#ParsedReport #CompletenessMedium
07-07-2023
Tailing Big Head Ransomware s Variants, Tactics, and Impact
https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html
Report completeness: Medium
Threats:
Big_head_ransomware
Worldwind
Neshta
Geo:
Ukrainian, Georgian, Russian, Belarusian
IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2
Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx
Crypto:
bitcoin
Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip
Functions:
CreateMutex, SelfDelete
Win API:
ShowWindow, LockFile
Languages:
php, python, java
Platforms:
x86
Links:
07-07-2023
Tailing Big Head Ransomware s Variants, Tactics, and Impact
https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html
Report completeness: Medium
Threats:
Big_head_ransomware
Worldwind
Neshta
Geo:
Ukrainian, Georgian, Russian, Belarusian
IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2
Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx
Crypto:
bitcoin
Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip
Functions:
CreateMutex, SelfDelete
Win API:
ShowWindow, LockFile
Languages:
php, python, java
Platforms:
x86
Links:
https://github.com/Leecher21/WorldWind-StealerTrend Micro
Tailing Big Head Ransomware’s Variants, Tactics, and Impact
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2023 Tailing Big Head Ransomware s Variants, Tactics, and Impact https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html Report completeness: Medium Threats: B…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----
Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.
Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.
Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----
Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.
Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.
Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.
#ParsedReport #CompletenessMedium
06-07-2023
Kimsuky Threat Group Exploting Chrome Remote Desktop
https://asec.ahnlab.com/en/55145
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010
Victims:
Korean users
Industry:
Energy
Geo:
Korean, Korea
IOCs:
Command: 4
Path: 9
File: 7
Url: 3
Hash: 5
Soft:
chrome, google chrome, microsoft edge, remote desktop services
Platforms:
x64, x86
06-07-2023
Kimsuky Threat Group Exploting Chrome Remote Desktop
https://asec.ahnlab.com/en/55145
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010
Victims:
Korean users
Industry:
Energy
Geo:
Korean, Korea
IOCs:
Command: 4
Path: 9
File: 7
Url: 3
Hash: 5
Soft:
chrome, google chrome, microsoft edge, remote desktop services
Platforms:
x64, x86
ASEC
Kimsuky Threat Group Using Chrome Remote Desktop - ASEC
Kimsuky Threat Group Using Chrome Remote Desktop ASEC
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2023 Kimsuky Threat Group Exploting Chrome Remote Desktop https://asec.ahnlab.com/en/55145 Report completeness: Medium Actors/Campaigns: Kimsuky Threats: Meterpreter_tool Appleseed Mimikatz_tool Tinynuke Tightvnc_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Группа эксплуатирует Chrome Remote Desktop и использует вредоносное ПО AppleSeed, infostealers, RDP Patcher и Ngrok для кражи учетных данных и информации. Они также используют службу удаленного рабочего стола RDP в Windows и Google Chrome.
-----
APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, эксплуатирующую Chrome Remote Desktop. В процессе распространения вредоносного ПО группа в основном использует файлы документов HWP и MS Office или файлы CHM, а также скрипты WSF или JS с файлами, замаскированными под файлы документов.
Вредоносное ПО, установленное APT-группой Kimsuky, - AppleSeed, вредоносная программа типа бэкдор, обнаруженная с 2019 года. Он поддерживает различные функции, такие как выполнение команд с C&C-сервера, установка дополнительного вредоносного ПО, кейлоггинг, захват скриншотов и кража файлов. Используются две версии AppleSeed, обе из которых используют протокол HTTP для связи с C&C-сервером. После установки AppleSeed группа обычно устанавливает Infostealers, RDP Patcher и Ngrok.
Infostealers используется для сбора учетных данных из браузеров Google Chrome, Microsoft Edge и Naver Whale. RDP Patcher - тип вредоносного ПО, специализирующийся на исправлении памяти для нескольких сеансов RDP. Ngrok - программа туннелирования, которая открывает доступ к системам в среде NAT извне.
APT-группа Kimsuky постоянно проводит фишинговые атаки на корейских пользователей, и известно, что они используют службу удаленного рабочего стола RDP, включенную в Windows по умолчанию. Недавно были выявлены случаи использования функции удаленного рабочего стола в Google Chrome.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Группа эксплуатирует Chrome Remote Desktop и использует вредоносное ПО AppleSeed, infostealers, RDP Patcher и Ngrok для кражи учетных данных и информации. Они также используют службу удаленного рабочего стола RDP в Windows и Google Chrome.
-----
APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, эксплуатирующую Chrome Remote Desktop. В процессе распространения вредоносного ПО группа в основном использует файлы документов HWP и MS Office или файлы CHM, а также скрипты WSF или JS с файлами, замаскированными под файлы документов.
Вредоносное ПО, установленное APT-группой Kimsuky, - AppleSeed, вредоносная программа типа бэкдор, обнаруженная с 2019 года. Он поддерживает различные функции, такие как выполнение команд с C&C-сервера, установка дополнительного вредоносного ПО, кейлоггинг, захват скриншотов и кража файлов. Используются две версии AppleSeed, обе из которых используют протокол HTTP для связи с C&C-сервером. После установки AppleSeed группа обычно устанавливает Infostealers, RDP Patcher и Ngrok.
Infostealers используется для сбора учетных данных из браузеров Google Chrome, Microsoft Edge и Naver Whale. RDP Patcher - тип вредоносного ПО, специализирующийся на исправлении памяти для нескольких сеансов RDP. Ngrok - программа туннелирования, которая открывает доступ к системам в среде NAT извне.
APT-группа Kimsuky постоянно проводит фишинговые атаки на корейских пользователей, и известно, что они используют службу удаленного рабочего стола RDP, включенную в Windows по умолчанию. Недавно были выявлены случаи использования функции удаленного рабочего стола в Google Chrome.
#ParsedReport #CompletenessHigh
07-07-2023
The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region
https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region
Report completeness: High
Threats:
Toitoin
Krita_loader
Uac_bypass_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique
Dll_sideloading_technique
Victims:
A prominent investment banking company in latin america
Industry:
Education, Financial
Geo:
America, Latam, American
TTPs:
Tactics: 1
Technics: 10
IOCs:
File: 12
Url: 11
Domain: 3
Path: 3
Hash: 10
Soft:
curl, windows search, winlogon, process explorer, internet explorer, chrome, opera, mozilla firefox, microsoft edge
Algorithms:
base64, xor, zip, exhibit
Functions:
getenv, OpenMutexA
Win API:
GetComputerNameA, InternetOpenUrlA, InternetReadFile, LoadLibraryA, GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetEnvironmentVariableW, have more...
Languages:
php
Platforms:
x64
07-07-2023
The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region
https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region
Report completeness: High
Threats:
Toitoin
Krita_loader
Uac_bypass_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique
Dll_sideloading_technique
Victims:
A prominent investment banking company in latin america
Industry:
Education, Financial
Geo:
America, Latam, American
TTPs:
Tactics: 1
Technics: 10
IOCs:
File: 12
Url: 11
Domain: 3
Path: 3
Hash: 10
Soft:
curl, windows search, winlogon, process explorer, internet explorer, chrome, opera, mozilla firefox, microsoft edge
Algorithms:
base64, xor, zip, exhibit
Functions:
getenv, OpenMutexA
Win API:
GetComputerNameA, InternetOpenUrlA, InternetReadFile, LoadLibraryA, GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetEnvironmentVariableW, have more...
Languages:
php
Platforms:
x64
Zscaler
TOITOIN Trojan: A New Multi-Stage Attack Targeting LATAM
Zscaler ThreatLabz recently uncovered a new targeted multi-staged attack campaign striking businesses in the LATAM region delivering the TOITOIN Trojan
👍1
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2023 The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Кампания вредоносного ПО TOITOIN является передовой постоянной угрозой, направленной на предприятия в регионе LATAM.
-----
Вредоносная кампания TOITOIN - это современная постоянная угроза, направленная на предприятия в регионе Латинской Америки (LATAM). В атаке используется многоступенчатая цепочка заражения, включающая обманчивые фишинговые письма, специально созданные модули и различные техники уклонения. Она начинается с модуля-загрузчика, который загружает дальнейшие стадии вредоносного ПО, обходит песочницы путем перезагрузки системы и сохраняет устойчивость с помощью LNK-файлов. Затем DLL Krita Loader загружается через подписанный двоичный файл, который загружает модуль InjectorDLL. Этот модуль внедряет ElevateInjectorDLL в удаленные процессы, такие как explorer.exe. ElevateInjectorDLL обходит "песочницы" и выполняет углубление процесса для внедрения троянца TOITOIN или модуля BypassUAC в зависимости от привилегий процесса. Модуль BypassUAC использует COM elevation Moniker для обхода User Account Control и выполнения Krita Loader с привилегиями администратора.
Троянец TOITOIN использует пользовательскую XOR-дешифровку для декодирования своего конфигурационного файла, содержащего URL-адрес командно-контрольного сервера. Он передает на C&C-сервер закодированную системную информацию, сведения об установленных браузерах и модуле защиты Topaz OFD. В отсутствие конфигурационного файла информация отправляется через POST-запрос с использованием curl.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Кампания вредоносного ПО TOITOIN является передовой постоянной угрозой, направленной на предприятия в регионе LATAM.
-----
Вредоносная кампания TOITOIN - это современная постоянная угроза, направленная на предприятия в регионе Латинской Америки (LATAM). В атаке используется многоступенчатая цепочка заражения, включающая обманчивые фишинговые письма, специально созданные модули и различные техники уклонения. Она начинается с модуля-загрузчика, который загружает дальнейшие стадии вредоносного ПО, обходит песочницы путем перезагрузки системы и сохраняет устойчивость с помощью LNK-файлов. Затем DLL Krita Loader загружается через подписанный двоичный файл, который загружает модуль InjectorDLL. Этот модуль внедряет ElevateInjectorDLL в удаленные процессы, такие как explorer.exe. ElevateInjectorDLL обходит "песочницы" и выполняет углубление процесса для внедрения троянца TOITOIN или модуля BypassUAC в зависимости от привилегий процесса. Модуль BypassUAC использует COM elevation Moniker для обхода User Account Control и выполнения Krita Loader с привилегиями администратора.
Троянец TOITOIN использует пользовательскую XOR-дешифровку для декодирования своего конфигурационного файла, содержащего URL-адрес командно-контрольного сервера. Он передает на C&C-сервер закодированную системную информацию, сведения об установленных браузерах и модуле защиты Topaz OFD. В отсутствие конфигурационного файла информация отправляется через POST-запрос с использованием curl.
#ParsedReport #CompletenessMedium
07-07-2023
. Miner mining Trojan activity analysis
https://www.antiy.cn/research/notice&report/research_report/aminer_Analysis.html
Report completeness: Medium
Threats:
Netstat_tool
Shellbot
Beacon
Victims:
Linux platform
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 5
IP: 4
Hash: 5
Url: 5
Soft:
redis, crontab, curl, sudo
Crypto:
monero
Languages:
perl
07-07-2023
. Miner mining Trojan activity analysis
https://www.antiy.cn/research/notice&report/research_report/aminer_Analysis.html
Report completeness: Medium
Threats:
Netstat_tool
Shellbot
Beacon
Victims:
Linux platform
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 5
IP: 4
Hash: 5
Url: 5
Soft:
redis, crontab, curl, sudo
Crypto:
monero
Languages:
perl
www.antiy.cn
aminer挖矿木马活动分析
安天CERT捕获一批活跃的挖矿木马样本,该挖矿木马主要利用SSH和Redis弱口令暴力破解对Linux平台进行攻击,其初始脚本中下载挖矿文件的名称为“aminer.gz”,安天CERT将该挖矿木马命名为“aminer”,安天智甲终端防御系统Linux版本可实现对该挖矿木马的有效查杀。
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2023 . Miner mining Trojan activity analysis https://www.antiy.cn/research/notice&report/research_report/aminer_Analysis.html Report completeness: Medium Threats: Netstat_tool Shellbot Beacon Victims: Linux platform…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Antiy CERT выявил партию активных образцов троянских коней для майнинга под названием "aminer" и разработал карту ATT&CK для детализации полного процесса запуска злоумышленниками троянских программ для майнинга.
-----
Недавно Antiy CERT выявил партию активных образцов троянского коня для майнинга, который он назвал "aminer", по имени файла майнинга, загружаемого в его начальном сценарии. Было проверено, что Linux-версия системы Intelligent Endpoint Protection System (IEP) компании Antiy может обнаружить и уничтожить майнера.
Начальный сценарий атаки троянца miner состоит из инструкций по записи на указанные адреса DNS-серверов, установке инструментов и библиотек, загрузке и выполнению файла install.tgz и загрузке файла miner.gz. Install.tgz содержит вредоносные файлы с теми же именами, что и системные файлы, такие как top, который добавляет открытые ключи SSH, заменяет top, netstat и crontab, выполняет irc-клиент для создания бэкдора и фильтрует сетевые соединения с номерами портов 20 и 43. ns2.jpg - это ShellBot, написанный на языке Perl, который подключается к irc-серверу (irc.tung-shu.cf), номер порта - 20, а канал - #ROOT. Сжатый пакет Miner.gz содержит программы майнинга для двух архитектур операционных систем. Стартовый скрипт создает службу для сохранения и запускает программу майнинга для выполнения майнинга. Адреса DNS-серверов, используемых для атаки, включают "114.114.114.114", "114.114.115.115", "8.8.8.8", "1.1.1.1".
Вредоносная учетная запись позволяет пользователю daemon выполнять любую команду без ввода пароля. Операционную систему необходимо перезагрузить, поскольку вредоносный код выполняется в памяти, но не приземлился. Поскольку троянец-майнер заменяет top, netstat и другие файлы в операционной системе, вредоносно замененные файлы будут удалены в плане очистки, и при необходимости эти команды нужно будет установить заново.
Antiy CERT разработал карту ATT&CK, детализирующую полный процесс запуска злоумышленниками майнинговых троянцев. Согласно карте, сначала злоумышленник использует SSH и перебор слабых паролей Redis для атаки на платформу Linux, затем загружает вредоносные файлы с именами, похожими на системные файлы, такие как top, для добавления открытых ключей SSH и замены top, netstat и crontab. После этого используется IRC-клиент для создания бэкдора, а сетевые соединения с номерами портов 20 и 43 фильтруются. Создается вредоносная учетная запись, позволяющая пользователю daemon выполнять любые команды без ввода пароля, после чего загружаются и запускаются программы для майнинга.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Antiy CERT выявил партию активных образцов троянских коней для майнинга под названием "aminer" и разработал карту ATT&CK для детализации полного процесса запуска злоумышленниками троянских программ для майнинга.
-----
Недавно Antiy CERT выявил партию активных образцов троянского коня для майнинга, который он назвал "aminer", по имени файла майнинга, загружаемого в его начальном сценарии. Было проверено, что Linux-версия системы Intelligent Endpoint Protection System (IEP) компании Antiy может обнаружить и уничтожить майнера.
Начальный сценарий атаки троянца miner состоит из инструкций по записи на указанные адреса DNS-серверов, установке инструментов и библиотек, загрузке и выполнению файла install.tgz и загрузке файла miner.gz. Install.tgz содержит вредоносные файлы с теми же именами, что и системные файлы, такие как top, который добавляет открытые ключи SSH, заменяет top, netstat и crontab, выполняет irc-клиент для создания бэкдора и фильтрует сетевые соединения с номерами портов 20 и 43. ns2.jpg - это ShellBot, написанный на языке Perl, который подключается к irc-серверу (irc.tung-shu.cf), номер порта - 20, а канал - #ROOT. Сжатый пакет Miner.gz содержит программы майнинга для двух архитектур операционных систем. Стартовый скрипт создает службу для сохранения и запускает программу майнинга для выполнения майнинга. Адреса DNS-серверов, используемых для атаки, включают "114.114.114.114", "114.114.115.115", "8.8.8.8", "1.1.1.1".
Вредоносная учетная запись позволяет пользователю daemon выполнять любую команду без ввода пароля. Операционную систему необходимо перезагрузить, поскольку вредоносный код выполняется в памяти, но не приземлился. Поскольку троянец-майнер заменяет top, netstat и другие файлы в операционной системе, вредоносно замененные файлы будут удалены в плане очистки, и при необходимости эти команды нужно будет установить заново.
Antiy CERT разработал карту ATT&CK, детализирующую полный процесс запуска злоумышленниками майнинговых троянцев. Согласно карте, сначала злоумышленник использует SSH и перебор слабых паролей Redis для атаки на платформу Linux, затем загружает вредоносные файлы с именами, похожими на системные файлы, такие как top, для добавления открытых ключей SSH и замены top, netstat и crontab. После этого используется IRC-клиент для создания бэкдора, а сетевые соединения с номерами портов 20 и 43 фильтруются. Создается вредоносная учетная запись, позволяющая пользователю daemon выполнять любые команды без ввода пароля, после чего загружаются и запускаются программы для майнинга.
#ParsedReport #CompletenessLow
07-07-2023
. Analysis of Clipboard Hijacker Propagated Through Pirated System Mirror Resources
https://www.antiy.cn/research/notice&report/research_report/Torrent_Analysis.html
Report completeness: Low
Threats:
Beacon
Process_injection_technique
TTPs:
Tactics: 2
Technics: 0
IOCs:
File: 4
Path: 5
Coin: 3
Hash: 3
07-07-2023
. Analysis of Clipboard Hijacker Propagated Through Pirated System Mirror Resources
https://www.antiy.cn/research/notice&report/research_report/Torrent_Analysis.html
Report completeness: Low
Threats:
Beacon
Process_injection_technique
TTPs:
Tactics: 2
Technics: 0
IOCs:
File: 4
Path: 5
Coin: 3
Hash: 3
www.antiy.cn
通过盗版系统镜像资源传播的剪贴板劫持器分析
安天CERT监测到通过镜像下载站传播的攻击活动。攻击者事先将恶意文件隐藏于系统中,通过计划任务实现自启动,并利用EFI系统分区规避安全产品的检测,最终执行剪贴板劫持器以盗取加密货币。安天智甲可实现对恶意软件的有效查杀。
👍1
CTT Report Hub
#ParsedReport #CompletenessLow 07-07-2023 . Analysis of Clipboard Hijacker Propagated Through Pirated System Mirror Resources https://www.antiy.cn/research/notice&report/research_report/Torrent_Analysis.html Report completeness: Low Threats: Beacon Pr…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Antiy CERT обнаружил атакующие действия, распространяемые через зеркальные сайты загрузки, где злоумышленники прячут вредоносные файлы в системе и используют их для перевода средств на свои счета. Пользователям важно понимать риски, связанные с бесплатными ресурсами, и использовать официальные каналы для получения образов системы.
-----
Недавно Antiy CERT обнаружил атакующие действия, распространяемые через зеркальные сайты загрузки. Злоумышленники используют вредоносные программы для заражения операционных систем Windows, маскируя их под внешне чистые системы путем размещения Torrent-ресурсов на зеркальных сайтах загрузки. Злоумышленники заранее прячут вредоносные файлы по указанному пути, которые затем выполняются через запланированные задачи. Чтобы избежать обнаружения продуктами безопасности, они используют системный раздел EFI, монтируя его и копируя на него оставшиеся вредоносные файлы. Вредоносная программа маскируется под легитимную программу в операционной системе, а ее цифровая подпись недействительна. Кроме того, она сканирует процессы, запущенные в текущей системе, на наличие определенных инструментов безопасности.
Вредоносная программа внедряет вредоносную DLL, постоянно отслеживая содержимое буфера обмена и заменяя его на адрес кошелька злоумышленника, когда он совпадает с адресом криптовалютного кошелька, тем самым переводя выручку на счет злоумышленника. Для предотвращения подобных атак пользователям следует повысить свою осведомленность в вопросах безопасности и избегать получения ресурсов образа системы по неофициальным каналам. Было проверено, что Antiy Intelligent Endpoint Defense System (сокращенно IEP) может эффективно обнаруживать и уничтожать вредоносные программы.
Подобные атаки требуют сложного планирования и исполнения. Во-первых, злоумышленники заранее помещают вредоносные программы в %SystemRoot%\Installer и создают соответствующие запланированные задачи. Затем, когда пользователи устанавливают операционную систему Windows, используя подделанный образ, iscsicli.exe запускает себя через запланированную задачу, монтирует системный раздел EFI и копирует оставшиеся вредоносные файлы в этот раздел. Это позволяет вредоносной программе обойти обнаружение со стороны продуктов безопасности. Наконец, вредоносная DLL внедряется в систему и начинает отслеживать содержимое буфера обмена, заменяя его адресом кошелька злоумышленника при совпадении с адресом криптовалютного кошелька. Это гарантирует, что средства будут переведены на счет злоумышленника.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Antiy CERT обнаружил атакующие действия, распространяемые через зеркальные сайты загрузки, где злоумышленники прячут вредоносные файлы в системе и используют их для перевода средств на свои счета. Пользователям важно понимать риски, связанные с бесплатными ресурсами, и использовать официальные каналы для получения образов системы.
-----
Недавно Antiy CERT обнаружил атакующие действия, распространяемые через зеркальные сайты загрузки. Злоумышленники используют вредоносные программы для заражения операционных систем Windows, маскируя их под внешне чистые системы путем размещения Torrent-ресурсов на зеркальных сайтах загрузки. Злоумышленники заранее прячут вредоносные файлы по указанному пути, которые затем выполняются через запланированные задачи. Чтобы избежать обнаружения продуктами безопасности, они используют системный раздел EFI, монтируя его и копируя на него оставшиеся вредоносные файлы. Вредоносная программа маскируется под легитимную программу в операционной системе, а ее цифровая подпись недействительна. Кроме того, она сканирует процессы, запущенные в текущей системе, на наличие определенных инструментов безопасности.
Вредоносная программа внедряет вредоносную DLL, постоянно отслеживая содержимое буфера обмена и заменяя его на адрес кошелька злоумышленника, когда он совпадает с адресом криптовалютного кошелька, тем самым переводя выручку на счет злоумышленника. Для предотвращения подобных атак пользователям следует повысить свою осведомленность в вопросах безопасности и избегать получения ресурсов образа системы по неофициальным каналам. Было проверено, что Antiy Intelligent Endpoint Defense System (сокращенно IEP) может эффективно обнаруживать и уничтожать вредоносные программы.
Подобные атаки требуют сложного планирования и исполнения. Во-первых, злоумышленники заранее помещают вредоносные программы в %SystemRoot%\Installer и создают соответствующие запланированные задачи. Затем, когда пользователи устанавливают операционную систему Windows, используя подделанный образ, iscsicli.exe запускает себя через запланированную задачу, монтирует системный раздел EFI и копирует оставшиеся вредоносные файлы в этот раздел. Это позволяет вредоносной программе обойти обнаружение со стороны продуктов безопасности. Наконец, вредоносная DLL внедряется в систему и начинает отслеживать содержимое буфера обмена, заменяя его адресом кошелька злоумышленника при совпадении с адресом криптовалютного кошелька. Это гарантирует, что средства будут переведены на счет злоумышленника.
#ParsedReport #CompletenessLow
07-07-2023
Distribution of NetSupport Malware Using Email
https://asec.ahnlab.com/en/55146
Report completeness: Low
Threats:
Netsupportmanager_rat
Trojan/js.agent.sc189783
IOCs:
File: 3
Url: 2
Languages:
javascript, php
07-07-2023
Distribution of NetSupport Malware Using Email
https://asec.ahnlab.com/en/55146
Report completeness: Low
Threats:
Netsupportmanager_rat
Trojan/js.agent.sc189783
IOCs:
File: 3
Url: 2
Languages:
javascript, php
ASEC BLOG
Distribution of NetSupport Malware Using Email - ASEC BLOG
NetSupport RAT is being used by various threat actors. These are distributed through spam emails and phishing pages disguised as documents such as Invoices, shipment documents, and PO (purchase orders). Distribution via phishing pages has been covered on…
CTT Report Hub
#ParsedReport #CompletenessLow 07-07-2023 Distribution of NetSupport Malware Using Email https://asec.ahnlab.com/en/55146 Report completeness: Low Threats: Netsupportmanager_rat Trojan/js.agent.sc189783 IOCs: File: 3 Url: 2 Languages: javascript, php
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: NetSupport RAT - это вредоносная программа, используемая субъектами угроз для получения несанкционированного доступа к системе пользователя, обычно через спам и фишинговые страницы, замаскированные под документы. Недавно Центр экстренного реагирования AhnLab Security обнаружил, что NetSupport RAT распространяется через фишинговое письмо. Поведенческая детекция NetSupport RAT включает Execution/EDR.Powershell.M11170 и Execution/MDP.Powershell.M10668, а файловая детекция включает Trojan/JS.Agent.SC189783 (2023.06.15.02). URL и C2-серверы, используемые для загрузки дополнительных Powershell-скриптов и NetSupport RAT, - hxxps://mjventas.com/reconts.php и hxxps://qualityzer.com/index1.php.
-----
NetSupport RAT - это вредоносная программа, используемая субъектами угроз для получения несанкционированного доступа к системе пользователя. Обычно она распространяется через спам по электронной почте и фишинговые страницы, маскируясь под документы, такие как счета-фактуры, отгрузочные документы и PO (заказы на поставку). Недавно Центр экстренного реагирования AhnLab Security обнаружил, что NetSupport RAT распространяется через фишинговое письмо.
Это письмо тщательно маскируется под законный документ, поэтому пользователям трудно отличить его от обычного письма. В теле письма может содержаться замаскированный контрольный список аудита или другие документы, поэтому пользователям важно всегда быть осторожными и проверять вложения электронной почты, прежде чем открывать их.
При успешной попытке подключения к Интернету вредоносная программа подключается к серверу Command & Control (C2), загружает и выполняет дополнительный сценарий Powershell. Этот сценарий содержит обфусцированный код, что затрудняет его обнаружение.
Поведенческое обнаружение NetSupport RAT включает Execution/EDR.Powershell.M11170 и Execution/MDP.Powershell.M10668. Обнаружение файлов включает Trojan/JS.Agent.SC189783 (2023.06.15.02). URL и C2-серверы, используемые для загрузки дополнительного Powershell-скрипта - hxxps://mjventas.com/reconts.php, а для загрузки NetSupport RAT - hxxps://qualityzer.com/index1.php.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: NetSupport RAT - это вредоносная программа, используемая субъектами угроз для получения несанкционированного доступа к системе пользователя, обычно через спам и фишинговые страницы, замаскированные под документы. Недавно Центр экстренного реагирования AhnLab Security обнаружил, что NetSupport RAT распространяется через фишинговое письмо. Поведенческая детекция NetSupport RAT включает Execution/EDR.Powershell.M11170 и Execution/MDP.Powershell.M10668, а файловая детекция включает Trojan/JS.Agent.SC189783 (2023.06.15.02). URL и C2-серверы, используемые для загрузки дополнительных Powershell-скриптов и NetSupport RAT, - hxxps://mjventas.com/reconts.php и hxxps://qualityzer.com/index1.php.
-----
NetSupport RAT - это вредоносная программа, используемая субъектами угроз для получения несанкционированного доступа к системе пользователя. Обычно она распространяется через спам по электронной почте и фишинговые страницы, маскируясь под документы, такие как счета-фактуры, отгрузочные документы и PO (заказы на поставку). Недавно Центр экстренного реагирования AhnLab Security обнаружил, что NetSupport RAT распространяется через фишинговое письмо.
Это письмо тщательно маскируется под законный документ, поэтому пользователям трудно отличить его от обычного письма. В теле письма может содержаться замаскированный контрольный список аудита или другие документы, поэтому пользователям важно всегда быть осторожными и проверять вложения электронной почты, прежде чем открывать их.
При успешной попытке подключения к Интернету вредоносная программа подключается к серверу Command & Control (C2), загружает и выполняет дополнительный сценарий Powershell. Этот сценарий содержит обфусцированный код, что затрудняет его обнаружение.
Поведенческое обнаружение NetSupport RAT включает Execution/EDR.Powershell.M11170 и Execution/MDP.Powershell.M10668. Обнаружение файлов включает Trojan/JS.Agent.SC189783 (2023.06.15.02). URL и C2-серверы, используемые для загрузки дополнительного Powershell-скрипта - hxxps://mjventas.com/reconts.php, а для загрузки NetSupport RAT - hxxps://qualityzer.com/index1.php.
#ParsedReport #CompletenessLow
07-07-2023
Beyond appearances: unknown actor using APT29s TTP against Chinese users. Beyond appearances: unknown actor using APT29 s TTP against Chinese users
https://lab52.io/blog/beyond-appearances-unknown-actor-using-apt29s-ttp-against-chinese-users
Report completeness: Low
Actors/Campaigns:
Duke
Threats:
Cobalt_strike
Upx_tool
Beacon
Victims:
Chinese speaking users
Industry:
Financial, Education, Healthcare, Transport
Geo:
Russian, Chinese
ChatGPT TTPs:
T1078, T1073, T1064, T1036, T1027
IOCs:
File: 4
Hash: 12
Url: 1
Command: 1
Path: 1
Links:
07-07-2023
Beyond appearances: unknown actor using APT29s TTP against Chinese users. Beyond appearances: unknown actor using APT29 s TTP against Chinese users
https://lab52.io/blog/beyond-appearances-unknown-actor-using-apt29s-ttp-against-chinese-users
Report completeness: Low
Actors/Campaigns:
Duke
Threats:
Cobalt_strike
Upx_tool
Beacon
Victims:
Chinese speaking users
Industry:
Financial, Education, Healthcare, Transport
Geo:
Russian, Chinese
ChatGPT TTPs:
do not use without manual checkT1078, T1073, T1064, T1036, T1027
IOCs:
File: 4
Hash: 12
Url: 1
Command: 1
Path: 1
Links:
https://github.com/cnHopeStudio/Batch-Encryption-DeCoder
CTT Report Hub
#ParsedReport #CompletenessLow 07-07-2023 Beyond appearances: unknown actor using APT29s TTP against Chinese users. Beyond appearances: unknown actor using APT29 s TTP against Chinese users https://lab52.io/blog/beyond-appearances-unknown-actor-using-apt29s…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавно Lab52 обнаружила вредоносную кампанию, направленную на китайскоговорящих пользователей, которая включает фишинговое письмо с вредоносным документом, написанным на китайском языке. Цепочка заражения включает копирование двух файлов в папку C:\ProgramData и их выполнение, что, предположительно, является работой другого участника угрозы, нежели APT29, из-за использования различных техник. Инфекция также запускает маяк CobaltStrike.
-----
Компания Lab52 недавно обнаружила вредоносную кампанию, направленную на китайскоговорящих пользователей. Цепочка заражения начинается с фишингового письма, в котором содержится документ, выдаваемый за биографию 28-летнего специалиста, специализирующегося в области финансов и разработки программного обеспечения для банковских систем. Вредоносный документ написан на китайском языке и включает сжатый файл с китайскими иероглифами, ссылающийся на магистра Пекинского университета Сунь Цзичао. Этот файл содержит файл .bat, два файла .tmp и еще один файл .pdf.
Угрожающий агент, стоящий за этой кампанией, использовал методы и артефакты, которые ранее связывали с APT29, такие как боковая загрузка DLL с библиотекой appvisvsubsystems64.dll и легитимным бинарным файлом WinWord.exe, а также развертывание CobaltStrike. Однако есть несколько особенностей, которые позволяют предположить, что атака была совершена не российской группой. К ним относятся использование зашифрованного .bat-файла, китайские иероглифы во всех файлах, адрес приманки - Пекин, а также сохранение файлов в папке %ProgramData%, а не %AppData%.
На первом этапе заражения файлы wda.tmp и mbp.tmp копируются в папку C:\ProgramData, скрываются, переименовываются в OfficeUpdate.exe и appvisvsubsystems64.dll соответственно, а затем запускается файл .pdf, отображающий приманку. Затем запускается OfficeUpdate.exe, чтобы продолжить этап 1, и, наконец, файлы этапа 0 wda.tmp, mbp.tmp, aaa.bat и lnk удаляются, так что сохраняется только то, что находится в C:\ProgramData\.
Затем выполняются два файла, расположенные в C:\ProgramData, OfficeUpdate и appvisvsubsystems64.dll. Первый - это легитимный двоичный файл WinWord, а второй - вредоносная библиотека, которая загружает WinWord через DLL Side-Load. Библиотека написана на языке Go, упакована с UPX и имеет дату компиляции 4 июля. Она также создает поток для выполнения маяка CobaltStrike, который агент будет использовать в качестве основы для пост-эксплуатации.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавно Lab52 обнаружила вредоносную кампанию, направленную на китайскоговорящих пользователей, которая включает фишинговое письмо с вредоносным документом, написанным на китайском языке. Цепочка заражения включает копирование двух файлов в папку C:\ProgramData и их выполнение, что, предположительно, является работой другого участника угрозы, нежели APT29, из-за использования различных техник. Инфекция также запускает маяк CobaltStrike.
-----
Компания Lab52 недавно обнаружила вредоносную кампанию, направленную на китайскоговорящих пользователей. Цепочка заражения начинается с фишингового письма, в котором содержится документ, выдаваемый за биографию 28-летнего специалиста, специализирующегося в области финансов и разработки программного обеспечения для банковских систем. Вредоносный документ написан на китайском языке и включает сжатый файл с китайскими иероглифами, ссылающийся на магистра Пекинского университета Сунь Цзичао. Этот файл содержит файл .bat, два файла .tmp и еще один файл .pdf.
Угрожающий агент, стоящий за этой кампанией, использовал методы и артефакты, которые ранее связывали с APT29, такие как боковая загрузка DLL с библиотекой appvisvsubsystems64.dll и легитимным бинарным файлом WinWord.exe, а также развертывание CobaltStrike. Однако есть несколько особенностей, которые позволяют предположить, что атака была совершена не российской группой. К ним относятся использование зашифрованного .bat-файла, китайские иероглифы во всех файлах, адрес приманки - Пекин, а также сохранение файлов в папке %ProgramData%, а не %AppData%.
На первом этапе заражения файлы wda.tmp и mbp.tmp копируются в папку C:\ProgramData, скрываются, переименовываются в OfficeUpdate.exe и appvisvsubsystems64.dll соответственно, а затем запускается файл .pdf, отображающий приманку. Затем запускается OfficeUpdate.exe, чтобы продолжить этап 1, и, наконец, файлы этапа 0 wda.tmp, mbp.tmp, aaa.bat и lnk удаляются, так что сохраняется только то, что находится в C:\ProgramData\.
Затем выполняются два файла, расположенные в C:\ProgramData, OfficeUpdate и appvisvsubsystems64.dll. Первый - это легитимный двоичный файл WinWord, а второй - вредоносная библиотека, которая загружает WinWord через DLL Side-Load. Библиотека написана на языке Go, упакована с UPX и имеет дату компиляции 4 июля. Она также создает поток для выполнения маяка CobaltStrike, который агент будет использовать в качестве основы для пост-эксплуатации.
#ParsedReport #CompletenessLow
07-07-2023
. Analysis of recent attack activities of Diicot mining organization
https://www.antiy.cn/research/notice&report/research_report/Diicott_Analysis.html
Report completeness: Low
Actors/Campaigns:
Diicot
Threats:
Xmrig_miner
Upx_tool
Victims:
More than 600 domestic victim servers
Geo:
China
ChatGPT TTPs:
T1075.001, T1214.002, T1082, T1547.001, T1486, T1483, T1036, T1543.002, T1545.001, T1499, have more...
IOCs:
File: 1
IP: 5
Hash: 7
Soft:
chrome, opera, systemd
07-07-2023
. Analysis of recent attack activities of Diicot mining organization
https://www.antiy.cn/research/notice&report/research_report/Diicott_Analysis.html
Report completeness: Low
Actors/Campaigns:
Diicot
Threats:
Xmrig_miner
Upx_tool
Victims:
More than 600 domestic victim servers
Geo:
China
ChatGPT TTPs:
do not use without manual checkT1075.001, T1214.002, T1082, T1547.001, T1486, T1483, T1036, T1543.002, T1545.001, T1499, have more...
IOCs:
File: 1
IP: 5
Hash: 7
Soft:
chrome, opera, systemd
www.antiy.cn
Diicot挖矿组织近期攻击活动分析
CNCERT和安天联合监测发现Diicot挖矿组织频繁发起攻击活动,并发布对此次攻击活动的分析报告。
CTT Report Hub
#ParsedReport #CompletenessLow 07-07-2023 . Analysis of recent attack activities of Diicot mining organization https://www.antiy.cn/research/notice&report/research_report/Diicott_Analysis.html Report completeness: Low Actors/Campaigns: Diicot Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Организация, занимающаяся добычей Diicot, проводит широкомасштабные атаки на устройства с открытым портом 22 в Интернете и использует инструменты взлома SSH грубой силой для достижения вторжения. Она заразила более 600 внутренних серверов жертв и приняла такие меры, как шифрование shc, чтобы избежать обнаружения. Необходимо обратить внимание на безопасность сервера и усилить защиту устройства.
-----
Недавно совместный мониторинг CNCERT и Antiy выявил, что организация по добыче Diicot (также известная как color1337, Mexals) проводит широкомасштабные атаки. После расследования было установлено, что организация нацеливается на устройства с открытым в Интернете портом 22 и использует инструменты взлома грубой силой SSH для достижения вторжения. Было обнаружено, что злоумышленник постоянно обновлял полезную нагрузку атаки с 13 октября 2022 года по 27 мая 2023 года и добавил такие методы, как шифрование shc, чтобы избежать обнаружения.
Отслеживание и мониторинг показали, что с 1 марта 2023 года по настоящее время более 600 отечественных серверов-жертв были заражены майнинговой организацией Diicot. В качестве начальной полезной нагрузки атакующей программы злоумышленник использовал зашифрованный с помощью SHC BASH-скрипт, сжатый и защищенный модифицированным UPX. Эта программа очищала все запланированные задачи на хосте и завершала процессы, связанные с конкурирующими троянскими конями для майнинга. Когда количество ядер процессора становится меньше 4, Payload загружает и запускает History, чтобы запустить программу распространения Update. Chrome - это сканер портов Linux, а Aliases - инструмент для взлома SSH грубой силой. Когда количество ядер больше или равно 4, Payload выполнит diicot, который является программой запуска троянца для майнинга.
Diicot создаст службу и несколько запланированных задач для достижения постоянной работы майнинговой программы Opera. Максимальное количество троянских коней для майнинга в Китае достигло более 200 единиц в день с 1 марта 2023 года по 31 мая 2023 года. Количество отечественных онлайн-машин, зараженных майнинговой организацией Diicot, растет с каждым днем. Злоумышленники применяют различные меры, такие как шифрование shc, чтобы избежать обнаружения. Необходимо обратить внимание на безопасность сервера и усилить защиту устройства.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Организация, занимающаяся добычей Diicot, проводит широкомасштабные атаки на устройства с открытым портом 22 в Интернете и использует инструменты взлома SSH грубой силой для достижения вторжения. Она заразила более 600 внутренних серверов жертв и приняла такие меры, как шифрование shc, чтобы избежать обнаружения. Необходимо обратить внимание на безопасность сервера и усилить защиту устройства.
-----
Недавно совместный мониторинг CNCERT и Antiy выявил, что организация по добыче Diicot (также известная как color1337, Mexals) проводит широкомасштабные атаки. После расследования было установлено, что организация нацеливается на устройства с открытым в Интернете портом 22 и использует инструменты взлома грубой силой SSH для достижения вторжения. Было обнаружено, что злоумышленник постоянно обновлял полезную нагрузку атаки с 13 октября 2022 года по 27 мая 2023 года и добавил такие методы, как шифрование shc, чтобы избежать обнаружения.
Отслеживание и мониторинг показали, что с 1 марта 2023 года по настоящее время более 600 отечественных серверов-жертв были заражены майнинговой организацией Diicot. В качестве начальной полезной нагрузки атакующей программы злоумышленник использовал зашифрованный с помощью SHC BASH-скрипт, сжатый и защищенный модифицированным UPX. Эта программа очищала все запланированные задачи на хосте и завершала процессы, связанные с конкурирующими троянскими конями для майнинга. Когда количество ядер процессора становится меньше 4, Payload загружает и запускает History, чтобы запустить программу распространения Update. Chrome - это сканер портов Linux, а Aliases - инструмент для взлома SSH грубой силой. Когда количество ядер больше или равно 4, Payload выполнит diicot, который является программой запуска троянца для майнинга.
Diicot создаст службу и несколько запланированных задач для достижения постоянной работы майнинговой программы Opera. Максимальное количество троянских коней для майнинга в Китае достигло более 200 единиц в день с 1 марта 2023 года по 31 мая 2023 года. Количество отечественных онлайн-машин, зараженных майнинговой организацией Diicot, растет с каждым днем. Злоумышленники применяют различные меры, такие как шифрование shc, чтобы избежать обнаружения. Необходимо обратить внимание на безопасность сервера и усилить защиту устройства.
#ParsedReport #CompletenessMedium
07-07-2023
. Be wary of data breaches caused by BlackCat ransomware
https://www.antiy.cn/research/notice&report/research_report/BlackCat_Analysis.html
Report completeness: Medium
Actors/Campaigns:
Blackcat
Darkside
Blackmatter
Threats:
Blackcat
Sphynx
Revil
Uac_bypass_technique
Victims:
Coca-cola femsa, Sonangol, Reddit, Mammoth energy
Industry:
Petroleum, Energy, Healthcare, Financial
Geo:
Mexican, Angola, American
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 6
Hash: 7
Soft:
esxi, i, bcdedit
Algorithms:
aes, chacha20
Languages:
rust
07-07-2023
. Be wary of data breaches caused by BlackCat ransomware
https://www.antiy.cn/research/notice&report/research_report/BlackCat_Analysis.html
Report completeness: Medium
Actors/Campaigns:
Blackcat
Darkside
Blackmatter
Threats:
Blackcat
Sphynx
Revil
Uac_bypass_technique
Victims:
Coca-cola femsa, Sonangol, Reddit, Mammoth energy
Industry:
Petroleum, Energy, Healthcare, Financial
Geo:
Mexican, Angola, American
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 6
Hash: 7
Soft:
esxi, i, bcdedit
Algorithms:
aes, chacha20
Languages:
rust
www.antiy.cn
警惕因BlackCat勒索软件造成的数据泄露
安天CERT发现多起因BlackCat勒索软件攻击造成的数据泄露事件,该勒索软件又名ALPHV或Noberus,被发现于2021年11月,其背后的攻击组织采用“窃取数据+加密文件”双重勒索策略,在此基础上增加骚扰或DDoS攻击威胁。安天智甲可实现对该勒索软件的有效查杀。
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2023 . Be wary of data breaches caused by BlackCat ransomware https://www.antiy.cn/research/notice&report/research_report/BlackCat_Analysis.html Report completeness: Medium Actors/Campaigns: Blackcat Darkside Blackmatter…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: BlackCat ransomware представляет собой RaaS бизнес-модель с AES или ChaCha, сочетающую алгоритм RSA для шифрования файлов, и пытается украсть данные, сохраняя механизм шифрования файлов ransomware, по состоянию на 3 июля 2023 года было 434 сообщения о жертвах BlackCat ransomware. Полезная нагрузка BlackCat написана на языке программирования Rust, и для защиты от ransomware пользователи должны завершить службы и процессы, указанные в конфигурационном файле.
-----
В ноябре 2021 года Antiy CERT обнаружил многочисленные атаки BlackCat 1 ransomware. Эта атакующая организация работает по бизнес-модели ransomware-as-a-service (RaaS) и 21 февраля 2023 года выпустила версию 2.0 программы-вымогателя Sphynx. Первоначальный доступ к системе жертвы достигается с помощью фишинга, эксплуатации уязвимостей и полученных учетных данных. Для шифрования файлов BlackCat использует алгоритм AES или ChaCha, сочетающий алгоритм RSA. Злоумышленники используют стратегии двойного вымогательства и начали добавлять возможность кражи данных при сохранении механизма шифрования файлов ransomware.
У злоумышленников есть специальный сайт утечки данных (DLS) на сайте Tor, который они используют для публикации информации о жертвах и украденных данных. BlackCat связан с программами REvil, DarkSide и BlackMatter ransomware. Для выполнения зашифрованной полезной нагрузки BlackCat требуется параметр Access Token, и система Intelligence Endpoint Defense System (IEP) компании Antiy может обнаружить и уничтожить эту программу-вымогатель.
По состоянию на 3 июля 2023 года поступило 434 сообщения от жертв вымогательского ПО BlackCat. 10 июня злоумышленник опубликовал в DLS информацию о Coca-Cola FEMSA, мексиканской компании по производству напитков. 15 июня они опубликовали информацию о Sonangol, национальной нефтяной компании Республики Ангола, затем 17 июня - об американском сайте социальных новостей Reddit, а 19 июня - об американской энергосервисной компании Mammoth Energy.
Полезная нагрузка BlackCat написана на языке программирования Rust. Без параметра Access Token она не может быть выполнена, что не позволяет исследователям безопасности и инструментам "песочницы" анализировать полезную нагрузку. Конфигурационный файл, который также записан в полезной нагрузке, содержит список служб и процессов, которые необходимо остановить, каталог "белого списка", который пропускает шифрование, список файлов и расширений файлов и т.д.
Чтобы не пострадать во время выполнения полезной нагрузки ransomware, пользователям следует завершить службы и процессы, указанные в конфигурационном файле. Это поможет защититься от BlackCat ransomware, а также от других вымогательских программ.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: BlackCat ransomware представляет собой RaaS бизнес-модель с AES или ChaCha, сочетающую алгоритм RSA для шифрования файлов, и пытается украсть данные, сохраняя механизм шифрования файлов ransomware, по состоянию на 3 июля 2023 года было 434 сообщения о жертвах BlackCat ransomware. Полезная нагрузка BlackCat написана на языке программирования Rust, и для защиты от ransomware пользователи должны завершить службы и процессы, указанные в конфигурационном файле.
-----
В ноябре 2021 года Antiy CERT обнаружил многочисленные атаки BlackCat 1 ransomware. Эта атакующая организация работает по бизнес-модели ransomware-as-a-service (RaaS) и 21 февраля 2023 года выпустила версию 2.0 программы-вымогателя Sphynx. Первоначальный доступ к системе жертвы достигается с помощью фишинга, эксплуатации уязвимостей и полученных учетных данных. Для шифрования файлов BlackCat использует алгоритм AES или ChaCha, сочетающий алгоритм RSA. Злоумышленники используют стратегии двойного вымогательства и начали добавлять возможность кражи данных при сохранении механизма шифрования файлов ransomware.
У злоумышленников есть специальный сайт утечки данных (DLS) на сайте Tor, который они используют для публикации информации о жертвах и украденных данных. BlackCat связан с программами REvil, DarkSide и BlackMatter ransomware. Для выполнения зашифрованной полезной нагрузки BlackCat требуется параметр Access Token, и система Intelligence Endpoint Defense System (IEP) компании Antiy может обнаружить и уничтожить эту программу-вымогатель.
По состоянию на 3 июля 2023 года поступило 434 сообщения от жертв вымогательского ПО BlackCat. 10 июня злоумышленник опубликовал в DLS информацию о Coca-Cola FEMSA, мексиканской компании по производству напитков. 15 июня они опубликовали информацию о Sonangol, национальной нефтяной компании Республики Ангола, затем 17 июня - об американском сайте социальных новостей Reddit, а 19 июня - об американской энергосервисной компании Mammoth Energy.
Полезная нагрузка BlackCat написана на языке программирования Rust. Без параметра Access Token она не может быть выполнена, что не позволяет исследователям безопасности и инструментам "песочницы" анализировать полезную нагрузку. Конфигурационный файл, который также записан в полезной нагрузке, содержит список служб и процессов, которые необходимо остановить, каталог "белого списка", который пропускает шифрование, список файлов и расширений файлов и т.д.
Чтобы не пострадать во время выполнения полезной нагрузки ransomware, пользователям следует завершить службы и процессы, указанные в конфигурационном файле. Это поможет защититься от BlackCat ransomware, а также от других вымогательских программ.
#technique
Winsocket implementation for Cobalt Strike. Used to communicate with the victim using winsockets instead of the traditional ways.
https://github.com/WKL-Sec/Winsocky
Winsocket implementation for Cobalt Strike. Used to communicate with the victim using winsockets instead of the traditional ways.
https://github.com/WKL-Sec/Winsocky
GitHub
GitHub - WKL-Sec/Winsocky: Winsocket for Cobalt Strike.
Winsocket for Cobalt Strike. Contribute to WKL-Sec/Winsocky development by creating an account on GitHub.