционной системы и так далее. Собранная системная информация затем отправлялась на C&C-сервер злоумышленника. Оттуда злоумышленник мог удаленно контролировать взломанную систему и выполнять такие команды, как загрузка и выполнение дополнительных полезных нагрузок, обновление существующего вредоносного ПО или изменение конфигурации системы.

Эта атака показывает, насколько сложным может быть вредоносное ПО, и подчеркивает важность обеспечения безопасности системы. Чтобы предотвратить этот тип атак, пользователи должны всегда остерегаться подозрительных электронных писем или загрузок и не переходить по ссылкам и вложениям из неизвестных источников. Кроме того, организациям следует внедрить комплексное решение по кибербезопасности, которое включает в себя усовершенствованную защиту от угроз и постоянный мониторинг систем.

AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) раскрыли атаку, проведенную хакерской группой, поддерживаемой определенным правительством. Вредоносный код был замаскирован под программу установки обновлений безопасности и создан с помощью программы Inno Setup. Он был разработан для кражи системной информации, такой как имя пользователя компьютера, IP-адрес, версия операционной системы, и отправки ее на C&C-сервер злоумышленников. Оттуда злоумышленник мог удаленно контролировать взломанную систему и выполнять такие команды, как загрузка и выполнение дополнительных полезных нагрузок, обновление существующих вредоносных программ или изменение конфигурации системы.

#ParsedReport #CompletenessMedium
09-06-2023

Over 45 thousand Users Fell Victim to Malicious PyPI Packages

https://blog.cyble.com/2023/06/09/over-45-thousand-users-fell-victim-to-malicious-pypi-packages

Report completeness: Medium

Threats:
Kekw
W4sp
Hyperion_tool
Creal_stealer
Hazardtoken_grabber
Beacon
Supply_chain_technique

Victims:
Python users

TTPs:
Tactics: 8
Technics: 14

IOCs:
Url: 1
File: 5
Hash: 161

Softs:
google chrome, discord

Algorithms:
sha1, sha256

Languages:
python

Links:
https://github.com/codeuk/evil-pip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL выявил всплеск вредоносных пакетов Python и обнаружил множество вредоносных пакетов, использующих похитители информации, такие как W4SP Stealer, Creal Stealer, TIKCOCK GRABBER и Hazard Token Grabber. Эти вредоносные пакеты представляют значительный риск для предприятий и пользователей, поскольку они могут быть замаскированы под библиотеки или модули легитимного программного обеспечения, но содержать скрытый вредоносный код или бэкдоры. Важно сохранять бдительность при загрузке и установке пакетов Python.
-----

Администраторы PyPI недавно, 20 мая, опубликовали отчет об инциденте, временно приостановив регистрацию новых пользователей и имен проектов в связи с чрезмерным ростом числа вредоносных пользователей и проектов, созданных в индексе PyPI за последнюю неделю. Cyble Research and Intelligence Labs (CRIL) отслеживала вредоносные пакеты python и сообщила об инфопрограмме InfoStealer, получившей название KEKW. Было обнаружено более 160 вредоносных пакетов python с общим числом загрузок более 45 000. Противники использовали пакеты с неправильным написанием, а также была выявлена новая техника обфускации W4SP Stealer.

Расследование, проведенное CRIL, показало, что угрожающие лица загружают пакеты Python с неправильным написанием, специально предназначенные для пользователей Python. Примером может служить вредоносный пакет под названием reaquests, который имитирует легитимный и широко используемый пакет Python под названием requests. Это представляет значительную опасность для пользователей, особенно если несколько угроз используют эту технику, что приведет к заражению множества ничего не подозревающих пользователей.

При анализе вредоносного пакета было обнаружено, что он предназначен для заражения жертв с помощью Infostealer, который специально нацелен на пользователей веб-браузера Google Chrome и извлекает их учетные данные для входа в систему. Похищенная информация затем передается с помощью Discord Webhook. Было зарегистрировано 1355 загрузок для серии пакетов, использующих идентичный загрузчик, который работает путем получения удаленного сценария с указанного URL и запуска его через интерпретатор Python.

CRIL выявил несколько вредоносных пакетов, распространяющих Creal Stealer - программу для кражи информации с открытым исходным кодом, которая активно используется субъектами угроз. TIKCOCK GRABBER - еще одна вредоносная программа для кражи информации, которая нацелена на извлечение конфиденциальной информации из систем жертв, в частности, на браузер Google Chrome для кражи учетных данных и данных кредитных карт. Hazard Token Grabber также является вредоносной программой для кражи информации, доступной в виде проекта с открытым исходным кодом, что стало популярным выбором среди угроз.

Наконец, было обнаружено, что вредоносный Python-пакет поставляет обфусцированный python-крадун, а именно крадун W4SP. В CRIL была замечена новая техника обфускации, которая, по-видимому, используется для облегчения заражения пользователей. Кроме того, было обнаружено, что пакет под названием Sintaxiscodigo-0.0.0-py3-none-any отвечает за распространение EvilPIP, вредоносного модуля PyPI с открытым исходным кодом. До удаления этот модуль успел загрузить более 4000 пользователей.

Вредоносные пакеты Python представляют значительный риск для предприятий, поскольку эти пакеты могут быть замаскированы под легитимные программные библиотеки или модули, но содержать скрытый вредоносный код или бэкдоры. Наличие легкодоступного кода для похитителей информации на таких платформах, как GitHub, позволило многим угрожающим субъектам использовать этот конкретный вид вредоносного ПО в своих кампаниях. Такие приемы, как использование намеренно неправильно написанных имен пакетов, еще больше облегчают пользователям неосознанную установку вредоносных пакетов, подвергая их риску заражения вредоносным ПО. Поэтому важно сохранять бдительность при загрузке и установке пакетов Python.

#ParsedReport #CompletenessLow
09-06-2023

ASEC Weekly Malware Statistics (May 29th, 2023 June 4th, 2023)

https://asec.ahnlab.com/en/53824

Report completeness: Low

Threats:
Agent_tesla
Amadey
Smokeloader
Lockbit
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
Domain: 3
Email: 5
File: 14
Url: 32

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport #CompletenessLow
09-06-2023

Core Werewolf against the defense industry and critical infrastructure

https://bi.zone/expertise/blog/core-werewolf-protiv-opk-i-kriticheskoy-infrastruktury

Report completeness: Low

Actors/Campaigns:
Core_werewolf (motivation: cyber_criminal, cyber_espionage)

Industry:
Government

Geo:
Ukraine, Russian, Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Command: 3
Domain: 44

Softs:
microsoft word, windows task scheduler, task scheduler

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Core Werewolf - это киберпреступная группа, которая использует фишинговые электронные письма для получения доступа к целевым системам, используя легитимное программное обеспечение и документы для маскировки своей вредоносной деятельности. Несмотря на использование легитимного программного обеспечения, у защитников все еще есть возможности для обнаружения вредоносной деятельности.
-----

Core Werewolf - это киберпреступная группа, занимающаяся активным шпионажем, направленным в первую очередь на российские организации, связанные с военно-промышленным комплексом (ВПК) и критической информационной инфраструктурой (КИИ). Группа использует фишинговые письма для проникновения в целевые системы, а затем использует программу удаленного доступа UltraVNC для получения контроля над системой. Вредоносные файлы маскируются под документы Microsoft Word или PDF, но на самом деле это самораспаковывающиеся архивы. В качестве фишинговых документов злоумышленники используют легитимные документы, связанные с правительственными постановлениями или запросами. Они также используют русские имена и электронную почту, зарегистрированные на популярных российских сервисах, для регистрации доменных имен для своей деятельности. Они также арендуют серверы, расположенные в России, чтобы обойти черные списки.

Злоумышленники пытаются обеспечить себе постоянный доступ к взломанным устройствам путем создания задач в планировщике Windows, копирования файлов и запуска исполняемых файлов. Это позволяет им получить полный контроль над устройством, включая копирование и загрузку файлов, а также отслеживание действий пользователя.

Использование злоумышленниками легитимного программного обеспечения является растущей тенденцией в сфере угроз, поэтому все более важным становится внедрение проактивных мер по обнаружению угроз. Несмотря на использование легитимного программного обеспечения, процесс компрометации целевого устройства по-прежнему предоставляет защитникам ряд возможностей для обнаружения вредоносной активности. Важно знать о методах, используемых злоумышленниками, и принимать проактивные меры для защиты от них.

Огромнейшее спасибо каналу https://t.me/RalfHackerChannel за то, что нас заметил.

Здорово, что удалось сделать инструмент для сообщества, который реально «наносит пользу» 😊 Это очень воодушевляет! Будем и дальше развивать наш парсер TI-отчетов.

#ParsedReport #CompletenessMedium
12-06-2023

Tsunami DDoS Malware Distributing Targeting Linux SSH Servers

https://asec.ahnlab.com/ko/54076

Report completeness: Medium

Actors/Campaigns:
Kono_dio_da

Threats:
Tsunami_botnet
Shellbot
Xmrig_miner
Chinaz
Kaiten
Mirai
Bashlite
Rshell
Synflood_technique
Ackflood_technique
Flooder
Udpflood_technique
Portscan_tool
Httpflood_technique

Victims:
Linux ssh servers

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1078, T1064, T1090, T1083, T1098, T1036, T1075, T1085, T1053, T1063, have more...

IOCs:
IP: 2
Domain: 7
File: 1
Coin: 1
Hash: 12

Softs:
docker, hadoop

Crypto:
monero

Functions:
setuid, setgid

Languages:
perl