#ParsedReport #CompletenessMedium
15-07-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/ja/2023/07/dangerouspassword_dev.html

Report completeness: Medium

Actors/Campaigns:
Cryptocore
Snatchcrypto

Threats:
Dll_sideloading_technique
Vmprotect_tool
Pythonhttpbackdoor
Jokerspy

Victims:
Jpcert/cc and software developers

ChatGPT TTPs:
do not use without manual check
T1131, T1059, T1035, T1497, T1036, T1064, T1115

IOCs:
File: 7
Domain: 4
Hash: 19

Soft:
macos, node.js, task scheduler, mac os

Algorithms:
base64

Languages:
javascript, python

Links:
https://github.com/mnooner256/pyqrcode

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 8

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что поставщик услуг по обмену криптоактивами с июня 2019 года подвергается атакам со стороны группы DangerousPassword, которая использует различные типы вредоносного ПО, такие как Python, Node.js и Mach-O, для атак на среды Windows, macOS и Linux. Кроме того, эти вредоносные программы нацелены на разработчиков, и в них часто используются строки, связанные с git.
-----

Поставщик услуг по обмену криптоактивами, который с июня 2019 года стал мишенью для атаки группы DangerousPassword. Атака направлена на среды Windows, macOS и Linux с установленным на машине Python или Node.js. Поток атаки в среде Windows при выполнении вредоносной программы Python заключается в использовании модуля Python с вредоносным кодом в файле builder.py. Эта вредоносная программа в значительной степени использует ROT13 для обфускации строк C2 и других используемых строк. Вредоносная программа зарегистрирована в планировщике задач таким образом, что операция от загрузки до исполнения выполняется каждую минуту. Кроме того, вредоносная программа кодирует имя пользователя, ОС, информацию о процессах и т.д. зараженного устройства в BASE64 и отправляет их на C2-сервер. При выполнении очередного MSI-файла в него попадает DLL-файл devobj.dll и копируется стандартная для ОС Windows программа rdpclip.exe.

В средах macOS и Linux идентификатор пользователя и информация о среде ОС, сгенерированная на основе случайных значений, ежеминутно отправляются на сервер C2. После этого он декодирует полученные от сервера C2 данные в BASE64, сохраняет их в файл с именем tmp.py и исполняет как Python-файл. Его особенностью является то, что в строках запроса и ответа присутствуют вещи, связанные с git. Мы подтвердили наличие PythonHTTPBackdoor, который может являться вторичным образцом данной атаки. Эта вредоносная программа имеет простые команды, такие как определение окружения ОС, и выполняет различные команды в зависимости от окружения. Еще одним обнаруженным вредоносным ПО является JokerSPY - Mach-O, нацеленный на разработчиков.

Также было подтверждено наличие вредоносного кода Node.js, связанного с этой атакой. Злоумышленник использовал Node.js-фреймворк express () и вставил вредоносный код в файл route.js в папке library в ) и разместил в той же папке Node.js-вредонос request.js. Поток атаки включает выполнение файла route.js и последующее выполнение request.js. Request.js представляет собой простую вредоносную программу-загрузчик, которая сохраняет полученный с сервера C2 файл как server.js и затем выполняет его. Эта вредоносная программа также нацелена на разработчиков, например, частое использование строк, связанных с git.

#ParsedReport #CompletenessLow
14-07-2023

The Lazarus attack group attacking Windows servers and using them as malware distribution servers

https://asec.ahnlab.com/ko/55252

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Watering_hole_technique
Juicypotato_tool
Themida_tool
Rottenpotato_tool
Sweetpotato_tool
Supply_chain_technique
Trojan/win.loader.c5452411

Victims:
Iis web server

IOCs:
File: 6
Command: 3
Path: 6
Hash: 2

Soft:
inisafe crossweb ex, ms-sql, inisafecrosswebex

Win Services:
sqlservr

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Lazarus Group - это очень активная и угрожающая группа, которая использует технику "водяных дыр" для получения доступа к уязвимым системам и эксплуатации уязвимости INISAFE для установки вредоносного кода. Для предотвращения заражения вредоносным кодом сотрудники корпоративной службы безопасности должны выявлять активы, которые могут быть подвержены атакам злоумышленников, и своевременно обновлять исправления безопасности.
-----

Lazarus Group - активная и угрожающая группа злоумышленников, известная тем, что в качестве начального метода проникновения использует метод "водяной ямы". В результате взлома отечественного сайта его содержимое подменяется таким образом, что при обращении к сайту с помощью браузера системы, использующей уязвимую версию INISAFE CrossWeb EX V6, с сайта распространения вредоносного кода устанавливается вредоносная программа Lazarus (SCSKAppLink.dll). Эта вредоносная программа использует уязвимость INITECH, которая впоследствии была исправлена, но до недавнего времени злоумышленники нацеливались на непропатченные системы.

В случае с атакой группы Lazarus на сервер IIS, о которой сообщалось в мае 2023 года в блоге ASEC, было подтверждено, что злоумышленник использовал неправильно управляемый или уязвимый веб-сервер в качестве начального пути проникновения и даже предпринял попытку латерального перемещения с использованием RDP после этапа внутренней разведки. После обнаружения уязвимого веб-сервера злоумышленник устанавливал веб-оболочку или выполнял вредоносные команды, используя уязвимость, соответствующую версии.

Когда злоумышленник использует уязвимость для выполнения вредоносных команд, загрузки/выгрузки файлов или выполнения удаленных команд с помощью веб-оболочки, вредоносные действия выполняет процесс веб-сервера IIS, w3wp.exe. В подтвержденной на этот раз атаке, как и в предыдущем случае, был подтвержден случай, когда вредоносный код группы атак Lazarus создавался с помощью w3wp.exe. Для решения проблем с привилегиями, когда процесс w3wp.exe не имеет соответствующих привилегий, злоумышленники обычно используют в процессе атаки вредоносные коды повышения привилегий совместно. В частности, вредоносные коды повышения привилегий Potato в основном используются в атаках на веб-сервер IIS или сервер баз данных MS-SQL. Potato повышает привилегии, эксплуатируя некоторые процессы, для которых активированы определенные привилегии, после чего злоумышленник может выполнять вредоносные действия с повышенными привилегиями.

После этого злоумышленник попытался установить на зараженную систему дополнительный вредоносный код SCSKAppLink.dll, используя уязвимость INISAFE, и было подтверждено, что адресом загрузки SCSKAppLink.dll является рассмотренный выше веб-сервер IIS. SCSKAppLink.dll представляет собой вредоносную программу-загрузчик, которая загружает и исполняет дополнительные вредоносные программы извне, а также может устанавливать на систему указанное злоумышленником вредоносное ПО для захвата контроля.

Учитывая высокую активность и угрожающий характер Lazarus Group, сотрудники корпоративной службы безопасности должны выявлять активы, которые могут быть подвержены атакам злоумышленников, с помощью управления поверхностью атаки и постоянно управлять последними исправлениями безопасности. Кроме того, обновление V3 до последней версии позволяет заранее блокировать заражение вредоносным кодом.

#ParsedReport #CompletenessLow
15-07-2023

AWS Amplify Hosted Phishing Campaigns Abusing Telegram, Static Forms

https://www.netskope.com/blog/aws-amplify-hosted-phishing-campaigns-abusing-telegram-static-forms

Report completeness: Low

Victims:
Terra and ionos webmail users

Industry:
Financial

Geo:
Brazil

IOCs:
Domain: 22

Soft:
telegram, office365

Win API:
SendMessage

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Netskope Threat Labs выявила рост числа фишинговых кампаний, использующих бесплатные облачные сервисы AWS Amplify, Telegram и Static Forms для размещения своих сайтов и сбора информации о пользователях, и сообщила о доменах, используемых этими кампаниями, в компанию Amazon AWS. Чтобы не стать жертвой таких атак, пользователям следует проявлять повышенную осторожность при предоставлении своих учетных данных.
-----

Компания Netskope Threat Labs выявила резкое увеличение числа фишинговых кампаний, использующих бесплатные облачные сервисы, такие как AWS Amplify, Telegram и Static Forms, для размещения своих сайтов и сбора информации о пользователях. Эти кампании нацелены на жертв в различных сегментах, причем больше всего они затрагивают технологические и финансовые отрасли. Для обмана пользователей они используют поддомены, похожие на легитимные домены, чтобы заставить их предоставить свои учетные данные. Кроме того, для сбора похищенных данных они используют Static Forms и Telegram.

AWS Amplify особенно привлекателен для злоумышленников благодаря простоте использования и доступности бесплатного уровня. Злоумышленники могут легко повторно использовать свои фишинговые страницы и развертывать их на различных учетных записях и средах. Кроме того, они могут создавать поддомены, которые будут выглядеть как легитимные сервисы, и размещать на них свои фишинговые страницы.

Компания Netskope Threat Labs сообщила обо всех доменах, использовавшихся в этих фишинговых кампаниях, в Amazon AWS, и все они были удалены. Однако, судя по всему, злоумышленники склонны злоупотреблять бесплатными облачными сервисами, и эта тенденция, скорее всего, сохранится и в будущем. Чтобы избежать подобных атак, пользователям следует обращать внимание на формат URL-адресов, используемых сервисами, размещенными на AWS Amplify, и проявлять повышенную осторожность при указании своих учетных данных.

#ParsedReport #CompletenessHigh
14-07-2023

BlotchyQuasar: X-Force Hive0129 targeting financial intuitions in LATAM with a custom banking trojan

https://securityintelligence.com/posts/x-force-hive0129-targeting-financial-institutions-latam-banking-trojan

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Blotchyquasar
Hive0129
Proyectorat
Melissa
Quasar_rat
Putty_tool
Anydesk_tool
Tightvnc_tool
Hiddenvnc_tool
Winpwnage_tool
Sbit_rat
Roboski
Agent_tesla
Formbook
Lokibot_stealer
Motw_bypass_technique
Uac_bypass_technique
Hvnc_tool
Sideshow
Xpertrat_rat
Ousaban
Grandoreiro

Victims:
Latin american-based banking applications and websites used within public and private environments

Industry:
Government, Financial

Geo:
Spain, Latam, America, Chile, Bolivia, American, Colombia, Ecuador

TTPs:
Tactics: 3
Technics: 0

IOCs:
Url: 1
Command: 6
Registry: 36
Path: 31
File: 10
Hash: 3
Domain: 1

Soft:
google chrome, nginx, node.js, chrome, opera, windows defender, internet explorer

Algorithms:
aes, base64, sha256

Win API:
SwitchDesktop

Languages:
python, delphi

Platforms:
x86

Links:
https://github.com/quasar/Quasar
https://github.com/rootm0s/WinPwnage

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlotchyQuasar - высокотехнологичный банковский троян, разработанный группой, известной как Hive0129, и активно действующий в латиноамериканском регионе с 2019 года. Он распространяется через фишинговые письма, выдающие себя за правительственные учреждения, способен выполнять различные вредоносные действия и схож с ProyectoRAT. Для снижения рисков, связанных с BlotchyQuasar, организациям целевого профиля следует искать существующие признаки указанных IoC и продолжать мониторинг имеющейся оперативной информации.
-----

Специалисты IBM Security X-Force недавно обнаружили новый банковский троян под названием BlotchyQuasar, вероятно, разработанный группой под названием Hive0129 и активно действующий в латиноамериканском регионе с 2019 года. Вредоносная деятельность этой группы, судя по всему, направлена на кражу финансовых данных, бизнес-аналитики и информации об интеллектуальной собственности государственных и частных организаций.

BlotchyQuasar - это модифицированная версия QuasarRAT, инструмента, используемого для удаленного доступа и контроля над компьютерами, содержащая список банковских приложений. Вредоносная программа отличается высокой степенью сложности и обладает такими возможностями, как установка корневых сертификатов и URL-адресов автоконфигурации прокси-сервера, что позволяет ей выдавать себя за финансовые учреждения. Кроме того, он содержит команды для установки сторонних инструментов, таких как PuTTY, RDP, Chrome/Opera Portable, AnyDesk, TightVNC, hidden-VNC, NGINX server, Node.js server, Remote Utilities, WinPwnage, а также программы для кражи учетных данных.

Рассылка этого вредоносного ПО обычно осуществляется через фишинговые письма, выдающие себя за правительственные учреждения стран Латинской Америки и содержащие ссылки на архивный файл, сжатый и зашифрованный в формате LZIP. Архив содержит исполняемый файл .NET, идентифицированный как загрузчик RoboSki, который обычно используется малоизвестными угрозами для развертывания различных RAT и крадущих программ. Полезная нагрузка представляет собой .NET DLL, после выполнения которой запускается функция FLogonW7.Logon.Main().

Троян способен обнаружить неподдерживаемые версии, установить два ключа реестра для настройки автоконфигурации прокси-сервера, установить корневой сертификат на машину жертвы, скопировать исполняемый файл трояна в новую папку в каталоге C:\System32, разобрать идентификатор AnyDesk из конфига и записать его в ключ реестра, изменить брандмауэр клиента на разрешение соединений по портам 8080, 5900 и 80, попытаться использовать различные методы обхода UAC, сохранения и повышения привилегий, а также изменить имя клиента.

BlotchyQuasar находится в активной разработке уже более двух лет. Последнее дополнение - функция режима Google Chrome Kiosk (команда HtmlVN_C), которая, вероятно, была разработана в начале 2023 года. Кроме того, согласно результатам сравнительного анализа последних версий, проведенного X-Force, эта вредоносная программа имеет некоторое сходство с ProyectoRAT - вредоносной программой, о которой сообщалось в 2019 году, нацеленной на пользователей в Латинской Америке, что позволяет предположить наличие у них одного и того же разработчика.

Вредоносная кибердеятельность, направленная на регион Латинской Америки, становится все более частой и изощренной, в ней используются инструменты с открытым исходным кодом и собственные, а также сложные цепочки и методы атак. Для снижения рисков, связанных с BlotchyQuasar, организациям целевого профиля следует искать существующие признаки указанных IoC и продолжать мониторинг имеющейся оперативной информации.

#technique

Spraying the Microsoft Cloud

https://blueteamops.medium.com/spraying-in-the-microsoft-cloud-f2348ab4790

#ParsedReport #CompletenessLow
17-07-2023

Loader Activity for Formbook "QM18": A Deep Dive and Detection Opportunities. Introduction

https://redhead0ntherun.medium.com/loader-activity-for-formbook-qm18-a-deep-dive-and-detection-opportunities-be8002c30e0c

Report completeness: Low

Threats:
Formbook
Cloudeye
Dbat_loader

Victims:
User receiving malicious email

CVEs:
CVE-2017-011882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

IOCs:
Hash: 1
Url: 2

Soft:
microsoft word

Algorithms:
sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В данной статье рассматривается недавняя активность GuLoader или ModiLoader/DBatLoader и приводятся индикаторы компрометации (IOC) для заражения Formbook "QM18". В статье также предлагаются рекомендации по мерам безопасности для защиты от подобных угроз, таким как сканирование вложений, создание "песочницы" для вложений, мониторинг сетевого трафика и использование платформ анализа угроз.
-----

В постоянно развивающемся мире кибербезопасности в последнее время наблюдается всплеск активности, связанной с GuLoader или ModiLoader/DBatLoader. В данной статье рассматривается конкретная активность загрузчика для Formbook "QM18", произошедшая 11 июля 2023 года. Схема заражения Formbook с помощью загрузчика состоит из пяти шагов, которые начинаются с получения и открытия пользователем вложения .docx из электронного письма. Вложение эксплуатирует CVE-2017-0199 и извлекает RTF-файл с URL-адреса. Затем RTF-файл эксплуатирует CVE-2017-011882 и извлекает HTA-файл. Из этого HTA-файла извлекается и запускается EXE-файл, который выступает в роли загрузчика и извлекает HTML-файл.

Индикаторы компрометации (IOCs) для этого заражения включают несколько SHA256-хэшей, размеры файлов, имена файлов, типы файлов, описания файлов и URL-адреса. Например, файл .docx имеет SHA256-хэш 7f4fcb19ee3426d085eb36f0f27d8fd3d0242d0aa057daa9f4d8a7cd68576045, а размер файла составляет 11 197 байт. Файл представляет собой документ Microsoft Word 2007+ с эксплойтом для CVE-2017-0199.

Для защиты от таких угроз организации должны применять надежные средства защиты электронной почты, такие как проверка вложений на наличие известных сигнатур вредоносных программ и создание "песочницы" для анализа поведения вложений. Необходимо также отслеживать сетевой трафик для выявления подозрительных действий. Для отслеживания известных IOC, таких как хэши SHA256 и URL-адреса, связанные с деятельностью thisloader, следует использовать платформы анализа угроз. Кроме того, для обнаружения попыток эксплуатации известных уязвимостей, таких как CVE-2017-0199 и CVE-2017-011882, необходимо применять меры по обнаружению эксплойтов.

Зная о новейших технологиях и IOC, организации могут лучше защитить свои системы и данные от таких угроз. Внедрение надежных мер безопасности и использование платформ анализа угроз поможет обнаруживать и блокировать вредоносные электронные письма, контролировать сетевой трафик и выявлять попытки использования известных уязвимостей. Это поможет организациям опередить злоумышленников и обеспечить сохранность своих данных.

#ParsedReport #CompletenessHigh
17-07-2023

Spy, get out: the XDSpy group attacked Russian organizations on behalf of the Ministry of Emergency Situations

https://habr.com/ru/companies/f_a_c_c_t/news/747540

Report completeness: High

Actors/Campaigns:
Xdspy (motivation: cyber_espionage)

Threats:
Confuserex_tool
Antivm
Antidebugging_technique

Victims:
Russian government, military, financial institutions, energy, research and mining companies

Industry:
Energy, Financial, Government, Military

Geo:
Belarusian, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1036, T1020, T1003, T1140

IOCs:
Domain: 3
File: 18
Url: 9
Path: 7
Hash: 16
Coin: 1
Registry: 2
IP: 2

Algorithms:
zip, xor, sha256, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что XDSpy - это таинственная группа кибершпионажа, впервые обнаруженная в 2020 году и нацеленная на преимущественно российские организации с помощью вредоносных электронных писем и полезных нагрузок, и что F.A.C.C.T ведет мониторинг и расследование деятельности этой группы.
-----

XDSpy - таинственная группа кибершпионажа, впервые обнаруженная в 2020 году. Ее цели находятся в основном в России и включают государственные, военные, финансовые учреждения, энергетические, исследовательские и горнодобывающие компании. Группу сложно идентифицировать, и ее происхождение остается неизвестным.

В июле компания F.A.C.C.T. обнаружила вредоносное электронное письмо, разосланное нескольким российским организациям. Письмо было подписано МЧС и содержало список сотрудников компании. Оно содержало гиперссылку на документ Spisok_rabotnikov.pdf, который запускал загрузку вредоносного архива Spisok_rabotnikov.zip. Этот архив содержит дроппер UTask, который используется для декодирования и сохранения файлов полезной нагрузки в каталоге %USERPROFILE%\source\repos\FZdlyPUMslYX. Файлы полезной нагрузки представляют собой динамические библиотеки связей (DLL) в формате PE32 и обфусцированы с помощью инструмента ConfuserEx.

XDSpy.Mainmodule представляет собой исполняемый файл в формате PE32 и является агентом, предназначенным для получения модулей, выполняющих основные вредоносные действия. Он способен получать команды с управляющего сервера lifestyle-star.com:443 (91.235.116.194) и обфусцирован с помощью технологий AntiVM и AntiDebug. Кроме того, он создает записи в реестре, чтобы оставаться в системе.

Предыдущие кампании, проведенные этой группой, были направлены на МИД России в середине марта и на российские организации с поддельными повестками от имени Министерства обороны в октябре 2022 года. F.A.C.C.T. продолжает вести мониторинг XDSpy и исследовать полезную нагрузку XDSpy.Mainmodule, полученную в результате атаки. По мере поступления новой информации исследование будет соответствующим образом дополняться.

#ParsedReport #CompletenessMedium
17-07-2023

Google Firebase Hosting Abused to Deliver Sorillus RAT, Phishing Page

https://www.esentire.com/blog/google-firebase-hosting-abused-to-deliver-sorillus-rat-phishing-page

Report completeness: Medium

Threats:
Sorillus_rat
Adwind_rat
More_eggs

Victims:
Manufacturing customer

Geo:
Emea, Apac, America, Africa

ChatGPT TTPs:
do not use without manual check
T1566.003, T1036, T1543, T1115, T1086, T1574, T1566.002, T1545, T1552, T1486, have more...

IOCs:
File: 4
Path: 1
Domain: 5
Url: 1
IP: 1
Hash: 7

Soft:
telegram, chrome

Algorithms:
zip

Languages:
java, javascript

Platforms:
intel

Links:
https://github.com/KyaniteLeaks/SorillusRAT6.1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что подразделение Threat Response Unit (TRU) выявило фишинговую атаку, использующую облачные сервисы и налоговую тематику для доставки вредоносного ПО.
-----

В июне 2023 года, Центр управления безопасностью получил сигнал о подозрительном коде, записанном в реестр в сети одного из производственных клиентов. По результатам расследования он был идентифицирован как Sorillus RAT - кроссплатформенная коммерческая вредоносная программа на базе Java, предоставляющая различные возможности для кражи информации и удаленного доступа. Она была доставлена жертве с помощью zip-файла с налоговой тематикой (tax-document.zip), содержащего HTML-файл 2022tax-extension.html, в котором находилась Java-полезная нагрузка Tax-document_PDF.jar. Затем он записывал свою копию в %AppData%\Roaming\Microsoft\.tmp\ с расширением .tmp и определял ключ запуска реестра под названием Home для выполнения полезной нагрузки Java при входе пользователя в систему.

В то же время MDR for Endpoint выявил фишинговую атаку, компоненты которой в значительной степени опирались на Firebase Hosting. Она включала в себя HTM-документ invoice.statemtent.htm, отправленный жертве по электронной почте, а также несколько обфусцированных JavaScript-файлов, загруженных с сайтов vinapsminznusx . web . app и wispy-dawn-ea24.porschea50 . workers . dev. Они использовались для динамической визуализации страницы входа в систему Microsoft 0365 с использованием веб-контента, полученного от Microsoft (acctcdn.msftauth.net/images/).

Облачные сервисы могут стать эффективным средством борьбы с репутационными фильтрами безопасности, поскольку они способны наследовать атрибуты доверенной репутации и делают обнаружение угроз по таким характеристикам, как возраст регистрации домена, практически невозможным. Хранение отдельных компонентов кода в разных облачных сервисах (в данном случае Google и Cloudflare) затрудняет обнаружение автоматическими сканерами, поскольку каждому провайдеру раскрывается лишь часть функциональности. Кроме того, это создает избыточность в случае, если один из провайдеров удалит код или учетные записи в отдельности. Приманки на налоговую тематику популярны весной и в начале лета, поскольку они нацелены на продление срока подачи налоговых деклараций после апрельского дедлайна.

#ParsedReport #CompletenessMedium
17-07-2023

Reverse Engineering Walkthrough \| Analyzing A Sample Of Arechclient2

https://www.sentinelone.com/blog/reverse-engineering-walkthrough-analyzing-a-sample-of-arechclient2

Report completeness: Medium

Threats:
Sectop_rat
Junk_code_technique
Process_hollowing_technique
Redline_stealer

ChatGPT TTPs:
do not use without manual check
T1518.003, T1518.005, T1518.002, T1518.004, T1059.003, T1036.005

IOCs:
File: 2
IP: 4
Hash: 3

Soft:
windows defender, visual studio code, net framework, process explorer

Algorithms:
xor, sha1

Functions:
The

Win API:
CreateProcessW, NtResumeThread, NtUnmapViewOfSection

Languages:
autoit

Platforms:
x86, intel

Links:
https://github.com/dr4k0nia
https://gist.github.com/dr4k0nia/447fb1c5c7e8791ee877fd1090a6f5e5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Милли Ним продемонстрировала подход к решению проблем, позволяющий провести реверс-инжиниринг образца вредоносного ПО и определить, что он относится к семейству ArechClient2.
-----

Недавно компания SentinelOne совместно с vx-underground провела первый конкурс Malware Research Challenge. В рамках этого конкурса исследователям было предложено представить свои исследования, которые продемонстрировали бы их талант и позволили бы узнать о них более широкой аудитории. Милли Ним продемонстрировала подход к решению проблем при обратном проектировании образца вредоносного ПО, отметив практические шаги, а также логические рассуждения в ходе исследования.

Образец состоял из двух файлов: исполняемого и a3x-файла. Запуск файла в Windows Sandbox выявил в Windows Defender попадание MSIL:Trojan. Код был обфусцирован и содержал нежелательный код. После деобфускации всех строк были выявлены имена API-функций, такие как NtResumeThread, CreateProcessW и NtUnmapViewOfSection, что позволяет предположить наличие пустоты в процессе.

С помощью x64Dbg была установлена точка останова на NtResumeThread, которая прерывала выполнение после завершения инъекции, но до возобновления потока для выполнения вредоносной программы. Для получения управляемой полезной нагрузки из процесса jsc.exe был использован ExtremeDumper. Конфиг полезной нагрузки раскрывал информацию C2 и основные цели похитителя, такие как браузеры, почтовые клиенты и игровые клиенты типа Steam.

Анализ дампа строк выявил индикаторы, которые могут помочь в атрибуции определенного семейства вредоносных программ. Сетевой захват активного образца ArechClient2, проведенный компанией IronNet Threat Research, показал сходство с образцом. Эти данные указывают на принадлежность образца к семейству ArechClient2.

#ParsedReport #CompletenessLow
17-07-2023

PurpleFox distributed as MS-SQL server

https://asec.ahnlab.com/ko/55302

Report completeness: Low

Threats:
Purplefox

Victims:
Ms-sql server

ChatGPT TTPs:
do not use without manual check
T1035, T1053, T1112, T1547, T1546, T1049, T1545, T1490, T1050

IOCs:
File: 7
Command: 1
Url: 2
Registry: 1
Hash: 2

Soft:
ms-sql

Win Services:
sqlservr, netsvc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Система Endpoint Detection & Response (EDR) компании AhnLab смогла обнаружить вредоносную программу PurpleFox и активно блокировать угрозы со стороны злоумышленников. Вредоносный код был изменен на обычное имя файла и использовал утилиту netsh для добавления политик IPsec для определенных портов. Затем вредоносный код выполнял дополнительные задачи регистрации сервисов для запуска руткита и работы в безопасном режиме, которые также были обнаружены системой EDR компании "АнЛаб".
-----

Центр реагирования на чрезвычайные ситуации в области безопасности компании "АнЛаб" (ASEC) подтвердил наличие вредоносной программы PurpleFox - загрузчика, используемого для загрузки дополнительного вредоносного ПО. Первоначальный способ проникновения, выявленный в данном случае, представлял собой атаку на некорректно управляемый MS-SQL-сервер. Злоумышленник смог выполнить Powershell через процесс sqlservr.exe, связанный с сервером MS-SQL.

Система Endpoint Detection & Response (EDR) компании AhnLab смогла обнаружить начальную стадию проникновения, а также стадии повышения привилегий и поддержания персистентности вредоносной программы PurpleFox. Эта система также способна активно блокировать угрозы со стороны злоумышленников, например, блокировать сайты распространения кода.

В ходе атаки вредоносный код менял имя файла на обычное (sens.dll), чтобы после перезагрузки системы он работал как служба. Предполагается, что злоумышленник использовал эту технику для выполнения запланированных задач по удалению и переименованию определенных файлов. Кроме того, в MSI-пакете используется утилита netsh для добавления политик IPsec для определенных портов. Этот порт используется вредоносным кодом при доступе в сеть и является уязвимым. После изменения ключа реестра и добавления политики порта MSI-пакет пытается перезагрузиться, после чего запускается служба SENS (служба уведомлений о системных событиях) и выполняется вредоносный код.

В этот момент вредоносный код выполняет дополнительные задачи регистрации сервисов для запуска руткита и работы в безопасном режиме. Система AhnLab EDR может обнаружить поведение регистрации сервисов как для руткита, так и для работы в безопасном режиме.

#ParsedReport #CompletenessHigh
17-07-2023

Space Pirates: exploring non-standard techniques, new attack vectors and grouping tools

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-exploring-non-standard-techniques-new-attack-vectors-and-grouping-tools

Report completeness: High

Actors/Campaigns:
Webworm (motivation: cyber_criminal, cyber_espionage)

Threats:
Deed_rat
Voidoor
Plugx_rat
Stowaway_tool
Godzilla_loader
Shadowpad
Mimikatz_tool
Fscan_tool
Procdump_tool
Nbtscan_tool
Krbrelayup_tool
Nmap_tool
Impacket_tool
Regeorg
Trojan.win32.generic.a
Trojan.win32.evasion.a
Revbshell
Rtlshare
Uac_bypass_technique
Gh0st_rat
Process_injection_technique
Zupdax
Dll_sideloading_technique
Chromepass_tool
Credential_dumping_technique

Victims:
Universities, medical institutions, energy companies, security companies, as well as government agencies in russia and serbia

Industry:
Healthcare, Petroleum, Aerospace, Energy, Government, Education

Geo:
Chinese, Serbian, Asian, Antarctica, Russian, Russia, Serbia

CVEs:
CVE-2017-0213 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: True
X-Force: Risk: 7
X-Force: Patch: Official fix
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (*)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, 1703, -)
have more...

TTPs:
Tactics: 11
Technics: 56

IOCs:
IP: 4
File: 12
Path: 7
Hash: 57
Command: 4

Soft:
psexec, windows service, component object model, chrome, outlook, wordpress

Algorithms:
lzw, base64, xor, sha256

Win API:
SHFileOperation, CreateProcess

Win Services:
BITS

Languages:
php, visual_basic

Platforms:
x86, x64

YARA: Found

Links:
https://api.github.com/users/hasdhuahd
https://github.com/kufan/LViewer/blob/master/Client/ZXPortMap.cpp