#ParsedReport #ExtractedSchema

Classified images:
schema: 6, dump: 2, code: 8, windows: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа RedEyes (APT37, ScarCruft, Reaper) в мае 2023 года инициировала вредоносную атаку с использованием фишинговых писем, бэкдоров Golang и нового вредоносного ПО для кражи информации с функцией прослушивания микрофона. Чтобы защититься от подобных атак, люди должны быть осторожны, не открывать вложения в письмах из неизвестных источников и проверять источник почты перед выполнением любых вложенных файлов.
-----

В мае 2023 года Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил факт вредоносной атаки, организованной группой RedEyes (также известной как APT37, ScarCruft, Reaper). Эта поддерживаемая государством организация APT известна тем, что атакует таких людей, как северокорейские перебежчики, правозащитники и преподаватели университетов, чтобы следить за их повседневной жизнью. В рассматриваемой атаке в основном использовались бэкдоры Golang, злоупотребляющие платформой Ably, а также новые вредоносные программы для кражи информации с функцией прослушивания микрофона.

Атака была инициирована с помощью фишинговых писем, которые содержали обычный зашифрованный документ, а также вредоносный CHM-файл, замаскированный под файл паролей. После выполнения CHM-файла запускался файл MSHTA.exe и вредоносный скрипт с C&C-сервера злоумышленника. Этот вредоносный скрипт был идентифицирован как вредоносная программа PowerShell с функциями бэкдора и ключами реестра для сохранения. Вредоносная программа PowerShell выполняла команды с сервера C&C без использования CMD.exe, а также устанавливала ключ реестра для автовыполнения, чтобы вредоносный скрипт выполнялся с сервера C&C злоумышленника даже после перезагрузки.

Затем злоумышленник повышал привилегии и распространял вредоносные коды для утечки информации через вредоносный бэкдор, используя платформенный сервис Ably, основанный на языке Go. Бэкдор Go на базе Ably был идентифицирован как хранящий ключ аутентификации в репозитории Github, который был необходим для осуществления канальной связи со злоумышленником. Все команды, полученные с C&C-сервера, выполнялись через CMD.exe, а результат выполнения команды CMD отправлялся на канал связи через UP-сообщение.

Затем злоумышленник выполнял вредоносный код для утечки информации в бесфайловой форме, который включал функции захвата скриншотов экрана ПК, утечки данных со съемных носителей и смартфонов, регистрации ключей и подслушивания. ASEC назвала эту вновь выявленную вредоносную программу FadeStealer (Fade как кража), основываясь на характеристиках названия папки, в которой хранились утечка данных. FadeStealer создавал и хранил папки для каждой утечки данных по пути %temp%, сжимал данные с паролем и отправлял их на C&C-сервер злоумышленника каждые 30 минут.

Группе RedEyes удалось провести сложную и тщательную атаку, которая позволила им получить доступ к цели через фишинговые письма и использовать канал Ably в качестве сервера управления. Таким образом, людям было сложно распознать нанесенный ущерб. Чтобы предотвратить подобные атаки, люди должны быть осторожны и не открывать вложения в электронных письмах из неизвестных источников. В частности, для первоначального проникновения организация использовала вредоносные программы с расширениями CHM и LNK, поэтому при открытии файлов во вложениях электронной почты следует обращать особое внимание на расширение. Также важно снять флажок с опции "Скрыть расширение" и проверять источник почты перед выполнением любых вложенных файлов. Выполняя эти действия, люди могут значительно снизить риск стать жертвой вредоносной атаки.

#ParsedReport #CompletenessMedium
12-06-2023

Analysis of attack activities targeting the financial departments of Chinese companies disguised as red teams

https://mp-weixin-qq-com.translate.goog/s/bQOGFjThnNvm_H6x4N5orw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Medium

Threats:
Dll_sideloading_technique

Victims:
Joint venture car company, a financial company, a cooperative data provider, and an accounting firm

Industry:
Energy, E-commerce, Financial, Education

Geo:
China, Singapore, Asia, Russia, Japan, Seychelles, Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 13
Url: 14
IP: 22
Domain: 1
File: 5
Path: 1

Softs:
wechat

Algorithms:
crc-32

Functions:
GetInstallDetailsPayload, update

Win API:
LoadLibrary, GetProcAddress

Languages:
c_language

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Venustech ADLab выявила сложную атакующую кампанию, направленную на финансовые отделы различных китайских предприятий. Злоумышленники разработали адаптированную версию троянца загрузчика и удаленного управления с использованием C++ и использовали различные сетевые облачные ресурсы для хранения вредоносных файлов и сокрытия реального URL. Атака была замаскирована под атаки красной команды наступательных и оборонительных учений, а полученные вредоносные полезные нагрузки были настроены хакерской организацией.
-----

Лаборатория Venustech ADLab отследила многочисленные целевые атаки на финансовые отделы китайских предприятий. Для проведения атак злоумышленники использовали настроенных неизвестных троянских коней и большое количество вредоносной полезной нагрузки. 19 мая 2023 года внутренний сотрудник компании отправил письмо с атакой, содержащее вредоносные коды через вложение "трехэтапная политика корпоративного налогового стимулирования". Атака была замаскирована под атаки красной команды (атакующей) наступательных и оборонительных учений.

Полученные вредоносные коды были неизвестными троянскими конями, настроенными хакерской организацией. Инфраструктура, используемая злоумышленниками, широко распространена и многочисленна, а большое количество инфраструктурных активов все еще активны и не были обнаружены и зарегистрированы основными платформами угроз. Злоумышленники использовали различные сетевые облачные ресурсы для хранения вредоносных файлов и сокрытия реального URL, такие как 119[.29.235.104, 159[.75.237.39 и www[.kehustudent[.top. Информация о C&C включает серверы, расположенные в Гонконге, Китае, материковом Китае, США, Сингапуре, Японии и на Сейшельских островах. Большинство C&C-серверов не отметились в отчете о вирусе на Virustotal.

Общий процесс атаки можно разделить на три этапа. Сначала злоумышленник доставляет жертве начальный файл-приманку. После того как жертва распакует и выполнит программу, вредоносный код будет загружен и исполнен на втором этапе. Загруженный вредоносный код включает в себя легальный белый файл (medge.exe) и вредоносную DLL (nw_elf.dll), а затем выполняет модуль nw_elf.dll через технологию боковой загрузки DLL, после чего загружает и выполняет пользовательскую троянскую DLL на третьем этапе. После сбора и предоставления информации о хосте злоумышленник принимает решение о выполнении других модулей расширения для осуществления более возможных высокорискованных атак (таких как кража, боковое перемещение и т.д.).

Вредоносный образец на последнем этапе атаки представляет собой специализированный троянец удаленного управления, написанный на языке C++. Троянец имеет две функции экспорта, основная функция называется "обновление". Троянец проверяет трафик брандмауэра и сравнивает имя текущего запущенного процесса со списком имен процессов антивирусного программного обеспечения. Троянский конь взаимодействует с управляющим сервером, используя метод сокета (socket). Троянский конь может выполнять такие операции, как инсталляция и резидент, удаление модуля, удаленная работа с файлами и получение списка процессов.

#ParsedReport #CompletenessHigh
12-06-2023

Key takeaways. Elastic charms SPECTRALVIPER

https://www.elastic.co/security-labs/elastic-charms-spectralviper

Report completeness: High

Actors/Campaigns:
Ref2754
Oceanlotus
Ref4322

Threats:
Spectralviper
Seth_locker
P8loader
Powerseal
Procdump_tool
Lolbas_technique
Donutloader
Beacon
Phoreal
Pipedance
Supply_chain_technique
Process_injection_technique

Victims:
Vietnam-based financial services company and large vietnam-based agribusiness

Industry:
Financial, Foodtech

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 1
File: 9
Domain: 5
Hash: 8

Softs:
sysinternals, winlogon, internet explorer, event tracing for windows, microsoft defender

Algorithms:
rsa-1024, base64, zip, sha256, aes

Functions:
SetBeaconIntervals, CreateProcessAndInjectShellcode, CreateProcessAndHollow, GetCurrentUserName

Win API:
NtWriteVirtualMemory, VirtualAlloc, RevertToSelf, CopyFile, DeleteFile, CreateDirectory, MoveFile

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/BenjaminSoelberg/RunDLL-NG
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_PowerSeal.yar
https://github.com/elastic/labs-releases/tree/main/indicators/spectralviper
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_P8Loader.yar
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_SpectralViper.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 2, chart: 2, code: 10, windows: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Elastic Security Labs обнаружила вредоносную программу SPECTRALVIPER, нацеленную на национальный вьетнамский агропромышленный комплекс. Это сильно обфусцированный, ранее не раскрытый бэкдор для x64, который обеспечивает загрузку и внедрение PE, загрузку и скачивание файлов, манипуляции с файлами и каталогами, а также возможность имперсонации токенов. Его приписывают вьетнамскому набору вторжений и приписывают агенту угроз Canvas Cyclone/APT32/OceanLotus.
-----

Лаборатория Elastic Security Labs уже несколько месяцев отслеживает вторжение, направленное на крупные вьетнамские государственные компании, REF2754. За это время наша команда обнаружила новое вредоносное ПО, используемое в координации связанным с государством субъектом, известным как SPECTRALVIPER. Это вредоносное ПО представляет собой сильно обфусцированный, ранее не раскрытый бэкдор для x64, который обеспечивает загрузку и внедрение PE, загрузку и скачивание файлов, манипуляции с файлами и каталогами, а также возможности имперсонации токенов. Предполагается, что данный набор вторжений был осуществлен угрозой, связанной с вьетнамским государством, и связан с агентом угроз Canvas Cyclone/APT32/OceanLotus.

Анализ вредоносной программы SPECTRALVIPER показывает, что она может быть скомпилирована как исполняемый файл или DLL, которые обычно имитируют известные двоичные экспорты. Вредоносная программа может работать как в режиме именованного канала, так и в режиме HTTP. Она способна загружать и внедрять исполняемые файлы для архитектур x86 и x64. Она может выдавать себя за маркеры безопасности, предоставляя повышенные привилегии. Он может загружать и выгружать файлы на взломанную систему и из нее. Он может манипулировать файлами и каталогами на взломанной системе. Он использует DONUTLOADER, P8LOADER и POWERSEAL для создания цепочки выполнения и уклонения.

P8LOADER - это недавно обнаруженный загрузчик для x64 Windows, который используется для выполнения PE из файла или из памяти. Это вредоносное ПО способно перенаправлять вывод загруженного PE в свою систему ведения журнала и подключать импорт PE к вызовам импорта журнала. POWERSEAL - это новый и специально разработанный загрузчик PowerShell, который свободно заимствует различные инструменты наступательной безопасности с открытым исходным кодом, предоставляя наступательные возможности в оптимизированном пакете со встроенными средствами уклонения от защиты.

Используя информацию, собранную с помощью статического и динамического анализа, мы смогли идентифицировать еще несколько образцов в VirusTotal. Мы также собрали информацию об инфраструктуре C2 для этих образцов. Используя нашу сигнатуру SPECTRALVIPER YARA, мы выявили две конечные точки во второй среде, зараженные имплантатами SPECTRALVIPER. Эта среда обсуждалась в исследовании Elastic Security Labs в 2022 году, в котором описывается REF4322. Жертва REF2754 была идентифицирована как крупный вьетнамский агропромышленный комплекс.

Elastic Security Labs с умеренной уверенностью пришла к выводу, что обе группы активности REF4322 и REF2754 представляют собой кампании, спланированные и осуществленные вьетнамской угрозой, связанной с государством. Жертвой REF4322 является финансовое учреждение, которое управляет капиталом для приобретения бизнеса и бывших государственных предприятий. Жертва REF2754 - крупный агропромышленный комплекс, играющий системообразующую роль в цепочках производства и распределения продовольствия во Вьетнаме. Обе жертвы были заражены семействами вредоносных программ DONUTLOADER, P8LOADER, POWERSEAL и SPECTRALVIPER. Угрожающая группа, имеющая доступ к записям финансовых операций, доступным в REF4322, в сочетании с национальной стратегической политикой безопасности продуктов питания в REF2754, могла бы получить представление о компетентности руководства, коррупции, иностранном влиянии или манипулировании ценами.

#ParsedReport #CompletenessMedium
09-06-2023

"Quantum" system breaks down Apple mobile phones - Analysis of historical samples of Equation Group's attacks on iOS systems

https://www.antiy.cn/research/notice&report/research_report/EQUATION_iOS_Malware_Analysis.html

Report completeness: Medium

Actors/Campaigns:
Equation

Threats:
Shadow_brokers_tool
Foxacid_tool
Supply_chain_technique

Victims:
Ios devices

Industry:
Government, Education, Financial, Telco

Geo:
Israel, Swedish, Columbia, Italy, China

CVEs:
CVE-2014-1349 [Vulners]
CVSS V3.1: 6.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (7.0.4, 7.0.5, 7.1, le7.1.1, 7.0.6, 7.0.1, 7.0.2, 7.0, 7.0.3)

CVE-2017-5754 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.6
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

CVE-2017-5715 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

CVE-2014-4466 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (le8.1.2)
- apple tvos (le7.0.1)
- apple safari (7.0.1, le6.2.0, 7.0.3, 7.0.4, 7.1.0, 8.0.0, 7.0.5, 7.0.6, 7.0, 7.0.2)
- apple itunes (le12.1)

CVE-2017-5753 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

ChatGPT TTPs:
do not use without manual check
T1083, T1090, T1096

IOCs:
File: 1

Softs:
mac os, android, imessage, chrome

Algorithms:
gzip, xor

Platforms:
intel, apple, arm

#ParsedReport #CompletenessLow
13-06-2023

RecordBreaker information-stealing malware disguised as a .NET installation file

https://asec.ahnlab.com/ko/54140

Report completeness: Low

Threats:
Record_breaker_stealer
Recordstealer
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1543.001, T1497.001, T1486.001, T1059.001, T1486.002, T1041.001, T1566.001

IOCs:
File: 2
Url: 14
Hash: 33
IP: 1

Softs:
net framework

Algorithms:
xor

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные коды все чаще маскируются под крэки для распространения, и об этом важно знать. Необходимо избегать использования незаконных инструментов, таких как Crack и Keygen, и использовать установочные файлы, официально распространяемые разработчиком. Центр экстренного реагирования на угрозы безопасности АнЛаб (ASEC) может помочь в выявлении потенциальных угроз.
-----

Вредоносный код эволюционирует, поскольку злоумышленники маскируют его под крэки для распространения. Ранее вредоносный код распространялся в виде исполняемого файла, но теперь злоумышленники сжимают несколько обычных файлов и папок вместе в распространяемый сжатый файл. Данный образец написан на языке Rust, что отличается от ранее распространяемых вредоносных кодов.

Размер файла увеличивается не сильно - от 20 МБ до 50 МБ, что является небольшой емкостью по сравнению с ранее распространенными образцами, в которых емкость увеличивалась до 3 ГБ. Если это не виртуальная среда, то после отсрочки выполнения с помощью команды Powershell загружается зашифрованный файл вредоносной программы с сервера злоумышленника и выполняется. Файл зашифрован методом XOR, ключ - Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY. После расшифровки загруженного файла он запускает обычный процесс (addinprocess32.exe) и внедряет его. Расшифрованный файл является вредоносной программой RecordStealer.

Когда вредоносный код выполняется в общей пользовательской среде, он обманывает пользователей, загружая и выполняя обычную программу установки с официального сайта MS. В зависимости от того, установлен ли существующий .NET Framework, может отображаться окно. Если оно обнаружено при сканировании виртуальной среды, программа загружает файл установщика .NET со следующего адреса и выполняет его. Выполнившийся RecordBreaker Stealer крадет у пользователя различную конфиденциальную информацию в соответствии со значением настройки, полученным от сервера, передает ее в C2, а затем завершает работу.

#ParsedReport #CompletenessLow
13-06-2023

Deep dive into the Pikabot cyber threat

https://news.sophos.com/en-us/2023/06/12/deep-dive-into-the-pikabot-cyber-threat

Report completeness: Low

Threats:
Pikabot
Cobalt_strike
Qakbot
Advobfuscator_tool
Matanbuchus

Geo:
Georgian

ChatGPT TTPs:
do not use without manual check
T1086, T1090, T1095, T1566, T1503, T1499

IOCs:
IP: 13

Algorithms:
base64, aes, cbc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Pikabot - это модульная троянская вредоносная программа, способная выполнять широкий спектр команд и распространять другие вредоносные инструменты, такие как Cobalt Strike. Он распространяется аналогично трояну Qakbot и использует методы антианализа, чтобы избежать обнаружения. Он имеет функцию самоуничтожения, если язык системы - грузинский, казахский, узбекский или таджикский.-----

Обнаруженный в начале 2023 года модульный троян Pikabot способен выполнять разнообразные команды, что делает его очень мощным игроком в многоступенчатых атаках. Он работает как бэкдор, предоставляя удаленный доступ к взломанным системам через связь с командно-контрольным (C2) сервером. Этот C2-сервер может дать команду вредоносному ПО внедрить произвольный shell-код, DLL или исполняемые файлы, а также распространить другие вредоносные инструменты, такие как Cobalt Strike.

Pikabot состоит из двух основных компонентов: загрузчика и основного модуля. Загрузчик помогает осуществлять вредоносные действия, в то время как основной модуль выполняет большинство из них. Ранний анализ привел исследователей к выводу, что Pikabot распространяется трояном Qakbot, хотя дальнейшее изучение показало, что его методы распространения зеркально отражают методы Qakbot.

Модульная структура вредоносной программы позволяет ей выполнять различные вредоносные действия. Полезная нагрузка основного модуля хитро зашифрована и хранится в изображениях PNG, а для ее расшифровки используется жестко закодированный 32-байтовый ключ. Используются методы антианализа, включая проверку наличия отладчиков, точек останова и системной информации; использование общедоступных инструментов, таких как ADVobfuscator, для обфускации строк; а также многочисленные методы обнаружения среды песочницы, отладки и других попыток анализа.

Pikabot также имеет функцию самоуничтожения, если язык системы - грузинский, казахский, узбекский или таджикский, что позволяет предположить, что авторы могут намеренно избегать определенных географических регионов. Считается, что он находится на ранней стадии разработки, о чем свидетельствует его номер версии (0.1.7) и поразительное сходство с другим семейством вредоносных программ, Matanbuchus.

#ParsedReport #CompletenessMedium
13-06-2023

. Analysis of the RecordBreaker secret-stealing Trojan horse spread through video sites

https://www.antiy.cn/research/notice&report/research_report/RecordBreaker_Trojan_Analysis.html

Report completeness: Medium

Threats:
Record_breaker_stealer
Raccoon_stealer
Laplasclipper
Stopgames
Tron
Process_injection_technique

Victims:
Video creator accounts

TTPs:
Tactics: 9
Technics: 0

IOCs:
File: 7
Hash: 4
IP: 2
Url: 6

Softs:
telegram, windows defender

Wallets:
zcash

Crypto:
bitcoin, litecoin, ethereum, dogecoin, monero, tezos, cardano

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно Antiy CERT обнаружил атаку, распространившуюся через видеосайты, где злоумышленники похитили учетные записи создателей видео с более чем 100 000 подписчиков и выпустили демонстрационные видеоролики, содержащие троянского коня RecordBreaker, похищающего секреты. Antiy предоставил карту ATT&CK для предотвращения этого типа атак, и важно поддерживать системы безопасности в актуальном состоянии и быть в курсе любой подозрительной активности.
-----

Antiy CERT недавно обнаружил атаку, распространявшуюся через видеосайты. Злоумышленники похитили учетные записи создателей видео с более чем 100 000 подписчиков и выпустили демо-ролики со взломанными версиями популярного программного обеспечения. В качестве вредоносного ПО использовался троянский конь RecordBreaker, похищающий секреты. Этот тип вредоносного ПО становится все более распространенным, поскольку распространяется через видеосайты и сайты загрузки пиратского программного обеспечения. Интеллектуальная система защиты конечных точек (IEP) компании Antiy может обнаруживать и уничтожать вредоносные программы, такие как троянские программы для кражи секретов и троянские программы для майнинга.

Вводная часть видеоролика содержала адрес загрузки взломанного программного ресурса и была помечена тегом. Когда пользователь вводил ключевое слово в поисковую систему или на видеосайт, появлялись соответствующие видео. Во вступлении злоумышленники советовали пользователям отключить свои средства защиты, утверждая, что файлы ресурса не являются вредоносными. Кроме того, злоумышленники создали несколько фишинговых сайтов для скачивания, все они были связаны с популярными программами для взлома программного обеспечения.

В этой атаке злоумышленники использовали троянца RecordBreaker для кражи секретов, чтобы получить файлы полезной нагрузки из созданного проекта на GitHub. RecordBreaker - это версия 2.0 популярного семейства троянских программ для кражи секретов Raccoon. Среди файлов полезной нагрузки был троянец Laplas Clipper, который отслеживал содержимое буфера обмена на хосте жертвы и заменял любые адреса на адрес кошелька злоумышленников, что позволяло им похищать криптовалюту. Другой файл полезной нагрузки представлял собой троян для майнинга StopGames, который внедрял вредоносную полезную нагрузку в указанный процесс и добавлял такие пути, как %UserProfile%, %SystemDrive% в исключения Windows Defender.

Затем вредоносная полезная нагрузка загружала программы для майнинга, размещенные злоумышленником на GitHub, включая lolMiner.exe, xmrig.exe и WatchNew.exe. Кроме того, программа WatchNew.exe добавлялась в запланированную задачу, чтобы обеспечить ее сохранение.

Для предотвращения такого рода атак Antiy CERT предоставил карту отображения ATT&CK, соответствующую данному событию атаки. Карта дает представление о полном процессе доставки злоумышленником троянца, похищающего секреты, и может быть использована для выявления потенциальных угроз и уязвимостей. Поэтому важно поддерживать системы безопасности в актуальном состоянии и быть в курсе любой подозрительной активности на видеосайтах и других онлайн-источниках.

#ParsedReport #CompletenessLow
13-06-2023

ASEC Weekly Phishing Email Threat Trends (May 28th, 2023 June 3rd, 2023)

https://asec.ahnlab.com/en/54163

Report completeness: Low

Threats:
Agent_tesla
Formbook
Avemaria_rat

Industry:
Financial, Transport, Energy

Geo:
Korea, Korean

TTPs:

IOCs:
File: 52
Url: 14

Algorithms:
zip

#ParsedReport #CompletenessMedium
13-06-2023

Skuld: The Infostealer that Speaks Golang

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/skuld-the-infostealer-that-speaks-golang.html

Report completeness: Medium

Threats:
Skuld
Deathined_actor
Empyrean
Creal_stealer
Lunagrabber
Luna
Blackcap

Industry:
Entertainment, Media

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Coin: 1
Url: 5
Hash: 26

Softs:
discord, google chrome, chromium, telegram

Crypto:
bitcoin, ethereum, monero, litecoin, popchain, coinchase, cardano

Algorithms:
zip, sha256

Languages:
javascript, python, golang

YARA: Found

Links:
https://github.com/mandiant/GoReSym
https://github.com/addi00000/empyrean-injection
https://github.com/Inplex-sys/BlackCap-Grabber-NoDualHook
https://github.com/Ayhuuu/Creal-Stealer
https://github.com/Smug246/Luna-Grabber/tree/main

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Skuld - это новый Golang-крадун, разработанный компанией Deathined и способный похищать конфиденциальную информацию из приложений и криптовалютных активов. С момента своего появления в конце апреля он оказал глобальное воздействие и нанес масштабный ущерб по всему миру. Он использует блокчейн для проверки подозрительной активности и отправляет украденную информацию злоумышленнику через веб-крюки Discord и службу загрузки GoFile.
-----

В мае 2023 года Центр перспективных исследований Трелликс обнаружил новый похититель Голанга, известный как Skuld.

Skuld пытается украсть у своих жертв конфиденциальную информацию, включая данные, хранящиеся в приложениях, и криптовалютные активы.

Skuld написан на языке Golang 1.20.3 и включает черные списки для обнаружения методов анализа и проверки, является ли целевая система виртуальной машиной.

Skuld нацелен на информацию, хранящуюся в браузерах на базе Chromium и Gecko, делает скриншоты, извлекает системную информацию и расшаривает файлы, хранящиеся по заданным путям.

Skuld также ориентирован на криптовалютные кошельки и поддерживает Bitcoin (BTC), Ethereum (ETH), Monero (MON), Litecoin (LTC), Chia (XCH), Popchain (PCH), Coinchase (CCH), Cardano (ADA) и Dash (DASH).

Skuld отправляет украденную информацию злоумышленнику через веб-крючки Discord и службу загрузки GoFile.

Автора зовут Deathined, а его аккаунт на GitHub был создан в апреле 2023 года.

Creal Stealer, Luna Grabber и BlackCap Grabber - это публичные репозитории, связанные со Skuld.

Рост числа вредоносных программ Golang представляет собой серьезную проблему в постоянно меняющемся ландшафте кибербезопасности.

#ParsedReport #CompletenessMedium
13-06-2023

ASEC weekly malware statistics (20230605 \~ 20230611)

https://asec.ahnlab.com/ko/54123

Report completeness: Medium

Actors/Campaigns:
Ta505

Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Cloudeye
Formbook
Remcos_rat
Nanocore_rat
Lokibot_stealer
Avemaria_rat
Clipboard_grabbing_technique

Industry:
Transport

Geo:
Korea, Portugal

IOCs:
Url: 38
Domain: 2
Email: 2
File: 28

Softs:
discord, telegram, nsis installer

Languages:
visual_basic

#ParsedReport #CompletenessMedium
13-06-2023

. White Elephant Group's latest attacks using BADNEWS and Remcos commercial Trojans

https://www.antiy.cn/research/notice&report/research_report/WhiteElephant_Attack_Analysis.html

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: information_theft)
Donot

Threats:
Badnews_rat
Remcos_rat
Harpoon
Cobalt_strike

Victims:
Military and political targets in south asia

Geo:
Pakistan, Bangladesh, Turkish, German, India, Asia, Asian, Indian, Chinese, China

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 0

IOCs:
Hash: 17
File: 5
Path: 1
IP: 9
Email: 3

Softs:
android, macos, outlook

Algorithms:
aes, aes-128-cbc, base64

Win API:
SetWindowsHookExW

Languages:
php

Platforms:
intel, x86, x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация "White Elephant" была замечена в использовании политических тем для заманивания жертв на загрузку вредоносных файлов, а атака включала 19 технических моментов на 8 этапах системы ATT&CK. Было обнаружено, что она связана с коммерческим троянцем дистанционного управления, что указывает на то, что злоумышленники все чаще используют коммерческие троянцы для повышения эффективности атак при снижении затрат.
-----

White Elephant - это APT, действующая из Индии. Они известны тем, что атакуют широкий круг стран и регионов, но особое внимание уделяют Китаю и Пакистану. Замечено, что они используют политические темы, чтобы заманить жертв на загрузку вредоносных файлов. Недавно Antiy CERT обнаружил атаку организации "White Elephant" на соответствующие подразделения в определенной стране. Злоумышленники отправили по электронной почте вредоносный LNK-файл, замаскированный под PDF-документ. LNK-файл представлял собой троянскую программу удаленного управления BADNEWS, используемую для загрузки файлов, выполнения команд и захвата экрана.

Информация о цифровой подписи троянца BADNEWS была связана с вредоносными файлами с такой же подписью, а IP-адреса, связанные с атакой, как выяснилось, принадлежат немецкому поставщику облачных услуг. Также были обнаружены принадлежащие самим себе доменные имена и сайты-марионетки. Merafm.com - единственный обнаруженный марионеточный веб-сайт, который, возможно, был создан в результате атаки на уязвимость.

Всего в атаке "White Elephant" было задействовано 19 технических точек на 8 этапах структуры ATT&CK. Методы атаки и используемые коды были очень похожи на прошлые атаки "White Elephant". Было обнаружено, что с образцом цифрового сертификата связан Remcos, коммерческий троянец дистанционного управления. Это указывает на то, что злоумышленники все чаще используют коммерческие троянские программы для повышения эффективности атак при одновременном снижении затрат. Это совпадает с выводами Antiys и словацкого производителя ESET о том, что индийские организации используют коммерческих троянцев Remcos.

#ParsedReport #CompletenessMedium
13-06-2023

. Analysis of Akira ransomware suspected of using a targeted attack pattern

https://www.antiy.cn/research/notice&report/research_report/Akira_Ransomware_Analysis.html

Report completeness: Medium

Threats:
Akira_ransomware
Credential_dumping_technique

Victims:
25 victims in japan including construction, finance, education, real estate and other industries

Industry:
Education, Financial

Geo:
Japan

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 7
Hash: 5

Softs:
windows defender, bootnxt

Algorithms:
aes