#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) обнаружил вредоносный пакетный файл, распространяемый группой Kimsuky, который маскируется под программу просмотра документов и может изменять расположение или свойства ярлыков браузеров и электронной почты. Этот вредоносный пакетный файл способен выполнять дополнительные неидентифицированные вредоносные действия. Пользователям следует проявлять осторожность при выполнении файлов ярлыков документов Word, интернет-браузеров и Outlook.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) выявил распространение вредоносного ПО в виде пакетного файла (*.bat). Это вредоносное ПО предназначено для загрузки различных скриптов, основанных на процессе защиты от вредоносного ПО, в том числе продуктов компании "АнЛаб", установленных в среде пользователя. Есть подозрение, что данный вредоносный пакетный файл был распространен группой Kimsuky, хотя точный путь распространения пока не подтвержден.

Вредоносный пакетный файл замаскирован под программу просмотра документов, таких как Word и HWP. При выполнении файла он получает доступ к Google Drive и Docs через команду explorer, выполняет файл документа, загруженный в Google Docs или Drive, создавая видимость выполнения программы-просмотрщика. Документы, к которым обращается файл, чаще всего содержат контент, связанный с военным делом или унификацией. Кроме того, вредоносная программа изменяет расположение или свойства ярлыков (*.lnk-файлов) браузеров и электронной почты, находящихся в определенной папке. Модификация производится таким образом, что при нажатии пользователем на файл ярлыка для запуска Outlook или браузера также выполняется вредоносная команда агента угроз.

На момент анализа файл onenote.vbs, загружаемый при подтверждении процесса Avast, не содержал команды, заданной угрожающим агентом. Однако вредоносный пакетный файл по-прежнему способен выполнять различные вредоносные команды в соответствии с намерениями угрожающего агента. На момент анализа такие действия, как загрузка исполняемых файлов, не наблюдались, однако из-за особенностей загрузки и выполнения различных скриптов существует вероятность выполнения дополнительных неидентифицированных вредоносных действий, основанных на командах, содержащихся в скриптах.

Кроме того, угроза заменила шаблон документа по умолчанию Normal.dotm, а также модифицировала файлы ярлыков, связанные с браузером и электронной почтой. Поэтому пользователям следует проявлять повышенную осторожность, так как существует вероятность установки вредоносных скриптов при выполнении файлов быстрого доступа (*.lnk) документов Word, интернет-браузеров, таких как Chrome, и Outlook.

#ParsedReport #CompletenessMedium
11-07-2023

Clop At The Top But For How Long?

https://news.sophos.com/en-us/2023/07/10/clop-at-the-top

Report completeness: Medium

Actors/Campaigns:
Fin11
Ta505
Darkside
Carbanak
Whisper_spider

Threats:
Clop
Cryptomix
Supply_chain_technique
Log4shell_vuln
Metasploit_tool
Cobalt_strike
Beacon
Megasync_tool
Truebot

Victims:
Organizations in the us, canada, latin america, asia pacific, and europe

Industry:
Government, Financial, Education, Healthcare

Geo:
Canada, Russian, Asia, Pacific, Russia, America, Ukraine

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


TTPs:
Tactics: 5
Technics: 2

IOCs:
File: 3

Soft:
goanywhere, moveit, papercut

Links:
https://github.com/threatlabz/ransomware\_notes/blob/main/clop/clop2.txt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банда вымогателей Clop - это финансово мотивированная организация, связанная с другими киберпреступными группировками и известная своим вымогательством в виде варианта CryptoMix. Группа использует множество тактических приемов для повышения вероятности выплаты выкупа жертвами, и правоохранительные органы активно ведут против нее судебные разбирательства. Тем не менее, судя по всему, группа хорошо укомплектована, квалифицирована и амбициозна, и, скорее всего, будет продолжать представлять угрозу до тех пор, пока выкупы не перестанут выплачиваться.
-----

Банда Clop - это финансово-мотивированная организация, предположительно действующая из русскоязычных стран. Она связана с группировками TA505 и FIN11 и наиболее известна благодаря своему варианту вымогательского ПО CryptoMix. В последнее время эта группировка получила широкую огласку благодаря серии атак с использованием системы передачи файлов MOVEit компании Progress Software, жертвами которых стали организации в США, Канаде, Латинской Америке, Азиатско-Тихоокеанском регионе и Европе.

Для повышения вероятности выплаты выкупа Clop использует несколько тактик. Первоначальный доступ к сети жертвы группа получает с помощью фишинговых писем, наборов эксплойтов или использования уязвимостей в программном обеспечении и системах. Используя Cobalt Strike Beacon, она закрепляется на первой скомпрометированной машине, а затем перемещается в другую сторону, отыскивая и заражая подключенные системы. Перед развертыванием программы-вымогателя Clop также осуществляет эксфильтрацию ценных, по ее мнению, данных из скомпрометированных сетей, что позволяет ей оказывать давление на жертв, вынуждая их выплачивать значительные выкупы.

Clop шифрует максимально возможное количество типов файлов, меняя расширение зашифрованных файлов на .Clop и оставляя на взломанных системах записку с выкупом README.TXT. В некоторых случаях группировка также стремится перегрузить сеть объекта DDoS. Известно также, что Clop сотрудничает с другими киберпреступными группировками, включая TA505, DarkSide и FIN7, а также предлагает свои программы-вымогатели для продажи на сайтах RaaS (ransomware-as-a-service).

Правоохранительные органы и организации, занимающиеся вопросами кибербезопасности, активно ведут судебные разбирательства с бандой Клопа. Однако, судя по всему, это не замедлило сказаться на темпах развития группировки, поскольку она продолжает использовать уязвимости (исправленные и неисправленные) и совместные операции для расширения своего присутствия. Судя по всему, группа по-прежнему хорошо укомплектована, квалифицирована и амбициозна, и, скорее всего, будет представлять угрозу до тех пор, пока не перестанут выплачиваться выкупы.

#ParsedReport #CompletenessLow
11-07-2023

Six Malicious Python Packages in the PyPI Targeting Windows Users

https://unit42.paloaltonetworks.com/malicious-packages-in-pypi

Report completeness: Low

Threats:
Wildfire
Supply_chain_technique
W4sp
Typosquatting_technique

Victims:
Windows users, pypi users

Industry:
Education, Financial

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1082, T1059, T1562.001, T1576, T1218

IOCs:
Url: 5
File: 2

Soft:
discord

Win API:
CryptUnprotectData

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные пакеты стали реальностью в экосистеме открытого кода, в результате чего PyPI приостановил регистрацию и загрузку новых пакетов в связи с ростом вредоносной активности. Специалисты по безопасности должны разрабатывать контрмеры для защиты от вредоносных пакетов, такие как защита на основе угроз.
-----

В марте 2023 года исследователи Unit 42 обнаружили шесть вредоносных пакетов в менеджере пакетов Python Package Index (PyPI). Вредоносные пакеты предназначались для кражи учетных данных приложений пользователей Windows, персональных данных и информации для отслеживания криптовалютных кошельков. Атака представляла собой попытку имитации действий группы W4SP, которая ранее провела несколько атак на цепочки поставок с использованием вредоносных пакетов. Вредоносные пакеты не имели связанного репозитория на GitHub и имели ограниченное количество загрузок. При выполнении пакеты собирали конфиденциальные данные и отправляли их на сторонние URL-адреса. Имена пользователей автора (авторов) пакетов создавались в течение нескольких минут друг за другом по характерной схеме.

Вредоносные пакеты предназначены для нанесения вреда компьютерным системам или обрабатываемым ими данным. Они могут распространяться через фишинговые письма, взломанные веб-сайты или даже легитимные репозитории программного обеспечения и способны распространяться на другие взаимосвязанные системы, вызывая масштабные повреждения и сбои в работе. При каждой атаке злоумышленник менял свое имя и использовал объект _ffile для создания временного файла. Затем содержимое файла записывалось и загружалось с URL с помощью функции urlopen из модуля urllib.request и выполнялось с помощью функции exec. Злоумышленник также использовал сконфигурированную версию W4SP Stealer 1.1.6, которая импортировала несколько библиотек, включая requests, Crypto.Cipher, json и sqlite3. Затем он использовал различные техники для извлечения и расшифровки сохраненных учетных данных браузера, включая пароли и cookies, после чего отправлял эту информацию на веб-хук Discord.

Угроза распространения вредоносных пакетов в экосистеме открытых исходных кодов стала реальностью, в результате чего PyPI временно приостановил регистрацию и загрузку новых пакетов в связи с ростом вредоносной активности. Регулярное обучение и технические отчеты могут помочь специалистам по безопасности разработать более эффективные меры противодействия вредоносным пакетам. Такие средства защиты от угроз, как "облачный" механизм защиты от вредоносных программ Palo Alto Networks WildFire, Image Analysis Sandbox, Prisma Cloud и Cortex XDR, помогут обнаружить вредоносные двоичные файлы и обеспечат комплексную защиту от новых методов выполнения кода в конвейерах CI и средах разработчиков.

#ParsedReport #CompletenessHigh
11-07-2023

Hunting for A New Stealthy Universal Rootkit Loader

https://www.trendmicro.com/en_us/research/23/g/hunting-for-a-new-stealthy-universal-rootkit-loader.html

Report completeness: High

Threats:
Fivesys
Poortry
Vmprotect_tool
Terminator_tool
Disabling_antivirus_technique

Victims:
Gaming sector in china

Industry:
Entertainment, Financial

Geo:
Chinese, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1218.002, T1574.001, T1090, T1090.004, T1572, T1112

IOCs:
Path: 1
Registry: 1
Url: 1
Domain: 12
IP: 2

Soft:
windows kernel, windows defender

Algorithms:
exhibit

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 25, schema: 4, windows: 15, chart: 4, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют руткиты для того, чтобы скрыть вредоносный код от средств защиты, ослабить защиту и долгое время оставаться незамеченными. Эти руткиты используются сложными группами, обладающими навыками и ресурсами для разработки подобных инструментов, и представляют опасность благодаря своей способности скрывать целевые атаки на ранних этапах цепочки поражения.
-----

Недавно мы обнаружили новый подписанный код руткита, который взаимодействует с крупной командно-контрольной инфраструктурой. Этот руткит был подписан в рамках процесса Windows Hardware Quality Lab (WHQL) компании Microsoft, что затрудняет его идентификацию и обнаружение. Судя по всему, злоумышленники происходят из Китая и в основном нацелены на игровой сектор в этой стране.

Вредоносные субъекты демонстрируют компетентность в использовании инструментов, тактик и процедур (TTP). Поиск 64-битных подписанных руткитов сейчас сложнее, чем в прошлом, из-за увеличения количества подписанных драйверов, более высокой стоимости разработки и отсутствия технических возможностей для включения руткитов ядра в свой арсенал вредоносного ПО или доступа к техникам, необходимым для обхода защитных средств, добавленных в новые версии Windows. Мы выявили два различных кластера образцов, которые имели много общих черт между собой, что указывает на то, что злоумышленник, создавший эти образцы, все еще находится на стадии тестирования и разработки.

Драйвер первого этапа отвечает за все сетевые взаимодействия с C&C-серверами. Он инициирует все взаимодействия из пространства ядра, используя WSK, сетевой программный интерфейс (NPI) в режиме ядра, и периодически соединяется с C&C-сервером для получения конфигурации. Он также может выступать в роли загрузчика драйверов ядра, получая побайтно данные от C&C-сервера, декодируя и расшифровывая их, загружая в память, разбирая полученный Portable Executable (PE) файл и вызывая точку входа в драйвер. Функция уведомления об отключении на первом этапе проверяет, был ли получен и загружен в память с C&C-сервера плагин ядра для очистки. Кроме того, создается служба с именем BaohuName, которая будет запущена при повторном старте системы.

Второй этап отвечает за установку прокси-сервера на машину и перенаправление трафика веб-браузеров на удаленную прокси-машину. Сначала он редактирует конфигурацию прокси-сервера Windows и внедряет в браузер JavaScript, который, исходя из URL-адреса, может перенаправить его на другой сервер. Мы обнаружили, что драйверы и известный руткит FiveSys имеют много общего с точки зрения функциональности, схожести кода, инфраструктуры и виктимологии.

Злоумышленники будут продолжать использовать руткиты для сокрытия вредоносного кода от средств защиты, ослабления защитных механизмов и длительной незаметности. Эти руткиты будут активно использоваться сложными группами, обладающими как навыками обратного инжиниринга низкоуровневых компонентов системы, так и необходимыми ресурсами для разработки подобных инструментов. Это означает, что основная опасность руткитов такого рода заключается в их способности скрывать сложные целевые атаки, которые будут использоваться на ранних этапах цепочки поражения, позволяя злоумышленнику ослабить защиту до того, как полезная нагрузка будет запущена в среду жертвы.

#ParsedReport #CompletenessMedium
11-07-2023

Breaking into the Bandit Stealer Malware Infrastructure. Technical Analysis

https://www.cloudsek.com/blog/breaking-into-the-bandit-stealer-malware-infrastructure

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Bandit_stealer
Vidar_stealer
Redline_stealer
Raccoon_stealer
Process_hacker_tool
Ollydbg_tool
Empyrean

Victims:
Individuals and companies whose data was stolen from web browsers, digital wallets and ftp applications

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1218, T1486, T1564, T1566, T1574, T1577

IOCs:
Path: 1
File: 1
IP: 1
Hash: 3

Soft:
telegram, chrome, 7star, vivaldi, orbitum, microsoft edge, torch, kometa, centbrowser, amigo, have more...

Wallets:
coinbase, saturn_wallet, metamask, coin98, ronin_wallet, multidoge, tronlink, kardiachain, terra_station, electron_cash, have more...

Crypto:
bitcoin, binance, litecoin, ethereum, monero, dogecoin

Algorithms:
zip

Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent

Win Services:
vgauthservice

Languages:
javascript, python

Links:
https://github.com/addi00000/empyrean/blob/28add58d1fa7f6523ab8b958e8e4ede764593612/src/components/antidebug.py#L19

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Bandit Stealer - недавно обнаруженная разновидность вредоносного ПО для похищения информации, написанная на языке Go. Он распространяется в основном через видеоролики на YouTube и предназначен для обнаружения виртуальных машин и отладчиков. Он способен осуществлять эксфильтрацию данных из зараженных систем, данных из популярных браузеров и может управляться с помощью веб-панели. Он был обнаружен на русскоязычных андеграундных форумах и использует идентичную копию файла из открытого проекта вредоносного ПО stealer. Компания CloudSEK отмечает рост количества видеороликов на YouTube, содержащих ссылки на вредоносное ПО stealer, на 200-300% в месяц.
-----

Bandit Stealer - это новая разновидность вредоносного ПО для кражи информации, написанная на языке Go. Впервые он был обнаружен исследователями CloudSEK 06 июля 2023 года и распространяется в основном через видеоролики на YouTube. Вредоносная программа предназначена для обнаружения виртуальных машин и отладчиков и отключается, если обнаруживает среду "песочницы".

Bandit Stealer собирает с зараженных систем самые разнообразные данные: данные о ПК и пользователях, скриншоты, информацию о геолокации и IP-адресах, изображения с веб-камер, данные из популярных браузеров, FTP-приложений и цифровых кошельков. В каталоге C:\Users\USERNAME\AppData\Roaming\blacklist.txt хранится составленный черный список, который позволяет определить, работает ли программа в песочнице/виртуальной среде или на реальной системе.

Управление вредоносной программой осуществляется с помощью веб-панели, которая включает в себя страницу входа в систему, интерфейс приборной панели и страницу конструктора. Для осуществления своей деятельности угрозы используют канал связи, адреса криптовалютных кошельков, URL загрузчика и имя файла. Страница сборки используется для генерации исполняемых файлов. Похищенные данные отправляются на защищенный Telegram-бот и упаковываются в ZIP-файл для удобства передачи.

Исследователи CloudSEK недавно обнаружили не менее 14 IP-адресов, обслуживающих веб-панель Bandit Stealer, большинство из которых вышли из строя в течение 24 часов. Все эти IP-адреса работали через порт 8080. Также было обнаружено сообщение с упоминанием этой вредоносной программы на одном из русскоязычных подпольных форумов, где за нее поручился один из участников угроз.

Вредоносная программа нацелена на более чем 25 криптовалютных кошельков и 17 веб-браузеров, включая Firefox, Chrome и Edge. Она способна перехватывать сохраненные регистрационные данные, файлы cookie, историю посещений и данные кредитных карт, хранящиеся в пользовательском профиле браузера. Пример перехвата cookies Firefox программой Bandit Stealer был найден в логах, извлеченных из ее веб-панели.

Вредоносная программа использует идентичную копию файла "blacklist.txt" из открытого проекта вредоносной программы-кражи под названием EMPYREAN, доступного на Github. В нем также содержится скриншот процесса уничтожения антиреверсивных инструментов с помощью Command Prompt и PowerShell. Еще один скриншот демонстрирует использование бота Telegram во вредоносной программе в качестве канала связи C2. Собранные данные упаковываются в ZIP-файл и передаются на сервер C2, принадлежащий Telegram (149.154.167.220).

С ноября 2022 года компания CloudSEK заметила увеличение на 200-300% за месяц количества видеороликов на YouTube, содержащих в описании ссылки на вредоносные программы-крадуны, такие как Vidar, RedLine и Raccoon. Это один из наиболее распространенных механизмов доставки вредоносных программ среди угроз.

#ParsedReport #CompletenessMedium
11-07-2023

Legion Stealer targeting PUBG players

https://blog.cyble.com/2023/07/11/legion-stealer-targeting-pubg-players

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Legion_stealer
Legion
Meteor_wiper
Beacon
Credential_dumping_technique

Victims:
Players of popular game playerunknown's battle grounds (pubg)

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 8
Command: 1
Registry: 3
Hash: 2

Soft:
microsoft visual studio, visual studio, windows defender, lox stud, chrome, chromium, comodo dragon, opera, slimjet, vivaldi, have more...

Wallets:
zcash, jaxx, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
ethereum

Algorithms:
sha256, zip, sha1

Functions:
GetPasswords, GetCookies

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие организации используют совместную работу на GitHub для распространения вредоносных программ, бэкдоров и эксплойтов через репозитории. Недавно был обнаружен вредоносный файл, маскирующийся под хакерский проект PUBG bypass. Это вредоносное ПО обладает целым рядом методов обхода защиты и предназначено для извлечения конфиденциальной информации из веб-браузеров, криптовалютных кошельков и игровых файлов. Пользователям важно проявлять осторожность при загрузке и запуске файлов и скриптов.
-----

GitHub - это веб-платформа, обеспечивающая контроль версий и совместную работу над проектами по разработке программного обеспечения. Угрозы могут использовать GitHub для распространения вредоносных программ, бэкдоров или эксплойтов через репозитории, используя совместную работу пользователей, чтобы заставить их выполнить вредоносный код. Недавно компания Cyble Research and Intelligence Labs (CRIL) обнаружила страницу GitHub, маскирующуюся под хакерский проект PUBG bypass, но на самом деле распространяющую вредоносный файл.

Этот вредоносный файл представлял собой 32-разрядный исполняемый файл, скомпилированный с использованием .NET и обфусцированный с помощью неизвестного обфускатора. При выполнении он содержал ряд команд, направленных на обход обнаружения, несанкционированный доступ и использование уязвимостей, имеющихся в скомпрометированной системе. Эти команды включали в себя манипуляции с настройками Windows Defender, извлечение информации из реестра и сбор сведений о системе. Кроме того, вредоносная программа выполняла сканирование по жестко заданному списку имен прикладных процессов, связанных с программами виртуализации и средствами анализа вредоносных программ. Если на компьютере жертвы обнаруживались активные процессы, вредоносная программа выполняла действия по их завершению.

Полезная нагрузка Legion Stealer также содержала список имен компьютеров, имен пользователей и аппаратных идентификаторов, которые использовались в качестве идентификаторов для определения того, работает ли она в контролируемой среде. Если имя компьютера, имя пользователя или аппаратный идентификатор совпадали с любой записью в списке, крадущий завершал свою работу. После выполнения защитных действий похититель приступал к сбору системной информации и извлечению конфиденциальных данных из таких браузеров, как Brave, Chrome, Chromium, Comodo Dragon, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi и Yandex.

Вредоносная программа также нацеливалась на такие криптовалютные кошельки, как Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda и Coinomi, запрашивая и считывая файлы, расположенные в соответствующих каталогах. Кроме того, злоумышленники искали файлы сессий Minecraft и cookies Roblox, перехватывали изображения с веб-камер и делали скриншоты системы жертвы. Похищенные данные сжимались и передавались на сервер Discord.

Этот инцидент подчеркивает важность осторожности при загрузке и запуске файлов и скриптов. Многие геймеры испытывают искушение использовать читы или хаки для получения нечестного преимущества в играх, часто доверяя игровому контенту без должной осторожности. ТА используют этот спрос, маскируя свои вредоносные программы под игровые читы или обходные пути. Рост числа похитителей информации вызывает озабоченность, поскольку они помогают ТА получить первоначальный доступ, что позволяет им компрометировать корпоративные сети и усиливать угрозы. CRIL будет продолжать следить за появлением новых штаммов вредоносного ПО и фишинговых кампаний в природе и обновлять блоги с оперативной информацией для защиты пользователей от подобных атак.

#ParsedReport #CompletenessMedium
11-07-2023

SCARLETEEL 2.0: Fargate, Kubernetes, and Crypto

https://sysdig.com/blog/scarleteel-2-0

Report completeness: Medium

Actors/Campaigns:
Scarleteel (motivation: financially_motivated)

Threats:
Pandora
Mirai
Netcat_tool
Xmrig_miner

Industry:
Iot, Financial

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1218, T1564, T1566, T1053, T1003, T1083, T1071, T1563, T1552

IOCs:
IP: 4
Domain: 3
Url: 1
File: 1

Soft:
fargate, docker, curl, alpine docker, systemd

Crypto:
monero

Algorithms:
base64

Functions:
get_aws_data, send_aws_data, notraces

Languages:
php, javascript

Links:
https://github.com/RhinoSecurityLabs/pacu
https://github.com/moparisthebest/static-curl
https://github.com/unknownhad/AWSAttacks/blob/main/10-01-2023
https://github.com/inguardians/peirates

#ParsedReport #ExtractedSchema

Classified images:
table: 2, code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SCARLETEEL - это угроза, которая атакует облачные среды и похищает интеллектуальную собственность. Для защиты от атак SCARLETEEL организациям необходимо иметь несколько уровней защиты.
-----

Операция SCARLETEEL - это постоянно развивающаяся угроза, которая уже некоторое время атакует облачные среды. Команда Sysdig Threat Research Team впервые сообщила о них в феврале прошлого года, и с тех пор они усовершенствовали свою тактику, чтобы обойти меры безопасности и стать еще более скрытными. Их целью является не только криптомайнинг, но и кража интеллектуальной собственности. Их методы стали включать в себя атаку на кластеры AWS Fargate и Kubernetes, что позволяет значительно расширить возможности атак.

Для эксплуатации облачных сред SCARLETEEL использует различные инструменты, включая контейнеры с блокнотами JupyterLab, скрипты GitHub, вредоносные программы Pandora, peirates и клиент AWS. С помощью этих инструментов злоумышленники получают доступ к учетным данным AWS, повышают привилегии до AdministratorAccess, запускают инстансы EC2 с майнерами, загружают и выполняют инструменты, осуществляют эксфильтрацию данных, отправляют и получают данные из доменов C2.

Для защиты от этой угрозы организации должны иметь несколько уровней защиты. К ним относятся обнаружение угроз во время выполнения программы, управление уязвимостями, CSPM и CIEM. Без этих уровней организация рискует понести значительные финансовые потери из-за SCARLETEEL. Кроме того, для защиты от этих атак организации должны поддерживать все программное обеспечение и приложения в актуальном состоянии и обеспечивать надлежащую политику контроля доступа.

#ParsedReport #CompletenessHigh
13-07-2023

CustomerLoader: a new malware distributing a wide variety of payloads. Introduction

https://blog.sekoia.io/customerloader-a-new-malware-distributing-a-wide-variety-of-payloads

Report completeness: High

Threats:
Customerloader
Dotrunpex
Kraken_keylogger
Redline_stealer
Formbook
Vidar_stealer
Stealc
Raccoon_stealer
Lumma_stealer
Stormkitty_stealer
Agent_tesla
Darkcloud
Kraken
Asyncrat_rat
Quasar_rat
Remcos_rat
Xworm_rat
Njrat
Warzone_rat
Sbit_rat
Nanocore_rat
Sectop_rat
Lgoogloader
Amadey
Tzw_ransomware
Wannacry
Amsi_bypass_technique
Seo_poisoning_technique

TTPs:
Tactics: 3
Technics: 9

IOCs:
Url: 12
File: 4
Hash: 7
IP: 5
Domain: 52

Soft:
windows defender, slack

Algorithms:
base64, aes, zip

Win API:
AmsiScanBuffer

YARA: Found

Links:
https://github.com/NotPrab/.NET-Obfuscator

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CustomerLoader - это новая вредоносная программа для .NET, связанная с сервисом Loader-as-a-Service, который используется для доставки различных вредоносных полезных нагрузок. Аналитики Sekoia.io обнаружили несколько цепочек заражения CustomerLoader, которые используются в фишинговых кампаниях и на сайтах с поддельными установщиками. Sekoia.io продолжит наблюдение за развитием CustomerLoader и поиск новых вредоносных программ.
-----

CustomerLoader - это новая вредоносная программа .NET, связанная с сервисом Loader-as-a-Service, который был обнаружен в начале июня 2023 года. Вредоносная программа используется для загрузки, расшифровки и выполнения полезной нагрузки из вредоносных фишинговых писем, видеороликов YouTube и веб-страниц. Полезная нагрузка, доставляемая CustomerLoader, представляет собой образцы dotRunpeX, которые поставляют различные семейства вредоносных программ, включая инфокрады, троянские программы удаленного доступа (RAT) и товарные программы-вымогатели.

Аналитики Sekoia.io обнаружили три цепочки заражений, распространяющих CustomerLoader в дикой природе. Эти злоумышленники использовали CustomerLoader в своей кампании распространения и почти наверняка являются клиентами сервиса Loader-as-a-Service. Вредоносная программа использует различные техники для обфускации своего кода и скрытия его выполнения, маскируясь под легитимное приложение. Кроме того, он исправляет функцию AmsiScanBuffer из amsi.dll, которая проверяет содержимое буфера на наличие потенциального вредоносного кода, возвращая константу AMSI_RESULT_CLEAN для метода AmsiScanBuffer в случае записи в память вредоносной полезной нагрузки.

Вредоносная программа загружает HTML-страницу со встроенного URL; Извлекает из страницы загрузки закодированную строку base64 с помощью регулярного выражения: /!!!(.*?)!!!/ Декодирует строку base64 и расшифровывает ее; Использует технику отражающего кода для выполнения полезной нагрузки в памяти.

В период с 31 мая по 20 июня 2023 года образцы CustomerLoader напрямую общались по IP-адресу с сервером C2 5.42.94 . 169 по протоколу HTTP. 20 июня 2023 года CustomerLoader переключил свой C2-сервер и коммуникации на доменное имя kyliansuperm92139124 . sbs и HTTPS. Домен kyliansuperm92139124 . sbs защищен системой Cloudflare, что предотвращает сканирование и сбор полезной нагрузки исследователями безопасности. Однако этот домен является прокси для C2-коммуникаций, а внутренний сервер всегда находится по адресу 5.42.94 . 169.

CustomerLoader был замечен в фишинговых кампаниях, на украденных аккаунтах YouTube, а также в виде поддельного инсталлятора, выдающего себя за сайт программы для проведения видеоконференций Slack.

Аналитики Sekoia.io выявили более 50 доменов, используемых для широкого распространения товарного вредоносного ПО. Также были замечены дополнительные запросы к другим вредоносным доменам, вероятно, связанным с инфраструктурой одного злоумышленника. Эта инфраструктура, как правило, используется для размещения сайтов-распространителей и перенаправления на домены файлового хостинга.

По мнению аналитиков Sekoia.io, CustomerLoader, скорее всего, связан с сервисом Loader-as-a-Service и используется несколькими угрожающими субъектами, в том числе и теми, которые ранее были замечены в проведении долгосрочных кампаний с крупной и устойчивой инфраструктурой. Чтобы предоставить нашим клиентам оперативную информацию, Sekoia.io продолжит следить за развитием CustomerLoader и вести проактивный поиск новых вредоносных программ и инфраструктуры противника.

#ParsedReport #CompletenessLow
13-07-2023

Cisco Talos Intelligence Blog. Malicious campaigns target government, military and civilian entities in Ukraine, Poland

https://blog.talosintelligence.com/malicious-campaigns-target-entities-in-ukraine-poland

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Agent_tesla
Cobalt_strike
Beacon
Njrat
Confuserex_tool
Picassoloader
Binder

Victims:
Government entities, military organizations and civilian users in ukraine and poland

Industry:
Government, Financial, Military

Geo:
Belarusian, Ukrainian, Poland, Ukraine, Polish

IOCs:
File: 4

Soft:
microsoft office, microsoft excel, windows explorer

Algorithms:
aes, rc4

Functions:
SetQueryNetSessionCount

Win API:
DllUnregisterServer

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos недавно обнаружила агента постоянных угроз, проводящего кампании против государственных структур, военных организаций и гражданских пользователей в Украине и Польше. В качестве вредоносных файлов используются документы Microsoft Excel и PowerPoint, содержащие официальные изображения и текст, убеждающий пользователя включить макросы, а конечная полезная нагрузка, обнаруженная в кампании июля 2023 года, включает троян удаленного доступа (RAT) AgentTesla, маяки Cobalt Strike и njRAT.
-----

Недавно компания Cisco Talos обнаружила агента постоянных угроз, проводящего кампании против государственных структур, военных организаций и гражданских пользователей в Украине и Польше. Предполагается, что целью этих операций является сбор конфиденциальной информации и получение удаленного доступа к системам. Активность была обнаружена как в апреле 2022 года, так и в начале этого месяца, что свидетельствует об устойчивости агента.

Вредоносные файлы, используемые злоумышленником, представляют собой документы Microsoft Excel и PowerPoint, содержащие официальные изображения и текст, убеждающие пользователя включить макросы. В документах Excel отображаются легитимные документы, связанные с военными организациями, или общие описания того, как включить макросы VBA, а в файлах PowerPoint отсутствуют какие-либо слайды, но при этом выполняется код VBA.

Кампания "Июль 2023" была приписана украинской Группой реагирования на компьютерные аварии (CERT-UA) группе угроз UNC1151 и представляла собой форму платежной инструкции с кодом VBA от Государственной казначейской службы Украины. В Польше и Украине также были замечены типовые кампании, направленные на гражданские объекты, например, электронные таблицы Excel, маскирующиеся под формы деклараций по налогу на добавленную стоимость (НДС).

Среди последних полезных нагрузок, обнаруженных в ходе кампании "Июль 2023", - троян удаленного доступа (RAT) AgentTesla, маяки Cobalt Strike и njRAT. Вредоносный VBA-код отвечает за сброс исполняемого файла-загрузчика или DLL, который использует управляемый AES (алгоритм Rijndael) для расшифровки вложенных данных. Загрузчик имеет имя PicassoLoader и обфусцирован с помощью ConfuserEx, обфускатора, широко используемого для обфускации .NET-кода.