#ParsedReport #CompletenessLow
09-06-2023

ASEC Weekly Phishing Email Threat Trend (20230528 to 20230603)

https://asec.ahnlab.com/ko/53947

Report completeness: Low

Threats:
Agent_tesla
Formbook
Avemaria_rat

Industry:
Transport, Financial, Energy

Geo:
Korea, Korean

TTPs:

IOCs:
File: 52
Url: 14

Algorithms:
zip

#ParsedReport #CompletenessLow
09-06-2023

Beware of distributing malicious code disguised as a security update installer

https://asec.ahnlab.com/ko/54041

Report completeness: Low

Threats:
Dropper/win.fakegovuki

Industry:
Government

IOCs:
File: 1
Hash: 1
Domain: 1

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, code: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) раскрыли атаку, проведенную хакерской группой, которая использовала вредоносный код, замаскированный под программу установки обновлений безопасности.
-----

AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) недавно раскрыли атаку, проведенную хакерской группой, которая поддерживается определенным правительством. Используемый вредоносный код был замаскирован под программу установки обновлений безопасности и создан с помощью программы Inno Setup. Содержимое файла сценария содержало информацию об установке, которая была записана в Programs and Features, и файл вредоносного кода был создан в системном пути 'C:\ProgramData'. Этот вредоносный код был зарегистрирован в программе запуска в области реестра, чтобы он мог оставаться в системе и работать. Он был разработан для кражи системной информации и передачи ее на C&C-сервер злоумышленника, а также выполнения различных команд по удаленной команде злоумышленника.

После установки вредоносного кода он начинал работать в системе и собирать системную информацию, такую как имя пользователя компьютера, IP-адрес, версия операционной системы и так далее. Собранная системная информация затем отправлялась на C&C-сервер злоумышленника. Оттуда злоумышленник мог удаленно контролировать взломанную систему и выполнять такие команды, как загрузка и выполнение дополнительных полезных нагрузок, обновление существующего вредоносного ПО или изменение конфигурации системы.

Эта атака показывает, насколько сложным может быть вредоносное ПО, и подчеркивает важность обеспечения безопасности системы. Чтобы предотвратить этот тип атак, пользователи должны всегда остерегаться подозрительных электронных писем или загрузок и не переходить по ссылкам и вложениям из неизвестных источников. Кроме того, организациям следует внедрить комплексное решение по кибербезопасности, которое включает в себя усовершенствованную защиту от угроз и постоянный мониторинг систем.

AhnLab и Объединенный аналитический совет Национального центра кибербезопасности (NCSC) раскрыли атаку, проведенную хакерской группой, поддерживаемой определенным правительством. Вредоносный код был замаскирован под программу установки обновлений безопасности и создан с помощью программы Inno Setup. Он был разработан для кражи системной информации, такой как имя пользователя компьютера, IP-адрес, версия операционной системы, и отправки ее на C&C-сервер злоумышленников. Оттуда злоумышленник мог удаленно контролировать взломанную систему и выполнять такие команды, как загрузка и выполнение дополнительных полезных нагрузок, обновление существующих вредоносных программ или изменение конфигурации системы.

#ParsedReport #CompletenessMedium
09-06-2023

Over 45 thousand Users Fell Victim to Malicious PyPI Packages

https://blog.cyble.com/2023/06/09/over-45-thousand-users-fell-victim-to-malicious-pypi-packages

Report completeness: Medium

Threats:
Kekw
W4sp
Hyperion_tool
Creal_stealer
Hazardtoken_grabber
Beacon
Supply_chain_technique

Victims:
Python users

TTPs:
Tactics: 8
Technics: 14

IOCs:
Url: 1
File: 5
Hash: 161

Softs:
google chrome, discord

Algorithms:
sha1, sha256

Languages:
python

Links:
https://github.com/codeuk/evil-pip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL выявил всплеск вредоносных пакетов Python и обнаружил множество вредоносных пакетов, использующих похитители информации, такие как W4SP Stealer, Creal Stealer, TIKCOCK GRABBER и Hazard Token Grabber. Эти вредоносные пакеты представляют значительный риск для предприятий и пользователей, поскольку они могут быть замаскированы под библиотеки или модули легитимного программного обеспечения, но содержать скрытый вредоносный код или бэкдоры. Важно сохранять бдительность при загрузке и установке пакетов Python.
-----

Администраторы PyPI недавно, 20 мая, опубликовали отчет об инциденте, временно приостановив регистрацию новых пользователей и имен проектов в связи с чрезмерным ростом числа вредоносных пользователей и проектов, созданных в индексе PyPI за последнюю неделю. Cyble Research and Intelligence Labs (CRIL) отслеживала вредоносные пакеты python и сообщила об инфопрограмме InfoStealer, получившей название KEKW. Было обнаружено более 160 вредоносных пакетов python с общим числом загрузок более 45 000. Противники использовали пакеты с неправильным написанием, а также была выявлена новая техника обфускации W4SP Stealer.

Расследование, проведенное CRIL, показало, что угрожающие лица загружают пакеты Python с неправильным написанием, специально предназначенные для пользователей Python. Примером может служить вредоносный пакет под названием reaquests, который имитирует легитимный и широко используемый пакет Python под названием requests. Это представляет значительную опасность для пользователей, особенно если несколько угроз используют эту технику, что приведет к заражению множества ничего не подозревающих пользователей.

При анализе вредоносного пакета было обнаружено, что он предназначен для заражения жертв с помощью Infostealer, который специально нацелен на пользователей веб-браузера Google Chrome и извлекает их учетные данные для входа в систему. Похищенная информация затем передается с помощью Discord Webhook. Было зарегистрировано 1355 загрузок для серии пакетов, использующих идентичный загрузчик, который работает путем получения удаленного сценария с указанного URL и запуска его через интерпретатор Python.

CRIL выявил несколько вредоносных пакетов, распространяющих Creal Stealer - программу для кражи информации с открытым исходным кодом, которая активно используется субъектами угроз. TIKCOCK GRABBER - еще одна вредоносная программа для кражи информации, которая нацелена на извлечение конфиденциальной информации из систем жертв, в частности, на браузер Google Chrome для кражи учетных данных и данных кредитных карт. Hazard Token Grabber также является вредоносной программой для кражи информации, доступной в виде проекта с открытым исходным кодом, что стало популярным выбором среди угроз.

Наконец, было обнаружено, что вредоносный Python-пакет поставляет обфусцированный python-крадун, а именно крадун W4SP. В CRIL была замечена новая техника обфускации, которая, по-видимому, используется для облегчения заражения пользователей. Кроме того, было обнаружено, что пакет под названием Sintaxiscodigo-0.0.0-py3-none-any отвечает за распространение EvilPIP, вредоносного модуля PyPI с открытым исходным кодом. До удаления этот модуль успел загрузить более 4000 пользователей.

Вредоносные пакеты Python представляют значительный риск для предприятий, поскольку эти пакеты могут быть замаскированы под легитимные программные библиотеки или модули, но содержать скрытый вредоносный код или бэкдоры. Наличие легкодоступного кода для похитителей информации на таких платформах, как GitHub, позволило многим угрожающим субъектам использовать этот конкретный вид вредоносного ПО в своих кампаниях. Такие приемы, как использование намеренно неправильно написанных имен пакетов, еще больше облегчают пользователям неосознанную установку вредоносных пакетов, подвергая их риску заражения вредоносным ПО. Поэтому важно сохранять бдительность при загрузке и установке пакетов Python.

#ParsedReport #CompletenessLow
09-06-2023

ASEC Weekly Malware Statistics (May 29th, 2023 June 4th, 2023)

https://asec.ahnlab.com/en/53824

Report completeness: Low

Threats:
Agent_tesla
Amadey
Smokeloader
Lockbit
Formbook
Clipboard_grabbing_technique
Cloudeye
Remcos_rat
Nanocore_rat

Industry:
Financial

IOCs:
Domain: 3
Email: 5
File: 14
Url: 32

Softs:
telegram, nsis installer, discord

Languages:
visual_basic

#ParsedReport #CompletenessLow
09-06-2023

Core Werewolf against the defense industry and critical infrastructure

https://bi.zone/expertise/blog/core-werewolf-protiv-opk-i-kriticheskoy-infrastruktury

Report completeness: Low

Actors/Campaigns:
Core_werewolf (motivation: cyber_criminal, cyber_espionage)

Industry:
Government

Geo:
Ukraine, Russian, Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Command: 3
Domain: 44

Softs:
microsoft word, windows task scheduler, task scheduler

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Core Werewolf - это киберпреступная группа, которая использует фишинговые электронные письма для получения доступа к целевым системам, используя легитимное программное обеспечение и документы для маскировки своей вредоносной деятельности. Несмотря на использование легитимного программного обеспечения, у защитников все еще есть возможности для обнаружения вредоносной деятельности.
-----

Core Werewolf - это киберпреступная группа, занимающаяся активным шпионажем, направленным в первую очередь на российские организации, связанные с военно-промышленным комплексом (ВПК) и критической информационной инфраструктурой (КИИ). Группа использует фишинговые письма для проникновения в целевые системы, а затем использует программу удаленного доступа UltraVNC для получения контроля над системой. Вредоносные файлы маскируются под документы Microsoft Word или PDF, но на самом деле это самораспаковывающиеся архивы. В качестве фишинговых документов злоумышленники используют легитимные документы, связанные с правительственными постановлениями или запросами. Они также используют русские имена и электронную почту, зарегистрированные на популярных российских сервисах, для регистрации доменных имен для своей деятельности. Они также арендуют серверы, расположенные в России, чтобы обойти черные списки.

Злоумышленники пытаются обеспечить себе постоянный доступ к взломанным устройствам путем создания задач в планировщике Windows, копирования файлов и запуска исполняемых файлов. Это позволяет им получить полный контроль над устройством, включая копирование и загрузку файлов, а также отслеживание действий пользователя.

Использование злоумышленниками легитимного программного обеспечения является растущей тенденцией в сфере угроз, поэтому все более важным становится внедрение проактивных мер по обнаружению угроз. Несмотря на использование легитимного программного обеспечения, процесс компрометации целевого устройства по-прежнему предоставляет защитникам ряд возможностей для обнаружения вредоносной активности. Важно знать о методах, используемых злоумышленниками, и принимать проактивные меры для защиты от них.

Огромнейшее спасибо каналу https://t.me/RalfHackerChannel за то, что нас заметил.

Здорово, что удалось сделать инструмент для сообщества, который реально «наносит пользу» 😊 Это очень воодушевляет! Будем и дальше развивать наш парсер TI-отчетов.

#ParsedReport #CompletenessMedium
12-06-2023

Tsunami DDoS Malware Distributing Targeting Linux SSH Servers

https://asec.ahnlab.com/ko/54076

Report completeness: Medium

Actors/Campaigns:
Kono_dio_da

Threats:
Tsunami_botnet
Shellbot
Xmrig_miner
Chinaz
Kaiten
Mirai
Bashlite
Rshell
Synflood_technique
Ackflood_technique
Flooder
Udpflood_technique
Portscan_tool
Httpflood_technique

Victims:
Linux ssh servers

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1078, T1064, T1090, T1083, T1098, T1036, T1075, T1085, T1053, T1063, have more...

IOCs:
IP: 2
Domain: 7
File: 1
Coin: 1
Hash: 12

Softs:
docker, hadoop

Crypto:
monero

Functions:
setuid, setgid

Languages:
perl

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации безопасности AhnLab недавно подтвердил атаку, в ходе которой DDoS-бот Tsunami, ShellBot, XMRig Coin Miner и Log Cleaner были установлены на неправильно управляемых SSH-серверах Linux. Злоумышленники используют атаку по словарю для входа в эти системы, а затем выполняют вредоносные команды для загрузки и выполнения различных вредоносных кодов. После входа в систему злоумышленник может контролировать зараженную систему и установить учетную запись SSH backdoor.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) недавно подтвердил факт атаки, в ходе которой был установлен DDoS-бот Tsunami, нацеленный на неправильно управляемые Linux SSH-серверы. Злоумышленники установили не только бота Tsunami, но и различные вредоносные коды, такие как ShellBot, XMRig Coin Miner и Log Cleaner. Tsunami - это DDoS-бот, также называемый Kaiten, и является одним из вредоносных программ, которые постоянно распространяются наряду с Mirai и Gafgyt, как правило, нацеленных на уязвимые IoT-устройства.

Злоумышленники могут войти в эти системы с помощью словарной атаки через простые формы учетной информации, такие как идентификаторы и пароли. При этом они могут выполнять вредоносные команды. Войдя в систему, злоумышленники выполняют команды для загрузки и выполнения различных вредоносных кодов. Одним из важных файлов является Bash-скрипт типа downloader, который дополнительно устанавливает вредоносные коды. Этот сценарий позволяет злоумышленнику контролировать зараженную систему и включает возможность установки учетной записи SSH backdoor.

Tsunami - это вредоносная программа DDoS-бот, также называемая Kaiten. Злоумышленники модифицируют исходный код существующих кайтенов для добавления дополнительных функций, а Tsunami, использованный в атаке, является одним из вариантов Kiaten под названием Ziggy. Tsunami использует протокол IRC для связи с сервером C&C. Он поддерживает различные команды DDoS-атак, а также функции для управления зараженной системой, такие как сбор системной информации, выполнение команд и обратный shell. Различные установочные данные, включая адрес C&C-сервера, шифруются и сохраняются.

ShellBot - еще один вредоносный код, устанавливаемый с помощью команды начального выполнения и ключа-загрузчика Bash. ShellBot - это DDoS-бот, разработанный на языке Perl и похожий на Tsunami, он также является IRC-ботом, использующим протокол IRC. ShellBot поддерживает сканирование портов, базовые DDoS-атаки и обратные shell-команды.

Вредоносная программа Log Cleaner - это еще один вредоносный код, установленный злоумышленником. Этот инструмент обладает способностью удалять или изменять определенные журналы, нацеленные на файлы журналов, которые фиксируют действия пользователей или злоумышленников. Предполагается, что злоумышленник установил Log Cleaner с целью помешать последующему анализу инцидента.

Файл ping6 представляет собой вредоносную программу ELF в очень простой форме. Он устанавливает идентификатор пользователя и идентификатор группы для учетной записи root с помощью функций setuid() и setgid(), а затем выполняет командную оболочку.

В дополнение к DDoS-боту также устанавливается вредоносное ПО coin miner. Это вредоносное ПО используется для добычи монет Monero, принадлежащих злоумышленнику, используя ресурсы системы. Даже если эти вредоносные коды будут удалены, злоумышленник может снова войти в систему, используя установленный вместе с учетной записью бэкдор SSH, и выполнить различные вредоносные действия.

#ParsedReport #CompletenessLow
12-06-2023

About PowerHarbor, a new malware used by SteelClover

https://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor

Report completeness: Low

Actors/Campaigns:
Steelclover

Threats:
Powerharbor

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1036, T1082, T1056, T1086, T1140

IOCs:
Registry: 1
IP: 1

Softs:
telegram, winscp

Algorithms:
xor

Functions:
GetBrowsers

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С февраля 2023 года SteelClover проявляет все большую активность, и исследователи безопасности заметили новую вредоносную программу под названием PowerHarbor. PowerHarbor состоит из модулей PowerShell и содержит модули для кражи учетных данных. Он использует RSA-шифрование для передачи и приема данных. Модуль GetBrowsers собирает информацию об установленных браузерах и может быть вовлечен в подготовку к будущим атакам. Важно, чтобы пользователи были осторожны, а исследователи безопасности уделяли пристальное внимание PowerHarbor по мере его развития и эволюции.
-----

Известно, что SteelClover проявили повышенную активность в феврале 2023 года, а с конца мая 2023 года их атакующие операции стали несколько нерегулярными. В ответ на это исследователи безопасности заметили новую вредоносную программу под названием PowerHarbor, состоящую из модулей PowerShell. Было замечено, что PowerHarbor содержит модули для кражи учетных данных, что позволяет злоумышленнику красть учетные данные жертвы из браузеров.

Программа загрузки PowerHarbor получает UUID класса Win32_ComputerSystemProduct и отправляет его на командно-контрольный (C&C) сервер. Все передачи и приемы кодируются с помощью жестко закодированного ключа XOR. После этого выполняется проверка для предотвращения множественных атак на один и тот же UUID. Если он признается целью атаки, загружается и выполняется основной модуль. Основной модуль постоянно связывается с сервером C&C, выполняет и удаляет дополнительные модули, отправленные с сервера C&C. Связь с сервером C&C шифруется с помощью RSA-шифрования с использованием жестко закодированных ключевых данных.

Похищенные данные шифруются с помощью RSA-шифрования с использованием открытого ключа, включенного в модуль StealData, когда они получены и отправлены на C&C сервер. Это означает, что никакие данные не могут быть восстановлены из данных трафика и никто не может знать, что было украдено.

Модуль GetBrowsers собирает информацию об установленных браузерах. Хотя само по себе это нельзя назвать вредоносным поведением, считается, что это делается с целью получения статистики пользователей жертвы и может быть связано с подготовкой к будущим атакам.

Эта статья показала, что SteelClover использует PowerHarbor, новую вредоносную программу, состоящую из модулей. Возможно, будут внедрены и другие модули, поэтому в будущем пользователи должны быть осторожны. Исследователи безопасности должны уделять пристальное внимание PowerHarbor по мере его развития и эволюции.

#ParsedReport #CompletenessLow
12-06-2023

Sneaky DoubleFinger loads GreetingGhoul targeting your cryptocurrency

https://securelist.com/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/109982

Report completeness: Low

Threats:
Doublefinger
Greetingghoul
Dll_sideloading_technique
Steganography_technique
Remcos_rat

Victims:
Mt. gox exchange, victims in europe, usa and latin america

Industry:
Financial

Geo:
Russian, Usa, America

IOCs:
File: 5
Hash: 7
Domain: 1

Softs:
windows com

Crypto:
bitcoin

Functions:
Windows

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы DoubleFinger loader и GreetingGhoul, обладающие высоким уровнем изощренности и сложными техниками, используются для кражи учетных данных, связанных с криптовалютами, что роднит их с передовыми постоянными угрозами (APT). Для защиты от этих угроз следует обратиться к отчетам экспертов в данной области.
-----

Кража криптовалюты не является чем-то новым, и это явление быстро становится все более изощренным. Загрузчик DoubleFinger является одним из примеров многоступенчатой вредоносной программы, используемой для кражи криптовалют. Вначале жертва открывает вредоносное вложение PIF в сообщении электронной почты, после чего выполняется модифицированный двоичный файл espexe.exe. Этот двоичный файл содержит вредоносный шеллкод, который загружает PNG-изображение с сайта Imgur.com. Затем шеллкод ищет магические байты в изображении и находит зашифрованную полезную нагрузку.

Шелл-код второго этапа загружается путем выполнения легитимного двоичного файла Java, расположенного в том же каталоге, что и шелл-код загрузчика второго этапа, который затем расшифровывается и выполняет шелл-код третьего этапа. Этот шеллкод третьего этапа использует низкоуровневые вызовы Windows API для обхода крючков, установленных решениями безопасности, перед расшифровкой и выполнением полезной нагрузки четвертого этапа.

На четвертом этапе создается запланированное задание, которое выполняет кражу GreetingGhoul каждый день в определенное время. Затем он загружает другой PNG-файл, содержащий зашифрованный двоичный файл GreetingGhoul, который затем расшифровывается и выполняется. GreetingGhoul предназначен для кражи учетных данных, связанных с криптовалютами, и состоит из двух основных компонентов, которые работают вместе.

Анализ вредоносных программ DoubleFinger loader и GreetingGhoul показывает высокий уровень сложности и мастерства в разработке криминального ПО, схожий с продвинутыми постоянными угрозами (APT). Использование среды исполнения Microsoft WebView2 для создания поддельных интерфейсов криптовалютных кошельков еще больше подчеркивает сложные методы, используемые вредоносным ПО. Защититься от этих угроз помогут разведывательные отчеты, которые можно получить в частном порядке от экспертов в данной области.

#ParsedReport #CompletenessLow
12-06-2023

Track Kimsuky Bitcoin Address. 1. Announcement of joint security advisory by the US and ROK governments

https://blog-plainbit-co-kr.translate.goog/kimsuky-bitcoin-address-tracking/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Kimsuky
Lazarus

Threats:
Kraken

Industry:
Financial, Government

Geo:
Usa, Ukraine, Korean, China, Korea

IOCs:
Coin: 7

Crypto:
bitcoin, binance