#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: USB-накопители все чаще используются злоумышленниками для получения доступа к конфиденциальной информации, что подчеркивает необходимость осознания рисков, связанных с USB-накопителями, и принятия мер по защите организаций от подобных атак.
-----

В первой половине 2023 года компания Mandiant Managed Defense отметила трехкратное увеличение числа атак с использованием зараженных USB-накопителей для кражи секретов. Эти атаки были связаны с несколькими активными кампаниями, направленными на использование USB-накопителей в государственном и частном секторах по всему миру. Одна из таких кампаний - SOGU Malware Infection via USB Flash Drives Across Industries and Geographies - связана с китайской организацией, занимающейся кибершпионажем. Другая кампания - SNOWYDRIVE - заражение вредоносным ПО через USB-накопители, направленное на организации нефтегазовой отрасли в Азии и связанное с UNC4698.

Цепочка заражения обычно начинается с исполняемого файла, выполняющего роль дроппера. Этот дроппер отвечает за запись вредоносных файлов на диск и их запуск. В одном из случаев дроппер с именем USB Drive.exe записал на диск C:\Users\Public\SymantecsThorvices\Data следующие зашифрованные файлы: KORPLUG, SOGU, FROZENHILL и ZIPZAG. KORPLUG - это вредоносный DLL-файл, который загружается через перехват порядка поиска DLL. Затем он загружает расшифрованный шелл-код, обычно представленный в виде .dat-файла, и исполняет его в памяти. В качестве шелл-кода обычно используется бэкдор, который Mandiant отследила как SOGU, написанный на языке C. FROZENHILL - программа запуска, написанная на C++, которая настроена на использование существующих файлов для выполнения, а также заражает дополнительными вредоносными программами вновь подключенные тома памяти. ZIPZAG - дроппер в памяти, написанный на языке C++, который настроен на перезапись частей загружаемого процесса шелл-кодом и передачу исполнения обратно в процесс для выполнения. Наконец, SNOWYDRATE - это бэкдор на основе шелл-кода, взаимодействующий по TCP через собственный двоичный протокол.

Для поддержания своей устойчивости в системе вредоносная программа создает каталог, маскирующийся под легитимную программу, и устанавливает его атрибут скрытым. Затем он копирует в этот каталог свои основные компоненты. Вредоносная программа ищет на диске C файлы со следующими расширениями: .doc, .docx, .ppt, .pptx, .xls, .xlsx и .pdf. Он шифрует копию каждого файла, кодирует оригинальные имена файлов с помощью Base64 и сбрасывает зашифрованные файлы в следующие каталоги:.

На последнем этапе жизненного цикла атаки вредоносная программа осуществляет эксфильтрацию всех данных, которые были сохранены. Для связи с командно-контрольным сервером вредоносная программа может использовать HTTP, HTTPS, собственный двоичный протокол по TCP или UDP, а также ICMP. Также было обнаружено, что вредоносная программа поддерживает широкий набор команд, включая передачу файлов, их выполнение, удаленный рабочий стол, захват снимков экрана, обратный shell и кейлоггинг. Кроме того, вредоносная программа может копироваться на новые съемные диски, подключаемые к зараженной системе. Это позволяет распространять вредоносную полезную нагрузку на другие системы и потенциально собирать данные с систем, находящихся под воздушной защитой.

Эта кампания показывает, что угрозы продолжают использовать USB-накопители в качестве вектора заражения для получения доступа к конфиденциальной информации. Важно знать о рисках, связанных с USB-накопителями, и принимать меры по защите организации от подобных атак. Организациям также следует рассмотреть возможность использования Mandiant Security Validation, чтобы убедиться в том, что их меры безопасности эффективно защищают от вредоносных действий.

Не успеваем отмодерировать TI-отчеты, что насобирал наш движок за пятницу (whitelisting api кушает много времени и ресурсов), поэтому вот интересный видосик про IoC с RSA Conference.
Многие идеи коррелируют с нашим подходом.
https://www.youtube.com/watch?v=skVB2XPUfDQ&t=818s&ab_channel=RSAConference

#technique
Shellcode Loader Implementing Indirect Dynamic Syscall , API Hashing, Fileless Shellcode retrieving using Winsock2

https://github.com/CognisysGroup/HadesLdr

#technique
Send phishing messages and attachments to Microsoft Teams users

https://github.com/Octoberfest7/TeamsPhisher

#ParsedReport #CompletenessLow
15-07-2023

Evil QR - Phishing With QR Codes. Background

https://breakdev.org/evilqr-phishing

Report completeness: Low

Threats:
Evilqr
Qrljacking_technique
Evilginx_tool

Industry:
Media

Soft:
discord, telegram, whatsapp, tiktok

Crypto:
binance

Languages:
javascript

Links:
https://github.com/OWASP/QRLJacking
https://github.com/kgretzky/evilginx2
https://github.com/kgretzky/evilqr

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Фишинг QRLJacking представляет собой вектор атаки, использующий QR-коды для получения доступа к учетным записям пользователей. Это опасный вектор атаки, который потенциально может быть использован для обхода многофакторной аутентификации.
-----

QRLJacking phishing - это вектор атаки, использующий QR-коды для получения доступа к учетным записям пользователей. Он является побочным результатом атаки QRLJacking, продемонстрированной Мохамедом Абдельбассетом Эльнуби в 2016 году. Инструментарий Evil QR был разработан для демонстрации этого вектора атаки путем создания набора инструментов для доказательства концепции. Он состоит из сервера и расширения. Сервер разработан на языке GO, и его основное назначение заключается в предоставлении REST API для браузерного расширения и запуске HTTP-сервера для размещения фишинговой страницы. Полученный QR-код сохраняется и доступен для извлечения с помощью JavaScript, запущенного на фишинговой странице.

Злоумышленник открывает официальную страницу входа в Discord в своем браузере и генерирует QR-код, который затем извлекается с помощью браузерного расширения Evil QR и загружается на сервер Evil QR. На фишинговой странице, размещенной злоумышленником, динамически отображается последний QR-код входа в систему, контролируемый злоумышленником. После успешного сканирования QR-кода злоумышленник получает контроль над фишинговой учетной записью.

Фишинговая страница использует HTTP Long Polling для получения обновлений QR-кода с минимальными задержками, не прибегая к использованию Websockets. Кроме того, страница динамически изменяет CSS и текстовое содержимое в зависимости от имени хоста QR-кода. Это позволяет создать персонализированный фишинговый предтекст, повышающий эффективность атаки.

Инструментарий Evil QR не так силен, как классические фишинговые атаки, направленные на перехват учетных данных и сеансовых токенов, но все же представляет определенную угрозу. Для успешного проведения атаки необходимо соблюдение ряда условий, например, наличие у объекта атаки мобильного приложения, предустановленного для данного сервиса, а также то, что атаку сложно реализовать в широком масштабе, поскольку для каждого объекта должен быть сгенерирован отдельный QR-код. Кроме того, для атаки обычно трудно найти настройки для сканирования QR-кодов в мобильных приложениях, а если фишинговая страница открывается на мобильном телефоне, то у цели нет возможности отсканировать QR-код с помощью того же мобильного телефона.

Несмотря на эти ограничения, фишинг QRLJacking по-прежнему представляет собой опасный вектор атаки, который потенциально может быть использован для обхода многофакторной аутентификации. Атака может быть реализована в общественных местах, поскольку злоумышленникам не нужно убеждать жертву ввести имя пользователя и пароль, а достаточно лишь отсканировать QR-код с помощью мобильного приложения.

#ParsedReport #CompletenessLow
14-07-2023

Evaluate Your Windows Endpoints for Storm-0978 Activity With Qualys Endpoint Security

https://blog.qualys.com/qualys-insights/2023/07/14/evaluate-your-windows-endpoints-for-storm-0978-activity-with-qualys-endpoint-security

Report completeness: Low

Actors/Campaigns:
Dev-0978 (motivation: cyber_espionage)

Threats:
Romcom_rat
Follina_vuln

Geo:
Russian

CVEs:
CVE-2023-32046 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...
CVE-2023-35311 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019)
- microsoft 365 apps (-)
- microsoft office long term servicing channel (2021)

CVE-2023-32049 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
- microsoft windows 10 1809 (<10.0.17763.4645)
- microsoft windows 11 21h2 (<10.0.22000.2176)
have more...
CVE-2023-36874 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix

CVE-2023-36884 [Vulners]
CVSS V3.1: 0.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Unavailable


IOCs:
Registry: 1
File: 5
IP: 4
Hash: 5

Soft:
windows mshtml platform, windows error reporting, microsoft outlook, microsoft defender, office 365, microsoft office, internet explorer, microsoft word, powerpnt

Algorithms:
sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что подразделение Qualys Threat Research Unit (TRU) внимательно следит за набором уязвимостей Windows и Office, включая CVE-2023-36884, приписываемую агенту угроз Storm-0978/RomCom, и обнаружило встроенный файл .url, который загружает вредоносную полезную нагрузку из известной инфраструктуры TOR/VPN. Для снижения риска, связанного с уязвимостью, Microsoft рекомендует установить ключ реестра HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
-----

Отдел исследования угроз (TRU) компании Qualys внимательно следит за набором уязвимостей Windows и Office, включая CVE-2023-32046, CVE-2023-32049, CVE-2023-36874, CVE-2023-36884 и CVE-2023-35311. Из этих уязвимостей TRU уделяет особое внимание CVE-2023-36884, которую Microsoft приписывает угрожающему агенту Storm-0978/RomCom.

Учитывая высокую вероятность того, что угрожающий субъект может объединить CVE-2023-32049, CVE-2023-35311 и CVE-2023-36884, TRU считает, что он может использовать комбинацию этих уязвимостей для нанесения значительного ущерба, в том числе в виде атак с целью получения выкупа. К сожалению, для этой уязвимости пока не выпущено никаких исправлений. Для защиты систем в Microsoft Defender for Office 365 уже включено правило Block all Office applications from creating child processes attack surface reduction rule.

Уязвимость имеет поразительное сходство с более ранней уязвимостью Follina, которая затрагивала пакет продуктов Microsoft Office. Для статического анализа типа документа, относящегося к CVE-2023-36884, TRU использовала подход, аналогичный тому, который применялся для анализа уязвимости Follina. При дальнейшем изучении TRU обнаружила встроенный файл .url, который загружает вредоносную полезную нагрузку из известной инфраструктуры TOR/VPN. Проанализировав размер файла \~24 Кб, специалисты TRU определили, что это еще один файл Microsoft Word.

Для снижения риска, связанного с уязвимостью, Microsoft рекомендует пользователям выполнить следующие действия: установить ключ реестра HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION с двоичными файлами Microsoft Office, такими как Excel, Winword. Эта мера безопасности, появившаяся еще в Internet Explorer 7, предотвращает доступ вредоносных сайтов к объектам системных файлов.

#ParsedReport #CompletenessMedium
15-07-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/ja/2023/07/dangerouspassword_dev.html

Report completeness: Medium

Actors/Campaigns:
Cryptocore
Snatchcrypto

Threats:
Dll_sideloading_technique
Vmprotect_tool
Pythonhttpbackdoor
Jokerspy

Victims:
Jpcert/cc and software developers

ChatGPT TTPs:
do not use without manual check
T1131, T1059, T1035, T1497, T1036, T1064, T1115

IOCs:
File: 7
Domain: 4
Hash: 19

Soft:
macos, node.js, task scheduler, mac os

Algorithms:
base64

Languages:
javascript, python

Links:
https://github.com/mnooner256/pyqrcode

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 8

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что поставщик услуг по обмену криптоактивами с июня 2019 года подвергается атакам со стороны группы DangerousPassword, которая использует различные типы вредоносного ПО, такие как Python, Node.js и Mach-O, для атак на среды Windows, macOS и Linux. Кроме того, эти вредоносные программы нацелены на разработчиков, и в них часто используются строки, связанные с git.
-----

Поставщик услуг по обмену криптоактивами, который с июня 2019 года стал мишенью для атаки группы DangerousPassword. Атака направлена на среды Windows, macOS и Linux с установленным на машине Python или Node.js. Поток атаки в среде Windows при выполнении вредоносной программы Python заключается в использовании модуля Python с вредоносным кодом в файле builder.py. Эта вредоносная программа в значительной степени использует ROT13 для обфускации строк C2 и других используемых строк. Вредоносная программа зарегистрирована в планировщике задач таким образом, что операция от загрузки до исполнения выполняется каждую минуту. Кроме того, вредоносная программа кодирует имя пользователя, ОС, информацию о процессах и т.д. зараженного устройства в BASE64 и отправляет их на C2-сервер. При выполнении очередного MSI-файла в него попадает DLL-файл devobj.dll и копируется стандартная для ОС Windows программа rdpclip.exe.

В средах macOS и Linux идентификатор пользователя и информация о среде ОС, сгенерированная на основе случайных значений, ежеминутно отправляются на сервер C2. После этого он декодирует полученные от сервера C2 данные в BASE64, сохраняет их в файл с именем tmp.py и исполняет как Python-файл. Его особенностью является то, что в строках запроса и ответа присутствуют вещи, связанные с git. Мы подтвердили наличие PythonHTTPBackdoor, который может являться вторичным образцом данной атаки. Эта вредоносная программа имеет простые команды, такие как определение окружения ОС, и выполняет различные команды в зависимости от окружения. Еще одним обнаруженным вредоносным ПО является JokerSPY - Mach-O, нацеленный на разработчиков.

Также было подтверждено наличие вредоносного кода Node.js, связанного с этой атакой. Злоумышленник использовал Node.js-фреймворк express () и вставил вредоносный код в файл route.js в папке library в ) и разместил в той же папке Node.js-вредонос request.js. Поток атаки включает выполнение файла route.js и последующее выполнение request.js. Request.js представляет собой простую вредоносную программу-загрузчик, которая сохраняет полученный с сервера C2 файл как server.js и затем выполняет его. Эта вредоносная программа также нацелена на разработчиков, например, частое использование строк, связанных с git.

#ParsedReport #CompletenessLow
14-07-2023

The Lazarus attack group attacking Windows servers and using them as malware distribution servers

https://asec.ahnlab.com/ko/55252

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Watering_hole_technique
Juicypotato_tool
Themida_tool
Rottenpotato_tool
Sweetpotato_tool
Supply_chain_technique
Trojan/win.loader.c5452411

Victims:
Iis web server

IOCs:
File: 6
Command: 3
Path: 6
Hash: 2

Soft:
inisafe crossweb ex, ms-sql, inisafecrosswebex

Win Services:
sqlservr

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Lazarus Group - это очень активная и угрожающая группа, которая использует технику "водяных дыр" для получения доступа к уязвимым системам и эксплуатации уязвимости INISAFE для установки вредоносного кода. Для предотвращения заражения вредоносным кодом сотрудники корпоративной службы безопасности должны выявлять активы, которые могут быть подвержены атакам злоумышленников, и своевременно обновлять исправления безопасности.
-----

Lazarus Group - активная и угрожающая группа злоумышленников, известная тем, что в качестве начального метода проникновения использует метод "водяной ямы". В результате взлома отечественного сайта его содержимое подменяется таким образом, что при обращении к сайту с помощью браузера системы, использующей уязвимую версию INISAFE CrossWeb EX V6, с сайта распространения вредоносного кода устанавливается вредоносная программа Lazarus (SCSKAppLink.dll). Эта вредоносная программа использует уязвимость INITECH, которая впоследствии была исправлена, но до недавнего времени злоумышленники нацеливались на непропатченные системы.

В случае с атакой группы Lazarus на сервер IIS, о которой сообщалось в мае 2023 года в блоге ASEC, было подтверждено, что злоумышленник использовал неправильно управляемый или уязвимый веб-сервер в качестве начального пути проникновения и даже предпринял попытку латерального перемещения с использованием RDP после этапа внутренней разведки. После обнаружения уязвимого веб-сервера злоумышленник устанавливал веб-оболочку или выполнял вредоносные команды, используя уязвимость, соответствующую версии.

Когда злоумышленник использует уязвимость для выполнения вредоносных команд, загрузки/выгрузки файлов или выполнения удаленных команд с помощью веб-оболочки, вредоносные действия выполняет процесс веб-сервера IIS, w3wp.exe. В подтвержденной на этот раз атаке, как и в предыдущем случае, был подтвержден случай, когда вредоносный код группы атак Lazarus создавался с помощью w3wp.exe. Для решения проблем с привилегиями, когда процесс w3wp.exe не имеет соответствующих привилегий, злоумышленники обычно используют в процессе атаки вредоносные коды повышения привилегий совместно. В частности, вредоносные коды повышения привилегий Potato в основном используются в атаках на веб-сервер IIS или сервер баз данных MS-SQL. Potato повышает привилегии, эксплуатируя некоторые процессы, для которых активированы определенные привилегии, после чего злоумышленник может выполнять вредоносные действия с повышенными привилегиями.

После этого злоумышленник попытался установить на зараженную систему дополнительный вредоносный код SCSKAppLink.dll, используя уязвимость INISAFE, и было подтверждено, что адресом загрузки SCSKAppLink.dll является рассмотренный выше веб-сервер IIS. SCSKAppLink.dll представляет собой вредоносную программу-загрузчик, которая загружает и исполняет дополнительные вредоносные программы извне, а также может устанавливать на систему указанное злоумышленником вредоносное ПО для захвата контроля.

Учитывая высокую активность и угрожающий характер Lazarus Group, сотрудники корпоративной службы безопасности должны выявлять активы, которые могут быть подвержены атакам злоумышленников, с помощью управления поверхностью атаки и постоянно управлять последними исправлениями безопасности. Кроме того, обновление V3 до последней версии позволяет заранее блокировать заражение вредоносным кодом.

#ParsedReport #CompletenessLow
15-07-2023

AWS Amplify Hosted Phishing Campaigns Abusing Telegram, Static Forms

https://www.netskope.com/blog/aws-amplify-hosted-phishing-campaigns-abusing-telegram-static-forms

Report completeness: Low

Victims:
Terra and ionos webmail users

Industry:
Financial

Geo:
Brazil

IOCs:
Domain: 22

Soft:
telegram, office365

Win API:
SendMessage

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Netskope Threat Labs выявила рост числа фишинговых кампаний, использующих бесплатные облачные сервисы AWS Amplify, Telegram и Static Forms для размещения своих сайтов и сбора информации о пользователях, и сообщила о доменах, используемых этими кампаниями, в компанию Amazon AWS. Чтобы не стать жертвой таких атак, пользователям следует проявлять повышенную осторожность при предоставлении своих учетных данных.
-----

Компания Netskope Threat Labs выявила резкое увеличение числа фишинговых кампаний, использующих бесплатные облачные сервисы, такие как AWS Amplify, Telegram и Static Forms, для размещения своих сайтов и сбора информации о пользователях. Эти кампании нацелены на жертв в различных сегментах, причем больше всего они затрагивают технологические и финансовые отрасли. Для обмана пользователей они используют поддомены, похожие на легитимные домены, чтобы заставить их предоставить свои учетные данные. Кроме того, для сбора похищенных данных они используют Static Forms и Telegram.

AWS Amplify особенно привлекателен для злоумышленников благодаря простоте использования и доступности бесплатного уровня. Злоумышленники могут легко повторно использовать свои фишинговые страницы и развертывать их на различных учетных записях и средах. Кроме того, они могут создавать поддомены, которые будут выглядеть как легитимные сервисы, и размещать на них свои фишинговые страницы.

Компания Netskope Threat Labs сообщила обо всех доменах, использовавшихся в этих фишинговых кампаниях, в Amazon AWS, и все они были удалены. Однако, судя по всему, злоумышленники склонны злоупотреблять бесплатными облачными сервисами, и эта тенденция, скорее всего, сохранится и в будущем. Чтобы избежать подобных атак, пользователям следует обращать внимание на формат URL-адресов, используемых сервисами, размещенными на AWS Amplify, и проявлять повышенную осторожность при указании своих учетных данных.

#ParsedReport #CompletenessHigh
14-07-2023

BlotchyQuasar: X-Force Hive0129 targeting financial intuitions in LATAM with a custom banking trojan

https://securityintelligence.com/posts/x-force-hive0129-targeting-financial-institutions-latam-banking-trojan

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Blotchyquasar
Hive0129
Proyectorat
Melissa
Quasar_rat
Putty_tool
Anydesk_tool
Tightvnc_tool
Hiddenvnc_tool
Winpwnage_tool
Sbit_rat
Roboski
Agent_tesla
Formbook
Lokibot_stealer
Motw_bypass_technique
Uac_bypass_technique
Hvnc_tool
Sideshow
Xpertrat_rat
Ousaban
Grandoreiro

Victims:
Latin american-based banking applications and websites used within public and private environments

Industry:
Government, Financial

Geo:
Spain, Latam, America, Chile, Bolivia, American, Colombia, Ecuador

TTPs:
Tactics: 3
Technics: 0

IOCs:
Url: 1
Command: 6
Registry: 36
Path: 31
File: 10
Hash: 3
Domain: 1

Soft:
google chrome, nginx, node.js, chrome, opera, windows defender, internet explorer

Algorithms:
aes, base64, sha256

Win API:
SwitchDesktop

Languages:
python, delphi

Platforms:
x86

Links:
https://github.com/quasar/Quasar
https://github.com/rootm0s/WinPwnage

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlotchyQuasar - высокотехнологичный банковский троян, разработанный группой, известной как Hive0129, и активно действующий в латиноамериканском регионе с 2019 года. Он распространяется через фишинговые письма, выдающие себя за правительственные учреждения, способен выполнять различные вредоносные действия и схож с ProyectoRAT. Для снижения рисков, связанных с BlotchyQuasar, организациям целевого профиля следует искать существующие признаки указанных IoC и продолжать мониторинг имеющейся оперативной информации.
-----

Специалисты IBM Security X-Force недавно обнаружили новый банковский троян под названием BlotchyQuasar, вероятно, разработанный группой под названием Hive0129 и активно действующий в латиноамериканском регионе с 2019 года. Вредоносная деятельность этой группы, судя по всему, направлена на кражу финансовых данных, бизнес-аналитики и информации об интеллектуальной собственности государственных и частных организаций.

BlotchyQuasar - это модифицированная версия QuasarRAT, инструмента, используемого для удаленного доступа и контроля над компьютерами, содержащая список банковских приложений. Вредоносная программа отличается высокой степенью сложности и обладает такими возможностями, как установка корневых сертификатов и URL-адресов автоконфигурации прокси-сервера, что позволяет ей выдавать себя за финансовые учреждения. Кроме того, он содержит команды для установки сторонних инструментов, таких как PuTTY, RDP, Chrome/Opera Portable, AnyDesk, TightVNC, hidden-VNC, NGINX server, Node.js server, Remote Utilities, WinPwnage, а также программы для кражи учетных данных.

Рассылка этого вредоносного ПО обычно осуществляется через фишинговые письма, выдающие себя за правительственные учреждения стран Латинской Америки и содержащие ссылки на архивный файл, сжатый и зашифрованный в формате LZIP. Архив содержит исполняемый файл .NET, идентифицированный как загрузчик RoboSki, который обычно используется малоизвестными угрозами для развертывания различных RAT и крадущих программ. Полезная нагрузка представляет собой .NET DLL, после выполнения которой запускается функция FLogonW7.Logon.Main().

Троян способен обнаружить неподдерживаемые версии, установить два ключа реестра для настройки автоконфигурации прокси-сервера, установить корневой сертификат на машину жертвы, скопировать исполняемый файл трояна в новую папку в каталоге C:\System32, разобрать идентификатор AnyDesk из конфига и записать его в ключ реестра, изменить брандмауэр клиента на разрешение соединений по портам 8080, 5900 и 80, попытаться использовать различные методы обхода UAC, сохранения и повышения привилегий, а также изменить имя клиента.

BlotchyQuasar находится в активной разработке уже более двух лет. Последнее дополнение - функция режима Google Chrome Kiosk (команда HtmlVN_C), которая, вероятно, была разработана в начале 2023 года. Кроме того, согласно результатам сравнительного анализа последних версий, проведенного X-Force, эта вредоносная программа имеет некоторое сходство с ProyectoRAT - вредоносной программой, о которой сообщалось в 2019 году, нацеленной на пользователей в Латинской Америке, что позволяет предположить наличие у них одного и того же разработчика.

Вредоносная кибердеятельность, направленная на регион Латинской Америки, становится все более частой и изощренной, в ней используются инструменты с открытым исходным кодом и собственные, а также сложные цепочки и методы атак. Для снижения рисков, связанных с BlotchyQuasar, организациям целевого профиля следует искать существующие признаки указанных IoC и продолжать мониторинг имеющейся оперативной информации.

#technique

Spraying the Microsoft Cloud

https://blueteamops.medium.com/spraying-in-the-microsoft-cloud-f2348ab4790

#ParsedReport #CompletenessLow
17-07-2023

Loader Activity for Formbook "QM18": A Deep Dive and Detection Opportunities. Introduction

https://redhead0ntherun.medium.com/loader-activity-for-formbook-qm18-a-deep-dive-and-detection-opportunities-be8002c30e0c

Report completeness: Low

Threats:
Formbook
Cloudeye
Dbat_loader

Victims:
User receiving malicious email

CVEs:
CVE-2017-011882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

IOCs:
Hash: 1
Url: 2

Soft:
microsoft word

Algorithms:
sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В данной статье рассматривается недавняя активность GuLoader или ModiLoader/DBatLoader и приводятся индикаторы компрометации (IOC) для заражения Formbook "QM18". В статье также предлагаются рекомендации по мерам безопасности для защиты от подобных угроз, таким как сканирование вложений, создание "песочницы" для вложений, мониторинг сетевого трафика и использование платформ анализа угроз.
-----

В постоянно развивающемся мире кибербезопасности в последнее время наблюдается всплеск активности, связанной с GuLoader или ModiLoader/DBatLoader. В данной статье рассматривается конкретная активность загрузчика для Formbook "QM18", произошедшая 11 июля 2023 года. Схема заражения Formbook с помощью загрузчика состоит из пяти шагов, которые начинаются с получения и открытия пользователем вложения .docx из электронного письма. Вложение эксплуатирует CVE-2017-0199 и извлекает RTF-файл с URL-адреса. Затем RTF-файл эксплуатирует CVE-2017-011882 и извлекает HTA-файл. Из этого HTA-файла извлекается и запускается EXE-файл, который выступает в роли загрузчика и извлекает HTML-файл.

Индикаторы компрометации (IOCs) для этого заражения включают несколько SHA256-хэшей, размеры файлов, имена файлов, типы файлов, описания файлов и URL-адреса. Например, файл .docx имеет SHA256-хэш 7f4fcb19ee3426d085eb36f0f27d8fd3d0242d0aa057daa9f4d8a7cd68576045, а размер файла составляет 11 197 байт. Файл представляет собой документ Microsoft Word 2007+ с эксплойтом для CVE-2017-0199.

Для защиты от таких угроз организации должны применять надежные средства защиты электронной почты, такие как проверка вложений на наличие известных сигнатур вредоносных программ и создание "песочницы" для анализа поведения вложений. Необходимо также отслеживать сетевой трафик для выявления подозрительных действий. Для отслеживания известных IOC, таких как хэши SHA256 и URL-адреса, связанные с деятельностью thisloader, следует использовать платформы анализа угроз. Кроме того, для обнаружения попыток эксплуатации известных уязвимостей, таких как CVE-2017-0199 и CVE-2017-011882, необходимо применять меры по обнаружению эксплойтов.

Зная о новейших технологиях и IOC, организации могут лучше защитить свои системы и данные от таких угроз. Внедрение надежных мер безопасности и использование платформ анализа угроз поможет обнаруживать и блокировать вредоносные электронные письма, контролировать сетевой трафик и выявлять попытки использования известных уязвимостей. Это поможет организациям опередить злоумышленников и обеспечить сохранность своих данных.

#ParsedReport #CompletenessHigh
17-07-2023

Spy, get out: the XDSpy group attacked Russian organizations on behalf of the Ministry of Emergency Situations

https://habr.com/ru/companies/f_a_c_c_t/news/747540

Report completeness: High

Actors/Campaigns:
Xdspy (motivation: cyber_espionage)

Threats:
Confuserex_tool
Antivm
Antidebugging_technique

Victims:
Russian government, military, financial institutions, energy, research and mining companies

Industry:
Energy, Financial, Government, Military

Geo:
Belarusian, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1036, T1020, T1003, T1140

IOCs:
Domain: 3
File: 18
Url: 9
Path: 7
Hash: 16
Coin: 1
Registry: 2
IP: 2

Algorithms:
zip, xor, sha256, base64