#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Sygnia недавно расследовала атаку Cheerscrypt ransomware, которая использовала TTPs Night Sky ransomware, и обнаружила, что она была частью более крупной атаки BEC.-----

Недавно компания Sygnia расследовала атаку Cheerscrypt ransomware, в которой использовалась технология Night Sky ransomware TTP. Дальнейший анализ показал, что эти два ребрендинга одной и той же угрожающей группы, которую Sygnia назвала Emperor Dragonfly, были частью более крупной BEC-атаки. Вначале субъект угрозы получил доступ к учетной записи одного из сотрудников жертвы и эксфильтрировал данные со скомпрометированной учетной записи. Затем он использовал свой доступ для распространения фишинговых атак на других сотрудников жертвы и несколько внешних целевых организаций.

Используя различные методы обогащения CTI, Sygnia смогла определить, что эта BEC-атака была лишь частью гораздо более широкой кампании, потенциально затрагивающей десятки организаций по всему миру. Чтобы помочь специалистам по безопасности проанализировать подозрительные и вредоносные IOC, с которыми они сталкиваются в ходе ежедневного мониторинга и обнаружения, Sygnia разработала набор инструментов для обогащения CTI.

Фишинговое письмо, отправленное сотруднику клиента, пришло с легитимного почтового ящика внешней компании, который, как предполагается, был ранее взломан. Фишинговое письмо содержало ссылку, ведущую на страницу запроса обмена файлами, которая располагалась на предполагаемом взломанном домене. После прохождения проверки I'm not a robot, организованной Cloudflare, жертва была направлена на мошенническую страницу аутентификации Office365, созданную фишинговым набором. После того как жертва ввела свои учетные данные, фишинговый набор инициировал атаку Adversary in the Middle (AiTM), перенаправляя клиентскую аутентификацию и вызов MFA в легитимную службу аутентификации Microsoft, при этом похищая полученный токен сессии, а также учетные данные для доступа к учетной записи.

Затем угрожающий субъект вошел в учетную запись жертвы, используя украденный токен, и добавил новое устройство MFA, чтобы получить постоянный доступ. Он использовал этот доступ для отправки новых фишинговых писем с вредоносной ссылкой десяткам сотрудников клиента, а также другим целевым организациям. Запись WHOIS домена, на котором размещена фишинговая страница, была обновлена 2 июня 2022 года и зарегистрирована на имя NAMECHEAP INC с ограничениями конфиденциальности. Запрос на вредоносный IP с помощью RiskIQ дал несколько результатов, а запрос на связи IP с помощью VirusTotal обнаружил около 100 вредоносных файлов с недавними загрузками, связанных с ним. Некоторые из этих файлов оказались связаны с семейством вредоносных программ FormBook.

#ParsedReport #CompletenessLow
19-06-2023

Fragments of Cross-Platform Backdoor Hint at Larger Mac OS Attack

https://www.bitdefender.com/blog/labs/fragments-of-cross-platform-backdoor-hint-at-larger-mac-os-attack

Report completeness: Low

Threats:
JokerSpy

Victims:
Mac os, windows and linux-based operating systems

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 6
File: 4

Softs:
mac os, macos

Algorithms:
base64, sha1

Functions:
load_setting, CGPreflightScreenCaptureAccess

Languages:
python

Platforms:
arm, intel, x86, apple

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Наши исследователи Mac недавно обнаружили набор инструментов вредоносного ПО, который нацелен на несколько операционных систем и извлекает конкретные сведения о системе жертвы. Вредоносные субъекты, стоящие за этой атакой, использовали специальную подпись для своих файлов и жестко закодировали командно-контрольный сервер в одном из бэкдоров, чтобы остаться незамеченными.
-----

Наши исследователи Mac недавно обнаружили набор файлов с возможностями бэкдора, которые, по-видимому, являются частью более сложного набора инструментов вредоносного ПО. Выделенные образцы представляли собой общие бэкдоры, написанные на языке Python и предназначенные для операционных систем на базе Mac OS, Windows и Linux. Бэкдор sh.py мог сохранять параметры конфигурации в файле \~/Public/Safari/sar.dat после кодирования их в base64. Этот бэкдор также имел функцию 'get_basic_information' для извлечения специфических сведений о системе, таких как имя хоста, имя пользователя, версия ОС и версия Python. Третий компонент представлял собой двоичный файл FAT, содержащий файлы Mach-O для архитектур x86 Intel и ARM M1 и был написан на языке Swift. Он был предназначен для проверки разрешений перед использованием потенциально шпионского компонента, но не включал его.

Командно-контрольный сервер был жестко закодирован в бэкдоре share.dat Python, а первое упоминание о домене датируется 10 февраля 2023 года. Продукты Bitdefender идентифицировали компоненты Python как Trojan.Python.JokerSpy, а двоичные файлы Mach-O как Trojan.MAC.JokerSpy.

Эти находки указывают на то, что исследованный нами набор инструментов вредоносного ПО был частью гораздо более масштабной атаки, в которой могут присутствовать и другие компоненты, которые пока не обнаружены. Хотя анализ еще не завершен, ясно, что этот конкретный набор инструментов был разработан для атаки на несколько операционных систем и извлечения конкретных сведений о системе жертвы. Похоже, что злоумышленники, стоящие за этой атакой, хотели остаться незамеченными, используя специальную подпись для своих файлов и жестко кодируя сервер командного управления в одном из бэкдоров.

#ParsedReport #CompletenessLow
16-06-2023

Cisco Talos Intelligence Blog. Active exploitation of the MOVEit Transfer vulnerability - CVE-2023-34362 - by Clop ransomware group

https://blog.talosintelligence.com/active-exploitation-of-moveit

Report completeness: Low

Threats:
Clop
Lemurloot

Victims:
Progress software corporation, customers of their moveit transfer solution

Industry:
Healthcare, Financial

CVEs:
CVE-2023-35036 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7)

CVE-2023-35708 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix

CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


ChatGPT TTPs:
do not use without manual check
T1218.003, T1059.003, T1090, T1140

IOCs:
Hash: 9

Softs:
moveit

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей и регулярного резервного копирования данных для защиты от злоумышленников.
-----

Cisco Talos отслеживает сообщения о попытках эксплуатации уязвимости нулевого дня SQL-инъекции (CVE-2023-34362) в решении для управляемой передачи файлов (MFT) MOVEit Transfer с конца мая 2023 года. В случае успешной эксплуатации уязвимость может позволить неаутентифицированным противникам выполнить произвольный код, что приведет к удаленному выполнению кода (RCE), который затем может быть использован для отключения антивирусных решений (AV) или развертывания полезной нагрузки вредоносного ПО. Группа разработчиков вымогательского ПО Clop взяла на себя ответственность за использование этой уязвимости для развертывания ранее невиданной веб-оболочки LemurLoot для утечки данных жертв и вымогательства платежей. Компания Microsoft также приписала эти атаки той же группе.

С момента обнаружения первой уязвимости в решениях MOVEit Transfer были найдены еще две: CVE-2023-35036 и CVE-2023-35708. Однако ни одна из них в настоящее время активно не эксплуатируется. 31 мая Progress Software Corporation выпустила консультацию по безопасности, предупреждающую клиентов о первой уязвимости, а для второй уязвимости были выпущены исправления и консультация.

Цепочка эксплойтов, используемая группой Clop ransomware для доступа к уязвимости MOVEit Transfer, использует SQL-инъекцию для получения токена API сисадмина, который затем может быть использован для вызова функции десериализации, не проверяющей должным образом входные данные, что позволяет удаленно выполнить код. LemurLoot предназначен для эксфильтрации данных и выполнения на системах с MOVEit Transfer, используя поле заголовка X-siLock-Step1 для получения команд от оператора. Есть две четко определенные команды: -1 и -2. Команда -1 получает системные настройки Azure из MOVEit Transfer и выполняет SQL-запросы для получения файлов, а команда -2 удаляет учетную запись пользователя с LoginName и RealName, установленными на "Health Check Service".

5 июня группа разработчиков вымогательского ПО Clop опубликовала заявление на своем сайте утечки данных Tor, взяв на себя ответственность за атаки и угрожая опубликовать данные жертв, если вымогательское требование не будет выполнено. Группа указала крайний срок - 14 июня - для жертв, чтобы начать контакт, иначе название их компании будет размещено на сайте утечки данных в качестве предупреждения. На данный момент данные не опубликованы, но они начали публично называть и позорить пострадавшие компании.

Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей. Очень важно, чтобы организации действовали быстро, чтобы их системы поддерживались в актуальном состоянии и чтобы любые новые уязвимости устранялись как можно скорее. Кроме того, организациям следует регулярно создавать резервные копии своих данных и внедрять решения безопасности, способные обнаруживать и блокировать вредоносные действия.

#ParsedReport #CompletenessLow
20-06-2023

Terminator EDR Killer (Spyboy) \| Detecting and Preventing a Windows BYOVD Attack

https://www.sentinelone.com/blog/terminator-edr-killer-spyboy-detecting-and-preventing-a-windows-byovd-attack

Report completeness: Low

Threats:
Terminator_tool
Byovd_technique

Geo:
Russian

IOCs:
Hash: 14

Algorithms:
sha1

Links:
https://github.com/irql0/CVE-2021-31728

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что русскоязычный хакер продвигает инструмент Terminator, который является вредоносным и способен обходить EDR и AV инструменты, убивая связанные процессы. Инструмент использует уязвимые драйверы для предоставления злоумышленникам привилегированного доступа к операционной системе, что позволяет им завершить любой процесс. Хакер продавал инструмент на одной из российских хакерских платформ по цене от 300 до 3000 долларов США.-----

Недавно русскоязычный хакер попал в заголовки газет благодаря продвижению инструмента Terminator. Этот вредоносный инструмент, как утверждается, способен обходить EDR и антивирусные инструменты, убивая связанные с ними процессы. Инструмент использует технику атаки Bring Your Own Vulnerable Driver (BYOVD), которая подразумевает установку драйверов, законно подписанных и загруженных в системы Windows, но имеющих уязвимости, которые могут быть использованы для выполнения кода в контексте ядра. Это дает злоумышленникам привилегированное положение, позволяющее обойти ограничения, накладываемые операционной системой на пользовательские процессы.

В данном случае Terminator использует уязвимые версии драйверов ядра антивируса Zemana для обеспечения возможности выполнения вредоносного кода, предоставленного злоумышленниками, в режиме ядра. Это дает злоумышленникам возможность завершать любые системные и пользовательские процессы, включая процессы механизмов обнаружения. Угрожающий агент, стоящий за инструментом, предлагал его на продажу на одной из российских хакерских платформ, причем цены варьировались от 300 долларов за обход конкретного антивирусного средства до 3000 долларов за универсальный killer EDR.

#ParsedReport #CompletenessLow
19-06-2023

RecordBreaker Infostealer Disguised as a .NET Installer

https://asec.ahnlab.com/en/54658

Report completeness: Low

Threats:
Record_breaker_stealer
Raccoon_stealer
Recordstealer
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.003, T1140

IOCs:
File: 2
Url: 14
Hash: 33
IP: 1

Softs:
net framework

Algorithms:
xor

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные программы, замаскированные под крэки, - все более распространенная проблема, сложность которой постоянно возрастает.
-----

RecordBreaker (Raccoon Stealer V2) Infostealer - это вредоносная программа в данном случае. Она крадет различную конфиденциальную информацию у пользователей в соответствии со значением конфигурации, полученным с сервера. Затем он отправляет эту информацию на C2, после чего завершает свою работу.

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) отслеживает вредоносные программы, распространяемые таким образом, с помощью автоматизированной системы. Соответствующая информация может быть подтверждена в режиме реального времени через их службу.

Вредоносное ПО, распространяемое под видом крэков, является серьезной проблемой, которая постоянно развивается. В прошлом вредоносные программы распространялись просто как исполняемый файл, однако в последнее время наметился сдвиг в сторону включения обычных файлов в сжатый файл. Этот конкретный образец отличается от ранее распространявшихся вредоносных программ тем, что он был написан на языке Rust и имел гораздо меньший размер - всего 20-50 МБ по сравнению с предыдущими образцами, которые раздувались до 3 ГБ.

Вредоносная программа способна определить, запущена ли она в виртуальной среде. Если это так, то вместо вредоносной программы она загружает обычный установщик .NET с официального сайта Microsoft. После загрузки программы установки она выполняется и завершается. Если вредоносная программа запущена в обычной пользовательской среде, зашифрованный файл вредоносной программы загружается с сервера угрожающего агента и затем выполняется.

Загруженный файл зашифрован с помощью XOR, ключ - Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY. Он расшифровывается, и после выполнения обычного процесса (addinprocess32.exe) происходит инъекция. Расшифрованный файл представляет собой вредоносную программу RecordStealer, и в нем не используются какие-либо отдельные методы упаковки. Однако секция кода вредоносной программы содержит значительное количество ненужных кодов вызовов API, затрудняющих анализ.

#ParsedReport #CompletenessLow
20-06-2023

Enter the BlackLotus: Analysis of the Latest UEFI Bootkit

https://socradar.io/enter-the-blacklotus-analysis-of-the-latest-uefi-bootkit

Report completeness: Low

Actors/Campaigns:
Fancy_bear
Axiom

Threats:
Blacklotus
Uac_bypass_technique

Victims:
Microsoft windows 11 systems

CVEs:
CVE-2022-21894 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...

Softs:
windows security, bitlocker

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Буткит BlackLotus - это вредоносное программное обеспечение, которое продается на хакерских форумах с октября 2022 года и способно обходить Secure Boot в системах Microsoft Windows 11. Его можно устранить, переустановив Windows и отключив уязвимые двоичные файлы UEFI. Мониторинг субъектов угроз может помочь минимизировать риски от BlackLotus и других подобных вредоносных программ.
-----

Буткит BlackLotus - это вредоносная программа, которая продается на хакерских форумах с октября 2022 года и является первым известным буткитом, способным обойти Secure Boot в системах Microsoft Windows 11. Его размер составляет 80 кб, а стоимость покупки - 5000 долларов или 200 долларов для обновления. Вредоносная программа имеет защиту Ring0/Kernel от удаления и такие функции, как анти-VM, анти-отладка и обфускация кода.

Она позволяет обойти Secure Boot, эксплуатируя уязвимость CVE-2022-21894, которую Microsoft исправила в январе 2022 года, но не добавила уязвимые подписанные двоичные файлы в список отзыва UEFI. Атака начинается с программы установки, которая пытается повысить привилегии с помощью метода обхода UAC, затем вредоносные двоичные файлы и файлы с уязвимостью CVE-2022-21894 разворачиваются в системный раздел EFI, где при перезагрузке компьютера сохраняется MOK-ключ злоумышленника. Буткит развертывает HTTP-загрузчик, который связывается с C&C для выполнения полученных команд, загрузки и запуска полезной нагрузки.

Для устранения стойкого заражения буткитом BlackLotus необходимо переустановить Windows и с помощью утилиты mokutil удалить зарегистрированный злоумышленником ключ MOK. Также важно отключить уязвимые двоичные файлы UEFI, используемые для обхода UEFI Secure Boot, а также использовать продукты безопасности и поддерживать их и систему в актуальном состоянии. Мониторинг субъектов угроз, чтобы быть в курсе текущих угроз, может помочь минимизировать риски от BlackLotus и других вредоносных программ, таких как те, что исходят от APT28 (Fancy Bear) и APT41 (Double Dragon).

#ParsedReport #CompletenessMedium
20-06-2023

Unpacking RDStealer: An Exfiltration Malware Targeting RDP Workloads

https://www.bitdefender.com/blog/businessinsights/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads

Report completeness: Medium

Actors/Campaigns:
Redcloud (motivation: cyber_espionage)
Lazarus

Threats:
Rdstealer
Logutil
Dll_sideloading_technique
Cobalt_strike
Asyncrat_rat
Shadowpad
Xshell_tool
Radrat_rat
Clay

Victims:
East asia

Geo:
Asia, China

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1036, T1083, T1071, T1078, T1090, T1105, T1059, T1085, have more...

IOCs:
Path: 14
File: 9

Softs:
esxi, keepass, google chrome, remote desktop connection manager, libreoffice

Algorithms:
zip

Functions:
WritePersist

Win API:
OpenClipboard, GetClipboardData, CryptUnprotectData

Languages:
rust, dotnet, php

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания Bitdefender Labs обнаружила сложную шпионскую операцию, направленную на Восточную Азию, которая продолжается как минимум с начала 2022 года, с использованием специально разработанного вредоносного ПО, использующего ряд скрытных методов. Атака демонстрирует растущую сложность современных кибератак и необходимость создания архитектуры "защита в глубину" для защиты от них.
-----

Компания Bitdefender Labs недавно опубликовала исследование, в котором подробно описывается сложная операция по шпионажу, направленная на Восточную Азию и продолжающаяся по крайней мере с начала 2022 года. Злоумышленники не были связаны с конкретным субъектом угрозы, но цель совпадает с интересами групп, базирующихся в Китае. Вредоносное ПО, используемое в этой атаке, разработано на заказ и использует ряд скрытных методов, таких как боковая загрузка DLL и папки, исключенные из сканирования решениями безопасности.

Первая обнаруженная пользовательская вредоносная программа, RDStealer, специализируется на сборе данных, включая перехват содержимого буфера обмена и возможность перехвата клавиатуры. Она также способна отслеживать входящие соединения по протоколу удаленного рабочего стола (RDP) и компрометировать удаленную машину, если включено отображение клиентских дисков. RDStealer написан на языке программирования Go и использует несколько библиотек кода для обеспечения своей функциональности. После сбора данных с хоста RDStealer отправляет уведомление на командно-контрольный сервер (C2) о подключении клиента и начинает перекачку данных с подключенного RDP-клиента.

Кроме того, была обнаружена вторая пользовательская вредоносная программа под названием Logutil. Logutil также написан на языке Go и реализует возможности загрузки/выгрузки и выполнения команд. Он использует технику боковой загрузки DLL для обхода обнаружения, злоупотребляет службой Windows Management Instrumentation (Winmgmt) и может получать команды с удаленного C2-сервера путем выполнения HTTP GET-запроса.

Эта атака демонстрирует растущую сложность современных кибератак и необходимость создания архитектуры "защита в глубину" для защиты от них. Автоматизированные средства защиты должны быть развернуты на всех потенциальных точках входа, подверженных угрозам, включая антивирусы нового поколения, защиту репутации IP/URL/домена и защиту от ранее неизвестных угроз. Это даст пользователям возможность обнаруживать и блокировать большинство инцидентов безопасности до того, как они смогут нанести какой-либо ущерб.

#ParsedReport #CompletenessLow
20-06-2023

SeroXen Mechanisms: Exploring Distribution, Risks, and Impact

https://www.trendmicro.com/en_us/research/23/f/seroxen-mechanisms-exploring-distribution-risks-and-impact.html

Report completeness: Low

Threats:
Seroxen_rat
Batcloak_tool
Hvnc_tool
Jlaive_tool
Batcrypt
Crybat
Exe2bat_tool
Scrubcrypt

Victims:
Gamers playing popular titles such as roblox, valorant, counter strike, call of duty, and fortnite

Industry:
Financial, Entertainment

ChatGPT TTPs:
do not use without manual check
T1089, T1117, T1036, T1113, T1111

Softs:
tiktok, telegram, discord, roblox, photoshop, csgo, valorant, fortnite

Links:
https://github.com/topics/discord-token-grabber

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что киберпреступники используют вредоносные инструменты, такие как SeroXen и BatCloak, для распространения вредоносного ПО через различные платформы, в основном нацеленные на геймеров с целью кражи внутриигровых предметов.-----

SeroXen и BatCloak - это два вредоносных инструмента, предназначенных для уклонения от обнаружения, которые могут использоваться для развертывания вредоносных программ с высокой степенью уклонения. Используя методы обфускации FUD, киберпреступники смогли успешно распространить SeroXen и другие вредоносные программы через различные платформы и каналы, такие как YouTube, TikTok и популярные хакерские форумы. Этот тип вредоносного ПО продается с ежемесячным или пожизненным лицензионным ключом, часто с использованием криптовалюты. Анализ показал, что основной целью этих вредоносных кампаний являются геймеры с целью кражи внутриигровых предметов. Кроме того, сообщалось о тактике прямого вымогательства и угрозах жизни жертв через "прихлопывание".

#ParsedReport #CompletenessMedium
19-06-2023

Tsunami DDoS Malware Distributed to Linux SSH Servers

https://asec.ahnlab.com/en/54647

Report completeness: Medium

Actors/Campaigns:
Kono_dio_da

Threats:
Tsunami_botnet
Logcleaner_tool
Shellbot
Xmrig_miner
Chinaz
Kaiten
Mirai
Bashlite
Rshell
Synflood_technique
Ackflood_technique
Flooder
Udpflood_technique
Portscan_tool
Httpflood_technique

Victims:
Poorly managed linux ssh servers

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1036, T1089, T1098, T1090, T1021, T1566

IOCs:
IP: 2
Domain: 7
File: 1
Coin: 1
Hash: 12

Softs:
docker, hadoop, unix

Crypto:
monero

Functions:
setuid, setgid

Languages:
perl

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ASEC обнаружила кампанию вредоносных атак с использованием бота Tsunami DDoS Bot, направленную на устройства IoT и серверы Linux. Угрожающие субъекты, стоящие за этой кампанией, использовали комбинацию других вредоносных программ, включая ShellBot, XMRig CoinMiner и Log Cleaner. Вредоносные атаки включают попытки входа на серверы SSH с помощью словарных атак и выполнение вредоносных команд.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил кампанию вредоносных атак с участием бота Tsunami DDoS Bot. Этот вредоносный бот используется для атак на устройства Интернета вещей (IoT) и серверы Linux. Угрожающие субъекты, стоящие за этой кампанией, используют комбинацию других вредоносных программ, включая ShellBot, XMRig CoinMiner и Log Cleaner.

Эта атака начинается с того, что угрожающий субъект пытается войти на плохо управляемые SSH-серверы, осуществляя атаки по словарю. Если в системе Linux используются простые учетные данные (ID/PW), она может быть уязвима для атак методом перебора или атаки по словарю, что позволяет субъекту угрозы выполнять вредоносные команды. После успешного входа в систему угрожающий агент выполняет команду для загрузки и запуска различных типов вредоносного ПО. Ключевой файл представляет собой Bash-скрипт типа загрузчика, который устанавливает дополнительные вредоносные программы.

Tsunami является вариантом вредоносной программы Kaiten DDoS bot и модифицирован агентом угрозы, чтобы иметь имя "ddoser v0.69". Он использует протокол IRC для связи с C&C-серверами, записывает свой собственный путь в файл /etc/rc.local и изменяет имя своего процесса на "kworker/0:0", чтобы скрыться. Он собирает системную информацию, выполняет команды и открывает обратные оболочки. ShellBot также является IRC-ботом, который использует протокол IRC, как Tsunami, и распространяется в общедоступном Docker-контейнере вместе с Tsunami.

Log Cleaner - это инструмент, используемый для удаления или изменения определенных журналов в файлах журналов. Предполагается, что агент угрозы установил Log Cleaner, чтобы затруднить последующий анализ нарушения. Вредоносная программа Log Cleaner включает MIG Logcleaner v2.0 и 0x333shadow Log Cleaner. MIG LogCleaner способен принимать в качестве аргументов различные опции, как показано ниже, для удаления нужных журналов из систем Linux, Unix и BSD. Он также может удалять строки, содержащие определенную строку, заменять строку или добавлять новую строку.

Файл ping6 представляет собой вредоносную программу ELF с простой структурой, которая перед выполнением командной строки устанавливает идентификатор пользователя и идентификатор группы как учетную запись root. CoinMiner, установленный агентом угрозы, - это XMRig CoinMiner, который используется для добычи монет Monero для агента угрозы.

#ParsedReport #CompletenessLow
21-06-2023

Analysis of Ransomware With BAT File Extension Attacking MS-SQL Servers (Mallox)

https://asec.ahnlab.com/en/54704

Report completeness: Low

Threats:
Targetcompany
Remcos_rat
Process_hollowing_technique

Victims:
Poorly managed ms-sql servers

IOCs:
File: 4
Hash: 1
Url: 1

Softs:
ms-sql, windows powershell

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Бесфайловые атаки становятся все более распространенными, поэтому организациям следует знать о них и принимать меры по защите от них.
-----

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил программу-вымогатель Mallox с расширением файла BAT, распространяемую на плохо управляемых серверах MS-SQL. Это пример бесфайловой атаки, которая становится все более распространенной, поскольку вредоносные программы устанавливаются на плохо управляемые серверы баз данных MS-SQL.

На рисунке 1 в журнале ASD показан URL загрузки в деталях обнаружения как Tst.bat, а на рисунке 2 показано, как был загружен BAT-файл. Согласно журналу, этот процесс воспроизводится через AhnLab EDR для анализа поведения вымогательского ПО.

Плохо управляемые серверы MS-SQL обычно подвергаются атакам методом грубой силы и по словарю, когда учетные данные не были должным образом защищены. Серверы MS-SQL часто устанавливаются вместе в процессе установки ERP и бизнес-решений, а также непосредственно строятся как серверы баз данных.