#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Muddled Libra - это группа угроз, которая действует с середины 2022 года и нацелена на крупные аутсорсинговые фирмы, предоставляющие услуги дорогостоящим криптовалютным учреждениям и частным лицам.
-----

Muddled Libra - это изощренная группа угроз, действующая с середины 2022 года и нацеленная на крупные аутсорсинговые фирмы, предоставляющие услуги дорогостоящим криптовалютным учреждениям и частным лицам. Группа обладает широким набором инструментов для атак, который включает в себя практическую социальную инженерию, smishing-атаки, тестирование на проникновение и инструменты криминалистики. Muddled Libra хорошо знают своих жертв и умело обходят общие средства контроля безопасности и получают конфиденциальные данные путем кражи учетных данных.

Muddled Libra уделяет особое внимание сохранению доступа к целевым средам. Группа использует различные инструменты удаленного мониторинга и управления (RMM) для создания бэкдоров и часто использует коммерческие виртуальные частные сети (VPN), чтобы скрыть свое географическое положение. Они также используют похожие домены в атаках smishing, а также прокси-сервисы по месту жительства, что помогает им смешиваться с законным трафиком.

При атаке Muddled Libra использует приманки, отправляемые непосредственно на мобильные телефоны сотрудников, утверждая, что им необходимо обновить информацию об учетной записи или пройти повторную аутентификацию в корпоративном приложении. Сообщения содержат ссылки на поддельные корпоративные домены, которые имитируют знакомые страницы входа в систему. Получив доступ, злоумышленники быстро переходят к повышению уровня доступа, используя такие инструменты для кражи учетных данных, как Mimikatz, ProcDump, DCSync, Raccoon Stealer и LAPSToolkit.

Muddled Libra также использует законные инструменты тестирования на проникновение для составления карты среды и выявления интересующих целей, и они успешно находят конфиденциальные данные в широком спектре общих хранилищ данных. Для завершения атаки группа может использовать Sysinternals PsExec или Impacket для удаленного выполнения, и они часто пытаются создать обратные прокси-оболочки или защищенные туннели оболочки (SSH) для командования и управления или эксфильтрации.

#ParsedReport #CompletenessLow
21-06-2023

Dark Pink Attack: Advanced Techniques Unveiled in Recent Analysis

https://www.secureblink.com/threat-research/dark-pink-attack-advanced-techniques-unveiled-in-recent-analysis

Report completeness: Low

Actors/Campaigns:
Darkpink (motivation: information_theft, cyber_espionage)

Threats:
Dll_sideloading_technique
Telepowerbot
Kamikakabot
Netlua_tool

Victims:
Government, military & education organizations across southeast asia

Industry:
Education, Government

Geo:
Asia-pacific, Vietnam, Indonesia, Asia

Softs:
telegram

Algorithms:
zip

Win Services:
WebClient

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что хакерская группа Dark Pink APT является активным и изощренным субъектом угроз, который атакует правительственные, военные и образовательные организации в Юго-Восточной Азии, и организации должны использовать надежные меры безопасности, чтобы защитить себя от методов атаки этой группы.
-----

Хакерская группа Dark Pink APT - это постоянная угроза, действующая с середины 2021 года и нацеленная на правительственные, военные и образовательные организации в Юго-Восточной Азии. Группа использует фишинговые электронные письма с архивами ISO для первоначального заражения систем жертв, а затем устанавливает свои фирменные бэкдоры TelePowerBot и KamiKakaBot для постоянного доступа. Чтобы избежать обнаружения, группа использует побочную загрузку DLL - технику, которая позволяет выполнять вредоносный код в обход традиционных мер безопасности.

Недавно Dark Pink усовершенствовала цепочку атак, разделив функции своего имплантата KamiKakaBot на две отдельные части - управление устройством и кражу данных - и модифицировав механизм его загрузки. Кроме того, группа применила новый подход, используя частный репозиторий GitHub для размещения дополнительных модулей и облегчения загрузки компонентов вредоносного ПО на скомпрометированные системы. Чтобы расширить сферу своего влияния в зараженных сетях, Dark Pink использует сценарии PowerShell для идентификации и взаимодействия с SMB-акциями, получения ZIP-архивов из репозитория и дальнейшего распространения по сети.

Dark Pink также адаптировала свои методы эксфильтрации данных, выйдя за рамки традиционного метода отправки ZIP-архивов на каналы Telegram. Теперь для безопасной передачи похищенных данных группа использует DropBox, HTTP-эксфильтрацию, Webhooks и серверы Windows. Кроме того, сценарии PowerShell используются для создания объектов WebClient для загрузки файлов на внешние адреса.

Несмотря на разоблачение и повышенное внимание, Dark Pink остается очень активной и представляет значительную угрозу для организаций в Индонезии, Брунее и Вьетнаме. Организации должны сохранять бдительность и применять надежные меры безопасности, чтобы защититься от изощренных методов атак этой группы. Постоянное сотрудничество между компаниями, занимающимися кибербезопасностью, правоохранительными органами и пострадавшими организациями имеет важное значение для противодействия операциям группы и защиты критически важных активов.

#ParsedReport #CompletenessLow
21-06-2023

Coverage Advisory for CVE-2023-34362 MOVEit Transfer Vulnerabilitiy

https://www.zscaler.com/blogs/security-research/coverage-advisory-moveit-transfer-vulnerabilities

Report completeness: Low

Threats:
Clop
Lemurloot

Industry:
Healthcare, Financial, Government

CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


IOCs:
File: 5
Registry: 1

Softs:
moveit, mysql, microsoft sql server, microsoft outlook

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Progress Software раскрыла критическую уязвимость в приложении MOVEit, которая может позволить неавторизованному злоумышленнику получить доступ к базе данных MOVEit Transfer.
-----

MOVEit - это программное обеспечение для управляемой передачи файлов, выпускаемое компанией Progress, ранее называвшейся Ipswitch. Оно используется для безопасной передачи данных с возможностью автоматизации, аналитики и обхода отказа и широко применяется в здравоохранении, финансовых услугах и государственном секторе. 31 мая 2023 года Progress Software раскрыла критическую уязвимость CVE-2023-34362 в приложении MOVEit. Эта уязвимость может позволить неавторизованному злоумышленнику получить доступ к базе данных MOVEit Transfer, получить информацию о ее внутреннем устройстве, изменить или удалить элементы.

Противник выполняет несколько шагов для внедрения вредоносной веб-оболочки. Эти шаги включают: Проверка приложения, Проверка состояния, Проверка токена, Проверка папки, Загрузка файла, Размещение данных, Выполнение SQL-инъекции, Подготовка сессии, Загрузка файла, Размещение данных и Доступ к веб-оболочке. Вредоносный файл human2.aspx маскируется под оригинальный файл human.aspx, который обычно встречается в установках MOVEit. После установки вредоносной веб-оболочки она создает случайный пароль длиной 36 символов для аутентификации. Противник взаимодействует с веб-оболочкой по протоколу HTTP с пользовательским заголовком X-siLock-Comment, который содержит пароль.

По состоянию на 7 июня 2023 года около 2500 экземпляров MOVEit Transfer находятся в открытом доступе в Интернете. Группы разработчиков программ-вымогателей все чаще нацеливаются на решения для передачи файлов, а банда CL0P Ransomware была обнаружена использующей ту же уязвимость для внедрения удаленной веб-оболочки на машину жертвы. Веб-оболочка называется LEMURLOOT и используется для кражи данных с машины жертвы и базовых баз данных MOVEit Transfer.

#ParsedReport #CompletenessLow
21-06-2023

Condi DDoS Botnet Spreads via TP-Link's CVE-2023-1389

https://www.fortinet.com/blog/threat-research/condi-ddos-botnet-spreads-via-tp-links-cve-2023-1389

Report completeness: Low

Threats:
Condi
Mirai
Havoc
Moobot
Lockdown
Tcpsynflood_technique
Synflood_technique
Tcpackflood_technique
Ackflood_technique
Tcpstomp_technique

Victims:
Tp-link archer ax21 (ax1800) routers

CVEs:
CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tp-link archer ax21 firmware (<1.1.4)


ChatGPT TTPs:
do not use without manual check
T1490, T1210, T1078, T1117, T1218

IOCs:
Domain: 2
Hash: 11
Url: 13
IP: 1

Softs:
telegram, android

Platforms:
mips, x86, m68k, arm

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Ботнет Condi пытается распространиться и расшириться, используя уязвимости в маршрутизаторах TP-Link Archer AX21 (AX1800). Рекомендуется как можно скорее применить последние исправления и обновления безопасности для защиты от подобных угроз.
-----

Исследователи FortiGuard Labs недавно столкнулись с DDoS-as-a-service ботнетом под названием Condi, который пытался распространиться, эксплуатируя маршрутизаторы TP-Link Archer AX21 (AX1800), уязвимые к CVE-2023-1389. С конца мая 2023 года специалисты FortiGuard Labs наблюдали растущее количество образцов Condi, собранных с их систем мониторинга, что указывает на активные попытки ботнета расшириться.

Перейдя от командно-контрольного (C2) домена cdn2.duc3k.com в одном из образцов вредоносного ПО, исследователи FortiGuard Labs обнаружили admin.duc3k.com, на котором ранее отображалось сообщение "contact @zxcr9999 telegram". В результате поиска был обнаружен Telegram-канал Condi Network, рекламирующий ботнет Condi с возможностями, совпадающими с теми, что наблюдались в образце. Telegram-канал был запущен в мае 2022 года, и угрожающий субъект монетизировал ботнет, предоставляя DDoS-услуги и продавая исходный код вредоносного ПО.

Образец вредоносной программы ARM 509f5bb6bcc0f2da762847364f7c433d1179fb2b2f4828eefb30828c485a3084 использовал несколько методов для поддержания своей работы в зараженной системе, одновременно пытаясь завершить процессы других ботнетов. Подобно ботнетам на основе Mirai, Condi не может пережить перезагрузку системы, поэтому он удаляет двоичные файлы, используемые для выключения или перезагрузки системы. Он также уничтожает любые процессы с именами двоичных файлов, содержащих определенные общие расширения, используемые другими ботнетами, а также любые процессы с длиной командной строки от 12 до 32 символов.

В отличие от большинства DDoS-ботнетов, Condi не распространяется, пробуя различные учетные данные; вместо этого он внедряет простой сканер, модифицированный из оригинального Telnet-сканера Mirai для сканирования открытых портов 80 или 8080, а затем отправляет жестко закодированный запрос на эксплуатацию для загрузки и выполнения удаленного shell-скрипта, который заразит устройство с Condi, если это уязвимое устройство TP-Link Archer AX21. Общедоступный исходный код старых версий также включает сканеры известных уязвимостей, эксплуатируемых другими вариантами Mirai.

Кампании вредоносного ПО, особенно ботнеты, всегда ищут способы расширения. Эксплуатация недавно обнаруженных (или опубликованных) уязвимостей всегда была одним из их излюбленных методов, как было показано выше для ботнета Condi. Поэтому настоятельно рекомендуется всегда применять последние исправления и обновления безопасности как можно скорее.

#ParsedReport #CompletenessHigh
21-06-2023

Ransomware Redefined: RedEnergy Stealer-as-a-Ransomware attacks. Conclusion

https://www.zscaler.com/blogs/security-research/ransomware-redefined-redenergy-stealer-ransomware-attacks

Report completeness: High

Actors/Campaigns:
Shathak

Threats:
Redstealer
Socgholish_loader
Timestomp_technique

Victims:
Philippines industrial machinery manufacturing company, Brazilian telecom and cosmetics companies

Industry:
Petroleum, Financial, Energy, Telco

Geo:
Australian, Philippines, Brazilian, Brazil

TTPs:
Tactics: 3
Technics: 6

IOCs:
File: 9
Domain: 2
Path: 3
Hash: 4
IP: 1
Command: 3

Softs:
chatgpt, google chrome, microsoft edge, opera, discord, windows defender

Algorithms:
exhibit, zip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: RedEnergy stealer - это вредоносный код, относящийся к категории гибридных угроз Stealer-as-a-Ransomware. Он способен похищать информацию из различных браузеров и шифровать данные пользователя, оставляя записку с выкупом. Важно оставаться в курсе событий и принимать необходимые меры предосторожности для защиты от атак этих вредоносных программ.
-----

Zscaler ThreatLabz выявил новый вариант вредоносного ПО, RedEnergy stealer, который относится к категории гибридных угроз Stealer-as-a-Ransomware. Этот вредоносный код использует поддельную кампанию обновлений, направленную на различные отрасли промышленности, и способен похищать информацию из различных браузеров, обеспечивая утечку конфиденциальных данных. Он также включает в себя различные модули для выполнения действий ransomware и способен удалять данные теневых дисков и планы резервного копирования Windows, а также передавать записку с требованием выкупа в обмен на расшифровку файлов.

Впервые атака была замечена на филиппинскую компанию по производству промышленного оборудования, а затем была замечена на другие отрасли, такие как энергетика, нефть, газ, телекоммуникации и машиностроение. При попытке зайти на сайт компании, против которой направлена атака, поддельные обновления перенаправляют пользователей на вредоносный веб-сайт, предлагая установить, казалось бы, легитимное обновление браузера. Однако вместо подлинного обновления ничего не подозревающий пользователь невольно загружает исполняемый файл под названием RedStealer.

Вредоносная полезная нагрузка маскируется под сайт ChatGpt, представляя поддельную офлайн-версию ChatGpt. Он незаметно извлекает конфиденциальную информацию и продолжает шифровать скомпрометированные файлы, оставляя жертв уязвимыми к возможной потере данных, разоблачению или даже продаже их ценных данных.

Для связи с командными и управляющими серверами вредоносная программа использует HTTPS, добавляя дополнительный уровень шифрования и обфускации. Чтобы обмануть пользователя, она ловко маскируется под легитимное обновление одного из популярных браузеров, включая Google Chrome, Microsoft Edge, Firefox и Opera. Кроме того, он создает запись в меню "Пуск" (Start Menu\Programs\Startup ) и инициирует немедленную перезагрузку, гарантируя, что вредоносная программа будет запущена, как только система снова начнет работать.

Вредоносная программа RedEnergy обладает расширенными возможностями для уклонения от обнаружения и затруднения анализа. Она шифрует данные пользователя, добавляя расширение ".FACKOFF!" к каждому зашифрованному файлу, и оставляет записку с требованием выкупа в обмен на восстановление доступа к файлам. Он также изменяет файл desktop.ini, содержащий параметры конфигурации для папок файловой системы, что может еще больше скрыть его присутствие и деятельность в зараженной системе.

Для частных лиц и организаций крайне важно оставаться в курсе событий и принимать необходимые меры предосторожности для защиты от атак вредоносного ПО, например, регулярно обновлять программное обеспечение, использовать надежные пароли и проявлять осторожность при встрече с подозрительными электронными письмами или сообщениями. Песочница безопасности Zscaler активно обнаруживает индикаторы этой угрозы, помогая клиентам Zscaler автоматически защищаться от таких атак.

К недавно обнаруженной кампании вредоносного ПО RedEnergy stealer следует отнестись серьезно, чтобы обеспечить максимальную безопасность. Понимая особенности вредоносной программы, исследователи смогут разработать лучшие решения для смягчения ее воздействия и защиты от атак.

#ParsedReport #CompletenessMedium
22-06-2023

Ransomware Roundup - Black Basta

https://www.fortinet.com/blog/threat-research/ransomware-roundup-black-basta

Report completeness: Medium

Actors/Campaigns:
Carbanak

Threats:
Blackbasta
Conti
Lolbin_technique
Brc4_tool
Netcat_tool
Bitsadmin
Systembc
Mimikatz_tool
Ratel
Qakbot
Printnightmare_vuln
Follina_vuln

Victims:
North america and europe organizations, Manufacturing, construction, service, and retail, Legal, warehouse, finance, and it

Industry:
Aerospace, Retail, Financial, Government

Geo:
Germany, American, Slovenia, America, Canada, Italy

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 2004, 20h2)
have more...

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Hash: 112

Soft:
esxi, psexec, bcdedit

Algorithms:
xchacha20

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Black Basta ransomware представляет собой модель Ransomware-as-a-Service (RaaS), которая, как утверждается, взломала высокопоставленные организации в различных отраслях промышленности, используя различные инструменты для получения доступа к системам. Считается, что она является преемницей ныне не существующей программы Conti ransomware и может быть связана с угрозой Fin7. FortiGuard Labs выпустила Сигнал об угрозе для Black Basta ransomware и дает рекомендации по защите от этого варианта.
-----

Ransomware в последние годы представляет собой растущую угрозу, и Black Basta ransomware не является исключением. Начиная с апреля 2022 года, эта программа-вымогатель, предположительно, скомпрометировала высокопоставленные организации в различных отраслях. Считается, что она является преемницей ныне не существующей программы Conti ransomware и может быть связана с агентом угроз Fin7.

Программа Black Basta ransomware работает по модели Ransomware-as-a-Service (RaaS). Угрожающие лица предположительно используют различные инструменты для получения доступа к системам, включая PsExec, Windows Management Instrumentation (WMI), PowerShell, Netcat, BITSAdmin, BCDEdit, SystemBC, Mimikatz, ColbaltStrike, Brute Ratel C4, инструменты удаленного доступа и RClone. Изначально ransomware поддерживалась только на платформах Windows, но в 2022 году был выпущен новый вариант, нацеленный на системы ESXi. Более новая версия программы-вымогателя, Black Basta 2.0, как сообщается, включает новый алгоритм шифрования.

Black Basta использует различные методы получения доступа к системам, такие как spearphishing, покупка доступа через брокеров первоначального доступа (IABs) или использование вредоносного ПО других групп. Также сообщалось об эксплуатации уязвимостей PrintNightmare (CVE-2021-34527) и Follina (CVE-2022-30190).

Компонент вымогательского ПО Black Basta был скомпилирован как исполняемый файл для Windows, недавно как DLL для Windows, а также как исполняемый файл для Linux. Для шифрования он использует потоковый шифр XChaCha20 и способен к многопоточному шифрованию. Для файлов, которые были зашифрованы, используется уникальное расширение файла. Записка с требованием выкупа собирается и забрасывается в каждый каталог, содержащий зашифрованные файлы, и требует, чтобы жертва связалась с бандой ransomware по указанному сайту .onion.

На сайте утечки данных Black Basta перечислены более 200 жертв в Северной Америке и Европе, большинство из которых находятся в США. Больше всего пострадали производственные, строительные, сервисные и розничные отрасли, но также были затронуты юридический, складской, финансовый и IT-сектора. Самая старая группа жертв охватывает 12 стран, в то время как вторая и третья группы включают только восемь стран, а самая последняя группа жертв - только шесть стран.

FortiGuard Labs выпустила Сигнал об угрозе для Black Basta ransomware и осведомлена о развивающемся ландшафте ransomware. Они предоставляют читателям краткую информацию о ландшафте ransomware и решениях Fortinet, которые защищают от этих вариантов. Поскольку количество вымогательских программ продолжает расти, важно оставаться в курсе событий и принимать необходимые меры для защиты своей организации.

#ParsedReport #CompletenessMedium
22-06-2023

Mallox Ransomware Implements New Infection Strategy

https://blog.cyble.com/2023/06/22/mallox-ransomware-implements-new-infection-strategy

Report completeness: Medium

Threats:
Targetcompany
Batloader
Ransomware.bat.exe
Quasar_rat
Asyncrat_rat
Redline_stealer

Victims:
Over 20 victims from over 15 countries, with india being the most targeted nation, followed by the united states

Industry:
Energy

Geo:
India

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 2
Hash: 4
Path: 4
Command: 1
Url: 3

Algorithms:
base64, sha256, sha1

Functions:
CreateInstance

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
code: 8, dump: 2, schema: 2, chart: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mallox ransomware - одна из самых опасных вредоносных угроз на сегодняшний день, и организациям необходимо предпринимать проактивные шаги для защиты своих сетей от потенциальных атак.
-----

Программа TargetCompany ransomware впервые появилась в июне 2021 года и на сегодняшний день является одним из самых распространенных вариантов ransomware. Она распространяется с помощью BatLoader, добавляя расширение .malox к зашифрованным файлам. Эта программа-вымогатель использовалась для атак на жертв из более чем 15 стран, при этом Индия является самой популярной страной. Жертвами в основном становятся представители таких отраслей, как производство, энергетика и коммунальные услуги, IT и ITES, а также сфера профессиональных услуг.

Первоначальное заражение происходит, когда пользователь нажимает на вредоносное вложение, включенное в письмо со спамом. Это вложение может либо непосредственно содержать BatLoader, либо загружать его с удаленного сервера. Вредоносная программа внедряется в MSBuild.exe и затем выполняется, добавляя зашифрованные файлы с расширением .malox.

Группа, стоящая за программой Mallox ransomware, использует новые методы заражения и постоянно модифицирует свои тактики, техники и процедуры (TTP), чтобы увеличить возможности уклонения и поддерживать свою вредоносную деятельность. Эти методы включают использование BatLoader, который, как известно, используется при распространении других семейств вредоносных программ, таких как Quasar RAT, Async RAT, Redline Stealer и DC RAT.

Учитывая широкое распространение и постоянную эволюцию своих ТТП, Mallox ransomware является одной из самых опасных вредоносных угроз на сегодняшний день. Организациям важно знать об этой угрозе и предпринимать проактивные шаги для защиты своих сетей от потенциальных атак. Такие шаги включают в себя регулярное исправление уязвимых систем, регулярное сканирование на наличие вредоносного ПО и информирование сотрудников об опасности нажатия на вредоносные вложения.

#ParsedReport #CompletenessMedium
22-06-2023

PindOS: New JavaScript Dropper Delivering Bumblebee and IcedID

https://www.deepinstinct.com/blog/pindos-new-javascript-dropper-delivering-bumblebee-and-icedid

Report completeness: Medium

Threats:
Pindos
Bumblebee
Icedid
Conti
Bazarbackdoor
Emotet

Industry:
Financial

Geo:
Russia, Russian

TTPs:
Tactics: 2
Technics: 3

IOCs:
File: 1
Url: 11
Hash: 19

Algorithms:
sha256

Functions:
SetPath

Languages:
javascript

Links:
https://github.com/deepinstinct/PindOS-JS-Dropper
https://github.com/FFmpeg/FFmpeg/blob/1617d1a752d5e97d5e74f6c384609c027c884553/libavutil/error.c

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория исследования угроз Deep Instinct заметила новый штамм дроппера на базе JavaScript, который поставляют Bumblebee и IcedID, имеющие низкий уровень обнаружения на Virus Total. Этот дроппер может быть ссылкой на нынешние и прошлые антиамериканские настроения в России и может стать постоянным инструментом в арсенале злоумышленников. Команды безопасности должны обратить внимание на эти IOC, поскольку Bumblebee и IcedID известны как программы-вымогатели.
-----

Лаборатория исследования угроз Deep Instinct недавно заметила новый штамм дроппера на основе JavaScript, который поставляет Bumblebee и IcedID. Этот дроппер содержит комментарии на русском языке и использует уникальную строку пользовательского агента PindOS, которая может быть ссылкой на нынешние и прошлые антиамериканские настроения в России.

Bumblebee - это загрузчик вредоносных программ, впервые обнаруженный в марте 2022 года и связанный с группой Conti. Он использовался в качестве замены BazarLoader и выступает в качестве основного вектора для множества типов других вредоносных программ, включая ransomware. IcedID - модульная банковская вредоносная программа, которая была замечена в дикой природе с 2017 года, а недавно было замечено, что она сместила часть своего внимания на доставку вредоносного ПО.

Дроппер Bumblebee использует первый этап на основе PowerShell с очень характерной обфускацией (elemXXX), который служит в качестве обертки и процедуры загрузки для встроенной 64-битной полезной нагрузки .DLL. При выполнении дроппер попытается загрузить полезную нагрузку с URL1 или URL2 и выполнить ее с помощью комбинации PowerShell и rundll32.exe. Полезная нагрузка генерируется псевдослучайным образом по запросу, что приводит к созданию нового хэша образца при каждом получении полезной нагрузки. Это делается для того, чтобы избежать обнаружения на основе сигнатур.

Новый дроппер получил низкие показатели обнаружения на Virus Total, а новая полезная нагрузка имеет четыре экспорта вместо двух. Это указывает на то, что Bumblebee пытается использовать псевдослучайную генерацию образцов как средство снижения риска обнаружения.

Похоже, что IcedID частично идет по стопам Emotet и, возможно, отказывается от своих банковских и финансовых функций в пользу того, чтобы стать более универсальной вредоносной программой типа загрузчика. Его ассоциация с новым типом дроппера JavaScript может рассматриваться как еще один шаг в этом направлении.

Пока неясно, возьмут ли PindOS на вооружение актеры, стоящие за Bumblebee и IcedID. Если эксперимент окажется успешным, он может стать постоянным инструментом в их арсенале и завоевать популярность среди других субъектов угроз. Команды безопасности должны обратить внимание на эти IOC, поскольку известно, что Bumblebee и IcedID распространяют программы-вымогатели. Обновленные списки IOCs можно найти на странице Deep Instinct на GitHub.

#ParsedReport #CompletenessLow
22-06-2023

LockBit Green and phishing that targets organizations

https://securelist.com/crimeware-report-lockbit-switchsymb/110068

Report completeness: Low

Actors/Campaigns:
Lazarus
Bec
Blackmatter
Darkside

Threats:
Lockbit
Switchsymb
Conti

Victims:
German-speaking companies in the dach region, businesses, business users

Geo:
Brazil

IOCs:
File: 1

Soft:
macos

Algorithms:
zip, xor

Platforms:
arm, apple, apple_m1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступность постоянно меняется и развивается, а ее объектами становятся различные игроки и банды, нападающие на предприятия по всему миру. Важно определить, кто именно атакует вас, чтобы принять проактивные контрмеры и защититься от этих угроз.
-----

В мире киберпреступности существует множество игроков и банд, состав которых постоянно меняется. Недавно мы наблюдали случай компрометации деловой электронной почты (BEC), направленный на немецкоязычные компании в регионе DACH. Злоумышленники регистрируют доменное имя, похожее на имя атакуемой организации, отличающееся одной или двумя буквами, с адресом Reply-to, который не имитирует домен целевой организации. Кроме того, мы заметили всплеск фишинговых писем от кампании, направленной на бизнес-пользователей, которые включали ссылку на форму подтверждения электронной почты. Этот фишинговый набор был разработан для одновременного обслуживания нескольких кампаний при запуске одного экземпляра на веб-сервере.

Одной из наиболее активных групп, занимающихся распространением программ-вымогателей, является LockBit, которая атакует предприятия по всему миру. Они переняли код у других банд вымогателей, таких как BlackMatter и DarkSide, что облегчает потенциальным аффилированным лицам работу с вымогателями. Недавно мы обнаружили новый вариант под названием LockBit Green, который заимствует код у ныне несуществующей банды Conti. LockBit включает 25% кода Conti, в том числе записку о выкупе, параметры командной строки и схему шифрования. Мы также наткнулись на ZIP-файл, загруженный в мультисканер, содержащий образцы LockBit для нескольких архитектур. Анализ образцов показал, что LockBit тестирует свою программу-вымогатель на различных архитектурах, а не распространяет ее в широком масштабе.

#ParsedReport #CompletenessMedium
22-06-2023

IoT Under Siege: The Anatomy of the Latest Mirai Campaign Leveraging Multiple IoT Exploits

https://unit42.paloaltonetworks.com/mirai-variant-targets-iot-exploits

Report completeness: Medium

Threats:
Mirai
Wildfire

Industry:
Iot

CVEs:
CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zyxel usg flex 100w firmware (<5.30)
- zyxel usg flex 200 firmware (<5.30)
- zyxel usg flex 500 firmware (le5.30)
- zyxel usg flex 700 firmware (<5.30)
- zyxel vpn100 firmware (<5.30)
have more...
CVE-2022-27002 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- commscope arris tr3300 firmware (1.0.13)

CVE-2022-37061 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- flir flir ax8 firmware (le1.46.16)

CVE-2022-30023 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Unavailable
Soft:
- tenda hg9 firmware (1.0.1)

CVE-2022-40005 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- intelbras wifiber 120ac inmesh firmware (<1.1-220826)

CVE-2023-27240 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- tenda ax3 firmware (16.03.12.11)

CVE-2019-20500 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Unavailable
Soft:
- dlink dwl-2600ap firmware (le4.2.0.15)

CVE-2021-25296 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Unavailable
Soft:
- nagios nagios xi (5.7.5)

CVE-2021-46422 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- telesquare sdt-cs3b1 firmware (1.1.0)

CVE-2022-45699 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- apsystems ecu-r firmware (5203)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2022-31499 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- nortekcontrol emerge e3 firmware (le0.32-09c)

CVE-2019-17621 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- dlink dir-859 firmware (le1.05b03, 1.06b01)
- dlink dir-822 firmware (le2.03b01, le3.12b04)
- dlink dir-823 firmware (le1.00b06)
- dlink dir-865l firmware (le1.07b01)
- dlink dir-868l firmware (le1.12b04, le2.05b02)
have more...
CVE-2022-29303 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- contec sv-cpt-mc310 firmware (6.00)

CVE-2023-25280 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- dlink dir820la1 firmware (105b03)

CVE-2019-12725 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- zeroshell (3.9.0)


ChatGPT TTPs:
do not use without manual check
T1110, T1059, T1036, T1078, T1090, T1047, T1486

IOCs:
IP: 3
Url: 14
Domain: 1
Hash: 14
File: 7

Soft:
tenda, zyxel

Algorithms:
xor, exhibit

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
code: 21, dump: 1, schema: 2