#ParsedReport #CompletenessLow
09-06-2023

Core Werewolf against the defense industry and critical infrastructure

https://bi.zone/expertise/blog/core-werewolf-protiv-opk-i-kriticheskoy-infrastruktury

Report completeness: Low

Actors/Campaigns:
Core_werewolf (motivation: cyber_criminal, cyber_espionage)

Industry:
Government

Geo:
Ukraine, Russian, Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Command: 3
Domain: 44

Softs:
microsoft word, windows task scheduler, task scheduler

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Core Werewolf - это киберпреступная группа, которая использует фишинговые электронные письма для получения доступа к целевым системам, используя легитимное программное обеспечение и документы для маскировки своей вредоносной деятельности. Несмотря на использование легитимного программного обеспечения, у защитников все еще есть возможности для обнаружения вредоносной деятельности.
-----

Core Werewolf - это киберпреступная группа, занимающаяся активным шпионажем, направленным в первую очередь на российские организации, связанные с военно-промышленным комплексом (ВПК) и критической информационной инфраструктурой (КИИ). Группа использует фишинговые письма для проникновения в целевые системы, а затем использует программу удаленного доступа UltraVNC для получения контроля над системой. Вредоносные файлы маскируются под документы Microsoft Word или PDF, но на самом деле это самораспаковывающиеся архивы. В качестве фишинговых документов злоумышленники используют легитимные документы, связанные с правительственными постановлениями или запросами. Они также используют русские имена и электронную почту, зарегистрированные на популярных российских сервисах, для регистрации доменных имен для своей деятельности. Они также арендуют серверы, расположенные в России, чтобы обойти черные списки.

Злоумышленники пытаются обеспечить себе постоянный доступ к взломанным устройствам путем создания задач в планировщике Windows, копирования файлов и запуска исполняемых файлов. Это позволяет им получить полный контроль над устройством, включая копирование и загрузку файлов, а также отслеживание действий пользователя.

Использование злоумышленниками легитимного программного обеспечения является растущей тенденцией в сфере угроз, поэтому все более важным становится внедрение проактивных мер по обнаружению угроз. Несмотря на использование легитимного программного обеспечения, процесс компрометации целевого устройства по-прежнему предоставляет защитникам ряд возможностей для обнаружения вредоносной активности. Важно знать о методах, используемых злоумышленниками, и принимать проактивные меры для защиты от них.

Огромнейшее спасибо каналу https://t.me/RalfHackerChannel за то, что нас заметил.

Здорово, что удалось сделать инструмент для сообщества, который реально «наносит пользу» 😊 Это очень воодушевляет! Будем и дальше развивать наш парсер TI-отчетов.

#ParsedReport #CompletenessMedium
12-06-2023

Tsunami DDoS Malware Distributing Targeting Linux SSH Servers

https://asec.ahnlab.com/ko/54076

Report completeness: Medium

Actors/Campaigns:
Kono_dio_da

Threats:
Tsunami_botnet
Shellbot
Xmrig_miner
Chinaz
Kaiten
Mirai
Bashlite
Rshell
Synflood_technique
Ackflood_technique
Flooder
Udpflood_technique
Portscan_tool
Httpflood_technique

Victims:
Linux ssh servers

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1078, T1064, T1090, T1083, T1098, T1036, T1075, T1085, T1053, T1063, have more...

IOCs:
IP: 2
Domain: 7
File: 1
Coin: 1
Hash: 12

Softs:
docker, hadoop

Crypto:
monero

Functions:
setuid, setgid

Languages:
perl

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации безопасности AhnLab недавно подтвердил атаку, в ходе которой DDoS-бот Tsunami, ShellBot, XMRig Coin Miner и Log Cleaner были установлены на неправильно управляемых SSH-серверах Linux. Злоумышленники используют атаку по словарю для входа в эти системы, а затем выполняют вредоносные команды для загрузки и выполнения различных вредоносных кодов. После входа в систему злоумышленник может контролировать зараженную систему и установить учетную запись SSH backdoor.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности AhnLab (ASEC) недавно подтвердил факт атаки, в ходе которой был установлен DDoS-бот Tsunami, нацеленный на неправильно управляемые Linux SSH-серверы. Злоумышленники установили не только бота Tsunami, но и различные вредоносные коды, такие как ShellBot, XMRig Coin Miner и Log Cleaner. Tsunami - это DDoS-бот, также называемый Kaiten, и является одним из вредоносных программ, которые постоянно распространяются наряду с Mirai и Gafgyt, как правило, нацеленных на уязвимые IoT-устройства.

Злоумышленники могут войти в эти системы с помощью словарной атаки через простые формы учетной информации, такие как идентификаторы и пароли. При этом они могут выполнять вредоносные команды. Войдя в систему, злоумышленники выполняют команды для загрузки и выполнения различных вредоносных кодов. Одним из важных файлов является Bash-скрипт типа downloader, который дополнительно устанавливает вредоносные коды. Этот сценарий позволяет злоумышленнику контролировать зараженную систему и включает возможность установки учетной записи SSH backdoor.

Tsunami - это вредоносная программа DDoS-бот, также называемая Kaiten. Злоумышленники модифицируют исходный код существующих кайтенов для добавления дополнительных функций, а Tsunami, использованный в атаке, является одним из вариантов Kiaten под названием Ziggy. Tsunami использует протокол IRC для связи с сервером C&C. Он поддерживает различные команды DDoS-атак, а также функции для управления зараженной системой, такие как сбор системной информации, выполнение команд и обратный shell. Различные установочные данные, включая адрес C&C-сервера, шифруются и сохраняются.

ShellBot - еще один вредоносный код, устанавливаемый с помощью команды начального выполнения и ключа-загрузчика Bash. ShellBot - это DDoS-бот, разработанный на языке Perl и похожий на Tsunami, он также является IRC-ботом, использующим протокол IRC. ShellBot поддерживает сканирование портов, базовые DDoS-атаки и обратные shell-команды.

Вредоносная программа Log Cleaner - это еще один вредоносный код, установленный злоумышленником. Этот инструмент обладает способностью удалять или изменять определенные журналы, нацеленные на файлы журналов, которые фиксируют действия пользователей или злоумышленников. Предполагается, что злоумышленник установил Log Cleaner с целью помешать последующему анализу инцидента.

Файл ping6 представляет собой вредоносную программу ELF в очень простой форме. Он устанавливает идентификатор пользователя и идентификатор группы для учетной записи root с помощью функций setuid() и setgid(), а затем выполняет командную оболочку.

В дополнение к DDoS-боту также устанавливается вредоносное ПО coin miner. Это вредоносное ПО используется для добычи монет Monero, принадлежащих злоумышленнику, используя ресурсы системы. Даже если эти вредоносные коды будут удалены, злоумышленник может снова войти в систему, используя установленный вместе с учетной записью бэкдор SSH, и выполнить различные вредоносные действия.

#ParsedReport #CompletenessLow
12-06-2023

About PowerHarbor, a new malware used by SteelClover

https://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor

Report completeness: Low

Actors/Campaigns:
Steelclover

Threats:
Powerharbor

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1036, T1082, T1056, T1086, T1140

IOCs:
Registry: 1
IP: 1

Softs:
telegram, winscp

Algorithms:
xor

Functions:
GetBrowsers

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С февраля 2023 года SteelClover проявляет все большую активность, и исследователи безопасности заметили новую вредоносную программу под названием PowerHarbor. PowerHarbor состоит из модулей PowerShell и содержит модули для кражи учетных данных. Он использует RSA-шифрование для передачи и приема данных. Модуль GetBrowsers собирает информацию об установленных браузерах и может быть вовлечен в подготовку к будущим атакам. Важно, чтобы пользователи были осторожны, а исследователи безопасности уделяли пристальное внимание PowerHarbor по мере его развития и эволюции.
-----

Известно, что SteelClover проявили повышенную активность в феврале 2023 года, а с конца мая 2023 года их атакующие операции стали несколько нерегулярными. В ответ на это исследователи безопасности заметили новую вредоносную программу под названием PowerHarbor, состоящую из модулей PowerShell. Было замечено, что PowerHarbor содержит модули для кражи учетных данных, что позволяет злоумышленнику красть учетные данные жертвы из браузеров.

Программа загрузки PowerHarbor получает UUID класса Win32_ComputerSystemProduct и отправляет его на командно-контрольный (C&C) сервер. Все передачи и приемы кодируются с помощью жестко закодированного ключа XOR. После этого выполняется проверка для предотвращения множественных атак на один и тот же UUID. Если он признается целью атаки, загружается и выполняется основной модуль. Основной модуль постоянно связывается с сервером C&C, выполняет и удаляет дополнительные модули, отправленные с сервера C&C. Связь с сервером C&C шифруется с помощью RSA-шифрования с использованием жестко закодированных ключевых данных.

Похищенные данные шифруются с помощью RSA-шифрования с использованием открытого ключа, включенного в модуль StealData, когда они получены и отправлены на C&C сервер. Это означает, что никакие данные не могут быть восстановлены из данных трафика и никто не может знать, что было украдено.

Модуль GetBrowsers собирает информацию об установленных браузерах. Хотя само по себе это нельзя назвать вредоносным поведением, считается, что это делается с целью получения статистики пользователей жертвы и может быть связано с подготовкой к будущим атакам.

Эта статья показала, что SteelClover использует PowerHarbor, новую вредоносную программу, состоящую из модулей. Возможно, будут внедрены и другие модули, поэтому в будущем пользователи должны быть осторожны. Исследователи безопасности должны уделять пристальное внимание PowerHarbor по мере его развития и эволюции.

#ParsedReport #CompletenessLow
12-06-2023

Sneaky DoubleFinger loads GreetingGhoul targeting your cryptocurrency

https://securelist.com/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/109982

Report completeness: Low

Threats:
Doublefinger
Greetingghoul
Dll_sideloading_technique
Steganography_technique
Remcos_rat

Victims:
Mt. gox exchange, victims in europe, usa and latin america

Industry:
Financial

Geo:
Russian, Usa, America

IOCs:
File: 5
Hash: 7
Domain: 1

Softs:
windows com

Crypto:
bitcoin

Functions:
Windows

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы DoubleFinger loader и GreetingGhoul, обладающие высоким уровнем изощренности и сложными техниками, используются для кражи учетных данных, связанных с криптовалютами, что роднит их с передовыми постоянными угрозами (APT). Для защиты от этих угроз следует обратиться к отчетам экспертов в данной области.
-----

Кража криптовалюты не является чем-то новым, и это явление быстро становится все более изощренным. Загрузчик DoubleFinger является одним из примеров многоступенчатой вредоносной программы, используемой для кражи криптовалют. Вначале жертва открывает вредоносное вложение PIF в сообщении электронной почты, после чего выполняется модифицированный двоичный файл espexe.exe. Этот двоичный файл содержит вредоносный шеллкод, который загружает PNG-изображение с сайта Imgur.com. Затем шеллкод ищет магические байты в изображении и находит зашифрованную полезную нагрузку.

Шелл-код второго этапа загружается путем выполнения легитимного двоичного файла Java, расположенного в том же каталоге, что и шелл-код загрузчика второго этапа, который затем расшифровывается и выполняет шелл-код третьего этапа. Этот шеллкод третьего этапа использует низкоуровневые вызовы Windows API для обхода крючков, установленных решениями безопасности, перед расшифровкой и выполнением полезной нагрузки четвертого этапа.

На четвертом этапе создается запланированное задание, которое выполняет кражу GreetingGhoul каждый день в определенное время. Затем он загружает другой PNG-файл, содержащий зашифрованный двоичный файл GreetingGhoul, который затем расшифровывается и выполняется. GreetingGhoul предназначен для кражи учетных данных, связанных с криптовалютами, и состоит из двух основных компонентов, которые работают вместе.

Анализ вредоносных программ DoubleFinger loader и GreetingGhoul показывает высокий уровень сложности и мастерства в разработке криминального ПО, схожий с продвинутыми постоянными угрозами (APT). Использование среды исполнения Microsoft WebView2 для создания поддельных интерфейсов криптовалютных кошельков еще больше подчеркивает сложные методы, используемые вредоносным ПО. Защититься от этих угроз помогут разведывательные отчеты, которые можно получить в частном порядке от экспертов в данной области.

#ParsedReport #CompletenessLow
12-06-2023

Track Kimsuky Bitcoin Address. 1. Announcement of joint security advisory by the US and ROK governments

https://blog-plainbit-co-kr.translate.goog/kimsuky-bitcoin-address-tracking/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Kimsuky
Lazarus

Threats:
Kraken

Industry:
Financial, Government

Geo:
Usa, Ukraine, Korean, China, Korea

IOCs:
Coin: 7

Crypto:
bitcoin, binance

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, chart: 1, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Правительства США и Южной Кореи выпустили совместный совет по безопасности для группы Kimsuky из-за использования ими Peel Chain для отмывания криптовалюты и их способности использовать преимущества бирж как со свободной, так и со строгой политикой KYC.
-----

Правительства США и Южной Кореи выпустили совместный совет по безопасности для группы Кимсуки, представительной северокорейской хакерской организации, которая похищала информацию и технологии по всему миру. Правительство Южной Кореи назначило Суки Ким первым в мире субъектом независимых санкций против Северной Кореи. Известно, что группа использует Peel Chain для отмывания криптовалюты, что затрудняет ее отслеживание.

Для анализа адреса Bitcoin, принадлежащего группе Kimsuky, было проведено семь входящих транзакций и две исходящие транзакции. Шесть из входящих транзакций были определены как средства, переведенные с Upbit, внутренней биржи. Два адреса, начинающиеся на 3, с разными форматами адресов были определены как адреса платежей, а остальные адреса - как адреса баланса. Средства были отправлены в такие кластеры, как bitzlato, whitebit, paxful, ftx и discus_fish.

Bitzlato - это биржа, расположенная в Гонконге и известная своей нечеткой политикой KYC. Сообщается, что с 2018 по 2022 год она обработала более 700 миллионов долларов США незаконных средств, а в январе 2023 года ее деятельность была пресечена правоохранительными органами, в результате чего сайт был конфискован, а основатели арестованы за ведение нелицензированного бизнеса по переводу денег. Whitebit - это криптовалютная биржа, расположенная в Украине, и известно, что на крупных биржевых платформах применяются достаточные процедуры KYC.

По анализируемому адресу было проведено две исходящие транзакции, одна из которых была транзакцией, в которой средства были отправлены на адрес, идентифицированный как lazarus group. Средства также были отправлены на адреса криптовалютных сервисов, идентифицированных как binance, bitzlato, ice3, totalcoin.io, paxful, whitebit, payeer, freewallet.org, Lbank, coinpayments и т.д., а также на адреса, предположительно являющиеся неидентифицированными кластерами и биржами.

Анализ биткоин-адреса, принадлежащего группе Kimsuky, показывает, как группа предпринимает шаги, чтобы затруднить властям отслеживание своих транзакций. Он также показывает, как группа может воспользоваться биржами с нестрогой политикой KYC, а также биржами с более строгой политикой, чтобы отмывать свои средства. Это помогает объяснить, почему правительства США и Южной Кореи выпустили совместный совет по безопасности для группы Кимсуки, и почему правительство Южной Кореи назначило Суки Ким первым в мире субъектом независимых санкций против Северной Кореи.

#ParsedReport #CompletenessMedium
12-06-2023

Sidecopy

https://mp-weixin-qq-com.translate.goog/s/kiwP2rKfllbRq2Afn8jKWw?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Sidecopy
Sidewinder
Transparenttribe

Threats:
Fetarat

Victims:
Indian government, national defense, and military personnel

Industry:
Government

Geo:
Indian

ChatGPT TTPs:
do not use without manual check
T1193, T1132, T1036, T1090

IOCs:
File: 12
Url: 8
Path: 1
IP: 1
Email: 1

Softs:
wechat, net framework, wordpress

Algorithms:
zip, base64

Win API:
CreateProcess

Languages:
php

SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 15, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Sidecopy - организация, занимающаяся кибер-атаками на персонал, связанный с индийским правительством, национальной обороной и вооруженными силами, в основном использует FetaRAT, новый троян-бэкдор на языке C#. Вредоносные файлы были размещены на сайте индийской переводческой компании под названием ElfinIndia, который был создан с использованием WordPress.
-----

Sidewinder - организация, занимающаяся кибератаками и нацеленная на персонал, связанный с индийским правительством, национальной обороной и вооруженными силами. В 2022 году было установлено, что Sidecopy имеет общую инфраструктуру с организацией TransparentTribe, действующей в том же регионе, и имеет схожие цели атак.

Sidewinder в основном использует FetaRAT, новый C#-бэкдор троян. FetaRAT обладает такими функциями, как подключение к сети, сбор информации, загрузка файлов, загрузка скриншотов и воспроизведение аудио. Он также может выполнять произвольные команды, завершать работу и воспроизводить аудиофайлы.

Был обнаружен образец вредоносного кода, содержащий файл LNK, замаскированный под файл DOCX. Имя файла было Asigma от 22 мая 23 года .pdf.lnk. Asigma - это специальное средство связи для индийской армии. Содержимое файла-обманки представляло собой список обучающихся и соответствующих курсов, утвержденных индийским правительством, что указывает на то, что атака была направлена на индийских государственных служащих и военных.

Вредоносный файл был размещен на сайте индийской переводческой компании под названием ElfinIndia, который был создан с использованием WordPress. Захватывая законные веб-сайты, организации Sidecopy могут размещать на них вредоносные файлы, что повышает их анонимность и затрудняет отслеживание и поиск.

#ParsedReport #CompletenessHigh
12-06-2023

A Truly Graceful Wipe Out

https://thedfirreport.com/2023/06/12/a-truly-graceful-wipe-out

Report completeness: High

Actors/Campaigns:
Fin11
Whisper_spider (motivation: financially_motivated)
Ta505 (motivation: financially_motivated)

Threats:
Cobalt_strike
Truebot
Flawedgrace_rat
Barbwire
Adfind_tool
Beacon
Nltest_tool
Passthehash_technique
Impacket_tool
Clop
Raspberry_robin
Truecore
Process_injection_technique
Secretsdump_tool
Killdisk
Antidebugging_technique
Vmprotect_tool
Meterpreter_tool
Silence_botnet
Credential_dumping_technique

Industry:
Financial

Geo:
Chile

CVEs:
CVE-2012-35211 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 28

IOCs:
File: 20
IP: 8
Url: 3
Path: 17
Domain: 1
Hash: 17
Command: 7
Registry: 8

Softs:
windows defender, psexec, goanywhere, serv-u, windows registry, task scheduler, nsis installer, chrome, windows service, whatsapp, have more...

Algorithms:
bzip, rc4, 7zip, sha1, sha256

Functions:
NSIS, Killer

Win API:
VirtualAllocEx, CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread, CloseHandle, SeShutdownPrivilege, ExitWindowsEx

Languages:
php

YARA: Found
SIGMA: Found

Links:
https://github.com/The-DFIR-Report/Suricata-Rules/blob/main/rules/truebot.rules
https://github.com/fortra/impacket/blob/efc6a1c365d5e0317ebe6a432448c861616859a7/impacket/examples/secretsdump.py#L374
https://github.com/fortra/impacket/blob/efc6a1c365d5e0317ebe6a432448c861616859a7/impacket/examples/secretsdump.py
https://github.com/fortra/impacket/commit/551fb32988fa41df1f6a896841af327e4e1a58a3
https://github.com/fortra/impacket/blob/8b3f9eff06b3a14c09e8e64cfc762cf2adeed013/examples/atexec.py#LL122C29-L122C47

#ParsedReport #ExtractedSchema

Classified images:
code: 18, windows: 15, schema: 6, dump: 6, chart: 4, table: 14

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что угрозы использовали различные вредоносные действия, включая внедрение процессов, стирание структуры диска, эксфильтрацию, отключение или модификацию инструментов, деобфускацию/дешифрование файлов или информации, безфайловое хранение, обфускацию команд, запланированное задание, PowerShell, вредоносные файлы, веб-протоколы, пользовательский протокол команд и управления, обнаружение владельца/пользователя системы, группы домена, локальные группы, обнаружение доверия домена, обнаружение процессов, учетные записи домена, обнаружение файлов и каталогов, обнаружение удаленных систем, обнаружение защитного ПО, запрос реестра, общие ресурсы SMB/Windows admin, локальное хранение данных, память LSASS, передача хэша, действительные учетные записи, создание или изменение системных процессов, сброс учетных данных ОС, spearphishing ссылки и многое другое.
-----

Вредоносная программа Truebot использовалась для развертывания Cobalt Strike и FlawedGrace.

Угрожающие лица использовали систему распределения трафика (TDS) для доставки исполняемого файла Truebot.

Угрожающие субъекты использовали хэш локального администратора для осуществления латерального перемещения через среду по принципу pass-the-hash.

Угрожающие субъекты использовали Cobalt Strike для запроса информации и перемещения по сети.

FlawedGrace использовался для создания новых запланированных задач, чтобы установить постоянство на всех зараженных хостах.

Угрожающие субъекты использовали собственный бинарный протокол вредоносной программы FlawedGrace для связи со своими командно-контрольными серверами.

Угрожающие субъекты развернули чистильщика MBR Killer в течение четырех часов после завершения эксфильтрации.

Угрозы использовали различные виды вредоносной деятельности, включая внедрение процессов, стирание структуры диска, эксфильтрацию по альтернативным протоколам, отключение или модификацию инструментов, деобфускацию/дешифрование файлов или информации, хранение без файлов, обфускацию команд, запланированное задание, PowerShell, вредоносные файлы, веб-протоколы, пользовательский протокол команд и управления, обнаружение владельца/пользователя системы, группы домена, локальные группы, обнаружение доверия домена, обнаружение процессов, учетная запись домена, обнаружение файлов и каталогов, обнаружение удаленных систем, обнаружение защитного ПО, запрос реестра, общие ресурсы SMB/Windows admin, локальное хранение данных, память LSASS, передача хэша, действительные учетные записи, создание или изменение системных процессов, сброс учетных данных ОС, spearphishing ссылки и многое другое.

#ParsedReport #CompletenessHigh
12-06-2023

RedEyes group wiretapping individuals (APT37)

https://asec.ahnlab.com/ko/53851

Report completeness: High

Actors/Campaigns:
Apt37
Scarcruft

Threats:
Kisa
W4sp
Dll_sideloading_technique
Trojan/win.goably.c5436296
Trojan/win.goably.c5422375
Trojan/win.loader.c5424444

Victims:
Individuals, including north korean defectors, human rights activists, and university professors

Industry:
Education

Geo:
Korea, Korean

TTPs:
Tactics: 4
Technics: 1

IOCs:
File: 6
Command: 2
Path: 6
Registry: 1
IP: 1
Url: 3
Hash: 6

Softs:
component object model

Algorithms:
zip, base64

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, dump: 2, code: 8, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа RedEyes (APT37, ScarCruft, Reaper) в мае 2023 года инициировала вредоносную атаку с использованием фишинговых писем, бэкдоров Golang и нового вредоносного ПО для кражи информации с функцией прослушивания микрофона. Чтобы защититься от подобных атак, люди должны быть осторожны, не открывать вложения в письмах из неизвестных источников и проверять источник почты перед выполнением любых вложенных файлов.
-----

В мае 2023 года Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил факт вредоносной атаки, организованной группой RedEyes (также известной как APT37, ScarCruft, Reaper). Эта поддерживаемая государством организация APT известна тем, что атакует таких людей, как северокорейские перебежчики, правозащитники и преподаватели университетов, чтобы следить за их повседневной жизнью. В рассматриваемой атаке в основном использовались бэкдоры Golang, злоупотребляющие платформой Ably, а также новые вредоносные программы для кражи информации с функцией прослушивания микрофона.

Атака была инициирована с помощью фишинговых писем, которые содержали обычный зашифрованный документ, а также вредоносный CHM-файл, замаскированный под файл паролей. После выполнения CHM-файла запускался файл MSHTA.exe и вредоносный скрипт с C&C-сервера злоумышленника. Этот вредоносный скрипт был идентифицирован как вредоносная программа PowerShell с функциями бэкдора и ключами реестра для сохранения. Вредоносная программа PowerShell выполняла команды с сервера C&C без использования CMD.exe, а также устанавливала ключ реестра для автовыполнения, чтобы вредоносный скрипт выполнялся с сервера C&C злоумышленника даже после перезагрузки.

Затем злоумышленник повышал привилегии и распространял вредоносные коды для утечки информации через вредоносный бэкдор, используя платформенный сервис Ably, основанный на языке Go. Бэкдор Go на базе Ably был идентифицирован как хранящий ключ аутентификации в репозитории Github, который был необходим для осуществления канальной связи со злоумышленником. Все команды, полученные с C&C-сервера, выполнялись через CMD.exe, а результат выполнения команды CMD отправлялся на канал связи через UP-сообщение.

Затем злоумышленник выполнял вредоносный код для утечки информации в бесфайловой форме, который включал функции захвата скриншотов экрана ПК, утечки данных со съемных носителей и смартфонов, регистрации ключей и подслушивания. ASEC назвала эту вновь выявленную вредоносную программу FadeStealer (Fade как кража), основываясь на характеристиках названия папки, в которой хранились утечка данных. FadeStealer создавал и хранил папки для каждой утечки данных по пути %temp%, сжимал данные с паролем и отправлял их на C&C-сервер злоумышленника каждые 30 минут.

Группе RedEyes удалось провести сложную и тщательную атаку, которая позволила им получить доступ к цели через фишинговые письма и использовать канал Ably в качестве сервера управления. Таким образом, людям было сложно распознать нанесенный ущерб. Чтобы предотвратить подобные атаки, люди должны быть осторожны и не открывать вложения в электронных письмах из неизвестных источников. В частности, для первоначального проникновения организация использовала вредоносные программы с расширениями CHM и LNK, поэтому при открытии файлов во вложениях электронной почты следует обращать особое внимание на расширение. Также важно снять флажок с опции "Скрыть расширение" и проверять источник почты перед выполнением любых вложенных файлов. Выполняя эти действия, люди могут значительно снизить риск стать жертвой вредоносной атаки.