#ParsedReport #CompletenessMedium
15-06-2023

Shuckworm: Inside Russia s Relentless Cyber Campaign Against Ukraine

https://symantec-enterprise-blogs.security.com/threat-intelligence/shuckworm-russia-ukraine-military

Report completeness: Medium

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Leviathan

Threats:
Html_smuggling_technique
Pterodo
Giddome

Victims:
Security services, military, and government organizations in ukraine

Industry:
Government

Geo:
Ukrainian, Russian, Ukraine, Russia

IOCs:
File: 47
Registry: 1
Hash: 13
IP: 158

Softs:
telegram

Algorithms:
base64

Languages:
visual_basic, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что связанная с Россией группа Shuckworm осуществляет многочисленные кибератаки на украинские службы безопасности, военные и правительственные организации и использует различные методы для уклонения от обнаружения. Эта деятельность позволяет предположить, что поддерживаемые российским государством группы атак отдают предпочтение дорогостоящим украинским целям в попытках найти данные, которые могут потенциально помочь их военным операциям.
-----

Shuckworm, также известная как Gamaredon и Armageddon, - связанная с Россией группа, которая атакует Украину с 2014 года. Эта группа совершала многочисленные кибератаки на украинские службы безопасности, военные и правительственные организации, причем некоторые вторжения продолжались до трех месяцев. Было замечено, что Shuckworm использует фишинговые письма с вредоносными вложениями в качестве первоначального вектора заражения, а также вредоносное ПО для распространения по USB. В качестве командных и управляющих серверов злоумышленники использовали легитимные сервисы, такие как сервис обмена сообщениями Telegram и платформа микроблогов Telegraph.

Чтобы избежать обнаружения, Shuckworm регулярно обновляет свой инструментарий и методы обфускации. Группа была замечена в использовании пользовательского вредоносного бэкдора, известного как Pterodo, а также инструмента для похищения информации под названием Giddome. На зараженных компьютерах были обнаружены конфиденциальные документы, связанные с украинскими службами безопасности или государственными ведомствами.

Цели этой кампании позволяют предположить, что российские группы атак, поддерживаемые российскими государствами, отдают предпочтение дорогостоящим украинским объектам в попытках найти данные, которые могут помочь их военным операциям. Эта активность свидетельствует о том, что Shuckworm продолжает неустанно фокусироваться на Украине, и что эта группа, вероятно, будет оставаться угрозой в регионе в течение некоторого времени.

#ParsedReport #CompletenessMedium
15-06-2023

ChamelGang and ChamelDoH: A DNS-over-HTTPS implant

https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant

Report completeness: Medium

Actors/Campaigns:
Chamelgang

Threats:
Chameldoh
Domain_fronting_technique

Victims:
Energy, aviation, and government organizations in russia, the united states, japan, turkey, taiwan, vietnam, india, afghanistan, lithuania, and nepal

Industry:
Energy, Aerospace, Government

Geo:
Turkey, Vietnam, China, Japan, Nepal, Afghanistan, Russia, Taiwan, India, Lithuania

ChatGPT TTPs:
do not use without manual check
T1218.001, T1090.003, T1088.003, T1565.001

IOCs:
Hash: 10
IP: 2
Domain: 9

Algorithms:
base64, aes-128

Win Services:
bits

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда Stairwell Threat Research выявила набор инструментов для вторжений в Windows и Linux, используемый ChamelGang, включая C++ имплант ChamelDoH. Данный отчет является первым в серии, подробно описывающей функциональность инструментария этого агента.
-----

Команда Stairwell Threat Research недавно выявила различные инструменты, используемые ChamelGang, сложной группой, связанной с Китаем. Эта группа атаковала энергетические, авиационные и правительственные организации в России, США, Японии, Турции, Тайване, Вьетнаме, Индии, Афганистане, Литве и Непале.

Команда Stairwell Threat Research выявила надежный набор инструментов для Windows и набор инструментов для Linux, используемых ChamelGang. Одним из примеров инструментария Linux является ChamelDoH, имплантат C++, разработанный для связи через туннелирование DNS-over-HTTPS (DoH). Имплант собирает системную информацию для составления профиля зараженной машины и способен выполнять основные операции удаленного доступа, такие как загрузка, скачивание, удаление и выполнение файлов.

ChamelDoH обрабатывает запросы DoH, используя настроенных провайдеров и вредоносные серверы имен, кодируя свои C2-коммуникации как поддомены вредоносного сервера имен. Он использует HTTPS, что предотвращает проверку запросов без вмешательства человека в трафик. ChamelDoH шифрует свои сообщения с помощью AES128 и кодирует результат в base64. Он использует модифицированный алфавит base64, чтобы гарантировать, что закодированные данные могут быть переданы через DNS.

Используя возможности обнаружения и анализа вариантов нового поколения, команда Stairwell Threat Research обнаружила в общей сложности 10 образцов ChamelDoH. Примечательно, что один образец находится в открытом доступе в сторонних репозиториях вредоносного ПО. Этот образец был впервые загружен на VirusTotal в декабре 2022 года и не обнаружен на платформе ни одним поставщиком или участником сообщества.

В дополнение к ChamelDoH команда Stairwell Threat Research обнаружила конфигурационный файл для FRP, настроенный на связь с доменом, ранее связанным с ChamelGang, а также образец LinuxPrivilegeElevator. Оба этих инструмента подробно описаны в отчете Positive Technologies о ChamelGang.

Исходя из наличия других инструментов вторжения, которые однозначно относятся к ChamelGang, Stairwell Threat Research считает, что это семейство вредоносных программ с высокой вероятностью было разработано одной и той же группой. Анализ ChamelDoH и других ранее не идентифицированных инструментов, используемых ChamelGang, продолжается командой Stairwell Threat Research.

#ParsedReport #CompletenessMedium
15-06-2023

Lazarus Threat Group Exploiting Vulnerability of Korean Finance Security Solution

https://asec.ahnlab.com/en/54195

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Watering_hole_technique
Kisa
Lazardoor
Trojan/win.agent
Lazarloader

Industry:
Financial

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1112, T1083, T1012, T1064, T1023, T1090, T1074, T1218, T1086

IOCs:
File: 8
Path: 1
IP: 1
Hash: 10
Url: 9

Softs:
inisafe crossweb ex, magicline4nx, vestcert

Algorithms:
sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Было установлено, что угрожающая группа Lazarus нацелилась на VestCert и TCO!Stream, два широко используемых программных решения в Южной Корее. Угрожающая группа использует метод "watering hole" для первоначального проникновения в компании, а затем использует уязвимость TCO!Stream для распространения вредоносного ПО на внутренние системы. Компания AhnLab сообщила об уязвимости в KISA и рекомендовала вручную удалить программное обеспечение перед повторной установкой.
-----

Угрожающая группа Lazarus, известная тем, что активно использует уязвимости в программном обеспечении, используемом в Южной Корее, теперь, как выяснилось, нацелилась еще на два решения - VestCert и TCO!Stream. VestCert - это программное обеспечение веб-безопасности, разработанное компанией Yettiesoft с использованием не-ActiveX подхода, а TCO!Stream - это программа управления активами компании, созданная MLsoft. Оба решения широко используются корейскими компаниями.

Угрожающая группа использует метод "watering hole" при осуществлении первоначального взлома компаний. Когда пользователи с уязвимыми версиями VestCert, установленными на их системах Windows, посещают определенный веб-сайт, на который внедрен вредоносный скрипт, то, независимо от типа их веб-браузера, выполняется PowerShell из-за уязвимости выполнения сторонних библиотек в программном обеспечении VestCert. После выполнения PowerShell подключается к серверу C2 для загрузки и выполнения вредоносного ПО.

Затем группа угроз использует уязвимость TCO!Stream, чтобы распространить вредоносное ПО на внутренние системы с первоначально пораженной системы. TCO!Stream состоит из сервера и клиента; сервер предлагает такие функции, как распространение программного обеспечения среди клиентов и удаленное управление. Группа угроз генерирует командные пакеты, чтобы проинструктировать клиента загрузить и выполнить определенный файл с сервера. После получения этой команды клиент получает доступ к серверу TCO!Stream и приступает к загрузке и выполнению вредоносного файла, который группа угроз подготовила заранее.

AhnLab Security Emergency response Center (ASEC) проанализировал уязвимости VestCert и TCO!Stream, которые были использованы в данном случае, и сообщил о них в Korea Internet & Security Agency (KISA). Информация также была передана соответствующим компаниям, и в настоящее время уязвимости, о которых идет речь, исправлены. Однако, поскольку программное обеспечение не обновляется автоматически, во многих местах все еще используются уязвимые версии программы. Рекомендуется вручную удалить программное обеспечение перед повторной установкой.

#ParsedReport #CompletenessHigh
15-06-2023

Mystic Stealer. Key Points

https://www.zscaler.com/blogs/security-research/mystic-stealer

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Polymorphism_technique
Arkei_stealer
Sandbox_evasion_technique
Advobfuscator_tool
Neutrino_pos

Victims:
Cryptocurrency wallets, steam, telegram

Industry:
Government, Petroleum, Financial

Geo:
Russia, Indian, Germany, Latvian, China, France, Russian, Bulgarian

ChatGPT TTPs:
do not use without manual check
T1545, T1003, T1002, T1092, T1140, T1036, T1082, T1105, T1071, T1076, have more...

IOCs:
File: 10
Email: 1
Domain: 3
Url: 8
IP: 9
Coin: 7
Hash: 6

Softs:
telegram, hyper-v, virtualbox, django, opera, k-meleon, icecat, mozilla firefox, icedragon, cyberfox, have more...

Wallets:
dashcore, tronlink, binancechain, yoroi, nifty, math_wallet, coinbase, guarda_wallet, equal_wallet, jaxx, have more...

Crypto:
bitcoin, multiversx, ethereum, polkadot, binance, dogecoin, litecoin, bitcoingold

Algorithms:
rc4, xor

Languages:
python, php

Links:
https://github.com/Microv/MysticStealer\_HashResolver
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_nameservers.txt
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domains.txt
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/decrypt\_c2s.py
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domain\_whois.txt
https://github.com/phish-report/IOK/blob/main/indicators/mystic-stealer-88b6ef2f.yml
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/import\_hash.py
https://github.com/andrivet/ADVobfuscator
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/c2s.txt
https://github.com/montysecurity/C2-Tracker/blob/main/data/Mystic%20Stealer%20IPs.txt
https://github.com/a0rtega/pafish/blob/master/pafish/cpu.c

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mystic Stealer - это штамм вредоносного ПО с функциями антианализа и уклонения от защиты, такими как истечение срока действия двоичных файлов, антивиртуализация, импорт Windows API по хэшу, шифрованный двоичный пользовательский протокол и полиморфная обфускация строк. Он способен похищать данные и учетные данные пользователей и рекламируется на подпольных форумах за ежемесячную арендную плату.
-----

Mystic Stealer - это штамм вредоносного ПО, предназначенного для кражи пользовательских данных и учетных данных из зараженной системы. Впервые он был анонсирован в апреле 2023 года и нацелен на веб-браузеры, расширения браузеров, криптовалютные кошельки, Steam и Telegram. Mystic Stealer сильно обфусцирован с помощью полиморфной обфускации строк, разрешения импорта на основе хэша и вычисления констант во время выполнения, и общается со своими командными и управляющими серверами с помощью пользовательского двоичного протокола, зашифрованного с помощью RC4. Он способен собирать такую информацию, как имя хоста системы, имя пользователя и GUID, данные автозаполнения, историю просмотров, произвольные файлы, cookies, а также информацию, связанную с криптовалютными кошельками и учетными данными Steam и Telegram.

Разработчики Mystic Stealer предоставляют веб-панель управления, реализованную на Python Django, для взаимодействия криминальных пользователей с программой. Панель управления находится вне диапазона на отдельном открытом сервисном порту, который вредоносная программа использует для C2-коммуникаций. Продавец Mystic Stealer рекламировал проект на таких подпольных форумах, как WWH (WWH-Club), BHF (Best Hack Forums) и XSS. Он выставлен на аренду по цене $150 в месяц.

Mystic Stealer был связан с множеством IP-адресов хостинга серверов в различных географических регионах, включая, но не ограничиваясь регистрацией во Франции, Германии, России, США и Китае. Был выявлен кластер серверов C2, обозначенный как кластер "Grand", который первоначально работал и обслуживал панели управления Mystic Stealer. В последнее время многие из этих сайтов, по-видимому, перешли в автономный режим, а вышестоящая CDN сообщила о сбоях в соединении.

Mystic Stealer обладает такими функциями защиты от анализа и уклонения от защиты, как истечение срока действия двоичных файлов, антивиртуализация, импорт Windows API по хэшу, шифрованный двоичный пользовательский протокол и полиморфная обфускация строк. Он способен загружать дополнительные полезные нагрузки вредоносного ПО и обладает способностью к персистенции. Zscaler обнаруживает индикаторы, связанные с Mystic Stealer, на различных уровнях со следующими названиями угроз. Сигнатуры Suricata обнаруживают начальный обмен ключами соединения C2.

#ParsedReport #CompletenessMedium
15-06-2023

SeroXen Incorporates Latest BatCloak Engine Iteration

https://www.trendmicro.com/en_us/research/23/f/seroxen-incorporates-latest-batcloak-engine-iteration.html

Report completeness: Medium

Threats:
Seroxen_rat
Batcloak_tool
Jlaive_tool
Exe2bat_tool
Scrubcrypt
Junk_code_technique
Quasar_rat

Industry:
Financial, Entertainment

ChatGPT TTPs:
do not use without manual check
T1036.003, T1218.002, T1045, T1055.001, T1220, T1090

IOCs:
File: 8

Softs:
discord, sharpunhooker

Algorithms:
zip, base64, exhibit, cbc, xor, aes

Functions:
CreateCS

Languages:
python

YARA: Found

Links:
https://github.com/quasar/Quasar
https://github.com/GetRektBoy724/SharpUnhooker

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, code: 11, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SeroXen - это вредоносный троян удаленного доступа, который использует сильно обфусцированный пакетный файл, чтобы стать необнаруживаемым (FUD). Технический анализ может быть использован для деобфускации команд, связанных с выполнением пакетного файла. Он предлагается на официальном сайте и может быть обнаружен и деобфусцирован с помощью правила Yara и сценария PowerShell.
-----

SeroXen - это вредоносный троян удаленного доступа (RAT), который использует сильно обфусцированный пакетный файл для заражения жертв hVNC-(Hidden Virtual Network Computing). Эта техника позволяет вредоносной программе стать полностью необнаруживаемой, или FUD. В этой серии из трех частей рассказывается о злоупотреблении BatCloak возможностями уклонения и взаимодействии с другими вредоносными программами. В первой части мы рассмотрели зарождение и развитие механизма обфускации BatCloak. Вторая часть посвящена техническим аспектам процесса заражения SeroXen.

Процесс заражения начинается с пакетного файла, который обычно размещается на Discord CDN или других облачных хранилищах. Эти файлы имеют размер от 10 до 15 МБ и содержат слои методов обфускации с лишними фрагментами кода, которые затрудняют анализ пакетного файла. Однако с помощью технического анализа можно деобфусцировать команды, связанные с выполнением пакетного файла.

Бинарный файл билдера для SeroXen защищен Agile .NET. После распаковки функций и ресурсов билдера видно, что SeroXen представляет собой модифицированную версию Quasar RAT с добавленными функциями, такими как руткит и использование движков обфускации Jlaive и BatCloak для генерации FUD .bat-загрузчиков.

Сборщик создает полезную нагрузку Quasar RAT и передает ее в функцию Crypt. Crypt использует многоступенчатый генератор загрузчиков Jlaive crypter и исходный код обфускатора BatCloack для создания необнаруживаемых загрузчиков. Затем этот загрузчик шифруется с помощью алгоритма AES с режимом шифрования CBC. Конструктор принимает конфигурацию пользователя и создает первый загрузчик, используя файл шаблона C#. Затем пакетный файл деобфусцирует сценарий PowerShell и выполняет его.

SeroXen предлагается на официальном веб-сайте и страницах социальных сетей и обмена информацией с видеороликами о том, как использовать RAT, как если бы это был законный инструмент. Он также предлагает ежемесячные и пожизненные варианты ключей для покупки онлайн. Для обнаружения и деобфускации обфусцированных пакетных файлов SeroXen можно использовать правило Yara и сценарий PowerShell.

#ParsedReport #CompletenessMedium
15-06-2023

Tracking Diicot: an emerging Romanian threat actor

https://www.cadosecurity.com/tracking-diicot-an-emerging-romanian-threat-actor

Report completeness: Medium

Actors/Campaigns:
Mexals

Threats:
Diicot
Mirai
Cayosin
Upx_tool
Snowflake
Xmrig_miner

Victims:
Openwrt routers, Ssh servers exposed to the internet

Geo:
Romanian, Romania

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1486, T1036, T1071, T1563, T1497, T1558

IOCs:
File: 1
Url: 5
Domain: 2
Hash: 11
IP: 4
Coin: 1

Softs:
chrome, discord, openwrt, opera, systemd, curl

Crypto:
monero

Algorithms:
base64

Languages:
golang

Platforms:
arm

Links:
https://github.com/cado-security
https://github.com/lcashdol/UPX
https://github.com/neurobin/shc
https://github.com/horsicq/Detect-It-Easy

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Diicot - это новая группа угроз, цели которой включают развертывание самораспространяющегося инструмента начального доступа, использование пользовательских упаковщиков для обфускации двоичных полезных нагрузок, криптоджекинг, doxxing и развертывание агента ботнета. Cado Labs рекомендует читателям внедрить базовую защиту SSH для защиты от этого семейства вредоносных программ.
-----

Diicot - это новая угрожающая группа, в задачи которой входит развертывание самораспространяющегося инструмента начального доступа, использование пользовательских упаковщиков для обфускации бинарных полезных нагрузок, широко распространенный криптоджекинг на скомпрометированных объектах, выявление уязвимых систем с помощью сканирования Интернета, обнародование личных данных предполагаемых врагов (doxxing) и развертывание агента ботнета, участвующего в DDoS-атаках. Отчетность C2 ведется через Discord и собственную конечную точку API.

Кампании Diicot обычно включают длинную цепочку выполнения, в которой отдельные полезные нагрузки и их результаты образуют взаимозависимые связи. Первоначальный доступ осуществляется через пользовательский инструмент SSH-перебора под названием aliases, который получает список целевых IP-адресов и пар имя пользователя/пароль для проведения атаки методом перебора. Кроме того, Diicot использует Shell Script Compiler (shc) и пользовательскую версию UPX при создании своих полезных нагрузок, а исследователь Akamai Ларри Кэшдоллар создал утилиту upx_dec для распаковки своих полезных нагрузок.

После взлома системы Diicot устанавливает сценарий-распространитель в стиле Mirai, bins.sh, если встречается маршрутизатор OpenWrt. Этот скрипт извлекает версии агента ботнета Cayosin для различных архитектур. Diicot также развертывает майнер XMRig, Opera, и регистрирует контролируемый злоумышленником SSH-ключ для поддержания доступа к системе. Также создается cronjob для запуска History и Update, который сохраняется как .5p4rk3l5 перед загрузкой. Наконец, Diicot имеет интернет-сканер, основанный на Zmap, который записывает результаты сканирования в текстовый файл (bios.txt), который затем читается псевдонимами как список целей для проведения SSH brute-forcing.

Cado Labs рекомендует читателям внедрить базовую защиту SSH для защиты от этого семейства вредоносных программ, включая обязательную аутентификацию на основе ключей для экземпляров SSH и внедрение правил брандмауэра для ограничения доступа к SSH для определенных IP-адресов. Кроме того, попытки сканирования с помощью форка Zmap от Diicot особенно шумны и могут приводить к появлению множества исходящих SYN-пакетов на адреса в произвольном сетевом префиксе /16. Эта активность должна быть легко выявлена администраторами с адекватным мониторингом сети.

#ParsedReport #CompletenessMedium
15-06-2023

APT-C-36. 1. Attack activity analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492736&idx=1&sn=9fd201a6737742b6c5aea63119d9ce5f&chksm=f9c1d789ceb65e9fe79d592dc2161f76935b6704bb5b5fafaac84e3d792a4cb458e5f23f3e75&scene=178&cur_album_id=1955835290309230595

Report completeness: Medium

Actors/Campaigns:
Blindeagle
Aggaa

Threats:
Njrat
Asyncrat_rat
Arrow_rat
Remcos_rat
Quasar_rat

Victims:
Colombian government departments, financial, insurance and other industries, as well as large companies

Industry:
Financial, Government

Geo:
Ecuador, American, Panama, Colombian, Colombia, Turkish, America, German

IOCs:
IP: 1
Hash: 11
Domain: 1
Url: 2
File: 3
Registry: 1

Softs:
viotto binder, viottobinder

#ParsedReport #ExtractedSchema

Classified images:
code: 8, dump: 1, windows: 6, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-36 (Blind Eagle) - это вредоносная APT-организация, которая в течение последних 21 года атакует страны Южной Америки. Она постоянно обновляет свой арсенал и процесс атаки новыми полезными нагрузками и методами атаки, такими как зашифрованные самораспаковывающиеся сжатые пакеты и LNK-файлы, а также модифицировала код Viotto Binder с открытым исходным кодом для упаковки вредоносных файлов, которые они хотят выполнить. Конечные полезные нагрузки используются для внедрения в RegAsm.exe для запуска и в основном представляют собой бэкдор-программы NjRat.
-----

APT-C-36 (Blind Eagle) - это вредоносная организация APT, предположительно базирующаяся в Южной Америке. Она известна тем, что атакует правительственные ведомства Колумбии, финансовые, страховые и другие отрасли, а также крупные корпорации. Организация постоянно обновляет свои методы атак, добавляя новые полезные нагрузки, такие как NjRAT, ArrowRAT, ASyncRAT, Remcos, QuasarRAT и другие бэкдоры.

Метод атаки заключается в отправке фишинговых писем с обфусцированными файлами сценариев VBS, которые доставляют вредоносные файлы, такие как доставка команд, доставка вредоносных документов и поток атак с выполнением команд атаки проникновения. Организация постоянно оптимизирует поток атак, чтобы сделать его более эффективным. В последнее время APT-C-36 использует зашифрованные самораспаковывающиеся сжатые пакеты и LNK-файлы для проведения spear phishing-атак на целевые группы.

Злоумышленник отправляет PDF-файл, содержащий ссылку на вредоносный файл, по электронной почте и помечает пароль сжатия вредоносного сжатого файла в PDF-файле, чтобы заманить пользователя довериться и перейти по вредоносной ссылке, чтобы загрузить файл полезной нагрузки для распаковки и запуска. Код VBS запрашивает данные ресурса загрузчика с удаленного сервера для расшифровки, загрузки и запуска путем вызова Powershell. Выпущенный PE-файл представляет собой упакованный кейлоггер, который является программой Viotto Binder с открытым исходным кодом. Злоумышленник модифицирует код Viotto Binder с открытым исходным кодом, чтобы упаковать вредоносные файлы, которые он хочет выполнить. После запуска упакованного файла, он копирует основной файл в каталог "C:\Windows\SysWOW64\word", переименовывает его в "wordz.exe" и устанавливает для регистрации Table persistence (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Remcos).

Viotto Keylogger имеет функции фильтрации указанного окна и кражи клавиатурного ввода пользователя указанного процесса пользователем, мониторинга экрана машины жертвы, мониторинга буфера обмена, возврата данных FTP и возврата данных электронной почты. После обработки данных полезной нагрузки она внедряется в RegAsm.exe для запуска, и конечной полезной нагрузкой является программа-бэкдор NjRat.

#ParsedReport #CompletenessLow
15-06-2023

Busting CryptosLabs: a scam ring targeting French speakers for millions

https://www.group-ib.com/blog/cryptoslabs-investment-scams

Report completeness: Low

Actors/Campaigns:
Cryptoslabs (motivation: cyber_criminal)

Threats:
Gozi

Victims:
French-speaking victims in europe

Industry:
Financial

Geo:
Germany, Netherlands, French, Luxembourg, Belgium, France

IOCs:
Domain: 2
Hash: 1

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, table: 1, schema: 2, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CryptosLabs - это хорошо организованный преступный синдикат, действующий в Европе с 2018 года, который использует набор для мошенничества, нацеленный на франкоговорящих людей во Франции, Бельгии и Люксембурге, чтобы ограбить их на миллионы евро. Group-IB установила происхождение кампании CryptosLabs и обнаружила подробную информацию о группе, включая ее набор для мошенничества и команду.
-----

CryptosLabs - это хорошо организованный преступный синдикат, действующий в Европе с 2018 года и нацеленный на франкоговорящих лиц во Франции, Бельгии и Люксембурге. Используя свой набор для мошенничества, CryptosLabs удалось успешно ограбить жертв на миллионы евро, выдавая себя за известные банки, финтех-компании, фирмы по управлению активами и криптоплатформы.

Впервые группа была обнаружена Group-IB в конце 2021 года. В начале 2022 года команда аналитиков угроз Group-IB предоставила технические сведения о масштабных фальшивых инвестиционных схемах, проводимых группой с 2018 года. Они выявили более 350 мошеннических ресурсов и более 80 серверов, на которых проводилась кампания, и оценили потенциальные убытки в 480 миллионов евро.

CryptosLabs нацелена на франкоговорящих жертв в Европе через различные платформы, такие как черная шляпа SEO, социальные сети и некоторые инвестиционные форумы в Интернете. Они предлагают инвестиционные планы и доступ к поддельным веб-сайтам и инвестиционным терминалам, которые выглядят законно, но на самом деле являются лишь инструментами, используемыми для отъема денег у жертв.

Group-IB удалось установить происхождение кампании CryptosLabs, которая началась в апреле 2018 года. К июню 2018 года были зарегистрированы первые мошеннические доменные имена, и кампания была запущена. К концу 2020 года кампания разрослась до 350 доменных имен и 80 серверов.

Group-IB также обнаружила подробности о самой преступной группировке CryptosLabs. Это хорошо организованная группа с командой, охватывающей все основные аспекты инвестиционной аферы: кингпины, торговые агенты, разработчики и операторы колл-центра. У группы даже были юридические лица для рекламы юридической части своего бизнеса и найма сотрудников для работы по разработке и администрированию своих мошеннических кампаний.

CryptosLabs также создали свой собственный набор для мошенничества, который включает шаблоны веб-сайтов, пользовательскую платформу CRM, веб-конструктор целевых страниц и VoIP-сервис для связи с жертвами. Это позволяет им быстро создавать и внедрять целевые страницы мошенников и манипулировать жертвами, заставляя их поверить, что они инвестируют в законные компании.

#ParsedReport #CompletenessMedium
15-06-2023

ASEC Weekly Malware Statistics (June 5th, 2023 June 11th, 2023)

https://asec.ahnlab.com/en/54260

Report completeness: Medium

Threats:
Amadey
Smokeloader
Lockbit
Agent_tesla
Cloudeye
Formbook
Remcos_rat
Nanocore_rat
Lokibot_stealer
Clipboard_grabbing_technique

Industry:
Transport

Geo:
Portugal

IOCs:
Url: 38
Domain: 2
Email: 2
File: 28

Softs:
discord, telegram, nsis installer

Languages:
visual_basic