#ParsedReport #CompletenessLow
30-06-2023

Distributing malicious batch files (*.bat) disguised as document viewers (Kimsuky)

https://asec.ahnlab.com/ko/54952

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.agent.sc190255
Trojan/vbs.agent.sc190256

Geo:
Indo-pacific, Korean

IOCs:
File: 26
Url: 20
Path: 7
Registry: 1
Command: 1
Hash: 4

Soft:
onenote, outlook, chrome, task scheduler

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ASEC подтвердила распространение вредоносных кодов группой Kimsuky, которые могут загружать скрипты для выполнения вредоносных команд, когда пользователи нажимают на определенные файлы. Пользователи должны принять меры предосторожности для защиты своих устройств, убедившись, что их антивирусное программное обеспечение обновлено, и избегая нажатия на незнакомые ссылки или вложения в электронных письмах.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил распространение вредоносного кода в виде пакетных файлов (*.bat). Анализ вредоносного кода показал, что он был распространен группой Kimsuky, причем имя файла замаскировано под просмотрщик программ для работы с документами, такими как Word и Hangul. Вредоносный код загружает различные скрипты в зависимости от антивирусного процесса, установленного на устройстве пользователя, что позволяет злоумышленнику задавать вредоносные команды, которые будут отправляться, когда пользователь нажимает на файл ярлыка для запуска Outlook и браузера. Предполагается, что вредоносный код распространялся через электронные письма.

Кроме того, злоумышленник заменяет шаблон документа по умолчанию Normal.dotm и модифицирует файлы ярлыков браузеров и электронной почты. Это означает, что когда пользователи запускают документы Word, программы интернет-браузера, такие как Chrome, и файлы ярлыков (*.lnk) программ Outlook, они могут получить вредоносные сценарии. По мере того как вредоносный код загружает и выполняет различные скрипты, могут выполняться дополнительные неподтвержденные вредоносные действия в зависимости от команд, присутствующих в скрипте.

В этой ситуации пользователям необходимо быть особенно осторожными и принимать меры предосторожности для защиты своих устройств от вредоносных действий. Они должны убедиться, что их антивирусное программное обеспечение обновлено, и проверять любые подозрительные файлы или электронные письма перед их загрузкой или выполнением. Кроме того, им следует избегать нажатия на незнакомые ссылки или вложения в электронных письмах и убедиться, что их антивирусное программное обеспечение может обнаружить подозрительное поведение на их устройстве.

#ParsedReport #CompletenessLow
30-06-2023

Proxyjacking: The Latest Cybercriminal Side Hustle

https://www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: cyber_criminal)

Threats:
Proxyjacking_technique
Meris_botnet

Victims:
Ssh servers, compromised web server, peer2profit, honeygain, companies in libya, meris and anonymous sudan

Geo:
Libya

ChatGPT TTPs:
do not use without manual check
T1078, T1059, T1497, T1555, T1567

IOCs:
File: 2
Hash: 1

Soft:
docker, curl

Links:
https://github.com/curl/curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют новую технику - proxyjacking - для получения прибыли за счет использования неиспользуемой полосы пропускания жертвы, и это представляет серьезную угрозу как для корпоративного мира, так и для рядовых потребителей.
-----

Команда Akamai Security Intelligence Response Team (SIRT) раскрыла кампанию проксиджекинга, в рамках которой киберпреступники используют уязвимые SSH-серверы, запуская службы Docker для совместного использования пропускной способности жертвы и получения прибыли. По сравнению с криптоджекингом, который также используется для заработка на взломанных устройствах, проксиджекинг - более скрытная альтернатива, которая может вызвать еще больше головной боли при атаках 7-го уровня. С помощью proxyjacking злоумышленники не только крадут ресурсы, но и используют неиспользуемую пропускную способность канала жертвы. Такие компании, как Peer2Profit и Honeygain, предоставляют обычным пользователям возможность заработать на своей дополнительной полосе пропускания, но они часто не задают вопросов о том, как был получен новый прокси-узел, оставляя место для незаконной деятельности.

Атака начинается с того, что злоумышленник получает доступ к системе жертвы, используя взломанный веб-сервер для распространения необходимых зависимостей. Попав внутрь, злоумышленник запускает вредоносный скрипт Bash, чтобы превратить систему в узел прокси-сети Peer2Profit или Honeygain. Этот скрипт разработан как скрытный и надежный, он пытается работать независимо от программного обеспечения, установленного на хост-системе. Было обнаружено, что вредоносный скрипт на самом деле содержит утилиту для майнинга криптовалюты, а также другие эксплойты и инструменты взлома.

Ценность прокси-серверов для киберпреступников заключается в их способности запутывать следы, затрудняя отслеживание вредоносной деятельности до ее истоков. Направляя вредоносный трафик через множество узлов-аналогов, прежде чем он достигнет места назначения, преступники могут остаться незамеченными. Кроме того, благодаря относительно низкому использованию процессора и использованию неиспользуемой пропускной способности интернета, проксиджекинг зачастую сложнее обнаружить, чем криптоджекинг.

Проксиджекинг с целью получения прибыли - яркий пример того, как злоумышленники постоянно ищут инновационные стратегии для максимизации своей прибыли при минимизации усилий. Возможность монетизировать прокси как филиалы основных компаний делает этот вектор серьезной угрозой как для корпоративного мира, так и для рядовых потребителей. Повышение осведомленности и внедрение превентивных мер позволит эффективно противостоять этому новому случаю использования старой техники.

#ParsedReport #CompletenessHigh
29-06-2023

PhonyC2: Revealing a New Malicious Command & Control Framework by MuddyWater

https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Darkbit

Threats:
Muddyc3
Ligolo
Chisel_tool
Beacon
Powerstats
Log4shell_vuln
Powgoop
Metasploit_tool
Simplehelp_tool
Ehorus_tool

Geo:
Iranian, Israel, Israeli

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 4
Path: 5
Registry: 3
IP: 29
Domain: 20
Url: 1
Command: 2
Hash: 6

Soft:
papercut, windows registry

Algorithms:
base64, zip

Languages:
python

Links:
https://github.com/ahmedkhlief/muddyc3-Revived/
https://github.com/ekzhang/bore
https://github.com/deepinstinct/PhonyC2-MuddyWater-Research
https://github.com/sophoslabs/IoCs/blob/master/papercut-nday-indicators-of-compromise.csv
https://github.com/ahmedkhlief/muddyc3-Revived/tree/master/core

#ParsedReport #ExtractedSchema

Classified images:
code: 17, windows: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MuddyWater - это группа кибершпионажа, выявленная группой исследования угроз Deep Instinct, которая использует фреймворк PhonyC2 для эксплуатации систем, часто с помощью социальной инженерии и PowerShell. Этот фреймворк был замечен в атаке на Институт Техниона, а также в активной кампании по эксплуатации PaperCut. Команда обнаружила доменные имена, зарегистрированные MuddyWater, которые активны и сегодня.
-----

MuddyWater, подчиненный элемент иранского Министерства разведки и безопасности (MOIS), является группой кибершпионажа, выявленной группой исследования угроз Deep Instinct. Команда обнаружила новую структуру C2 (командование и управление), созданную и используемую MuddyWater по крайней мере с 2021 года, под названием PhonyC2. Эта структура была использована в атаке на Институт Техниона и в настоящее время используется в активной кампании по эксплуатации PaperCut. Эта структура похожа на предыдущую структуру C2, созданную MuddyWater, MuddyC3.

MuddyWater в первую очередь использует социальную инженерию в качестве начальной точки доступа для заражения полностью исправленных систем. Организациям следует продолжать укреплять системы и следить за активностью PowerShell. В апреле 2023 года команда Deep Instinct обнаружила три вредоносных сценария PowerShell в составе архива под названием PhonyC2_v6.zip. Поскольку журнал изменений или история версий отсутствуют, команда исследовала исходный код, чтобы лучше понять структуру и функциональность этого C2-фреймворка.

Система написана на языке Python 3 и состоит из нескольких скриптов, которые работают вместе для создания полезной нагрузки, подключающейся к C2 и ожидающей инструкций от оператора. Это позволяет оператору выполнять команды на всех подключенных компьютерах одновременно, например, полезную нагрузку ransomware, а также сохранять устойчивость при перезапуске зараженного узла.

Команда также обнаружила IP-адреса, связанные с PhonyC2, которые фигурируют в отчете Microsoft об атаке Technion, а также в других отчетах Talos и Group-IB. Кроме того, команда обнаружила доменные имена, зарегистрированные в 2021 году компанией MuddyWater, которые активны и сегодня.

В мае 2023 года компания Microsoft упомянула, что наблюдала, как MuddyWater эксплуатирует CVE-2023-27350 в программе управления печатью PaperCut, и предоставила индикаторы различных вторжений PaperCut. Deep Instinct обнаружил, что два IP-адреса из этих вторжений являются серверами PhonyC2 на основе шаблонов URL.

MuddyWater постоянно обновляет C2-фреймворк и меняет TTP, чтобы избежать обнаружения, как видно из блога и расследования утечки кода PhonyC2. Более новая версия PhonyC2, чем V6, была замечена при сканировании URL на IP 195.20.17 . 44, причем к закодированной полезной нагрузке был добавлен доброкачественный HTML-код для дальнейшего сокрытия их деятельности. В подсети 195.20.17.0/24 этого сервера был обнаружен IP-адрес с пассивным DNS-ответом am1211.iransos . me, который, как подозревает команда, арендуется каким-то иранским VPS-провайдером, используемым MuddyWater.

#ParsedReport #CompletenessLow
30-06-2023

Cobalt Strikes Deployment with Hardware Breakpoint for AMSI Bypass. Cobalt Strike s Deployment with Hardware Breakpoint for AMSI Bypass

https://labs.k7computing.com/index.php/cobalt-strikes-deployment-with-hardware-breakpoint-for-amsi-bypass

Report completeness: Low

Threats:
Cobalt_strike
Amsi_bypass_technique

Victims:
Domain logon users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1086, T1574, T1547, T1545, T1218, T1064, T1053, T1543, have more...

IOCs:
Hash: 3

Algorithms:
gzip, base64, xor

Win API:
AddVectoredExceptionHandler

Links:
https://github.com/EricZimmerman/LECmd
https://github.com/Sentinel-One/CobaltStrikeParser

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Cobalt Strike разработала новый TTP для обхода AMSI, который включает создание аппаратной точки останова в интерфейсе с помощью LNK-файла. K7 Labs обнаружила угрозу, и пользователям рекомендуется использовать K7 Total Security для защиты своих устройств.
-----

Новая тактика, техника и процедуры (ТТП) Cobalt Strike для обхода Antimalware Scan Interface (AMSI) включает создание аппаратной точки останова в интерфейсе с помощью LNK-файла. Инструмент под названием LECmd использовался для извлечения аргумента LNK-файла, который вызывает сценарий PowerShell для получения кода с вредоносного веб-сайта. Этот код включает аппаратную точку останова (Dr0) по адресу буфера сканирования AMSI. Чтобы обойти AMSI, в API AddVectoredExceptionHandler для точки останова регистрируется обработчик исключений. Затем код обработчика собирает записи и адреса исключений и выполняет действия, если исключение найдено по адресу буфера сканирования AMSI. Он сохраняет значение указателя стека, устанавливает адрес возврата в указателе инструкций и устанавливает значение возврата равным 0.

Код также содержит сценарий PowerShell для создания персистентности через папку запуска и загрузки сжатой в GZIP Base64 String. Эта полезная нагрузка предназначена для пользователей, подключившихся в упомянутом списке доменов. После декодирования и XOR с int(35) раскрывается окончательная полезная нагрузка Cobalt Strike.

Лаборатория K7 Labs обнаруживает такие угрозы, и пользователям рекомендуется защитить свои устройства с помощью надежного продукта безопасности, такого как K7 Total Security. Постоянное обновление продукта - залог защиты от новейших угроз.

#ParsedReport #CompletenessHigh
29-06-2023

Key takeaways. The DPRK strikes using a new variant of RUSTBUCKET

https://www.elastic.co/security-labs/DPRK-strikes-using-a-new-variant-of-rustbucket

Report completeness: High

Actors/Campaigns:
Ref9135 (motivation: cyber_espionage)
Lazarus (motivation: cyber_espionage, financially_motivated)
Cryptocore

Threats:
Rustbucket
Seth_locker
Applescript

Victims:
Venture-backed cryptocurrency company

Industry:
Financial

Geo:
Korea, Dprk, Bangladesh

TTPs:
Tactics: 7
Technics: 0

IOCs:
Domain: 7
IP: 2
File: 1
Url: 1
Hash: 9

Soft:
macos, curl, kibana

Algorithms:
sha256, zip

Languages:
rust

Platforms:
arm, intel, apple

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/MacOS\_Trojan\_RustBucket.yar
https://github.com/elastic/labs-releases/tree/main/indicators/rustbucket
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/persistence\_persistence\_via\_suspicious\_launch\_agent\_or\_launch\_daemon.toml

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1, code: 4, chart: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Корейская Народно-Демократическая Республика (КНДР) активно разрабатывает новый вариант вредоносного ПО RUSTBUCKET, и лаборатория Elastic Security Labs обнаружила в нем способность к постоянству, ранее не встречавшуюся в семействе RUSTBUCKET. Этот новый вариант добавляет встроенную функцию персистенции и не обнаруживается текущими сигнатурными системами на VirusTotal. Организации должны сохранять бдительность в отношении этих кампаний, чтобы защитить себя и своих клиентов от угрозы этого нового варианта RUSTBUCKET.
-----

Корейская Народно-Демократическая Республика (КНДР) активно разрабатывает новый вариант вредоносного ПО RUSTBUCKET, который был приписан группе BlueNorOff компанией Jamf Threat Labs в апреле 2023 года. Этот новый вариант добавляет встроенную функцию персистентности и не обнаруживается текущими сигнатурными системами на VirusTotal. Действующие лица REF9135 используют RUSTBUCKET для устойчивых операций в провайдере услуг криптовалютных платежей, чтобы получить финансовую выгоду от глобальных санкций. Вредоносная программа написана на языках Swift и Rust и работает на основе аргументов командной строки. Она собирает системную информацию и отправляет ее на сервер C2 в рамках первоначального POST-запроса. Она также содержит возможность загрузки и выполнения вредоносных двоичных файлов Mach-O или сценариев оболочки, а также самоликвидации.

Лаборатория Elastic Security Labs обнаружила способность к сохранению, ранее не встречавшуюся в семействе RUSTBUCKET, что указывает на активную разработку вредоносной программы. Владельцы кампании используют такие методы, как изменение домена C2 после сбора двоичных файлов 2 и 3 стадии для анализа, а также модифицированную строку User-Agent, чтобы ограничить распространение и опередить усилия по обнаружению.

Используя структуру MITRE ATT&CK для документирования тактики, методов и процедур, правила поведения Elastic Defend обеспечивают защиту и видимость для пользователей от этого нового варианта RUSTBUCKET. Elastic также выпустила сигнатуру, которая предотвращает выполнение этого нового варианта RUSTBUCKET. Кроме того, с помощью раздела Timeline решения безопасности в Kibana на вкладке Correlation можно использовать запросы EQL для поиска поведения, наблюдаемого в REF9135.

КНДР имеет долгую историю финансово мотивированных атак на уязвимые организации, особенно те, которые имеют доступ к большим суммам криптовалюты. Ограбление банка Бангладеш в 2016 году стало самой известной атакой BlueNorOff, целью которой был незаконный перевод более $850 млн со счета Федерального резервного банка Нью-Йорка, принадлежащего Бангладеш Банку, центральному банку Бангладеш, с помощью сети SWIFT. С появлением нового варианта вредоносной программы RUSTBUCKET важно, чтобы организации сохраняли бдительность в отношении этих кампаний, чтобы защитить себя и своих клиентов.

#ParsedReport #CompletenessLow
30-06-2023

NetSupport Malware Distributed via Mail

https://asec.ahnlab.com/ko/54901

Report completeness: Low

Threats:
Netsupportmanager_rat
Trojan/js.agent.sc189783

Industry:
Transport

ChatGPT TTPs:
do not use without manual check
T1170, T1036, T1064, T1204, T1140

IOCs:
File: 3
Url: 2

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NetSupport RAT - это вредоносная программа, распространяемая через фишинговые электронные письма и маскирующаяся под вложение zip-файла. Она способна загружать дополнительные сценарии PowerShell и выполнять их при загрузке системы, и может быть идентифицирована с помощью Anti-Malware Scan Interface (AMSI).
-----

NetSupport RAT - это вредоносная программа, которая распространяется через фишинговые электронные письма. Эти письма обычно имеют форму счетов, отгрузочных документов и заказов на поставку и предназначены для того, чтобы обманом заставить жертву загрузить вредоносный код. Вредоносный JavaScript маскируется под вложение файла scan16431643.zip. После открытия вредоносный код получает доступ к серверу C2, загружает дополнительные сценарии PowerShell и выполняет их.

Сценарий PowerShell загружает NetSupport RAT, создает его в папке TimeUTCSync_(случайное число) в локальном подпункте %Appdata%, создает его с именем файла client32.exe и регистрирует его для автоматического выполнения при загрузке системы. Anti-Malware Scan Interface (AMSI) может быть использован для сбора расшифрованных данных, таких как команды PowerShell и адреса C2 из вредоносного JavaScript.

#rstcloud
Мы отказались от влияния времени на скоринг HASH, т.е. теперь хэши не устаревают, а их уровень опасности зависит только от:
- консолидированного доверия к приславшим HASH источникам;
- контекста HASH.
С понедельника, публикуемые через наш API HASH-и, будут приходить уже со скорингом, рассчитанным по новым правилам.

#ParsedReport #CompletenessLow
03-07-2023

Crysis Threat Actor Installing Venus Ransomware Through RDP

https://asec.ahnlab.com/en/54937

Report completeness: Low

Threats:
Venus_locker
Dharma
Mimikatz_tool
Passview_tool
Vncpassview_tool
Bulletspassview_tool
Routerpassview_tool
Messenpass_tool
Ransomware/win.venus.c5220541
Trojan/win32.rl_mimikatz.r281240
Trojan/win32.rl_mimikatz.r364133
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m2255
Ransom/mdp.event.m1785

Victims:
Externally exposed remote desktop services

ChatGPT TTPs:
do not use without manual check
T1078, T1021, T1015

IOCs:
File: 23
Email: 3
Command: 2
Hash: 16

Soft:
remote desktop services, windows explorer, onenote, outlook, thebat64, wordpad, bcdedit

Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, mydesktopqos, mydesktopservice, ocautoupds, ocomm, have more...

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации лаборатории безопасности AhnLab (ASEC) недавно обнаружил, что угрожающий субъект использует вымогательское ПО Crysis и Venus для атак на внешние службы удаленного рабочего стола. Чтобы предотвратить подобные атаки, пользователям следует отключать RDP, когда он не используется, использовать сложные пароли для своих учетных записей и обновить V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил, что угрожающий субъект использовал вымогательские программы Crysis и Venus для атак на внешние службы удаленного рабочего стола. Журналы инфраструктуры AhnLab Smart Defense (ASD) показывают, что злоумышленник также использовал различные другие инструменты, такие как сканер портов и Mimikatz, для получения доступа к зараженной системе.

Субъекты угроз обычно используют протокол RDP (Remote Desktop Protocol) для сканирования систем, которые разрешают внешний доступ, а затем используют перебор или атаки по словарю для получения доступа к учетным записям со слабыми паролями. Получив учетные данные, они могут использовать RDP для входа в систему и выполнения вредоносных действий. В данном случае объект угрозы использовал RDP для установки программы Venus ransomware, а когда ему не удалось успешно зашифровать систему с помощью Crysis ransomware, он повторил атаку с помощью Venus.

Venus ransomware изменяет рабочий стол и отображает файл README, содержащий сообщение, предупреждающее пользователя о том, что его информация была украдена, а файлы зашифрованы. В нем содержится указание связаться со злоумышленниками в течение 48 часов, чтобы заплатить выкуп.

Для предотвращения подобных атак пользователям следует отключать RDP, когда он не используется, использовать сложные пароли для своих учетных записей и обновлять V3 до последней версии, чтобы предотвратить заражение вредоносным ПО. Кроме того, следует периодически менять пароли для предотвращения атак методом перебора и по словарю. Выполнение этих шагов обеспечит лучшую защиту систем от вымогательского ПО и других вредоносных действий.

#ParsedReport #CompletenessMedium
03-07-2023

Analysis of Rekoobe backdoor used in domestic Linux system attacks

https://asec.ahnlab.com/ko/55070

Report completeness: Medium

Actors/Campaigns:
Apt31

Threats:
Rekoobe_rootkit
Supply_chain_technique

Victims:
Domestic companies

Geo:
Korea, Chinese

ChatGPT TTPs:
do not use without manual check
T1543.001, T1059, T1090, T1064

IOCs:
Hash: 4
Domain: 2
IP: 3
Url: 1

Soft:
wordpress

Algorithms:
xor, aes-128, sha1, hmac

Functions:
strcpy

Languages:
java

Platforms:
x64, x86

Links:
https://github.com/creaktive/tsh/tree/master

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rekoobe - это вредоносная программа с бэкдором, нацеленная на системы Linux, впервые обнаруженная в 2015 году. Известно, что она используется китайской атакующей группой APT31 и способна загружать вредоносные файлы, красть файлы из системы и выполнять команды с сервера C&C.
-----

Rekoobe - это вредоносная программа-бэкдор, нацеленная на среду Linux, впервые обнаруженная в 2015 году. Известно, что она используется китайской атакующей группой APT31 и способна загружать вредоносные файлы, красть файлы из системы и выполнять команды с C&C-сервера. Rekoobe использует ключ AES-128, который генерируется с помощью алгоритма HMAC SHA1 для шифрования данных при обмене с C&C-сервером. Он также изменяет имя процесса на /bin/bash, чтобы его было трудно распознать.

До недавнего времени было выявлено несколько образцов Rekoobe, которые в основном имеют одинаковую базовую форму, но различаются в связи с C&C-сервером. Некоторые сначала подключаются к жестко закодированному C&C-серверу, а другие открывают порт в виде bind shell и ждут подключения C&C-сервера. Rekoobe предположительно имеет отдельный билдер, так как часто использует строку пароля по умолчанию. Кроме того, он характеризуется тем, что для проверки целостности в большинстве случаев используются одни и те же данные.

Вредоносная программа Rekoobe использовалась в атаках, направленных на домашние системы, и в основном имеет архитектуру x64. Предполагается, что она нацелена на серверы Linux и имеет форму обратной оболочки. Почта и сервисы собираются в относительно одинаковое время, а поскольку пароли, указанные злоумышленниками, практически идентичны, предполагается, что их использовал один и тот же злоумышленник.

#ParsedReport #CompletenessMedium
03-07-2023

Multiple New Clipper Malware Variants Discovered in the Wild

https://blog.cyble.com/2023/06/30/multiple-new-clipper-malware-variants-discovered-in-the-wild

Report completeness: Medium

Threats:
Laplasclipper
Iban_clipper
Atlas_clipper
Keyzetsu
Beacon

Victims:
Cryptocurrency users

Industry:
Financial

TTPs:
Tactics: 5
Technics: 14

IOCs:
File: 4
Command: 1
Path: 1
Hash: 3

Soft:
telegram, kmsauto

Algorithms:
base64, gzip, sha256, sha1

Functions:
Decrypt

Win API:
OpenClipboard, GetClipboardData, IsClipboardFormatAvailable, SetClipboardData, CloseClipboard

Win Services:
WebClient

Languages:
golang