#ParsedReport #CompletenessMedium
28-06-2023

JokerSpy \| Unknown Adversary Targeting Organizations with Multi-Stage macOS Malware

https://www.sentinelone.com/blog/jokerspy-unknown-adversary-targeting-organizations-with-multi-stage-macos-malware

Report completeness: Medium

Threats:
Jokerspy
Qrlog
Swiftbelt_tool

Victims:
Organizations with macos devices in their fleets

ChatGPT TTPs:
do not use without manual check
T1071.001, T1082, T1090, T1059

IOCs:
File: 3
Url: 1
Hash: 13
IP: 2
Domain: 2

Soft:
macos

Algorithms:
sha256, sha1, base64

Functions:
SystemIdleTime, IOServiceMatching

Languages:
java, python

Platforms:
apple, intel, arm

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что обнаружена новая атака, которая использует шпионское ПО, бэкдоры и инструменты разведки, нацеленная на организации с устройствами на macOS, и объект угрозы обладает значительным опытом и ресурсами. Для защиты от этой атаки можно использовать агента SentinelOne.
-----

Недавно исследователи из BitDefender и Elastic раскрыли активную атаку противников, использующих новые шпионские программы, кроссплатформенные бэкдоры и инструмент разведки с открытым исходным кодом для атак на организации с устройствами на базе macOS. Анализ вредоносной программы QRLog, проведенный Мауро Элдричем, показал, что она представляет собой троянизированный генератор QR-кодов, написанный на Java, который открывает обратную оболочку на хост-устройстве, предоставляя злоумышленнику привилегированный доступ. Вредоносный код спрятан в файле QRCodeWriter.java, который скрыт в легитимном проекте QR-кода с открытым исходным кодом. После определения операционной системы хост-устройства, QRLog декодирует встроенный base64 блоб, записывает его во временный каталог и выполняет. Декодированный блоб представляет собой файл .java, который подключается к серверу Command and Control по адресу hxxps://www.git-hub.me/view.php, который также используется в компрометации, о которой сообщает BitDefender. Затем QRLog записывает два дополнительных файла, p.dat и prefTmp.java, и выполняет последний, позволяя злоумышленнику получить доступ к устройству жертвы.

Включение функции SystemIdleTime() заслуживает внимания, поскольку она не часто встречается во вредоносных программах для macOS. Это может свидетельствовать о том, что угрожающий агент пытается установить модель бездействия пользователя для определения времени атаки. Сама функция использует API Apple IOServiceMatching() и ныне устаревший класс IOHIDSystem для запроса значения HIDIdleTime, которое отслеживает взаимодействие пользователя с мышью, трекпадом или клавиатурой. Назначение бинарного файла xcc пока неясно, но исследователи полагают, что он может использоваться для обнаружения системы.

Хотя число известных жертв на данный момент невелико, сложность этой угрозы позволяет предположить, что жертвами могли стать гораздо больше организаций. Способность угрожающего субъекта писать и развертывать вредоносное ПО на нескольких языках и платформах указывает на наличие у него значительного опыта и ресурсов. Для защиты от этой атаки агент SentinelOne может использоваться для обнаружения JokerSpy, QRLog и других вредоносных компонентов, связанных с этими вторжениями.

#ParsedReport #CompletenessLow
28-06-2023

Akira Ransomware Extends Reach to Linux Platform

https://blog.cyble.com/2023/06/28/akira-ransomware-extends-reach-to-linux-platform

Report completeness: Low

Threats:
Akira_ransomware

Industry:
Financial, Education

TTPs:
Tactics: 3
Technics: 5

IOCs:
Hash: 1

Algorithms:
sha1, aes, des, sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CRIL выявил недавно появившуюся группу программ-вымогателей под названием Akira, которая атакует множество организаций по всему миру и теперь распространила свою деятельность на платформу Linux.-----

Ransomware продолжает оставаться весьма успешной формой киберпреступности, представляющей значительную угрозу для организаций по всему миру. Недавно компания Cyble Research and Intelligence Labs (CRIL) выявила недавно появившуюся группу ransomware под названием Akira. Эта группа активно атакует многочисленные организации, компрометируя их конфиденциальные данные. Akira ransomware теперь распространила свою деятельность на платформу Linux. С момента своего появления в апреле 2023 года программа Akira ransomware уже скомпрометировала 76 жертв, расположенных в разных странах, в основном в США. Ее жертвами стали представители самых разных отраслей, включая образование, банковское дело, финансовые услуги и страхование (BFSI), производство, профессиональные услуги и другие.

Вредоносный исполняемый файл Linux представляет собой 64-битный исполняемый и подключаемый файл Linux Executable and Linkable Format (ELF) с определенным хэшем SHA256. После выполнения программа Akira ransomware загружает заранее определенный открытый ключ RSA для шифрования файлов в системе. Затем она загружает список определенных расширений файлов, которые она намеревается зашифровать, включая .docx, .pdf, .xlsx, .zip и многие другие. Для успешного шифрования файлов программа-вымогатель добавляет расширение .akira к каждому скомпрометированному файлу и помещает в систему жертвы заранее подготовленную записку с требованием выкупа.

Тот факт, что ранее ориентированная на Windows группа разработчиков программ-вымогателей теперь обращает свое внимание на Linux, подчеркивает растущую уязвимость этих систем перед киберугрозами. В связи с этим CRIL рекомендует организациям сохранять бдительность и предпринимать шаги по защите своих систем от атак ransomware. Это включает в себя регулярное обновление мер безопасности, мониторинг подозрительной активности, использование надежных паролей и резервное копирование важных данных. Кроме того, CRIL регулярно обновляет информацию о своих последних открытиях, помогая организациям оставаться информированными и подготовленными к потенциальным киберугрозам.

#ParsedReport #CompletenessMedium
28-06-2023

Kimsuky Attack Group Abusing Chrome Remote Desktop

https://asec.ahnlab.com/ko/54804

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010

Victims:
Domestic users

Industry:
Energy

Geo:
Korea

IOCs:
Command: 4
Path: 9
File: 7
Url: 2
Hash: 5
Domain: 1

Soft:
chrome, google chrome, microsoft edge, remote desktop services

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа атак Kimsuky использует Chrome Remote Desktop для получения доступа к зараженным системам и устанавливает вредоносное ПО AppleSeed, похищающее информацию, и вредоносное ПО RDP Patcher для предоставления множественного доступа к удаленному рабочему столу. Пользователи должны обновить свое программное обеспечение безопасности и быть в курсе тактики группы атаки, чтобы предотвратить заражение.
-----

Центр реагирования на чрезвычайные ситуации AhnLab Security Emergency Response Center (ASEC) недавно подтвердил, что группа атак Kimsuky использует Chrome Remote Desktop для получения доступа к зараженным системам. Атакующая группа Kimsuky - это поддерживаемая Северной Кореей группа угроз, действующая с 2013 года. Для распространения вредоносных кодов они в основном используют вредоносные файлы документов на языке хангыль и MS Office или форматы CHM.

После выполнения вредоносного кода он устанавливает AppleSeed - вредоносный бэкдор, который поддерживает различные функции, такие как выполнение команд злоумышленника, полученных с C&C-сервера, установка дополнительного вредоносного ПО, ведение журнала ключей и захват экрана, а также кража системных файлов пользователя. Помимо AppleSeed, группа атаки Kimsuky также устанавливает вредоносное ПО для кражи информации, которое используется для сбора данных учетных записей, хранящихся в таких веб-браузерах, как Google Chrome, Microsoft Edge и Naver Whale.

Для обхода служб удаленных рабочих столов Windows группа атак Kimsuky использует вредоносное ПО RDP Patcher, позволяющее получить множественный доступ к удаленному рабочему столу путем внесения исправлений в память службы удаленных рабочих столов. Затем злоумышленник устанавливает Ngrok, который представляет собой программу туннелирования, используемую для открытия системы, находящейся в среде NAT, для доступа к ней извне. Это позволяет злоумышленнику удаленно контролировать среду GUI зараженной системы.

Недавно также были подтверждены случаи использования функции удаленного рабочего стола Google Chrome для удаленного управления. Сначала злоумышленник передавал следующую команду powershell в AppleSeed для установки установщика Chrome Remote Desktop Host, а после установки устанавливал файл 23.bat, управляющий Chrome Remote Desktop Host.

Пользователям следует позаботиться о том, чтобы заранее блокировать заражение вредоносными кодами, обновив V3 до последней версии, и воздержаться от выполнения вложений при получении подозрительных электронных писем. Также важно знать о тактике группы атаки Kimsuky, которая использует вредоносные программы AppleSeed, Meterpreter и VNC для захвата контроля над зараженной системой, а также злоупотребляет службой удаленного рабочего стола RDP, которая изначально присутствует в системах Windows, чтобы обеспечить множественный удаленный доступ к рабочему столу.

Smooth Operator
Malware Analysis Report

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/smooth-operator/NCSC_MAR-Smooth-Operator.pdf

#ParsedReport #CompletenessLow
29-06-2023

Rhysida Ransomware \| RaaS Crawls Out of Crimeware Undergrowth to Attack Chilean Army

https://www.sentinelone.com/blog/rhysida-ransomware-raas-crawls-out-of-crimeware-undergrowth-to-attack-chilean-army

Report completeness: Low

Threats:
Rhysida
Arcrypter

Victims:
Chilean army

Industry:
Government, Financial, Education

Geo:
Chilean, Australia, America, Chile, American, Asian, Asia

ChatGPT TTPs:
do not use without manual check
T1140, T1486, T1064

IOCs:
Hash: 3
File: 2
Path: 1

Soft:
nginx

Crypto:
bitcoin

Algorithms:
chacha20

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhysida - это новая группа ransomware-as-a-service, которая с конца мая 2020 года атакует правительственные учреждения Латинской Америки. Для шифрования используется 4096-битный ключ RSA с алгоритмом ChaCha20, а записка с выкупом генерируется в виде PDF-документа. Он был обнаружен агентом SentinelOne Agent и имеет признаки менее опытного агента.
-----

Группа Rhysida ransomware-as-a-service (RaaS) появилась на сцене в конце мая 2020 года. Ее целью были правительственные учреждения Латинской Америки. 15 июня произошла утечка файлов, украденных у чилийской армии. В помощь охотникам за угрозами и командам безопасности были предоставлены технические подробности, правила охоты и IoC.

Чилийская армия сообщила, что 27 мая она подверглась кибератаке, которую позже приписали группе Rhysida. Это отличает Rhysida от других новых программ-вымогателей, поскольку их целью было государственное учреждение. Компания SentinelOne не заметила никаких явных связей с существующими операциями по распространению вымогательского ПО. Это не первый случай, когда правительственная организация Чили подвергается атаке нового семейства программ-вымогателей, как показала атака ARCrypter в ноябре 2022 года.

Название Rhysida относится к определенному роду многоножек, что отражено в брендинге на их блоге жертвы. Rhysida - это частный RaaS, который продается на частном рынке и не представлен на форумах. Группа позиционирует себя как команда кибербезопасности, которая оказывает своим жертвам услугу, атакуя их системы и рассказывая о потенциальных последствиях проблем с безопасностью. Они угрожают жертвам публичным распространением эксфильтрованных данных и принимают оплату только в биткоинах.

Rhysida - это 64-битное переносимое исполняемое (PE) приложение для Windows с криптографическим выкупом, скомпилированное с помощью MINGW/GCC. Для шифрования он использует 4096-битный ключ RSA с алгоритмом ChaCha20. Он также имеет список исключения файлов, чтобы избежать шифрования определенных файлов, и добавляет расширение .rhysida к имени зашифрованных файлов. Rhysida также генерирует записку о выкупе в виде PDF-документа, который встраивается в двоичный файл открытым текстом.

Жертвами Rhysida становятся жители Западной Европы, Северной и Южной Америки, а также Австралии, что в некоторой степени роднит целевую направленность группы со многими операциями ransomware, избегающими нападения на страны Восточной Европы и Содружества Независимых Государств Центральной Азии. Расширенные функции, помимо шифрования файлов, по-прежнему отсутствуют в текущих версиях Rhysida.

Агент SentinelOne обнаруживает Rhysida ransomware и предотвращает выполнение и шифрование файлов. Rhysida представляет собой необычную комбинацию методов, что позволяет предположить, что разработчик мыслит вне рамок современного ransomware. Такие функции, как записка о выкупе в формате PDF, могут быть использованы для повышения скрытности, а функция смены обоев довольно навязчива, хотя пока и не функциональна. Есть и признаки менее опытного игрока, такие как модификация реестра и команды PowerShell, которые можно увидеть в программе. Время покажет, окупится ли выбор разработчика опустить вездесущие функции, такие как удаление копий VSS, или их придется дополнять с помощью инструментов за пределами приложения Rhysida.

#ParsedReport #CompletenessLow
29-06-2023

Decrypted: Akira Ransomware

https://decoded.avast.io/threatresearch/decrypted-akira-ransomware

Report completeness: Low

Threats:
Akira_ransomware
Conti

Victims:
Organizations in the education, finance and real estate industries, amongst others

Industry:
Education, Financial

ChatGPT TTPs:
do not use without manual check
T1036.009, T1486, T1543.002

IOCs:
File: 2
Hash: 10

Soft:
windows cryptoapi, windows explorer

Algorithms:
rsa-4096, chacha20

Win API:
CryptGenRandom

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что компания Avast выпустила дешифратор для помощи пострадавшим от программы Akira ransomware, который особенно полезен для организаций в сфере образования, финансов и недвижимости. Дешифратор совместим только с версией ransomware для Windows и не может расшифровать файлы старого варианта, но может быть использован для расшифровки файлов, зашифрованных версией для Linux.
-----

Недавно выпущенный компанией Avast расшифровщик вымогатель Akira представляет собой 64-битный двоичный файл для Windows, написанный на C++ с большой поддержкой библиотек C++ и библиотеки Boost. Он работает на операционных системах Windows и имеет некоторые сходства с программой Conti v2 ransomware. Программа генерирует симметричный ключ шифрования с помощью CryptGenRandom() и шифрует файлы размером 2000 000 байт и меньше с помощью Chacha 2008. Симметричный ключ шифруется с помощью шифра RSA-4096 и добавляется в конец зашифрованного файла, а открытый ключ жестко закодирован в двоичном файле ransomware.

Жертвам Akira ransomware предлагается посетить два сайта TOR - на первом перечислены взломанные компании, а на втором жертвы получают инструкции о том, как произвести оплату. Существует также версия Akira ransomware для Linux, которая работает идентично, хотя для запуска дешифровщика в Linux пользователям придется использовать слои WINE.

Чтобы воспользоваться дешифратором, пользователи должны загрузить 64-битный двоичный файл с сайта Avast, а затем предоставить пример файла в исходном виде и зашифрованного Akira ransomware. Файлы должны быть как можно большего размера, так как инструмент расшифровки будет изучать пару файлов и определять самый большой файл, который можно расшифровать. После того как файлы будут предоставлены, инструмент расшифровки начнет их дешифровку.

Дешифровщик Avast - это мощный инструмент для помощи тем, кто пострадал от вымогательского ПО Akira. Он был разработан для помощи организациям в сфере образования, финансов и недвижимости, которые стали жертвами этой программы с момента ее появления в марте 2023 года. Поскольку дешифратор не связан с оригинальной программой Akira ransomware, его нельзя использовать для расшифровки файлов этого старого варианта. Однако версия дешифратора для Windows может быть использована для расшифровки файлов, зашифрованных Linux-версией ransomware.

#ParsedReport #CompletenessLow
29-06-2023

GuLoader Campaign Targets Law Firms in the US

https://blog.morphisec.com/guloader-campaign-targets-law-firms-in-the-us

Report completeness: Low

Threats:
Cloudeye
Netwire_rat
Lokibot_stealer
Formbook
Remcos_rat
Junk_code_technique

Victims:
Law firms, healthcare and investment firms in the united states

Industry:
Healthcare

IOCs:
Hash: 16
Domain: 1

Algorithms:
xor, base64

#ParsedReport #ExtractedSchema

Classified images:
code: 5, chart: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Morphisec Labs внимательно следит за кампанией GuLoader, направленной против юридических фирм, медицинских и инвестиционных компаний в США-----

Morphisec Labs внимательно следит за кампанией GuLoader, направленной против юридических фирм, медицинских и инвестиционных компаний в США. GuLoader, также известный как Cloudeye, активен уже более трех лет и трудно поддается анализу благодаря своим методам анти-анализа. Он используется для загрузки различных семейств вредоносных программ, таких как NetWire, Lokibot, Xloader и Remcos, с помощью легитимных хостинг-сервисов, таких как Google Drive, OneDrive и GCloud. В данной конкретной кампании GuLoader использовался для доставки Remcos RAT через github.io.

DoubleClick, популярный сервис кликов по объявлениям, предоставляемый компанией Google, широко используется в онлайн-рекламе и часто применяется субъектами угроз для доставки GuLoader. VBScript GuLoader обфусцирован нежелательным кодом и случайными комментариями, а его шеллкод отвечает за загрузку, расшифровку и внедрение полезной нагрузки в процесс ieinstal.exe.

#ParsedReport #CompletenessLow
29-06-2023

Beyond Search Results: Deconstructing SEO Poisoning Technique & Safeguarding Measures

https://www.cyfirma.com/outofband/beyond-search-results-deconstructing-seo-poisoning-technique-safeguarding-measures

Report completeness: Low

Threats:
Seo_poisoning_technique
Typosquatting_technique
Cloaking_technique
Teamviewer_tool
Bumblebee
Bazarbackdoor
Cobalt_strike
Vidar_stealer
Polymorphism_technique

Victims:
Organizations and individuals

Industry:
Financial

IOCs:
File: 1

Soft:
chatgpt, zoom, anyconnect

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организации должны уделять приоритетное внимание программам обучения и повышения осведомленности пользователей в области безопасности, создавать надежную внутреннюю систему безопасности и регулярно сообщать о ненормальных результатах SEO своим группам безопасности, чтобы бороться с угрозой отравления SEO. Для защиты от его влияния необходимы стратегии обнаружения, предотвращения и смягчения последствий.
-----

SEO-заражение - это вредоносная техника, используемая субъектами угроз для манипулирования результатами поисковых систем и привлечения пользователей на свои вредоносные веб-сайты. Для этого используются опечатки, тактика "черного" SEO, набивка ключевых слов, маскировка, манипуляции с поисковым рейтингом и использование частных сетей ссылок, чтобы обмануть пользователей и подвергнуть их таким рискам, как кража учетных данных, заражение вредоносным ПО и финансовые потери. Злоумышленники используют ИИ и модели, подобные ChatGPT, для повышения эффективности своих атак SEO poisoning. Алгоритмы ИИ могут помочь им определить популярные поисковые запросы и трендовые темы, чтобы оптимизировать вредоносный контент для максимальной видимости.

Организации сталкиваются с повышенным риском распространения вредоносного ПО, целенаправленной эксплуатации, а также серьезными репутационными и финансовыми последствиями из-за кампаний по отравлению SEO. Для борьбы с этой всепроникающей угрозой организации должны уделять приоритетное внимание программам обучения и повышения осведомленности пользователей в области безопасности, создавать надежную внутреннюю систему безопасности и регулярно сообщать командам безопасности о ненормальных результатах SEO. Для защиты от коварного влияния SEO poisoning необходимы стратегии обнаружения, предотвращения и смягчения последствий, такие как процедуры обнаружения typosquatting, списки IOC и решения EDR. Оставаясь информированными и проактивными, организации могут лучше защитить себя и смягчить пагубные последствия SEO-травления.

#ParsedReport #CompletenessLow
29-06-2023

Malware Disguised as HWP Document File (Kimsuky)

https://asec.ahnlab.com/en/54736

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Dropper/win.agent.c5441936
Powershell_keylogger_tool

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1204.001

IOCs:
File: 4
Url: 5
Hash: 5

Soft:
onenote

Algorithms:
base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Чтобы не допустить заражения вредоносным кодом, пользователям важно проявлять осторожность и соблюдать правила безопасного просмотра веб-страниц при работе с неизвестными источниками. Кроме того, пользователям следует установить и поддерживать антивирусное программное обеспечение, обновлять операционную систему и программные приложения, а также сообщать о подозрительной активности в службу безопасности.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно подтвердил наличие вредоносного исполняемого программного обеспечения. Есть подозрение, что это вредоносное ПО было создано той же угрожающей группой Kimsuky, которая ранее распространяла вредоносный код в форматах файлов CHM и OneNote. Вредоносный исполняемый файл замаскирован под файл документа .HWP и содержит файл readme.txt с сообщением, побуждающим пользователя открыть вредоносный EXE-файл (Personal Data Leakage Details.hwp.exe). Вредоносный EXE-файл был скомпилирован с помощью .NET, и в нем отображается окно сообщения, содержащее северокорейский диалект. Такая обманчивая тактика затрудняет для пользователей идентификацию вредоносного поведения.

Учитывая постоянное обнаружение этого типа вредоносных программ, пользователям важно проявлять осторожность при работе с неизвестными источниками. При открытии вложений электронной почты пользователи всегда должны проверять расширение файла, чтобы убедиться, что он не является вредоносным. Следует избегать выполнения файлов из неизвестных источников. Кроме того, пользователям следует придерживаться правил безопасного просмотра веб-страниц. Они никогда не должны нажимать на подозрительные ссылки, которые могут быть отправлены по электронной почте или в социальных сетях, так как они могут вести на вредоносные веб-сайты.

Компания AhnLab выпустила бюллетень безопасности с подробным описанием вредоносного исполняемого файла, и всем пользователям рекомендуется уделить время его изучению. AhnLab также рекомендует пользователям установить и поддерживать обновленное антивирусное программное обеспечение для защиты своих устройств от вредоносных угроз. Кроме того, пользователям следует регулярно обновлять операционную систему и программные приложения, чтобы убедиться, что они работают на последних версиях.

Чтобы обезопасить себя от вредоносного кода, пользователи должны продолжать проявлять бдительность и соблюдать правила кибергигиены. Выполняя эти действия, пользователи могут значительно снизить риск заражения вредоносным программным обеспечением. Кроме того, пользователи должны всегда сообщать о любых подозрительных действиях своей службе безопасности и следовать всем полученным инструкциям.

#ParsedReport #CompletenessMedium
29-06-2023

Red Wolf is back to spy on commercial firms

https://bi.zone/eng/expertise/blog/red-wolf-vnov-shpionit-za-kommercheskimi-organizatsiyami

Report completeness: Medium

Actors/Campaigns:
Red_wolf (motivation: cyber_espionage)

Threats:
Ad_explorer_tool
Lazagne_tool

Victims:
Corporate infrastructures

Geo:
Germany, Norway, Ukraine, Russia, Canada

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 2
Path: 1
Url: 1
Hash: 3
Domain: 3

Soft:
windows task scheduler

Algorithms:
aes, aes-128, cbc, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Red Wolf - опасная хакерская группа, которая может оставаться незамеченной в корпоративной инфраструктуре в течение длительного времени, и для защиты от их атак важно знать их тактику, методы и процедуры и отслеживать подозрительную активность.
-----

Red Wolf - хакерская группа, специализирующаяся на корпоративном шпионаже. Пропав с радаров в 2022 году, они недавно появились вновь и используют классические фишинговые уловки для проникновения в корпоративную инфраструктуру. Они разбивают вторжение на этапы и используют IMG-файлы, содержащие LNK-файлы, для доставки вредоносного ПО на взломанную систему. Вредоносная программа, используемая Red Wolf, называется RedCurl.FSABIN. Она использует Windows API для сбора информации о количестве процессоров, объеме памяти, емкости хранилища, а также о времени, прошедшем с момента запуска операционной системы до запуска образца вредоносной программы. Затем она отправляет эту информацию на командно-контрольный сервер и загружает дополнительные инструменты для постэксплуатации. Red Wolf использует сочетание собственного фреймворка и обычных инструментов, таких как LaZagne и AD Explorer.

Текущая кампания Red Wolf была обнаружена BI.ZONE в России, Канаде, Германии, Норвегии, Украине и Великобритании. Эта кампания использует фишинговые электронные письма для доставки вредоносных файлов. При открытии вредоносные файлы загружают и запускают RedCurl.FSABIN, который позволяет злоумышленникам выполнять команды во взломанной среде. Медленно продвигаясь в скомпрометированной ИТ-инфраструктуре, Red Wolf способен оставаться невидимым до шести месяцев.

Чтобы обнаружить следы Red Wolf, BI.ZONE предлагает контролировать создание и монтирование небольших файлов образов дисков, обращать внимание на DLL-файлы, запускаемые rundll32 из #TEMP, отслеживать подозрительные файлы, запускаемые планировщиком задач Windows из C:\Users\ user \AppData\Local, искать следы сетевого взаимодействия с поддоменами *.amscloudhost . com, а также уделять приоритетное внимание обнаружению тактик, техник и процедур, характерных для Red Wolf. Подробная информация о Red Wolf и его тактиках, техниках и процедурах, а также другие индикаторы компрометации доступны в BI.ZONE ThreatVision.

Red Wolf - опасная хакерская группа, способная оставаться незамеченной в корпоративной инфраструктуре в течение длительного времени. Для защиты от их атак важно знать их тактику, методы и процедуры, а также отслеживать подозрительную активность. Следуя рекомендациям BI.ZONE, организации могут повысить свои шансы на обнаружение и предотвращение атаки Red Wolf.

#ParsedReport #CompletenessLow
29-06-2023

8Base Ransomware: A Heavy Hitting Player

https://blogs.vmware.com/security/2023/06/8base-ransomware-a-heavy-hitting-player.html

Report completeness: Low

Actors/Campaigns:
Ransom_house

Threats:
8base
Carbon
Phobos
Smokeloader
Systembc

Victims:
Business services, finance, manufacturing, and information technology

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1484, T1485, T1489, T1082, T1492, T1497, T1498

IOCs:
Url: 1
Domain: 9
Hash: 5
File: 3

Soft:
telegram, jabber

Algorithms:
sha1, sha256