#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 2, chart: 2, code: 10, windows: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Elastic Security Labs обнаружила вредоносную программу SPECTRALVIPER, нацеленную на национальный вьетнамский агропромышленный комплекс. Это сильно обфусцированный, ранее не раскрытый бэкдор для x64, который обеспечивает загрузку и внедрение PE, загрузку и скачивание файлов, манипуляции с файлами и каталогами, а также возможность имперсонации токенов. Его приписывают вьетнамскому набору вторжений и приписывают агенту угроз Canvas Cyclone/APT32/OceanLotus.
-----

Лаборатория Elastic Security Labs уже несколько месяцев отслеживает вторжение, направленное на крупные вьетнамские государственные компании, REF2754. За это время наша команда обнаружила новое вредоносное ПО, используемое в координации связанным с государством субъектом, известным как SPECTRALVIPER. Это вредоносное ПО представляет собой сильно обфусцированный, ранее не раскрытый бэкдор для x64, который обеспечивает загрузку и внедрение PE, загрузку и скачивание файлов, манипуляции с файлами и каталогами, а также возможности имперсонации токенов. Предполагается, что данный набор вторжений был осуществлен угрозой, связанной с вьетнамским государством, и связан с агентом угроз Canvas Cyclone/APT32/OceanLotus.

Анализ вредоносной программы SPECTRALVIPER показывает, что она может быть скомпилирована как исполняемый файл или DLL, которые обычно имитируют известные двоичные экспорты. Вредоносная программа может работать как в режиме именованного канала, так и в режиме HTTP. Она способна загружать и внедрять исполняемые файлы для архитектур x86 и x64. Она может выдавать себя за маркеры безопасности, предоставляя повышенные привилегии. Он может загружать и выгружать файлы на взломанную систему и из нее. Он может манипулировать файлами и каталогами на взломанной системе. Он использует DONUTLOADER, P8LOADER и POWERSEAL для создания цепочки выполнения и уклонения.

P8LOADER - это недавно обнаруженный загрузчик для x64 Windows, который используется для выполнения PE из файла или из памяти. Это вредоносное ПО способно перенаправлять вывод загруженного PE в свою систему ведения журнала и подключать импорт PE к вызовам импорта журнала. POWERSEAL - это новый и специально разработанный загрузчик PowerShell, который свободно заимствует различные инструменты наступательной безопасности с открытым исходным кодом, предоставляя наступательные возможности в оптимизированном пакете со встроенными средствами уклонения от защиты.

Используя информацию, собранную с помощью статического и динамического анализа, мы смогли идентифицировать еще несколько образцов в VirusTotal. Мы также собрали информацию об инфраструктуре C2 для этих образцов. Используя нашу сигнатуру SPECTRALVIPER YARA, мы выявили две конечные точки во второй среде, зараженные имплантатами SPECTRALVIPER. Эта среда обсуждалась в исследовании Elastic Security Labs в 2022 году, в котором описывается REF4322. Жертва REF2754 была идентифицирована как крупный вьетнамский агропромышленный комплекс.

Elastic Security Labs с умеренной уверенностью пришла к выводу, что обе группы активности REF4322 и REF2754 представляют собой кампании, спланированные и осуществленные вьетнамской угрозой, связанной с государством. Жертвой REF4322 является финансовое учреждение, которое управляет капиталом для приобретения бизнеса и бывших государственных предприятий. Жертва REF2754 - крупный агропромышленный комплекс, играющий системообразующую роль в цепочках производства и распределения продовольствия во Вьетнаме. Обе жертвы были заражены семействами вредоносных программ DONUTLOADER, P8LOADER, POWERSEAL и SPECTRALVIPER. Угрожающая группа, имеющая доступ к записям финансовых операций, доступным в REF4322, в сочетании с национальной стратегической политикой безопасности продуктов питания в REF2754, могла бы получить представление о компетентности руководства, коррупции, иностранном влиянии или манипулировании ценами.

#ParsedReport #CompletenessMedium
09-06-2023

"Quantum" system breaks down Apple mobile phones - Analysis of historical samples of Equation Group's attacks on iOS systems

https://www.antiy.cn/research/notice&report/research_report/EQUATION_iOS_Malware_Analysis.html

Report completeness: Medium

Actors/Campaigns:
Equation

Threats:
Shadow_brokers_tool
Foxacid_tool
Supply_chain_technique

Victims:
Ios devices

Industry:
Government, Education, Financial, Telco

Geo:
Israel, Swedish, Columbia, Italy, China

CVEs:
CVE-2014-1349 [Vulners]
CVSS V3.1: 6.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (7.0.4, 7.0.5, 7.1, le7.1.1, 7.0.6, 7.0.1, 7.0.2, 7.0, 7.0.3)

CVE-2017-5754 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.6
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

CVE-2017-5715 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

CVE-2014-4466 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Official fix
Soft:
- apple iphone os (le8.1.2)
- apple tvos (le7.0.1)
- apple safari (7.0.1, le6.2.0, 7.0.3, 7.0.4, 7.1.0, 8.0.0, 7.0.5, 7.0.6, 7.0, 7.0.2)
- apple itunes (le12.1)

CVE-2017-5753 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- intel core i7
- intel core i5
- intel core i3
- intel xeon e7
- intel xeon silver
have more...

ChatGPT TTPs:
do not use without manual check
T1083, T1090, T1096

IOCs:
File: 1

Softs:
mac os, android, imessage, chrome

Algorithms:
gzip, xor

Platforms:
intel, apple, arm

#ParsedReport #CompletenessLow
13-06-2023

RecordBreaker information-stealing malware disguised as a .NET installation file

https://asec.ahnlab.com/ko/54140

Report completeness: Low

Threats:
Record_breaker_stealer
Recordstealer
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1543.001, T1497.001, T1486.001, T1059.001, T1486.002, T1041.001, T1566.001

IOCs:
File: 2
Url: 14
Hash: 33
IP: 1

Softs:
net framework

Algorithms:
xor

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные коды все чаще маскируются под крэки для распространения, и об этом важно знать. Необходимо избегать использования незаконных инструментов, таких как Crack и Keygen, и использовать установочные файлы, официально распространяемые разработчиком. Центр экстренного реагирования на угрозы безопасности АнЛаб (ASEC) может помочь в выявлении потенциальных угроз.
-----

Вредоносный код эволюционирует, поскольку злоумышленники маскируют его под крэки для распространения. Ранее вредоносный код распространялся в виде исполняемого файла, но теперь злоумышленники сжимают несколько обычных файлов и папок вместе в распространяемый сжатый файл. Данный образец написан на языке Rust, что отличается от ранее распространяемых вредоносных кодов.

Размер файла увеличивается не сильно - от 20 МБ до 50 МБ, что является небольшой емкостью по сравнению с ранее распространенными образцами, в которых емкость увеличивалась до 3 ГБ. Если это не виртуальная среда, то после отсрочки выполнения с помощью команды Powershell загружается зашифрованный файл вредоносной программы с сервера злоумышленника и выполняется. Файл зашифрован методом XOR, ключ - Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY. После расшифровки загруженного файла он запускает обычный процесс (addinprocess32.exe) и внедряет его. Расшифрованный файл является вредоносной программой RecordStealer.

Когда вредоносный код выполняется в общей пользовательской среде, он обманывает пользователей, загружая и выполняя обычную программу установки с официального сайта MS. В зависимости от того, установлен ли существующий .NET Framework, может отображаться окно. Если оно обнаружено при сканировании виртуальной среды, программа загружает файл установщика .NET со следующего адреса и выполняет его. Выполнившийся RecordBreaker Stealer крадет у пользователя различную конфиденциальную информацию в соответствии со значением настройки, полученным от сервера, передает ее в C2, а затем завершает работу.

#ParsedReport #CompletenessLow
13-06-2023

Deep dive into the Pikabot cyber threat

https://news.sophos.com/en-us/2023/06/12/deep-dive-into-the-pikabot-cyber-threat

Report completeness: Low

Threats:
Pikabot
Cobalt_strike
Qakbot
Advobfuscator_tool
Matanbuchus

Geo:
Georgian

ChatGPT TTPs:
do not use without manual check
T1086, T1090, T1095, T1566, T1503, T1499

IOCs:
IP: 13

Algorithms:
base64, aes, cbc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Pikabot - это модульная троянская вредоносная программа, способная выполнять широкий спектр команд и распространять другие вредоносные инструменты, такие как Cobalt Strike. Он распространяется аналогично трояну Qakbot и использует методы антианализа, чтобы избежать обнаружения. Он имеет функцию самоуничтожения, если язык системы - грузинский, казахский, узбекский или таджикский.-----

Обнаруженный в начале 2023 года модульный троян Pikabot способен выполнять разнообразные команды, что делает его очень мощным игроком в многоступенчатых атаках. Он работает как бэкдор, предоставляя удаленный доступ к взломанным системам через связь с командно-контрольным (C2) сервером. Этот C2-сервер может дать команду вредоносному ПО внедрить произвольный shell-код, DLL или исполняемые файлы, а также распространить другие вредоносные инструменты, такие как Cobalt Strike.

Pikabot состоит из двух основных компонентов: загрузчика и основного модуля. Загрузчик помогает осуществлять вредоносные действия, в то время как основной модуль выполняет большинство из них. Ранний анализ привел исследователей к выводу, что Pikabot распространяется трояном Qakbot, хотя дальнейшее изучение показало, что его методы распространения зеркально отражают методы Qakbot.

Модульная структура вредоносной программы позволяет ей выполнять различные вредоносные действия. Полезная нагрузка основного модуля хитро зашифрована и хранится в изображениях PNG, а для ее расшифровки используется жестко закодированный 32-байтовый ключ. Используются методы антианализа, включая проверку наличия отладчиков, точек останова и системной информации; использование общедоступных инструментов, таких как ADVobfuscator, для обфускации строк; а также многочисленные методы обнаружения среды песочницы, отладки и других попыток анализа.

Pikabot также имеет функцию самоуничтожения, если язык системы - грузинский, казахский, узбекский или таджикский, что позволяет предположить, что авторы могут намеренно избегать определенных географических регионов. Считается, что он находится на ранней стадии разработки, о чем свидетельствует его номер версии (0.1.7) и поразительное сходство с другим семейством вредоносных программ, Matanbuchus.

#ParsedReport #CompletenessMedium
13-06-2023

. Analysis of the RecordBreaker secret-stealing Trojan horse spread through video sites

https://www.antiy.cn/research/notice&report/research_report/RecordBreaker_Trojan_Analysis.html

Report completeness: Medium

Threats:
Record_breaker_stealer
Raccoon_stealer
Laplasclipper
Stopgames
Tron
Process_injection_technique

Victims:
Video creator accounts

TTPs:
Tactics: 9
Technics: 0

IOCs:
File: 7
Hash: 4
IP: 2
Url: 6

Softs:
telegram, windows defender

Wallets:
zcash

Crypto:
bitcoin, litecoin, ethereum, dogecoin, monero, tezos, cardano

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно Antiy CERT обнаружил атаку, распространившуюся через видеосайты, где злоумышленники похитили учетные записи создателей видео с более чем 100 000 подписчиков и выпустили демонстрационные видеоролики, содержащие троянского коня RecordBreaker, похищающего секреты. Antiy предоставил карту ATT&CK для предотвращения этого типа атак, и важно поддерживать системы безопасности в актуальном состоянии и быть в курсе любой подозрительной активности.
-----

Antiy CERT недавно обнаружил атаку, распространявшуюся через видеосайты. Злоумышленники похитили учетные записи создателей видео с более чем 100 000 подписчиков и выпустили демо-ролики со взломанными версиями популярного программного обеспечения. В качестве вредоносного ПО использовался троянский конь RecordBreaker, похищающий секреты. Этот тип вредоносного ПО становится все более распространенным, поскольку распространяется через видеосайты и сайты загрузки пиратского программного обеспечения. Интеллектуальная система защиты конечных точек (IEP) компании Antiy может обнаруживать и уничтожать вредоносные программы, такие как троянские программы для кражи секретов и троянские программы для майнинга.

Вводная часть видеоролика содержала адрес загрузки взломанного программного ресурса и была помечена тегом. Когда пользователь вводил ключевое слово в поисковую систему или на видеосайт, появлялись соответствующие видео. Во вступлении злоумышленники советовали пользователям отключить свои средства защиты, утверждая, что файлы ресурса не являются вредоносными. Кроме того, злоумышленники создали несколько фишинговых сайтов для скачивания, все они были связаны с популярными программами для взлома программного обеспечения.

В этой атаке злоумышленники использовали троянца RecordBreaker для кражи секретов, чтобы получить файлы полезной нагрузки из созданного проекта на GitHub. RecordBreaker - это версия 2.0 популярного семейства троянских программ для кражи секретов Raccoon. Среди файлов полезной нагрузки был троянец Laplas Clipper, который отслеживал содержимое буфера обмена на хосте жертвы и заменял любые адреса на адрес кошелька злоумышленников, что позволяло им похищать криптовалюту. Другой файл полезной нагрузки представлял собой троян для майнинга StopGames, который внедрял вредоносную полезную нагрузку в указанный процесс и добавлял такие пути, как %UserProfile%, %SystemDrive% в исключения Windows Defender.

Затем вредоносная полезная нагрузка загружала программы для майнинга, размещенные злоумышленником на GitHub, включая lolMiner.exe, xmrig.exe и WatchNew.exe. Кроме того, программа WatchNew.exe добавлялась в запланированную задачу, чтобы обеспечить ее сохранение.

Для предотвращения такого рода атак Antiy CERT предоставил карту отображения ATT&CK, соответствующую данному событию атаки. Карта дает представление о полном процессе доставки злоумышленником троянца, похищающего секреты, и может быть использована для выявления потенциальных угроз и уязвимостей. Поэтому важно поддерживать системы безопасности в актуальном состоянии и быть в курсе любой подозрительной активности на видеосайтах и других онлайн-источниках.

#ParsedReport #CompletenessLow
13-06-2023

ASEC Weekly Phishing Email Threat Trends (May 28th, 2023 June 3rd, 2023)

https://asec.ahnlab.com/en/54163

Report completeness: Low

Threats:
Agent_tesla
Formbook
Avemaria_rat

Industry:
Financial, Transport, Energy

Geo:
Korea, Korean

TTPs:

IOCs:
File: 52
Url: 14

Algorithms:
zip

#ParsedReport #CompletenessMedium
13-06-2023

Skuld: The Infostealer that Speaks Golang

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/skuld-the-infostealer-that-speaks-golang.html

Report completeness: Medium

Threats:
Skuld
Deathined_actor
Empyrean
Creal_stealer
Lunagrabber
Luna
Blackcap

Industry:
Entertainment, Media

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Coin: 1
Url: 5
Hash: 26

Softs:
discord, google chrome, chromium, telegram

Crypto:
bitcoin, ethereum, monero, litecoin, popchain, coinchase, cardano

Algorithms:
zip, sha256

Languages:
javascript, python, golang

YARA: Found

Links:
https://github.com/mandiant/GoReSym
https://github.com/addi00000/empyrean-injection
https://github.com/Inplex-sys/BlackCap-Grabber-NoDualHook
https://github.com/Ayhuuu/Creal-Stealer
https://github.com/Smug246/Luna-Grabber/tree/main

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Skuld - это новый Golang-крадун, разработанный компанией Deathined и способный похищать конфиденциальную информацию из приложений и криптовалютных активов. С момента своего появления в конце апреля он оказал глобальное воздействие и нанес масштабный ущерб по всему миру. Он использует блокчейн для проверки подозрительной активности и отправляет украденную информацию злоумышленнику через веб-крюки Discord и службу загрузки GoFile.
-----

В мае 2023 года Центр перспективных исследований Трелликс обнаружил новый похититель Голанга, известный как Skuld.

Skuld пытается украсть у своих жертв конфиденциальную информацию, включая данные, хранящиеся в приложениях, и криптовалютные активы.

Skuld написан на языке Golang 1.20.3 и включает черные списки для обнаружения методов анализа и проверки, является ли целевая система виртуальной машиной.

Skuld нацелен на информацию, хранящуюся в браузерах на базе Chromium и Gecko, делает скриншоты, извлекает системную информацию и расшаривает файлы, хранящиеся по заданным путям.

Skuld также ориентирован на криптовалютные кошельки и поддерживает Bitcoin (BTC), Ethereum (ETH), Monero (MON), Litecoin (LTC), Chia (XCH), Popchain (PCH), Coinchase (CCH), Cardano (ADA) и Dash (DASH).

Skuld отправляет украденную информацию злоумышленнику через веб-крючки Discord и службу загрузки GoFile.

Автора зовут Deathined, а его аккаунт на GitHub был создан в апреле 2023 года.

Creal Stealer, Luna Grabber и BlackCap Grabber - это публичные репозитории, связанные со Skuld.

Рост числа вредоносных программ Golang представляет собой серьезную проблему в постоянно меняющемся ландшафте кибербезопасности.

#ParsedReport #CompletenessMedium
13-06-2023

ASEC weekly malware statistics (20230605 \~ 20230611)

https://asec.ahnlab.com/ko/54123

Report completeness: Medium

Actors/Campaigns:
Ta505

Threats:
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Agent_tesla
Azorult
Cloudeye
Formbook
Remcos_rat
Nanocore_rat
Lokibot_stealer
Avemaria_rat
Clipboard_grabbing_technique

Industry:
Transport

Geo:
Korea, Portugal

IOCs:
Url: 38
Domain: 2
Email: 2
File: 28

Softs:
discord, telegram, nsis installer

Languages:
visual_basic

#ParsedReport #CompletenessMedium
13-06-2023

. White Elephant Group's latest attacks using BADNEWS and Remcos commercial Trojans

https://www.antiy.cn/research/notice&report/research_report/WhiteElephant_Attack_Analysis.html

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: information_theft)
Donot

Threats:
Badnews_rat
Remcos_rat
Harpoon
Cobalt_strike

Victims:
Military and political targets in south asia

Geo:
Pakistan, Bangladesh, Turkish, German, India, Asia, Asian, Indian, Chinese, China

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 0

IOCs:
Hash: 17
File: 5
Path: 1
IP: 9
Email: 3

Softs:
android, macos, outlook

Algorithms:
aes, aes-128-cbc, base64

Win API:
SetWindowsHookExW

Languages:
php

Platforms:
intel, x86, x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация "White Elephant" была замечена в использовании политических тем для заманивания жертв на загрузку вредоносных файлов, а атака включала 19 технических моментов на 8 этапах системы ATT&CK. Было обнаружено, что она связана с коммерческим троянцем дистанционного управления, что указывает на то, что злоумышленники все чаще используют коммерческие троянцы для повышения эффективности атак при снижении затрат.
-----

White Elephant - это APT, действующая из Индии. Они известны тем, что атакуют широкий круг стран и регионов, но особое внимание уделяют Китаю и Пакистану. Замечено, что они используют политические темы, чтобы заманить жертв на загрузку вредоносных файлов. Недавно Antiy CERT обнаружил атаку организации "White Elephant" на соответствующие подразделения в определенной стране. Злоумышленники отправили по электронной почте вредоносный LNK-файл, замаскированный под PDF-документ. LNK-файл представлял собой троянскую программу удаленного управления BADNEWS, используемую для загрузки файлов, выполнения команд и захвата экрана.

Информация о цифровой подписи троянца BADNEWS была связана с вредоносными файлами с такой же подписью, а IP-адреса, связанные с атакой, как выяснилось, принадлежат немецкому поставщику облачных услуг. Также были обнаружены принадлежащие самим себе доменные имена и сайты-марионетки. Merafm.com - единственный обнаруженный марионеточный веб-сайт, который, возможно, был создан в результате атаки на уязвимость.

Всего в атаке "White Elephant" было задействовано 19 технических точек на 8 этапах структуры ATT&CK. Методы атаки и используемые коды были очень похожи на прошлые атаки "White Elephant". Было обнаружено, что с образцом цифрового сертификата связан Remcos, коммерческий троянец дистанционного управления. Это указывает на то, что злоумышленники все чаще используют коммерческие троянские программы для повышения эффективности атак при одновременном снижении затрат. Это совпадает с выводами Antiys и словацкого производителя ESET о том, что индийские организации используют коммерческих троянцев Remcos.

#ParsedReport #CompletenessMedium
13-06-2023

. Analysis of Akira ransomware suspected of using a targeted attack pattern

https://www.antiy.cn/research/notice&report/research_report/Akira_Ransomware_Analysis.html

Report completeness: Medium

Threats:
Akira_ransomware
Credential_dumping_technique

Victims:
25 victims in japan including construction, finance, education, real estate and other industries

Industry:
Education, Financial

Geo:
Japan

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 7
Hash: 5

Softs:
windows defender, bootnxt

Algorithms:
aes

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT недавно обнаружил несколько атак Akira ransomware, которые состоят из пяти этапов.
-----

Недавно Antiy CERT (член рабочей группы CCTGA по предотвращению и реагированию на Ransomware) обнаружил многочисленные атаки Akira ransomware. Впервые программа Akira ransomware была обнаружена в марте 2023 года, а ее полезная нагрузка атаки не получила масштабного распространения. Зарубежные производители систем безопасности обнаружили, что злоумышленник изначально получал доступ к системе жертвы через VPN, поэтому предполагается, что организация, стоящая за атакой, использует режим целевой атаки для проведения атак ransomware.

После проникновения в систему жертвы злоумышленник использует инструмент Remote Desktop Protocol (RDP) или другие инструменты для распространения во внутренней сети. Полезная нагрузка ransomware использует алгоритм AES+RSA для шифрования файла, и до сих пор не было найдено общедоступного инструмента расшифровки. Akira ransomware работает в режиме "двойного вымогательства", то есть "кража данных + шифрование файлов". С 21 апреля организация, стоящая за этой атакой, публикует информацию о жертвах и похищенные данные на сайте Tor. По состоянию на 30 мая в Японии была обнародована информация о 25 жертвах и данные, похищенные из систем 11 жертв, включая строительство, финансы, образование, недвижимость и другие отрасли.

Процесс атаки Akira ransomware можно разделить на пять этапов: 1. Сброс инструментов кражи и полезной нагрузки ransomware в систему жертвы; 2. Использование инструмента командной строки для удаления теневых резервных копий дисковых томов, отключения восстановления системы и обхода функций безопасности Windows Defender для обеспечения беспрепятственного выполнения последующих процессов; 3. Возврат украденных данных злоумышленнику через определенный канал C2 или инструмент; 4. Доставка записки с выкупом; 5. Шифрование файла данных.

#ParsedReport #CompletenessLow
14-06-2023

Shampoo: A New ChromeLoader Campaign

https://threatresearch.ext.hp.com/shampoo-a-new-chromeloader-campaign

Report completeness: Low

Threats:
Shampoo
Chromeloader

TTPs:
Tactics: 2
Technics: 10

IOCs:
File: 5
Registry: 1
Domain: 36
Hash: 2

Softs:
chrome, google chrome, chrome_, task scheduler

Algorithms:
base64, xor, rc4, zip

Languages:
javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 2, windows: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда HP Wolf Security обнаружила новую кампанию вредоносного ПО под названием Shampoo, которое, вероятно, является вариантом ChromeLoader и используется для внедрения рекламы и кражи личной информации. Цепочка заражения начинается с вредоносного VBScript и завершается установкой вредоносного расширения Chrome. Он сильно обфусцирован и имеет несколько механизмов сохранения.
-----

Команда HP Wolf Security недавно обнаружила новую кампанию вредоносного ПО под названием Shampoo, основанную на вредоносном расширении браузера ChromeLoader. Кампания, вероятно, началась в начале марта 2023 года, и жертвы сталкивались с ней в основном при загрузке нелегального контента, такого как фильмы и видеоигры. Вредоносный файл VBScript, загруженный жертвой, запускает сложную цепочку заражения, которая в конечном итоге приводит к установке вредоносного расширения Chrome.

Цепочка заражения начинается с вредоносного сценария VBScript, который запускает сценарий PowerShell, устанавливающий запланированную задачу, делающую заражение постоянным. Эта запланированная задача каждые 50 минут запускает циклический сценарий, который загружает и запускает другой сценарий PowerShell. Этот сценарий загружает и устанавливает вредоносное расширение Chrome. После установки расширение начинает собирать конфиденциальную личную информацию, такую как поисковые запросы, а также перенаправлять поиск и внедрять рекламу в сеанс просмотра веб-страниц жертвы.

Вредоносное расширение сильно обфусцировано и содержит множество ловушек, препятствующих отладке и анализу. Кроме того, оно имеет множество механизмов сохранения, таких как отключение предложений поиска в адресной строке, регулярная отправка данных на командно-контрольный сервер, перенаправление поиска Google, Yahoo и Bing, запись последнего поискового запроса в локальное хранилище Chrome и предотвращение доступа жертв к chrome://extensions. Все взаимодействия с командно-контрольным сервером защищены и требуют аутентификационного cookie.

Данные, отправляемые на командно-контрольный сервер, шифруются с помощью смеси RC4 и собственной схемы шифрования. Пользовательская схема состоит из генерации 20-30 длинных ключей из случайных байтов и последующего их сшивания с сообщением.

Кампания ChromeLoader Shampoo очень похожа на старые версии ChromeLoader по цепочке заражения, распространению и цели. Существует множество сходств кода между расширением Shampoo и публично задокументированными версиями ChromeLoader. Мы с высокой степенью уверенности считаем, что Shampoo - это вариант ChromeLoader, использованный в данной кампании. Монетизация этого варианта соответствует другим публично задокументированным вариантам ChromeLoader, а именно рекламе через перенаправления.

#ParsedReport #CompletenessHigh
14-06-2023

Behind the Scenes: Unveiling the Hidden Workings of Earth Preta. Introduction

https://www.trendmicro.com/en_us/research/23/f/behind-the-scenes-unveiling-the-hidden-workings-of-earth-preta.html

Report completeness: High

Actors/Campaigns:
Earth_preta
Red_delta

Threats:
Mirogo
Qmagent
Tonedrop
Toneins
Toneshell
Mqsttang
Windbg_tool
Pubload

Victims:
Government entities, telecommunications industry, individuals across different regions

Industry:
Government, Iot, Telco

Geo:
Japan, Apac, Asia-pacific, Australia, Asia, Taiwan, Asian, Philippines, Myanmar

TTPs:

IOCs:
File: 21
Path: 9
Url: 170
Hash: 18
IP: 4

Algorithms:
xor, sha256

Win API:
CoCreateGuid, GetTickCount

Languages:
golang, javascript

Platforms:
x64