#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление вымогательского ПО Underground Team вызывает беспокойство, поскольку оно представляет собой новый вид вымогательского ПО и нацелено на конкретных жертв. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.
-----

Появление программы-вымогателя Underground Team вызывает беспокойство, поскольку она представляет собой новый вид вымогательского ПО. CRIL идентифицировал эту программу, которая представляет собой 64-битное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицированное по хэш-значению SHA256 d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666. Программа-вымогатель использует API-функцию ShellExecuteW() для выполнения команд и вредоносных действий. Он помещает записку с требованием выкупа под названием !!readme!!!.txt в несколько папок в системе и выборочно исключает определенные имена и расширения файлов из процесса шифрования.

Записка с требованием выкупа в программе Underground Team ransomware содержит такие новаторские элементы, как гарантия честной и конфиденциальной сделки в короткие сроки, а также представление информации об уязвимостях сети и рекомендации по информационной безопасности. Это указывает на то, что атака могла быть адаптирована и направлена на конкретные цели, намекая на целенаправленную атаку. Он также создает CMD-файл с именем temp.cmd и выполняет его, чтобы уничтожить любые доказательства своей деятельности и скрыть выполнение вредоносных действий на целевой системе. Кроме того, в записке о выкупе содержатся инструкции для жертв связаться с TAs для получения помощи в восстановлении зашифрованных файлов или для выплаты выкупа.

В настоящее время конкретные жертвы, на которых нацелена эта программа-вымогатель, неизвестны, а случаев утечки данных, связанных с этой программой-вымогателем, на момент написания статьи не было. Несмотря на это, киберпреступники все чаще шифруют файлы и допускают утечку данных, что позволяет им легко вымогать деньги у жертв. Поэтому важно скептически относиться к любым заявлениям о помощи, поскольку ТП в первую очередь руководствуются финансовой выгодой, и их истинные намерения могут не совпадать с интересами жертв.

CRIL активно следит за появлением кампаний по борьбе с вымогательством, чтобы читатели были в курсе последних событий. Обнаружение вымогательской программы Underground Team подчеркивает необходимость бдительности при столкновении с такими угрозами и растущую изощренность атак вымогателей. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.

#ParsedReport #CompletenessMedium
06-07-2023

ARCrypt Ransomware Evolves with Multiple TOR Communication Channels

https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels

Report completeness: Medium

Threats:
Arcrypt
Arcrypter
Chilelocker
Avoslocker

Victims:
Windows and linux operating systems

Industry:
Financial

Geo:
Chile

TTPs:
Tactics: 5
Technics: 9

IOCs:
Command: 1
File: 24
Registry: 1
Hash: 5

Soft:
defwatch, onenote, outlook, thebat, wordpad

Crypto:
monero, bitcoin

Algorithms:
sha1, sha256

Win API:
RegCreateKeyA, RegSetValueExA

Win Services:
QBFCService, BackupExecAgentBrowser, YooIT, QBCFMonitorService, BackupExecAgentAccelerator, YooBackup, PDVFSService, AcronisAgent, VSNAPVSS, QuickBooks, have more...

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В последней версии программы ARCrypt ransomware появилась заметка о выкупе и новые методы, такие как выплата выкупа в Monero, отказ от вымогательства через сайты утечки информации и использование нового средства связи для каждой жертвы, чтобы сохранить анонимность.
-----

В августе 2022 года появилась программа ARCrypter ransomware, также известная как ChileLocker, которая быстро привлекла к себе внимание после атаки на предприятие в Чили. Этот вариант ransomware нацелен на операционные системы Windows и Linux и способен переименовывать имена зашифрованных файлов с расширением .crYpt вместо расширения .crypt. Эта обновленная версия также включает новую записку о выкупе, в которой говорится, что угрожающие лица (TA), стоящие за этой программой-выкупом, предлагают жертвам скидку, если оплата будет произведена в Monero.

Анализ различных двоичных файлов ARCrypt ransomware показал, что каждая записка о выкупе направляет жертв на различные сайты Tor для связи. Эти сайты являются зеркальными, имеют одинаковый пользовательский интерфейс, но разные URL-адреса. Такой подход позволяет жертвам получить доступ к альтернативному сайту, если один из них становится недоступным. После выполнения программа копирует себя в каталог %TEMP% и присваивает в качестве имени файла случайную шестисимвольную буквенно-цифровую строку. Затем программа запускается из этого каталога и удаляет исходный двоичный файл ransomware.

ARCrypt ransomware также может завершать различные процессы и отключать определенные службы, в том числе связанные с защитой от вредоносного ПО, резервным копированием и восстановлением. Это делается для освобождения системных ресурсов и ускорения процесса шифрования, а также для того, чтобы избежать обнаружения. Программа-вымогатель использует API RegCreateKeyA для открытия ключей реестра в разделе HKEY_LOCAL_MACHINE и API RegSetValueExA для установки значений для определенного ключа, например legalnoticecaption и legalnoticetext.

В последней версии ARCrypt ransomware появилось отдельное уведомление о выкупе, которое имеет лишь некоторые сходства со старым уведомлением о выкупе. Похоже, что TA, стоящая за ARCrypt ransomware, пытается сохранить анонимность, обновляя двоичный файл ransomware и применяя определенные методы, например, предпочитая выплачивать выкуп в Monero, не вымогая деньги у жертв через сайты утечки информации и используя новое средство связи для каждой жертвы.

#ParsedReport #CompletenessLow
06-07-2023

Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks

https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks

Report completeness: Low

Actors/Campaigns:
Brainleeches
Iconburst

Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Microsoft 365 users

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1078, T1134, T1136, T1497, T1566.001, T1566.002, T1566.003, T1566.004, T1566.005

IOCs:
File: 7
Url: 1
IP: 1
Hash: 14

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----

Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.

Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.

Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.

Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.

#ParsedReport #CompletenessLow
05-07-2023

WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal

https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal

Report completeness: Low

Threats:
Wise_remote_stealer

Victims:
Individuals, enterprises, financial institutions, and critical infrastructure

Industry:
Transport, Financial, Energy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...

IOCs:
Domain: 1
IP: 1

Soft:
telegram, discord

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----

WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.

Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.

Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.

Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.

Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.

#ParsedReport #CompletenessMedium
06-07-2023

What s up with Emotet?

https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet

Report completeness: Medium

Actors/Campaigns:
Mummyspider

Threats:
Emotet
Qakbot
Passview_tool
Nltest_tool

Victims:
Individuals, companies and organizations

Industry:
Telco, Financial

Geo:
Africa, Spain, Mexico, Colombia, Indonesia, Japan, Korea, Italy, Thailand, Brasil, Ukraine, Usa

TTPs:
Tactics: 8
Technics: 23

IOCs:
File: 1
Path: 3
Hash: 9
IP: 130

Soft:
google chrome, microsoft word, microsoft excel, onenote, outlook

Algorithms:
ecdh, zip, aes

Win API:
GetTickCount

Languages:
visual_basic

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Emotet - это опасное вредоносное ПО, которое активно с 2014 года и эволюционировало, став более сложным для обнаружения и отслеживания. Он неактивен с апреля 2023 года, но важно сохранять бдительность на случай его повторного появления.
-----

С момента своего первого появления в 2014 году Emotet стал одной из самых распространенных и опасных вредоносных угроз во всем мире. В 2021 году он был уничтожен в результате многонациональных усилий, координируемых Евроюстом и Европолом. Однако вскоре, в ноябре 2021 года, угроза появилась вновь, запустив многочисленные спам-кампании, а также множество новых модулей, обновлений и обфускаций. Ее операторы приложили немало усилий, чтобы избежать обнаружения и мониторинга, и некоторые слухи говорят о том, что одна или обе эпохи ботнета могли быть проданы в январе 2023 года.

С момента своего появления операторы Emotet использовали в качестве основного вектора атаки вредоносные документы Microsoft Word и Excel со встроенными макросами VBA. В июле 2022 года компания Microsoft отключила макросы VBA в документах, полученных из Интернета, что привело к резкому снижению числа компрометаций Emotet. С тех пор ботнет протестировал несколько различных путей проникновения и методов социальной инженерии, таких как документы Word, замаскированные под счета, файлы OneNote со встроенными VBScripts и документ Word со встроенным вредоносным макросом VBA.

Чтобы оставаться прибыльной и распространенной, компания Mealybug, создавшая Emotet, внедрила множество новых модулей. Они включают защитные механизмы, более эффективное распространение вредоносной программы и модули для кражи информации, такие как Thunderbird Email Stealer и Thunderbird Contact Stealer, MailPassView Stealer и Google Chrome Credit Card Stealer. Кроме того, Emotet перешел на криптографию Elliptic curve для своей асимметричной схемы и добавил обфускации, методы рандомизации и 64-битные архитектуры в свое вредоносное ПО.

Чтобы отслеживать и отличать реальных жертв от исследователей или песочниц, Mealybug также разработал два новых модуля: Systeminfo и Hardwareinfo. Первый собирает системную информацию, такую как версия ОС, установленные приложения и учетные записи пользователей, а второй - аппаратную информацию, такую как тип процессора, оперативная память и объем накопителя.

С начала апреля 2023 года Emotet неактивен, скорее всего, из-за того, что не смог найти новый эффективный вектор атаки. Пока неясно, управляет ли ботнетом та же группа или кто-то другой. Несмотря на это, Emotet снова и снова демонстрирует свою эффективность и устойчивость, поэтому необходимо следить за его развитием и быть готовым к его повторному появлению.

#ParsedReport #CompletenessHigh
06-07-2023

Increased Truebot Activity Infects U.S. and Canada Based Networks

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a

Report completeness: High

Actors/Campaigns:
Fin11

Threats:
Truebot
Clop
Flawedgrace_rat
Beacon
Cobalt_strike
Junk_code_technique
Raspberry_robin
Icedid
Bumblebee
Passthehash_technique
Credential_dumping_technique
Teleport_tool
Lumma_stealer
Secretsdump_tool
Dll_sideloading_technique
Process_injection_technique
Tnega
Carbon

Victims:
Organizations in the us and canada

Industry:
Government

Geo:
Russia, Canadian, Panama, Canada

CVEs:
CVE-2022-3199 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.125)
- fedoraproject fedora (37)

CVE-2022-31199 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- netwrix auditor (<10.5)


TTPs:
Tactics: 2
Technics: 37

IOCs:
File: 10
IP: 11
Url: 14
Domain: 26
Path: 2
Hash: 46

Soft:
google chrome, remote desktop services, windows powershell, windows registry, psexec, local security authority, active directory

Algorithms:
sha1, base64, aes, sha256

Win API:
GetNativeSystemInfo, RtlGetVersion

YARA: Found

Links:
https://github.com/cisagov/Decider/
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/21619/21619.yar

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CISA, ФБР, MS-ISAC и CCCS выпустили рекомендацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации, убедиться, что все исправления поставщиков обновлены, и отслеживать подозрительную активность в своих системах.
-----

CISA, ФБР, MS-ISAC и CCCS выпустили консультацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Основным способом доставки Truebot являются вредоносные фишинговые письма, которые используют CVE-2022-31199 в программном обеспечении Netwrix Auditor. Truebot используется для утечки данных с целью получения финансовой выгоды и способен внедрять маячки в память, устанавливать командно-контрольное соединение и загружать дополнительные вредоносные модули.

Truebot способен проверить версию ОС системы, архитектуру процессора, перечислить запущенные процессы, собрать конфиденциальные данные локального узла, обнаружить протоколы безопасности программного обеспечения и метрики системного времени. Он создает тринадцатисимвольный глобально уникальный идентификатор (GUID) и отправляет имя компьютера и домена, а также GUID на жестко закодированный URL в POST-запросе для установления C2-соединения. Это соединение позволяет Truebot получать дополнительную полезную нагрузку, самовоспроизводиться и удалять файлы. Truebot был замечен в распространении FlawedGrace через фишинговые кампании, использовании инструмента удаленного доступа Cobalt Strike и развертывании пользовательского инструмента эксфильтрации данных под названием Teleport.

Для защиты от вредоносного ПО Truebot организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации. Они также должны убедиться, что все исправления поставщиков обновлены, и следить за подозрительной активностью в своих системах. Наконец, организациям следует сообщать о любой подозрительной активности в CISA или ФБР.

#rstcloud
Прилетело письмо:
You now have access to the GPT-4 API.

Будем тестить и переводить генератор summary на 4-ку.

#rstcloud
GPT-4 также часто ошибается при определении номера TTP по описанию, как и 3.5. Без дообучения 4-ка тоже не фонтан в этой задаче.

#ParsedReport #CompletenessMedium
07-07-2023

Tailing Big Head Ransomware s Variants, Tactics, and Impact

https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html

Report completeness: Medium

Threats:
Big_head_ransomware
Worldwind
Neshta

Geo:
Ukrainian, Georgian, Russian, Belarusian

IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2

Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx

Crypto:
bitcoin

Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip

Functions:
CreateMutex, SelfDelete

Win API:
ShowWindow, LockFile

Languages:
php, python, java

Platforms:
x86

Links:
https://github.com/Leecher21/WorldWind-Stealer

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 3, code: 14, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----

Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.

Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.

Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.

#ParsedReport #CompletenessMedium
06-07-2023

Kimsuky Threat Group Exploting Chrome Remote Desktop

https://asec.ahnlab.com/en/55145

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010

Victims:
Korean users

Industry:
Energy

Geo:
Korean, Korea

IOCs:
Command: 4
Path: 9
File: 7
Url: 3
Hash: 5

Soft:
chrome, google chrome, microsoft edge, remote desktop services

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Группа эксплуатирует Chrome Remote Desktop и использует вредоносное ПО AppleSeed, infostealers, RDP Patcher и Ngrok для кражи учетных данных и информации. Они также используют службу удаленного рабочего стола RDP в Windows и Google Chrome.
-----

APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, эксплуатирующую Chrome Remote Desktop. В процессе распространения вредоносного ПО группа в основном использует файлы документов HWP и MS Office или файлы CHM, а также скрипты WSF или JS с файлами, замаскированными под файлы документов.

Вредоносное ПО, установленное APT-группой Kimsuky, - AppleSeed, вредоносная программа типа бэкдор, обнаруженная с 2019 года. Он поддерживает различные функции, такие как выполнение команд с C&C-сервера, установка дополнительного вредоносного ПО, кейлоггинг, захват скриншотов и кража файлов. Используются две версии AppleSeed, обе из которых используют протокол HTTP для связи с C&C-сервером. После установки AppleSeed группа обычно устанавливает Infostealers, RDP Patcher и Ngrok.

Infostealers используется для сбора учетных данных из браузеров Google Chrome, Microsoft Edge и Naver Whale. RDP Patcher - тип вредоносного ПО, специализирующийся на исправлении памяти для нескольких сеансов RDP. Ngrok - программа туннелирования, которая открывает доступ к системам в среде NAT извне.

APT-группа Kimsuky постоянно проводит фишинговые атаки на корейских пользователей, и известно, что они используют службу удаленного рабочего стола RDP, включенную в Windows по умолчанию. Недавно были выявлены случаи использования функции удаленного рабочего стола в Google Chrome.

#ParsedReport #CompletenessHigh
07-07-2023

The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region

https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region

Report completeness: High

Threats:
Toitoin
Krita_loader
Uac_bypass_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique
Dll_sideloading_technique

Victims:
A prominent investment banking company in latin america

Industry:
Education, Financial

Geo:
America, Latam, American

TTPs:
Tactics: 1
Technics: 10

IOCs:
File: 12
Url: 11
Domain: 3
Path: 3
Hash: 10

Soft:
curl, windows search, winlogon, process explorer, internet explorer, chrome, opera, mozilla firefox, microsoft edge

Algorithms:
base64, xor, zip, exhibit

Functions:
getenv, OpenMutexA

Win API:
GetComputerNameA, InternetOpenUrlA, InternetReadFile, LoadLibraryA, GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetEnvironmentVariableW, have more...

Languages:
php

Platforms:
x64