#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрозы используют поддельные фишинговые сайты для распространения вредоносных программ, таких как банковский троян BlackMoon и вредоносная программа Farfli Backdoor. Важно, чтобы пользователи проявляли осторожность при встрече с фишинговыми сайтами и проверяли источник, прежде чем загружать какие-либо приложения. Такие компании, как CRIL, отслеживают фишинговые кампании и вредоносные атаки, чтобы информировать пользователей.
-----

Субъекты угроз, или ТА, все чаще используют поддельные фишинговые сайты для распространения вредоносного ПО. Последним примером этого является обнаружение множества фишинговых сайтов, направленных на LetsVPN, VPN-приложение, разработанное компанией LetsGo Network. Эти мошеннические сайты выглядят так же, как и законный сайт LetsVPN, чтобы обманом заставить пользователей загрузить вредоносную полезную нагрузку.

Банковский троян BlackMoon - одна из таких вредоносных полезных нагрузок, которая маскируется под легитимное VPN-приложение и распространяется через вредоносные электронные письма, наборы эксплойтов или скомпрометированные веб-сайты. Он обладает такими возможностями, как перехват клавиатуры, веб-инъекции, удаленный доступ и перехват учетных записей, и работает незаметно в фоновом режиме.

Также было установлено, что фишинговые сайты распространяют вредоносную программу Farfli Backdoor. Эта вредоносная программа способна создавать несанкционированную точку доступа на взломанном компьютере, предоставлять удаленный доступ к управлению, загружать дополнительные вредоносные файлы, записывать нажатия клавиш, собирать конфиденциальные данные и связываться с сервером C&C.

Учитывая возросшую популярность VPN, субъекты угроз начали атаковать пользователей с помощью этих приложений, выдавая себя за законные веб-сайты и распространяя различные виды вредоносного ПО. Для защиты от таких угроз пользователям важно проявлять осторожность при встрече с фишинговыми сайтами и проверять источник перед загрузкой любого приложения. Такие компании, как CRIL, постоянно отслеживают фишинговые кампании и вредоносные атаки, информируя пользователей о последних событиях.

#ParsedReport #CompletenessLow
16-06-2023

Malicious code disguised as a Hangul document file (Kimsuky)

https://asec.ahnlab.com/ko/54473

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Dropper/win.agent.c5441936
Powershell_keylogger_tool

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1036, T1064, T1027, T1036

IOCs:
File: 3
Url: 5
Hash: 5

Softs:
onenote

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносных кодов, распространяемых в виде исполняемых файлов. Важно знать о таких угрозах и принимать меры предосторожности для защиты личной информации и данных. Пользователи должны использовать надежные антивирусные и защитные программы, быть в курсе последних новостей и обновлений в области безопасности, а также сообщать о любых подозрительных действиях в соответствующие органы.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносного кода, распространяемого в виде исполняемых файлов. Считается, что он создан одной и той же группой атаки (Kimsuky) из-за сходства вредоносного кода и кода сценария для выполнения с ранее проанализированным кодом. Вредоносный код обычно распространяется в сжатом файле, который содержит замаскированный исполняемый файл (personal information leak history.hwp.exe), а также файл readme.txt. Файл readme.txt содержит фразу, побуждающую пользователя выполнить вредоносный файл. Вредоносный EXE-файл замаскирован иконкой корейского документа, а имя его файла вставлено с большим количеством пробелов, так что расширение не отображается должным образом.

При выполнении вредоносного EXE-файла создается окно сообщения, содержащее такие северокорейские слова, как "ohyu (ошибка)" и "was done (was)". Это делается для того, чтобы пользователю было трудно заметить вредоносную активность. Поскольку вредоносный код продолжает распространяться, пользователи должны соблюдать особую осторожность при выполнении почтовых вложений и избегать выполнения файлов, распространяемых неизвестными пользователями. Также следует проверять расширение файлов перед их выполнением.

Важно знать о таких угрозах, как вредоносный код, чтобы защитить личную информацию и данные от посягательств. Лучший способ предотвратить вредоносные действия - использовать надежные антивирусные и защитные программы. Кроме того, пользователи должны быть в курсе последних новостей и обновлений в области безопасности и сообщать о любых подозрительных действиях в соответствующие органы.

#ParsedReport #CompletenessMedium
16-06-2023

Android GravityRAT goes after WhatsApp backups

https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups

Report completeness: Medium

Actors/Campaigns:
Spacecobra

Threats:
Gravity_rat
Httrack_tool

Victims:
Android user in india

Geo:
Ukraine, India, Pakistan

TTPs:
Tactics: 7
Technics: 7

IOCs:
Domain: 8
Url: 4
IP: 6
Hash: 3

Softs:
android, whatsapp, macos, omemo, android jabber, wordpress

Functions:
DeleteAllFiles, DeleteAllContacts, DeleteAllCallLogs

Links:
https://github.com/froghorn82/omemo-im

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SpaceCobra распространяет вредоносное ПО GravityRAT через два приложения для обмена сообщениями, BingeChat и Chatico, которые были замечены в целевых кампаниях. Пользователям следует сохранять бдительность при загрузке приложений для обмена сообщениями из ненадежных источников.
-----

SpaceCobra, неизвестная группа, стоящая за вредоносной программой GravityRAT, активна как минимум с 2015 года. Недавно они обновили GravityRAT, добавив в него новые функции, такие как возможность эксфильтрации резервных копий WhatsApp и получение команд от командно-контрольного (C&C) сервера для удаления файлов. Эта вредоносная программа распространяется через два приложения для обмена сообщениями, BingeChat и Chatico, которые основаны на приложении OMEMO Instant Messenger (IM) с открытым исходным кодом.

BingeChat доступен для загрузки с веб-сайта bingechat[.net, который представляет его как бесплатную службу обмена сообщениями и файлами. Это вредоносное приложение никогда не было доступно в магазине Google Play. Потенциальные жертвы становятся мишенью, поскольку загрузка приложения зависит от наличия учетной записи.

Данные телеметрии ESET не зафиксировали ни одной жертвы этой кампании BingeChat, что говорит о том, что кампания, вероятно, является узконаправленной. Однако в нашей телеметрии есть одно обнаружение другого образца Android GravityRAT в Индии, которое произошло в июне 2022 года. Эта версия носила название Chatico и, скорее всего, распространялась через веб-сайт chatico[.co.uk, а также взаимодействовала с C&C-сервером.

Вредоносное приложение содержит код, позволяющий пользователю создать учетную запись и войти в систему, а также эксфильтровать данные, хранящиеся в текстовых файлах на внешних носителях. Оно также имеет опции для получения трех команд от сервера C&C для выполнения, а также два жестко закодированных поддомена C&C.

Исследователи Facebook приписывают GravityRAT группе, базирующейся в Пакистане, а похожая кампания, демонстрирующая те же шаблоны, что и BingeChat, была обнаружена в 2021 году компанией Cyble. На основании сравнения классов вредоносных программ между образцом GravityRAT, проанализированным Cyble, и новым образцом, содержащимся в BingeChat, мы можем с высокой степенью уверенности утверждать, что вредоносный код в BingeChat принадлежит к семейству вредоносных программ GravityRAT.

Использование SpaceCobra вредоносных приложений для распространения GravityRAT еще раз подчеркивает необходимость проявлять бдительность при работе с любыми службами обмена сообщениями. Несмотря на то, что текущие кампании имеют узкую направленность, не исключено, что в будущем SpaceCobra может расширить свою деятельность, поэтому пользователям необходимо помнить о потенциальном риске, связанном с загрузкой любых приложений для обмена сообщениями из ненадежных источников.

#rstcloud
Воспользуюсь служебным положением :)

1. Мы сделали плагин для Chrome, который позволяет отправлять выделенные на сайте индикаторы в наше API на для проверки.
https://chrome.google.com/webstore/detail/rst-threat-feed-lookup/hkmnjjegighdiojodphipafmkhlgcpba?utm_source=ext_app_menu

2. Если у вас MP SIEM, то у ребят из Security Expert Community есть крутой плагин для Chrome, который помимо разных крутых штук, также умеет ходить в наше API.
https://github.com/Security-Experts-Community/siem-monkey

3. Мы обновили скрипт загрузки наших IOC в MISP.
https://github.com/rstcloud/rstcloud-import2misp

#rstcloud
Да, совсем забыл написать еще и здесь :)
У нас появился публичный фид по CVE и в каких TI-отчетах они упоминаются.
Пока данные с мая 2023, но осенью дополним по всем отчетам с марта 2022 г.

https://github.com/rstcloud/rstthreats/blob/master/tireports/tireports_cve_summary_2023.json

#rstcloud
В заключении коммерческих вбросов.
У нас есть несколько крупных клиентов, которые поставили наши url и ip с высокой степенью опасности (score) на периметровых NGFW в режим блокировки.
Вот уже прошел год, как у них работает данная схема, полет нормальный.
З.ы. С "ванильными" открытыми фидами я такого делать не советую :)

#technique

THE NIGHTMARE OF PROC HOLLOW’S EXE

https://www.trustedsec.com/blog/the-nightmare-of-proc-hollows-exe/

#ParsedReport #CompletenessLow
19-06-2023

Malicious code execution method using DNS TXT record

https://asec.ahnlab.com/ko/54337

Report completeness: Low

Threats:
Agent_tesla
Trojan/win.generic.r526355
Trojan/win.injector.c4641320

ChatGPT TTPs:
do not use without manual check
T1218, T1064, T1113, T1086, T1036, T1083

IOCs:
Domain: 1
File: 4
Hash: 3
Url: 8

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники недавно начали использовать записи DNS TXT для выполнения вредоносного кода путем отправки фишингового письма с файлом PPAM, который затем запрашивает запись DNS TXT для вредоносной программы InfoStealer на базе .Net. Это новое и тревожное событие в сфере угроз, и важно сохранять бдительность и знать об этой технике, чтобы защититься от потенциальных атак.
-----

Злоумышленники все чаще используют TXT-записи сервера доменных имен (DNS) для выполнения вредоносного кода. Записи DNS TXT - это функция, позволяющая администраторам доменов вводить текст в DNS, изначально предназначенный для человекочитаемых заметок. Теперь эти записи могут использоваться для хранения различных видов данных, в том числе для предотвращения спама и проверки владения доменом. Известно, что злоумышленники используют записи DNS TXT для подделки (спуфинга) домена, с которого они рассылают спам по электронной почте. Кроме того, владельцы доменов могут подтвердить свое право собственности, загрузив запись TXT, содержащую определенную информацию, или изменив существующую запись TXT.

Однако недавно злоумышленники применили новый подход к использованию записей DNS TXT для выполнения вредоносного кода. Эта атака начинается с фишингового письма, содержащего файл PPAM, который представляет собой исполняемый файл в PowerPoint, содержащий специальные функции, такие как пользовательские макросы и коды VBA. Когда макрос выполняется, он запускает инструмент управления nslookup через Powershell, а затем запрашивает запись DNS TXT. Код прост и не обфусцирован, но содержит команду на выполнение вредоносной программы в следующем процессе.

Запросив TXT-запись DNS, злоумышленник смог загрузить вредоносную программу InfoStealer на базе .Net, такую как AgentTesla, которая была закодирована в Base64. Это новый метод выполнения вредоносного кода, который ранее не встречался, и он является тревожным событием в сфере угроз. Важно сохранять бдительность и знать об этой технике, а также о других тактиках, используемых злоумышленниками, чтобы защититься от потенциальных атак.

#ParsedReport #CompletenessLow
19-06-2023

Swing VPN app is a DDOS botnet

https://lecromee.github.io/posts/swing_vpn_ddosing_sites

Report completeness: Low

Industry:
Telco, Government, Aerospace

Geo:
Russia, Turkmenistan, Emirates, Iran

IOCs:
File: 5

Softs:
appstore, android

Languages:
python, php

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Swing VPN использовала свою базу пользователей для DDOS сайтов без их ведома или согласия, собирала деньги с пользователей и скрывала свои вредоносные действия, чтобы остаться незамеченной.
-----

Swing VPN - это мобильное приложение, которое предлагает своим пользователям услугу VPN. Недавно появились сообщения о том, что Swing VPN использует свою базу пользователей в качестве ботнета для DDOS сайтов. Это привело к тому, что некоторые люди писали, что DDOS не происходит на устройствах iOS. После дальнейшего расследования выяснилось, что приложение для iOS использовало другой способ работы VPN и не делало ничего подозрительного.

При дальнейшем исследовании приложения Swing VPN было обнаружено, что оно делает запросы к веб-сайту авиакомпании с определенными данными внутри полезной нагрузки запроса, что указывает на его намерение отправить запросы к конечной точке, которая будет сильно требовать ресурсов этого сайта. Также было обнаружено, что приложение запрашивало файлы конфигурации с различных персональных серверов, репозиториев Github и аккаунтов Google Drive. После получения конфигураций приложение подключалось к рекламной сети для загрузки рекламы. Приложение сохраняло эти данные в локальном кэше и приступало к DDOS-атаке на сайт, полученный из конфигурации. База установки Swing VPN на Android составляла более 5 миллионов пользователей с потенциалом в 500 тысяч RPS.

Также выяснилось, что приложение не заботится о конфиденциальности. Вместо того чтобы нажать кнопку "Я принимаю политику конфиденциальности" при открытии приложения, оно начинало отправлять данные пользователя в рекламную сеть без его согласия. Еще более тревожным был тот факт, что приложение загружало конфигурации с информацией о том, на какой сайт нужно совершить DDOS, и выполняло DDOS-программу, пока пользователь еще читал Политику конфиденциальности.

Путем обратного проектирования кода декодирования, расположенного в каталоге native libs с именем libnativelib.so, было обнаружено, что приложение пытается выяснить реальный IP-адрес, выполняя запросы к Google и Bing. Также было обнаружено, что имена файлов были построены в определенном порядке с префиксами A1, B1 и GLOBAL, чтобы разделить конфигурации на связанные с провайдером конфигурации. После расшифровки зашифрованных конфигурационных файлов выяснилось, что приложение пыталось атаковать некоторые правительственные сайты Туркменистана.

Вредоносные намерения создателя приложения были доказаны, когда выяснилось, что приложение использовало свою базу пользователей для DDOS-атаки на сайты без их ведома или согласия. Также было установлено, что приложение использовало различные техники для обфускации и сокрытия своих вредоносных действий, чтобы остаться незамеченным. Кроме того, приложение собирало деньги с пользователей, показывая им рекламу или продавая ежемесячные VIP-услуги.

#ParsedReport #CompletenessHigh
16-06-2023

eSentire Threat Intelligence Malware Analysis: Aurora Stealer

https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-aurora-stealer

Report completeness: High

Threats:
Aurora
Cheshire_botnet
Hvnc_tool
Nmap_tool
Teamviewer_tool
Traffer
Raccoon_stealer
Vidar_stealer
Redline_stealer

Victims:
Manufacturing industry

Industry:
E-commerce, Financial

Geo:
America, Emea, Africa, Russian, Apac, Russia

TTPs:

IOCs:
File: 4
Command: 2
Hash: 3
IP: 4

Softs:
opera, mozilla firefox, chrome, telegram

Algorithms:
gzip, aes, zip, base64

Win API:
CreateCompatibleDC, GetDC, BitBlt, CryptProtectData, CryptUnprotectData

Languages:
python, golang

Platforms:
intel

YARA: Found

Links:
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/aurora\_config\_extractor.py

#ParsedReport #ExtractedSchema

Classified images:
code: 16, table: 1, windows: 6, schema: 1, dump: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что отдел реагирования на угрозы eSentire (TRU) заметил рост заражений вредоносным ПО Aurora Stealer в производственной отрасли.
-----

С декабря 2022 года отдел реагирования на угрозы (TRU) компании eSentire отмечает рост числа заражений вредоносным ПО Aurora Stealer в производственной сфере. Aurora Stealer - это вредоносная программа для кражи данных, которая собирает конфиденциальную информацию, включая файлы cookie, данные автозаполнения и зашифрованные пароли из таких веб-браузеров, как Opera, Brave и Chrome. Она продается на русскоязычных форумах по цене $125USD за один месяц доступа, $300USD за 3 месяца доступа и $1,000USD за пожизненный доступ.

Aurora Stealer распространяется различными методами. Google Ads используется для создания поддельных установочных файлов Notepad++, TeamViewer, Nvidia Driver и т.д. Вредоносная программа также использует преимущества инсталляторов (Russian: ), трейдеров (Russian: ) и сервисов Pay-Per-Install (PPI). После того как пользователь перенаправляется на целевую страницу злоумышленника, ему предлагается загрузить вредоносную полезную нагрузку stealer. Крадун также может распространяться через уже зараженные узлы с помощью других семейств вредоносных программ, таких как трояны удаленного доступа (RAT).

Чтобы избежать обнаружения антивирусными сканерами, Aurora Stealer упаковывается нежелательными байтами для увеличения размера файла и его архивирования. Он также использует сертификат Extended Validation (EV) для защиты онлайн-общения и отображения зеленой адресной строки в браузере, чтобы указать, что сайт заслуживает доверия. Вредоносная программа написана на языке Golang, способна похитить более 90 криптокошельков и имеет встроенный модуль Loader. Вредоносная программа хранит свои конфигурации в base64-кодированном формате и отправляет логи на C2-сервер через стандартный порт 8081 в формате JSON, сжатом GZIP, base64-кодированном.

В марте 2023 года разработчик крадника выпустил первое обновление с октября 2022 года. Обновление добавило новые возможности, такие как возможность захвата учетных данных FTP и RDP и изменение портов для панели крадущего и связи C2. Оно также позволяло злоумышленнику указывать расширения и дисковые накопители для модуля граббера.

#ParsedReport #CompletenessLow
19-06-2023

Warning: Malware Disguised as a Security Update Installer Being Distributed

https://asec.ahnlab.com/en/54375

Report completeness: Low

Industry:
Government

IOCs:
File: 1
Hash: 1
Domain: 1

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 2, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AhnLab и Объединенный совет по анализу и консультациям NCSC обнаружили вредоносную атаку, замаскированную под обновление системы безопасности, и выпустили предупреждение, призывающее пользователей с осторожностью относиться к незнакомому программному обеспечению. Они также создали защиту от будущих атак, чтобы защитить пользователей от вредоносных действий.
-----

Компания AhnLab в сотрудничестве с Объединенным советом по анализу и консультациям Национального центра кибербезопасности (NCSC) недавно обнаружила вредоносную деятельность хакерской группы, поддерживаемой определенным правительством. Вредоносная программа была замаскирована под программу установки обновлений безопасности и разработана с использованием программного обеспечения Inno Setup. Краткое описание программы приведено в таблице ниже.

При дальнейшем изучении файла сценария было обнаружено, что вредоносная программа была установлена в системный путь C:\ProgramData. Также было обнаружено, что она была зарегистрирована при запуске в области реестра, работая при этом в системе. Затем с зараженного компьютера была похищена системная информация и отправлена на командно-контрольный (C&C) сервер хакеров. Кроме того, хакеры смогли удаленно выполнить целый ряд дополнительных команд.

Inno Setup - это программное обеспечение, используемое для создания инсталляторов для программ Windows. Она позволяет разработчикам создавать инсталляторы для своих приложений и даже может использоваться для создания самораспаковывающихся архивов. Программа доступна бесплатно и широко используется многими разработчиками благодаря высокой степени настройки.

Когда AhnLab и Объединенный совет по анализу и консультациям NCSC обнаружили атаку, они немедленно выпустили предупреждение о вредоносной программе. Они призвали пользователей убедиться, что все обновления безопасности, которые они устанавливают, получены из надежного источника, и с опаской относиться к незнакомому программному обеспечению. Кроме того, они рекомендовали пользователям регулярно проверять свои системы на предмет любой подозрительной активности.

К сожалению, источник атаки остается неизвестным. AhnLab и NCSC совместно работают над анализом вредоносного ПО и созданием защиты от будущих атак. Однако опасность все еще сохраняется, и пользователи должны оставаться бдительными. Просвещая пользователей об опасности вредоносных программ и создавая средства защиты от потенциальных атак, AhnLab и NCSC надеются защитить пользователей от вредоносных действий и обезопасить их системы.

#ParsedReport #CompletenessLow
16-06-2023

OnlyDcRatFans: Malware Distributed Using Explicit Lures of OnlyFans Pages and Other Adult Content

https://www.esentire.com/blog/onlydcratfans-malware-distributed-using-explicit-lures-of-onlyfans-pages-and-other-adult-content

Report completeness: Low

Threats:
Dcrat
Asyncrat_rat
More_eggs

Geo:
Emea, America, Apac, Africa

ChatGPT TTPs:
do not use without manual check
T1113, T1059, T1064, T1083, T1053, T1086, T1047, T1112

IOCs:
Hash: 3
File: 5
IP: 1

Softs:
discord

Algorithms:
pbkdf2, zip

Functions:
replace

Win API:
CallWindowProcW, VirtualAlloc

Languages:
javascript

Platforms:
intel

Links:
https://github.com/qwqdanchun/DcRat