#ParsedReport #CompletenessMedium
06-07-2023
ARCrypt Ransomware Evolves with Multiple TOR Communication Channels
https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels
Report completeness: Medium
Threats:
Arcrypt
Arcrypter
Chilelocker
Avoslocker
Victims:
Windows and linux operating systems
Industry:
Financial
Geo:
Chile
TTPs:
Tactics: 5
Technics: 9
IOCs:
Command: 1
File: 24
Registry: 1
Hash: 5
Soft:
defwatch, onenote, outlook, thebat, wordpad
Crypto:
monero, bitcoin
Algorithms:
sha1, sha256
Win API:
RegCreateKeyA, RegSetValueExA
Win Services:
QBFCService, BackupExecAgentBrowser, YooIT, QBCFMonitorService, BackupExecAgentAccelerator, YooBackup, PDVFSService, AcronisAgent, VSNAPVSS, QuickBooks, have more...
06-07-2023
ARCrypt Ransomware Evolves with Multiple TOR Communication Channels
https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels
Report completeness: Medium
Threats:
Arcrypt
Arcrypter
Chilelocker
Avoslocker
Victims:
Windows and linux operating systems
Industry:
Financial
Geo:
Chile
TTPs:
Tactics: 5
Technics: 9
IOCs:
Command: 1
File: 24
Registry: 1
Hash: 5
Soft:
defwatch, onenote, outlook, thebat, wordpad
Crypto:
monero, bitcoin
Algorithms:
sha1, sha256
Win API:
RegCreateKeyA, RegSetValueExA
Win Services:
QBFCService, BackupExecAgentBrowser, YooIT, QBCFMonitorService, BackupExecAgentAccelerator, YooBackup, PDVFSService, AcronisAgent, VSNAPVSS, QuickBooks, have more...
Cyble
ARCrypt Ransomware Evolves with Multiple TOR Communication Channels
CRIL analyses an updated version of ARCrypt ransomware and an unconventional communication method attackers use.
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2023 ARCrypt Ransomware Evolves with Multiple TOR Communication Channels https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В последней версии программы ARCrypt ransomware появилась заметка о выкупе и новые методы, такие как выплата выкупа в Monero, отказ от вымогательства через сайты утечки информации и использование нового средства связи для каждой жертвы, чтобы сохранить анонимность.
-----
В августе 2022 года появилась программа ARCrypter ransomware, также известная как ChileLocker, которая быстро привлекла к себе внимание после атаки на предприятие в Чили. Этот вариант ransomware нацелен на операционные системы Windows и Linux и способен переименовывать имена зашифрованных файлов с расширением .crYpt вместо расширения .crypt. Эта обновленная версия также включает новую записку о выкупе, в которой говорится, что угрожающие лица (TA), стоящие за этой программой-выкупом, предлагают жертвам скидку, если оплата будет произведена в Monero.
Анализ различных двоичных файлов ARCrypt ransomware показал, что каждая записка о выкупе направляет жертв на различные сайты Tor для связи. Эти сайты являются зеркальными, имеют одинаковый пользовательский интерфейс, но разные URL-адреса. Такой подход позволяет жертвам получить доступ к альтернативному сайту, если один из них становится недоступным. После выполнения программа копирует себя в каталог %TEMP% и присваивает в качестве имени файла случайную шестисимвольную буквенно-цифровую строку. Затем программа запускается из этого каталога и удаляет исходный двоичный файл ransomware.
ARCrypt ransomware также может завершать различные процессы и отключать определенные службы, в том числе связанные с защитой от вредоносного ПО, резервным копированием и восстановлением. Это делается для освобождения системных ресурсов и ускорения процесса шифрования, а также для того, чтобы избежать обнаружения. Программа-вымогатель использует API RegCreateKeyA для открытия ключей реестра в разделе HKEY_LOCAL_MACHINE и API RegSetValueExA для установки значений для определенного ключа, например legalnoticecaption и legalnoticetext.
В последней версии ARCrypt ransomware появилось отдельное уведомление о выкупе, которое имеет лишь некоторые сходства со старым уведомлением о выкупе. Похоже, что TA, стоящая за ARCrypt ransomware, пытается сохранить анонимность, обновляя двоичный файл ransomware и применяя определенные методы, например, предпочитая выплачивать выкуп в Monero, не вымогая деньги у жертв через сайты утечки информации и используя новое средство связи для каждой жертвы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В последней версии программы ARCrypt ransomware появилась заметка о выкупе и новые методы, такие как выплата выкупа в Monero, отказ от вымогательства через сайты утечки информации и использование нового средства связи для каждой жертвы, чтобы сохранить анонимность.
-----
В августе 2022 года появилась программа ARCrypter ransomware, также известная как ChileLocker, которая быстро привлекла к себе внимание после атаки на предприятие в Чили. Этот вариант ransomware нацелен на операционные системы Windows и Linux и способен переименовывать имена зашифрованных файлов с расширением .crYpt вместо расширения .crypt. Эта обновленная версия также включает новую записку о выкупе, в которой говорится, что угрожающие лица (TA), стоящие за этой программой-выкупом, предлагают жертвам скидку, если оплата будет произведена в Monero.
Анализ различных двоичных файлов ARCrypt ransomware показал, что каждая записка о выкупе направляет жертв на различные сайты Tor для связи. Эти сайты являются зеркальными, имеют одинаковый пользовательский интерфейс, но разные URL-адреса. Такой подход позволяет жертвам получить доступ к альтернативному сайту, если один из них становится недоступным. После выполнения программа копирует себя в каталог %TEMP% и присваивает в качестве имени файла случайную шестисимвольную буквенно-цифровую строку. Затем программа запускается из этого каталога и удаляет исходный двоичный файл ransomware.
ARCrypt ransomware также может завершать различные процессы и отключать определенные службы, в том числе связанные с защитой от вредоносного ПО, резервным копированием и восстановлением. Это делается для освобождения системных ресурсов и ускорения процесса шифрования, а также для того, чтобы избежать обнаружения. Программа-вымогатель использует API RegCreateKeyA для открытия ключей реестра в разделе HKEY_LOCAL_MACHINE и API RegSetValueExA для установки значений для определенного ключа, например legalnoticecaption и legalnoticetext.
В последней версии ARCrypt ransomware появилось отдельное уведомление о выкупе, которое имеет лишь некоторые сходства со старым уведомлением о выкупе. Похоже, что TA, стоящая за ARCrypt ransomware, пытается сохранить анонимность, обновляя двоичный файл ransomware и применяя определенные методы, например, предпочитая выплачивать выкуп в Monero, не вымогая деньги у жертв через сайты утечки информации и используя новое средство связи для каждой жертвы.
#ParsedReport #CompletenessLow
06-07-2023
Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks
https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks
Report completeness: Low
Actors/Campaigns:
Brainleeches
Iconburst
Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique
Victims:
Microsoft 365 users
Industry:
Petroleum
ChatGPT TTPs:
T1078, T1134, T1136, T1497, T1566.001, T1566.002, T1566.003, T1566.004, T1566.005
IOCs:
File: 7
Url: 1
IP: 1
Hash: 14
Languages:
javascript
06-07-2023
Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks
https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks
Report completeness: Low
Actors/Campaigns:
Brainleeches
Iconburst
Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique
Victims:
Microsoft 365 users
Industry:
Petroleum
ChatGPT TTPs:
do not use without manual checkT1078, T1134, T1136, T1497, T1566.001, T1566.002, T1566.003, T1566.004, T1566.005
IOCs:
File: 7
Url: 1
IP: 1
Hash: 14
Languages:
javascript
ReversingLabs
Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks
“Write once, infect everywhere” might be the new cybercrime motto, with newly discovered campaigns showing malicious npm packages powering phishing kits and supply chain attacks.
CTT Report Hub
#ParsedReport #CompletenessLow 06-07-2023 Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----
Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.
Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.
Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.
Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----
Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.
Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.
Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.
Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.
#ParsedReport #CompletenessLow
05-07-2023
WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal
https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal
Report completeness: Low
Threats:
Wise_remote_stealer
Victims:
Individuals, enterprises, financial institutions, and critical infrastructure
Industry:
Transport, Financial, Energy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...
IOCs:
Domain: 1
IP: 1
Soft:
telegram, discord
Languages:
python
05-07-2023
WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal
https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal
Report completeness: Low
Threats:
Wise_remote_stealer
Victims:
Individuals, enterprises, financial institutions, and critical infrastructure
Industry:
Transport, Financial, Energy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...
IOCs:
Domain: 1
IP: 1
Soft:
telegram, discord
Languages:
python
CYFIRMA
WISE REMOTE Stealer Unleashed : Unveiling Its Multifaceted Malicious Arsenal - CYFIRMA
EXECUTIVE SUMMARY Information stealers remain an enduring and evolving security concern for individuals and organizations alike. CYFIRMA’s Research team has...
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2023 WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----
WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.
Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.
Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.
Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.
Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----
WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.
Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.
Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.
Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.
Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.
#ParsedReport #CompletenessMedium
06-07-2023
What s up with Emotet?
https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet
Report completeness: Medium
Actors/Campaigns:
Mummyspider
Threats:
Emotet
Qakbot
Passview_tool
Nltest_tool
Victims:
Individuals, companies and organizations
Industry:
Telco, Financial
Geo:
Africa, Spain, Mexico, Colombia, Indonesia, Japan, Korea, Italy, Thailand, Brasil, Ukraine, Usa
TTPs:
Tactics: 8
Technics: 23
IOCs:
File: 1
Path: 3
Hash: 9
IP: 130
Soft:
google chrome, microsoft word, microsoft excel, onenote, outlook
Algorithms:
ecdh, zip, aes
Win API:
GetTickCount
Languages:
visual_basic
Platforms:
x86, x64
06-07-2023
What s up with Emotet?
https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet
Report completeness: Medium
Actors/Campaigns:
Mummyspider
Threats:
Emotet
Qakbot
Passview_tool
Nltest_tool
Victims:
Individuals, companies and organizations
Industry:
Telco, Financial
Geo:
Africa, Spain, Mexico, Colombia, Indonesia, Japan, Korea, Italy, Thailand, Brasil, Ukraine, Usa
TTPs:
Tactics: 8
Technics: 23
IOCs:
File: 1
Path: 3
Hash: 9
IP: 130
Soft:
google chrome, microsoft word, microsoft excel, onenote, outlook
Algorithms:
ecdh, zip, aes
Win API:
GetTickCount
Languages:
visual_basic
Platforms:
x86, x64
Welivesecurity
What’s up with Emotet?
A brief summary of what happened with Emotet since its comeback in November 2021
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2023 What s up with Emotet? https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet Report completeness: Medium Actors/Campaigns: Mummyspider Threats: Emotet Qakbot Passview_tool Nltest_tool Victims: Individuals…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Emotet - это опасное вредоносное ПО, которое активно с 2014 года и эволюционировало, став более сложным для обнаружения и отслеживания. Он неактивен с апреля 2023 года, но важно сохранять бдительность на случай его повторного появления.
-----
С момента своего первого появления в 2014 году Emotet стал одной из самых распространенных и опасных вредоносных угроз во всем мире. В 2021 году он был уничтожен в результате многонациональных усилий, координируемых Евроюстом и Европолом. Однако вскоре, в ноябре 2021 года, угроза появилась вновь, запустив многочисленные спам-кампании, а также множество новых модулей, обновлений и обфускаций. Ее операторы приложили немало усилий, чтобы избежать обнаружения и мониторинга, и некоторые слухи говорят о том, что одна или обе эпохи ботнета могли быть проданы в январе 2023 года.
С момента своего появления операторы Emotet использовали в качестве основного вектора атаки вредоносные документы Microsoft Word и Excel со встроенными макросами VBA. В июле 2022 года компания Microsoft отключила макросы VBA в документах, полученных из Интернета, что привело к резкому снижению числа компрометаций Emotet. С тех пор ботнет протестировал несколько различных путей проникновения и методов социальной инженерии, таких как документы Word, замаскированные под счета, файлы OneNote со встроенными VBScripts и документ Word со встроенным вредоносным макросом VBA.
Чтобы оставаться прибыльной и распространенной, компания Mealybug, создавшая Emotet, внедрила множество новых модулей. Они включают защитные механизмы, более эффективное распространение вредоносной программы и модули для кражи информации, такие как Thunderbird Email Stealer и Thunderbird Contact Stealer, MailPassView Stealer и Google Chrome Credit Card Stealer. Кроме того, Emotet перешел на криптографию Elliptic curve для своей асимметричной схемы и добавил обфускации, методы рандомизации и 64-битные архитектуры в свое вредоносное ПО.
Чтобы отслеживать и отличать реальных жертв от исследователей или песочниц, Mealybug также разработал два новых модуля: Systeminfo и Hardwareinfo. Первый собирает системную информацию, такую как версия ОС, установленные приложения и учетные записи пользователей, а второй - аппаратную информацию, такую как тип процессора, оперативная память и объем накопителя.
С начала апреля 2023 года Emotet неактивен, скорее всего, из-за того, что не смог найти новый эффективный вектор атаки. Пока неясно, управляет ли ботнетом та же группа или кто-то другой. Несмотря на это, Emotet снова и снова демонстрирует свою эффективность и устойчивость, поэтому необходимо следить за его развитием и быть готовым к его повторному появлению.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Emotet - это опасное вредоносное ПО, которое активно с 2014 года и эволюционировало, став более сложным для обнаружения и отслеживания. Он неактивен с апреля 2023 года, но важно сохранять бдительность на случай его повторного появления.
-----
С момента своего первого появления в 2014 году Emotet стал одной из самых распространенных и опасных вредоносных угроз во всем мире. В 2021 году он был уничтожен в результате многонациональных усилий, координируемых Евроюстом и Европолом. Однако вскоре, в ноябре 2021 года, угроза появилась вновь, запустив многочисленные спам-кампании, а также множество новых модулей, обновлений и обфускаций. Ее операторы приложили немало усилий, чтобы избежать обнаружения и мониторинга, и некоторые слухи говорят о том, что одна или обе эпохи ботнета могли быть проданы в январе 2023 года.
С момента своего появления операторы Emotet использовали в качестве основного вектора атаки вредоносные документы Microsoft Word и Excel со встроенными макросами VBA. В июле 2022 года компания Microsoft отключила макросы VBA в документах, полученных из Интернета, что привело к резкому снижению числа компрометаций Emotet. С тех пор ботнет протестировал несколько различных путей проникновения и методов социальной инженерии, таких как документы Word, замаскированные под счета, файлы OneNote со встроенными VBScripts и документ Word со встроенным вредоносным макросом VBA.
Чтобы оставаться прибыльной и распространенной, компания Mealybug, создавшая Emotet, внедрила множество новых модулей. Они включают защитные механизмы, более эффективное распространение вредоносной программы и модули для кражи информации, такие как Thunderbird Email Stealer и Thunderbird Contact Stealer, MailPassView Stealer и Google Chrome Credit Card Stealer. Кроме того, Emotet перешел на криптографию Elliptic curve для своей асимметричной схемы и добавил обфускации, методы рандомизации и 64-битные архитектуры в свое вредоносное ПО.
Чтобы отслеживать и отличать реальных жертв от исследователей или песочниц, Mealybug также разработал два новых модуля: Systeminfo и Hardwareinfo. Первый собирает системную информацию, такую как версия ОС, установленные приложения и учетные записи пользователей, а второй - аппаратную информацию, такую как тип процессора, оперативная память и объем накопителя.
С начала апреля 2023 года Emotet неактивен, скорее всего, из-за того, что не смог найти новый эффективный вектор атаки. Пока неясно, управляет ли ботнетом та же группа или кто-то другой. Несмотря на это, Emotet снова и снова демонстрирует свою эффективность и устойчивость, поэтому необходимо следить за его развитием и быть готовым к его повторному появлению.
#ParsedReport #CompletenessHigh
06-07-2023
Increased Truebot Activity Infects U.S. and Canada Based Networks
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a
Report completeness: High
Actors/Campaigns:
Fin11
Threats:
Truebot
Clop
Flawedgrace_rat
Beacon
Cobalt_strike
Junk_code_technique
Raspberry_robin
Icedid
Bumblebee
Passthehash_technique
Credential_dumping_technique
Teleport_tool
Lumma_stealer
Secretsdump_tool
Dll_sideloading_technique
Process_injection_technique
Tnega
Carbon
Victims:
Organizations in the us and canada
Industry:
Government
Geo:
Russia, Canadian, Panama, Canada
CVEs:
CVE-2022-3199 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.125)
- fedoraproject fedora (37)
CVE-2022-31199 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- netwrix auditor (<10.5)
TTPs:
Tactics: 2
Technics: 37
IOCs:
File: 10
IP: 11
Url: 14
Domain: 26
Path: 2
Hash: 46
Soft:
google chrome, remote desktop services, windows powershell, windows registry, psexec, local security authority, active directory
Algorithms:
sha1, base64, aes, sha256
Win API:
GetNativeSystemInfo, RtlGetVersion
YARA: Found
Links:
06-07-2023
Increased Truebot Activity Infects U.S. and Canada Based Networks
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a
Report completeness: High
Actors/Campaigns:
Fin11
Threats:
Truebot
Clop
Flawedgrace_rat
Beacon
Cobalt_strike
Junk_code_technique
Raspberry_robin
Icedid
Bumblebee
Passthehash_technique
Credential_dumping_technique
Teleport_tool
Lumma_stealer
Secretsdump_tool
Dll_sideloading_technique
Process_injection_technique
Tnega
Carbon
Victims:
Organizations in the us and canada
Industry:
Government
Geo:
Russia, Canadian, Panama, Canada
CVEs:
CVE-2022-3199 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.125)
- fedoraproject fedora (37)
CVE-2022-31199 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- netwrix auditor (<10.5)
TTPs:
Tactics: 2
Technics: 37
IOCs:
File: 10
IP: 11
Url: 14
Domain: 26
Path: 2
Hash: 46
Soft:
google chrome, remote desktop services, windows powershell, windows registry, psexec, local security authority, active directory
Algorithms:
sha1, base64, aes, sha256
Win API:
GetNativeSystemInfo, RtlGetVersion
YARA: Found
Links:
https://github.com/cisagov/Decider/https://github.com/The-DFIR-Report/Yara-Rules/blob/main/21619/21619.yarVulners Database
CVE-2022-3199- vulnerability database |...
Use after free in Frames in Google Chrome prior to 105.0.5195.125 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity:...
CTT Report Hub
#ParsedReport #CompletenessHigh 06-07-2023 Increased Truebot Activity Infects U.S. and Canada Based Networks https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a Report completeness: High Actors/Campaigns: Fin11 Threats: Truebot Clop Flawedgrace_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CISA, ФБР, MS-ISAC и CCCS выпустили рекомендацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации, убедиться, что все исправления поставщиков обновлены, и отслеживать подозрительную активность в своих системах.
-----
CISA, ФБР, MS-ISAC и CCCS выпустили консультацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Основным способом доставки Truebot являются вредоносные фишинговые письма, которые используют CVE-2022-31199 в программном обеспечении Netwrix Auditor. Truebot используется для утечки данных с целью получения финансовой выгоды и способен внедрять маячки в память, устанавливать командно-контрольное соединение и загружать дополнительные вредоносные модули.
Truebot способен проверить версию ОС системы, архитектуру процессора, перечислить запущенные процессы, собрать конфиденциальные данные локального узла, обнаружить протоколы безопасности программного обеспечения и метрики системного времени. Он создает тринадцатисимвольный глобально уникальный идентификатор (GUID) и отправляет имя компьютера и домена, а также GUID на жестко закодированный URL в POST-запросе для установления C2-соединения. Это соединение позволяет Truebot получать дополнительную полезную нагрузку, самовоспроизводиться и удалять файлы. Truebot был замечен в распространении FlawedGrace через фишинговые кампании, использовании инструмента удаленного доступа Cobalt Strike и развертывании пользовательского инструмента эксфильтрации данных под названием Teleport.
Для защиты от вредоносного ПО Truebot организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации. Они также должны убедиться, что все исправления поставщиков обновлены, и следить за подозрительной активностью в своих системах. Наконец, организациям следует сообщать о любой подозрительной активности в CISA или ФБР.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: CISA, ФБР, MS-ISAC и CCCS выпустили рекомендацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации, убедиться, что все исправления поставщиков обновлены, и отслеживать подозрительную активность в своих системах.
-----
CISA, ФБР, MS-ISAC и CCCS выпустили консультацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Основным способом доставки Truebot являются вредоносные фишинговые письма, которые используют CVE-2022-31199 в программном обеспечении Netwrix Auditor. Truebot используется для утечки данных с целью получения финансовой выгоды и способен внедрять маячки в память, устанавливать командно-контрольное соединение и загружать дополнительные вредоносные модули.
Truebot способен проверить версию ОС системы, архитектуру процессора, перечислить запущенные процессы, собрать конфиденциальные данные локального узла, обнаружить протоколы безопасности программного обеспечения и метрики системного времени. Он создает тринадцатисимвольный глобально уникальный идентификатор (GUID) и отправляет имя компьютера и домена, а также GUID на жестко закодированный URL в POST-запросе для установления C2-соединения. Это соединение позволяет Truebot получать дополнительную полезную нагрузку, самовоспроизводиться и удалять файлы. Truebot был замечен в распространении FlawedGrace через фишинговые кампании, использовании инструмента удаленного доступа Cobalt Strike и развертывании пользовательского инструмента эксфильтрации данных под названием Teleport.
Для защиты от вредоносного ПО Truebot организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации. Они также должны убедиться, что все исправления поставщиков обновлены, и следить за подозрительной активностью в своих системах. Наконец, организациям следует сообщать о любой подозрительной активности в CISA или ФБР.
#rstcloud
Прилетело письмо:
You now have access to the GPT-4 API.
Будем тестить и переводить генератор summary на 4-ку.
Прилетело письмо:
You now have access to the GPT-4 API.
Будем тестить и переводить генератор summary на 4-ку.
#rstcloud
GPT-4 также часто ошибается при определении номера TTP по описанию, как и 3.5. Без дообучения 4-ка тоже не фонтан в этой задаче.
GPT-4 также часто ошибается при определении номера TTP по описанию, как и 3.5. Без дообучения 4-ка тоже не фонтан в этой задаче.
#ParsedReport #CompletenessMedium
07-07-2023
Tailing Big Head Ransomware s Variants, Tactics, and Impact
https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html
Report completeness: Medium
Threats:
Big_head_ransomware
Worldwind
Neshta
Geo:
Ukrainian, Georgian, Russian, Belarusian
IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2
Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx
Crypto:
bitcoin
Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip
Functions:
CreateMutex, SelfDelete
Win API:
ShowWindow, LockFile
Languages:
php, python, java
Platforms:
x86
Links:
07-07-2023
Tailing Big Head Ransomware s Variants, Tactics, and Impact
https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html
Report completeness: Medium
Threats:
Big_head_ransomware
Worldwind
Neshta
Geo:
Ukrainian, Georgian, Russian, Belarusian
IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2
Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx
Crypto:
bitcoin
Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip
Functions:
CreateMutex, SelfDelete
Win API:
ShowWindow, LockFile
Languages:
php, python, java
Platforms:
x86
Links:
https://github.com/Leecher21/WorldWind-StealerTrend Micro
Tailing Big Head Ransomware’s Variants, Tactics, and Impact
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2023 Tailing Big Head Ransomware s Variants, Tactics, and Impact https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html Report completeness: Medium Threats: B…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----
Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.
Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.
Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----
Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.
Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.
Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.
#ParsedReport #CompletenessMedium
06-07-2023
Kimsuky Threat Group Exploting Chrome Remote Desktop
https://asec.ahnlab.com/en/55145
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010
Victims:
Korean users
Industry:
Energy
Geo:
Korean, Korea
IOCs:
Command: 4
Path: 9
File: 7
Url: 3
Hash: 5
Soft:
chrome, google chrome, microsoft edge, remote desktop services
Platforms:
x64, x86
06-07-2023
Kimsuky Threat Group Exploting Chrome Remote Desktop
https://asec.ahnlab.com/en/55145
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010
Victims:
Korean users
Industry:
Energy
Geo:
Korean, Korea
IOCs:
Command: 4
Path: 9
File: 7
Url: 3
Hash: 5
Soft:
chrome, google chrome, microsoft edge, remote desktop services
Platforms:
x64, x86
ASEC
Kimsuky Threat Group Using Chrome Remote Desktop - ASEC
Kimsuky Threat Group Using Chrome Remote Desktop ASEC
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2023 Kimsuky Threat Group Exploting Chrome Remote Desktop https://asec.ahnlab.com/en/55145 Report completeness: Medium Actors/Campaigns: Kimsuky Threats: Meterpreter_tool Appleseed Mimikatz_tool Tinynuke Tightvnc_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Группа эксплуатирует Chrome Remote Desktop и использует вредоносное ПО AppleSeed, infostealers, RDP Patcher и Ngrok для кражи учетных данных и информации. Они также используют службу удаленного рабочего стола RDP в Windows и Google Chrome.
-----
APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, эксплуатирующую Chrome Remote Desktop. В процессе распространения вредоносного ПО группа в основном использует файлы документов HWP и MS Office или файлы CHM, а также скрипты WSF или JS с файлами, замаскированными под файлы документов.
Вредоносное ПО, установленное APT-группой Kimsuky, - AppleSeed, вредоносная программа типа бэкдор, обнаруженная с 2019 года. Он поддерживает различные функции, такие как выполнение команд с C&C-сервера, установка дополнительного вредоносного ПО, кейлоггинг, захват скриншотов и кража файлов. Используются две версии AppleSeed, обе из которых используют протокол HTTP для связи с C&C-сервером. После установки AppleSeed группа обычно устанавливает Infostealers, RDP Patcher и Ngrok.
Infostealers используется для сбора учетных данных из браузеров Google Chrome, Microsoft Edge и Naver Whale. RDP Patcher - тип вредоносного ПО, специализирующийся на исправлении памяти для нескольких сеансов RDP. Ngrok - программа туннелирования, которая открывает доступ к системам в среде NAT извне.
APT-группа Kimsuky постоянно проводит фишинговые атаки на корейских пользователей, и известно, что они используют службу удаленного рабочего стола RDP, включенную в Windows по умолчанию. Недавно были выявлены случаи использования функции удаленного рабочего стола в Google Chrome.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Группа эксплуатирует Chrome Remote Desktop и использует вредоносное ПО AppleSeed, infostealers, RDP Patcher и Ngrok для кражи учетных данных и информации. Они также используют службу удаленного рабочего стола RDP в Windows и Google Chrome.
-----
APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, эксплуатирующую Chrome Remote Desktop. В процессе распространения вредоносного ПО группа в основном использует файлы документов HWP и MS Office или файлы CHM, а также скрипты WSF или JS с файлами, замаскированными под файлы документов.
Вредоносное ПО, установленное APT-группой Kimsuky, - AppleSeed, вредоносная программа типа бэкдор, обнаруженная с 2019 года. Он поддерживает различные функции, такие как выполнение команд с C&C-сервера, установка дополнительного вредоносного ПО, кейлоггинг, захват скриншотов и кража файлов. Используются две версии AppleSeed, обе из которых используют протокол HTTP для связи с C&C-сервером. После установки AppleSeed группа обычно устанавливает Infostealers, RDP Patcher и Ngrok.
Infostealers используется для сбора учетных данных из браузеров Google Chrome, Microsoft Edge и Naver Whale. RDP Patcher - тип вредоносного ПО, специализирующийся на исправлении памяти для нескольких сеансов RDP. Ngrok - программа туннелирования, которая открывает доступ к системам в среде NAT извне.
APT-группа Kimsuky постоянно проводит фишинговые атаки на корейских пользователей, и известно, что они используют службу удаленного рабочего стола RDP, включенную в Windows по умолчанию. Недавно были выявлены случаи использования функции удаленного рабочего стола в Google Chrome.
#ParsedReport #CompletenessHigh
07-07-2023
The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region
https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region
Report completeness: High
Threats:
Toitoin
Krita_loader
Uac_bypass_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique
Dll_sideloading_technique
Victims:
A prominent investment banking company in latin america
Industry:
Education, Financial
Geo:
America, Latam, American
TTPs:
Tactics: 1
Technics: 10
IOCs:
File: 12
Url: 11
Domain: 3
Path: 3
Hash: 10
Soft:
curl, windows search, winlogon, process explorer, internet explorer, chrome, opera, mozilla firefox, microsoft edge
Algorithms:
base64, xor, zip, exhibit
Functions:
getenv, OpenMutexA
Win API:
GetComputerNameA, InternetOpenUrlA, InternetReadFile, LoadLibraryA, GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetEnvironmentVariableW, have more...
Languages:
php
Platforms:
x64
07-07-2023
The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region
https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region
Report completeness: High
Threats:
Toitoin
Krita_loader
Uac_bypass_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique
Dll_sideloading_technique
Victims:
A prominent investment banking company in latin america
Industry:
Education, Financial
Geo:
America, Latam, American
TTPs:
Tactics: 1
Technics: 10
IOCs:
File: 12
Url: 11
Domain: 3
Path: 3
Hash: 10
Soft:
curl, windows search, winlogon, process explorer, internet explorer, chrome, opera, mozilla firefox, microsoft edge
Algorithms:
base64, xor, zip, exhibit
Functions:
getenv, OpenMutexA
Win API:
GetComputerNameA, InternetOpenUrlA, InternetReadFile, LoadLibraryA, GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetEnvironmentVariableW, have more...
Languages:
php
Platforms:
x64
Zscaler
TOITOIN Trojan: A New Multi-Stage Attack Targeting LATAM
Zscaler ThreatLabz recently uncovered a new targeted multi-staged attack campaign striking businesses in the LATAM region delivering the TOITOIN Trojan
👍1
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2023 The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Кампания вредоносного ПО TOITOIN является передовой постоянной угрозой, направленной на предприятия в регионе LATAM.
-----
Вредоносная кампания TOITOIN - это современная постоянная угроза, направленная на предприятия в регионе Латинской Америки (LATAM). В атаке используется многоступенчатая цепочка заражения, включающая обманчивые фишинговые письма, специально созданные модули и различные техники уклонения. Она начинается с модуля-загрузчика, который загружает дальнейшие стадии вредоносного ПО, обходит песочницы путем перезагрузки системы и сохраняет устойчивость с помощью LNK-файлов. Затем DLL Krita Loader загружается через подписанный двоичный файл, который загружает модуль InjectorDLL. Этот модуль внедряет ElevateInjectorDLL в удаленные процессы, такие как explorer.exe. ElevateInjectorDLL обходит "песочницы" и выполняет углубление процесса для внедрения троянца TOITOIN или модуля BypassUAC в зависимости от привилегий процесса. Модуль BypassUAC использует COM elevation Moniker для обхода User Account Control и выполнения Krita Loader с привилегиями администратора.
Троянец TOITOIN использует пользовательскую XOR-дешифровку для декодирования своего конфигурационного файла, содержащего URL-адрес командно-контрольного сервера. Он передает на C&C-сервер закодированную системную информацию, сведения об установленных браузерах и модуле защиты Topaz OFD. В отсутствие конфигурационного файла информация отправляется через POST-запрос с использованием curl.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Кампания вредоносного ПО TOITOIN является передовой постоянной угрозой, направленной на предприятия в регионе LATAM.
-----
Вредоносная кампания TOITOIN - это современная постоянная угроза, направленная на предприятия в регионе Латинской Америки (LATAM). В атаке используется многоступенчатая цепочка заражения, включающая обманчивые фишинговые письма, специально созданные модули и различные техники уклонения. Она начинается с модуля-загрузчика, который загружает дальнейшие стадии вредоносного ПО, обходит песочницы путем перезагрузки системы и сохраняет устойчивость с помощью LNK-файлов. Затем DLL Krita Loader загружается через подписанный двоичный файл, который загружает модуль InjectorDLL. Этот модуль внедряет ElevateInjectorDLL в удаленные процессы, такие как explorer.exe. ElevateInjectorDLL обходит "песочницы" и выполняет углубление процесса для внедрения троянца TOITOIN или модуля BypassUAC в зависимости от привилегий процесса. Модуль BypassUAC использует COM elevation Moniker для обхода User Account Control и выполнения Krita Loader с привилегиями администратора.
Троянец TOITOIN использует пользовательскую XOR-дешифровку для декодирования своего конфигурационного файла, содержащего URL-адрес командно-контрольного сервера. Он передает на C&C-сервер закодированную системную информацию, сведения об установленных браузерах и модуле защиты Topaz OFD. В отсутствие конфигурационного файла информация отправляется через POST-запрос с использованием curl.