#technique

Kill AV/EDR leveraging BYOVD attack

https://github.com/Helixo32/NimBlackout

#technique

A memory-based evasion technique which makes shellcode invisible from process start to end.

https://github.com/lem0nSec/ShellGhost

#technique

Creative C2 Obfuscation: CloudFronting Through Firewalls and Hiding in Plain PCAP

https://dev.to/rosesecurity/creative-c2-obfuscation-cloudfronting-through-firewalls-and-hiding-in-plain-pcap-3dkg

#ParsedReport #CompletenessHigh
10-07-2023

Letscall new sophisticated Vishing toolset

https://www.threatfabric.com/blogs/letscall-new-sophisticated-vishing-toolset

Report completeness: High

Threats:
Letscall_rat
Bangcle_tool
Blackseo_technique

Victims:
Individuals from south korea

Industry:
Financial, Government

Geo:
Asian, Korean, Korea, China, Japanese, Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 15
Hash: 3
IP: 10

Soft:
android, webrtc, nanohttpd, chrome, vuejs, laravel

Algorithms:
zip, xor, sha256, base64

Languages:
php, javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 1, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вишинг - это тип фишинговой атаки, использующий технологию Voice over IP и применяемый для нападения на людей в Южной Корее. Злоумышленники могут использовать любую имеющуюся у них информацию, чтобы завоевать доверие жертв, и применяют сильные техники уклонения.-----

Вишинг - это вид фишинга, использующий технологию передачи голоса по IP (VoIP) для нападения на жертв. Этот метод атаки становится все более популярным и был использован субъектами угроз для нападения на людей в Южной Корее, хотя потенциал для злоупотреблений является глобальным. Вредоносный инструментарий, стоящий за этими атаками, называется Letscall и включает такие компоненты, как разработчики Android, дизайнеры, разработчики фронтенда, разработчики бэкенда и операторы звонков. Letscall использует технологию WEBRTC для маршрутизации VOIP-трафика и соединения жертвы с операторами call-центра. Злоумышленники могут использовать любую информацию, чтобы завоевать доверие жертв, например, заразить их мобильный телефон, а затем позвонить им, выдавая себя за сотрудника службы безопасности банка.

Злоумышленники используют сильные методы обхода для всех трех стадий вредоносной программы, такие как имитация магазина Google Play, использование корейского языка на веб-странице и жесткое кодирование URL-адресов в приложении. Они также используют фишинговые страницы для утечки данных и изменения конфигурации, такие как сайты агрегаторов кредитов, KICS (Korea Information System of Criminal-Justice Services) и другие банковские сайты. Кроме того, вредоносная программа поддерживает обмен данными с помощью веб-сокетов и P2P-сервиса, а также содержит заранее записанные сообщения и коды набора DTMF, чтобы имитировать работу клиента при звонке в банк.

Для визуализации контента злоумышленники также используют панель администратора, которая основана на VueJS и PHP-фреймворке Laravel. Она поддерживает четыре языка (английский, корейский, японский и китайский) и содержит изображения с мета-информацией, такой как даты создания и часовые пояса. Кроме того, в нем содержится множество названий южнокорейских финансовых учреждений, которые могут быть использованы в ходе атаки.

#ParsedReport #CompletenessLow
10-07-2023

SiegedSec hacker group attack campaign

https://mp-weixin-qq-com.translate.goog/s/RsiQzEck5Iv6EUuYzXWFOA?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Siegedsec (motivation: politically_motivated)

Threats:
Rig_tool

Industry:
Financial, Petroleum, Government, Entertainment, Healthcare

Geo:
Indonesia, Colombia, Ukraine, Colombian, Russian, Pakistan, India, Philippines, Chinese, Guangdong, Mexico, Africa

TTPs:
Tactics: 1
Technics: 0

Soft:
wechat, telegram

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что SiegedSec - это новая группа угроз, которая с февраля 2022 года атакует компании различных отраслей по всему миру, размещая украденные данные на хакерских форумах и атакуя правительственные сайты и спутниковые приемники. США расследуют деятельность группы, которая может быть мотивирована финансовой выгодой.
-----

SiegedSec - это новая группа угроз, которая действует с февраля 2022 года и возглавляется лидером хакеров, известным как "YourAnonWolf". У группы нет предпочтений в атаках на отрасли или страны, и она легко и успешно атаковала компании в различных отраслях по всему миру, включая здравоохранение, информационные технологии, страхование, юриспруденцию и финансы. Они размещают украденные данные на различных хакерских форумах, но никогда не используют программы-выкупы и не продают украденные данные с целью получения прибыли.

Согласно статистике, SiegedSec получил конфиденциальные данные, электронную почту и данные по меньшей мере 30 различных компаний. В апреле они разместили базы данных, документы и электронную почту 17 различных компаний. В мае они заявили, что успешно атаковали NewsVoir, издательство новостей в Индии, и публично обнародовали 27 Гб документов, украденных с серверов этого новостного издания.

26 мая 2023 года хакерская группа SiegedSec продолжила атаковать правительство Колумбии, утверждая, что получила доступ к базам данных правительственных сайтов, содержащих данные пользователей. Они также атаковали контроллеры электропитания и системы дозаправки. 28 июня SiegedSec взломала правительственные сайты пяти штатов США - Небраски, Южной Дакоты, Пенсильвании, Южной Каролины и Техаса, похитив 15 000 записей об уходе за детьми и некоторые файлы, связанные с Верховным судом Небраски и Информационной службой уголовного правосудия Южной Каролины.

Группа SiegedSec также, по-видимому, скомпрометировала несколько спутниковых приемников с функциями безопасности, отключенными по умолчанию или с учетными данными по умолчанию. Они разместили в Telegram документ с картой точек, расположенных у побережья Техасского залива - района, где сосредоточены морские нефтегазовые установки.

В ответ на эту деятельность Соединенные Штаты организовали должностных лиц в нескольких штатах для расследования деятельности "SiegedSec" с политически мотивированными хакерскими атаками. SiegedSec специализируется на разведке угроз, уязвимостей, анализе вредоносных программ, технологиях (инструментах) проникновения и других смежных областях. Они не отвечают на личные сообщения. Судя по их действиям, похоже, что их целью является не только веселье и развлечения, но и финансовая выгода.

#ParsedReport #CompletenessLow
10-07-2023

[QuickNote] Examining Formbook Campaign via Phishing Emails

https://kienmanowar.wordpress.com/2023/07/06/quicknote-examining-formbook-campaign-via-phishing-emails

Report completeness: Low

Threats:
Formbook

Victims:
Various companies

IOCs:
File: 9
Url: 3
Hash: 1

Soft:
wordpress

Algorithms:
aes, gzip, sha256, base64

Functions:
RPJ

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматривается кампания по распространению вредоносного ПО Formbook, наблюдаемая с использованием фишинговых писем, в которых применяется алгоритм Dlt для декодирования адреса загрузки полезной нагрузки и ложного PDF. Полезная нагрузка представляет собой новую сборку вредоносной программы FormBook, которая является вредоносной программой для кражи данных и захвата форм. Пользователям важно сохранять бдительность и иметь на своих компьютерах обновленное антивирусное программное обеспечение.
-----

Эта статья посвящена кампании по распространению вредоносного ПО Formbook, которая была замечена при использовании фишинговых писем. Было обнаружено, что в этой кампании используется полезная нагрузка .NET с функцией расшифровки, использующей алгоритм Dlt. После выполнения полезной нагрузки .NET она распаковывает конечную полезную нагрузку, которая представляет собой новую сборку вредоносной программы FormBook.

Вредоносные письма в этой кампании отправлялись с различных поддельных адресов электронной почты, а в темах сообщений содержались такие слова, как "счет", "оплата", "заказ" и "счет". В теле письма содержалась ссылка на файл, размещенный на удаленном сервере. При нажатии на ссылку на компьютер жертвы загружался исполняемый файл .NET.

Было обнаружено, что исполняемый файл .NET использует алгоритм Dlt для декодирования адреса загрузки файлов (полезной нагрузки следующего этапа). Переписав алгоритм Dlt в Python и выполнив декодирование, был получен адрес загрузки полезной нагрузки и ложного PDF.

Когда полезная нагрузка была выполнена, она распаковала конечную полезную нагрузку, которая является полезной нагрузкой вредоносной программы FormBook. Вредоносная программа FormBook - это вредоносная программа для кражи данных и захвата форм, которая перехватывает нажатия клавиш, крадет пароли и делает скриншоты компьютера жертвы. Она также может быть использована для выполнения произвольного кода.

Эта конкретная кампания примечательна тем, что она является одной из немногих кампаний, использующих алгоритм Dlt для декодирования адреса загрузки полезной нагрузки. Также возможно, что злоумышленники используют новую сборку вредоносной программы FormBook, поскольку ранее не было сообщений об этом штамме.

Использование электронной почты и вредоносных ссылок в этой кампании - обычная тактика, применяемая злоумышленниками для распространения вредоносного ПО. Важно, чтобы пользователи сохраняли бдительность и не переходили по подозрительным ссылкам или вложениям. Кроме того, им следует убедиться, что на их компьютерах установлено обновленное антивирусное программное обеспечение.

#ParsedReport #CompletenessHigh
10-07-2023

The five-day job: A BlackByte ransomware intrusion case study

https://www.microsoft.com/en-us/security/blog/2023/07/06/the-five-day-job-a-blackbyte-ransomware-intrusion-case-study

Report completeness: High

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Blackbyte
Blacklotus
Lolbin_technique
Cobalt_strike
Beacon
Process_hollowing_technique
Proxyshell_vuln
Kovter
Anydesk_tool
Netscan_tool
Adfind_tool
Mimikatz_tool
Trojan:win64/wingoobfusc.lk
Exbyte_stealer
Upx_tool
Vssadmin_tool
Timestomp_technique
Process_hacker_tool
Procmon_tool
Ollydbg_tool
Windbg_tool
Screenconnect_tool
Teamviewer_tool

Victims:
Us critical infrastructure organizations

Geo:
Chinese

CVEs:
CVE-2019-16098 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Unavailable
Soft:
- msi afterburner (4.6.2.15658)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2049-16098 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-31207 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)

CVE-2022-21894 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.4
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 1909, 20h2, 21h1, 21h2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows 8.1 (-)
- microsoft windows server 2019 (-)
have more...

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 3
Registry: 3
Path: 14
Url: 4
File: 1049
Domain: 1
Hash: 6
Command: 6
Coin: 1

Soft:
microsoft 365 defender, microsoft defender, microsoft defender for endpoint, microsoft exchange, active directory, psexec, windows firewall, bootnxt, onenote, outlook, have more...

Algorithms:
sha256, base64

Functions:
ReadMe, RABAsSaa

Win API:
ShellExecuteW

Win Services:
db2, agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, mydesktopqos, mydesktopservice, Ntrtscan, have more...

Languages:
golang

Platforms:
intel, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Microsoft выявила субъекта угрозы, который использовал ряд инструментов и методов в пятидневной цепочке атак, кульминацией которой стало развертывание вымогательского ПО BlackByte 2.0.
-----

Мэтт Суиче из Magnet Forensics недавно обсудил основные угрозы безопасности и стратегии эффективного реагирования на инциденты, обратив внимание на деятельность китайского государственного агента Volt Typhoon, который атакует критически важную инфраструктуру США. Таня Янка из We Hack Purple поделилась своими соображениями о безопасности приложений и стратегиях защиты от потери данных в результате атак ransomware. Группа реагирования на инциденты Microsoft выявила субъекта угрозы, который всего за пять дней прошел всю цепочку атак - от первоначального доступа до нанесения ущерба. Угрожающий субъект использовал целый ряд инструментов и методов, кульминацией которых стало развертывание вымогательского ПО BlackByte 2.0.

Компания Microsoft предоставила индикаторы компрометации, сведения об обнаружении и руководство по охоте, чтобы помочь организациям выявить эти атаки и отреагировать на них. В данной атаке использовались уязвимости ProxyShell для эксплуатации непропатченных серверов Microsoft Exchange, что позволило угрожающему субъекту получить привилегии системного уровня, перечислить пользователей путем отправки запросов Autodiscover и создать действительный токен аутентификации. Бэкдор api-msvc.dll использовался для сбора системной информации, такой как установленные антивирусные продукты, имя устройства и IP-адрес, которые затем отправлялись через HTTP POST-запрос в канал C2. Файл sys.exe был идентифицирован как Cobalt Strike Beacon, который был настроен на связь с каналом C2.

Угрожающий агент использовал инструмент удаленного администрирования AnyDesk для поддержания постоянства и перемещения в сети. Кроме того, было замечено использование инструмента обнаружения сети NetScan и инструмента разведки Active Directory AdFind. Также были обнаружены следы инструмента для кражи учетных данных Mimikatz, который, вероятно, использовался для получения учетных данных привилегированных учетных записей. Подозрительный файл explorer.exe был идентифицирован и помещен в карантин. В конечном итоге было установлено, что это ExByte, инструмент на базе GoLang, используемый в атаках BlackByte ransomware для сбора и утечки файлов. Этот инструмент был создан специально для жертвы, поскольку содержал жестко закодированное имя устройства, принадлежащего жертве, и внутренний IP-адрес.

#ParsedReport #CompletenessMedium
10-07-2023

The Turkish Government Masqueraded Site Distributing Android RAT

https://blog.cyble.com/2023/07/10/the-turkish-government-masqueraded-site-distributing-android-rat

Report completeness: Medium

Victims:
Individuals

Industry:
Financial, Government

Geo:
Turkish, Turkey

TTPs:
Tactics: 7
Technics: 6

IOCs:
Url: 5
File: 2
Hash: 3

Soft:
android, telegram, unix

Algorithms:
sha256, sha1, zip

Links:
https://github.com/pedroSG94/rtmp-rtsp-stream-client-java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что фишинговые атаки становятся все более опасной угрозой для безопасности в Интернете, и злоумышленники постоянно пытаются манипулировать пользователями, невольно ставя под угрозу их данные и безопасность.
-----

Фишинговые атаки стали растущей угрозой для онлайн-безопасности, поскольку злоумышленники постоянно пытаются манипулировать пользователями, невольно ставя под угрозу их данные и безопасность. Компания Cyble Research & Intelligence Labs (CRIL) недавно обнаружила фишинговый сайт, маскирующийся под законную правительственную платформу из Турции. Этот обманчивый сайт был создан с целью обмануть пользователей и заставить их раскрыть свои личные данные с обещанием немедленного возврата денег за платеж, совершенный через систему карточных сборов. Однако настоящей целью этого вредоносного сайта была загрузка опасного троянца удаленного доступа (RAT) для Android на устройство пользователя.

Этот RAT способен выполнять широкий спектр вредоносных действий, таких как предотвращение деинсталляции, кейлоггинг, предоставление разрешений без ведома пользователя, выполнение несанкционированных транзакций и утечка конфиденциальных данных. Он также способен манипулировать полями редактирования текста в целевых приложениях, манипулировать содержимым буфера обмена, отправлять SMS-сообщения, инициировать телефонные звонки, собирать персонально идентифицируемую информацию (PII), запускать или удалять приложения, отключать звук устройства и регулировать настройки яркости. RAT устанавливает связь со ссылкой на учетную запись Telegram для получения адреса сервера C&C с веб-страницы. Кроме того, в его код включены три ссылки, состоящие из двух ссылок на учетную запись Telegram и одной ссылки на учетную запись icq.

TA часто используют тактику выдачи себя за другого, специально нацеливаясь на доверенные организации, такие как правительственные агентства или известные учреждения. В данном конкретном случае TA использовала сайт правительства Турции в качестве приманки, заманивая людей загрузить опасную RAT. Эта RAT обладает способностью выполнять такие продвинутые функции, как VNC, позволяя киберпреступникам осуществлять целый ряд вредоносных действий, не опасаясь обнаружения. Потенциальные последствия для жертв могут быть серьезными, если они не проявят осторожность.

#ParsedReport #CompletenessMedium
10-07-2023

Case Study. WhiteSnake Analysis

https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis

Report completeness: Medium

Threats:
Whitesnake_stealer
Icarus
Vidar_stealer
Aurora
Beacon
Antivm
De4dot_tool

Industry:
Telco

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1145, T1056, T1082, T1136, T1134, T1036, T1083, T1043, T1057, have more...

IOCs:
File: 22
Command: 2
Path: 17
IP: 30
Hash: 2

Soft:
chrome, chromium, vivaldi, coccoc, centbrowser, telegram, discord, pidgin, authy, outlook, have more...

Wallets:
jaxx, zcash, coinomi, bitcoincore, electrum, metamask, binancechain, tronlink

Crypto:
binance

Algorithms:
xor, rc4, zip, sha256, base64

Functions:
n, grab, b64encode, GetTypes

Win API:
GetCurrentProcess, GetModuleHandleA, GetForegroundWindow, GetWindowTextLengthA, GetWindowTextA, GetWindowThreadProcessId, CryptUnprotectData, DriveType, SetWindowsHookExA, GetKeyState, have more...

Win Services:
tpvcgateway, tpautoconnsvc

Languages:
python, dotnet

Platforms:
x86

YARA: Found

Links:
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WhiteSnake Stealer - это мощный вредоносный инструмент, используемый для кражи данных у ничего не подозревающих жертв. Он написан на .NET и способен собирать данные из широкого спектра приложений, включая браузеры, криптовалютные кошельки и чат-клиенты, а также делать скриншоты, собирать веб-камеры и проводить кейлоггинг. Кроме того, он может копировать себя на USB-накопители и в папки Startup учетных записей пользователей.
-----

WhiteSnake Stealer - это мощный вредоносный инструмент, используемый для кражи данных у ничего не подозревающих жертв. Впервые он появился на хакерской сцене в феврале 2022 года и быстро стал одним из самых популярных и мощных инструментов для кражи данных.

WhiteSnake Stealer собирает данные из различных браузеров, таких как Firefox, Chrome, Chromium, Edge, Brave, Vivaldi, CocCoc и CentBrowser, а также данные из Thunderbird, OBS-Studio, FileZilla, Snowflake-SSH, Steam, Signal, Telegram, Discord, Pidgin, Authy, WinAuth, Outlook, Foxmail, The Bat!, CoreFTP, WinSCP, AzireVPN, WindscribeVPN. Криптокошельки, на которые нацелился WhiteSnake, включают Atomic, Wasabi, Exodus, Binance, Jaxx, Zcash, Electrum-LTC, Guarda, Coinomi, BitcoinCore, Electrum, Metamask, Ronin, BinanceChain, TronLink и Phantom.

Панель конструктора WhiteSnake содержит различные настройки для конфигурирования крадущего и настройки его функций, например, включение бота Telegram для связи с C2, настройка параметров Loader и Grabber, шифрование эксфильтрированных данных ключом RC4 или добавление алгоритма шифрования RSA, а также указание определенной версии .NET framework для запуска крадущего. Кроме того, пользователь может генерировать полезные нагрузки с такими функциями, как AntiVM, Auto-Keylogger, Random resources, USB Spread и Local user spread в Python 1-2 или 3.

WhiteSnake Stealer написан на .NET и имеет размер около 251 КБ. Он использует RC4-шифрованные строки и мьютекс, присутствующий в конфигурации. Он также проверяет наличие песочницы с помощью WMI-запроса и создает каталог Tor под случайным именем, полученным из конфигурации. Для предотвращения обнаружения он не требует от пользователя аренды сервера, а связь между зараженной и контролируемой злоумышленником машиной обрабатывается с помощью Tor.

WhiteSnake Stealer способен собирать данные из Firefox, Exodus, Electrum, FileZilla, Thunderbird, Pidgin и Telegram. Он также способен делать скриншоты, собирать данные с веб-камер и проводить кейлоггинг. Кроме того, он может копировать себя на USB-накопители и в папки Startup учетных записей пользователей.

From Slides to Threats: Transparent Tribe's New Attack on Indian Government Entities Using Malicious PPT

https://threatmon.io/wp-content/uploads/2023/07/From_Slides_to_Threats_Transparent_Tribes_New_Attack_on_Indian.pdf

#ParsedReport #CompletenessMedium
11-07-2023

Analysis of the Rekoobe Backdoor Being Used In Attacks Against Linux Systems in Korea

https://asec.ahnlab.com/en/55229

Report completeness: Medium

Actors/Campaigns:
Apt31

Threats:
Rekoobe_rootkit
Supply_chain_technique

Victims:
Korean companies

Geo:
Chinese, Korean, China, Korea

ChatGPT TTPs:
do not use without manual check
T1543.002, T1090

IOCs:
Hash: 4
Domain: 2
IP: 3
Url: 1

Soft:
wordpress

Algorithms:
aes-128, hmac, sha1, xor

Functions:
strcpy

Languages:
java

Platforms:
x64, x86

Links:
https://github.com/creaktive/tsh/tree/master

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rekoobe - штамм вредоносного ПО с бэкдором, используемый китайской угрожающей группой APT31, который маскируется под /bin/bash, использует алгоритм HMAC SHA1 для генерации ключа AES-128 для шифрования и может выполнять такие команды, как загрузка файлов, скачивание файлов и обратное выполнение оболочки с C&C-сервера.
-----

Rekoobe - это штамм вредоносного ПО с бэкдором, используемый китайской группой APT31 и предназначенный для атак на серверы Linux. Впервые он был обнаружен в 2015 году, а его обновленные версии использовались в атаках уже в 2018 году. Чтобы избежать обнаружения, Rekoobe маскируется, меняя имя своего процесса на /bin/bash. Для связи с командно-контрольным сервером он использует алгоритм HMAC SHA1 для генерации ключа AES-128, используемого для шифрования данных. Он может получать от C&C-сервера такие команды, как загрузка файлов, скачивание файлов и обратное выполнение командной строки.

Варианты Rekoobe были обнаружены в многочисленных образцах, собранных в Корее, и все они базируются на архитектуре x64 и выполнены в виде reverse shell. Судя по всему, угрожающий агент использует инструмент-конструктор для генерации различных паролей для каждой атаки, в то время как данные, используемые для проверки целостности, всегда одни и те же.

#ParsedReport #CompletenessLow
11-07-2023

Malicious Batch File (*.bat) Disguised as a Document Viewer Being Distributed (Kimsuky)

https://asec.ahnlab.com/en/55219

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.agent.sc190255
Trojan/vbs.agent.sc190256

Industry:
Military

Geo:
Korean, Indo-pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1140, T1060, T1105, T1497

IOCs:
File: 25
Url: 19
Path: 7
Registry: 1
Command: 1
Hash: 4

Soft:
onenote, outlook, chrome, task scheduler, curl