#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Red Wolf - опасная хакерская группа, которая может оставаться незамеченной в корпоративной инфраструктуре в течение длительного времени, и для защиты от их атак важно знать их тактику, методы и процедуры и отслеживать подозрительную активность.
-----

Red Wolf - хакерская группа, специализирующаяся на корпоративном шпионаже. Пропав с радаров в 2022 году, они недавно появились вновь и используют классические фишинговые уловки для проникновения в корпоративную инфраструктуру. Они разбивают вторжение на этапы и используют IMG-файлы, содержащие LNK-файлы, для доставки вредоносного ПО на взломанную систему. Вредоносная программа, используемая Red Wolf, называется RedCurl.FSABIN. Она использует Windows API для сбора информации о количестве процессоров, объеме памяти, емкости хранилища, а также о времени, прошедшем с момента запуска операционной системы до запуска образца вредоносной программы. Затем она отправляет эту информацию на командно-контрольный сервер и загружает дополнительные инструменты для постэксплуатации. Red Wolf использует сочетание собственного фреймворка и обычных инструментов, таких как LaZagne и AD Explorer.

Текущая кампания Red Wolf была обнаружена BI.ZONE в России, Канаде, Германии, Норвегии, Украине и Великобритании. Эта кампания использует фишинговые электронные письма для доставки вредоносных файлов. При открытии вредоносные файлы загружают и запускают RedCurl.FSABIN, который позволяет злоумышленникам выполнять команды во взломанной среде. Медленно продвигаясь в скомпрометированной ИТ-инфраструктуре, Red Wolf способен оставаться невидимым до шести месяцев.

Чтобы обнаружить следы Red Wolf, BI.ZONE предлагает контролировать создание и монтирование небольших файлов образов дисков, обращать внимание на DLL-файлы, запускаемые rundll32 из #TEMP, отслеживать подозрительные файлы, запускаемые планировщиком задач Windows из C:\Users\ user \AppData\Local, искать следы сетевого взаимодействия с поддоменами *.amscloudhost . com, а также уделять приоритетное внимание обнаружению тактик, техник и процедур, характерных для Red Wolf. Подробная информация о Red Wolf и его тактиках, техниках и процедурах, а также другие индикаторы компрометации доступны в BI.ZONE ThreatVision.

Red Wolf - опасная хакерская группа, способная оставаться незамеченной в корпоративной инфраструктуре в течение длительного времени. Для защиты от их атак важно знать их тактику, методы и процедуры, а также отслеживать подозрительную активность. Следуя рекомендациям BI.ZONE, организации могут повысить свои шансы на обнаружение и предотвращение атаки Red Wolf.

#ParsedReport #CompletenessLow
29-06-2023

8Base Ransomware: A Heavy Hitting Player

https://blogs.vmware.com/security/2023/06/8base-ransomware-a-heavy-hitting-player.html

Report completeness: Low

Actors/Campaigns:
Ransom_house

Threats:
8base
Carbon
Phobos
Smokeloader
Systembc

Victims:
Business services, finance, manufacturing, and information technology

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1484, T1485, T1489, T1082, T1492, T1497, T1498

IOCs:
Url: 1
Domain: 9
Hash: 5
File: 3

Soft:
telegram, jabber

Algorithms:
sha1, sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: 8Base - активная группа ransomware с марта 2022 года, использующая различные типы ransomware и тактику подражания RansomHouse, и нацеленная на малые предприятия с расширением файла .8base. Для защиты от этой группы настоятельно рекомендуется использовать продукты для обнаружения конечных точек.
-----

Группа 8Base ransomware действует с марта 2022 года, а в июне 2023 года наблюдается значительный всплеск активности. Они используют методы шифрования в сочетании с тактикой "имя и позор", чтобы заставить жертв заплатить выкуп. 8Base использует оппортунистическую модель компрометации, атакуя различные отрасли, включая бизнес-услуги, финансы, производство и информационные технологии. Скорость и эффективность текущих операций 8Base указывает на то, что это скорее хорошо организованная зрелая организация, чем новая группа.

Эта группа известна тем, что стиль общения поразительно похож на стиль общения другой известной группы разработчиков вымогательского ПО - RansomHouse. Большая часть слов на странице приветствия, Условиях предоставления услуг и страницах FAQ 8Base слово в слово скопирована с RansomHouse. В ходе исследования 8Base было обнаружено, что у них нет собственной фирменной программы-выкупа, вместо этого они используют различные типы программ-выкупов, доступные на темных рынках. Были обнаружены две записки о выкупе, одна из которых соответствовала RansomHouse, а другая - Phobos.

Был найден образец программы-выкупа, используемой 8Base, которая использовала расширение .8base в зашифрованных файлах. Анализ показал, что он использовал Phobos версии 2.9.1, который был загружен с помощью SmokeLoader. 8Base добавила свой собственный брендинг к выкупной программе, добавив .8base к зашифрованным файлам и используя фиолетовый фон с хрящами в верхнем углу записки о выкупе. Программа-вымогатель была загружена с домена admlogs25.xyz, который, по-видимому, связан с SystemBC, прокси-сервером и инструментом удаленного администрирования.

В настоящее время 8Base остается одной из самых активных групп ransomware этим летом (2023 год). Неясно, является ли 8Base ответвлением RansomHouse или подражателем, или же они используют другое вымогательское ПО в рамках своих обычных рабочих процедур. Известно лишь то, что они очень активны и нацелены на малые предприятия. Настоятельно рекомендуется использовать продукты для обнаружения конечных точек, чтобы поймать ransomware до того, как оно разрастется.

#ParsedReport #CompletenessLow
29-06-2023

The Malicious Abuse of the Trusted PYPI

https://labs.k7computing.com/index.php/the-malicious-abuse-of-the-trusted-pypi

Report completeness: Low

Threats:
Snatch

Victims:
Windows users

Industry:
Financial

Geo:
Russia

IOCs:
Url: 2
Hash: 2

Soft:
discord

Crypto:
bitcoin

Algorithms:
zip

Languages:
python

Links:
https://gist.github.com/eset-research/b59dac8bea700ddf91881f3de81d287b

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи обнаружили вредоносный код, встроенный в python-файл setup.py на PyPI, официальном репозитории пакетов для программного обеспечения, написанного на Python, который способен красть пароли и криптовалюту у пользователей Windows. Это подчеркивает важность настороженного отношения к любым пакетам, загружаемым с PyPI, и принятия мер предосторожности для обеспечения их безопасности.
-----

Исследователи из ESET Research недавно обнаружили вредоносный код, встроенный в один из пакетов PyPI, официального репозитория пакетов для программного обеспечения, написанного на языке Python. Код был предназначен для кражи паролей и криптовалюты у пользователей Windows и был обнаружен путем анализа python-файла setup.py.

Когда пакет установлен, он отправляет имя компьютера жертвы на C2-сервер через POST-запрос, предупреждая злоумышленников о том, что кто-то загружает пакет. Затем он может быть использован для замены любых данных, полученных с помощью настроенного C2-сервера.

Код способен собирать данные цифровых кошельков таких криптовалютных кошельков, как Exodus, Steam и Atomic. Он также собирает основную информацию, такую как имя компьютера и данные для входа в систему, а также токены в журнале браузера. Если существуют какие-либо исполняемые файлы типа DiscordTokenProtector/ProtectionPayload, он удаляет их и убивает их процессы перед отправкой токенов.

Вредоносный пакет также собирает информацию о пользователях из Discord API, такую как номера телефонов, электронная почта, статус биллинга и любые активные подписки Nitro. Кроме того, у пакета есть набор IP-адресов, расположенных в основном в России, на которых он не будет выполняться.

Обнаружение этого вредоносного кода подчеркивает важность осознания потенциальных рисков, связанных с загрузкой пакетов с PyPI. Разработчики должны тщательно исследовать любые пакеты, которые они загружают, чтобы убедиться в их безопасности и надежности.

#ParsedReport #CompletenessMedium
29-06-2023

Following NoName057(16) DDoSia Project s Targets

https://blog.sekoia.io/following-noname05716-ddosia-projects-targets

Report completeness: Medium

Actors/Campaigns:
Noname057 (motivation: hacktivism)

Threats:
Ddosia_botnet

Industry:
Education, Financial, Government

Geo:
Ukrainian, Russian, Canada, Italian, Ukraine, Czech, Latvia, France, French, Poland, Italy, Russia, Lithuania

ChatGPT TTPs:
do not use without manual check
T1546.001, T1090, T1499

IOCs:
Url: 2
File: 3
IP: 1
Domain: 4
Hash: 6

Soft:
telegram, ubuntu

Algorithms:
gzip, zip, aes-gcm, base64, sha256, aes

Functions:
GetTargets, MakeClientLogin

Languages:
python

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, chart: 1, chats: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NoName057(16) - пророссийская хактивистская группа, которая проводила DDoS-атаки на европейские, украинские и американские сайты государственных учреждений, СМИ и частных компаний, используя инструментарий атаки DDoSia. Вполне вероятно, что в ближайшей перспективе будут наблюдаться дальнейшие события.
-----

NoName057(16) - пророссийская хактивистская группа, разработавшая в начале 2022 года набор инструментов для атак DDoSia. Он использовался для проведения DDoS-атак на европейские, украинские и американские сайты государственных учреждений, СМИ и частных компаний. Основной коммуникационной платформой группы является канал Telegram, который насчитывает более 45 000 подписчиков. DDoSia написана на языке Python с использованием потоков процессора, а в апреле 2023 года была выпущена новая версия с дополнительным механизмом защиты для сокрытия списка целей.

Чтобы использовать DDoSia, пользователи должны зарегистрироваться через бота Telegram, @DDosiabot. Затем пользователи скачивают необходимые файлы и помещают файл client_id.txt в ту же папку, что и выбранный исполняемый файл. После запуска вредоносная программа выполняет POST-запрос на URL hxxp:// IP /client/login для аутентификации с C2. После аутентификации C2 возвращает токен, который затем используется для GET-запроса по адресу hxxp:// IP /client/get_targets. Этот запрос получает список целей, который зашифрован.

В новой версии DDoSia реализован механизм шифрования, чтобы сделать вредоносную программу более безопасной и трудной для обнаружения. Эта версия была написана на языке Go и выполняет функцию Decrypt_AESGCM для получения списка целей. Цели хранятся в словаре в формате JSON, который содержит такие поля, как IPv4-адрес и параметры для нацеливания на определенные URL-адреса. Группа продолжает обновлять проект DDoSia, делая его совместимым с различными операционными системами и усиливая безопасность.

Основными целями NoName057(16) являются Украина и страны НАТО, а вторичными - Франция, Великобритания, Италия, Канада и другие страны ЕС. Две основные цели - украинские сайты, связанные с testportal.gov.ua и e-journal.iea.gov.ua. В результате атаки пострадали многие отрасли экономики, включая образование, финансовый и транспортный секторы, а также государственные структуры. После того как президент Франции Макрон объявил о поставке Киеву системы противовоздушной обороны, были атакованы многочисленные цели, связанные с французской транспортной группой RATP.

NoName057(16) активно развивает свои возможности, вероятно, благодаря активному сообществу и растущему вниманию со стороны сообщества CTI. Вполне вероятно, что в ближайшей перспективе мы будем наблюдать дальнейшее развитие событий.

#ParsedReport #CompletenessHigh
29-06-2023

TTPs #10 : Operation GoldGoblin - Attack strategy analysis to selectively infiltrate using zero-day vulnerabilities

https://thorcert.notion.site/TTPs-10-Operation-GoldGoblin-bab695345e984edbb8fe5e16e36face6

Report completeness: High

Actors/Campaigns:
Goldgoblin
Lazarus
Bookcodes
Dream_job

Threats:
Watering_hole_technique
Racket_loader
Giddyupstda
Domino
Iobit_tool
Winrm_tool
Netstat_tool
Uac_bypass_technique
Dll_sideloading_technique
Process_injection_technique
Beacon
Upx_tool
Volgmer
Deathnote
Carbon
Kisa

Victims:
Media company, software developers, groupware developer, security software developer, hosting service, aerospace and defense industries, 207 pcs of 61 institutions

Industry:
Aerospace, Maritime

Geo:
Korean, Korea

CVEs:
CVE-2021-34527 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 2004, 20h2)
have more...

TTPs:
Tactics: 12
Technics: 35

IOCs:
File: 9
Command: 3
Path: 13
Registry: 2

Soft:
windows service, local security authority, windows registry

Algorithms:
cbc, base64, xor, aes-128, aes

Functions:
CreateProcess_asuser

Win API:
CreateProcess, TerminateProcess, MoveFile

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Lazarus - это группа киберугроз, нацеленная на Южную Корею и известная как одна из самых угрожающих групп. Они совершенствуют свои методы атаки, используя информацию, собранную в ходе предыдущих инцидентов вторжения, и для защитников важно понимать поток и процесс атаки со стратегической тактической точки зрения, чтобы защититься от этих типов атак.
-----

Группа Lazarus - это группа киберугроз, нацеленная на Южную Корею, и известна как одна из самых угрожающих групп среди групп атак, нацеленных на Южную Корею сегодня. В этой операции злоумышленники вставляли вредоносные скрипты на страницы новостных статей и эксплуатировали их в качестве страниц-"водопоев". Для проникновения в компанию злоумышленникам удалось использовать уязвимость нулевого дня в определенной программе безопасности. Проникнув в медиакомпанию, злоумышленник создал страницу "водяной дыры", которая могла использовать уязвимость нулевого дня. Расследование инцидента проводилось в сотрудничестве с различными организациями по кибербезопасности, такими как Корейское агентство Интернета и безопасности, Бюро расследований безопасности Национального полицейского агентства, Центр кибербезопасности, AhnLab и Kaspersky.

Вредоносный код, используемый злоумышленником, был в виде данных, хранящихся в реестре. После расшифровки lrmons.dll внедрялся в память и выполнял функции удаленного управления. В имени вредоносного кода используются две случайные строчные буквы, за которыми следует "proc.sys". Вредоносная программа proc.sys работает как служба и использует алгоритм шифрования RC5 и AES128 для расшифровки значений данных, хранящихся в реестре. Она выполняет вредоносное ПО типа загрузчика через внедрение в память. Вредоносный код использует веб-протоколы и симметричную криптографию для передачи данных по каналу C2.

Через wsmprovhost.exe вредоносный код mi.dll выполняется с помощью техники боковой загрузки DLL. Вредоносная программа mi.dll расшифровывает и исполняет uso.dat, зашифрованную вредоносную программу удаленного управления. Вредоносный код uso.dat расшифровывается (AES 128) с помощью mi.dll и выполняется через инъекцию в память. Она имеет функцию получения дополнительных команд от листа управления и выполнения их в памяти. Вредоносный код также использует динамическое разрешение API, где функция API, используемая вредоносной программой, хранится в виде хэша, а функция API вызывается путем сравнения значения хэша.

Очевидно, что группа Lazarus развивает свою технику атак, используя информацию, собранную в ходе предыдущих инцидентов вторжения. Операция BookCodes - кластер, выпущенный в 2020 году, который был осуществлен посредством целенаправленной атаки "водяная дыра" и использовал уязвимости в программном обеспечении безопасности. Operation Dream Job (Death Note) - кластер, атаковавший иностранные аэрокосмические и оборонные предприятия в 2020 году. FALLCHILL известен как один из основных инструментов удаленного контроля HIDDEN COBRA и был подтвержден в 2018 году в инциденте с участием хостинг-сервиса, разработчика группового ПО и разработчика защитного ПО.

Для защиты от этих типов атак Корейское агентство по Интернету и безопасности выявляет ТТП злоумышленников в процессе реагирования на инциденты, а процесс и контрмеры подготавливаются и распространяются на основе рамочной программы ATT&CK. Защитникам важно понимать поток и процесс атаки со стратегической тактической точки зрения, а не с точки зрения шаблона или техники. Также важно иметь точное представление о защитной среде и вместе решать проблемы среды и TTPs атакующего. Система защиты, основанная на IoC (индикатор компрометации, вредоносный IP - простые индикаторы, такие как вредоносные домены), очень полезна. Однако злоумышленники могут легко приобрести и отказаться от инфраструктуры атак, связанной с простыми индикаторами. Но TTP не такие. Атакующим трудно легко приобрести или отбросить ТТП. Защита от ТТП требует понимания и решения общей оборонной среды.

#ParsedReport #CompletenessLow
30-06-2023

Malware Execution Method Using DNS TXT Record

https://asec.ahnlab.com/en/54916

Report completeness: Low

Actors/Campaigns:
Aggaa

Threats:
Agent_tesla
Trojan/win.generic.r526355
Trojan/win.injector.c4641320

IOCs:
Domain: 1
File: 4
Hash: 3
Url: 8

Algorithms:
base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные субъекты используют записи DNS TXT не так, как обычно, для выполнения вредоносных программ, что ставит перед исследователями безопасности новую задачу по обнаружению и предотвращению вредоносных действий.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил случаи использования записей DNS TXT в процессе выполнения вредоносных программ. Это значительное событие, поскольку такой способ выполнения вредоносных программ не является распространенным, и поэтому открывает новые возможности для анализа и обнаружения вредоносных программ.

Записи DNS TXT, первоначально предназначенные для ввода человекочитаемых заметок, теперь используются для отображения различных типов информации, таких как предотвращение спама в электронной почте, проверка владения доменом и другие. Основное назначение записей DNS TXT двояко: 1) предотвращение спама по электронной почте путем проверки того, приходят ли письма из надежного источника, и 2) подтверждение владения доменом путем загрузки записи TXT, содержащей определенную информацию, или путем изменения существующей записи.

Однако недавно было обнаружено, что злоумышленники используют записи DNS TXT не совсем обычным способом. Этот вид вредоносной деятельности был обнаружен, когда субъект угрозы отправил фишинговое электронное письмо с файлом дополнения PowerPoint (PPAM), выдавая его за запрос заказа. Когда вредоносный макрос был выполнен, PowerShell использовался для запуска инструмента nslookup и запроса TXT-записи DNS. Код вредоносного макроса был простым и не обфусцированным, но он включал команду выполнения следующего желаемого процесса в записи DNS TXT.

При проверке DNS TXT-записи сервера угрожающего субъекта было обнаружено, что она содержит данные, которые значительно отклоняются от типичных целей DNS TXT-записей. Эти данные содержали команды PowerShell, что позволяло выполнять их при запросе DNS TXT-записи. Дополнительно загруженный вредоносный файл был идентифицирован как основанный на .NET Infostealer типа AgentTesla.

V3 обнаруживает и блокирует вредоносное ПО, представленное в этом сообщении, используя приведенные ниже псевдонимы. Этот новый метод использования записей DNS TXT для выполнения вредоносных программ ставит перед исследователями безопасности новую задачу по обнаружению и предотвращению вредоносных действий. Чтобы опередить злоумышленников, важно быть в курсе последних тенденций для выявления и блокирования вредоносных действий.

#ParsedReport #CompletenessMedium
30-06-2023

Meduza Stealer: What Is It & How Does It Work?

https://www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Meduza

Victims:
Windows users and organizations

Industry:
Entertainment, Financial

Geo:
Georgia, Germany, Armenia, Kazakhstan, Russia, Belarus, Kyrgyzstan, Tajikistan, Turkmenistan, Moldova, Uzbekistan

ChatGPT TTPs:
do not use without manual check
T1545.003, T1566.003, T1573.001, T1582.001, T1031, T1058, T1082, T1546, T1078, T1083, have more...

IOCs:
Url: 1
Registry: 9
Coin: 7
Hash: 2

Soft:
telegram, chromium, epic privacy browser amigo vivaldi kometa orbitum, torch, slimjet, waterfox urbrowser, cryptotab, moonchild, superbird, k-meleon, have more...

Wallets:
metamask, coin98, guarda_wallet, guild_wallet, mobox, tronlink, sollet, duinocoin_wallet, crocobit, ronin_wallet, have more...

Crypto:
binance, casper, starcoin, ethereum, polkadot

Algorithms:
base64

Functions:
GetUserName, GetComputerName, GetCurrentHWProfile

Win API:
GetUserGeoID, GetGeoInfoA

Platforms:
x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 1, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Meduza Stealer - это вредоносная программа, предназначенная для атак на пользователей Windows и организации с целью кражи конфиденциальных данных. Он активно развивается, его трудно обнаружить, и он использует сложные методы, чтобы войти в доверие и ускользнуть от обнаружения.-----

Meduza Stealer - это вредоносное ПО, предназначенное для атак на пользователей Windows и организации с целью кражи конфиденциальных данных, таких как учетные данные для входа в систему, история просмотров, закладки и расширения криптокошелька. Это активно разрабатываемый инструмент с изощренными маркетинговыми стратегиями, призванными завоевать доверие и ускользнуть от обнаружения. Администратор агрессивно рекламирует Meduza Stealer на киберпреступных форумах и каналах Telegram, а антивирусному ПО трудно его обнаружить.

Как только Meduza Stealer проникает на компьютер, он выполняет проверку геолокации и приступает к сбору обширной информации, включая системную информацию, данные браузера, данные менеджера паролей, информацию реестра, связанную с майнингом, и сведения об установленных играх. Данные упаковываются и загружаются на сервер злоумышленника, включая личные и финансовые данные.

Meduza Stealer использует интерфейсы прикладного программирования (API) и реализует функцию исключения стран. Он использует API GetUserGeoID и GetGeoInfoA на машине жертвы для получения данных о стране и сравнения их с заранее определенным списком. Если страна жертвы не входит в этот список, вредоносная программа пытается установить соединение с сервером злоумышленника. Она также делает скриншот текущего экрана Windows и конвертирует его в формат base64.

Угонщик специально фокусируется на извлечении данных из расширений, связанных с 2FA и менеджерами паролей, а также расширений криптовалютных кошельков из веб-браузеров через программные плагины или дополнения. Он также сканирует приложение Telegram Desktop, проверяя реестр на наличие идентификационных данных.

#ParsedReport #CompletenessMedium
30-06-2023

Malvertising Used as Entry Vector for BlackCat, Actors Also Leverage SpyBoy Terminator

https://www.trendmicro.com/en_us/research/23/f/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html

Report completeness: Medium

Actors/Campaigns:
Blackcat

Threats:
Blackcat
Terminator_tool
Anydesk_tool
4shared
Cobalt_strike
Beacon
Adfind_tool
Powerview
Powersploit
Lazagne_tool
Bitsadmin
Jadtre
Putty_tool
Clop
Creal_stealer

ChatGPT TTPs:
do not use without manual check
T1036.003, T1082.003, T1112, T1566.001, T1518.001, T1117, T1056.004, T1083.003, T1059.003, T1016, have more...

IOCs:
Domain: 8
Url: 36
File: 11
Path: 5
IP: 16
Command: 2
Hash: 105

Soft:
winscp, wordpress, active directory, sysinternals, psexec, curl, windows defender

Algorithms:
zip, sha256

Languages:
python

Links:
https://github.com/AlessandroZ/LaZagne

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 3, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные субъекты используют malvertising для распространения вредоносного ПО через клонированные веб-страницы легитимных организаций, пытаясь получить привилегии администратора высшего уровня и установить персистентный и бэкдорный доступ с помощью различных инструментов и техник.
-----

Злоумышленники используют технику под названием malvertising для распространения вредоносного ПО через клонированные веб-страницы легитимных организаций. Киберпреступники получают доступ к привилегиям администратора высшего уровня и пытаются установить постоянство и бэкдор-доступ.

В одном случае заражение началось, когда пользователь искал WinSCP Download на Bing и нажал на вредоносную рекламу, отображавшуюся над результатами органического поиска. Пользователь был перенаправлен на клонированную веб-страницу загрузки WinSCP, которая загрузила ISO-файл с зараженной веб-страницы WordPress. Также был загружен исполняемый файл, переименованный в msiexec.exe, а также DLL с отложенной загрузкой, которая действовала как дроппер. Эта DLL содержала настоящий установщик WinSCP и вредоносную среду выполнения Python. Были созданы две установки Python3.10 - легитимная и содержащая троянизированный python310.dll.

Затем угрожающий агент загрузил модифицированный/троянизированный обфусцированный файл python310.dll, содержащий маяк Cobalt Strike, подключающийся к серверу C&C. Они также использовали AdFind, PowerView, WMI, LaZagne, PsExec, BitsAdmin и curl, сбросили сценарий KillAV BAT для подделки защиты Trend и установили инструмент удаленного управления AnyDesk в среду для поддержания постоянства.

Дальнейшее расследование показало, что эта деятельность привела к заражению BlackCat (он же ALPHV). Угрожающий агент также использовал SpyBoy terminator, антивирусное средство или средство обнаружения и реагирования на конечные точки (EDR), чтобы подделать защиту, предоставляемую агентами. Данные были удалены с помощью клиента PuTTY Secure Copy (PSCP). Тот же C&C-домен, который использовал агент угрозы, был связан с возможно связанным с ним файлом Cl0p ransomware.

#ParsedReport #CompletenessLow
30-06-2023

Distributing malicious batch files (*.bat) disguised as document viewers (Kimsuky)

https://asec.ahnlab.com/ko/54952

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.agent.sc190255
Trojan/vbs.agent.sc190256

Geo:
Indo-pacific, Korean

IOCs:
File: 26
Url: 20
Path: 7
Registry: 1
Command: 1
Hash: 4

Soft:
onenote, outlook, chrome, task scheduler

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ASEC подтвердила распространение вредоносных кодов группой Kimsuky, которые могут загружать скрипты для выполнения вредоносных команд, когда пользователи нажимают на определенные файлы. Пользователи должны принять меры предосторожности для защиты своих устройств, убедившись, что их антивирусное программное обеспечение обновлено, и избегая нажатия на незнакомые ссылки или вложения в электронных письмах.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил распространение вредоносного кода в виде пакетных файлов (*.bat). Анализ вредоносного кода показал, что он был распространен группой Kimsuky, причем имя файла замаскировано под просмотрщик программ для работы с документами, такими как Word и Hangul. Вредоносный код загружает различные скрипты в зависимости от антивирусного процесса, установленного на устройстве пользователя, что позволяет злоумышленнику задавать вредоносные команды, которые будут отправляться, когда пользователь нажимает на файл ярлыка для запуска Outlook и браузера. Предполагается, что вредоносный код распространялся через электронные письма.

Кроме того, злоумышленник заменяет шаблон документа по умолчанию Normal.dotm и модифицирует файлы ярлыков браузеров и электронной почты. Это означает, что когда пользователи запускают документы Word, программы интернет-браузера, такие как Chrome, и файлы ярлыков (*.lnk) программ Outlook, они могут получить вредоносные сценарии. По мере того как вредоносный код загружает и выполняет различные скрипты, могут выполняться дополнительные неподтвержденные вредоносные действия в зависимости от команд, присутствующих в скрипте.

В этой ситуации пользователям необходимо быть особенно осторожными и принимать меры предосторожности для защиты своих устройств от вредоносных действий. Они должны убедиться, что их антивирусное программное обеспечение обновлено, и проверять любые подозрительные файлы или электронные письма перед их загрузкой или выполнением. Кроме того, им следует избегать нажатия на незнакомые ссылки или вложения в электронных письмах и убедиться, что их антивирусное программное обеспечение может обнаружить подозрительное поведение на их устройстве.

#ParsedReport #CompletenessLow
30-06-2023

Proxyjacking: The Latest Cybercriminal Side Hustle

https://www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: cyber_criminal)

Threats:
Proxyjacking_technique
Meris_botnet

Victims:
Ssh servers, compromised web server, peer2profit, honeygain, companies in libya, meris and anonymous sudan

Geo:
Libya

ChatGPT TTPs:
do not use without manual check
T1078, T1059, T1497, T1555, T1567

IOCs:
File: 2
Hash: 1

Soft:
docker, curl

Links:
https://github.com/curl/curl