#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 4, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Mallox ransomware с расширением файла BAT распространяется на неправильно управляемых серверах MS-SQL. Чтобы защитить серверы MS-SQL от этих атак, важно правильно управлять учетными записями и предотвращать атаки методом грубой силы и по словарю, устанавливать последние исправления безопасности, использовать решение безопасности, способное обнаруживать безфайловые вредоносные программы, и создать безопасную среду.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил, что программа-рансомвар Mallox с расширением файла BAT распространяется на неправильно управляемых серверах MS-SQL. Файл BAT, бесфайловый тип, используется так же, как и файлы EXE, причем powershell и sqlps являются двумя основными формами распространения. На рисунке 1 показан ASD-журнал адреса загрузки, идентифицированного как Tst.bat в содержимом обнаружения. На рисунке 2 показано, как файл BAT был загружен в рамках подробного журнала. На рисунке 3 показан процесс загрузки и выполнения программы Mallox ransomware, обнаруженной продуктом EDR. На рисунке видно, что основные действия расписаны кратко. Если щелкнуть процесс на левом экране, появится журнал с указанием причины обнаружения и предпринятых действий.

Аналогично атакующему, выполнение команды загрузки вредоносного кода осуществлялось с помощью процесса PowerShell с использованием CMD. Адрес распространения и путь хранения злоумышленника показаны подробно. На рисунке 5 показан обычный файл PowerShell с произвольным именем файла, созданный на рисунке 4, выполняемый вместе с произвольной закодированной командой сценария. Затем выполняется Process Hollowing - техника инъекции - данных, которые являются основным телом Mallox ransomware, в MSbuild.exe, обычный процесс Windows. Кроме того, по тому же пути создается и выполняется файл killer.bat.

Рисунок 7 - экран обнаружения поведения вымогательского ПО MSBuild.exe, выполненного после Process Hollowing. Видно, что отображается зашифрованное содержимое файла-приманки, а также история команд по удалению теневых копий тома. Также записывается все содержимое зашифрованных файлов документов. На рисунке 8 показана команда, выполненная для блокирования восстановления с помощью функций Windows, и можно убедиться, что все они записаны.

Вредоносные коды, направленные на неправильно управляемые серверы баз данных MS-SQL, включают исполняемые файлы, но также стали обнаруживаться и неисполняемые файлы без файлов (NON-PE). Атаки на серверы баз данных MS-SQL обычно включают перебор и словарные атаки на системы, которые ненадлежащим образом управляют учетной информацией. В случае с сервером MS-SQL, он часто устанавливается вместе в процессе установки ERP и бизнес-решений, в дополнение к форме, непосредственно встроенной в качестве сервера баз данных.

Чтобы защитить серверы MS-SQL от этих атак, важно правильно управлять учетными записями и предотвращать атаки методом грубой силы и по словарю. Также важно устанавливать последние исправления безопасности и использовать решение безопасности, способное обнаруживать безфайловые вредоносные программы. Кроме того, создание безопасной среды для серверов MS-SQL путем разделения сети и контроля доступа поможет снизить риск атак.

#ParsedReport #CompletenessLow
16-06-2023

The Latest on Clop Ransomware and the MOVEit Vulnerability

https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability

Report completeness: Low

Threats:
Clop
Supply_chain_technique

Victims:
Zellis uk, us federal agencies, government contractors, multiple companies

Industry:
Aerospace, Government, Retail, Education, Telco, Financial, Healthcare, Transport, Petroleum

Softs:
moveit

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что банда Clop Ransomware - это вредоносная киберпреступная организация, которая использует уязвимость нулевого дня в системе MOVEit Transfer для получения доступа к растущему списку компаний, и в ответ на это ФБР и CISA выпустили совместный совет по кибербезопасности. Компания Flashpoint внимательно следит за блогом Clop ransomware и предоставляет инструменты и ресурсы, чтобы помочь организациям предотвращать подобные атаки и реагировать на них.
-----

Clop Ransomware - это вредоносная киберпреступная организация, которая использует уязвимость MOVEit для получения доступа к растущему списку компаний. По состоянию на 13 июня на их сайте утечки данных было указано 64 организации почти из всех основных отраслей, включая правительства и финансовые учреждения. Они также публично пригрозили опубликовать любые имеющиеся у них данные, связанные с несоблюдением требований или переговорами со стороны тех, на кого была направлена массовая утечка данных из инструмента Progress Software MOVEit Transfer.

Clop начал использовать уязвимость нулевого дня 27 мая, а 5 июня компания Zellis UK, поставщик решений для расчета заработной платы и управления персоналом, подтвердила, что они были скомпрометированы. Это привело к тому, что цепочка других организаций в их цепочке поставок также была затронута. После этого ФБР и CISA 7 июня выпустили совместный совет по кибербезопасности (CSA) с известными тактиками, методами и процедурами группы Clop ransomware, списком индикаторов компрометации (IOC) и рекомендованными мерами по смягчению последствий для пострадавших сторон.

Flashpoint продолжает следить за новостями в блоге Clop ransomware и других источниках о жертвах уязвимости нулевого дня MOVEit Transfer. Для минимизации ущерба в случае атаки ransomware организациям следует подготовить хорошо отработанный план реагирования на инциденты. Flashpoint предоставляет инструменты, позволяющие командам безопасности предотвращать атаки ransomware и реагировать на них.

Банда Clop Ransomware - это вредоносная киберпреступная организация, которая неуклонно получает доступ ко все большему числу компаний и организаций по всему миру. Они использовали уязвимость нулевого дня в системе MOVEit Transfer, о которой стало известно 5 июня, и с тех пор угрожают жертвам публикацией их данных в случае невыполнения требований или отказа от переговоров. В ответ на это ФБР и CISA выпустили совместную консультацию по кибербезопасности с известными тактиками и МОК вымогательского ПО Clop, а также рекомендованными мерами по смягчению последствий.

Flashpoint продолжает внимательно следить за блогом Clop ransomware и другими источниками для получения дальнейших обновлений и жертв уязвимости нулевого дня MOVEit Transfer. Чтобы минимизировать ущерб в случае атаки ransomware, организациям следует иметь план реагирования на инциденты. Flashpoint предоставляет инструменты и ресурсы, помогающие организациям предотвращать такие атаки и реагировать на них.

#ParsedReport #CompletenessHigh
16-06-2023

Mystic Stealer: The New Kid on the Block. Appendix

https://inquest.net/blog/2023/06/15/mystic-stealer-new-kid-block

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Mystic_stealer
Polymorphism_technique
Arkei_stealer
Sandbox_evasion_technique
Advobfuscator_tool
Neutrino_pos

Industry:
Government, Petroleum, Financial

Geo:
Latvian, Bulgarian, Germany, China, Russian, Russia, France, Indian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1555.006, T1078, T1082, T1083, T1090, T1102, T1203, T1204, T1486, have more...

IOCs:
File: 10
Email: 1
Domain: 3
Url: 8
IP: 9
Coin: 7
Hash: 6

Softs:
telegram, hyper-v, virtualbox, django, opera, k-meleon, icecat, mozilla firefox, icedragon, cyberfox, have more...

Wallets:
dashcore, tronlink, binancechain, yoroi, nifty, math_wallet, coinbase, guarda_wallet, equal_wallet, jaxx, have more...

Crypto:
bitcoin, multiversx, ethereum, polkadot, binance, dogecoin, litecoin, bitcoingold

Algorithms:
xor, rc4

Languages:
php, python

Links:
https://github.com/andrivet/ADVobfuscator
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_nameservers.txt
https://github.com/a0rtega/pafish/blob/master/pafish/cpu.c
https://github.com/montysecurity/C2-Tracker/blob/main/data/Mystic%20Stealer%20IPs.txt
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domain\_whois.txt
https://github.com/Microv/MysticStealer\_HashResolver
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/c2s.txt
https://github.com/threatlabz/iocs/blob/main/mystic\_stealer/grand\_cluster\_domains.txt
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/import\_hash.py
https://github.com/phish-report/IOK/blob/main/indicators/mystic-stealer-88b6ef2f.yml
https://github.com/threatlabz/tools/blob/main/mystic\_stealer/decrypt\_c2s.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mystic Stealer - это сложная вредоносная программа для кражи информации, которая пользуется значительным спросом благодаря своей способности собирать учетные данные из различных источников. Она реализована на языке C для клиента и Python для панели управления и использует функции антианализа и уклонения от защиты. Его можно арендовать на подпольных форумах по цене 150 долларов США в месяц, поэтому важно принять меры по защите от этой и других вредоносных программ.
-----

Mystic Stealer - это новая вредоносная программа для кражи информации, которая впервые была разрекламирована в апреле 2023 года. Она пользуется значительным спросом благодаря своей способности собирать учетные данные из самых разных источников, включая 40 веб-браузеров, 70 расширений для браузеров, а также популярные криптовалютные кошельки, Steam и Telegram. Mystic Stealer реализован на языке C для клиента и Python для панели управления и взаимодействует со своими командно-контрольными серверами с помощью пользовательского бинарного протокола по TCP.

Mystic Stealer собирает системную информацию, историю и данные автозаполнения, закладки, куки и сохраненные учетные данные из 40 веб-браузеров, а также учетные данные Steam и Telegram и данные, связанные с криптовалютными кошельками. Он также способен делать скриншоты и загружать дополнительные полезные программы. Mystic Stealer содержит функции антианализа и уклонения от защиты, такие как истечение срока действия бинарных файлов, антивиртуализация, импорт Windows API по хэшу, зашифрованный бинарный пользовательский протокол и обфускация полиморфных строк.

Разработчик предоставляет веб-панель управления администратором, которая работает вне диапазона на отдельном открытом служебном порту, не используемом вредоносной программой для C2-коммуникаций. Разработчики используют веб-фреймворк Python Django для панели управления, что является некоторой редкостью при разработке вредоносных программ. Комплект пользовательского интерфейса панели управления, по-видимому, основан на Datta Able для Django, хотя связи между этим проектом и Mystic Stealer нет.

Mystic Stealer был выставлен на аренду по цене $150 в месяц на различных подпольных форумах, включая WWH (WWH-Club) и BHF (Best Hack Forums). Продавец также ведет аккаунт в Telegram под именем @mysticstealer и канал t.me/+ZjiasReCKmo2N2Rk (Новости Mystic Stealer).

Угонщик был связан с несколькими IP-адресами хостинга серверов в различных географических регионах, включая, но не ограничиваясь регистрацией во Франции, Германии, России, США и Китае. Многие из сайтов недавно ушли в офлайн, а вышестоящая CDN сообщила о сбоях в соединении, поэтому возможно, что эти домены являются частью службы распределения трафика или внешнего прокси-сервера и службы трафика. Существует кластер серверов C2, помеченный как "Grand" на основе артефактов WHOIS - некоторые домены в этом кластере имеют высокие показатели репутации в различных наборах данных. Доступны записи WHOIS репрезентативных доменов из этого набора.

Для обнаружения начального обмена ключами соединения C2 были разработаны сигнатуры Suricata. Они обнаруживают начальный обмен ключами соединения C2 и предупреждают, когда размер пакета составляет 4 байта, содержащих постоянное значение. Для обеспечения дополнительной безопасности рекомендуется соблюдать надлежащую гигиену электронной почты. Сюда входят различные технологии гигиены электронной почты, анализ которых позволяет получить мгновенный отчет о состоянии безопасности компании.

Mystic Stealer - это сложная угроза, способная нанести широкомасштабный ущерб. Поэтому важно сохранять бдительность и принимать меры по защите от этой и других вредоносных программ.

#ParsedReport #CompletenessLow
16-06-2023

Ransomware Roundup - Big Head

https://www.fortinet.com/blog/threat-research/fortiguard-labs-ransomware-roundup-big-head

Report completeness: Low

Threats:
Big_head

Industry:
Financial

Geo:
Turkey, Spain, France

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Hash: 11

Softs:
microsoft word, telegram

Crypto:
bitcoin

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория FortiGuard Labs обнаружила два новых варианта ransomware, Big Head и еще один, вероятно, используемый одним и тем же злоумышленником, и предоставила читателям краткую информацию о развивающемся ландшафте ransomware и решениях Fortinet для защиты от них.
-----

Лаборатория FortiGuard Labs недавно обнаружила два новых варианта ransomware, Big Head и еще один, вероятно, используемый одним и тем же злоумышленником. Оба варианта предназначены для вымогательства денег у жертв путем шифрования их файлов. Big Head имеет как минимум три варианта, один из которых отображает поддельный экран обновления Windows. Вариант B отображает записку с требованием выкупа на обоях рабочего стола зараженной машины и требует выкуп в размере одного биткойна. Биткойн-кошелек злоумышленника зафиксировал две транзакции в прошлом.

Большинство образцов Big Head было получено из США, в то время как другой вариант ransomware был получен из США, Испании, Франции и Турции. На момент проведения данного исследования нет никаких признаков того, что Big Head широко распространен.

#ParsedReport #CompletenessMedium
16-06-2023

New Malware Campaign Targets LetsVPN Users

https://blog.cyble.com/2023/06/16/new-malware-campaign-targets-letsvpn-users

Report completeness: Medium

Threats:
Krbanker
Farfli
Beacon
Process_injection_technique

Victims:
Letsvpn users

Industry:
Financial

TTPs:
Tactics: 5
Technics: 12

IOCs:
Domain: 6
Url: 6
File: 1
Hash: 5

Softs:
letsvpn

Algorithms:
exhibit, sha1, sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрозы используют поддельные фишинговые сайты для распространения вредоносных программ, таких как банковский троян BlackMoon и вредоносная программа Farfli Backdoor. Важно, чтобы пользователи проявляли осторожность при встрече с фишинговыми сайтами и проверяли источник, прежде чем загружать какие-либо приложения. Такие компании, как CRIL, отслеживают фишинговые кампании и вредоносные атаки, чтобы информировать пользователей.
-----

Субъекты угроз, или ТА, все чаще используют поддельные фишинговые сайты для распространения вредоносного ПО. Последним примером этого является обнаружение множества фишинговых сайтов, направленных на LetsVPN, VPN-приложение, разработанное компанией LetsGo Network. Эти мошеннические сайты выглядят так же, как и законный сайт LetsVPN, чтобы обманом заставить пользователей загрузить вредоносную полезную нагрузку.

Банковский троян BlackMoon - одна из таких вредоносных полезных нагрузок, которая маскируется под легитимное VPN-приложение и распространяется через вредоносные электронные письма, наборы эксплойтов или скомпрометированные веб-сайты. Он обладает такими возможностями, как перехват клавиатуры, веб-инъекции, удаленный доступ и перехват учетных записей, и работает незаметно в фоновом режиме.

Также было установлено, что фишинговые сайты распространяют вредоносную программу Farfli Backdoor. Эта вредоносная программа способна создавать несанкционированную точку доступа на взломанном компьютере, предоставлять удаленный доступ к управлению, загружать дополнительные вредоносные файлы, записывать нажатия клавиш, собирать конфиденциальные данные и связываться с сервером C&C.

Учитывая возросшую популярность VPN, субъекты угроз начали атаковать пользователей с помощью этих приложений, выдавая себя за законные веб-сайты и распространяя различные виды вредоносного ПО. Для защиты от таких угроз пользователям важно проявлять осторожность при встрече с фишинговыми сайтами и проверять источник перед загрузкой любого приложения. Такие компании, как CRIL, постоянно отслеживают фишинговые кампании и вредоносные атаки, информируя пользователей о последних событиях.

#ParsedReport #CompletenessLow
16-06-2023

Malicious code disguised as a Hangul document file (Kimsuky)

https://asec.ahnlab.com/ko/54473

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Dropper/win.agent.c5441936
Powershell_keylogger_tool

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1036, T1064, T1027, T1036

IOCs:
File: 3
Url: 5
Hash: 5

Softs:
onenote

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносных кодов, распространяемых в виде исполняемых файлов. Важно знать о таких угрозах и принимать меры предосторожности для защиты личной информации и данных. Пользователи должны использовать надежные антивирусные и защитные программы, быть в курсе последних новостей и обновлений в области безопасности, а также сообщать о любых подозрительных действиях в соответствующие органы.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносного кода, распространяемого в виде исполняемых файлов. Считается, что он создан одной и той же группой атаки (Kimsuky) из-за сходства вредоносного кода и кода сценария для выполнения с ранее проанализированным кодом. Вредоносный код обычно распространяется в сжатом файле, который содержит замаскированный исполняемый файл (personal information leak history.hwp.exe), а также файл readme.txt. Файл readme.txt содержит фразу, побуждающую пользователя выполнить вредоносный файл. Вредоносный EXE-файл замаскирован иконкой корейского документа, а имя его файла вставлено с большим количеством пробелов, так что расширение не отображается должным образом.

При выполнении вредоносного EXE-файла создается окно сообщения, содержащее такие северокорейские слова, как "ohyu (ошибка)" и "was done (was)". Это делается для того, чтобы пользователю было трудно заметить вредоносную активность. Поскольку вредоносный код продолжает распространяться, пользователи должны соблюдать особую осторожность при выполнении почтовых вложений и избегать выполнения файлов, распространяемых неизвестными пользователями. Также следует проверять расширение файлов перед их выполнением.

Важно знать о таких угрозах, как вредоносный код, чтобы защитить личную информацию и данные от посягательств. Лучший способ предотвратить вредоносные действия - использовать надежные антивирусные и защитные программы. Кроме того, пользователи должны быть в курсе последних новостей и обновлений в области безопасности и сообщать о любых подозрительных действиях в соответствующие органы.

#ParsedReport #CompletenessMedium
16-06-2023

Android GravityRAT goes after WhatsApp backups

https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups

Report completeness: Medium

Actors/Campaigns:
Spacecobra

Threats:
Gravity_rat
Httrack_tool

Victims:
Android user in india

Geo:
Ukraine, India, Pakistan

TTPs:
Tactics: 7
Technics: 7

IOCs:
Domain: 8
Url: 4
IP: 6
Hash: 3

Softs:
android, whatsapp, macos, omemo, android jabber, wordpress

Functions:
DeleteAllFiles, DeleteAllContacts, DeleteAllCallLogs

Links:
https://github.com/froghorn82/omemo-im

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SpaceCobra распространяет вредоносное ПО GravityRAT через два приложения для обмена сообщениями, BingeChat и Chatico, которые были замечены в целевых кампаниях. Пользователям следует сохранять бдительность при загрузке приложений для обмена сообщениями из ненадежных источников.
-----

SpaceCobra, неизвестная группа, стоящая за вредоносной программой GravityRAT, активна как минимум с 2015 года. Недавно они обновили GravityRAT, добавив в него новые функции, такие как возможность эксфильтрации резервных копий WhatsApp и получение команд от командно-контрольного (C&C) сервера для удаления файлов. Эта вредоносная программа распространяется через два приложения для обмена сообщениями, BingeChat и Chatico, которые основаны на приложении OMEMO Instant Messenger (IM) с открытым исходным кодом.

BingeChat доступен для загрузки с веб-сайта bingechat[.net, который представляет его как бесплатную службу обмена сообщениями и файлами. Это вредоносное приложение никогда не было доступно в магазине Google Play. Потенциальные жертвы становятся мишенью, поскольку загрузка приложения зависит от наличия учетной записи.

Данные телеметрии ESET не зафиксировали ни одной жертвы этой кампании BingeChat, что говорит о том, что кампания, вероятно, является узконаправленной. Однако в нашей телеметрии есть одно обнаружение другого образца Android GravityRAT в Индии, которое произошло в июне 2022 года. Эта версия носила название Chatico и, скорее всего, распространялась через веб-сайт chatico[.co.uk, а также взаимодействовала с C&C-сервером.

Вредоносное приложение содержит код, позволяющий пользователю создать учетную запись и войти в систему, а также эксфильтровать данные, хранящиеся в текстовых файлах на внешних носителях. Оно также имеет опции для получения трех команд от сервера C&C для выполнения, а также два жестко закодированных поддомена C&C.

Исследователи Facebook приписывают GravityRAT группе, базирующейся в Пакистане, а похожая кампания, демонстрирующая те же шаблоны, что и BingeChat, была обнаружена в 2021 году компанией Cyble. На основании сравнения классов вредоносных программ между образцом GravityRAT, проанализированным Cyble, и новым образцом, содержащимся в BingeChat, мы можем с высокой степенью уверенности утверждать, что вредоносный код в BingeChat принадлежит к семейству вредоносных программ GravityRAT.

Использование SpaceCobra вредоносных приложений для распространения GravityRAT еще раз подчеркивает необходимость проявлять бдительность при работе с любыми службами обмена сообщениями. Несмотря на то, что текущие кампании имеют узкую направленность, не исключено, что в будущем SpaceCobra может расширить свою деятельность, поэтому пользователям необходимо помнить о потенциальном риске, связанном с загрузкой любых приложений для обмена сообщениями из ненадежных источников.

#rstcloud
Воспользуюсь служебным положением :)

1. Мы сделали плагин для Chrome, который позволяет отправлять выделенные на сайте индикаторы в наше API на для проверки.
https://chrome.google.com/webstore/detail/rst-threat-feed-lookup/hkmnjjegighdiojodphipafmkhlgcpba?utm_source=ext_app_menu

2. Если у вас MP SIEM, то у ребят из Security Expert Community есть крутой плагин для Chrome, который помимо разных крутых штук, также умеет ходить в наше API.
https://github.com/Security-Experts-Community/siem-monkey

3. Мы обновили скрипт загрузки наших IOC в MISP.
https://github.com/rstcloud/rstcloud-import2misp

#rstcloud
Да, совсем забыл написать еще и здесь :)
У нас появился публичный фид по CVE и в каких TI-отчетах они упоминаются.
Пока данные с мая 2023, но осенью дополним по всем отчетам с марта 2022 г.

https://github.com/rstcloud/rstthreats/blob/master/tireports/tireports_cve_summary_2023.json

#rstcloud
В заключении коммерческих вбросов.
У нас есть несколько крупных клиентов, которые поставили наши url и ip с высокой степенью опасности (score) на периметровых NGFW в режим блокировки.
Вот уже прошел год, как у них работает данная схема, полет нормальный.
З.ы. С "ванильными" открытыми фидами я такого делать не советую :)

#technique

THE NIGHTMARE OF PROC HOLLOW’S EXE

https://www.trustedsec.com/blog/the-nightmare-of-proc-hollows-exe/

#ParsedReport #CompletenessLow
19-06-2023

Malicious code execution method using DNS TXT record

https://asec.ahnlab.com/ko/54337

Report completeness: Low

Threats:
Agent_tesla
Trojan/win.generic.r526355
Trojan/win.injector.c4641320

ChatGPT TTPs:
do not use without manual check
T1218, T1064, T1113, T1086, T1036, T1083

IOCs:
Domain: 1
File: 4
Hash: 3
Url: 8

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники недавно начали использовать записи DNS TXT для выполнения вредоносного кода путем отправки фишингового письма с файлом PPAM, который затем запрашивает запись DNS TXT для вредоносной программы InfoStealer на базе .Net. Это новое и тревожное событие в сфере угроз, и важно сохранять бдительность и знать об этой технике, чтобы защититься от потенциальных атак.
-----

Злоумышленники все чаще используют TXT-записи сервера доменных имен (DNS) для выполнения вредоносного кода. Записи DNS TXT - это функция, позволяющая администраторам доменов вводить текст в DNS, изначально предназначенный для человекочитаемых заметок. Теперь эти записи могут использоваться для хранения различных видов данных, в том числе для предотвращения спама и проверки владения доменом. Известно, что злоумышленники используют записи DNS TXT для подделки (спуфинга) домена, с которого они рассылают спам по электронной почте. Кроме того, владельцы доменов могут подтвердить свое право собственности, загрузив запись TXT, содержащую определенную информацию, или изменив существующую запись TXT.

Однако недавно злоумышленники применили новый подход к использованию записей DNS TXT для выполнения вредоносного кода. Эта атака начинается с фишингового письма, содержащего файл PPAM, который представляет собой исполняемый файл в PowerPoint, содержащий специальные функции, такие как пользовательские макросы и коды VBA. Когда макрос выполняется, он запускает инструмент управления nslookup через Powershell, а затем запрашивает запись DNS TXT. Код прост и не обфусцирован, но содержит команду на выполнение вредоносной программы в следующем процессе.

Запросив TXT-запись DNS, злоумышленник смог загрузить вредоносную программу InfoStealer на базе .Net, такую как AgentTesla, которая была закодирована в Base64. Это новый метод выполнения вредоносного кода, который ранее не встречался, и он является тревожным событием в сфере угроз. Важно сохранять бдительность и знать об этой технике, а также о других тактиках, используемых злоумышленниками, чтобы защититься от потенциальных атак.