#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlotchyQuasar - высокотехнологичный банковский троян, разработанный группой, известной как Hive0129, и активно действующий в латиноамериканском регионе с 2019 года. Он распространяется через фишинговые письма, выдающие себя за правительственные учреждения, способен выполнять различные вредоносные действия и схож с ProyectoRAT. Для снижения рисков, связанных с BlotchyQuasar, организациям целевого профиля следует искать существующие признаки указанных IoC и продолжать мониторинг имеющейся оперативной информации.
-----

Специалисты IBM Security X-Force недавно обнаружили новый банковский троян под названием BlotchyQuasar, вероятно, разработанный группой под названием Hive0129 и активно действующий в латиноамериканском регионе с 2019 года. Вредоносная деятельность этой группы, судя по всему, направлена на кражу финансовых данных, бизнес-аналитики и информации об интеллектуальной собственности государственных и частных организаций.

BlotchyQuasar - это модифицированная версия QuasarRAT, инструмента, используемого для удаленного доступа и контроля над компьютерами, содержащая список банковских приложений. Вредоносная программа отличается высокой степенью сложности и обладает такими возможностями, как установка корневых сертификатов и URL-адресов автоконфигурации прокси-сервера, что позволяет ей выдавать себя за финансовые учреждения. Кроме того, он содержит команды для установки сторонних инструментов, таких как PuTTY, RDP, Chrome/Opera Portable, AnyDesk, TightVNC, hidden-VNC, NGINX server, Node.js server, Remote Utilities, WinPwnage, а также программы для кражи учетных данных.

Рассылка этого вредоносного ПО обычно осуществляется через фишинговые письма, выдающие себя за правительственные учреждения стран Латинской Америки и содержащие ссылки на архивный файл, сжатый и зашифрованный в формате LZIP. Архив содержит исполняемый файл .NET, идентифицированный как загрузчик RoboSki, который обычно используется малоизвестными угрозами для развертывания различных RAT и крадущих программ. Полезная нагрузка представляет собой .NET DLL, после выполнения которой запускается функция FLogonW7.Logon.Main().

Троян способен обнаружить неподдерживаемые версии, установить два ключа реестра для настройки автоконфигурации прокси-сервера, установить корневой сертификат на машину жертвы, скопировать исполняемый файл трояна в новую папку в каталоге C:\System32, разобрать идентификатор AnyDesk из конфига и записать его в ключ реестра, изменить брандмауэр клиента на разрешение соединений по портам 8080, 5900 и 80, попытаться использовать различные методы обхода UAC, сохранения и повышения привилегий, а также изменить имя клиента.

BlotchyQuasar находится в активной разработке уже более двух лет. Последнее дополнение - функция режима Google Chrome Kiosk (команда HtmlVN_C), которая, вероятно, была разработана в начале 2023 года. Кроме того, согласно результатам сравнительного анализа последних версий, проведенного X-Force, эта вредоносная программа имеет некоторое сходство с ProyectoRAT - вредоносной программой, о которой сообщалось в 2019 году, нацеленной на пользователей в Латинской Америке, что позволяет предположить наличие у них одного и того же разработчика.

Вредоносная кибердеятельность, направленная на регион Латинской Америки, становится все более частой и изощренной, в ней используются инструменты с открытым исходным кодом и собственные, а также сложные цепочки и методы атак. Для снижения рисков, связанных с BlotchyQuasar, организациям целевого профиля следует искать существующие признаки указанных IoC и продолжать мониторинг имеющейся оперативной информации.

#technique

Spraying the Microsoft Cloud

https://blueteamops.medium.com/spraying-in-the-microsoft-cloud-f2348ab4790

#ParsedReport #CompletenessLow
17-07-2023

Loader Activity for Formbook "QM18": A Deep Dive and Detection Opportunities. Introduction

https://redhead0ntherun.medium.com/loader-activity-for-formbook-qm18-a-deep-dive-and-detection-opportunities-be8002c30e0c

Report completeness: Low

Threats:
Formbook
Cloudeye
Dbat_loader

Victims:
User receiving malicious email

CVEs:
CVE-2017-011882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...

IOCs:
Hash: 1
Url: 2

Soft:
microsoft word

Algorithms:
sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В данной статье рассматривается недавняя активность GuLoader или ModiLoader/DBatLoader и приводятся индикаторы компрометации (IOC) для заражения Formbook "QM18". В статье также предлагаются рекомендации по мерам безопасности для защиты от подобных угроз, таким как сканирование вложений, создание "песочницы" для вложений, мониторинг сетевого трафика и использование платформ анализа угроз.
-----

В постоянно развивающемся мире кибербезопасности в последнее время наблюдается всплеск активности, связанной с GuLoader или ModiLoader/DBatLoader. В данной статье рассматривается конкретная активность загрузчика для Formbook "QM18", произошедшая 11 июля 2023 года. Схема заражения Formbook с помощью загрузчика состоит из пяти шагов, которые начинаются с получения и открытия пользователем вложения .docx из электронного письма. Вложение эксплуатирует CVE-2017-0199 и извлекает RTF-файл с URL-адреса. Затем RTF-файл эксплуатирует CVE-2017-011882 и извлекает HTA-файл. Из этого HTA-файла извлекается и запускается EXE-файл, который выступает в роли загрузчика и извлекает HTML-файл.

Индикаторы компрометации (IOCs) для этого заражения включают несколько SHA256-хэшей, размеры файлов, имена файлов, типы файлов, описания файлов и URL-адреса. Например, файл .docx имеет SHA256-хэш 7f4fcb19ee3426d085eb36f0f27d8fd3d0242d0aa057daa9f4d8a7cd68576045, а размер файла составляет 11 197 байт. Файл представляет собой документ Microsoft Word 2007+ с эксплойтом для CVE-2017-0199.

Для защиты от таких угроз организации должны применять надежные средства защиты электронной почты, такие как проверка вложений на наличие известных сигнатур вредоносных программ и создание "песочницы" для анализа поведения вложений. Необходимо также отслеживать сетевой трафик для выявления подозрительных действий. Для отслеживания известных IOC, таких как хэши SHA256 и URL-адреса, связанные с деятельностью thisloader, следует использовать платформы анализа угроз. Кроме того, для обнаружения попыток эксплуатации известных уязвимостей, таких как CVE-2017-0199 и CVE-2017-011882, необходимо применять меры по обнаружению эксплойтов.

Зная о новейших технологиях и IOC, организации могут лучше защитить свои системы и данные от таких угроз. Внедрение надежных мер безопасности и использование платформ анализа угроз поможет обнаруживать и блокировать вредоносные электронные письма, контролировать сетевой трафик и выявлять попытки использования известных уязвимостей. Это поможет организациям опередить злоумышленников и обеспечить сохранность своих данных.

#ParsedReport #CompletenessHigh
17-07-2023

Spy, get out: the XDSpy group attacked Russian organizations on behalf of the Ministry of Emergency Situations

https://habr.com/ru/companies/f_a_c_c_t/news/747540

Report completeness: High

Actors/Campaigns:
Xdspy (motivation: cyber_espionage)

Threats:
Confuserex_tool
Antivm
Antidebugging_technique

Victims:
Russian government, military, financial institutions, energy, research and mining companies

Industry:
Energy, Financial, Government, Military

Geo:
Belarusian, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1036, T1020, T1003, T1140

IOCs:
Domain: 3
File: 18
Url: 9
Path: 7
Hash: 16
Coin: 1
Registry: 2
IP: 2

Algorithms:
zip, xor, sha256, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что XDSpy - это таинственная группа кибершпионажа, впервые обнаруженная в 2020 году и нацеленная на преимущественно российские организации с помощью вредоносных электронных писем и полезных нагрузок, и что F.A.C.C.T ведет мониторинг и расследование деятельности этой группы.
-----

XDSpy - таинственная группа кибершпионажа, впервые обнаруженная в 2020 году. Ее цели находятся в основном в России и включают государственные, военные, финансовые учреждения, энергетические, исследовательские и горнодобывающие компании. Группу сложно идентифицировать, и ее происхождение остается неизвестным.

В июле компания F.A.C.C.T. обнаружила вредоносное электронное письмо, разосланное нескольким российским организациям. Письмо было подписано МЧС и содержало список сотрудников компании. Оно содержало гиперссылку на документ Spisok_rabotnikov.pdf, который запускал загрузку вредоносного архива Spisok_rabotnikov.zip. Этот архив содержит дроппер UTask, который используется для декодирования и сохранения файлов полезной нагрузки в каталоге %USERPROFILE%\source\repos\FZdlyPUMslYX. Файлы полезной нагрузки представляют собой динамические библиотеки связей (DLL) в формате PE32 и обфусцированы с помощью инструмента ConfuserEx.

XDSpy.Mainmodule представляет собой исполняемый файл в формате PE32 и является агентом, предназначенным для получения модулей, выполняющих основные вредоносные действия. Он способен получать команды с управляющего сервера lifestyle-star.com:443 (91.235.116.194) и обфусцирован с помощью технологий AntiVM и AntiDebug. Кроме того, он создает записи в реестре, чтобы оставаться в системе.

Предыдущие кампании, проведенные этой группой, были направлены на МИД России в середине марта и на российские организации с поддельными повестками от имени Министерства обороны в октябре 2022 года. F.A.C.C.T. продолжает вести мониторинг XDSpy и исследовать полезную нагрузку XDSpy.Mainmodule, полученную в результате атаки. По мере поступления новой информации исследование будет соответствующим образом дополняться.

#ParsedReport #CompletenessMedium
17-07-2023

Google Firebase Hosting Abused to Deliver Sorillus RAT, Phishing Page

https://www.esentire.com/blog/google-firebase-hosting-abused-to-deliver-sorillus-rat-phishing-page

Report completeness: Medium

Threats:
Sorillus_rat
Adwind_rat
More_eggs

Victims:
Manufacturing customer

Geo:
Emea, Apac, America, Africa

ChatGPT TTPs:
do not use without manual check
T1566.003, T1036, T1543, T1115, T1086, T1574, T1566.002, T1545, T1552, T1486, have more...

IOCs:
File: 4
Path: 1
Domain: 5
Url: 1
IP: 1
Hash: 7

Soft:
telegram, chrome

Algorithms:
zip

Languages:
java, javascript

Platforms:
intel

Links:
https://github.com/KyaniteLeaks/SorillusRAT6.1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что подразделение Threat Response Unit (TRU) выявило фишинговую атаку, использующую облачные сервисы и налоговую тематику для доставки вредоносного ПО.
-----

В июне 2023 года, Центр управления безопасностью получил сигнал о подозрительном коде, записанном в реестр в сети одного из производственных клиентов. По результатам расследования он был идентифицирован как Sorillus RAT - кроссплатформенная коммерческая вредоносная программа на базе Java, предоставляющая различные возможности для кражи информации и удаленного доступа. Она была доставлена жертве с помощью zip-файла с налоговой тематикой (tax-document.zip), содержащего HTML-файл 2022tax-extension.html, в котором находилась Java-полезная нагрузка Tax-document_PDF.jar. Затем он записывал свою копию в %AppData%\Roaming\Microsoft\.tmp\ с расширением .tmp и определял ключ запуска реестра под названием Home для выполнения полезной нагрузки Java при входе пользователя в систему.

В то же время MDR for Endpoint выявил фишинговую атаку, компоненты которой в значительной степени опирались на Firebase Hosting. Она включала в себя HTM-документ invoice.statemtent.htm, отправленный жертве по электронной почте, а также несколько обфусцированных JavaScript-файлов, загруженных с сайтов vinapsminznusx . web . app и wispy-dawn-ea24.porschea50 . workers . dev. Они использовались для динамической визуализации страницы входа в систему Microsoft 0365 с использованием веб-контента, полученного от Microsoft (acctcdn.msftauth.net/images/).

Облачные сервисы могут стать эффективным средством борьбы с репутационными фильтрами безопасности, поскольку они способны наследовать атрибуты доверенной репутации и делают обнаружение угроз по таким характеристикам, как возраст регистрации домена, практически невозможным. Хранение отдельных компонентов кода в разных облачных сервисах (в данном случае Google и Cloudflare) затрудняет обнаружение автоматическими сканерами, поскольку каждому провайдеру раскрывается лишь часть функциональности. Кроме того, это создает избыточность в случае, если один из провайдеров удалит код или учетные записи в отдельности. Приманки на налоговую тематику популярны весной и в начале лета, поскольку они нацелены на продление срока подачи налоговых деклараций после апрельского дедлайна.

#ParsedReport #CompletenessMedium
17-07-2023

Reverse Engineering Walkthrough \| Analyzing A Sample Of Arechclient2

https://www.sentinelone.com/blog/reverse-engineering-walkthrough-analyzing-a-sample-of-arechclient2

Report completeness: Medium

Threats:
Sectop_rat
Junk_code_technique
Process_hollowing_technique
Redline_stealer

ChatGPT TTPs:
do not use without manual check
T1518.003, T1518.005, T1518.002, T1518.004, T1059.003, T1036.005

IOCs:
File: 2
IP: 4
Hash: 3

Soft:
windows defender, visual studio code, net framework, process explorer

Algorithms:
xor, sha1

Functions:
The

Win API:
CreateProcessW, NtResumeThread, NtUnmapViewOfSection

Languages:
autoit

Platforms:
x86, intel

Links:
https://github.com/dr4k0nia
https://gist.github.com/dr4k0nia/447fb1c5c7e8791ee877fd1090a6f5e5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Милли Ним продемонстрировала подход к решению проблем, позволяющий провести реверс-инжиниринг образца вредоносного ПО и определить, что он относится к семейству ArechClient2.
-----

Недавно компания SentinelOne совместно с vx-underground провела первый конкурс Malware Research Challenge. В рамках этого конкурса исследователям было предложено представить свои исследования, которые продемонстрировали бы их талант и позволили бы узнать о них более широкой аудитории. Милли Ним продемонстрировала подход к решению проблем при обратном проектировании образца вредоносного ПО, отметив практические шаги, а также логические рассуждения в ходе исследования.

Образец состоял из двух файлов: исполняемого и a3x-файла. Запуск файла в Windows Sandbox выявил в Windows Defender попадание MSIL:Trojan. Код был обфусцирован и содержал нежелательный код. После деобфускации всех строк были выявлены имена API-функций, такие как NtResumeThread, CreateProcessW и NtUnmapViewOfSection, что позволяет предположить наличие пустоты в процессе.

С помощью x64Dbg была установлена точка останова на NtResumeThread, которая прерывала выполнение после завершения инъекции, но до возобновления потока для выполнения вредоносной программы. Для получения управляемой полезной нагрузки из процесса jsc.exe был использован ExtremeDumper. Конфиг полезной нагрузки раскрывал информацию C2 и основные цели похитителя, такие как браузеры, почтовые клиенты и игровые клиенты типа Steam.

Анализ дампа строк выявил индикаторы, которые могут помочь в атрибуции определенного семейства вредоносных программ. Сетевой захват активного образца ArechClient2, проведенный компанией IronNet Threat Research, показал сходство с образцом. Эти данные указывают на принадлежность образца к семейству ArechClient2.

#ParsedReport #CompletenessLow
17-07-2023

PurpleFox distributed as MS-SQL server

https://asec.ahnlab.com/ko/55302

Report completeness: Low

Threats:
Purplefox

Victims:
Ms-sql server

ChatGPT TTPs:
do not use without manual check
T1035, T1053, T1112, T1547, T1546, T1049, T1545, T1490, T1050

IOCs:
File: 7
Command: 1
Url: 2
Registry: 1
Hash: 2

Soft:
ms-sql

Win Services:
sqlservr, netsvc

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Система Endpoint Detection & Response (EDR) компании AhnLab смогла обнаружить вредоносную программу PurpleFox и активно блокировать угрозы со стороны злоумышленников. Вредоносный код был изменен на обычное имя файла и использовал утилиту netsh для добавления политик IPsec для определенных портов. Затем вредоносный код выполнял дополнительные задачи регистрации сервисов для запуска руткита и работы в безопасном режиме, которые также были обнаружены системой EDR компании "АнЛаб".
-----

Центр реагирования на чрезвычайные ситуации в области безопасности компании "АнЛаб" (ASEC) подтвердил наличие вредоносной программы PurpleFox - загрузчика, используемого для загрузки дополнительного вредоносного ПО. Первоначальный способ проникновения, выявленный в данном случае, представлял собой атаку на некорректно управляемый MS-SQL-сервер. Злоумышленник смог выполнить Powershell через процесс sqlservr.exe, связанный с сервером MS-SQL.

Система Endpoint Detection & Response (EDR) компании AhnLab смогла обнаружить начальную стадию проникновения, а также стадии повышения привилегий и поддержания персистентности вредоносной программы PurpleFox. Эта система также способна активно блокировать угрозы со стороны злоумышленников, например, блокировать сайты распространения кода.

В ходе атаки вредоносный код менял имя файла на обычное (sens.dll), чтобы после перезагрузки системы он работал как служба. Предполагается, что злоумышленник использовал эту технику для выполнения запланированных задач по удалению и переименованию определенных файлов. Кроме того, в MSI-пакете используется утилита netsh для добавления политик IPsec для определенных портов. Этот порт используется вредоносным кодом при доступе в сеть и является уязвимым. После изменения ключа реестра и добавления политики порта MSI-пакет пытается перезагрузиться, после чего запускается служба SENS (служба уведомлений о системных событиях) и выполняется вредоносный код.

В этот момент вредоносный код выполняет дополнительные задачи регистрации сервисов для запуска руткита и работы в безопасном режиме. Система AhnLab EDR может обнаружить поведение регистрации сервисов как для руткита, так и для работы в безопасном режиме.

#ParsedReport #CompletenessHigh
17-07-2023

Space Pirates: exploring non-standard techniques, new attack vectors and grouping tools

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/space-pirates-exploring-non-standard-techniques-new-attack-vectors-and-grouping-tools

Report completeness: High

Actors/Campaigns:
Webworm (motivation: cyber_criminal, cyber_espionage)

Threats:
Deed_rat
Voidoor
Plugx_rat
Stowaway_tool
Godzilla_loader
Shadowpad
Mimikatz_tool
Fscan_tool
Procdump_tool
Nbtscan_tool
Krbrelayup_tool
Nmap_tool
Impacket_tool
Regeorg
Trojan.win32.generic.a
Trojan.win32.evasion.a
Revbshell
Rtlshare
Uac_bypass_technique
Gh0st_rat
Process_injection_technique
Zupdax
Dll_sideloading_technique
Chromepass_tool
Credential_dumping_technique

Victims:
Universities, medical institutions, energy companies, security companies, as well as government agencies in russia and serbia

Industry:
Healthcare, Petroleum, Aerospace, Energy, Government, Education

Geo:
Chinese, Serbian, Asian, Antarctica, Russian, Russia, Serbia

CVEs:
CVE-2017-0213 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: True
X-Force: Risk: 7
X-Force: Patch: Official fix
Soft:
- microsoft windows rt 8.1 (*)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (*)
- microsoft windows 7 (*)
- microsoft windows 10 (1511, 1607, 1703, -)
have more...

TTPs:
Tactics: 11
Technics: 56

IOCs:
IP: 4
File: 12
Path: 7
Hash: 57
Command: 4

Soft:
psexec, windows service, component object model, chrome, outlook, wordpress

Algorithms:
lzw, base64, xor, sha256

Win API:
SHFileOperation, CreateProcess

Win Services:
BITS

Languages:
php, visual_basic

Platforms:
x86, x64

YARA: Found

Links:
https://api.github.com/users/hasdhuahd
https://github.com/kufan/LViewer/blob/master/Client/ZXPortMap.cpp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что "Space Pirates" - это группа киберпреступников, которая действует уже более трех лет и атакует государственные и образовательные учреждения, компании, занимающиеся безопасностью, и различные отрасли промышленности. Для проведения своих операций они используют различные инструменты и технологии, и за последние три года их тактика не претерпела существенных изменений. Однако они расширили географию своих атак и разработали новые инструменты, что привело к резкому увеличению числа атак на российские компании.
-----

В конце 2019 года Экспертный центр безопасности Positive Technologies (PT ESC) обнаружил новую группу киберпреступников под названием "Space Pirates". К 2022 году они действовали уже более трех лет и были выявлены в ходе расследований кибератак. Основными целями группы являются государственные и образовательные учреждения, охранные компании, предприятия авиационной, ракетно-космической и сельскохозяйственной отраслей, военно-промышленного и топливно-энергетического комплекса, а также компании, занимающиеся информационной безопасностью в России и Сербии.

Сетевая инфраструктура Space Pirates использует небольшое количество IP-адресов, на которые указывают DDNS-домены, и часто использует старые адреса сайтов, создавая на них домены более высокого уровня. Для осуществления своих операций Space Pirates используют веб-оболочку Godzilla, обфусцированный туннель Neo-reGeorg, а также бэкдор Deed RAT, который, как считается, является развитием ShadowPad и PlugX.

Кроме того, предполагается, что группа создала вредоносную программу под названием Voidoor, которая используется для взаимодействия с GitHub и voidtools. Жизненный цикл этой вредоносной программы включает в себя генерацию ссылок для доступа к списку жертв, загрузку файлов из репозиториев GitHub, создание задачи в планировщике и т.д. Известно также, что группа использует инструменты, написанные на языке Go и обфусцированные с помощью Garble, а также самописную утилиту, которая отслеживает подключенные носители и собирает с них файлы.

Тактика "Space Pirates" за три года их деятельности практически не изменилась: основными целями по-прежнему остаются шпионаж и кража конфиденциальной информации. Однако группа расширила географию атак и сферу своих интересов. Кроме того, они разработали новые и усовершенствовали старые инструменты, что привело к резкому увеличению числа атак на российские компании. Специалисты PT ESC продолжают отслеживать и реагировать на угрозы, в том числе связанные с "Space Pirates".

#ParsedReport #CompletenessLow
17-07-2023

Charming Kitten hackers use new NokNok malware for macOS

https://www.proofpoint.com/us/newsroom/news/charming-kitten-hackers-use-new-noknok-malware-macos

Report completeness: Low

Actors/Campaigns:
Charming_kitten
Apt42
Irgc

Threats:
Noknok
Gorjolecho
Ghostecho

Victims:
Macos users

Industry:
Government

Geo:
Iranian

ChatGPT TTPs:
do not use without manual check
T1036, T1566, T1086, T1218, T1140, T1064, T1074, T1566, T1036, T1071, have more...

IOCs:
Domain: 1

Soft:
macos, curl

Algorithms:
zip, base64

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа Charming Kitten с мая этого года замечена в использовании нового вредоносного ПО NokNok для атак на системы macOS. Вредоносная ссылка содержит макрос Google Script, который разворачивает бэкдор, позволяющий злоумышленникам выполнять команды на целевой системе. Полезная нагрузка NokNok собирает системную информацию и передает ее на свой командно-контрольный сервер, а также может обладать дополнительным функционалом, связанным со шпионажем. Данная кампания демонстрирует высокую степень возможностей группы Charming Kitten по атаке пользователей macOS.
-----

Исследователи безопасности обнаружили новую кампанию, приписываемую APT-группе Charming Kitten, в которой используется новое вредоносное ПО NokNok, нацеленное на системы macOS. Кампания активна с мая, и злоумышленники используют иную цепочку заражения, чем наблюдалось ранее. Вместо вредоносных документов Word хакеры используют LNK-файлы для развертывания полезной нагрузки. Предполагается, что угрожающая группировка связана с иранским государством, и в сентябре 2022 года правительству США удалось выявить ее членов и предъявить им обвинения.

Злоумышленники начинают с рассылки электронных писем от имени американских экспертов в области ядерной энергетики, предлагая ознакомиться с проектами по внешнеполитической тематике. Заручившись доверием жертвы, хакеры отправляют вредоносную ссылку, содержащую макрос Google Script. Он перенаправляет жертву на URL-адрес Dropbox, содержащий защищенный паролем RAR-архив. После его выполнения на компьютере будет развернут GorjolEcho - простой бэкдор, позволяющий удаленным операторам выполнять команды на целевой системе.

Если хакеры определяют, что жертва использует macOS, они отправляют новую ссылку на library-store.camdvr.org, где размещается ZIP-файл, маскирующийся под приложение RUSI VPN. Этот файл содержит скрипт Apple, который при выполнении подхватывает полезную нагрузку NokNok и создает бэкдор в систему жертвы. NokNok собирает системную информацию, такую как версия ОС, запущенные процессы и установленные приложения. Затем он шифрует и кодирует эти данные в формате base64, после чего передает их на свой командно-контрольный (C2) сервер. Предполагается, что NokNok может обладать более специфическим шпионским функционалом, аналогичным GhostEcho - другому бэкдору с модулями, позволяющими делать скриншоты, выполнять команды и очищать следы заражения.

Последняя кампания демонстрирует высокую степень адаптивности и возможности группы Charming Kitten в отношении пользователей macOS, что свидетельствует о растущей угрозе сложных кампаний вредоносного ПО для этих систем.

#ParsedReport #CompletenessLow
17-07-2023

Spearphishing Campaign Targets Zimbra Webmail Portals of Government Organizations

https://blog.eclecticiq.com/spearphishing-campaign-targets-zimbra-webmail-portals-of-government-organizations

Report completeness: Low

Victims:
Government organizations

Industry:
Government, Education

Geo:
France, Ukrainian, Spanish, Russian, Indonesia, Ukraine, Spain

CVEs:
CVE-2020-35730 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- roundcube webmail (<1.4.10, <1.3.16, <1.2.13)
- fedoraproject fedora (32, 33)
- debian debian linux (9.0)

CVE-2020-12641 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- roundcube webmail (<1.3.11, <1.4.4, <1.2.10)
- opensuse leap (15.1, 15.2)
- opensuse backports sle (15.0)


IOCs:
Domain: 3
Email: 2
IP: 2

Soft:
zimbra, roundcube, wordpress, zimbra collaboration suite

Functions:
escapeXml

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи EclecticIQ выявили кампанию спирфишинга, направленную на правительственные организации с января 2023 года и использующую для кражи учетных данных электронной почты эксплуатируемые почтовые серверы Zimbra и Roundcube. Угрожающие лица применяли такие уловки, как использование VPN-сервисов, Google Firebase, MailChimp, chilipepper.io и webflow.io, чтобы скрыть свою личность, и потенциально использовали уязвимость нулевого дня в Zimbra Collaboration Suite (ZCS).
-----

Исследователи EclecticIQ выявили кампанию spearphishing, направленную на правительственные организации с января 2023 года и использующую эксплуатируемые почтовые серверы Zimbra и Roundcube.

Письма содержали фишинговые заманухи по обслуживанию Zimbra с целью обмана получателей и кражи учетных данных электронной почты.

Угрожающий агент успешно обошел антиспам-фильтры целевых государственных организаций.

Вполне вероятно, что угроза использовала VPN-сервисы для сокрытия своей реальной личности.

Угрожающий агент использовал легитимные веб-сервисы для сбора учетных данных электронной почты.

Угрожающий агент использовал ту же самую замануху Zimbra на испанском языке, чтобы нацелить ее на испаноязычных жертв.

Угрожающий агент мог использовать известные или неизвестные уязвимости в системах Roundcube & Zimbra для получения доступа.

Для обеспечения анонимности угроза использовала VPN-сервис CyberGhost.

Unraveling the Complex Infection Chain: Analysis of the SideCopy APT’s Attack

https://threatmon.io/unraveling-the-complex-infection-chain-analysis-of-the-sidecopy-apts-attack/