#ParsedReport #CompletenessLow
20-06-2023

Enter the BlackLotus: Analysis of the Latest UEFI Bootkit

https://socradar.io/enter-the-blacklotus-analysis-of-the-latest-uefi-bootkit

Report completeness: Low

Actors/Campaigns:
Fancy_bear
Axiom

Threats:
Blacklotus
Uac_bypass_technique

Victims:
Microsoft windows 11 systems

CVEs:
CVE-2022-21894 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...

Softs:
windows security, bitlocker

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Буткит BlackLotus - это вредоносное программное обеспечение, которое продается на хакерских форумах с октября 2022 года и способно обходить Secure Boot в системах Microsoft Windows 11. Его можно устранить, переустановив Windows и отключив уязвимые двоичные файлы UEFI. Мониторинг субъектов угроз может помочь минимизировать риски от BlackLotus и других подобных вредоносных программ.
-----

Буткит BlackLotus - это вредоносная программа, которая продается на хакерских форумах с октября 2022 года и является первым известным буткитом, способным обойти Secure Boot в системах Microsoft Windows 11. Его размер составляет 80 кб, а стоимость покупки - 5000 долларов или 200 долларов для обновления. Вредоносная программа имеет защиту Ring0/Kernel от удаления и такие функции, как анти-VM, анти-отладка и обфускация кода.

Она позволяет обойти Secure Boot, эксплуатируя уязвимость CVE-2022-21894, которую Microsoft исправила в январе 2022 года, но не добавила уязвимые подписанные двоичные файлы в список отзыва UEFI. Атака начинается с программы установки, которая пытается повысить привилегии с помощью метода обхода UAC, затем вредоносные двоичные файлы и файлы с уязвимостью CVE-2022-21894 разворачиваются в системный раздел EFI, где при перезагрузке компьютера сохраняется MOK-ключ злоумышленника. Буткит развертывает HTTP-загрузчик, который связывается с C&C для выполнения полученных команд, загрузки и запуска полезной нагрузки.

Для устранения стойкого заражения буткитом BlackLotus необходимо переустановить Windows и с помощью утилиты mokutil удалить зарегистрированный злоумышленником ключ MOK. Также важно отключить уязвимые двоичные файлы UEFI, используемые для обхода UEFI Secure Boot, а также использовать продукты безопасности и поддерживать их и систему в актуальном состоянии. Мониторинг субъектов угроз, чтобы быть в курсе текущих угроз, может помочь минимизировать риски от BlackLotus и других вредоносных программ, таких как те, что исходят от APT28 (Fancy Bear) и APT41 (Double Dragon).

#ParsedReport #CompletenessMedium
20-06-2023

Unpacking RDStealer: An Exfiltration Malware Targeting RDP Workloads

https://www.bitdefender.com/blog/businessinsights/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads

Report completeness: Medium

Actors/Campaigns:
Redcloud (motivation: cyber_espionage)
Lazarus

Threats:
Rdstealer
Logutil
Dll_sideloading_technique
Cobalt_strike
Asyncrat_rat
Shadowpad
Xshell_tool
Radrat_rat
Clay

Victims:
East asia

Geo:
Asia, China

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1036, T1083, T1071, T1078, T1090, T1105, T1059, T1085, have more...

IOCs:
Path: 14
File: 9

Softs:
esxi, keepass, google chrome, remote desktop connection manager, libreoffice

Algorithms:
zip

Functions:
WritePersist

Win API:
OpenClipboard, GetClipboardData, CryptUnprotectData

Languages:
rust, dotnet, php

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно компания Bitdefender Labs обнаружила сложную шпионскую операцию, направленную на Восточную Азию, которая продолжается как минимум с начала 2022 года, с использованием специально разработанного вредоносного ПО, использующего ряд скрытных методов. Атака демонстрирует растущую сложность современных кибератак и необходимость создания архитектуры "защита в глубину" для защиты от них.
-----

Компания Bitdefender Labs недавно опубликовала исследование, в котором подробно описывается сложная операция по шпионажу, направленная на Восточную Азию и продолжающаяся по крайней мере с начала 2022 года. Злоумышленники не были связаны с конкретным субъектом угрозы, но цель совпадает с интересами групп, базирующихся в Китае. Вредоносное ПО, используемое в этой атаке, разработано на заказ и использует ряд скрытных методов, таких как боковая загрузка DLL и папки, исключенные из сканирования решениями безопасности.

Первая обнаруженная пользовательская вредоносная программа, RDStealer, специализируется на сборе данных, включая перехват содержимого буфера обмена и возможность перехвата клавиатуры. Она также способна отслеживать входящие соединения по протоколу удаленного рабочего стола (RDP) и компрометировать удаленную машину, если включено отображение клиентских дисков. RDStealer написан на языке программирования Go и использует несколько библиотек кода для обеспечения своей функциональности. После сбора данных с хоста RDStealer отправляет уведомление на командно-контрольный сервер (C2) о подключении клиента и начинает перекачку данных с подключенного RDP-клиента.

Кроме того, была обнаружена вторая пользовательская вредоносная программа под названием Logutil. Logutil также написан на языке Go и реализует возможности загрузки/выгрузки и выполнения команд. Он использует технику боковой загрузки DLL для обхода обнаружения, злоупотребляет службой Windows Management Instrumentation (Winmgmt) и может получать команды с удаленного C2-сервера путем выполнения HTTP GET-запроса.

Эта атака демонстрирует растущую сложность современных кибератак и необходимость создания архитектуры "защита в глубину" для защиты от них. Автоматизированные средства защиты должны быть развернуты на всех потенциальных точках входа, подверженных угрозам, включая антивирусы нового поколения, защиту репутации IP/URL/домена и защиту от ранее неизвестных угроз. Это даст пользователям возможность обнаруживать и блокировать большинство инцидентов безопасности до того, как они смогут нанести какой-либо ущерб.

#ParsedReport #CompletenessLow
20-06-2023

SeroXen Mechanisms: Exploring Distribution, Risks, and Impact

https://www.trendmicro.com/en_us/research/23/f/seroxen-mechanisms-exploring-distribution-risks-and-impact.html

Report completeness: Low

Threats:
Seroxen_rat
Batcloak_tool
Hvnc_tool
Jlaive_tool
Batcrypt
Crybat
Exe2bat_tool
Scrubcrypt

Victims:
Gamers playing popular titles such as roblox, valorant, counter strike, call of duty, and fortnite

Industry:
Financial, Entertainment

ChatGPT TTPs:
do not use without manual check
T1089, T1117, T1036, T1113, T1111

Softs:
tiktok, telegram, discord, roblox, photoshop, csgo, valorant, fortnite

Links:
https://github.com/topics/discord-token-grabber

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что киберпреступники используют вредоносные инструменты, такие как SeroXen и BatCloak, для распространения вредоносного ПО через различные платформы, в основном нацеленные на геймеров с целью кражи внутриигровых предметов.-----

SeroXen и BatCloak - это два вредоносных инструмента, предназначенных для уклонения от обнаружения, которые могут использоваться для развертывания вредоносных программ с высокой степенью уклонения. Используя методы обфускации FUD, киберпреступники смогли успешно распространить SeroXen и другие вредоносные программы через различные платформы и каналы, такие как YouTube, TikTok и популярные хакерские форумы. Этот тип вредоносного ПО продается с ежемесячным или пожизненным лицензионным ключом, часто с использованием криптовалюты. Анализ показал, что основной целью этих вредоносных кампаний являются геймеры с целью кражи внутриигровых предметов. Кроме того, сообщалось о тактике прямого вымогательства и угрозах жизни жертв через "прихлопывание".

#ParsedReport #CompletenessMedium
19-06-2023

Tsunami DDoS Malware Distributed to Linux SSH Servers

https://asec.ahnlab.com/en/54647

Report completeness: Medium

Actors/Campaigns:
Kono_dio_da

Threats:
Tsunami_botnet
Logcleaner_tool
Shellbot
Xmrig_miner
Chinaz
Kaiten
Mirai
Bashlite
Rshell
Synflood_technique
Ackflood_technique
Flooder
Udpflood_technique
Portscan_tool
Httpflood_technique

Victims:
Poorly managed linux ssh servers

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1036, T1089, T1098, T1090, T1021, T1566

IOCs:
IP: 2
Domain: 7
File: 1
Coin: 1
Hash: 12

Softs:
docker, hadoop, unix

Crypto:
monero

Functions:
setuid, setgid

Languages:
perl

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ASEC обнаружила кампанию вредоносных атак с использованием бота Tsunami DDoS Bot, направленную на устройства IoT и серверы Linux. Угрожающие субъекты, стоящие за этой кампанией, использовали комбинацию других вредоносных программ, включая ShellBot, XMRig CoinMiner и Log Cleaner. Вредоносные атаки включают попытки входа на серверы SSH с помощью словарных атак и выполнение вредоносных команд.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) обнаружил кампанию вредоносных атак с участием бота Tsunami DDoS Bot. Этот вредоносный бот используется для атак на устройства Интернета вещей (IoT) и серверы Linux. Угрожающие субъекты, стоящие за этой кампанией, используют комбинацию других вредоносных программ, включая ShellBot, XMRig CoinMiner и Log Cleaner.

Эта атака начинается с того, что угрожающий субъект пытается войти на плохо управляемые SSH-серверы, осуществляя атаки по словарю. Если в системе Linux используются простые учетные данные (ID/PW), она может быть уязвима для атак методом перебора или атаки по словарю, что позволяет субъекту угрозы выполнять вредоносные команды. После успешного входа в систему угрожающий агент выполняет команду для загрузки и запуска различных типов вредоносного ПО. Ключевой файл представляет собой Bash-скрипт типа загрузчика, который устанавливает дополнительные вредоносные программы.

Tsunami является вариантом вредоносной программы Kaiten DDoS bot и модифицирован агентом угрозы, чтобы иметь имя "ddoser v0.69". Он использует протокол IRC для связи с C&C-серверами, записывает свой собственный путь в файл /etc/rc.local и изменяет имя своего процесса на "kworker/0:0", чтобы скрыться. Он собирает системную информацию, выполняет команды и открывает обратные оболочки. ShellBot также является IRC-ботом, который использует протокол IRC, как Tsunami, и распространяется в общедоступном Docker-контейнере вместе с Tsunami.

Log Cleaner - это инструмент, используемый для удаления или изменения определенных журналов в файлах журналов. Предполагается, что агент угрозы установил Log Cleaner, чтобы затруднить последующий анализ нарушения. Вредоносная программа Log Cleaner включает MIG Logcleaner v2.0 и 0x333shadow Log Cleaner. MIG LogCleaner способен принимать в качестве аргументов различные опции, как показано ниже, для удаления нужных журналов из систем Linux, Unix и BSD. Он также может удалять строки, содержащие определенную строку, заменять строку или добавлять новую строку.

Файл ping6 представляет собой вредоносную программу ELF с простой структурой, которая перед выполнением командной строки устанавливает идентификатор пользователя и идентификатор группы как учетную запись root. CoinMiner, установленный агентом угрозы, - это XMRig CoinMiner, который используется для добычи монет Monero для агента угрозы.

#ParsedReport #CompletenessLow
21-06-2023

Analysis of Ransomware With BAT File Extension Attacking MS-SQL Servers (Mallox)

https://asec.ahnlab.com/en/54704

Report completeness: Low

Threats:
Targetcompany
Remcos_rat
Process_hollowing_technique

Victims:
Poorly managed ms-sql servers

IOCs:
File: 4
Hash: 1
Url: 1

Softs:
ms-sql, windows powershell

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Бесфайловые атаки становятся все более распространенными, поэтому организациям следует знать о них и принимать меры по защите от них.
-----

Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно обнаружил программу-вымогатель Mallox с расширением файла BAT, распространяемую на плохо управляемых серверах MS-SQL. Это пример бесфайловой атаки, которая становится все более распространенной, поскольку вредоносные программы устанавливаются на плохо управляемые серверы баз данных MS-SQL.

На рисунке 1 в журнале ASD показан URL загрузки в деталях обнаружения как Tst.bat, а на рисунке 2 показано, как был загружен BAT-файл. Согласно журналу, этот процесс воспроизводится через AhnLab EDR для анализа поведения вымогательского ПО.

Плохо управляемые серверы MS-SQL обычно подвергаются атакам методом грубой силы и по словарю, когда учетные данные не были должным образом защищены. Серверы MS-SQL часто устанавливаются вместе в процессе установки ERP и бизнес-решений, а также непосредственно строятся как серверы баз данных.

#ParsedReport #CompletenessLow
21-06-2023

Fortinet Reverses Flutter-based Android Malware Fluhorse

https://www.fortinet.com/blog/threat-research/fortinet-reverses-flutter-based-android-malware-fluhorse

Report completeness: Low

Actors/Campaigns:
Moneymonger

Threats:
Fluhorse

Geo:
Asia

IOCs:
Hash: 20
Url: 3
File: 3

Softs:
android, flutter, openssl

Algorithms:
aes-128-cbc, sha256, zip, aes

Functions:
main

Platforms:
arm

Links:
https://github.com/dart-lang/sdk/blob/main/runtime/vm/constants\_x64.h#L22
https://github.com/shounakmulay/Telephony/blob/develop/lib/telephony.dart#L27
https://github.com/Impact-I/reFlutter/releases

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Android/Fluhorse - это недавно обнаруженное семейство вредоносных программ, использующих Flutter SDK для создания вредоносных приложений на различных платформах. Оно распространяется с вредоносного URL-адреса и заманивает жертв, заставляя их ввести свои учетные данные.
-----

Android/Fluhorse - это недавно обнаруженное семейство вредоносных программ, использующих Flutter SDK для создания приложений на различных платформах. Впервые эта вредоносная программа была замечена в мае 2023 года и имела базовую обфускацию, но образец, найденный в июне, был упакован, что указывает на дальнейшую зрелость. Она распространяется с вредоносного URL hxxps://fasd1 . oss-ap-southeast-1.aliyuncs.com/ETC .apk и была доступна в Азии с 12 июня. Эта вредоносная программа выдает себя за легитимное приложение для электронной системы оплаты проезда, используемой в Южной Азии, и заманивает жертв ввести свои учетные данные. Затем она крадет эти данные, а также коды 2FA (двухфакторной аутентификации), прослушивая входящие SMS и перенаправляя их на веб-сайт, контролируемый злоумышленниками. Жертвы могли загрузить эту вредоносную программу более 100 000 раз.

Вредоносный пакет Dart с именем sms_fluter содержит основную полезную нагрузку вредоносной программы (com.dsfdgfd.sdfsdf.MainActivity). Он использует пакет Dart Telephony, который позволяет ему прослушивать входящие SMS в фоновом режиме, отправлять сообщение на удаленный веб-сайт в асинхронной задаче и читать ответ. Обращение Flutter-приложений в статическое состояние - это прорыв для исследователей антивирусных программ, поскольку в будущем ожидается появление большего количества вредоносных Flutter-приложений. Необходимо наращивать опыт и совершенствовать инструменты для работы с этими образцами.

#ParsedReport #CompletenessMedium
21-06-2023

Graphican: Flea Uses New Backdoor in Attacks Targeting Foreign Ministries

https://symantec-enterprise-blogs.security.com/threat-intelligence/flea-backdoor-microsoft-graph-apt15

Report completeness: Medium

Actors/Campaigns:
Playful_taurus
Fancy_bear

Threats:
Graphican
Lolbin_technique
Ketrican
Bs2005
Graphite
Safetykatz_tool
Mimikatz_tool
Pypykatz_tool
Credential_dumping_technique
Pupykatz_tool
Lazagne
Quarks
Pwdump_tool
Sharpsecdump_tool
Impacket_tool
K8tools_tool
Ehole_tool
Antsword
Behinder
Chinachopper
Godzilla_loader

Industry:
Government, Ngo, Financial

Geo:
Russian, China, Americas, Chinese, America

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...

IOCs:
File: 1
Hash: 46
IP: 2
Domain: 5

Softs:
internet explorer, microsoft exchange

Algorithms:
sha256

Links:
https://github.com/AlessandroZ/LaZagne
https://github.com/gentilkiwi/mimikatz

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Flea (она же APT15, Nickel), занимающаяся продвинутыми постоянными угрозами (APT), активна как минимум с 2004 года и нацелена на правительственные организации, дипломатические структуры и неправительственные организации (НПО). В последние годы известно, что группа использует различные инструменты, в том числе новый бэкдор Graphican, инструменты "living-of-the-land" и другие инструменты, ранее связанные с Flea. Эти инструменты и методы указывают на то, что группа остается активной и продолжает разрабатывать новые инструменты, несмотря на долгие годы своей деятельности.
-----

Группа передовых постоянных угроз (APT) Flea (она же APT15, Nickel) действует как минимум с 2004 года и считается крупной и хорошо обеспеченной ресурсами группой. В последнее время в центре ее внимания оказались Северная и Южная Америка, причем группа в основном нацелена на правительственные организации, дипломатические учреждения и неправительственные организации (НПО) с целью сбора разведданных. Известно, что для этого Flea использует электронную почту в качестве первоначального вектора заражения, а также эксплуатирует общедоступные приложения и использует VPN.

С конца 2022 по начало 2023 года Flea провела новую атакующую кампанию, направленную в основном на министерства иностранных дел в Северной и Южной Америке. Группа также атаковала финансовый департамент правительства в Северной и Южной Америке и корпорацию, продающую продукцию в Центральной и Южной Америке. Была также одна исключительная жертва, расположенная в одной из европейских стран, которая ранее, в июле 2022 года, подверглась, казалось бы, несвязанной атаке вымогательского ПО.

Злоумышленники использовали целый ряд инструментов, включая новый бэкдор Graphican, инструменты "living-of-the-land" и другие инструменты, ранее связанные с Flea. Graphican является развитием известного Flea бэкдора Ketrican и использует Microsoft Graph API и OneDrive для получения командно-контрольной инфраструктуры (C&C). Среди других используемых инструментов - EWSTEW, Mimikatz, Pypykatz, Safetykatz, Lazagne, Quarks PwDump, SharpSecDump, K8Tools, EHole, веб-оболочки и эксплойт CVE-2020-1472.

Использование Flea нового бэкдора указывает на то, что группа остается активной и продолжает разрабатывать новые инструменты, несмотря на долгие годы своей деятельности. Сходство функциональных возможностей Graphican и Ketrican, а также использование Microsoft Graph API и OneDrive для получения своего C&C-сервера может свидетельствовать о том, что группа не очень обеспокоена тем, что ей приписывают активность. Похоже, что интересы группы остаются такими же, какими они были в последние годы, даже несмотря на то, что ее инструменты и методы продолжают развиваться.

#ParsedReport #CompletenessLow
21-06-2023

Kimsuky Distributing CHM Malware Under Various Subjects

https://asec.ahnlab.com/en/54678

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/bat.runner
Trojan/vbs.runner
Infostealer/bat.generic
Infostealer/vbs.generic

Industry:
Financial

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1055, T1056, T1036, T1218

IOCs:
File: 21
Path: 2
Registry: 1
Url: 4
Hash: 10

Softs:
curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Kimsuky распространяет вредоносное ПО через файлы CHM, которые выглядят как обычные окна справки. Эти файлы могут передавать данные пользователя, что позволяет группе осуществлять более сложные атаки. Чтобы защитить себя, пользователи должны знать о рисках и принимать меры по защите, например, дважды проверять электронные письма из неизвестных источников и регулярно проводить проверку ПК.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) внимательно следил за деятельностью группы Kimsuky, продвинутой группы постоянных угроз (APT), в течение последнего месяца мая. Традиционно эта группа распространяла вредоносное ПО через документы, но в последнее время она экспериментирует и с файлами CHM. CHM-файлы выглядят как обычные окна справки, что затрудняет для пользователей их отличить от легитимных файлов. Темы этих CHM-файлов варьируются в зависимости от того, на кого они направлены.

Когда пользователь открывает CHM-файл, вредоносные команды выполняются через объект ярлыка. Этот объект вызывает другой скрипт, который загружает два дополнительных вредоносных файла: BAT-файл и CAB-файл. Файл BAT обеспечивает утечку данных пользователя, а файл CAB загружает больше вредоносных программ, что позволяет группе осуществлять более сложные атаки. Похоже, что группа также проверяет украденные данные пользователей и загружает дополнительные вредоносные файлы только тогда, когда система становится целью.

В связи с характером этих атак пользователи должны знать о рисках и принять меры для защиты. Важно дважды проверять электронные письма из неизвестных источников и избегать открытия любых подозрительных файлов. Кроме того, пользователи должны регулярно проверять ПК и следить за тем, чтобы их продукты безопасности всегда были в актуальном состоянии. Таким образом, они могут свести к минимуму вероятность стать жертвой этих атак.

#ParsedReport #CompletenessMedium
21-06-2023

Key takeaways. Initial research exposing JOKERSPY

https://www.elastic.co/security-labs/inital-research-of-jokerspy

Report completeness: Medium

Actors/Campaigns:
Ref9134

Threats:
Jokerspy
Swiftbelt_tool
Seth_locker
Seatbelt_tool

Victims:
Japanese cryptocurrency exchange

Geo:
Japanese, Japan

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 1
Hash: 3
File: 4

Softs:
macos

Crypto:
bitcoin, ethereum

Algorithms:
base64, sha256

Languages:
python

Platforms:
apple

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/privilege\_escalation\_potential\_privilege\_escalation\_via\_tcc\_bypass\_with\_fake\_tcc.db.toml
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/MacOS\_Hacktool\_Swiftbelt.yar
https://github.com/GhostPack/Seatbelt
https://github.com/elastic/endpoint-rules/blob/1006a4d9a3d95e35149a3640fadf68a32c02afa9/rules/execution\_dylib\_extracted\_to\_new\_directory.toml#L10

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа угроз под названием JOKERSPY пытается использовать японскую криптовалютную биржу, используя пользовательские инструменты с открытым исходным кодом для разведки и управления. Их первоначальный доступ, скорее всего, был получен через вредоносный или заблокированный плагин или зависимость от третьей стороны.
-----

REF9134 - это вторжение в японского поставщика криптовалютных услуг, которое было обнаружено Elastic Security Labs в конце мая 2023 года. Первоначальный доступ для этой вредоносной программы, скорее всего, был получен через вредоносный или отключенный плагин или зависимость от третьей стороны, которая позволила агенту угрозы получить доступ. Вредоносная программа использовала sh.py - бэкдор на языке Python, применяемый для развертывания и выполнения других возможностей пост-эксплуатации, таких как Swiftbelt - инструмент перечисления данных после эксплойта macOS с открытым исходным кодом.

Бэкдор sh.py загружает свою конфигурацию из файла \~/Public/Safari/sar.dat, который содержит такие важные элементы, как URL-адреса команд и управления (C2), таймер сна для целей маячка и уникальный девятизначный идентификатор, присвоенный каждому агенту. Вредоносная программа собирает и передает различную системную информацию, включая имя хоста, имя пользователя, имя домена, текущий каталог, абсолютный путь исполняемого бинарного файла, версию ОС, является ли ОС 64-битной, 64-битный процесс и версию Python.

Вторжение было обнаружено оповещением конечной точки, которое зафиксировало выполнение двоичного файла (xcc). Противник выполнил самоподпись, используя встроенный инструмент macOS codesign. После выполнения xcc угрожающий агент попытался обойти разрешения TCC, создав собственную базу данных TCC и попытавшись заменить существующую. 1 июня из того же каталога, что и xcc, был замечен новый инструмент на базе Python, который использовался для выполнения Swiftbelt.

Swiftbelt вызывает код Swift, чтобы избежать создания артефактов командной строки. Предупреждение сигнатуры показало, что Swiftbelt был записан в /Users/shared/sb и выполнен с помощью интерпретатора оболочки bash, sh. Полная командная строка, которую наблюдали исследователи, была Users/Shared/sb /bin/sh -c /users/shared/sb /users/shared/sb.log 2 &1, демонстрируя, что угрожающий агент фиксировал результаты в sb.log, а ошибки направлял в STDOUT.

Группа угроз, стоящая за этим вторжением, была названа Bitdefender JOKERSPY и использует пользовательские инструменты с открытым исходным кодом для разведки и управления. Целью этой вредоносной активности является известная японская криптовалютная биржа. Предполагается, что вредоносный доступ был осуществлен через вредоносный или скрытый плагин или зависимость от третьей стороны. Точные мотивы и цели этого вторжения все еще расследуются, но уже ясно, что злоумышленники пытаются использовать криптовалютную биржу в Японии.