#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CustomerLoader - это новая вредоносная программа для .NET, связанная с сервисом Loader-as-a-Service, который используется для доставки различных вредоносных полезных нагрузок. Аналитики Sekoia.io обнаружили несколько цепочек заражения CustomerLoader, которые используются в фишинговых кампаниях и на сайтах с поддельными установщиками. Sekoia.io продолжит наблюдение за развитием CustomerLoader и поиск новых вредоносных программ.
-----

CustomerLoader - это новая вредоносная программа .NET, связанная с сервисом Loader-as-a-Service, который был обнаружен в начале июня 2023 года. Вредоносная программа используется для загрузки, расшифровки и выполнения полезной нагрузки из вредоносных фишинговых писем, видеороликов YouTube и веб-страниц. Полезная нагрузка, доставляемая CustomerLoader, представляет собой образцы dotRunpeX, которые поставляют различные семейства вредоносных программ, включая инфокрады, троянские программы удаленного доступа (RAT) и товарные программы-вымогатели.

Аналитики Sekoia.io обнаружили три цепочки заражений, распространяющих CustomerLoader в дикой природе. Эти злоумышленники использовали CustomerLoader в своей кампании распространения и почти наверняка являются клиентами сервиса Loader-as-a-Service. Вредоносная программа использует различные техники для обфускации своего кода и скрытия его выполнения, маскируясь под легитимное приложение. Кроме того, он исправляет функцию AmsiScanBuffer из amsi.dll, которая проверяет содержимое буфера на наличие потенциального вредоносного кода, возвращая константу AMSI_RESULT_CLEAN для метода AmsiScanBuffer в случае записи в память вредоносной полезной нагрузки.

Вредоносная программа загружает HTML-страницу со встроенного URL; Извлекает из страницы загрузки закодированную строку base64 с помощью регулярного выражения: /!!!(.*?)!!!/ Декодирует строку base64 и расшифровывает ее; Использует технику отражающего кода для выполнения полезной нагрузки в памяти.

В период с 31 мая по 20 июня 2023 года образцы CustomerLoader напрямую общались по IP-адресу с сервером C2 5.42.94 . 169 по протоколу HTTP. 20 июня 2023 года CustomerLoader переключил свой C2-сервер и коммуникации на доменное имя kyliansuperm92139124 . sbs и HTTPS. Домен kyliansuperm92139124 . sbs защищен системой Cloudflare, что предотвращает сканирование и сбор полезной нагрузки исследователями безопасности. Однако этот домен является прокси для C2-коммуникаций, а внутренний сервер всегда находится по адресу 5.42.94 . 169.

CustomerLoader был замечен в фишинговых кампаниях, на украденных аккаунтах YouTube, а также в виде поддельного инсталлятора, выдающего себя за сайт программы для проведения видеоконференций Slack.

Аналитики Sekoia.io выявили более 50 доменов, используемых для широкого распространения товарного вредоносного ПО. Также были замечены дополнительные запросы к другим вредоносным доменам, вероятно, связанным с инфраструктурой одного злоумышленника. Эта инфраструктура, как правило, используется для размещения сайтов-распространителей и перенаправления на домены файлового хостинга.

По мнению аналитиков Sekoia.io, CustomerLoader, скорее всего, связан с сервисом Loader-as-a-Service и используется несколькими угрожающими субъектами, в том числе и теми, которые ранее были замечены в проведении долгосрочных кампаний с крупной и устойчивой инфраструктурой. Чтобы предоставить нашим клиентам оперативную информацию, Sekoia.io продолжит следить за развитием CustomerLoader и вести проактивный поиск новых вредоносных программ и инфраструктуры противника.

#ParsedReport #CompletenessLow
13-07-2023

Cisco Talos Intelligence Blog. Malicious campaigns target government, military and civilian entities in Ukraine, Poland

https://blog.talosintelligence.com/malicious-campaigns-target-entities-in-ukraine-poland

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Agent_tesla
Cobalt_strike
Beacon
Njrat
Confuserex_tool
Picassoloader
Binder

Victims:
Government entities, military organizations and civilian users in ukraine and poland

Industry:
Government, Financial, Military

Geo:
Belarusian, Ukrainian, Poland, Ukraine, Polish

IOCs:
File: 4

Soft:
microsoft office, microsoft excel, windows explorer

Algorithms:
aes, rc4

Functions:
SetQueryNetSessionCount

Win API:
DllUnregisterServer

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cisco Talos недавно обнаружила агента постоянных угроз, проводящего кампании против государственных структур, военных организаций и гражданских пользователей в Украине и Польше. В качестве вредоносных файлов используются документы Microsoft Excel и PowerPoint, содержащие официальные изображения и текст, убеждающий пользователя включить макросы, а конечная полезная нагрузка, обнаруженная в кампании июля 2023 года, включает троян удаленного доступа (RAT) AgentTesla, маяки Cobalt Strike и njRAT.
-----

Недавно компания Cisco Talos обнаружила агента постоянных угроз, проводящего кампании против государственных структур, военных организаций и гражданских пользователей в Украине и Польше. Предполагается, что целью этих операций является сбор конфиденциальной информации и получение удаленного доступа к системам. Активность была обнаружена как в апреле 2022 года, так и в начале этого месяца, что свидетельствует об устойчивости агента.

Вредоносные файлы, используемые злоумышленником, представляют собой документы Microsoft Excel и PowerPoint, содержащие официальные изображения и текст, убеждающие пользователя включить макросы. В документах Excel отображаются легитимные документы, связанные с военными организациями, или общие описания того, как включить макросы VBA, а в файлах PowerPoint отсутствуют какие-либо слайды, но при этом выполняется код VBA.

Кампания "Июль 2023" была приписана украинской Группой реагирования на компьютерные аварии (CERT-UA) группе угроз UNC1151 и представляла собой форму платежной инструкции с кодом VBA от Государственной казначейской службы Украины. В Польше и Украине также были замечены типовые кампании, направленные на гражданские объекты, например, электронные таблицы Excel, маскирующиеся под формы деклараций по налогу на добавленную стоимость (НДС).

Среди последних полезных нагрузок, обнаруженных в ходе кампании "Июль 2023", - троян удаленного доступа (RAT) AgentTesla, маяки Cobalt Strike и njRAT. Вредоносный VBA-код отвечает за сброс исполняемого файла-загрузчика или DLL, который использует управляемый AES (алгоритм Rijndael) для расшифровки вложенных данных. Загрузчик имеет имя PicassoLoader и обфусцирован с помощью ConfuserEx, обфускатора, широко используемого для обфускации .NET-кода.

#ParsedReport #CompletenessLow
13-07-2023

Stories from the SOC: OneNote MalSpam Detection & response

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-onenote-malspam-detection-response

Report completeness: Low

IOCs:
File: 3
Domain: 5
Hash: 5

Soft:
onenote, microsoft word, microsoft excel, curl, outlook

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие организации используют вредоносные вложения OneNote для установки вредоносного ПО на системы ничего не подозревающих жертв. SentinelOne смог обнаружить и устранить вредоносные файлы, а SECTOR создал поисковый запрос на основе эвристики для поиска любых потенциальных событий, связанных с вредоносным ПО. Были предприняты меры по устранению проблемы, и важно помнить о важности использования функции поиска угроз в сочетании с функцией Deep Visibility компании SentinelOne для повышения уровня безопасности.
-----

Начиная с 22 декабря 2022 года, угрожающие организации рассылают вредоносные вложения OneNote по фишинговым письмам с целью установки вредоносного ПО на системы ничего не подозревающих жертв. В то время как в большинстве фишинговых писем используются макросы и скрипты, OneNote не поддерживает эту функцию, что усложняет обнаружение данного типа атак. В результате необходимо было выявить и проанализировать тактику, технику и процедуры (TTP), используемые злоумышленниками.

Наблюдаемые ТТП включали использование Powershell.exe, Curl.exe после запуска скрытого процесса, а также подключение к внешнему сайту для попытки установки и выполнения вредоносного ПО. SentinelOne удалось обнаружить и обезвредить вредоносные файлы, а также выявить DNS-запросы к minaato . com, файлообменному сайту. Кроме того, SECTOR создал эвристический поисковый запрос для поиска возможных событий, связанных с вредоносным ПО, о которых SentinelOne мог не предупредить.

При дальнейшем исследовании SECTOR обнаружил событие, когда ping.exe успешно связывался с вредоносным доменом. Также было обнаружено, что вредоносная ссылка была скрыта под наложенным изображением стоковой компании Microsoft и предлагала пользователю нажать кнопку открытия. Это позволяло злоумышленнику получить доступ к системе пользователя и получить внутреннюю информацию.

Для устранения проблемы пострадавшим клиентам было предложено удалить все файлы с затронутых устройств, сбросить все пользовательские пароли, просканировать свои активы, глобально заблокировать IOC и установить правила блокировки на своих межсетевых экранах. Кроме того, следует помнить о важности использования функции поиска угроз в сочетании с функцией Deep Visibility от SentinelOne для повышения уровня безопасности.

#ParsedReport #CompletenessMedium
13-07-2023

Cloudy With a Chance of Credentials \| AWS-Targeting Cred Stealer Expands to Azure, GCP

https://www.sentinelone.com/labs/cloudy-with-a-chance-of-credentials-aws-targeting-cred-stealer-expands-to-azure-gcp

Report completeness: Medium

Actors/Campaigns:
Teamtnt

Threats:
Solarmarker
Lockfile
Netstat_tool
Upx_tool
Zgrab_scanner_tool
Masscan_tool
Tsunami_botnet

Victims:
Amazon web services (aws) credentials, azure, google cloud platform (gcp) services, exposed docker instances

Geo:
Netherlands

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1083, T1098, T1099, T1105, T1129, T1140, T1518.001

IOCs:
File: 17
Hash: 21
Coin: 1
Domain: 4

Soft:
docker, curl, redis, postgresql

Crypto:
monero

Algorithms:
sha1, base64

Languages:
php, golang

Links:
https://github.com/zmap/zgrab2
https://github.com/robertdavidgraham/masscan

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Замечено, что один из злоумышленников расширил инструментарий, позволяющий использовать учетные данные Azure, Google Cloud Platform (GCP) и Amazon Web Services (AWS), что свидетельствует о сходстве с командой криптоджекеров TeamTNT. Организациям следует принять меры по защите своих приложений и снижению уязвимости от внешних подключений.
-----

В июне 2023 года было замечено, что один из участников кампании по краже учетных данных в облачных средах расширил свой инструментарий и стал использовать сервисы Azure и Google Cloud Platform (GCP). Ранее этот агент использовал только учетные данные Amazon Web Services (AWS). Он использовал модуль распространения, похожий на червя, и нацеливался на открытые экземпляры Docker. Эти кампании имеют сходство с инструментами печально известной группы криптоджекеров TeamTNT, хотя в случае использования скриптовых инструментов атрибуция остается сложной.

Компания Permiso Security, сообщившая о первой кампании по краже учетных данных AWS в декабре 2022 года, отследила и проанализировала файлы, относящиеся к новому воплощению этой кампании. Основу кампании по-прежнему составляли скрипты оболочки, однако был также обнаружен двоичный файл исполняемого и связываемого формата (ELF), написанный на языке Golang. Компания Aqua также сообщила об элементах наблюдаемого ею злоупотребления образами Docker.

Актор больше не размещает файлы в открытом каталоге, а использует жестко заданную комбинацию имени пользователя и пароля, передаваемых в качестве аргументов команде curl. Инфраструктура перешла от Nice IT Services к AnonDns, провайдеру динамических доменных имен (DDNS), при этом используется несколько поддоменов AnonDNS. Логика сбора учетных данных направлена на следующие сервисы и технологии: конфигурация AWS IAM, конфигурация учетных данных безопасности EC2 и ресурсы IAM.

Сходство между этими кампаниями по краже учетных данных и кампанией TeamTNT, нацеленной на Kubelet, о которой Sysdig сообщал в октябре 2022 года, весьма велико. Скрипты aws.sh выполняют профилирование системы, а функция get_docker проверяет, является ли среда контейнером Docker, и запускает docker inspect для каждого запущенного контейнера, сохраняя результат в $CSOF. Data.sh - это сценарий постэксплойта, который собирает данные о системе и отправляет их на сервер злоумышленника.

Двоичный ELF-файл с UPX-пакетом, основанный на Golang, поставляет еще один shell-скрипт и выполняет сканирование системы с помощью Masscan и Zgrab. Затем он обращается к C2 с помощью curl, добавляя в URI запроса IP-адрес и порт уязвимости.

Мы полагаем, что данный агент активно настраивает и совершенствует свои инструменты, вероятно, готовясь к более масштабным кампаниям. Организации могут подготовиться к этим атакам, обеспечив правильную настройку приложений и исправление ошибок по мере поступления исправлений. Доступ к Docker должен быть ограничен в соответствии с потребностями организации, но при этом снижен уровень риска от внешних подключений.

#ParsedReport #CompletenessLow
12-07-2023

Routers from the Underground: Exposing AVrecon

https://blog.lumen.com/routers-from-the-underground-exposing-avrecon

Report completeness: Low

Threats:
Avrecon_rat
Beacon
Qakbot
Emotet
Zuo_rat
Hiatusrat

Victims:
Small-office/home-office (soho) routers

ChatGPT TTPs:
do not use without manual check
T1071, T1133, T1132, T1055, T1057, T1093, T1107, T1064, T1105, T1005, have more...

IOCs:
Domain: 2
IP: 4

Soft:
microsoft outlook

Languages:
php

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/AVrecon\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 1, table: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Black Lotus Labs выявила масштабную ботнет-кампанию с участием скомпрометированных маршрутизаторов по всему миру, известную под названием AVrecon и предназначенную для осуществления целого ряда преступных действий. В результате распространения ботнета было обнаружено более 70 000 различных IP-адресов, а его размер оценивается в 41 100 устройств. Она также использует многоуровневую архитектуру и нацелена на основные архитектуры маршрутизаторов SOHO.
-----

Компания Black Lotus Labs обнаружила масштабную ботнет-кампанию с использованием взломанных маршрутизаторов по всему миру. Вредоносная программа работала незамеченной в течение двух лет и проникла на более чем 70 000 машин в более чем 20 странах. Она была разработана для осуществления целого ряда преступных действий, включая подмену паролей, мошенничество с цифровой рекламой и использование прокси-сервисов по месту жительства.

Вредоносная программа, известная как AVrecon, была написана на языке C и ориентирована на ARM-встроенные устройства. Она способна выполнять несколько вредоносных действий, таких как уничтожение существующих процессов, сбор информации о хосте, запуск удаленной оболочки, загрузка последующих двоичных файлов и настройка прокси-сервера. Кроме того, он пытается извлечь конфигурационную информацию из легитимных файлов, таких как nvram или xmldbc, на зараженной машине. Если ни одна из этих попыток не увенчалась успехом, он удаляет себя с хост-машины.

В результате распространения ботнета более 70 000 различных IP-адресов связываются с C2 вредоносной программы. Большинство IP-адресов поддерживают связь только в течение одного-двух дней, после чего покидаются или исправляются, в то время как заражения, длящиеся более двух дней, считаются устойчивыми. Таким образом, размер ботнета оценивается в 41 100 устройств.

Используя многоуровневую архитектуру, 12 из 15 серверов второго уровня обменивались данными с одним сервером более высокого уровня, расположенным по адресу 51.15.19 . 245 в течение 30 дней подряд. Это свидетельствует о том, что угроза была направлена на использование возможностей основных архитектур маршрутизаторов SOHO, представленных на рынке.

#ParsedReport #CompletenessLow
13-07-2023

PoC Exploit: Fake Proof of Concept with Backdoor Malware

https://www.uptycs.com/blog/new-poc-exploit-backdoor-malware

Report completeness: Low

Victims:
Systems with cve-2023-35829 and cve-2023-20871 vulnerabilities

CVEs:
CVE-2023-20871 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- vmware fusion (<13.0.2)

CVE-2023-35829 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix

CVE-2022-34918 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.4
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.10.130, <5.15.54, <5.18.11)
- debian debian linux (11.0)
- canonical ubuntu linux (14.04, 18.04, 20.04, 16.04, 22.04)
- netapp h300s firmware (-)
- netapp h500s firmware (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1036.003, T1486, T1179, T1059, T1083, T1063, T1053, T1135, T1098, T1482, have more...

IOCs:
Url: 5
Domain: 1
Hash: 1
IP: 1

Soft:
curl

Functions:
copy_to_kworker, add_to_bashrc, check_for_pidfile, curl_func, new_sn, prepare_root_shell, setup_modprobe_payoad

Links:
https://github.com/randorisec/CVE-2022-34918-LPE-PoC
https://github.com/ChriSanders22/CVE-2023-35829-poc/
https://github.com/ChriSanders22/CVE-2023-20871-poc/
https://github.com/apkc/CVE-2023-35829-poc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда исследователей угроз Uptycs обнаружила вредоносный PoC, который использует скрытый бэкдор для утечки данных и предоставления несанкционированного доступа. Организациям необходимо быть в курсе последних угроз и использовать для защиты своих систем современные средства мониторинга и обнаружения, такие как Uptycs XDR.
-----

Команда исследователей угроз Uptycs недавно обнаружила обманчивую концепцию (proof of concept, PoC), содержащую скрытый бэкдор. Этот вредоносный PoC был широко распространен в Интернете и успел завоевать значительное число пользователей, прежде чем его гнусная сущность была раскрыта. При более внимательном изучении его кода команда заметила несоответствия в файле modprobe.c, которые указывали на наличие бэкдора. PoC использует функции copy_to_kworker() и add_to_bashrc() для создания персистентности и осуществляет утечку данных через файл transfer.sh.

Используя Uptycs XDR, команда обнаружила, что бинарный файл в первую очередь выполняет роль загрузчика, получая скрипт из удаленного источника и выполняя его на скомпрометированной системе. После выполнения скрипт получает доступ к файлу /etc/passwd и изменяет файл \~/.ssh/authorized_keys, предоставляя неавторизованный доступ. Данная комбинация действий привела к обнаружению среднего уровня в Uptycs XDR.

Команда уже сталкивалась с подобным методом работы, распространение вредоносного ПО через вредоносные PoC не является чем-то новым. Тот же профиль, ChriSander22, распространяет еще один фальшивый PoC для VMware Fusion CVE-2023-20871. Его содержимое аналогично CVE-2023-35829, с тем же файлом aclocal.m4, запускающим установку скрытого бэкдора.

Этот инцидент подчеркивает растущие риски кибербезопасности, о которых необходимо помнить организациям, поскольку злоумышленники продолжают находить новые способы распространения своих вредоносных PoC. Организациям важно быть в курсе последних угроз и использовать для защиты своих систем современные средства мониторинга и обнаружения, такие как Uptycs XDR. Это позволит обеспечить защиту от новейших вредоносных PoC и других киберугроз.

#ParsedReport #CompletenessLow
13-07-2023

Trojanized Application Preying on TeamViewer Users

https://blog.cyble.com/2023/07/13/trojanized-application-preying-on-teamviewer-users

Report completeness: Low

Threats:
Teamviewer_tool
Njrat
Process_hacker_tool

Victims:
Organizations located in middle eastern nations

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 2
Hash: 3
Registry: 2
Path: 1
Url: 1

Soft:
windows registry

Algorithms:
sha256, base64, sha1

Win API:
GetAsyncKeyState

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Cyble Research & Intelligence Labs (CRIL) отслеживает тревожную тенденцию, когда агенты угроз (АУ) используют доверие к популярным легитимным приложениям, чтобы обманом заставить пользователей загрузить и выполнить вредоносные файлы, такие как njRAT. Эта атака вредоносного ПО представляет собой серьезную угрозу конфиденциальности, безопасности и целостности пострадавших систем, и CRIL активно отслеживает троянские приложения, чтобы защитить читателей от подобных вредоносных действий.
-----

Лаборатория Cyble Research & Intelligence Labs (CRIL) отслеживает тревожную тенденцию, когда угрожающие лица (УУ) используют доверие к популярным легитимным приложениям, чтобы обманом заставить пользователей загрузить и выполнить вредоносные файлы. Один из таких случаев связан с обманным использованием файла приложения TeamViewer, который использовался для распространения вредоносной программы njRAT, известной под названием Bladabindi. Этот троянец удаленного доступа (RAT) был впервые обнаружен в 2012 году и в основном используется в атаках, направленных на организации, расположенные в странах Ближнего Востока.

njRAT может выполнять различные вредоносные действия, такие как регистрация нажатий клавиш, создание скриншотов, кража паролей, эксфильтрация данных, доступ к веб-камерам и микрофонам, загрузка дополнительных файлов и т.д. Как правило, он распространяется через фишинговые кампании, взломанное программное обеспечение на файлообменных сайтах, а также путем загрузки с диска. В данном случае образец вредоносной программы представляет собой 32-разрядный Smart Installer с хэшем SHA 256 224ae485b6e4c1f925fff5d9de1684415670f133f3f8faa5f23914c78148fc31, который загружает в папку Windows два файла, один из которых является njRAT, а другой - легитимным приложением TeamViewer.

Для достижения стойкости вредоносная программа создает в системном реестре две записи автозапуска и мьютекс с именем 301b5fcf8ce2fab8868e80b6c1f912fe. Кроме того, он изменяет значение переменной среды SEE_MASK_NOZONECHECKS в реестре Windows на 1 и создает регламент брандмауэра, позволяющий осуществлять дальнейшую связь со своим командно-контрольным сервером (C&C). Затем njRAT занимается кейлоггингом, создавая специальный поток, который устанавливает непрерывный цикл для постоянного мониторинга нажатий клавиш. Кроме того, он собирает различную системную информацию, такую как версия операционной системы Windows, пакет обновления, текущая дата, имя пользователя, информация о веб-камерах, архитектура системы и определенные ключи реестра, которая кодируется по схеме кодирования base64 для облегчения эксфильтрации.

После сбора данных njRAT устанавливает соединение с командно-контрольным (C&C) сервером для передачи собранной информации. После этого он переходит в состояние покоя, ожидая инструкций от C&C-сервера. До того как пользователь получает доступ к приложению TeamViewer, RAT незаметно проводит вредоносные операции внутри скомпрометированной системы.

Несмотря на то, что njRAT существует уже почти десять лет, он по-прежнему остается излюбленным инструментом удаленного администрирования среди ТП. Подобные атаки вредоносного ПО представляют значительную угрозу для конфиденциальности, безопасности и целостности пострадавших систем. Cyble Research and Intelligence Labs (CRIL) ведет активный мониторинг троянских приложений, чтобы информировать о них наших читателей и обеспечить их защиту от подобных вредоносных действий.

#ParsedReport #CompletenessMedium
13-07-2023

LokiBot Campaign Targets Microsoft Office Document Using Vulnerabilities and Macros

https://www.fortinet.com/blog/threat-research/lokibot-targets-microsoft-office-document-using-vulnerabilities-and-macros

Report completeness: Medium

Threats:
Lokibot_stealer
Follina_vuln
Ollydbg_tool
Rock

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2021-40444 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...

IOCs:
File: 9
Url: 2
Hash: 8
Domain: 1
Path: 1
IP: 1

Soft:
microsoft office

Algorithms:
sha256

Functions:
Sleep, SetFileAttributes

Win API:
RtlDecompressBufferEx, NtGlobalFlag, GetTickCount, FindWindowW, VirtualAllocEx, MoveFileExW

Languages:
visual_basic, python, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LokiBot - троянец для похищения информации, активный с 2015 года и атакующий преимущественно системы Windows. Злоумышленники используют вредоносные документы Microsoft Office для эксплуатации известных уязвимостей и встраивания макросов, которые при выполнении забрасывают вредоносную программу LokiBot на систему жертвы. Пользователям следует проявлять осторожность при работе с любыми документами Office или неизвестными файлами, а также обновлять программное обеспечение и операционные системы последними патчами безопасности для защиты от вредоносных программ.
-----

В ходе недавнего исследования, проведенного компанией FortiGuard Labs, исследователи обнаружили вредоносные документы Microsoft Office, предназначенные для использования известных уязвимостей: CVE-2021-40444 и CVE-2022-30190. Эти уязвимости позволяют злоумышленникам внедрять в документы Office вредоносные макросы, которые при выполнении забрасывают на систему жертвы вредоносную программу LokiBot.

LokiBot - троянец для похищения информации, активный с 2015 года и атакующий преимущественно системы Windows. Вредоносный документ, ставший объектом исследования, содержал файл document.xml.rels с внешней ссылкой с использованием MHTML, которая перенаправляла пользователей на сайт облачного файлообменника GoFile. При переходе по ссылке загружался файл с именем defrt.html, который эксплуатировал вторую уязвимость. Затем VBA-скрипт создавал INF-файл для загрузки DLL, которая использовалась для загрузки инжектора с URL https://vertebromed.md/temp/dhssdf.exe.

Файл-инжектор, написанный на языке Visual Basic, использовался для расшифровки полезной нагрузки, которая затем распаковывалась с помощью API RtlDecompressBufferEx. После проверки среды инжектор с помощью функции VirtualAllocEx выделял память для последующего выполнения LokiBot.

LokiBot предназначен для сбора конфиденциальной информации с зараженных машин, включая веб-браузеры, FTP, электронную почту и многочисленные программные средства. Для расшифровки полезной нагрузки он использует жестко закодированный ключ, а его MD5-хэш, полученный из MachineGuid, служит в качестве мьютекса, гарантирующего, что несколько экземпляров LokiBot не будут запущены одновременно. Он также использует API MoveFileExW для создания папки %APPDATA%\Roaming\576094 и файла 47DD9F.exe, который помечается как скрытый.

Злоумышленники, создавшие LokiBot, постоянно обновляют методы первоначального доступа, что позволяет их вредоносной кампании оставаться активной и эффективной. Пользователям следует проявлять осторожность при работе с любыми документами Office или неизвестными файлами, особенно содержащими ссылки на внешние веб-сайты. Снизить риск эксплуатации вредоносных программ поможет обновление программного обеспечения и операционных систем с помощью последних патчей безопасности.

#ParsedReport #CompletenessLow
13-07-2023

Criminals target businesses with malicious extension for Meta's Ads Manager and accidentally leak stolen accounts

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/criminals-target-businesses-with-malicious-extension-for-metas-ads-manager-and-accidentally-leak-stolen-accounts

Report completeness: Low

Threats:
Ducktail_stealer

Victims:
Facebook business users

Industry:
Financial

Geo:
Vietnamese

IOCs:
File: 4
Domain: 1
Hash: 22

Soft:
chrome, google chrome, instagram

Platforms:
arm, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста - обратить внимание на вредоносную кампанию, направленную на бизнес-аккаунты Facebook, и на необходимость соблюдения пользователями мер предосторожности при нажатии на сообщения, обещающие оптимизировать их рекламные кампании в Facebook. Кроме того, в тексте даются рекомендации о том, что следует предпринять жертвам этой вредоносной кампании, чтобы защитить себя.
-----

Вредоносная кампания, направленная на бизнес-аккаунты Facebook, которую мы недавно раскрыли, свидетельствует о постоянных попытках злоумышленников использовать социальные сети и облачные платформы. Преступники, стоящие за этой атакой, заманивали жертв с помощью поддельного программного обеспечения Ads Manager, которое они рекламировали в Facebook. С помощью вредоносных расширений Google Chrome злоумышленники похитили и извлекли регистрационные данные более 800 жертв по всему миру, 310 из которых находились в США. Злоумышленники попытались заменить вредоносный файл на новый, размещенный на сайте MediaFire, но он был распознан как вредоносный и заблокирован.

Вероятно, взломанные бизнес-аккаунты Facebook служат для преступников финансовым стимулом, поскольку часть похищенных рекламных бюджетов они реинвестируют в размещение вредоносной рекламы, чтобы заманить в ловушку новых жертв. Важно помнить, что "серебряной пули" не существует, и все, что звучит слишком хорошо, чтобы быть правдой, вполне может оказаться замаскированным мошенничеством. Бизнес-пользователям следует проявлять повышенную осторожность, нажимая на сообщения, обещающие оптимизировать их рекламные кампании в Facebook.

Если вы случайно загрузили один из этих вредоносных инсталляторов Facebook Ad Manager, Malwarebytes прикроет вас. Мы уже засекли несколько компонентов этих кампаний и добавили дополнительную защиту для оптимального обнаружения. Жертвам следует отозвать доступ к неизвестным пользователям из профиля учетной записи Business Manager, которые могли быть добавлены мошенниками, а также просмотреть историю операций. Важно также сохранять бдительность и внимательно следить за любыми подозрительными действиями или сообщениями, которые могут быть связаны с этой вредоносной кампанией.

#ParsedReport #CompletenessMedium
13-07-2023

New invitation from APT29 to use CCleaner. Stage0: SVG Dropper

https://lab52.io/blog/2344-2

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Html_smuggling_technique

Victims:
Norwegian embassy

Geo:
Norwegian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 1
File: 3
Domain: 1
Url: 1
Hash: 7

Soft:
process explorer

Functions:
CreateRequest

Win API:
NtAllocateVirtualMemory, NtProtectVirtualMemory, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetReadFile, InternetCloseHandle, GetUserNameA, GetComputerNameExA, have more...

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 2, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что APT29 использует новую технику атаки, отправляя по электронной почте вложение в формате .svg, которое загружает файл .iso, содержащий две библиотеки, и устанавливает соединение с C2. Это новинка в тактике APT29 и подчеркивает важность сохранения бдительности и адаптации к новым методам атак.
-----

APT29 - одна из наиболее активных угроз последнего десятилетия. В последнее время они стали использовать в своих операциях новые методы. На этот раз в качестве вектора вторжения в очередной кампании использовалось приглашение по электронной почте с темой "Приглашение на празднование Санта-Люсии", выдаваемое за посольство Норвегии. Вложение было выполнено в формате .svg, при открытии которого выполнялся скрипт для монтирования и загрузки файла с расширением .iso, содержащего следующий этап заражения. Такой способ использования файла в качестве дроппера является новинкой в тактике APT29, что позволяет следить за подобными вложениями в будущем.

После открытия файла был загружен ISO (invitation.iso), содержащий две библиотеки: CCleanerReactivator.dll и CCleanerDU.dll. CCleanerReactivator.dll загружалась первой и служила мостом для загрузки вредоносного кода, содержащегося в библиотеке CCleanerDU.dll. Этот код отвечал за установление соединения с C2, загрузку необходимых для этого функций wininet.dll и регистрацию жертвы в C2 с помощью PUT-запроса, использующего упрощенный 4-значный идентификатор жертвы.

Взаимодействие с C2 изменилось по сравнению с предыдущими кампаниями. Ранее регистрация осуществлялась с помощью POST-пересылки зашифрованного JSON-файла с именами пользователя и компьютера, однако в новой итерации шелл-код загружается непосредственно с C2. Такое изменение тактики подчеркивает важность сохранения бдительности и адаптации к новым методам атак.