#ParsedReport #CompletenessLow
15-06-2023

Busting CryptosLabs: a scam ring targeting French speakers for millions

https://www.group-ib.com/blog/cryptoslabs-investment-scams

Report completeness: Low

Actors/Campaigns:
Cryptoslabs (motivation: cyber_criminal)

Threats:
Gozi

Victims:
French-speaking victims in europe

Industry:
Financial

Geo:
Germany, Netherlands, French, Luxembourg, Belgium, France

IOCs:
Domain: 2
Hash: 1

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, table: 1, schema: 2, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CryptosLabs - это хорошо организованный преступный синдикат, действующий в Европе с 2018 года, который использует набор для мошенничества, нацеленный на франкоговорящих людей во Франции, Бельгии и Люксембурге, чтобы ограбить их на миллионы евро. Group-IB установила происхождение кампании CryptosLabs и обнаружила подробную информацию о группе, включая ее набор для мошенничества и команду.
-----

CryptosLabs - это хорошо организованный преступный синдикат, действующий в Европе с 2018 года и нацеленный на франкоговорящих лиц во Франции, Бельгии и Люксембурге. Используя свой набор для мошенничества, CryptosLabs удалось успешно ограбить жертв на миллионы евро, выдавая себя за известные банки, финтех-компании, фирмы по управлению активами и криптоплатформы.

Впервые группа была обнаружена Group-IB в конце 2021 года. В начале 2022 года команда аналитиков угроз Group-IB предоставила технические сведения о масштабных фальшивых инвестиционных схемах, проводимых группой с 2018 года. Они выявили более 350 мошеннических ресурсов и более 80 серверов, на которых проводилась кампания, и оценили потенциальные убытки в 480 миллионов евро.

CryptosLabs нацелена на франкоговорящих жертв в Европе через различные платформы, такие как черная шляпа SEO, социальные сети и некоторые инвестиционные форумы в Интернете. Они предлагают инвестиционные планы и доступ к поддельным веб-сайтам и инвестиционным терминалам, которые выглядят законно, но на самом деле являются лишь инструментами, используемыми для отъема денег у жертв.

Group-IB удалось установить происхождение кампании CryptosLabs, которая началась в апреле 2018 года. К июню 2018 года были зарегистрированы первые мошеннические доменные имена, и кампания была запущена. К концу 2020 года кампания разрослась до 350 доменных имен и 80 серверов.

Group-IB также обнаружила подробности о самой преступной группировке CryptosLabs. Это хорошо организованная группа с командой, охватывающей все основные аспекты инвестиционной аферы: кингпины, торговые агенты, разработчики и операторы колл-центра. У группы даже были юридические лица для рекламы юридической части своего бизнеса и найма сотрудников для работы по разработке и администрированию своих мошеннических кампаний.

CryptosLabs также создали свой собственный набор для мошенничества, который включает шаблоны веб-сайтов, пользовательскую платформу CRM, веб-конструктор целевых страниц и VoIP-сервис для связи с жертвами. Это позволяет им быстро создавать и внедрять целевые страницы мошенников и манипулировать жертвами, заставляя их поверить, что они инвестируют в законные компании.

#ParsedReport #CompletenessMedium
15-06-2023

ASEC Weekly Malware Statistics (June 5th, 2023 June 11th, 2023)

https://asec.ahnlab.com/en/54260

Report completeness: Medium

Threats:
Amadey
Smokeloader
Lockbit
Agent_tesla
Cloudeye
Formbook
Remcos_rat
Nanocore_rat
Lokibot_stealer
Clipboard_grabbing_technique

Industry:
Transport

Geo:
Portugal

IOCs:
Url: 38
Domain: 2
Email: 2
File: 28

Softs:
discord, telegram, nsis installer

Languages:
visual_basic

#ParsedReport #CompletenessMedium
15-06-2023

Android Malware Impersonates ChatGPT-Themed Applications. Executive Summary

https://unit42.paloaltonetworks.com/android-malware-poses-as-chatgpt

Report completeness: Medium

Threats:
Meterpreter_tool
Wildfire
Metasploit_tool

Victims:
Android users

Industry:
Financial, Healthcare

Geo:
Nicaragua, India, Apac, America, Japan, Thailand, Emea

TTPs:

IOCs:
Hash: 11
File: 5
Url: 5
Email: 1

Softs:
android, chatgpt

Algorithms:
sha256, sha1

Languages:
java, kotlin

Links:
https://github.com/rapid7/metasploit-payloads/tree/master/java/androidpayload/app/src/com/metasploit/stage

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют выпуск инструмента ChatGPT от OpenAI, создавая варианты вредоносного ПО для платформы Android, способные похищать конфиденциальную информацию, шпионить за действиями пользователей и причинять финансовые потери ничего не подозревающим жертвам.
-----

Недавно исследователи заметили всплеск вредоносных программ, написанных для платформы Android, которые пытаются выдать себя за ChatGPT. Эти варианты вредоносного ПО появились одновременно с выпуском OpenAI GPT-3.5, а затем GPT-4, заражая жертв, заинтересованных в использовании инструмента ChatGPT.

Наша команда обнаружила вредоносный образец Android Package Kit (APK), который оказался троянизированной версией легитимного приложения. Легитимное приложение представляет собой ИИ-ассистента на базе последней версии ChatGPT. Вредоносная версия этого приложения позволяет агенту получить удаленный доступ к устройству Android в случае успешной эксплуатации.

Мы также обнаружили кластер образцов вредоносного ПО APK, связанных с логотипом OpenAI и инструментом искусственного интеллекта ChatGPT. Вредоносное ПО способно отправлять SMS-сообщения на премиум-номера в Таиланде. Образцы APK имеют цифровую подпись с общим сертификатом.

Появление APK-вредоносных программ на тему ChatGPT представляет собой серьезную угрозу безопасности и конфиденциальности мобильных устройств. Эти виды вредоносных программ потенциально могут похищать конфиденциальную информацию, шпионить за действиями пользователя и причинять значительные финансовые потери ничего не подозревающим жертвам. Чтобы защитить себя от этого типа вредоносного ПО, пользователи мобильных устройств должны принимать активные меры, такие как установка надежного антивирусного программного обеспечения, осторожность при загрузке приложений из сторонних источников и обновление своих устройств последними патчами безопасности.

Основная угроза в этом образце вредоносного ПО известна как "Meterpreter". Он создан с использованием фреймворка Metasploit. Исходный код начального стейджа Meterpreter для Android на базе Java можно найти на репозитории GitHub компании Rapid7. Основная функциональность реализована в классе Payload. Метод start класса Payload вызывается классом MainService. Класс MainService, в свою очередь, может быть либо:.

В случае рассматриваемого образца вредоносной программы APK следующая последовательность операций запускает эту полезную нагрузку Meterpreter: Полезная нагрузка Meterpreter настроена на подключение к удаленной конечной точке tcp :// Gwdidkfkf-47070 . portmap . io:47070 . Portmap.io - это служба, которая бесплатно выполняет переадресацию портов.

Вредоносные образцы APK подписаны цифровым сертификатом общего вида, зарегистрированным на сайте lkpandey950@gmail.com, расположенном в Шахдаре, Дели, Индия. Сертификат действителен с 2020-07-17 11:08:41 UTC по 2047-12-02 11:08:41 UTC, имеет серийный номер 1a505d53b1c75046a81acb021fdb5f99936b75db и отпечаток SHA-1 65094A64233F818AEF5A4EDE90AC1D0C5A569A8B. Этот сертификат прикреплен к более чем сотне других образцов вредоносного ПО, находящихся в открытом доступе на VirusTotal.

Вредоносные приложения для Android, описанные в этой статье, были отправлены в Google и будут заблокированы в магазине Google Play. Кроме того, Google Play Protect также защищает пользователей от приложений, содержащих вредоносное ПО, на устройствах Android с сервисами Google Play, даже если эти приложения получены из других источников. Это подчеркивает необходимость того, чтобы пользователи знали о рисках при получении приложений для мобильных устройств не по официальным каналам.

#ParsedReport #CompletenessLow
15-06-2023

Darth Vidar: The Aesir Strike Back

https://www.team-cymru.com/post/darth-vidar-the-aesir-strike-back

Report completeness: Low

Threats:
Vidar_stealer
Arkei_stealer
Conduit

Geo:
Russian, Moldova, Russia

IOCs:
Domain: 3
IP: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Субъекты угроз Vidar предприняли шаги для сокрытия своих следов, такие как использование публичных VPN-сервисов и ротация внутренней IP-инфраструктуры, чтобы еще больше анонимизировать свою деятельность. Отслеживание хостинга основного сайта Vidar может помочь потенциально идентифицировать как аффилированных лиц, так и жертв, что облегчает смягчение последствий атаки Vidar.
-----

Vidar - это вредоносное программное обеспечение, или malware, впервые замеченное в конце 2018 года. Оно используется в основном для кражи информации, позволяя злоумышленникам получать доступ к конфиденциальной информации своих целей. За последние четыре месяца инфраструктура и бэкэнд Vidar претерпели многочисленные изменения. Для дальнейшей анонимизации своей деятельности субъекты угроз использовали публичные VPN-сервисы. Они использовали домен my-odin.com для управления различными аспектами своей деятельности, такими как аутентификация партнеров, обмен файлами и администрирование панели.

С августа 2022 года участники угрозы Vidar меняли свою внутреннюю IP-инфраструктуру, отдавая предпочтение провайдерам в Молдове и России. При попытке загрузить любые файлы, размещенные по URL-пути /private, пользователи перенаправлялись на страницу входа в систему партнеров Vidar. Затем, в марте 2023 года, два IP-адреса были использованы для деятельности по управлению протоколом удаленного рабочего стола (RDP). Часть активности была отслежена до ретранслятора ProtonVPN, а часть - до VPN-сервера с именем хоста vpn-udp-1.recfut.com. Это указывает на то, что субъекты угроз предпринимают шаги по анонимизации своей деятельности по управлению.

В мае 2023 года IP-адрес хостинга my-odin.com был обновлен еще раз. Новым IP-адресом стал 185.229.64.137 (S.C. INFOTECH-GRUP S.R.L.). Мы можем заметить, что связь с этим IP-адресом началась 03 мая 2023 года, и что новый IP-адрес соответствует предыдущему поведению. Кроме того, наблюдались входящие соединения с ретрансляторов Tor, что позволяет предположить, что аффилированные лица Vidar получают доступ к своим аккаунтам / хранилищам вредоносного ПО.

Продолжающиеся изменения в инфраструктуре Vidar демонстрируют эволюцию ее управления. Субъекты угроз предпринимают шаги, чтобы замести следы, поэтому важно быть в курсе всех новых находок, связанных с Vidar и другими угрозами. Отслеживание хостинга основного сайта Vidar может помочь потенциально идентифицировать как аффилированных лиц, так и жертв. Это поможет смягчить последствия атаки Vidar.

#ParsedReport #CompletenessLow
15-06-2023

The Anatomy of HTML Attachment Phishing: One Code, Many Variants

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/the-anatomy-of-html-attachment-phishing.html

Report completeness: Low

Victims:
Users worldwide, us, south korea, germany, online shoppers, retailers, financial institutions

Industry:
Retail, Entertainment, Financial, Healthcare

Geo:
Korea, Germany

IOCs:
File: 8
Hash: 172
Url: 170

Algorithms:
exhibit, base64

Functions:
atob

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Фишинговые кампании становятся все более изощренными, а субъекты угроз постоянно совершенствуют свои тактики и методы, чтобы повысить процент успеха. Злоумышленники регулярно обновляют вредоносный код, который они используют, чтобы избежать обнаружения, а HTML-вложения являются одним из самых популярных типов вложений, используемых в фишинговых атаках. Наиболее подвержены атакам такие страны, как США, Южная Корея и Германия, причем особенно уязвимы для атак высокотехнологичные, производственные и медицинские отрасли.
-----

Фишинг - это вредоносная практика, которая заключается в выдаче себя за доверенное лицо с целью кражи конфиденциальной информации. Файлы HTML являются одним из самых популярных типов вложений, используемых в фишинговых атаках, и злоумышленники используют различные техники, такие как перенаправление пользователей на множество вредоносных веб-сайтов, обфускация кода и кодирование конфиденциальной информации, чтобы избежать обнаружения. За последний год количество фишинговых кампаний, связанных с HTML-вложениями, увеличилось более чем на 1030%. Наиболее подвержены атакам такие страны, как США, Южная Корея и Германия, причем особенно уязвимы для атак высокотехнологичные, производственные и медицинские отрасли.

Эти фишинговые кампании становятся все более изощренными, субъекты угроз постоянно совершенствуют свои тактики и методы, чтобы повысить процент успеха. Злоумышленники регулярно обновляют используемый ими вредоносный код, чтобы избежать обнаружения, поэтому важно, чтобы пользователи и сотрудники были осведомлены о рисках, связанных с открытием ненадежных файлов.

Фишинговые письма обычно содержат поддельные запросы DocuSign, вложенные файлы или вредоносные HTML-файлы, замаскированные под легитимные сообщения eFax. Эти письма часто ведут на фишинговую страницу после выполнения, а HTML-вложение использует методы обфускации, а также создает веб-страницу с двумя скрытыми элементами ввода и элементом сценария. Один из элементов ввода содержит Base64-кодированное значение адреса электронной почты целевого пользователя. Ответ, полученный по URL-адресу, заканчивающемуся на mj.js, состоит из двух частей, причем первый блок загружает библиотеку jquery для выполнения остального кода. Четвертый блок кода создает пост-запрос с четырьмя параметрами, а непосредственно перед загрузкой финальной фишинговой страницы он делает POST-запрос с электронным адресом в качестве параметра. В ответ на него передаются данные в формате json, содержащие ссылки на URL-адреса фонового изображения и логотипа компании жертвы.

Более того, вредоносный код в HTML-вложении также использует различные триггеры для выполнения фишинговой полезной нагрузки, такие как onload, onerror, onbegin, onanimatestart и onloadstart. Эти триггеры получают доступ к элементам DOM для создания окончательного фишингового сценария, который затем выполняется с помощью функций eval и atob.

#ParsedReport #CompletenessHigh
15-06-2023

Cadet Blizzard emerges as a novel and distinct Russian threat actor

https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor

Report completeness: High

Actors/Campaigns:
Cadet_blizzard (motivation: cyber_espionage)
Gamaredon
Volt_typhoon (motivation: cyber_espionage)
Ruinous_ursa
Forest_blizzard
Seashell_blizzard
Fancy_bear
Dev-0960

Threats:
Whispergate
Supply_chain_technique
Lolbin_technique
Proxyshell_vuln
P0wnyshell
Regeorg
Credential_harvesting_technique
Dumplsass_tool
Procdump_tool
Impacket_tool
Netcat_tool
Meterpreter_tool
Saintbot
Outsteel
Teamviewer_tool

Victims:
Organizations in ukraine and europe

Industry:
Ngo, Government

Geo:
Ukraine, Russia, Russian, Asia, Chinese, America, Ukrainian

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 6
Domain: 1
Email: 1
IP: 1
Hash: 5

Softs:
microsoft 365 defender, microsoft defender, microsoft defender for endpoint, telegram, confluence, sysinternals, windows defender

Algorithms:
sha256

Win Services:
WinDefend

Languages:
python, autoit

Links:
https://github.com/sensepost/reGeorg
https://github.com/flozz/p0wny-shell
https://gist.github.com/malwarezone/119bed274bc77b52122fa118f0a72618#file-stealer-au3-L2880
https://github.com/fortra/impacket

#ParsedReport #ExtractedSchema

Classified images:
code: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Microsoft выявила нового субъекта угроз, Cadet Blizzard, который нацелен на критически важную инфраструктуру США и украинские организации, и сотрудничает с мировым сообществом безопасности для обмена информацией о его деятельности. Кроме того, в регионе действуют и другие злоумышленники, и организации могут принять меры по укреплению своей безопасности, чтобы минимизировать риск.
-----

Центр разведки угроз Microsoft (MSTIC) обнаружил свидетельства работы разрушительного вредоносного ПО, направленного на несколько украинских организаций. Эта вредоносная деятельность приписывается новому субъекту угроз, Cadet Blizzard, который, как полагают, связан с российскими военными. В рамках своих операций Cadet Blizzard, по-видимому, нацеливается на критически важную инфраструктуру США и использует информационные операции, а также деструктивные возможности против украинских организаций. Microsoft сотрудничает с мировым сообществом по безопасности, чтобы поделиться информацией о деятельности Cadet Blizzard, и работает с CERT-UA для защиты от кибератак.

С середины января 2022 года компания Cadet Blizzard начала проводить в Украине разрушительные и деструктивные мероприятия. В течение нескольких месяцев ей удавалось закрепиться в затронутых сетях и осуществлять утечку данных до начала разрушительных действий. В январе 2023 года ее операции активизировались против множества организаций в Украине и Европе. Было замечено, что Cadet Blizzard действует семь дней в неделю и в нерабочее время своих основных европейских целей. Страны-члены НАТО, оказывающие военную помощь Украине, подвергаются большему риску атаки со стороны Cadet Blizzard.

Тактика, техника и процедуры Cadet Blizzard включают взлом веб-серверов, сбор учетных данных с помощью инструментов Sysinternals, использование модулей Impacket для латерального перемещения, использование сервисов анонимизации, таких как IVPN, SurfShark и Tor, чтобы скрыть свою деятельность, отключение антивируса Microsoft Defender и сбор информации в массовом порядке с целевых серверов. Кроме того, было замечено, что группа сливает данные с серверов на сайт Tor .onion под именем Free Civilian и создает новый канал Telegram под тем же именем.

Помимо Cadet Blizzard, в регионе действуют и другие вредоносные субъекты, такие как китайская государственная организация Volt Typhoon и российская организация частного сектора, оказывающая оперативную поддержку первой. Storm-0587 - это кластер фишинговых действий с использованием документов с оружием, SaintBot - загрузчик, который развертывает полезные нагрузки, а OUTSTEEL - похититель информации, который был замечен в нескольких атаках.

Организации могут предпринять шаги по укреплению своей безопасности, чтобы минимизировать риск, создаваемый Cadet Blizzard и другими злоумышленниками. К ним относятся многофакторная аутентификация и контролируемый доступ к папкам для предотвращения модификации MBR/VBR и бокового перемещения, внедрение облачной защиты для антивирусного ПО, а также использование общих команд, инструментов и индикаторов компрометации для исследования среды и оценки потенциального вторжения.

#ParsedReport #CompletenessLow
16-06-2023

Kimsuky spreading CHM malware using various topics

https://asec.ahnlab.com/ko/53426

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/bat.runner
Trojan/vbs.runner
Infostealer/bat.generic
Infostealer/vbs.generic

Industry:
Education, Financial

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1193, T1192, T1059, T1558, T1064, T1041

IOCs:
File: 21
Path: 2
Registry: 1
Url: 4
Hash: 10

Softs:
curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky нацеливается на конкретных пользователей с помощью вредоносных программ, замаскированных под справочные окна, используя украденную личную информацию для создания финансовых транзакций между двумя пользователями. Затем вредоносные файлы загружаются и выполняются с помощью команд curl и expand.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) отслеживал деятельность вредоносной APT-группы Kimsuky в течение мая. В этом месяце было подтверждено, что они распространяют вредоносное ПО с помощью CHM-файлов, отклоняясь от своего обычного метода работы с файлами документов. Вредоносное ПО маскируется под окна помощи и нацелено на конкретных пользователей, используя их личную информацию для создания таких тем, как монеты, налогообложение и контракты.

Группа Kimsuky использует украденную личную информацию пользователей для создания финансовой транзакции между двумя конкретными пользователями (Рисунок 2). Это делается для того, чтобы обмануть пользователей, заставив их поверить, что они просматривают легитимное окно справки. Затем вредоносные команды выполняются через объект ярлыка, который вызывает oeirituttbb.vbs, Runner, выполняющий созданный файл oeirituttvv.bat. Файл oeirituttvv.bat загружает дополнительные вредоносные файлы через curl, которые затем распаковываются и выполняются с помощью команды expand. В зависимости от цели атаки, тип загружаемого вредоносного файла может быть разным.

#ParsedReport #CompletenessLow
16-06-2023

DoNot APT Elevates its Tactics by Deploying Malicious Android Apps on Google Play Store

https://www.cyfirma.com/outofband/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store

Report completeness: Low

Actors/Campaigns:
Donot
Sidewinder

Threats:
Cobalt_strike

Victims:
Individuals in the pakistan region

Geo:
Pakistan, Asian, Asia, Kashmir

TTPs:
Tactics: 3
Technics: 4

IOCs:
File: 2
Coin: 1
Domain: 3
IP: 1

Softs:
android, telegram, whatsapp

Algorithms:
cbc, sha256, aes

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 4, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно CYFIRMA обнаружила вредоносные приложения для Android, размещенные в Google Play Store под подозрительным аккаунтом. Атака была мотивирована сбором информации с помощью полезной нагрузки stager и ее использованием для атаки на втором этапе. Угрожающий субъект нацелился на жертв в Пакистане с помощью атаки с использованием копьеметания и воспользовался доверием людей к Google Play Store.
-----

Команда CYFIRMA недавно обнаружила подозрительные приложения для Android, размещенные в Google Play Store под учетной записью SecurITY Industry. После проведения тщательного анализа образцов, с умеренным уровнем уверенности, они связали аккаунт с печально известной группой Advanced Persistent Threat Group; DoNot. Технический анализ показывает, что мотивом атаки является сбор информации через полезную нагрузку stager и использование собранной информации для второго этапа атаки с использованием вредоносного ПО с более разрушительными функциями.

Угроза использовала законные библиотеки Android, чтобы заставить приложение действовать злонамеренно, получать контакты и точное местоположение жертв. Для вредоносной деятельности использовались опасные разрешения. Снимок кода показал использование библиотеки Android Room для хранения данных, а также клиентской библиотеки Retrofit HTTP для взаимодействия с официальным сайтом iKHfaa VPN, выполнения задачи командования и контроля, получения местоположения и контактов устройства. Кроме того, был захвачен HTTP-запрос, отправляющий данные на appnsure.com:9090 в формате Json с использованием ключа авторизации.

Единственная доступная информация о жертвах, на которых была направлена эта вредоносная программа, заключается в том, что они находились в Пакистане. Мы полагаем, что угрожающая сторона использовала атаку с помощью копьеметания в мессенджерах Telegram или WhatsApp, чтобы заманить жертв на установку приложения через магазин Google Play. Это первый случай, когда APT использовала Google Play Store для размещения вредоносных приложений в обход проверок безопасности. Следовательно, последствия будут значительными, если передовые постоянные угрозы (APT) возьмут эту стратегию на вооружение.

По результатам технических исследований становится ясно, что целью угрожающего субъекта был сбор информации для второго этапа атаки с использованием вредоносного ПО с расширенными возможностями. Получив доступ к спискам контактов и местоположению жертв, угрожающий агент может разработать стратегию будущих атак и использовать жертв в своих целях. Эта стратегия использует доверие людей к магазину Google Play, поскольку редко кто подозревает его в размещении вредоносных приложений.

#ParsedReport #CompletenessLow
16-06-2023

Analysis of BAT file extension ransomware attacking MS-SQL servers (Mallox)

https://asec.ahnlab.com/ko/54278

Report completeness: Low

Threats:
Targetcompany
Remcos_rat
Process_hollowing_technique

Victims:
Ms-sql servers

IOCs:
File: 5
Hash: 1
Url: 1

Softs:
ms-sql

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 4, code: 2