#ParsedReport #CompletenessMedium
15-06-2023

Tracking Diicot: an emerging Romanian threat actor

https://www.cadosecurity.com/tracking-diicot-an-emerging-romanian-threat-actor

Report completeness: Medium

Actors/Campaigns:
Mexals

Threats:
Diicot
Mirai
Cayosin
Upx_tool
Snowflake
Xmrig_miner

Victims:
Openwrt routers, Ssh servers exposed to the internet

Geo:
Romanian, Romania

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1486, T1036, T1071, T1563, T1497, T1558

IOCs:
File: 1
Url: 5
Domain: 2
Hash: 11
IP: 4
Coin: 1

Softs:
chrome, discord, openwrt, opera, systemd, curl

Crypto:
monero

Algorithms:
base64

Languages:
golang

Platforms:
arm

Links:
https://github.com/cado-security
https://github.com/lcashdol/UPX
https://github.com/neurobin/shc
https://github.com/horsicq/Detect-It-Easy

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Diicot - это новая группа угроз, цели которой включают развертывание самораспространяющегося инструмента начального доступа, использование пользовательских упаковщиков для обфускации двоичных полезных нагрузок, криптоджекинг, doxxing и развертывание агента ботнета. Cado Labs рекомендует читателям внедрить базовую защиту SSH для защиты от этого семейства вредоносных программ.
-----

Diicot - это новая угрожающая группа, в задачи которой входит развертывание самораспространяющегося инструмента начального доступа, использование пользовательских упаковщиков для обфускации бинарных полезных нагрузок, широко распространенный криптоджекинг на скомпрометированных объектах, выявление уязвимых систем с помощью сканирования Интернета, обнародование личных данных предполагаемых врагов (doxxing) и развертывание агента ботнета, участвующего в DDoS-атаках. Отчетность C2 ведется через Discord и собственную конечную точку API.

Кампании Diicot обычно включают длинную цепочку выполнения, в которой отдельные полезные нагрузки и их результаты образуют взаимозависимые связи. Первоначальный доступ осуществляется через пользовательский инструмент SSH-перебора под названием aliases, который получает список целевых IP-адресов и пар имя пользователя/пароль для проведения атаки методом перебора. Кроме того, Diicot использует Shell Script Compiler (shc) и пользовательскую версию UPX при создании своих полезных нагрузок, а исследователь Akamai Ларри Кэшдоллар создал утилиту upx_dec для распаковки своих полезных нагрузок.

После взлома системы Diicot устанавливает сценарий-распространитель в стиле Mirai, bins.sh, если встречается маршрутизатор OpenWrt. Этот скрипт извлекает версии агента ботнета Cayosin для различных архитектур. Diicot также развертывает майнер XMRig, Opera, и регистрирует контролируемый злоумышленником SSH-ключ для поддержания доступа к системе. Также создается cronjob для запуска History и Update, который сохраняется как .5p4rk3l5 перед загрузкой. Наконец, Diicot имеет интернет-сканер, основанный на Zmap, который записывает результаты сканирования в текстовый файл (bios.txt), который затем читается псевдонимами как список целей для проведения SSH brute-forcing.

Cado Labs рекомендует читателям внедрить базовую защиту SSH для защиты от этого семейства вредоносных программ, включая обязательную аутентификацию на основе ключей для экземпляров SSH и внедрение правил брандмауэра для ограничения доступа к SSH для определенных IP-адресов. Кроме того, попытки сканирования с помощью форка Zmap от Diicot особенно шумны и могут приводить к появлению множества исходящих SYN-пакетов на адреса в произвольном сетевом префиксе /16. Эта активность должна быть легко выявлена администраторами с адекватным мониторингом сети.

#ParsedReport #CompletenessMedium
15-06-2023

APT-C-36. 1. Attack activity analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247492736&idx=1&sn=9fd201a6737742b6c5aea63119d9ce5f&chksm=f9c1d789ceb65e9fe79d592dc2161f76935b6704bb5b5fafaac84e3d792a4cb458e5f23f3e75&scene=178&cur_album_id=1955835290309230595

Report completeness: Medium

Actors/Campaigns:
Blindeagle
Aggaa

Threats:
Njrat
Asyncrat_rat
Arrow_rat
Remcos_rat
Quasar_rat

Victims:
Colombian government departments, financial, insurance and other industries, as well as large companies

Industry:
Financial, Government

Geo:
Ecuador, American, Panama, Colombian, Colombia, Turkish, America, German

IOCs:
IP: 1
Hash: 11
Domain: 1
Url: 2
File: 3
Registry: 1

Softs:
viotto binder, viottobinder

#ParsedReport #ExtractedSchema

Classified images:
code: 8, dump: 1, windows: 6, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-C-36 (Blind Eagle) - это вредоносная APT-организация, которая в течение последних 21 года атакует страны Южной Америки. Она постоянно обновляет свой арсенал и процесс атаки новыми полезными нагрузками и методами атаки, такими как зашифрованные самораспаковывающиеся сжатые пакеты и LNK-файлы, а также модифицировала код Viotto Binder с открытым исходным кодом для упаковки вредоносных файлов, которые они хотят выполнить. Конечные полезные нагрузки используются для внедрения в RegAsm.exe для запуска и в основном представляют собой бэкдор-программы NjRat.
-----

APT-C-36 (Blind Eagle) - это вредоносная организация APT, предположительно базирующаяся в Южной Америке. Она известна тем, что атакует правительственные ведомства Колумбии, финансовые, страховые и другие отрасли, а также крупные корпорации. Организация постоянно обновляет свои методы атак, добавляя новые полезные нагрузки, такие как NjRAT, ArrowRAT, ASyncRAT, Remcos, QuasarRAT и другие бэкдоры.

Метод атаки заключается в отправке фишинговых писем с обфусцированными файлами сценариев VBS, которые доставляют вредоносные файлы, такие как доставка команд, доставка вредоносных документов и поток атак с выполнением команд атаки проникновения. Организация постоянно оптимизирует поток атак, чтобы сделать его более эффективным. В последнее время APT-C-36 использует зашифрованные самораспаковывающиеся сжатые пакеты и LNK-файлы для проведения spear phishing-атак на целевые группы.

Злоумышленник отправляет PDF-файл, содержащий ссылку на вредоносный файл, по электронной почте и помечает пароль сжатия вредоносного сжатого файла в PDF-файле, чтобы заманить пользователя довериться и перейти по вредоносной ссылке, чтобы загрузить файл полезной нагрузки для распаковки и запуска. Код VBS запрашивает данные ресурса загрузчика с удаленного сервера для расшифровки, загрузки и запуска путем вызова Powershell. Выпущенный PE-файл представляет собой упакованный кейлоггер, который является программой Viotto Binder с открытым исходным кодом. Злоумышленник модифицирует код Viotto Binder с открытым исходным кодом, чтобы упаковать вредоносные файлы, которые он хочет выполнить. После запуска упакованного файла, он копирует основной файл в каталог "C:\Windows\SysWOW64\word", переименовывает его в "wordz.exe" и устанавливает для регистрации Table persistence (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Remcos).

Viotto Keylogger имеет функции фильтрации указанного окна и кражи клавиатурного ввода пользователя указанного процесса пользователем, мониторинга экрана машины жертвы, мониторинга буфера обмена, возврата данных FTP и возврата данных электронной почты. После обработки данных полезной нагрузки она внедряется в RegAsm.exe для запуска, и конечной полезной нагрузкой является программа-бэкдор NjRat.

#ParsedReport #CompletenessLow
15-06-2023

Busting CryptosLabs: a scam ring targeting French speakers for millions

https://www.group-ib.com/blog/cryptoslabs-investment-scams

Report completeness: Low

Actors/Campaigns:
Cryptoslabs (motivation: cyber_criminal)

Threats:
Gozi

Victims:
French-speaking victims in europe

Industry:
Financial

Geo:
Germany, Netherlands, French, Luxembourg, Belgium, France

IOCs:
Domain: 2
Hash: 1

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, table: 1, schema: 2, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CryptosLabs - это хорошо организованный преступный синдикат, действующий в Европе с 2018 года, который использует набор для мошенничества, нацеленный на франкоговорящих людей во Франции, Бельгии и Люксембурге, чтобы ограбить их на миллионы евро. Group-IB установила происхождение кампании CryptosLabs и обнаружила подробную информацию о группе, включая ее набор для мошенничества и команду.
-----

CryptosLabs - это хорошо организованный преступный синдикат, действующий в Европе с 2018 года и нацеленный на франкоговорящих лиц во Франции, Бельгии и Люксембурге. Используя свой набор для мошенничества, CryptosLabs удалось успешно ограбить жертв на миллионы евро, выдавая себя за известные банки, финтех-компании, фирмы по управлению активами и криптоплатформы.

Впервые группа была обнаружена Group-IB в конце 2021 года. В начале 2022 года команда аналитиков угроз Group-IB предоставила технические сведения о масштабных фальшивых инвестиционных схемах, проводимых группой с 2018 года. Они выявили более 350 мошеннических ресурсов и более 80 серверов, на которых проводилась кампания, и оценили потенциальные убытки в 480 миллионов евро.

CryptosLabs нацелена на франкоговорящих жертв в Европе через различные платформы, такие как черная шляпа SEO, социальные сети и некоторые инвестиционные форумы в Интернете. Они предлагают инвестиционные планы и доступ к поддельным веб-сайтам и инвестиционным терминалам, которые выглядят законно, но на самом деле являются лишь инструментами, используемыми для отъема денег у жертв.

Group-IB удалось установить происхождение кампании CryptosLabs, которая началась в апреле 2018 года. К июню 2018 года были зарегистрированы первые мошеннические доменные имена, и кампания была запущена. К концу 2020 года кампания разрослась до 350 доменных имен и 80 серверов.

Group-IB также обнаружила подробности о самой преступной группировке CryptosLabs. Это хорошо организованная группа с командой, охватывающей все основные аспекты инвестиционной аферы: кингпины, торговые агенты, разработчики и операторы колл-центра. У группы даже были юридические лица для рекламы юридической части своего бизнеса и найма сотрудников для работы по разработке и администрированию своих мошеннических кампаний.

CryptosLabs также создали свой собственный набор для мошенничества, который включает шаблоны веб-сайтов, пользовательскую платформу CRM, веб-конструктор целевых страниц и VoIP-сервис для связи с жертвами. Это позволяет им быстро создавать и внедрять целевые страницы мошенников и манипулировать жертвами, заставляя их поверить, что они инвестируют в законные компании.

#ParsedReport #CompletenessMedium
15-06-2023

ASEC Weekly Malware Statistics (June 5th, 2023 June 11th, 2023)

https://asec.ahnlab.com/en/54260

Report completeness: Medium

Threats:
Amadey
Smokeloader
Lockbit
Agent_tesla
Cloudeye
Formbook
Remcos_rat
Nanocore_rat
Lokibot_stealer
Clipboard_grabbing_technique

Industry:
Transport

Geo:
Portugal

IOCs:
Url: 38
Domain: 2
Email: 2
File: 28

Softs:
discord, telegram, nsis installer

Languages:
visual_basic

#ParsedReport #CompletenessMedium
15-06-2023

Android Malware Impersonates ChatGPT-Themed Applications. Executive Summary

https://unit42.paloaltonetworks.com/android-malware-poses-as-chatgpt

Report completeness: Medium

Threats:
Meterpreter_tool
Wildfire
Metasploit_tool

Victims:
Android users

Industry:
Financial, Healthcare

Geo:
Nicaragua, India, Apac, America, Japan, Thailand, Emea

TTPs:

IOCs:
Hash: 11
File: 5
Url: 5
Email: 1

Softs:
android, chatgpt

Algorithms:
sha256, sha1

Languages:
java, kotlin

Links:
https://github.com/rapid7/metasploit-payloads/tree/master/java/androidpayload/app/src/com/metasploit/stage

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют выпуск инструмента ChatGPT от OpenAI, создавая варианты вредоносного ПО для платформы Android, способные похищать конфиденциальную информацию, шпионить за действиями пользователей и причинять финансовые потери ничего не подозревающим жертвам.
-----

Недавно исследователи заметили всплеск вредоносных программ, написанных для платформы Android, которые пытаются выдать себя за ChatGPT. Эти варианты вредоносного ПО появились одновременно с выпуском OpenAI GPT-3.5, а затем GPT-4, заражая жертв, заинтересованных в использовании инструмента ChatGPT.

Наша команда обнаружила вредоносный образец Android Package Kit (APK), который оказался троянизированной версией легитимного приложения. Легитимное приложение представляет собой ИИ-ассистента на базе последней версии ChatGPT. Вредоносная версия этого приложения позволяет агенту получить удаленный доступ к устройству Android в случае успешной эксплуатации.

Мы также обнаружили кластер образцов вредоносного ПО APK, связанных с логотипом OpenAI и инструментом искусственного интеллекта ChatGPT. Вредоносное ПО способно отправлять SMS-сообщения на премиум-номера в Таиланде. Образцы APK имеют цифровую подпись с общим сертификатом.

Появление APK-вредоносных программ на тему ChatGPT представляет собой серьезную угрозу безопасности и конфиденциальности мобильных устройств. Эти виды вредоносных программ потенциально могут похищать конфиденциальную информацию, шпионить за действиями пользователя и причинять значительные финансовые потери ничего не подозревающим жертвам. Чтобы защитить себя от этого типа вредоносного ПО, пользователи мобильных устройств должны принимать активные меры, такие как установка надежного антивирусного программного обеспечения, осторожность при загрузке приложений из сторонних источников и обновление своих устройств последними патчами безопасности.

Основная угроза в этом образце вредоносного ПО известна как "Meterpreter". Он создан с использованием фреймворка Metasploit. Исходный код начального стейджа Meterpreter для Android на базе Java можно найти на репозитории GitHub компании Rapid7. Основная функциональность реализована в классе Payload. Метод start класса Payload вызывается классом MainService. Класс MainService, в свою очередь, может быть либо:.

В случае рассматриваемого образца вредоносной программы APK следующая последовательность операций запускает эту полезную нагрузку Meterpreter: Полезная нагрузка Meterpreter настроена на подключение к удаленной конечной точке tcp :// Gwdidkfkf-47070 . portmap . io:47070 . Portmap.io - это служба, которая бесплатно выполняет переадресацию портов.

Вредоносные образцы APK подписаны цифровым сертификатом общего вида, зарегистрированным на сайте lkpandey950@gmail.com, расположенном в Шахдаре, Дели, Индия. Сертификат действителен с 2020-07-17 11:08:41 UTC по 2047-12-02 11:08:41 UTC, имеет серийный номер 1a505d53b1c75046a81acb021fdb5f99936b75db и отпечаток SHA-1 65094A64233F818AEF5A4EDE90AC1D0C5A569A8B. Этот сертификат прикреплен к более чем сотне других образцов вредоносного ПО, находящихся в открытом доступе на VirusTotal.

Вредоносные приложения для Android, описанные в этой статье, были отправлены в Google и будут заблокированы в магазине Google Play. Кроме того, Google Play Protect также защищает пользователей от приложений, содержащих вредоносное ПО, на устройствах Android с сервисами Google Play, даже если эти приложения получены из других источников. Это подчеркивает необходимость того, чтобы пользователи знали о рисках при получении приложений для мобильных устройств не по официальным каналам.

#ParsedReport #CompletenessLow
15-06-2023

Darth Vidar: The Aesir Strike Back

https://www.team-cymru.com/post/darth-vidar-the-aesir-strike-back

Report completeness: Low

Threats:
Vidar_stealer
Arkei_stealer
Conduit

Geo:
Russian, Moldova, Russia

IOCs:
Domain: 3
IP: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Субъекты угроз Vidar предприняли шаги для сокрытия своих следов, такие как использование публичных VPN-сервисов и ротация внутренней IP-инфраструктуры, чтобы еще больше анонимизировать свою деятельность. Отслеживание хостинга основного сайта Vidar может помочь потенциально идентифицировать как аффилированных лиц, так и жертв, что облегчает смягчение последствий атаки Vidar.
-----

Vidar - это вредоносное программное обеспечение, или malware, впервые замеченное в конце 2018 года. Оно используется в основном для кражи информации, позволяя злоумышленникам получать доступ к конфиденциальной информации своих целей. За последние четыре месяца инфраструктура и бэкэнд Vidar претерпели многочисленные изменения. Для дальнейшей анонимизации своей деятельности субъекты угроз использовали публичные VPN-сервисы. Они использовали домен my-odin.com для управления различными аспектами своей деятельности, такими как аутентификация партнеров, обмен файлами и администрирование панели.

С августа 2022 года участники угрозы Vidar меняли свою внутреннюю IP-инфраструктуру, отдавая предпочтение провайдерам в Молдове и России. При попытке загрузить любые файлы, размещенные по URL-пути /private, пользователи перенаправлялись на страницу входа в систему партнеров Vidar. Затем, в марте 2023 года, два IP-адреса были использованы для деятельности по управлению протоколом удаленного рабочего стола (RDP). Часть активности была отслежена до ретранслятора ProtonVPN, а часть - до VPN-сервера с именем хоста vpn-udp-1.recfut.com. Это указывает на то, что субъекты угроз предпринимают шаги по анонимизации своей деятельности по управлению.

В мае 2023 года IP-адрес хостинга my-odin.com был обновлен еще раз. Новым IP-адресом стал 185.229.64.137 (S.C. INFOTECH-GRUP S.R.L.). Мы можем заметить, что связь с этим IP-адресом началась 03 мая 2023 года, и что новый IP-адрес соответствует предыдущему поведению. Кроме того, наблюдались входящие соединения с ретрансляторов Tor, что позволяет предположить, что аффилированные лица Vidar получают доступ к своим аккаунтам / хранилищам вредоносного ПО.

Продолжающиеся изменения в инфраструктуре Vidar демонстрируют эволюцию ее управления. Субъекты угроз предпринимают шаги, чтобы замести следы, поэтому важно быть в курсе всех новых находок, связанных с Vidar и другими угрозами. Отслеживание хостинга основного сайта Vidar может помочь потенциально идентифицировать как аффилированных лиц, так и жертв. Это поможет смягчить последствия атаки Vidar.

#ParsedReport #CompletenessLow
15-06-2023

The Anatomy of HTML Attachment Phishing: One Code, Many Variants

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/the-anatomy-of-html-attachment-phishing.html

Report completeness: Low

Victims:
Users worldwide, us, south korea, germany, online shoppers, retailers, financial institutions

Industry:
Retail, Entertainment, Financial, Healthcare

Geo:
Korea, Germany

IOCs:
File: 8
Hash: 172
Url: 170

Algorithms:
exhibit, base64

Functions:
atob

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Фишинговые кампании становятся все более изощренными, а субъекты угроз постоянно совершенствуют свои тактики и методы, чтобы повысить процент успеха. Злоумышленники регулярно обновляют вредоносный код, который они используют, чтобы избежать обнаружения, а HTML-вложения являются одним из самых популярных типов вложений, используемых в фишинговых атаках. Наиболее подвержены атакам такие страны, как США, Южная Корея и Германия, причем особенно уязвимы для атак высокотехнологичные, производственные и медицинские отрасли.
-----

Фишинг - это вредоносная практика, которая заключается в выдаче себя за доверенное лицо с целью кражи конфиденциальной информации. Файлы HTML являются одним из самых популярных типов вложений, используемых в фишинговых атаках, и злоумышленники используют различные техники, такие как перенаправление пользователей на множество вредоносных веб-сайтов, обфускация кода и кодирование конфиденциальной информации, чтобы избежать обнаружения. За последний год количество фишинговых кампаний, связанных с HTML-вложениями, увеличилось более чем на 1030%. Наиболее подвержены атакам такие страны, как США, Южная Корея и Германия, причем особенно уязвимы для атак высокотехнологичные, производственные и медицинские отрасли.

Эти фишинговые кампании становятся все более изощренными, субъекты угроз постоянно совершенствуют свои тактики и методы, чтобы повысить процент успеха. Злоумышленники регулярно обновляют используемый ими вредоносный код, чтобы избежать обнаружения, поэтому важно, чтобы пользователи и сотрудники были осведомлены о рисках, связанных с открытием ненадежных файлов.

Фишинговые письма обычно содержат поддельные запросы DocuSign, вложенные файлы или вредоносные HTML-файлы, замаскированные под легитимные сообщения eFax. Эти письма часто ведут на фишинговую страницу после выполнения, а HTML-вложение использует методы обфускации, а также создает веб-страницу с двумя скрытыми элементами ввода и элементом сценария. Один из элементов ввода содержит Base64-кодированное значение адреса электронной почты целевого пользователя. Ответ, полученный по URL-адресу, заканчивающемуся на mj.js, состоит из двух частей, причем первый блок загружает библиотеку jquery для выполнения остального кода. Четвертый блок кода создает пост-запрос с четырьмя параметрами, а непосредственно перед загрузкой финальной фишинговой страницы он делает POST-запрос с электронным адресом в качестве параметра. В ответ на него передаются данные в формате json, содержащие ссылки на URL-адреса фонового изображения и логотипа компании жертвы.

Более того, вредоносный код в HTML-вложении также использует различные триггеры для выполнения фишинговой полезной нагрузки, такие как onload, onerror, onbegin, onanimatestart и onloadstart. Эти триггеры получают доступ к элементам DOM для создания окончательного фишингового сценария, который затем выполняется с помощью функций eval и atob.

#ParsedReport #CompletenessHigh
15-06-2023

Cadet Blizzard emerges as a novel and distinct Russian threat actor

https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor

Report completeness: High

Actors/Campaigns:
Cadet_blizzard (motivation: cyber_espionage)
Gamaredon
Volt_typhoon (motivation: cyber_espionage)
Ruinous_ursa
Forest_blizzard
Seashell_blizzard
Fancy_bear
Dev-0960

Threats:
Whispergate
Supply_chain_technique
Lolbin_technique
Proxyshell_vuln
P0wnyshell
Regeorg
Credential_harvesting_technique
Dumplsass_tool
Procdump_tool
Impacket_tool
Netcat_tool
Meterpreter_tool
Saintbot
Outsteel
Teamviewer_tool

Victims:
Organizations in ukraine and europe

Industry:
Ngo, Government

Geo:
Ukraine, Russia, Russian, Asia, Chinese, America, Ukrainian

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 6
Domain: 1
Email: 1
IP: 1
Hash: 5

Softs:
microsoft 365 defender, microsoft defender, microsoft defender for endpoint, telegram, confluence, sysinternals, windows defender

Algorithms:
sha256

Win Services:
WinDefend

Languages:
python, autoit

Links:
https://github.com/sensepost/reGeorg
https://github.com/flozz/p0wny-shell
https://gist.github.com/malwarezone/119bed274bc77b52122fa118f0a72618#file-stealer-au3-L2880
https://github.com/fortra/impacket

#ParsedReport #ExtractedSchema

Classified images:
code: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Microsoft выявила нового субъекта угроз, Cadet Blizzard, который нацелен на критически важную инфраструктуру США и украинские организации, и сотрудничает с мировым сообществом безопасности для обмена информацией о его деятельности. Кроме того, в регионе действуют и другие злоумышленники, и организации могут принять меры по укреплению своей безопасности, чтобы минимизировать риск.
-----

Центр разведки угроз Microsoft (MSTIC) обнаружил свидетельства работы разрушительного вредоносного ПО, направленного на несколько украинских организаций. Эта вредоносная деятельность приписывается новому субъекту угроз, Cadet Blizzard, который, как полагают, связан с российскими военными. В рамках своих операций Cadet Blizzard, по-видимому, нацеливается на критически важную инфраструктуру США и использует информационные операции, а также деструктивные возможности против украинских организаций. Microsoft сотрудничает с мировым сообществом по безопасности, чтобы поделиться информацией о деятельности Cadet Blizzard, и работает с CERT-UA для защиты от кибератак.

С середины января 2022 года компания Cadet Blizzard начала проводить в Украине разрушительные и деструктивные мероприятия. В течение нескольких месяцев ей удавалось закрепиться в затронутых сетях и осуществлять утечку данных до начала разрушительных действий. В январе 2023 года ее операции активизировались против множества организаций в Украине и Европе. Было замечено, что Cadet Blizzard действует семь дней в неделю и в нерабочее время своих основных европейских целей. Страны-члены НАТО, оказывающие военную помощь Украине, подвергаются большему риску атаки со стороны Cadet Blizzard.

Тактика, техника и процедуры Cadet Blizzard включают взлом веб-серверов, сбор учетных данных с помощью инструментов Sysinternals, использование модулей Impacket для латерального перемещения, использование сервисов анонимизации, таких как IVPN, SurfShark и Tor, чтобы скрыть свою деятельность, отключение антивируса Microsoft Defender и сбор информации в массовом порядке с целевых серверов. Кроме того, было замечено, что группа сливает данные с серверов на сайт Tor .onion под именем Free Civilian и создает новый канал Telegram под тем же именем.

Помимо Cadet Blizzard, в регионе действуют и другие вредоносные субъекты, такие как китайская государственная организация Volt Typhoon и российская организация частного сектора, оказывающая оперативную поддержку первой. Storm-0587 - это кластер фишинговых действий с использованием документов с оружием, SaintBot - загрузчик, который развертывает полезные нагрузки, а OUTSTEEL - похититель информации, который был замечен в нескольких атаках.

Организации могут предпринять шаги по укреплению своей безопасности, чтобы минимизировать риск, создаваемый Cadet Blizzard и другими злоумышленниками. К ним относятся многофакторная аутентификация и контролируемый доступ к папкам для предотвращения модификации MBR/VBR и бокового перемещения, внедрение облачной защиты для антивирусного ПО, а также использование общих команд, инструментов и индикаторов компрометации для исследования среды и оценки потенциального вторжения.

#ParsedReport #CompletenessLow
16-06-2023

Kimsuky spreading CHM malware using various topics

https://asec.ahnlab.com/ko/53426

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/bat.runner
Trojan/vbs.runner
Infostealer/bat.generic
Infostealer/vbs.generic

Industry:
Education, Financial

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1192, T1059, T1558, T1064, T1041

IOCs:
File: 21
Path: 2
Registry: 1
Url: 4
Hash: 10

Softs:
curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky нацеливается на конкретных пользователей с помощью вредоносных программ, замаскированных под справочные окна, используя украденную личную информацию для создания финансовых транзакций между двумя пользователями. Затем вредоносные файлы загружаются и выполняются с помощью команд curl и expand.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) отслеживал деятельность вредоносной APT-группы Kimsuky в течение мая. В этом месяце было подтверждено, что они распространяют вредоносное ПО с помощью CHM-файлов, отклоняясь от своего обычного метода работы с файлами документов. Вредоносное ПО маскируется под окна помощи и нацелено на конкретных пользователей, используя их личную информацию для создания таких тем, как монеты, налогообложение и контракты.

Группа Kimsuky использует украденную личную информацию пользователей для создания финансовой транзакции между двумя конкретными пользователями (Рисунок 2). Это делается для того, чтобы обмануть пользователей, заставив их поверить, что они просматривают легитимное окно справки. Затем вредоносные команды выполняются через объект ярлыка, который вызывает oeirituttbb.vbs, Runner, выполняющий созданный файл oeirituttvv.bat. Файл oeirituttvv.bat загружает дополнительные вредоносные файлы через curl, которые затем распаковываются и выполняются с помощью команды expand. В зависимости от цели атаки, тип загружаемого вредоносного файла может быть разным.