#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----

Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.

Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.

Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.

Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.

#ParsedReport #CompletenessLow
05-07-2023

WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal

https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal

Report completeness: Low

Threats:
Wise_remote_stealer

Victims:
Individuals, enterprises, financial institutions, and critical infrastructure

Industry:
Transport, Financial, Energy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...

IOCs:
Domain: 1
IP: 1

Soft:
telegram, discord

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----

WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.

Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.

Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.

Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.

Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.

#ParsedReport #CompletenessMedium
06-07-2023

What s up with Emotet?

https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet

Report completeness: Medium

Actors/Campaigns:
Mummyspider

Threats:
Emotet
Qakbot
Passview_tool
Nltest_tool

Victims:
Individuals, companies and organizations

Industry:
Telco, Financial

Geo:
Africa, Spain, Mexico, Colombia, Indonesia, Japan, Korea, Italy, Thailand, Brasil, Ukraine, Usa

TTPs:
Tactics: 8
Technics: 23

IOCs:
File: 1
Path: 3
Hash: 9
IP: 130

Soft:
google chrome, microsoft word, microsoft excel, onenote, outlook

Algorithms:
ecdh, zip, aes

Win API:
GetTickCount

Languages:
visual_basic

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Emotet - это опасное вредоносное ПО, которое активно с 2014 года и эволюционировало, став более сложным для обнаружения и отслеживания. Он неактивен с апреля 2023 года, но важно сохранять бдительность на случай его повторного появления.
-----

С момента своего первого появления в 2014 году Emotet стал одной из самых распространенных и опасных вредоносных угроз во всем мире. В 2021 году он был уничтожен в результате многонациональных усилий, координируемых Евроюстом и Европолом. Однако вскоре, в ноябре 2021 года, угроза появилась вновь, запустив многочисленные спам-кампании, а также множество новых модулей, обновлений и обфускаций. Ее операторы приложили немало усилий, чтобы избежать обнаружения и мониторинга, и некоторые слухи говорят о том, что одна или обе эпохи ботнета могли быть проданы в январе 2023 года.

С момента своего появления операторы Emotet использовали в качестве основного вектора атаки вредоносные документы Microsoft Word и Excel со встроенными макросами VBA. В июле 2022 года компания Microsoft отключила макросы VBA в документах, полученных из Интернета, что привело к резкому снижению числа компрометаций Emotet. С тех пор ботнет протестировал несколько различных путей проникновения и методов социальной инженерии, таких как документы Word, замаскированные под счета, файлы OneNote со встроенными VBScripts и документ Word со встроенным вредоносным макросом VBA.

Чтобы оставаться прибыльной и распространенной, компания Mealybug, создавшая Emotet, внедрила множество новых модулей. Они включают защитные механизмы, более эффективное распространение вредоносной программы и модули для кражи информации, такие как Thunderbird Email Stealer и Thunderbird Contact Stealer, MailPassView Stealer и Google Chrome Credit Card Stealer. Кроме того, Emotet перешел на криптографию Elliptic curve для своей асимметричной схемы и добавил обфускации, методы рандомизации и 64-битные архитектуры в свое вредоносное ПО.

Чтобы отслеживать и отличать реальных жертв от исследователей или песочниц, Mealybug также разработал два новых модуля: Systeminfo и Hardwareinfo. Первый собирает системную информацию, такую как версия ОС, установленные приложения и учетные записи пользователей, а второй - аппаратную информацию, такую как тип процессора, оперативная память и объем накопителя.

С начала апреля 2023 года Emotet неактивен, скорее всего, из-за того, что не смог найти новый эффективный вектор атаки. Пока неясно, управляет ли ботнетом та же группа или кто-то другой. Несмотря на это, Emotet снова и снова демонстрирует свою эффективность и устойчивость, поэтому необходимо следить за его развитием и быть готовым к его повторному появлению.

#ParsedReport #CompletenessHigh
06-07-2023

Increased Truebot Activity Infects U.S. and Canada Based Networks

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a

Report completeness: High

Actors/Campaigns:
Fin11

Threats:
Truebot
Clop
Flawedgrace_rat
Beacon
Cobalt_strike
Junk_code_technique
Raspberry_robin
Icedid
Bumblebee
Passthehash_technique
Credential_dumping_technique
Teleport_tool
Lumma_stealer
Secretsdump_tool
Dll_sideloading_technique
Process_injection_technique
Tnega
Carbon

Victims:
Organizations in the us and canada

Industry:
Government

Geo:
Russia, Canadian, Panama, Canada

CVEs:
CVE-2022-3199 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.125)
- fedoraproject fedora (37)

CVE-2022-31199 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- netwrix auditor (<10.5)


TTPs:
Tactics: 2
Technics: 37

IOCs:
File: 10
IP: 11
Url: 14
Domain: 26
Path: 2
Hash: 46

Soft:
google chrome, remote desktop services, windows powershell, windows registry, psexec, local security authority, active directory

Algorithms:
sha1, base64, aes, sha256

Win API:
GetNativeSystemInfo, RtlGetVersion

YARA: Found

Links:
https://github.com/cisagov/Decider/
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/21619/21619.yar

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CISA, ФБР, MS-ISAC и CCCS выпустили рекомендацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации, убедиться, что все исправления поставщиков обновлены, и отслеживать подозрительную активность в своих системах.
-----

CISA, ФБР, MS-ISAC и CCCS выпустили консультацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Основным способом доставки Truebot являются вредоносные фишинговые письма, которые используют CVE-2022-31199 в программном обеспечении Netwrix Auditor. Truebot используется для утечки данных с целью получения финансовой выгоды и способен внедрять маячки в память, устанавливать командно-контрольное соединение и загружать дополнительные вредоносные модули.

Truebot способен проверить версию ОС системы, архитектуру процессора, перечислить запущенные процессы, собрать конфиденциальные данные локального узла, обнаружить протоколы безопасности программного обеспечения и метрики системного времени. Он создает тринадцатисимвольный глобально уникальный идентификатор (GUID) и отправляет имя компьютера и домена, а также GUID на жестко закодированный URL в POST-запросе для установления C2-соединения. Это соединение позволяет Truebot получать дополнительную полезную нагрузку, самовоспроизводиться и удалять файлы. Truebot был замечен в распространении FlawedGrace через фишинговые кампании, использовании инструмента удаленного доступа Cobalt Strike и развертывании пользовательского инструмента эксфильтрации данных под названием Teleport.

Для защиты от вредоносного ПО Truebot организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации. Они также должны убедиться, что все исправления поставщиков обновлены, и следить за подозрительной активностью в своих системах. Наконец, организациям следует сообщать о любой подозрительной активности в CISA или ФБР.

#rstcloud
Прилетело письмо:
You now have access to the GPT-4 API.

Будем тестить и переводить генератор summary на 4-ку.

#rstcloud
GPT-4 также часто ошибается при определении номера TTP по описанию, как и 3.5. Без дообучения 4-ка тоже не фонтан в этой задаче.

#ParsedReport #CompletenessMedium
07-07-2023

Tailing Big Head Ransomware s Variants, Tactics, and Impact

https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html

Report completeness: Medium

Threats:
Big_head_ransomware
Worldwind
Neshta

Geo:
Ukrainian, Georgian, Russian, Belarusian

IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2

Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx

Crypto:
bitcoin

Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip

Functions:
CreateMutex, SelfDelete

Win API:
ShowWindow, LockFile

Languages:
php, python, java

Platforms:
x86

Links:
https://github.com/Leecher21/WorldWind-Stealer

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 3, code: 14, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----

Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.

Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.

Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.

#ParsedReport #CompletenessMedium
06-07-2023

Kimsuky Threat Group Exploting Chrome Remote Desktop

https://asec.ahnlab.com/en/55145

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010

Victims:
Korean users

Industry:
Energy

Geo:
Korean, Korea

IOCs:
Command: 4
Path: 9
File: 7
Url: 3
Hash: 5

Soft:
chrome, google chrome, microsoft edge, remote desktop services

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Группа эксплуатирует Chrome Remote Desktop и использует вредоносное ПО AppleSeed, infostealers, RDP Patcher и Ngrok для кражи учетных данных и информации. Они также используют службу удаленного рабочего стола RDP в Windows и Google Chrome.
-----

APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, эксплуатирующую Chrome Remote Desktop. В процессе распространения вредоносного ПО группа в основном использует файлы документов HWP и MS Office или файлы CHM, а также скрипты WSF или JS с файлами, замаскированными под файлы документов.

Вредоносное ПО, установленное APT-группой Kimsuky, - AppleSeed, вредоносная программа типа бэкдор, обнаруженная с 2019 года. Он поддерживает различные функции, такие как выполнение команд с C&C-сервера, установка дополнительного вредоносного ПО, кейлоггинг, захват скриншотов и кража файлов. Используются две версии AppleSeed, обе из которых используют протокол HTTP для связи с C&C-сервером. После установки AppleSeed группа обычно устанавливает Infostealers, RDP Patcher и Ngrok.

Infostealers используется для сбора учетных данных из браузеров Google Chrome, Microsoft Edge и Naver Whale. RDP Patcher - тип вредоносного ПО, специализирующийся на исправлении памяти для нескольких сеансов RDP. Ngrok - программа туннелирования, которая открывает доступ к системам в среде NAT извне.

APT-группа Kimsuky постоянно проводит фишинговые атаки на корейских пользователей, и известно, что они используют службу удаленного рабочего стола RDP, включенную в Windows по умолчанию. Недавно были выявлены случаи использования функции удаленного рабочего стола в Google Chrome.

#ParsedReport #CompletenessHigh
07-07-2023

The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region

https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region

Report completeness: High

Threats:
Toitoin
Krita_loader
Uac_bypass_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique
Dll_sideloading_technique

Victims:
A prominent investment banking company in latin america

Industry:
Education, Financial

Geo:
America, Latam, American

TTPs:
Tactics: 1
Technics: 10

IOCs:
File: 12
Url: 11
Domain: 3
Path: 3
Hash: 10

Soft:
curl, windows search, winlogon, process explorer, internet explorer, chrome, opera, mozilla firefox, microsoft edge

Algorithms:
base64, xor, zip, exhibit

Functions:
getenv, OpenMutexA

Win API:
GetComputerNameA, InternetOpenUrlA, InternetReadFile, LoadLibraryA, GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetEnvironmentVariableW, have more...

Languages:
php

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Кампания вредоносного ПО TOITOIN является передовой постоянной угрозой, направленной на предприятия в регионе LATAM.
-----

Вредоносная кампания TOITOIN - это современная постоянная угроза, направленная на предприятия в регионе Латинской Америки (LATAM). В атаке используется многоступенчатая цепочка заражения, включающая обманчивые фишинговые письма, специально созданные модули и различные техники уклонения. Она начинается с модуля-загрузчика, который загружает дальнейшие стадии вредоносного ПО, обходит песочницы путем перезагрузки системы и сохраняет устойчивость с помощью LNK-файлов. Затем DLL Krita Loader загружается через подписанный двоичный файл, который загружает модуль InjectorDLL. Этот модуль внедряет ElevateInjectorDLL в удаленные процессы, такие как explorer.exe. ElevateInjectorDLL обходит "песочницы" и выполняет углубление процесса для внедрения троянца TOITOIN или модуля BypassUAC в зависимости от привилегий процесса. Модуль BypassUAC использует COM elevation Moniker для обхода User Account Control и выполнения Krita Loader с привилегиями администратора.

Троянец TOITOIN использует пользовательскую XOR-дешифровку для декодирования своего конфигурационного файла, содержащего URL-адрес командно-контрольного сервера. Он передает на C&C-сервер закодированную системную информацию, сведения об установленных браузерах и модуле защиты Topaz OFD. В отсутствие конфигурационного файла информация отправляется через POST-запрос с использованием curl.

#ParsedReport #CompletenessMedium
07-07-2023

. Miner mining Trojan activity analysis

https://www.antiy.cn/research/notice&report/research_report/aminer_Analysis.html

Report completeness: Medium

Threats:
Netstat_tool
Shellbot
Beacon

Victims:
Linux platform

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 5
IP: 4
Hash: 5
Url: 5

Soft:
redis, crontab, curl, sudo

Crypto:
monero

Languages:
perl

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT выявил партию активных образцов троянских коней для майнинга под названием "aminer" и разработал карту ATT&CK для детализации полного процесса запуска злоумышленниками троянских программ для майнинга.
-----

Недавно Antiy CERT выявил партию активных образцов троянского коня для майнинга, который он назвал "aminer", по имени файла майнинга, загружаемого в его начальном сценарии. Было проверено, что Linux-версия системы Intelligent Endpoint Protection System (IEP) компании Antiy может обнаружить и уничтожить майнера.

Начальный сценарий атаки троянца miner состоит из инструкций по записи на указанные адреса DNS-серверов, установке инструментов и библиотек, загрузке и выполнению файла install.tgz и загрузке файла miner.gz. Install.tgz содержит вредоносные файлы с теми же именами, что и системные файлы, такие как top, который добавляет открытые ключи SSH, заменяет top, netstat и crontab, выполняет irc-клиент для создания бэкдора и фильтрует сетевые соединения с номерами портов 20 и 43. ns2.jpg - это ShellBot, написанный на языке Perl, который подключается к irc-серверу (irc.tung-shu.cf), номер порта - 20, а канал - #ROOT. Сжатый пакет Miner.gz содержит программы майнинга для двух архитектур операционных систем. Стартовый скрипт создает службу для сохранения и запускает программу майнинга для выполнения майнинга. Адреса DNS-серверов, используемых для атаки, включают "114.114.114.114", "114.114.115.115", "8.8.8.8", "1.1.1.1".

Вредоносная учетная запись позволяет пользователю daemon выполнять любую команду без ввода пароля. Операционную систему необходимо перезагрузить, поскольку вредоносный код выполняется в памяти, но не приземлился. Поскольку троянец-майнер заменяет top, netstat и другие файлы в операционной системе, вредоносно замененные файлы будут удалены в плане очистки, и при необходимости эти команды нужно будет установить заново.

Antiy CERT разработал карту ATT&CK, детализирующую полный процесс запуска злоумышленниками майнинговых троянцев. Согласно карте, сначала злоумышленник использует SSH и перебор слабых паролей Redis для атаки на платформу Linux, затем загружает вредоносные файлы с именами, похожими на системные файлы, такие как top, для добавления открытых ключей SSH и замены top, netstat и crontab. После этого используется IRC-клиент для создания бэкдора, а сетевые соединения с номерами портов 20 и 43 фильтруются. Создается вредоносная учетная запись, позволяющая пользователю daemon выполнять любые команды без ввода пароля, после чего загружаются и запускаются программы для майнинга.

#ParsedReport #CompletenessLow
07-07-2023

. Analysis of Clipboard Hijacker Propagated Through Pirated System Mirror Resources

https://www.antiy.cn/research/notice&report/research_report/Torrent_Analysis.html

Report completeness: Low

Threats:
Beacon
Process_injection_technique

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 4
Path: 5
Coin: 3
Hash: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT обнаружил атакующие действия, распространяемые через зеркальные сайты загрузки, где злоумышленники прячут вредоносные файлы в системе и используют их для перевода средств на свои счета. Пользователям важно понимать риски, связанные с бесплатными ресурсами, и использовать официальные каналы для получения образов системы.
-----

Недавно Antiy CERT обнаружил атакующие действия, распространяемые через зеркальные сайты загрузки. Злоумышленники используют вредоносные программы для заражения операционных систем Windows, маскируя их под внешне чистые системы путем размещения Torrent-ресурсов на зеркальных сайтах загрузки. Злоумышленники заранее прячут вредоносные файлы по указанному пути, которые затем выполняются через запланированные задачи. Чтобы избежать обнаружения продуктами безопасности, они используют системный раздел EFI, монтируя его и копируя на него оставшиеся вредоносные файлы. Вредоносная программа маскируется под легитимную программу в операционной системе, а ее цифровая подпись недействительна. Кроме того, она сканирует процессы, запущенные в текущей системе, на наличие определенных инструментов безопасности.

Вредоносная программа внедряет вредоносную DLL, постоянно отслеживая содержимое буфера обмена и заменяя его на адрес кошелька злоумышленника, когда он совпадает с адресом криптовалютного кошелька, тем самым переводя выручку на счет злоумышленника. Для предотвращения подобных атак пользователям следует повысить свою осведомленность в вопросах безопасности и избегать получения ресурсов образа системы по неофициальным каналам. Было проверено, что Antiy Intelligent Endpoint Defense System (сокращенно IEP) может эффективно обнаруживать и уничтожать вредоносные программы.

Подобные атаки требуют сложного планирования и исполнения. Во-первых, злоумышленники заранее помещают вредоносные программы в %SystemRoot%\Installer и создают соответствующие запланированные задачи. Затем, когда пользователи устанавливают операционную систему Windows, используя подделанный образ, iscsicli.exe запускает себя через запланированную задачу, монтирует системный раздел EFI и копирует оставшиеся вредоносные файлы в этот раздел. Это позволяет вредоносной программе обойти обнаружение со стороны продуктов безопасности. Наконец, вредоносная DLL внедряется в систему и начинает отслеживать содержимое буфера обмена, заменяя его адресом кошелька злоумышленника при совпадении с адресом криптовалютного кошелька. Это гарантирует, что средства будут переведены на счет злоумышленника.