#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 15, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Sidecopy - организация, занимающаяся кибер-атаками на персонал, связанный с индийским правительством, национальной обороной и вооруженными силами, в основном использует FetaRAT, новый троян-бэкдор на языке C#. Вредоносные файлы были размещены на сайте индийской переводческой компании под названием ElfinIndia, который был создан с использованием WordPress.
-----

Sidewinder - организация, занимающаяся кибератаками и нацеленная на персонал, связанный с индийским правительством, национальной обороной и вооруженными силами. В 2022 году было установлено, что Sidecopy имеет общую инфраструктуру с организацией TransparentTribe, действующей в том же регионе, и имеет схожие цели атак.

Sidewinder в основном использует FetaRAT, новый C#-бэкдор троян. FetaRAT обладает такими функциями, как подключение к сети, сбор информации, загрузка файлов, загрузка скриншотов и воспроизведение аудио. Он также может выполнять произвольные команды, завершать работу и воспроизводить аудиофайлы.

Был обнаружен образец вредоносного кода, содержащий файл LNK, замаскированный под файл DOCX. Имя файла было Asigma от 22 мая 23 года .pdf.lnk. Asigma - это специальное средство связи для индийской армии. Содержимое файла-обманки представляло собой список обучающихся и соответствующих курсов, утвержденных индийским правительством, что указывает на то, что атака была направлена на индийских государственных служащих и военных.

Вредоносный файл был размещен на сайте индийской переводческой компании под названием ElfinIndia, который был создан с использованием WordPress. Захватывая законные веб-сайты, организации Sidecopy могут размещать на них вредоносные файлы, что повышает их анонимность и затрудняет отслеживание и поиск.

#ParsedReport #CompletenessHigh
12-06-2023

A Truly Graceful Wipe Out

https://thedfirreport.com/2023/06/12/a-truly-graceful-wipe-out

Report completeness: High

Actors/Campaigns:
Fin11
Whisper_spider (motivation: financially_motivated)
Ta505 (motivation: financially_motivated)

Threats:
Cobalt_strike
Truebot
Flawedgrace_rat
Barbwire
Adfind_tool
Beacon
Nltest_tool
Passthehash_technique
Impacket_tool
Clop
Raspberry_robin
Truecore
Process_injection_technique
Secretsdump_tool
Killdisk
Antidebugging_technique
Vmprotect_tool
Meterpreter_tool
Silence_botnet
Credential_dumping_technique

Industry:
Financial

Geo:
Chile

CVEs:
CVE-2012-35211 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 28

IOCs:
File: 20
IP: 8
Url: 3
Path: 17
Domain: 1
Hash: 17
Command: 7
Registry: 8

Softs:
windows defender, psexec, goanywhere, serv-u, windows registry, task scheduler, nsis installer, chrome, windows service, whatsapp, have more...

Algorithms:
bzip, rc4, 7zip, sha1, sha256

Functions:
NSIS, Killer

Win API:
VirtualAllocEx, CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread, CloseHandle, SeShutdownPrivilege, ExitWindowsEx

Languages:
php

YARA: Found
SIGMA: Found

Links:
https://github.com/The-DFIR-Report/Suricata-Rules/blob/main/rules/truebot.rules
https://github.com/fortra/impacket/blob/efc6a1c365d5e0317ebe6a432448c861616859a7/impacket/examples/secretsdump.py#L374
https://github.com/fortra/impacket/blob/efc6a1c365d5e0317ebe6a432448c861616859a7/impacket/examples/secretsdump.py
https://github.com/fortra/impacket/commit/551fb32988fa41df1f6a896841af327e4e1a58a3
https://github.com/fortra/impacket/blob/8b3f9eff06b3a14c09e8e64cfc762cf2adeed013/examples/atexec.py#LL122C29-L122C47

#ParsedReport #ExtractedSchema

Classified images:
code: 18, windows: 15, schema: 6, dump: 6, chart: 4, table: 14

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что угрозы использовали различные вредоносные действия, включая внедрение процессов, стирание структуры диска, эксфильтрацию, отключение или модификацию инструментов, деобфускацию/дешифрование файлов или информации, безфайловое хранение, обфускацию команд, запланированное задание, PowerShell, вредоносные файлы, веб-протоколы, пользовательский протокол команд и управления, обнаружение владельца/пользователя системы, группы домена, локальные группы, обнаружение доверия домена, обнаружение процессов, учетные записи домена, обнаружение файлов и каталогов, обнаружение удаленных систем, обнаружение защитного ПО, запрос реестра, общие ресурсы SMB/Windows admin, локальное хранение данных, память LSASS, передача хэша, действительные учетные записи, создание или изменение системных процессов, сброс учетных данных ОС, spearphishing ссылки и многое другое.
-----

Вредоносная программа Truebot использовалась для развертывания Cobalt Strike и FlawedGrace.

Угрожающие лица использовали систему распределения трафика (TDS) для доставки исполняемого файла Truebot.

Угрожающие субъекты использовали хэш локального администратора для осуществления латерального перемещения через среду по принципу pass-the-hash.

Угрожающие субъекты использовали Cobalt Strike для запроса информации и перемещения по сети.

FlawedGrace использовался для создания новых запланированных задач, чтобы установить постоянство на всех зараженных хостах.

Угрожающие субъекты использовали собственный бинарный протокол вредоносной программы FlawedGrace для связи со своими командно-контрольными серверами.

Угрожающие субъекты развернули чистильщика MBR Killer в течение четырех часов после завершения эксфильтрации.

Угрозы использовали различные виды вредоносной деятельности, включая внедрение процессов, стирание структуры диска, эксфильтрацию по альтернативным протоколам, отключение или модификацию инструментов, деобфускацию/дешифрование файлов или информации, хранение без файлов, обфускацию команд, запланированное задание, PowerShell, вредоносные файлы, веб-протоколы, пользовательский протокол команд и управления, обнаружение владельца/пользователя системы, группы домена, локальные группы, обнаружение доверия домена, обнаружение процессов, учетная запись домена, обнаружение файлов и каталогов, обнаружение удаленных систем, обнаружение защитного ПО, запрос реестра, общие ресурсы SMB/Windows admin, локальное хранение данных, память LSASS, передача хэша, действительные учетные записи, создание или изменение системных процессов, сброс учетных данных ОС, spearphishing ссылки и многое другое.

#ParsedReport #CompletenessHigh
12-06-2023

RedEyes group wiretapping individuals (APT37)

https://asec.ahnlab.com/ko/53851

Report completeness: High

Actors/Campaigns:
Apt37
Scarcruft

Threats:
Kisa
W4sp
Dll_sideloading_technique
Trojan/win.goably.c5436296
Trojan/win.goably.c5422375
Trojan/win.loader.c5424444

Victims:
Individuals, including north korean defectors, human rights activists, and university professors

Industry:
Education

Geo:
Korea, Korean

TTPs:
Tactics: 4
Technics: 1

IOCs:
File: 6
Command: 2
Path: 6
Registry: 1
IP: 1
Url: 3
Hash: 6

Softs:
component object model

Algorithms:
zip, base64

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, dump: 2, code: 8, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа RedEyes (APT37, ScarCruft, Reaper) в мае 2023 года инициировала вредоносную атаку с использованием фишинговых писем, бэкдоров Golang и нового вредоносного ПО для кражи информации с функцией прослушивания микрофона. Чтобы защититься от подобных атак, люди должны быть осторожны, не открывать вложения в письмах из неизвестных источников и проверять источник почты перед выполнением любых вложенных файлов.
-----

В мае 2023 года Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил факт вредоносной атаки, организованной группой RedEyes (также известной как APT37, ScarCruft, Reaper). Эта поддерживаемая государством организация APT известна тем, что атакует таких людей, как северокорейские перебежчики, правозащитники и преподаватели университетов, чтобы следить за их повседневной жизнью. В рассматриваемой атаке в основном использовались бэкдоры Golang, злоупотребляющие платформой Ably, а также новые вредоносные программы для кражи информации с функцией прослушивания микрофона.

Атака была инициирована с помощью фишинговых писем, которые содержали обычный зашифрованный документ, а также вредоносный CHM-файл, замаскированный под файл паролей. После выполнения CHM-файла запускался файл MSHTA.exe и вредоносный скрипт с C&C-сервера злоумышленника. Этот вредоносный скрипт был идентифицирован как вредоносная программа PowerShell с функциями бэкдора и ключами реестра для сохранения. Вредоносная программа PowerShell выполняла команды с сервера C&C без использования CMD.exe, а также устанавливала ключ реестра для автовыполнения, чтобы вредоносный скрипт выполнялся с сервера C&C злоумышленника даже после перезагрузки.

Затем злоумышленник повышал привилегии и распространял вредоносные коды для утечки информации через вредоносный бэкдор, используя платформенный сервис Ably, основанный на языке Go. Бэкдор Go на базе Ably был идентифицирован как хранящий ключ аутентификации в репозитории Github, который был необходим для осуществления канальной связи со злоумышленником. Все команды, полученные с C&C-сервера, выполнялись через CMD.exe, а результат выполнения команды CMD отправлялся на канал связи через UP-сообщение.

Затем злоумышленник выполнял вредоносный код для утечки информации в бесфайловой форме, который включал функции захвата скриншотов экрана ПК, утечки данных со съемных носителей и смартфонов, регистрации ключей и подслушивания. ASEC назвала эту вновь выявленную вредоносную программу FadeStealer (Fade как кража), основываясь на характеристиках названия папки, в которой хранились утечка данных. FadeStealer создавал и хранил папки для каждой утечки данных по пути %temp%, сжимал данные с паролем и отправлял их на C&C-сервер злоумышленника каждые 30 минут.

Группе RedEyes удалось провести сложную и тщательную атаку, которая позволила им получить доступ к цели через фишинговые письма и использовать канал Ably в качестве сервера управления. Таким образом, людям было сложно распознать нанесенный ущерб. Чтобы предотвратить подобные атаки, люди должны быть осторожны и не открывать вложения в электронных письмах из неизвестных источников. В частности, для первоначального проникновения организация использовала вредоносные программы с расширениями CHM и LNK, поэтому при открытии файлов во вложениях электронной почты следует обращать особое внимание на расширение. Также важно снять флажок с опции "Скрыть расширение" и проверять источник почты перед выполнением любых вложенных файлов. Выполняя эти действия, люди могут значительно снизить риск стать жертвой вредоносной атаки.

#ParsedReport #CompletenessMedium
12-06-2023

Analysis of attack activities targeting the financial departments of Chinese companies disguised as red teams

https://mp-weixin-qq-com.translate.goog/s/bQOGFjThnNvm_H6x4N5orw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Medium

Threats:
Dll_sideloading_technique

Victims:
Joint venture car company, a financial company, a cooperative data provider, and an accounting firm

Industry:
Energy, E-commerce, Financial, Education

Geo:
China, Singapore, Asia, Russia, Japan, Seychelles, Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 13
Url: 14
IP: 22
Domain: 1
File: 5
Path: 1

Softs:
wechat

Algorithms:
crc-32

Functions:
GetInstallDetailsPayload, update

Win API:
LoadLibrary, GetProcAddress

Languages:
c_language

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Venustech ADLab выявила сложную атакующую кампанию, направленную на финансовые отделы различных китайских предприятий. Злоумышленники разработали адаптированную версию троянца загрузчика и удаленного управления с использованием C++ и использовали различные сетевые облачные ресурсы для хранения вредоносных файлов и сокрытия реального URL. Атака была замаскирована под атаки красной команды наступательных и оборонительных учений, а полученные вредоносные полезные нагрузки были настроены хакерской организацией.
-----

Лаборатория Venustech ADLab отследила многочисленные целевые атаки на финансовые отделы китайских предприятий. Для проведения атак злоумышленники использовали настроенных неизвестных троянских коней и большое количество вредоносной полезной нагрузки. 19 мая 2023 года внутренний сотрудник компании отправил письмо с атакой, содержащее вредоносные коды через вложение "трехэтапная политика корпоративного налогового стимулирования". Атака была замаскирована под атаки красной команды (атакующей) наступательных и оборонительных учений.

Полученные вредоносные коды были неизвестными троянскими конями, настроенными хакерской организацией. Инфраструктура, используемая злоумышленниками, широко распространена и многочисленна, а большое количество инфраструктурных активов все еще активны и не были обнаружены и зарегистрированы основными платформами угроз. Злоумышленники использовали различные сетевые облачные ресурсы для хранения вредоносных файлов и сокрытия реального URL, такие как 119[.29.235.104, 159[.75.237.39 и www[.kehustudent[.top. Информация о C&C включает серверы, расположенные в Гонконге, Китае, материковом Китае, США, Сингапуре, Японии и на Сейшельских островах. Большинство C&C-серверов не отметились в отчете о вирусе на Virustotal.

Общий процесс атаки можно разделить на три этапа. Сначала злоумышленник доставляет жертве начальный файл-приманку. После того как жертва распакует и выполнит программу, вредоносный код будет загружен и исполнен на втором этапе. Загруженный вредоносный код включает в себя легальный белый файл (medge.exe) и вредоносную DLL (nw_elf.dll), а затем выполняет модуль nw_elf.dll через технологию боковой загрузки DLL, после чего загружает и выполняет пользовательскую троянскую DLL на третьем этапе. После сбора и предоставления информации о хосте злоумышленник принимает решение о выполнении других модулей расширения для осуществления более возможных высокорискованных атак (таких как кража, боковое перемещение и т.д.).

Вредоносный образец на последнем этапе атаки представляет собой специализированный троянец удаленного управления, написанный на языке C++. Троянец имеет две функции экспорта, основная функция называется "обновление". Троянец проверяет трафик брандмауэра и сравнивает имя текущего запущенного процесса со списком имен процессов антивирусного программного обеспечения. Троянский конь взаимодействует с управляющим сервером, используя метод сокета (socket). Троянский конь может выполнять такие операции, как инсталляция и резидент, удаление модуля, удаленная работа с файлами и получение списка процессов.

#ParsedReport #CompletenessHigh
12-06-2023

Key takeaways. Elastic charms SPECTRALVIPER

https://www.elastic.co/security-labs/elastic-charms-spectralviper

Report completeness: High

Actors/Campaigns:
Ref2754
Oceanlotus
Ref4322

Threats:
Spectralviper
Seth_locker
P8loader
Powerseal
Procdump_tool
Lolbas_technique
Donutloader
Beacon
Phoreal
Pipedance
Supply_chain_technique
Process_injection_technique

Victims:
Vietnam-based financial services company and large vietnam-based agribusiness

Industry:
Financial, Foodtech

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 1
File: 9
Domain: 5
Hash: 8

Softs:
sysinternals, winlogon, internet explorer, event tracing for windows, microsoft defender

Algorithms:
rsa-1024, base64, zip, sha256, aes

Functions:
SetBeaconIntervals, CreateProcessAndInjectShellcode, CreateProcessAndHollow, GetCurrentUserName

Win API:
NtWriteVirtualMemory, VirtualAlloc, RevertToSelf, CopyFile, DeleteFile, CreateDirectory, MoveFile

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/BenjaminSoelberg/RunDLL-NG
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_PowerSeal.yar
https://github.com/elastic/labs-releases/tree/main/indicators/spectralviper
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_P8Loader.yar
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_SpectralViper.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 2, chart: 2, code: 10, windows: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Elastic Security Labs обнаружила вредоносную программу SPECTRALVIPER, нацеленную на национальный вьетнамский агропромышленный комплекс. Это сильно обфусцированный, ранее не раскрытый бэкдор для x64, который обеспечивает загрузку и внедрение PE, загрузку и скачивание файлов, манипуляции с файлами и каталогами, а также возможность имперсонации токенов. Его приписывают вьетнамскому набору вторжений и приписывают агенту угроз Canvas Cyclone/APT32/OceanLotus.
-----

Лаборатория Elastic Security Labs уже несколько месяцев отслеживает вторжение, направленное на крупные вьетнамские государственные компании, REF2754. За это время наша команда обнаружила новое вредоносное ПО, используемое в координации связанным с государством субъектом, известным как SPECTRALVIPER. Это вредоносное ПО представляет собой сильно обфусцированный, ранее не раскрытый бэкдор для x64, который обеспечивает загрузку и внедрение PE, загрузку и скачивание файлов, манипуляции с файлами и каталогами, а также возможности имперсонации токенов. Предполагается, что данный набор вторжений был осуществлен угрозой, связанной с вьетнамским государством, и связан с агентом угроз Canvas Cyclone/APT32/OceanLotus.

Анализ вредоносной программы SPECTRALVIPER показывает, что она может быть скомпилирована как исполняемый файл или DLL, которые обычно имитируют известные двоичные экспорты. Вредоносная программа может работать как в режиме именованного канала, так и в режиме HTTP. Она способна загружать и внедрять исполняемые файлы для архитектур x86 и x64. Она может выдавать себя за маркеры безопасности, предоставляя повышенные привилегии. Он может загружать и выгружать файлы на взломанную систему и из нее. Он может манипулировать файлами и каталогами на взломанной системе. Он использует DONUTLOADER, P8LOADER и POWERSEAL для создания цепочки выполнения и уклонения.

P8LOADER - это недавно обнаруженный загрузчик для x64 Windows, который используется для выполнения PE из файла или из памяти. Это вредоносное ПО способно перенаправлять вывод загруженного PE в свою систему ведения журнала и подключать импорт PE к вызовам импорта журнала. POWERSEAL - это новый и специально разработанный загрузчик PowerShell, который свободно заимствует различные инструменты наступательной безопасности с открытым исходным кодом, предоставляя наступательные возможности в оптимизированном пакете со встроенными средствами уклонения от защиты.

Используя информацию, собранную с помощью статического и динамического анализа, мы смогли идентифицировать еще несколько образцов в VirusTotal. Мы также собрали информацию об инфраструктуре C2 для этих образцов. Используя нашу сигнатуру SPECTRALVIPER YARA, мы выявили две конечные точки во второй среде, зараженные имплантатами SPECTRALVIPER. Эта среда обсуждалась в исследовании Elastic Security Labs в 2022 году, в котором описывается REF4322. Жертва REF2754 была идентифицирована как крупный вьетнамский агропромышленный комплекс.

Elastic Security Labs с умеренной уверенностью пришла к выводу, что обе группы активности REF4322 и REF2754 представляют собой кампании, спланированные и осуществленные вьетнамской угрозой, связанной с государством. Жертвой REF4322 является финансовое учреждение, которое управляет капиталом для приобретения бизнеса и бывших государственных предприятий. Жертва REF2754 - крупный агропромышленный комплекс, играющий системообразующую роль в цепочках производства и распределения продовольствия во Вьетнаме. Обе жертвы были заражены семействами вредоносных программ DONUTLOADER, P8LOADER, POWERSEAL и SPECTRALVIPER. Угрожающая группа, имеющая доступ к записям финансовых операций, доступным в REF4322, в сочетании с национальной стратегической политикой безопасности продуктов питания в REF2754, могла бы получить представление о компетентности руководства, коррупции, иностранном влиянии или манипулировании ценами.

#ParsedReport #CompletenessMedium
09-06-2023

"Quantum" system breaks down Apple mobile phones - Analysis of historical samples of Equation Group's attacks on iOS systems

https://www.antiy.cn/research/notice&report/research_report/EQUATION_iOS_Malware_Analysis.html

Report completeness: Medium

Actors/Campaigns:
Equation

Threats:
Shadow_brokers_tool
Foxacid_tool
Supply_chain_technique

Victims:
Ios devices

Industry:
Government, Education, Financial, Telco

Geo:
Israel, Swedish, Columbia, Italy, China

CVEs:
CVE-2014-1349 [Vulners]
CVSS V3.1: 6.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (7.0.4, 7.0.5, 7.1, le7.1.1, 7.0.6, 7.0.1, 7.0.2, 7.0, 7.0.3)

CVE-2017-5754 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.6
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

CVE-2017-5715 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

CVE-2014-4466 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (le8.1.2)
- apple tvos (le7.0.1)
- apple safari (7.0.1, le6.2.0, 7.0.3, 7.0.4, 7.1.0, 8.0.0, 7.0.5, 7.0.6, 7.0, 7.0.2)
- apple itunes (le12.1)

CVE-2017-5753 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

ChatGPT TTPs:
do not use without manual check
T1083, T1090, T1096

IOCs:
File: 1

Softs:
mac os, android, imessage, chrome

Algorithms:
gzip, xor

Platforms:
intel, apple, arm

#ParsedReport #CompletenessLow
13-06-2023

RecordBreaker information-stealing malware disguised as a .NET installation file

https://asec.ahnlab.com/ko/54140

Report completeness: Low

Threats:
Record_breaker_stealer
Recordstealer
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1543.001, T1497.001, T1486.001, T1059.001, T1486.002, T1041.001, T1566.001

IOCs:
File: 2
Url: 14
Hash: 33
IP: 1

Softs:
net framework

Algorithms:
xor

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные коды все чаще маскируются под крэки для распространения, и об этом важно знать. Необходимо избегать использования незаконных инструментов, таких как Crack и Keygen, и использовать установочные файлы, официально распространяемые разработчиком. Центр экстренного реагирования на угрозы безопасности АнЛаб (ASEC) может помочь в выявлении потенциальных угроз.
-----

Вредоносный код эволюционирует, поскольку злоумышленники маскируют его под крэки для распространения. Ранее вредоносный код распространялся в виде исполняемого файла, но теперь злоумышленники сжимают несколько обычных файлов и папок вместе в распространяемый сжатый файл. Данный образец написан на языке Rust, что отличается от ранее распространяемых вредоносных кодов.

Размер файла увеличивается не сильно - от 20 МБ до 50 МБ, что является небольшой емкостью по сравнению с ранее распространенными образцами, в которых емкость увеличивалась до 3 ГБ. Если это не виртуальная среда, то после отсрочки выполнения с помощью команды Powershell загружается зашифрованный файл вредоносной программы с сервера злоумышленника и выполняется. Файл зашифрован методом XOR, ключ - Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY. После расшифровки загруженного файла он запускает обычный процесс (addinprocess32.exe) и внедряет его. Расшифрованный файл является вредоносной программой RecordStealer.

Когда вредоносный код выполняется в общей пользовательской среде, он обманывает пользователей, загружая и выполняя обычную программу установки с официального сайта MS. В зависимости от того, установлен ли существующий .NET Framework, может отображаться окно. Если оно обнаружено при сканировании виртуальной среды, программа загружает файл установщика .NET со следующего адреса и выполняет его. Выполнившийся RecordBreaker Stealer крадет у пользователя различную конфиденциальную информацию в соответствии со значением настройки, полученным от сервера, передает ее в C2, а затем завершает работу.

#ParsedReport #CompletenessLow
13-06-2023

Deep dive into the Pikabot cyber threat

https://news.sophos.com/en-us/2023/06/12/deep-dive-into-the-pikabot-cyber-threat

Report completeness: Low

Threats:
Pikabot
Cobalt_strike
Qakbot
Advobfuscator_tool
Matanbuchus

Geo:
Georgian

ChatGPT TTPs:
do not use without manual check
T1086, T1090, T1095, T1566, T1503, T1499

IOCs:
IP: 13

Algorithms:
base64, aes, cbc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Pikabot - это модульная троянская вредоносная программа, способная выполнять широкий спектр команд и распространять другие вредоносные инструменты, такие как Cobalt Strike. Он распространяется аналогично трояну Qakbot и использует методы антианализа, чтобы избежать обнаружения. Он имеет функцию самоуничтожения, если язык системы - грузинский, казахский, узбекский или таджикский.-----

Обнаруженный в начале 2023 года модульный троян Pikabot способен выполнять разнообразные команды, что делает его очень мощным игроком в многоступенчатых атаках. Он работает как бэкдор, предоставляя удаленный доступ к взломанным системам через связь с командно-контрольным (C2) сервером. Этот C2-сервер может дать команду вредоносному ПО внедрить произвольный shell-код, DLL или исполняемые файлы, а также распространить другие вредоносные инструменты, такие как Cobalt Strike.

Pikabot состоит из двух основных компонентов: загрузчика и основного модуля. Загрузчик помогает осуществлять вредоносные действия, в то время как основной модуль выполняет большинство из них. Ранний анализ привел исследователей к выводу, что Pikabot распространяется трояном Qakbot, хотя дальнейшее изучение показало, что его методы распространения зеркально отражают методы Qakbot.

Модульная структура вредоносной программы позволяет ей выполнять различные вредоносные действия. Полезная нагрузка основного модуля хитро зашифрована и хранится в изображениях PNG, а для ее расшифровки используется жестко закодированный 32-байтовый ключ. Используются методы антианализа, включая проверку наличия отладчиков, точек останова и системной информации; использование общедоступных инструментов, таких как ADVobfuscator, для обфускации строк; а также многочисленные методы обнаружения среды песочницы, отладки и других попыток анализа.

Pikabot также имеет функцию самоуничтожения, если язык системы - грузинский, казахский, узбекский или таджикский, что позволяет предположить, что авторы могут намеренно избегать определенных географических регионов. Считается, что он находится на ранней стадии разработки, о чем свидетельствует его номер версии (0.1.7) и поразительное сходство с другим семейством вредоносных программ, Matanbuchus.

#ParsedReport #CompletenessMedium
13-06-2023

. Analysis of the RecordBreaker secret-stealing Trojan horse spread through video sites

https://www.antiy.cn/research/notice&report/research_report/RecordBreaker_Trojan_Analysis.html

Report completeness: Medium

Threats:
Record_breaker_stealer
Raccoon_stealer
Laplasclipper
Stopgames
Tron
Process_injection_technique

Victims:
Video creator accounts

TTPs:
Tactics: 9
Technics: 0

IOCs:
File: 7
Hash: 4
IP: 2
Url: 6

Softs:
telegram, windows defender

Wallets:
zcash

Crypto:
bitcoin, litecoin, ethereum, dogecoin, monero, tezos, cardano

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно Antiy CERT обнаружил атаку, распространившуюся через видеосайты, где злоумышленники похитили учетные записи создателей видео с более чем 100 000 подписчиков и выпустили демонстрационные видеоролики, содержащие троянского коня RecordBreaker, похищающего секреты. Antiy предоставил карту ATT&CK для предотвращения этого типа атак, и важно поддерживать системы безопасности в актуальном состоянии и быть в курсе любой подозрительной активности.
-----

Antiy CERT недавно обнаружил атаку, распространявшуюся через видеосайты. Злоумышленники похитили учетные записи создателей видео с более чем 100 000 подписчиков и выпустили демо-ролики со взломанными версиями популярного программного обеспечения. В качестве вредоносного ПО использовался троянский конь RecordBreaker, похищающий секреты. Этот тип вредоносного ПО становится все более распространенным, поскольку распространяется через видеосайты и сайты загрузки пиратского программного обеспечения. Интеллектуальная система защиты конечных точек (IEP) компании Antiy может обнаруживать и уничтожать вредоносные программы, такие как троянские программы для кражи секретов и троянские программы для майнинга.

Вводная часть видеоролика содержала адрес загрузки взломанного программного ресурса и была помечена тегом. Когда пользователь вводил ключевое слово в поисковую систему или на видеосайт, появлялись соответствующие видео. Во вступлении злоумышленники советовали пользователям отключить свои средства защиты, утверждая, что файлы ресурса не являются вредоносными. Кроме того, злоумышленники создали несколько фишинговых сайтов для скачивания, все они были связаны с популярными программами для взлома программного обеспечения.

В этой атаке злоумышленники использовали троянца RecordBreaker для кражи секретов, чтобы получить файлы полезной нагрузки из созданного проекта на GitHub. RecordBreaker - это версия 2.0 популярного семейства троянских программ для кражи секретов Raccoon. Среди файлов полезной нагрузки был троянец Laplas Clipper, который отслеживал содержимое буфера обмена на хосте жертвы и заменял любые адреса на адрес кошелька злоумышленников, что позволяло им похищать криптовалюту. Другой файл полезной нагрузки представлял собой троян для майнинга StopGames, который внедрял вредоносную полезную нагрузку в указанный процесс и добавлял такие пути, как %UserProfile%, %SystemDrive% в исключения Windows Defender.

Затем вредоносная полезная нагрузка загружала программы для майнинга, размещенные злоумышленником на GitHub, включая lolMiner.exe, xmrig.exe и WatchNew.exe. Кроме того, программа WatchNew.exe добавлялась в запланированную задачу, чтобы обеспечить ее сохранение.

Для предотвращения такого рода атак Antiy CERT предоставил карту отображения ATT&CK, соответствующую данному событию атаки. Карта дает представление о полном процессе доставки злоумышленником троянца, похищающего секреты, и может быть использована для выявления потенциальных угроз и уязвимостей. Поэтому важно поддерживать системы безопасности в актуальном состоянии и быть в курсе любой подозрительной активности на видеосайтах и других онлайн-источниках.

#ParsedReport #CompletenessLow
13-06-2023

ASEC Weekly Phishing Email Threat Trends (May 28th, 2023 June 3rd, 2023)

https://asec.ahnlab.com/en/54163

Report completeness: Low

Threats:
Agent_tesla
Formbook
Avemaria_rat

Industry:
Financial, Transport, Energy

Geo:
Korea, Korean

TTPs:

IOCs:
File: 52
Url: 14

Algorithms:
zip