#ParsedReport #CompletenessLow
18-07-2023

The New Release of Danabot Version 3: What You Need to Know

https://flashpoint.io/blog/danabot-version-3-what-you-need-to-know

Report completeness: Low

Threats:
Danabot
Postgrabber_tool
Danatools
Hvnc_tool

ChatGPT TTPs:
do not use without manual check
T1036.003, T1114.001, T1056.001, T1082.001, T1083.001, T1083.002, T1086.001, T1203.001, T1573.001, T1546.001, have more...

Soft:
jabber, mysql

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Danabot версии 3 является более доступным и привлекательным для угроз набором вредоносных программ, что повышает риск атак с использованием Danabot, и аналитики Flashpoint отслеживают угрозы на предмет использования ботов Danabot версии 3 в дикой природе.
-----

Аналитики компании Flashpoint отслеживают недавно выпущенную DBot v.3 - третью версию известного пакета вредоносных программ Danabot. Эта версия нацелена на сохранение и извлечение полезной информации, которая впоследствии может быть монетизирована, и использует социальную инженерию в почтовых угрозах для сбора информации от своих жертв. Бот оснащен вредоносными программами-крадунами, функциями "обнюхивания" буфера обмена, кейлоггинга, захвата файлов и кошельков, постграббером, инструментом захвата форм, троянами удаленного доступа (RAT), HTML-инъекциями, перенаправлением и блокировкой веб-запросов, Tor fallback для восстановления командно-контрольного (C2) прокси, а также интеграцией Jabber для получения уведомлений. Наряду с этим OnlineServer - портативное исполняемое (PE) приложение, выполняющее роль панели для RAT-функционала Danabot и позволяющее взаимодействовать с API Danabot, выдавать терминальные команды на системы жертв, предоставлять жертвам удаленный доступ через скрытые виртуальные сетевые вычисления, создавать ботов, упаковывать и криптовать ботов, строить прокси-цепочки для C2-связи ботов, а также задействовать API для работы с криптовалютой и базой данных.

Наиболее важными изменениями по сравнению с DanaTools (версия 2) и DBot v.3 являются реструктуризация цен и улучшение поддержки клиентов. С выходом DBot v.3 субъекты угроз получили большую гибкость в выборе необходимых им инструментов благодаря новым структурам подписки, таким как использование stealer, stealer plus HVNC, stealer и PostGrabber, stealer, Postgrabber и HVNC, stealer, PostGrabber, HVNC, API, персональный сервер и персональная поддержка, а также демо-версия stealer, HVNC и PostGrabber. Кроме того, на сайте Danabot Tor появились инструкции по установке и настройке панели, а также видеодемонстрации и варианты генерации ботов, что делает его более доступным и привлекательным для субъектов угроз. В настоящее время аналитики Flashpoint отслеживают угрозы на предмет использования ботов Danabot версии 3 в реальных условиях.

Danabot версии 3 предназначен для работы с браузерами, FTP-, SSH- и почтовыми клиентами, а также для сбора данных при копировании информации между приложениями. Кроме того, в состав бота входят кейлоггер, граббер кошельков, постграббер, HTML-инъекции, перенаправление и блокирование веб-запросов, Tor fallback для восстановления C2-прокси и интеграция с Jabber для получения уведомлений. Бот способен настраиваться под нужды пользователя, позволяя ему выбирать необходимые инструменты через структуру подписки. Кроме того, на сайте Danabot Tor можно найти инструкции по установке и настройке панели, а также видеодемонстрации и варианты генерации бота.

Аналитики компании Flashpoint активно отслеживают угрозы на предмет использования ботов Danabot версии 3 в природе. Реструктуризация и снижение барьера входа делают DBot v.3 более доступным и привлекательным для угроз, а значит, повышают риск атак с использованием Danabot. Чтобы узнать о последних обновлениях, связанных с DBot v.3, а также о других растущих вредоносных угрозах, рекомендуем подписаться на бесплатную пробную версию.

#ParsedReport #CompletenessMedium
18-07-2023

Possible Supply-Chain Attack Targeting Pakistani Government Delivers Shadowpad

https://www.trendmicro.com/en_us/research/23/g/supply-chain-attack-targeting-pakistani-government-delivers-shad.html

Report completeness: Medium

Actors/Campaigns:
Axiom
Earth_lusca
Tonto_team
Calypso
Webworm
Driftingcloud

Threats:
Supply_chain_technique
Shadowpad
Dll_sideloading_technique
Dead_drop_technique
Mitm_technique
Deed_rat
Trojan.win64.poppingbee.zbjf
Backdoor.win64.poppingbee.zajf
Trojan.win64.poppingbee.a

Victims:
Pakistan government entity, Pakistani public sector bank, Pakistani telecommunications provider

Industry:
Government, Telco, Financial

Geo:
Pakistani, Pakistan, Afghanistan, Chinese

IOCs:
File: 9
Domain: 2
IP: 1
Url: 2
Hash: 18

Algorithms:
aes-cbc, xor

Win API:
CryptDeriveKey

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно мы обнаружили атаку на пакистанскую правительственную организацию, в ходе которой модифицированная версия приложения "Электронный офис" использовалась для доставки образца Shadowpad. Угрожающий агент имел доступ к последней версии Shadowpad, что позволяет предположить его связь с китайской группой угроз. Кроме того, угрожающий субъект подготовился к атаке, тщательно выбрав адрес C&C, чтобы он не выделялся на фоне легитимного сетевого трафика.
-----

Недавно мы обнаружили модифицированный установщик приложения E-Office, используемого правительством Пакистана, в образце Shadowpad, что говорит о возможной атаке по цепочке поставок. Поскольку файл MSI-установщика не был подписан, неясно, получил ли угрожающий агент легитимный инсталлятор и модифицировал его, добавив вредоносные файлы, или же пользователи были привлечены к запуску этой троянизированной версии с помощью атак социальной инженерии. В настоящее время пакистанское государственное учреждение, о котором идет речь, проводит детальный криминалистический анализ своих систем для расследования этого инцидента.

Shadowpad - передовое семейство вредоносных программ, обнаруженное в 2017 году в результате атаки по цепочке поставок на популярное программное обеспечение для управления серверами, приписываемой APT41, а с 2019 года распространяемое несколькими китайскими угрозами, такими как Earth Akhlut или Earth Lusca. E-Office - приложение, призванное помочь государственным ведомствам перейти на безбумажный режим работы и поставляемое только государственным организациям.

Анализ вредоносного MSI-инсталлятора выявил наличие Telerik.Windows.Data.Validation.dll, 64-битного не-DLL PE-исполняемого файла, который является легитимным файлом applaunch.exe, подписанным Microsoft. Известно, что этот файл используется различными субъектами угроз для боковой загрузки вредоносных файлов с именем mscoree.dll. Mscoree.dll - это вредоносная DLL, которая расшифровывает и загружает файл mscoree.dll.dat, являющийся полезной нагрузкой Shadowpad.

В нашей телеметрии обнаружены три цели, расположенные в Пакистане: две из них - представители государственного/общественного сектора и одна - телекоммуникационного оператора. В двух случаях образец Shadowpad попал на жертву после выполнения инсталлятора E-Office с обратной загрузкой. Для третьей жертвы вектор заражения пока неизвестен. Мы не нашли достаточных доказательств, чтобы приписать эту атаку известному угрожающему субъекту, хотя выявили один дроппер, с высокой степенью вероятности принадлежащий угрожающему субъекту Calypso, еще один образец вредоносного ПО, вероятно, являющийся вариантом Shadowpad, с низкой степенью вероятности принадлежащий угрожающему субъекту Calypso, семейство вредоносных программ, принадлежащее угрожающему субъекту DriftingCloud, и полезную нагрузку, приписываемую Bronze University.

Эта атака демонстрирует возможности очень способного угрожающего субъекта, которому удалось получить и модифицировать инсталлятор правительственного приложения для компрометации чувствительных целей. Тот факт, что угрожающий агент имеет доступ к последней версии Shadowpad, потенциально связывает его с группой китайских угрожающих агентов. Кроме того, угрожающий агент тщательно выбрал один из своих C&C-адресов, чтобы он не выделялся на фоне легитимного сетевого трафика, что еще раз свидетельствует о его подготовительных возможностях. Учитывая постоянные обновления Shadowpad, мы ожидаем, что в будущем появится еще больше угроз, использующих эту версию.

#ParsedReport #CompletenessMedium
18-07-2023

FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware

https://symantec-enterprise-blogs.security.com/threat-intelligence/syssphinx-fin8-backdoor

Report completeness: Medium

Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Hornworm (motivation: financially_motivated)
Carbanak (motivation: financially_motivated)
Blackmatter (motivation: financially_motivated)

Threats:
Sardonic
Blackcat
Lolbin_technique
Ragnar_locker
Viking
Carbon
Badhatch_tool
Impacket_tool
Confuserex_tool
Polymorphism_technique

Victims:
Organizations in the hospitality, retail, entertainment, insurance, technology, chemicals, and finance sectors

Industry:
Financial, Chemical, Healthcare, Entertainment, Retail

IOCs:
Command: 5
File: 5
Url: 1
Hash: 23
IP: 1
Domain: 4

Soft:
psexec

Algorithms:
sha256, rc4

Functions:
Symantec, GetComputerName

Win API:
QueueUserAPC

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Syssphinx - это финансово мотивированная киберпреступная группа, действующая с 2016 г. и замеченная в развертывании угроз ransomware, а также в совершенствовании своих инструментов и тактик, чтобы избежать обнаружения.
-----

Syssphinx (она же FIN8) - финансово мотивированная киберпреступная группа, действующая как минимум с января 2016 года. Она известна тем, что атакует организации в сфере гостиничного бизнеса, розничной торговли, развлечений, страхования, технологий, химической промышленности и финансов и использует так называемую тактику "жизни на земле", применяя встроенные инструменты и интерфейсы, такие как PowerShell и WMI, а также злоупотребляя легитимными сервисами для маскировки своей деятельности. Социальная инженерия и spear-phishing - два предпочтительных для группы метода первоначальной компрометации. Изначально специализировавшаяся на атаках на точки продаж (POS), Syssphinx в последнее время стала использовать в своих атаках и угрозы вымогательства.

В июне 2021 года было замечено, что Syssphinx развернула программу-рансомер Ragnar Locker на машинах, скомпрометированных в начале года в одной из финансовых компаний США. В январе 2022 года с Syssphinx было связано семейство программ-вымогателей, известное под названием White Rabbit, а в декабре 2022 года группа попыталась развернуть программу-вымогатель Noberus. Оператором Noberus является финансово мотивированная киберпреступная группа, которую Symantec называет Coreid (также известная как Blackmatter, Carbon Spider, FIN7).

Команда Syssphinx также была замечена в использовании варианта бэкдора Sardonic для доставки программы Noberus ransomware. Анализ бэкдора показал, что он является частью фреймворка Sardonic, ранее использовавшегося группой и проанализированного в отчете Bitdefender за 2021 год. Однако, судя по всему, большинство функций бэкдора были изменены, чтобы придать ему новый вид.

Сценарий PowerShell, используемый Syssphinx, может удалить себя, проверить архитектуру текущего процесса и выбрать 32- или 64-битную версию закодированного .NET Loader в зависимости от ситуации, декодировать двоичный файл .NET Loader и загрузить его в текущий процесс, а также запустить основную функциональность .NET Loader, где инжектор и бэкдор расшифровываются и управление передается инжектору.

Инжектор выполнен в виде шеллкода, точка входа которого показана на рис. 3. Подпрограмма decrypt_dwords, показанная на рисунке 3, расшифровывает несколько слов и открывает короткий фрагмент кода. Цель инжектора - запустить бэкдор во вновь созданном процессе WmiPrvSE.exe, который он пытается запустить в сессии-0 (best effort), используя токен, украденный из процесса lsass.exe.

Бэкдор выполнен в виде шелл-кода, и его точка входа выглядит аналогично точке входа инжектора, за исключением полиморфизма. Образец допускает одновременный запуск до 10 интерактивных процессов. Бэкдор поддерживает три различных формата для расширения своей функциональности: PE DLL-плагины, шеллкод-плагины и шеллкод с другим соглашением о передаче аргументов. Бэкдор взаимодействует со своим командно-контрольным сервером (C&C), обмениваясь сообщениями переменного размера с помощью определенной структуры.

Syssphinx продемонстрировала свое стремление извлечь максимальную прибыль из организаций-жертв, расширив сферу своей деятельности с POS-атак до развертывания программ-вымогателей. Группа также продолжает разрабатывать и совершенствовать свои инструменты и тактику, чтобы избежать обнаружения. Описанные в данном отчете инструменты и тактики подчеркивают, что эта высококвалифицированная финансовая угроза по-прежнему представляет серьезную опасность для организаций.

#ParsedReport #CompletenessMedium
17-07-2023

Analysis of Storm-0558 techniques for unauthorized email access

https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access

Report completeness: Medium

Actors/Campaigns:
Storm-0558 (motivation: cyber_espionage)
Apt31

Threats:
Credential_harvesting_technique
Chinachopper

Victims:
Us and european diplomatic, economic, and legislative governing bodies, and individuals connected to taiwan and uyghur geopolitical interests

Industry:
Telco, Government

Geo:
Chinese, China, Taiwan

IOCs:
IP: 38
Hash: 3

Soft:
outlook, azure active directory, azure ad, softether

Algorithms:
sha1

Functions:
GetAccessTokenForResource, GetAccessTokenForResourceAPI, REST, OWA, GetConversationItems, GetAccessTokensForResource

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и заблокировала вредоносную кампанию китайского угрожающего агента Storm-0558, направленную на дипломатические, экономические и законодательные органы США и Европы, а также на лиц, связанных с тайваньскими и уйгурскими геополитическими интересами.
-----

Недавно, 11 июля 2023 г., компания Microsoft опубликовала два блога, в которых подробно описала вредоносную кампанию, проводимую китайским агентом угроз Storm-0558. Угроза направлена на дипломатические, экономические и законодательные органы США и Европы, а также на лиц, связанных с геополитическими интересами Тайваня и Уйгурского полуострова. Специалисты Microsoft Threat Intelligence с умеренной уверенностью считают, что Storm-0558 - это китайский угрожающий агент, преследующий свои цели с помощью сбора учетных данных, фишинговых кампаний и атак на токены OAuth.

16 июня 2023 года компания Microsoft получила уведомление об аномальном доступе к данным Exchange Online, приписываемом злоумышленнику Storm-0558. Действующее лицо получало доступ к данным Exchange Online с помощью Outlook Web Access (OWA), подделывая токены аутентификации с использованием приобретенного корпоративного ключа подписи Azure AD. Дальнейший анализ показал, что в действительности злоумышленник подделывал токены Azure AD с помощью приобретенного потребительского ключа подписи учетной записи Microsoft (MSA) из-за ошибки проверки в коде Microsoft.

В ответ на это компания Microsoft предприняла меры по блокированию соответствующих злоупотреблений, аннулировала все ключи MSA, активные до инцидента, обновила свои системы, аннулировала все ранее активные ключи и выпустила новые ключи. Корпорация Microsoft увидела, что Storm-0558 перешел на другие методы, и не наблюдала никакой активности агентов, связанной с ключами, после аннулирования приобретенного агентом ключа подписи MSA. Microsoft продолжает изучать другие способы получения ключа и добавлять дополнительные меры защиты.

В ходе расследования Microsoft выявила несколько отличительных возможностей Storm-0558, которые способствуют применению угрожающим агентом методов вторжения. Эти возможности включают набор сценариев PowerShell и Python для выполнения вызовов REST API к службе OWA Exchange Store, маршрутизацию веб-запросов через прокси-сервер Tor или несколько жестко закодированных прокси-серверов SOCKS5, а также использование выделенной инфраструктуры под управлением прокси-программного обеспечения SoftEther.

Текущий мониторинг показал, что все действия агентов, связанные с этим инцидентом, были заблокированы. Microsoft продолжит отслеживать активность Storm-0558 и обеспечивать защиту наших клиентов. Корпорация Microsoft успешно заблокировала эту кампанию Storm-0558 и уведомила об этом затронутых клиентов. Корпорация Microsoft выявила основную причину, установила постоянное отслеживание кампании, пресекла вредоносную деятельность, обеспечила защиту среды, уведомила всех затронутых клиентов и скоординировала свои действия с различными государственными структурами.

#ParsedReport #CompletenessLow
19-07-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/07/dangerouspassword_dev.html

Report completeness: Low

Actors/Campaigns:
Cryptocore
Snatchcrypto

Threats:
Vmprotect_tool
Pythonhttpbackdoor
Jokerspy

Victims:
Developers of cryptocurrency exchange businesses

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.004, T1036, T1140, T1105, T1086, T1218, T1064, T1078, T1070, have more...

IOCs:
File: 6
Domain: 4
Hash: 19

Soft:
macos, node.js, task scheduler, mac os

Algorithms:
base64

Languages:
python, javascript

Links:
https://github.com/mnooner256/pyqrcode

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: JPCERT/CC выявил атаку, связанную с группой DangerousPassword, которая была направлена на разработчиков криптовалютных бирж с использованием вредоносного кода, вставленного в модуль Python, и двух других типов вредоносного ПО. Для защиты от такого рода атак разработчикам ПО следует использовать только фреймворки и внешние модули, полученные из легитимных репозиториев.
-----

JPCERT/CC, совместное предприятие Японской группы реагирования на чрезвычайные ситуации в компьютерной сфере и Координационного центра кибербезопасности, подтвердило факт атаки в мае 2023 года, направленной на разработчиков криптовалютных бирж. Предполагается, что эта атака была связана с целевой группой DangerousPassword и затрагивала среды Windows, macOS и Linux.

Атака начинается с вставки вредоносного кода в файл builder.py в модуле Python. Он выполняет дополнительные вредоносные программы и способен работать в средах Windows, macOS и Linux. Кроме того, он загружает и исполняет MSI-файлы из внешнего источника, отправляет на C2-сервер информацию об имени пользователя, ОС и процессах зараженных устройств в формате BASE64, а также сбрасывает DLL-файл devobj.dll.

JPCERT/CC также выявил еще два типа вредоносных программ, связанных с этой атакой. Первый - PythonHTTPBackdoor, содержащий простые команды, а второй - вредоносное ПО для Node.js под названием request.js. Обе эти программы имеют функции обнаружения среды ОС и нацелены на разработчиков, использующих строки, связанные с git.

Атака группы DangerousPassword уникальна тем, что она нацелена на среду разработчиков с различными платформами. Для защиты от этого типа атак разработчикам ПО следует использовать только фреймворки и внешние модули, полученные из легитимных репозиториев. JPCERT/CC также предоставляет информацию о C2 и хэш-значениях вредоносных программ, упомянутых в данном отчете.

#ParsedReport #CompletenessMedium
19-07-2023

FakeSG enters the 'FakeUpdates' arena to deliver NetSupport RAT

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/socgholish-copycat-delivers-netsupport-rat

Report completeness: Medium

Threats:
Netsupportmanager_rat
Fakesg
Socgholish_loader
Cobalt_strike
Mimikatz_tool
Scriptzzbn
Solarmarker

TTPs:
Tactics: 4
Technics: 13

IOCs:
Domain: 3
File: 6
IP: 3
Path: 1
Registry: 1

Soft:
wordpress, mastodon

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: FakeSG - это вредоносная кампания, использующая поддельные обновления браузеров для загрузки NetSupport RAT, которая затем используется для получения удаленного доступа и доставки дополнительной полезной нагрузки. От других кампаний она отличается тем, что использует различные уровни обфускации и методы доставки. Кроме того, она используется для кражи учетных данных, которые могут быть перепроданы и использованы для атак с целью получения выкупа.
-----

Поддельные обновления браузера - распространенная тактика, используемая авторами вредоносных программ для того, чтобы обманом заставить пользователей загрузить вредоносные файлы. Последняя кампания, использующая эту приманку, называется FakeSG и использует взломанные WordPress-сайты для отображения пользовательской целевой страницы, имитирующей браузер пользователя. После щелчка на фальшивом обновлении пользователю предлагается загрузить пакет в формате zip, содержащий NetSupport RAT, который используется для получения удаленного доступа и доставки дополнительной полезной нагрузки.

Кампания FakeSG отличается от своего предшественника SocGholish тем, что в ней используются различные уровни обфускации и технологии доставки, а также более современный исходный код шаблона. Кроме того, участники угрозы размещают файлы NetSupport RAT на том же скомпрометированном сайте WordPress, который ранее использовался для загрузки интернет-ярлыка. После успешного заражения происходит обратный вызов командно-контрольного сервера RAT.

Среди других кампаний, использовавших поддельные обновления браузеров, можно назвать Domen toolkit и sczriptzzbn, обе из которых распространяли SolarMarker, приводящий к появлению NetSupport RAT. Авторы вредоносных программ часто используют эти брокеры первоначального доступа для сбора информации и выполнения дополнительных действий с интересующими их жертвами. Украденные учетные данные могут быть перепроданы другим угрожающим субъектам, которые могут использовать их для организации атак с целью получения выкупа.

#ParsedReport #CompletenessLow
19-07-2023

Job Scams Using Bioscience Lures Target Universities

https://www.proofpoint.com/us/blog/threat-insight/job-scams-using-bioscience-lures-target-universities

Report completeness: Low

Victims:
University students, especially those who are currently job hunting

Industry:
Biotechnology, Financial, Transport, Healthcare, Education

Geo:
America

IOCs:
Email: 3
Domain: 29

Crypto:
bitcoin

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Proofpoint выявила серию кампаний, использующих поддельные предложения о работе, направленных на студентов университетов Северной Америки с конечной целью проведения мошеннических операций с авансовыми платежами.
-----

Компания Proofpoint выявила серию кампаний с использованием мошеннических предложений о работе, направленных на студентов университетов в Северной Америке. Активность началась еще в марте 2023 года и продолжалась до июня 2023 года. Электронные сообщения поступали от различных организаций, большинство из которых были связаны с биологическими науками, здравоохранением и биотехнологиями, а также от некоторых не связанных с ними организаций. Угрожающий агент создавал поддельные домены, которые якобы принадлежали легитимным компаниям, обычно добавляя к доменному имени слово "карьера". Поддельные организации, как правило, относились к сфере бионаук, здравоохранения, биотехнологий и смежных отраслей. Адреса электронной почты, как правило, выдавали себя за реальных сотрудников компаний, которые пытались подделать.

Университеты часто становятся мишенью для мошенничества с трудоустройством, поскольку студенты, скорее всего, более открыты для гибкой и удаленной работы, иностранные студенты могут не распознать признаки мошенничества по электронной почте так же хорошо, как носители английского языка, а растущая инфляция и стоимость обучения бьет по финансам студентов, делая обещание быстрых денег более привлекательным. Конечной целью этих кампаний, скорее всего, было мошенничество с авансовыми платежами (AFF). В некоторых случаях актер также может просить криптовалютные платежи для покрытия расходов на доставку товаров, которые они должны были приобрести.

Компания Proofpoint обнаружила в тех же кампаниях и другие темы, схожие по тактике, технике и процедурам. Исходя из наблюдаемых полезных нагрузок, виктимологии, объема кампаний и сообщений, компания Proofpoint с высокой степенью уверенности считает, что это кластер киберпреступной деятельности, имеющий финансовую мотивацию. Как правило, эта деятельность направлена на студентов вузов, особенно тех, кто находится в поиске работы.

#ParsedReport #CompletenessMedium
18-07-2023

Taking Microsoft Office by "Storm"

https://www.varonis.com/blog/taking-microsoft-office-by-storm

Report completeness: Medium

Actors/Campaigns:
Dev-0978 (motivation: cyber_criminal, financially_motivated, cyber_espionage)

Threats:
Romcom_rat
Trigona

Industry:
Financial, Government, Telco

Geo:
America, Ukrainian

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...

IOCs:
Domain: 2
Path: 1
File: 7
IP: 4
Hash: 5
Url: 14

Soft:
microsoft office, microsoft defender, microsoft word

Algorithms:
sha256

#ParsedReport #CompletenessMedium
19-07-2023

P2PInfect: The Rusty Peer-to-Peer Self-Replicating Worm

https://unit42.paloaltonetworks.com/peer-to-peer-worm-p2pinfect

Report completeness: Medium

Actors/Campaigns:
Purpleurchin
Teamtnt

Threats:
P2pinfect
Wildfire
Tsunami_botnet
Redigo
Kinsing_miner
Upx_tool

Victims:
Redis instances

Geo:
Emea, Japan, Apac, America

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Unavailable
Soft:
- redis (-)
- debian debian linux (9.0, 10.0, 11.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1090, T1086

IOCs:
Path: 1
File: 1
Hash: 4
IP: 5

Soft:
redis, debian

Algorithms:
sha256

Languages:
lua, rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Unit 42 обнаружило вредоносный P2P-червь P2PInfect, который использует уязвимость выхода из песочницы Lua, CVE-2022-0543, для получения начального доступа к облачным средам. В Национальной базе данных уязвимостей NIST он оценен по критической шкале CVSS в 10,0 баллов, и компания Palo Alto Networks обеспечивает защиту от этой угрозы.
-----

Unit 42 обнаружило 11 июля 2023 года вредоносный P2P-червь под названием P2PInfect. Этот червь нацелен на Redis, приложение для работы с базами данных с открытым исходным кодом, используемое в облачных средах, и использует уязвимость выхода из песочницы Lua, CVE-2022-0543, для получения начального доступа. За последние две недели Unit 42 выявило более 307 000 уникальных систем Redis, находящихся в открытом доступе, из которых 934 могут быть уязвимы для этого варианта P2P-червя.

P2PInfect представляет собой серьезную атаку, которую могут провести злоумышленники, использующие данную уязвимость, и входит в Национальную базу данных уязвимостей NIST с критической оценкой CVSS 10,0. Червь написан на Rust, высокомасштабируемом и удобном для облачных вычислений языке программирования, и использует P2P-сеть для распространения последующих вредоносных программ на новые зараженные системы или облачные инстанции. После первой компрометации системы он устанавливает сетевое соединение с P2P-сетью и загружает образцы используемого пользовательского протокола.

Червь P2PInfect обладает рядом особенностей, которые делают его эффективным в облачных контейнерных средах. Он способен автоматически обновлять вредоносную полезную нагрузку, что позволяет злоумышленникам изменять и повышать эффективность любой из вредоносных операций. Кроме того, он может сканировать открытые хосты Redis и порт 22 SSH, а также обладает способностью к самоудалению.

Важно отметить, что данная уязвимость не является уязвимостью приложения Redis, а представляет собой уязвимость песочницы Lua. Хотя P2PInfect и нацеливается на уязвимые экземпляры Redis, нет никаких связей с другими группами угроз, известными тем, что нацелены на Redis и развертывание червей.

#ParsedReport #CompletenessMedium
19-07-2023

Sophos Discovers Ransomware Abusing Sophos Name

https://news.sophos.com/en-us/2023/07/18/sophos-discovers-ransomware-abusing-sophos-name

Report completeness: Medium

Threats:
Cobalt_strike

Geo:
Russian

IOCs:
IP: 2
Domain: 1
Hash: 2
Url: 1

Soft:
jabber

Algorithms:
sha256

Languages:
rust

Links:
https://github.com/sophoslabs/IoCs/blob/master/Troj-Ransom-GXS.csv

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея заключается в том, что аналитик X-Ops обнаружил исполняемый файл ransomware, использующий в своем пользовательском интерфейсе название компании Sophos, и что в продуктах Sophos Intercept X имеются сигнатуры, блокирующие исполнение и вредоносное поведение этого ransomware.
-----

Этот исполняемый файл вымогательского ПО, использующий в своем пользовательском интерфейсе название компании Sophos, был обнаружен аналитиком X-Ops. Необычным в этой программе является то, что она не предоставляет дополнительных возможностей, как большинство современных ransomware. Он включает в себя такие способы связи с атакующим, как электронная почта и мессенджер Jabber, а также отказывается запускаться, если в языковых настройках установлен русский язык. Кроме того, исполняемый файл подключается к адресу командно-контрольного сервера в "темной паутине" Tor (.onion).

При запуске в консоли программа предлагает пользователю ввести строку информации, которая настраивает ее поведение и содержание письма с выкупом. После этого программа начинает шифровать файлы, переименовывая их в соответствии со значением токена и добавляя к каждому файлу уникальный идентификатор машины, адрес электронной почты, указанный при настройке, и суффикс .sophos. Кроме того, он меняет обои рабочего стола Windows на экран с надписью Sophos.

Кроме того, при запуске на компьютере, подключенном к Интернету, программа пытается подтвердить разрешение пользователя на использование программы. Если значение токена не принимается, программа выдает сообщение об ошибке и завершает работу. Если же программа запускается на компьютере, не подключенном к Интернету, то она продолжает свою работу и предлагает пользователю ввести 32-байтный пароль, контактную информацию и начать шифрование. В таблицах свойств исполняемых файлов ransomware указано, что они имеют версии 0.0.8 и 0.0.9 соответственно, и ни один из них не подписан.

Продукты Sophos Intercept X имеют сигнатуры, блокирующие исполнение и вредоносное поведение этой программы-вымогателя. CryptoGuard блокирует попытки шифрования выкупа во время выполнения программы, Impact_6a блокирует вредоносную активность на этапе Impact, Troj/Ransom-GXS обнаруживает вредоносный файл перед выполнением, Mal/Generic-R использует определение репутации для предотвращения выполнения вредоносной программы, а определение репутации для C2 IP блокирует доступ к C2, связанному с вредоносной программой. Несмотря на то, что данные образцы были обнаружены только в общедоступном репозитории вредоносного ПО, компания Sophos продолжит отслеживать использование этой программы-вымогателя в природе.

#ParsedReport #CompletenessMedium
19-07-2023

BYOS Bundle Your Own Stealer. Highlights:

https://research.checkpoint.com/2023/byos-bundle-your-own-stealer

Report completeness: Medium

Threats:
Bundlebot
Ducktail_stealer
Asmresolver_tool
Junk_code_technique
De4dot_tool
Infostealer.wins
Infostealer.win.fakegoogleai.a
Infostealer.win.fakegoogleai.b
Infostealer.win.fakegoogleai.c
Infostealer.win.fakegoogleai.d
Infostealer.win.fakegoogleai.e

Victims:
Facebook ads and compromised accounts

Industry:
Telco

IOCs:
Url: 12
File: 2
Path: 2
Registry: 1
IP: 5
Hash: 47

Soft:
net core, macos, telegram, discord, chrome, opera, coccoc

Wallets:
harmony_wallet

Algorithms:
gzip, sha256, zip, base64

Languages:
dotnet

Platforms:
x86

Links:
https://github.com/de4dot/de4dot
https://github.com/dnSpyEx/dnSpy/releases
https://github.com/Washi1337/AsmResolver
https://github.com/dnSpyEx/dnSpy
https://github.com/dnSpyEx/dnSpy/issues/48
https://github.com/icsharpcode/ILSpy
https://github.com/dotnet/sdk/blob/main/documentation/specs/runtime-configuration-file.md
https://github.com/dnSpyEx/dnSpy/releases/tag/v6.4.0