#ParsedReport #CompletenessLow
30-06-2023
NetSupport Malware Distributed via Mail
https://asec.ahnlab.com/ko/54901
Report completeness: Low
Threats:
Netsupportmanager_rat
Trojan/js.agent.sc189783
Industry:
Transport
ChatGPT TTPs:
T1170, T1036, T1064, T1204, T1140
IOCs:
File: 3
Url: 2
Languages:
javascript, php
30-06-2023
NetSupport Malware Distributed via Mail
https://asec.ahnlab.com/ko/54901
Report completeness: Low
Threats:
Netsupportmanager_rat
Trojan/js.agent.sc189783
Industry:
Transport
ChatGPT TTPs:
do not use without manual checkT1170, T1036, T1064, T1204, T1140
IOCs:
File: 3
Url: 2
Languages:
javascript, php
ASEC BLOG
메일을 통해 유포되는 NetSupport 악성코드 - ASEC BLOG
NetSupport RAT은 다양한 공격자들에 의해 사용되고 있다. 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일 및 피싱 페이지에서 유포 통해 유포되고 있다. 피싱 페이지에서의 유포 사례는 이전 블로그를 통해 소개된 바 있다. [1] AhnLab Security Emergency response Center(ASEC)은 최근 유포된 스피어 피싱 메일에서…
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2023 NetSupport Malware Distributed via Mail https://asec.ahnlab.com/ko/54901 Report completeness: Low Threats: Netsupportmanager_rat Trojan/js.agent.sc189783 Industry: Transport ChatGPT TTPs: do not use without manual…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: NetSupport RAT - это вредоносная программа, распространяемая через фишинговые электронные письма и маскирующаяся под вложение zip-файла. Она способна загружать дополнительные сценарии PowerShell и выполнять их при загрузке системы, и может быть идентифицирована с помощью Anti-Malware Scan Interface (AMSI).
-----
NetSupport RAT - это вредоносная программа, которая распространяется через фишинговые электронные письма. Эти письма обычно имеют форму счетов, отгрузочных документов и заказов на поставку и предназначены для того, чтобы обманом заставить жертву загрузить вредоносный код. Вредоносный JavaScript маскируется под вложение файла scan16431643.zip. После открытия вредоносный код получает доступ к серверу C2, загружает дополнительные сценарии PowerShell и выполняет их.
Сценарий PowerShell загружает NetSupport RAT, создает его в папке TimeUTCSync_(случайное число) в локальном подпункте %Appdata%, создает его с именем файла client32.exe и регистрирует его для автоматического выполнения при загрузке системы. Anti-Malware Scan Interface (AMSI) может быть использован для сбора расшифрованных данных, таких как команды PowerShell и адреса C2 из вредоносного JavaScript.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: NetSupport RAT - это вредоносная программа, распространяемая через фишинговые электронные письма и маскирующаяся под вложение zip-файла. Она способна загружать дополнительные сценарии PowerShell и выполнять их при загрузке системы, и может быть идентифицирована с помощью Anti-Malware Scan Interface (AMSI).
-----
NetSupport RAT - это вредоносная программа, которая распространяется через фишинговые электронные письма. Эти письма обычно имеют форму счетов, отгрузочных документов и заказов на поставку и предназначены для того, чтобы обманом заставить жертву загрузить вредоносный код. Вредоносный JavaScript маскируется под вложение файла scan16431643.zip. После открытия вредоносный код получает доступ к серверу C2, загружает дополнительные сценарии PowerShell и выполняет их.
Сценарий PowerShell загружает NetSupport RAT, создает его в папке TimeUTCSync_(случайное число) в локальном подпункте %Appdata%, создает его с именем файла client32.exe и регистрирует его для автоматического выполнения при загрузке системы. Anti-Malware Scan Interface (AMSI) может быть использован для сбора расшифрованных данных, таких как команды PowerShell и адреса C2 из вредоносного JavaScript.
#rstcloud
Мы отказались от влияния времени на скоринг HASH, т.е. теперь хэши не устаревают, а их уровень опасности зависит только от:
- консолидированного доверия к приславшим HASH источникам;
- контекста HASH.
С понедельника, публикуемые через наш API HASH-и, будут приходить уже со скорингом, рассчитанным по новым правилам.
Мы отказались от влияния времени на скоринг HASH, т.е. теперь хэши не устаревают, а их уровень опасности зависит только от:
- консолидированного доверия к приславшим HASH источникам;
- контекста HASH.
С понедельника, публикуемые через наш API HASH-и, будут приходить уже со скорингом, рассчитанным по новым правилам.
#ParsedReport #CompletenessLow
03-07-2023
Crysis Threat Actor Installing Venus Ransomware Through RDP
https://asec.ahnlab.com/en/54937
Report completeness: Low
Threats:
Venus_locker
Dharma
Mimikatz_tool
Passview_tool
Vncpassview_tool
Bulletspassview_tool
Routerpassview_tool
Messenpass_tool
Ransomware/win.venus.c5220541
Trojan/win32.rl_mimikatz.r281240
Trojan/win32.rl_mimikatz.r364133
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m2255
Ransom/mdp.event.m1785
Victims:
Externally exposed remote desktop services
ChatGPT TTPs:
T1078, T1021, T1015
IOCs:
File: 23
Email: 3
Command: 2
Hash: 16
Soft:
remote desktop services, windows explorer, onenote, outlook, thebat64, wordpad, bcdedit
Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, mydesktopqos, mydesktopservice, ocautoupds, ocomm, have more...
Platforms:
x64
03-07-2023
Crysis Threat Actor Installing Venus Ransomware Through RDP
https://asec.ahnlab.com/en/54937
Report completeness: Low
Threats:
Venus_locker
Dharma
Mimikatz_tool
Passview_tool
Vncpassview_tool
Bulletspassview_tool
Routerpassview_tool
Messenpass_tool
Ransomware/win.venus.c5220541
Trojan/win32.rl_mimikatz.r281240
Trojan/win32.rl_mimikatz.r364133
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m2255
Ransom/mdp.event.m1785
Victims:
Externally exposed remote desktop services
ChatGPT TTPs:
do not use without manual checkT1078, T1021, T1015
IOCs:
File: 23
Email: 3
Command: 2
Hash: 16
Soft:
remote desktop services, windows explorer, onenote, outlook, thebat64, wordpad, bcdedit
Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, mydesktopqos, mydesktopservice, ocautoupds, ocomm, have more...
Platforms:
x64
ASEC
Crysis Threat Actor Installing Venus Ransomware Through RDP - ASEC
AhnLab Security Emergency response Center (ASEC) has recently discovered that the Crysis ransomware’s threat actor is also using the Venus ransomware in the attacks. Crysis and Venus are both major ransomware types known to target externally exposed remote…
CTT Report Hub
#ParsedReport #CompletenessLow 03-07-2023 Crysis Threat Actor Installing Venus Ransomware Through RDP https://asec.ahnlab.com/en/54937 Report completeness: Low Threats: Venus_locker Dharma Mimikatz_tool Passview_tool Vncpassview_tool Bulletspassview_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации лаборатории безопасности AhnLab (ASEC) недавно обнаружил, что угрожающий субъект использует вымогательское ПО Crysis и Venus для атак на внешние службы удаленного рабочего стола. Чтобы предотвратить подобные атаки, пользователям следует отключать RDP, когда он не используется, использовать сложные пароли для своих учетных записей и обновить V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.
-----
Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил, что угрожающий субъект использовал вымогательские программы Crysis и Venus для атак на внешние службы удаленного рабочего стола. Журналы инфраструктуры AhnLab Smart Defense (ASD) показывают, что злоумышленник также использовал различные другие инструменты, такие как сканер портов и Mimikatz, для получения доступа к зараженной системе.
Субъекты угроз обычно используют протокол RDP (Remote Desktop Protocol) для сканирования систем, которые разрешают внешний доступ, а затем используют перебор или атаки по словарю для получения доступа к учетным записям со слабыми паролями. Получив учетные данные, они могут использовать RDP для входа в систему и выполнения вредоносных действий. В данном случае объект угрозы использовал RDP для установки программы Venus ransomware, а когда ему не удалось успешно зашифровать систему с помощью Crysis ransomware, он повторил атаку с помощью Venus.
Venus ransomware изменяет рабочий стол и отображает файл README, содержащий сообщение, предупреждающее пользователя о том, что его информация была украдена, а файлы зашифрованы. В нем содержится указание связаться со злоумышленниками в течение 48 часов, чтобы заплатить выкуп.
Для предотвращения подобных атак пользователям следует отключать RDP, когда он не используется, использовать сложные пароли для своих учетных записей и обновлять V3 до последней версии, чтобы предотвратить заражение вредоносным ПО. Кроме того, следует периодически менять пароли для предотвращения атак методом перебора и по словарю. Выполнение этих шагов обеспечит лучшую защиту систем от вымогательского ПО и других вредоносных действий.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации лаборатории безопасности AhnLab (ASEC) недавно обнаружил, что угрожающий субъект использует вымогательское ПО Crysis и Venus для атак на внешние службы удаленного рабочего стола. Чтобы предотвратить подобные атаки, пользователям следует отключать RDP, когда он не используется, использовать сложные пароли для своих учетных записей и обновить V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.
-----
Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил, что угрожающий субъект использовал вымогательские программы Crysis и Venus для атак на внешние службы удаленного рабочего стола. Журналы инфраструктуры AhnLab Smart Defense (ASD) показывают, что злоумышленник также использовал различные другие инструменты, такие как сканер портов и Mimikatz, для получения доступа к зараженной системе.
Субъекты угроз обычно используют протокол RDP (Remote Desktop Protocol) для сканирования систем, которые разрешают внешний доступ, а затем используют перебор или атаки по словарю для получения доступа к учетным записям со слабыми паролями. Получив учетные данные, они могут использовать RDP для входа в систему и выполнения вредоносных действий. В данном случае объект угрозы использовал RDP для установки программы Venus ransomware, а когда ему не удалось успешно зашифровать систему с помощью Crysis ransomware, он повторил атаку с помощью Venus.
Venus ransomware изменяет рабочий стол и отображает файл README, содержащий сообщение, предупреждающее пользователя о том, что его информация была украдена, а файлы зашифрованы. В нем содержится указание связаться со злоумышленниками в течение 48 часов, чтобы заплатить выкуп.
Для предотвращения подобных атак пользователям следует отключать RDP, когда он не используется, использовать сложные пароли для своих учетных записей и обновлять V3 до последней версии, чтобы предотвратить заражение вредоносным ПО. Кроме того, следует периодически менять пароли для предотвращения атак методом перебора и по словарю. Выполнение этих шагов обеспечит лучшую защиту систем от вымогательского ПО и других вредоносных действий.
#ParsedReport #CompletenessMedium
03-07-2023
Analysis of Rekoobe backdoor used in domestic Linux system attacks
https://asec.ahnlab.com/ko/55070
Report completeness: Medium
Actors/Campaigns:
Apt31
Threats:
Rekoobe_rootkit
Supply_chain_technique
Victims:
Domestic companies
Geo:
Korea, Chinese
ChatGPT TTPs:
T1543.001, T1059, T1090, T1064
IOCs:
Hash: 4
Domain: 2
IP: 3
Url: 1
Soft:
wordpress
Algorithms:
xor, aes-128, sha1, hmac
Functions:
strcpy
Languages:
java
Platforms:
x64, x86
Links:
03-07-2023
Analysis of Rekoobe backdoor used in domestic Linux system attacks
https://asec.ahnlab.com/ko/55070
Report completeness: Medium
Actors/Campaigns:
Apt31
Threats:
Rekoobe_rootkit
Supply_chain_technique
Victims:
Domestic companies
Geo:
Korea, Chinese
ChatGPT TTPs:
do not use without manual checkT1543.001, T1059, T1090, T1064
IOCs:
Hash: 4
Domain: 2
IP: 3
Url: 1
Soft:
wordpress
Algorithms:
xor, aes-128, sha1, hmac
Functions:
strcpy
Languages:
java
Platforms:
x64, x86
Links:
https://github.com/creaktive/tsh/tree/masterASEC
국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석 - ASEC
Rekoobe은 중국의 APT31 공격 그룹이 사용하고 있는 것으로 알려진 백도어 악성코드이다. AhnLab Security Emergency response Center(ASEC)에서는 수년 전부터 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고 있음에 따라 간략한 분석 정보를 공유한다. 또한 다양한 Rekoobe 변종들을 분류하고 국내 업체들을 대상으로 하는 공격에 사용된 Rekoobe 악성코드들을 함께 정리한다. 1. 개요 Rekoobe은…
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2023 Analysis of Rekoobe backdoor used in domestic Linux system attacks https://asec.ahnlab.com/ko/55070 Report completeness: Medium Actors/Campaigns: Apt31 Threats: Rekoobe_rootkit Supply_chain_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Rekoobe - это вредоносная программа с бэкдором, нацеленная на системы Linux, впервые обнаруженная в 2015 году. Известно, что она используется китайской атакующей группой APT31 и способна загружать вредоносные файлы, красть файлы из системы и выполнять команды с сервера C&C.
-----
Rekoobe - это вредоносная программа-бэкдор, нацеленная на среду Linux, впервые обнаруженная в 2015 году. Известно, что она используется китайской атакующей группой APT31 и способна загружать вредоносные файлы, красть файлы из системы и выполнять команды с C&C-сервера. Rekoobe использует ключ AES-128, который генерируется с помощью алгоритма HMAC SHA1 для шифрования данных при обмене с C&C-сервером. Он также изменяет имя процесса на /bin/bash, чтобы его было трудно распознать.
До недавнего времени было выявлено несколько образцов Rekoobe, которые в основном имеют одинаковую базовую форму, но различаются в связи с C&C-сервером. Некоторые сначала подключаются к жестко закодированному C&C-серверу, а другие открывают порт в виде bind shell и ждут подключения C&C-сервера. Rekoobe предположительно имеет отдельный билдер, так как часто использует строку пароля по умолчанию. Кроме того, он характеризуется тем, что для проверки целостности в большинстве случаев используются одни и те же данные.
Вредоносная программа Rekoobe использовалась в атаках, направленных на домашние системы, и в основном имеет архитектуру x64. Предполагается, что она нацелена на серверы Linux и имеет форму обратной оболочки. Почта и сервисы собираются в относительно одинаковое время, а поскольку пароли, указанные злоумышленниками, практически идентичны, предполагается, что их использовал один и тот же злоумышленник.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Rekoobe - это вредоносная программа с бэкдором, нацеленная на системы Linux, впервые обнаруженная в 2015 году. Известно, что она используется китайской атакующей группой APT31 и способна загружать вредоносные файлы, красть файлы из системы и выполнять команды с сервера C&C.
-----
Rekoobe - это вредоносная программа-бэкдор, нацеленная на среду Linux, впервые обнаруженная в 2015 году. Известно, что она используется китайской атакующей группой APT31 и способна загружать вредоносные файлы, красть файлы из системы и выполнять команды с C&C-сервера. Rekoobe использует ключ AES-128, который генерируется с помощью алгоритма HMAC SHA1 для шифрования данных при обмене с C&C-сервером. Он также изменяет имя процесса на /bin/bash, чтобы его было трудно распознать.
До недавнего времени было выявлено несколько образцов Rekoobe, которые в основном имеют одинаковую базовую форму, но различаются в связи с C&C-сервером. Некоторые сначала подключаются к жестко закодированному C&C-серверу, а другие открывают порт в виде bind shell и ждут подключения C&C-сервера. Rekoobe предположительно имеет отдельный билдер, так как часто использует строку пароля по умолчанию. Кроме того, он характеризуется тем, что для проверки целостности в большинстве случаев используются одни и те же данные.
Вредоносная программа Rekoobe использовалась в атаках, направленных на домашние системы, и в основном имеет архитектуру x64. Предполагается, что она нацелена на серверы Linux и имеет форму обратной оболочки. Почта и сервисы собираются в относительно одинаковое время, а поскольку пароли, указанные злоумышленниками, практически идентичны, предполагается, что их использовал один и тот же злоумышленник.
#ParsedReport #CompletenessMedium
03-07-2023
Multiple New Clipper Malware Variants Discovered in the Wild
https://blog.cyble.com/2023/06/30/multiple-new-clipper-malware-variants-discovered-in-the-wild
Report completeness: Medium
Threats:
Laplasclipper
Iban_clipper
Atlas_clipper
Keyzetsu
Beacon
Victims:
Cryptocurrency users
Industry:
Financial
TTPs:
Tactics: 5
Technics: 14
IOCs:
File: 4
Command: 1
Path: 1
Hash: 3
Soft:
telegram, kmsauto
Algorithms:
base64, gzip, sha256, sha1
Functions:
Decrypt
Win API:
OpenClipboard, GetClipboardData, IsClipboardFormatAvailable, SetClipboardData, CloseClipboard
Win Services:
WebClient
Languages:
golang
03-07-2023
Multiple New Clipper Malware Variants Discovered in the Wild
https://blog.cyble.com/2023/06/30/multiple-new-clipper-malware-variants-discovered-in-the-wild
Report completeness: Medium
Threats:
Laplasclipper
Iban_clipper
Atlas_clipper
Keyzetsu
Beacon
Victims:
Cryptocurrency users
Industry:
Financial
TTPs:
Tactics: 5
Technics: 14
IOCs:
File: 4
Command: 1
Path: 1
Hash: 3
Soft:
telegram, kmsauto
Algorithms:
base64, gzip, sha256, sha1
Functions:
Decrypt
Win API:
OpenClipboard, GetClipboardData, IsClipboardFormatAvailable, SetClipboardData, CloseClipboard
Win Services:
WebClient
Languages:
golang
Cyble
Multiple New Clipper Malware Variants Discovered in the Wild
Cyble analyzes various new Clipper malware variants specifically targeting Cryptocurrency users in the wild.
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2023 Multiple New Clipper Malware Variants Discovered in the Wild https://blog.cyble.com/2023/06/30/multiple-new-clipper-malware-variants-discovered-in-the-wild Report completeness: Medium Threats: Laplasclipper…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносная программа Clipper - это вредоносная программа, которая нацелена на пользователей криптовалют с целью обманом лишить их цифровых активов. Она сопровождается дополнительными вредоносными программами, такими как Coinminer, loaders и stealers, и CRIL будет продолжать отслеживать последние фишинговые или вредоносные штаммы в природе, чтобы защитить пользователей от этих опасных атак.
-----
Вредоносная программа Clipper - это вредоносная программа, направленная на пользователей криптовалют с целью обмана их цифровых активов. Она действует путем перехвата криптовалютных транзакций и замены адреса кошелька жертвы на адрес угрожающих субъектов. Для достижения своей цели вредоносная программа Clipper использует целый ряд методов, таких как мониторинг активности буфера обмена, применение методов анти-анализа и использование каналов Telegram для командно-контрольной связи. Atlas Clipper, Keyzetsu Clipper и KWN Clipper - вот некоторые из различных вариантов вредоносной программы Clipper, обнаруженных в последнее время.
Atlas Clipper стоит 50 долларов и может хранить семь адресов криптокошельков. Он использует мьютекс, чтобы гарантировать, что на машине жертвы будет запущен только один экземпляр вредоносной программы. Для работы с буфером обмена он также использует функции OpenClipboard(), GetClipboardData(), IsClipboardFormatAvailable() и SetClipboardData(). Keyzetsu Clipper может хранить и управлять более чем 12 адресами криптовалютных кошельков и использует канал Telegram для установления связи с ТА. Он извлекает информацию о целевых криптовалютах и связанных с ними регулярных выражениях. Наконец, клиппер KWN использует функции OpenClipboard(), GetClipboardData(), IsClipboardFormatAvailable() и SetClipboardData() для выполнения операций клиппера и отправляет информацию о жертве своему Telegram-боту.
Рост числа вредоносных программ Clipper представляет значительную угрозу для лиц, занимающихся криптовалютной деятельностью, поскольку они нацелены на перехват их транзакций и перенаправление средств на кошельки злоумышленников. Более того, вредоносное ПО Clipper часто сопровождается дополнительными вредоносными программами, такими как Coinminer, loaders и stealers, что еще больше подчеркивает необходимость усиления мер безопасности. Чтобы защитить пользователей от этих опасных атак, CRIL продолжит отслеживать последние фишинговые или вредоносные программы в природе и предоставлять оперативную информацию в блогах.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносная программа Clipper - это вредоносная программа, которая нацелена на пользователей криптовалют с целью обманом лишить их цифровых активов. Она сопровождается дополнительными вредоносными программами, такими как Coinminer, loaders и stealers, и CRIL будет продолжать отслеживать последние фишинговые или вредоносные штаммы в природе, чтобы защитить пользователей от этих опасных атак.
-----
Вредоносная программа Clipper - это вредоносная программа, направленная на пользователей криптовалют с целью обмана их цифровых активов. Она действует путем перехвата криптовалютных транзакций и замены адреса кошелька жертвы на адрес угрожающих субъектов. Для достижения своей цели вредоносная программа Clipper использует целый ряд методов, таких как мониторинг активности буфера обмена, применение методов анти-анализа и использование каналов Telegram для командно-контрольной связи. Atlas Clipper, Keyzetsu Clipper и KWN Clipper - вот некоторые из различных вариантов вредоносной программы Clipper, обнаруженных в последнее время.
Atlas Clipper стоит 50 долларов и может хранить семь адресов криптокошельков. Он использует мьютекс, чтобы гарантировать, что на машине жертвы будет запущен только один экземпляр вредоносной программы. Для работы с буфером обмена он также использует функции OpenClipboard(), GetClipboardData(), IsClipboardFormatAvailable() и SetClipboardData(). Keyzetsu Clipper может хранить и управлять более чем 12 адресами криптовалютных кошельков и использует канал Telegram для установления связи с ТА. Он извлекает информацию о целевых криптовалютах и связанных с ними регулярных выражениях. Наконец, клиппер KWN использует функции OpenClipboard(), GetClipboardData(), IsClipboardFormatAvailable() и SetClipboardData() для выполнения операций клиппера и отправляет информацию о жертве своему Telegram-боту.
Рост числа вредоносных программ Clipper представляет значительную угрозу для лиц, занимающихся криптовалютной деятельностью, поскольку они нацелены на перехват их транзакций и перенаправление средств на кошельки злоумышленников. Более того, вредоносное ПО Clipper часто сопровождается дополнительными вредоносными программами, такими как Coinminer, loaders и stealers, что еще больше подчеркивает необходимость усиления мер безопасности. Чтобы защитить пользователей от этих опасных атак, CRIL продолжит отслеживать последние фишинговые или вредоносные программы в природе и предоставлять оперативную информацию в блогах.
#ParsedReport #CompletenessMedium
03-07-2023
APT Profile: FIN7
https://socradar.io/apt-profile-fin7
Report completeness: Medium
Actors/Campaigns:
Carbanak (motivation: information_theft, cyber_criminal, financially_motivated, cyber_espionage)
Pinchy_spider
Darkside (motivation: cyber_criminal)
Blackmatter
Blackcat
Magecart (motivation: financially_motivated)
Threats:
Carbon
Bateleur
Pillowmint
Jssloader
Revil
Blackbasta
Blackcat
Clop
Badusb_technique
Lizar
Powertrash_tool
Kerberoasting_technique
Industry:
Petroleum, Financial, Energy, Healthcare, Education, Government, Telco, E-commerce, Retail
Geo:
Asia, Russian, American, Mexican
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (11.0.1.1261, 12.0.0.1420)
TTPs:
Tactics: 1
Technics: 31
IOCs:
File: 1
Soft:
microsoft word, microsoft office, outlook, directx, microsoft excel, telegram, windows service
Languages:
jscript, javascript, visual_basic
03-07-2023
APT Profile: FIN7
https://socradar.io/apt-profile-fin7
Report completeness: Medium
Actors/Campaigns:
Carbanak (motivation: information_theft, cyber_criminal, financially_motivated, cyber_espionage)
Pinchy_spider
Darkside (motivation: cyber_criminal)
Blackmatter
Blackcat
Magecart (motivation: financially_motivated)
Threats:
Carbon
Bateleur
Pillowmint
Jssloader
Revil
Blackbasta
Blackcat
Clop
Badusb_technique
Lizar
Powertrash_tool
Kerberoasting_technique
Industry:
Petroleum, Financial, Energy, Healthcare, Education, Government, Telco, E-commerce, Retail
Geo:
Asia, Russian, American, Mexican
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (11.0.1.1261, 12.0.0.1420)
TTPs:
Tactics: 1
Technics: 31
IOCs:
File: 1
Soft:
microsoft word, microsoft office, outlook, directx, microsoft excel, telegram, windows service
Languages:
jscript, javascript, visual_basic
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: FIN7
In the world of cybercrime, a name resounds with an unsettling echo – FIN7. This notorious cyber gang has left its mark on the globe, causing digital chaos
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2023 APT Profile: FIN7 https://socradar.io/apt-profile-fin7 Report completeness: Medium Actors/Campaigns: Carbanak (motivation: information_theft, cyber_criminal, financially_motivated, cyber_espionage) Pinchy_spider…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: FIN7 - это сложная и финансово мотивированная киберпреступная группа, которая действует с 2013 года и похитила миллионы долларов у множества предприятий по всему миру. Они используют различные инструменты и техники для бокового перемещения в сети и сместили акцент с финансовых учреждений на атаки на крупные корпорации с целью получения выкупа. Несмотря на усилия правоохранительных органов и организаций по кибербезопасности, FIN7 остается значительной угрозой для глобальной кибербезопасности.
-----
FIN7 - это сложная и финансово мотивированная киберпреступная группа, действующая с 2013 года. Предполагается, что группировка является российской, а ее методы работы сочетают в себе множество инновационных вредоносных программ, целевые кампании spear-phishing и неумолимое упорство, что делает ее грозным противником. Они похитили миллионы долларов у бесчисленных компаний по всему миру, используя уязвимости и сея страх в отраслях. Основной целью FIN7 является утечка данных, часто включающая конфиденциальную финансовую информацию, например, данные кредитных карт.
FIN7 использует различные инструменты и техники для бокового перемещения в сети. Например, они используют CVE-2017-11882 для эксплуатации уязвимостей в системе получателя. Они также известны использованием пользовательских инструментов, таких как бэкдор Carbanak и вредоносное ПО POS. Чтобы получить доступ к системе, они часто выдают себя за поставщика или клиента.
В 2020 году FIN7 переключила свое внимание с финансовых учреждений на атаки с использованием выкупа на крупные корпорации, используя для своей первой кампании BGH ransomware REvil от PINCHY SPIDER. Они разработали Darkside ransomware, которая следует методу двойного вымогательства и может использоваться в качестве RaaS. После прекращения работы Darkside, FIN7 продолжила свою деятельность, используя различные инструменты и методы, включая BlackMatter, новую программу RaaS. FIN7 была связана с развертыванием программ Black Basta, BlackCat (ALPHV) и Clop Ransomware.
FIN7 имеет широкий спектр целей в различных отраслях, в основном фокусируясь на розничной торговле, ресторанном бизнесе и гостиничном бизнесе. Их жертвами обычно становятся крупные предприятия, иногда даже транснациональные корпорации. Страны, на которые нацеливается FIN7, могут быть выбраны на основании нескольких факторов, таких как возможность получения финансовой выгоды, наличие подходящих целей или ситуация с регулированием и киберзащитой в этих странах.
Кроме того, FIN7 был связан с несколькими другими группами угроз, в частности, с группой Carbanak (также известной как Anunak) и Magecart Group 5. Последние результаты исследований также связывают FIN7 с атаками Clop ransomware.
FIN7 продолжает осуществлять сложные и масштабные кибератаки. Например, в июне 2021 года они атаковали юридическую фирму с помощью поддельной жалобы, которая, как оказалось, принадлежала Brown-Forman Inc., а в 2020 году они рассылали физические письма якобы от Best Buy с подарочной картой на 50 долларов и USB-накопителем. В недавнем отчете говорится о том, что FIN7 атаковала серверы Veeam, используя уязвимость (CVE-2023-27532) в программном обеспечении Veeam Backup & Replication.
Несмотря на значительные усилия правоохранительных органов и организаций по кибербезопасности, FIN7 продолжает представлять значительную угрозу для глобальной кибербезопасности. Их способность адаптироваться и упорство делают их грозным противником. Организации должны укреплять свои защитные механизмы, чтобы защитить себя от угрозы, исходящей от FIN7.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: FIN7 - это сложная и финансово мотивированная киберпреступная группа, которая действует с 2013 года и похитила миллионы долларов у множества предприятий по всему миру. Они используют различные инструменты и техники для бокового перемещения в сети и сместили акцент с финансовых учреждений на атаки на крупные корпорации с целью получения выкупа. Несмотря на усилия правоохранительных органов и организаций по кибербезопасности, FIN7 остается значительной угрозой для глобальной кибербезопасности.
-----
FIN7 - это сложная и финансово мотивированная киберпреступная группа, действующая с 2013 года. Предполагается, что группировка является российской, а ее методы работы сочетают в себе множество инновационных вредоносных программ, целевые кампании spear-phishing и неумолимое упорство, что делает ее грозным противником. Они похитили миллионы долларов у бесчисленных компаний по всему миру, используя уязвимости и сея страх в отраслях. Основной целью FIN7 является утечка данных, часто включающая конфиденциальную финансовую информацию, например, данные кредитных карт.
FIN7 использует различные инструменты и техники для бокового перемещения в сети. Например, они используют CVE-2017-11882 для эксплуатации уязвимостей в системе получателя. Они также известны использованием пользовательских инструментов, таких как бэкдор Carbanak и вредоносное ПО POS. Чтобы получить доступ к системе, они часто выдают себя за поставщика или клиента.
В 2020 году FIN7 переключила свое внимание с финансовых учреждений на атаки с использованием выкупа на крупные корпорации, используя для своей первой кампании BGH ransomware REvil от PINCHY SPIDER. Они разработали Darkside ransomware, которая следует методу двойного вымогательства и может использоваться в качестве RaaS. После прекращения работы Darkside, FIN7 продолжила свою деятельность, используя различные инструменты и методы, включая BlackMatter, новую программу RaaS. FIN7 была связана с развертыванием программ Black Basta, BlackCat (ALPHV) и Clop Ransomware.
FIN7 имеет широкий спектр целей в различных отраслях, в основном фокусируясь на розничной торговле, ресторанном бизнесе и гостиничном бизнесе. Их жертвами обычно становятся крупные предприятия, иногда даже транснациональные корпорации. Страны, на которые нацеливается FIN7, могут быть выбраны на основании нескольких факторов, таких как возможность получения финансовой выгоды, наличие подходящих целей или ситуация с регулированием и киберзащитой в этих странах.
Кроме того, FIN7 был связан с несколькими другими группами угроз, в частности, с группой Carbanak (также известной как Anunak) и Magecart Group 5. Последние результаты исследований также связывают FIN7 с атаками Clop ransomware.
FIN7 продолжает осуществлять сложные и масштабные кибератаки. Например, в июне 2021 года они атаковали юридическую фирму с помощью поддельной жалобы, которая, как оказалось, принадлежала Brown-Forman Inc., а в 2020 году они рассылали физические письма якобы от Best Buy с подарочной картой на 50 долларов и USB-накопителем. В недавнем отчете говорится о том, что FIN7 атаковала серверы Veeam, используя уязвимость (CVE-2023-27532) в программном обеспечении Veeam Backup & Replication.
Несмотря на значительные усилия правоохранительных органов и организаций по кибербезопасности, FIN7 продолжает представлять значительную угрозу для глобальной кибербезопасности. Их способность адаптироваться и упорство делают их грозным противником. Организации должны укреплять свои защитные механизмы, чтобы защитить себя от угрозы, исходящей от FIN7.
#ParsedReport #CompletenessMedium
03-07-2023
Neo_Net \| The Kingpin of Spanish eCrime
https://www.sentinelone.com/blog/neo_net-the-kingpin-of-spanish-ecrime
Report completeness: Medium
Actors/Campaigns:
Leviathan
Threats:
Neo_net_actor
Lizar
Nevada_ransomware
Victims:
Clients of prominent banks, santander, bbva, caixabank, crédit agricole, ing, deutsche bank, national bank of greece, sparkasse, santander uk, bawag p.s.k., ing, bancoestado, scotiabank, banco ripley, banco de chile, banco falabella, banco de crédito e inversiones, ita corpbanca, bancolombia, banco de venezuela, bbva, banco pichincha, zinli, prosperity bank, greater nevada credit union, commbank
Industry:
Financial
Geo:
Mexico, Australia, Spain, Peru, Greece, France, Netherlands, Chilean, Panama, Chile, Colombia, Austria, Ita, Usa, Venezuela, Germany, Ecuador, Spanish, Pol, Deutsche, Poland
TTPs:
IOCs:
Domain: 6
Hash: 38
Soft:
android, telegram
Languages:
php
03-07-2023
Neo_Net \| The Kingpin of Spanish eCrime
https://www.sentinelone.com/blog/neo_net-the-kingpin-of-spanish-ecrime
Report completeness: Medium
Actors/Campaigns:
Leviathan
Threats:
Neo_net_actor
Lizar
Nevada_ransomware
Victims:
Clients of prominent banks, santander, bbva, caixabank, crédit agricole, ing, deutsche bank, national bank of greece, sparkasse, santander uk, bawag p.s.k., ing, bancoestado, scotiabank, banco ripley, banco de chile, banco falabella, banco de crédito e inversiones, ita corpbanca, bancolombia, banco de venezuela, bbva, banco pichincha, zinli, prosperity bank, greater nevada credit union, commbank
Industry:
Financial
Geo:
Mexico, Australia, Spain, Peru, Greece, France, Netherlands, Chilean, Panama, Chile, Colombia, Austria, Ita, Usa, Venezuela, Germany, Ecuador, Spanish, Pol, Deutsche, Poland
TTPs:
IOCs:
Domain: 6
Hash: 38
Soft:
android, telegram
Languages:
php
SentinelOne
Neo_Net | The Kingpin of Spanish eCrime
In this guest post, Pol Thill reveals an extensive cybercrime campaign targeting thousands of clients of 50 major financial services providers.
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2023 Neo_Net \| The Kingpin of Spanish eCrime https://www.sentinelone.com/blog/neo_net-the-kingpin-of-spanish-ecrime Report completeness: Medium Actors/Campaigns: Leviathan Threats: Neo_net_actor Lizar Nevada_ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Neo_Net - успешный субъект киберпреступной угрозы, ответственный за многоступенчатую стратегию атаки, которая привела к краже более 350 000 евро и компрометации личной идентифицируемой информации (PII) тысяч жертв. Данное исследование подчеркивает необходимость бдительности и надежных мер безопасности для защиты учетных данных онлайн-банкинга и PII.
-----
Компании SentinelOne и vx-underground недавно провели первый конкурс Malware Research Challenge, в ходе которого был проведен глубокий анализ киберпреступного агента, известного как Neo_Net. В период с июня 2021 года по апрель 2023 года Neo_Net отвечал за весьма успешную кампанию по борьбе с электронной преступностью, направленную на клиентов известных банков по всему миру, в основном в Испании и Чили. Благодаря многоступенчатой стратегии атаки и целенаправленному использованию фишинговых SMS-сообщений, фишинговых панелей, троянов для Android и программного обеспечения Smishing, Neo_Net удалось похитить более 350 000 евро с банковских счетов жертв и скомпрометировать значительный объем персонально идентифицируемой информации (PII).
Neo_Net является организатором публичного профиля на GitHub, аккаунта в Telegram и платформы Ankarex Smishing-as-a-Service, которая нацелена на девять стран и предлагает на канале Ankarex лиды на продажу, включая имена жертв, адреса электронной почты, IBAN и номера телефонов. Neo_Net был связан с форумом macosfera.com, испаноязычным ИТ-форумом, где его адреса электронной почты были обнаружены в связи с несколькими созданными им фишинговыми панелями, направленными на испанские банки и другие учреждения. В настоящее время он проживает в Мексике и общается преимущественно на испанском языке.
Несмотря на использование в основном несложных инструментов и методов, Neo_Net и его аффилированные лица сумели успешно похитить сотни тысяч евро и скомпрометировать PII тысяч жертв по всему миру. Успех их кампаний может быть объяснен узконаправленным характером их операций: они часто фокусируются на одном банке и копируют свои сообщения, выдавая себя за агентов банка. Кроме того, из-за простоты SMS-шпионского ПО его трудно обнаружить, поскольку оно требует только разрешения на отправку и просмотр SMS-сообщений. Neo_Net также был замечен в повторном использовании скомпрометированной PII для получения дальнейшей прибыли.
Это комплексное исследование глобальной кампании киберпреступности Neo_Net подчеркивает необходимость оставаться бдительными и осведомленными о злоумышленниках и их тактике. Важно использовать надежные меры безопасности, такие как механизмы многофакторной аутентификации (MFA), а также дополнительные меры предосторожности для защиты учетных данных онлайн-банкинга и PII.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Neo_Net - успешный субъект киберпреступной угрозы, ответственный за многоступенчатую стратегию атаки, которая привела к краже более 350 000 евро и компрометации личной идентифицируемой информации (PII) тысяч жертв. Данное исследование подчеркивает необходимость бдительности и надежных мер безопасности для защиты учетных данных онлайн-банкинга и PII.
-----
Компании SentinelOne и vx-underground недавно провели первый конкурс Malware Research Challenge, в ходе которого был проведен глубокий анализ киберпреступного агента, известного как Neo_Net. В период с июня 2021 года по апрель 2023 года Neo_Net отвечал за весьма успешную кампанию по борьбе с электронной преступностью, направленную на клиентов известных банков по всему миру, в основном в Испании и Чили. Благодаря многоступенчатой стратегии атаки и целенаправленному использованию фишинговых SMS-сообщений, фишинговых панелей, троянов для Android и программного обеспечения Smishing, Neo_Net удалось похитить более 350 000 евро с банковских счетов жертв и скомпрометировать значительный объем персонально идентифицируемой информации (PII).
Neo_Net является организатором публичного профиля на GitHub, аккаунта в Telegram и платформы Ankarex Smishing-as-a-Service, которая нацелена на девять стран и предлагает на канале Ankarex лиды на продажу, включая имена жертв, адреса электронной почты, IBAN и номера телефонов. Neo_Net был связан с форумом macosfera.com, испаноязычным ИТ-форумом, где его адреса электронной почты были обнаружены в связи с несколькими созданными им фишинговыми панелями, направленными на испанские банки и другие учреждения. В настоящее время он проживает в Мексике и общается преимущественно на испанском языке.
Несмотря на использование в основном несложных инструментов и методов, Neo_Net и его аффилированные лица сумели успешно похитить сотни тысяч евро и скомпрометировать PII тысяч жертв по всему миру. Успех их кампаний может быть объяснен узконаправленным характером их операций: они часто фокусируются на одном банке и копируют свои сообщения, выдавая себя за агентов банка. Кроме того, из-за простоты SMS-шпионского ПО его трудно обнаружить, поскольку оно требует только разрешения на отправку и просмотр SMS-сообщений. Neo_Net также был замечен в повторном использовании скомпрометированной PII для получения дальнейшей прибыли.
Это комплексное исследование глобальной кампании киберпреступности Neo_Net подчеркивает необходимость оставаться бдительными и осведомленными о злоумышленниках и их тактике. Важно использовать надежные меры безопасности, такие как механизмы многофакторной аутентификации (MFA), а также дополнительные меры предосторожности для защиты учетных данных онлайн-банкинга и PII.
#ParsedReport #CompletenessMedium
03-07-2023
Chinese Threat Actors Targeting Europe in SmugX Campaign
https://research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign
Report completeness: Medium
Actors/Campaigns:
Smugx
Red_delta
Camaro_dragon
Threats:
Html_smuggling_technique
Plugx_rat
Dll_sideloading_technique
Victims:
Foreign affairs ministries and embassies in europe
Industry:
Government
Geo:
Hungary, China, Budapest, Chinese, Swedish, France
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1192, T1007, T1135
IOCs:
File: 9
Url: 1
IP: 5
Path: 5
Hash: 41
Domain: 2
Wallets:
harmony_wallet
Algorithms:
zip, rc4, xor
Languages:
javascript
03-07-2023
Chinese Threat Actors Targeting Europe in SmugX Campaign
https://research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign
Report completeness: Medium
Actors/Campaigns:
Smugx
Red_delta
Camaro_dragon
Threats:
Html_smuggling_technique
Plugx_rat
Dll_sideloading_technique
Victims:
Foreign affairs ministries and embassies in europe
Industry:
Government
Geo:
Hungary, China, Budapest, Chinese, Swedish, France
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1192, T1007, T1135
IOCs:
File: 9
Url: 1
IP: 5
Path: 5
Hash: 41
Domain: 2
Wallets:
harmony_wallet
Algorithms:
zip, rc4, xor
Languages:
javascript
Check Point Research
Chinese Threat Actors Targeting Europe in SmugX Campaign - Check Point Research
Introduction In the last couple of months, Check Point Research (CPR) has been tracking the activity of a Chinese threat actor targeting Foreign Affairs ministries and embassies in Europe. Combined with other Chinese activity previously reported by Check…
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2023 Chinese Threat Actors Targeting Europe in SmugX Campaign https://research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign Report completeness: Medium Actors/Campaigns: Smugx Red_delta…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Check Point Research обнаружила целенаправленную кампанию китайских угроз, использующих технику HTML Smuggling для распространения вредоносного ПО PlugX. Эта кампания имеет общие черты с деятельностью других китайских APT-акторов.-----
Компания Check Point Research недавно обнаружила целевую кампанию, проводимую китайским агентом угроз, направленную на правительственные организации в Европе. Кампания использует технику HTML Smuggling, которая используется для скрытия вредоносной полезной нагрузки внутри HTML-документов, что позволяет обойти сетевые меры обнаружения. После сложной цепочки заражения, включающей архивы или MSI-файлы, атаки внедряют PlugX - имплантат, обычно ассоциируемый с китайскими угрозами. Эта кампания называется SmugX и пересекается с ранее зарегистрированной деятельностью китайских APT-акторов RedDelta и Mustang Panda. Нет достаточных доказательств, чтобы связать эту кампанию непосредственно с Camaro Dragon.
Эта кампания использует несколько цепочек заражения, в которых применяется техника HTML Smuggling, что приводит к развертыванию полезной нагрузки PlugX. Большинство документов содержали дипломатический контент, непосредственно связанный с Китаем, например, письмо из посольства Сербии в Будапеште, документ с изложением приоритетов шведского председательства в Совете Европейского Союза, приглашение на дипломатическую конференцию, выпущенное Министерством иностранных дел Венгрии, и статью о двух китайских адвокатах по правам человека, приговоренных к более чем десятилетнему тюремному заключению.
Злоумышленники также использовали технику удаленного изображения для доступа к URL-адресу, содержащему изображение с одним пикселем. Эта техника, называемая отслеживанием пикселей, обычно используется в качестве разведывательного инструмента. При запросе удаленного изображения сервер злоумышленников регистрирует запрос, получая такую информацию, как IP-адрес, агент пользователя, а иногда и время доступа.
Две основные цепочки заражения происходят из HTML-файла, который сохраняет второй этап в папку Download в соответствии с настройками браузера жертвы. Второй этап может быть разным: в одной цепочке используется ZIP-архив, содержащий вредоносный LNK-файл, а в другой - JavaScript для загрузки MSI-файла с удаленного сервера. В первом сценарии HTML проносит ZIP-архив, содержащий вредоносный LNK-файл, который запускает PowerShell. PowerShell извлекает сжатый архив, встроенный в lnk-файл, и сохраняет его в каталоге %temp%. Архив содержит три файла: Легитимный исполняемый файл, используемый для боковой загрузки полезной нагрузки, вредоносная DLL, загружаемая боком, и полезная нагрузка PlugX. Во втором сценарии HTML Smuggling загружает файл JavaScript, который при выполнении загружает и исполняет MSI-файл с сервера злоумышленника.
PlugX - это инструмент удаленного доступа с модульной структурой, которая позволяет ему выполнять такие вредоносные действия, как кража файлов, захват экрана, регистрация нажатий клавиш и выполнение команд. Для обеспечения живучести полезная нагрузка PlugX копирует легитимную программу и DLL и сохраняет их в скрытом каталоге. Устойчивость вредоносной программы достигается путем добавления легитимной программы в ключ реестра Run. Агент угрозы отправил пакетный сценарий, чтобы стереть все следы своей деятельности.
Кампания SmugX имеет значительное сходство с деятельностью, приписываемой другими поставщиками безопасности RedDelta или Mustang Panda. К ним относятся инфраструктура, пути, целевая направленность и тактика заманивания, используемая в кампании. Вредоносная программа PlugX также практически не изменилась по сравнению с предыдущими появлениями, хотя один новый аспект был замечен - это использование RC4-шифрования полезной нагрузки, что является отходом от ранее использовавшегося XOR-шифрования.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Check Point Research обнаружила целенаправленную кампанию китайских угроз, использующих технику HTML Smuggling для распространения вредоносного ПО PlugX. Эта кампания имеет общие черты с деятельностью других китайских APT-акторов.-----
Компания Check Point Research недавно обнаружила целевую кампанию, проводимую китайским агентом угроз, направленную на правительственные организации в Европе. Кампания использует технику HTML Smuggling, которая используется для скрытия вредоносной полезной нагрузки внутри HTML-документов, что позволяет обойти сетевые меры обнаружения. После сложной цепочки заражения, включающей архивы или MSI-файлы, атаки внедряют PlugX - имплантат, обычно ассоциируемый с китайскими угрозами. Эта кампания называется SmugX и пересекается с ранее зарегистрированной деятельностью китайских APT-акторов RedDelta и Mustang Panda. Нет достаточных доказательств, чтобы связать эту кампанию непосредственно с Camaro Dragon.
Эта кампания использует несколько цепочек заражения, в которых применяется техника HTML Smuggling, что приводит к развертыванию полезной нагрузки PlugX. Большинство документов содержали дипломатический контент, непосредственно связанный с Китаем, например, письмо из посольства Сербии в Будапеште, документ с изложением приоритетов шведского председательства в Совете Европейского Союза, приглашение на дипломатическую конференцию, выпущенное Министерством иностранных дел Венгрии, и статью о двух китайских адвокатах по правам человека, приговоренных к более чем десятилетнему тюремному заключению.
Злоумышленники также использовали технику удаленного изображения для доступа к URL-адресу, содержащему изображение с одним пикселем. Эта техника, называемая отслеживанием пикселей, обычно используется в качестве разведывательного инструмента. При запросе удаленного изображения сервер злоумышленников регистрирует запрос, получая такую информацию, как IP-адрес, агент пользователя, а иногда и время доступа.
Две основные цепочки заражения происходят из HTML-файла, который сохраняет второй этап в папку Download в соответствии с настройками браузера жертвы. Второй этап может быть разным: в одной цепочке используется ZIP-архив, содержащий вредоносный LNK-файл, а в другой - JavaScript для загрузки MSI-файла с удаленного сервера. В первом сценарии HTML проносит ZIP-архив, содержащий вредоносный LNK-файл, который запускает PowerShell. PowerShell извлекает сжатый архив, встроенный в lnk-файл, и сохраняет его в каталоге %temp%. Архив содержит три файла: Легитимный исполняемый файл, используемый для боковой загрузки полезной нагрузки, вредоносная DLL, загружаемая боком, и полезная нагрузка PlugX. Во втором сценарии HTML Smuggling загружает файл JavaScript, который при выполнении загружает и исполняет MSI-файл с сервера злоумышленника.
PlugX - это инструмент удаленного доступа с модульной структурой, которая позволяет ему выполнять такие вредоносные действия, как кража файлов, захват экрана, регистрация нажатий клавиш и выполнение команд. Для обеспечения живучести полезная нагрузка PlugX копирует легитимную программу и DLL и сохраняет их в скрытом каталоге. Устойчивость вредоносной программы достигается путем добавления легитимной программы в ключ реестра Run. Агент угрозы отправил пакетный сценарий, чтобы стереть все следы своей деятельности.
Кампания SmugX имеет значительное сходство с деятельностью, приписываемой другими поставщиками безопасности RedDelta или Mustang Panda. К ним относятся инфраструктура, пути, целевая направленность и тактика заманивания, используемая в кампании. Вредоносная программа PlugX также практически не изменилась по сравнению с предыдущими появлениями, хотя один новый аспект был замечен - это использование RC4-шифрования полезной нагрузки, что является отходом от ранее использовавшегося XOR-шифрования.
#rstcloud
Twitter немного прифигел с изменениями в политике лицензирования своего API.
Пришлось теперь покупать подписку за 100 баксов в мес. Сейчас переписываем наш коннектор, т.к. наш прошлый подход требует подписки за 4200 баксов в мес., а для нас это пока существенная сумма :(
Twitter немного прифигел с изменениями в политике лицензирования своего API.
Пришлось теперь покупать подписку за 100 баксов в мес. Сейчас переписываем наш коннектор, т.к. наш прошлый подход требует подписки за 4200 баксов в мес., а для нас это пока существенная сумма :(
😱5
June's Cyber Battleground: Decoding Ransomware and APT Attacks in Europe
https://threatmon.io/wp-content/uploads/2023/07/junes-cyber-battleground-decoding-ransomware-and-apt-attacks-in-europe.pdf
https://threatmon.io/wp-content/uploads/2023/07/junes-cyber-battleground-decoding-ransomware-and-apt-attacks-in-europe.pdf
#technique
A keystroke logger targeting the Remote Desktop Protocol (RDP) related processes, It utilizes a low-level keyboard input hook, allowing it to record keystrokes in certain contexts (like in mstsc.exe and CredentialUIBroker.exe)
https://github.com/TheD1rkMtr/TakeMyRDP
A keystroke logger targeting the Remote Desktop Protocol (RDP) related processes, It utilizes a low-level keyboard input hook, allowing it to record keystrokes in certain contexts (like in mstsc.exe and CredentialUIBroker.exe)
https://github.com/TheD1rkMtr/TakeMyRDP
GitHub
GitHub - SaadAhla/TakeMyRDP: A keystroke logger targeting the Remote Desktop Protocol (RDP) related processes, It utilizes a low…
A keystroke logger targeting the Remote Desktop Protocol (RDP) related processes, It utilizes a low-level keyboard input hook, allowing it to record keystrokes in certain contexts (like in mstsc.ex...
#technique
A command-line tool for reconnaissance and targeted write operations on Confluence and Jira instances.
https://github.com/werdhaihai/AtlasReaper
A command-line tool for reconnaissance and targeted write operations on Confluence and Jira instances.
https://github.com/werdhaihai/AtlasReaper
GitHub
GitHub - werdhaihai/AtlasReaper: A command-line tool for reconnaissance and targeted write operations on Confluence and Jira instances.
A command-line tool for reconnaissance and targeted write operations on Confluence and Jira instances. - werdhaihai/AtlasReaper