#ParsedReport #CompletenessMedium
18-07-2023

FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware

https://symantec-enterprise-blogs.security.com/threat-intelligence/syssphinx-fin8-backdoor

Report completeness: Medium

Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Hornworm (motivation: financially_motivated)
Carbanak (motivation: financially_motivated)
Blackmatter (motivation: financially_motivated)

Threats:
Sardonic
Blackcat
Lolbin_technique
Ragnar_locker
Viking
Carbon
Badhatch_tool
Impacket_tool
Confuserex_tool
Polymorphism_technique

Victims:
Organizations in the hospitality, retail, entertainment, insurance, technology, chemicals, and finance sectors

Industry:
Financial, Chemical, Healthcare, Entertainment, Retail

IOCs:
Command: 5
File: 5
Url: 1
Hash: 23
IP: 1
Domain: 4

Soft:
psexec

Algorithms:
sha256, rc4

Functions:
Symantec, GetComputerName

Win API:
QueueUserAPC

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Syssphinx - это финансово мотивированная киберпреступная группа, действующая с 2016 г. и замеченная в развертывании угроз ransomware, а также в совершенствовании своих инструментов и тактик, чтобы избежать обнаружения.
-----

Syssphinx (она же FIN8) - финансово мотивированная киберпреступная группа, действующая как минимум с января 2016 года. Она известна тем, что атакует организации в сфере гостиничного бизнеса, розничной торговли, развлечений, страхования, технологий, химической промышленности и финансов и использует так называемую тактику "жизни на земле", применяя встроенные инструменты и интерфейсы, такие как PowerShell и WMI, а также злоупотребляя легитимными сервисами для маскировки своей деятельности. Социальная инженерия и spear-phishing - два предпочтительных для группы метода первоначальной компрометации. Изначально специализировавшаяся на атаках на точки продаж (POS), Syssphinx в последнее время стала использовать в своих атаках и угрозы вымогательства.

В июне 2021 года было замечено, что Syssphinx развернула программу-рансомер Ragnar Locker на машинах, скомпрометированных в начале года в одной из финансовых компаний США. В январе 2022 года с Syssphinx было связано семейство программ-вымогателей, известное под названием White Rabbit, а в декабре 2022 года группа попыталась развернуть программу-вымогатель Noberus. Оператором Noberus является финансово мотивированная киберпреступная группа, которую Symantec называет Coreid (также известная как Blackmatter, Carbon Spider, FIN7).

Команда Syssphinx также была замечена в использовании варианта бэкдора Sardonic для доставки программы Noberus ransomware. Анализ бэкдора показал, что он является частью фреймворка Sardonic, ранее использовавшегося группой и проанализированного в отчете Bitdefender за 2021 год. Однако, судя по всему, большинство функций бэкдора были изменены, чтобы придать ему новый вид.

Сценарий PowerShell, используемый Syssphinx, может удалить себя, проверить архитектуру текущего процесса и выбрать 32- или 64-битную версию закодированного .NET Loader в зависимости от ситуации, декодировать двоичный файл .NET Loader и загрузить его в текущий процесс, а также запустить основную функциональность .NET Loader, где инжектор и бэкдор расшифровываются и управление передается инжектору.

Инжектор выполнен в виде шеллкода, точка входа которого показана на рис. 3. Подпрограмма decrypt_dwords, показанная на рисунке 3, расшифровывает несколько слов и открывает короткий фрагмент кода. Цель инжектора - запустить бэкдор во вновь созданном процессе WmiPrvSE.exe, который он пытается запустить в сессии-0 (best effort), используя токен, украденный из процесса lsass.exe.

Бэкдор выполнен в виде шелл-кода, и его точка входа выглядит аналогично точке входа инжектора, за исключением полиморфизма. Образец допускает одновременный запуск до 10 интерактивных процессов. Бэкдор поддерживает три различных формата для расширения своей функциональности: PE DLL-плагины, шеллкод-плагины и шеллкод с другим соглашением о передаче аргументов. Бэкдор взаимодействует со своим командно-контрольным сервером (C&C), обмениваясь сообщениями переменного размера с помощью определенной структуры.

Syssphinx продемонстрировала свое стремление извлечь максимальную прибыль из организаций-жертв, расширив сферу своей деятельности с POS-атак до развертывания программ-вымогателей. Группа также продолжает разрабатывать и совершенствовать свои инструменты и тактику, чтобы избежать обнаружения. Описанные в данном отчете инструменты и тактики подчеркивают, что эта высококвалифицированная финансовая угроза по-прежнему представляет серьезную опасность для организаций.

#ParsedReport #CompletenessMedium
17-07-2023

Analysis of Storm-0558 techniques for unauthorized email access

https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access

Report completeness: Medium

Actors/Campaigns:
Storm-0558 (motivation: cyber_espionage)
Apt31

Threats:
Credential_harvesting_technique
Chinachopper

Victims:
Us and european diplomatic, economic, and legislative governing bodies, and individuals connected to taiwan and uyghur geopolitical interests

Industry:
Telco, Government

Geo:
Chinese, China, Taiwan

IOCs:
IP: 38
Hash: 3

Soft:
outlook, azure active directory, azure ad, softether

Algorithms:
sha1

Functions:
GetAccessTokenForResource, GetAccessTokenForResourceAPI, REST, OWA, GetConversationItems, GetAccessTokensForResource

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Microsoft обнаружила и заблокировала вредоносную кампанию китайского угрожающего агента Storm-0558, направленную на дипломатические, экономические и законодательные органы США и Европы, а также на лиц, связанных с тайваньскими и уйгурскими геополитическими интересами.
-----

Недавно, 11 июля 2023 г., компания Microsoft опубликовала два блога, в которых подробно описала вредоносную кампанию, проводимую китайским агентом угроз Storm-0558. Угроза направлена на дипломатические, экономические и законодательные органы США и Европы, а также на лиц, связанных с геополитическими интересами Тайваня и Уйгурского полуострова. Специалисты Microsoft Threat Intelligence с умеренной уверенностью считают, что Storm-0558 - это китайский угрожающий агент, преследующий свои цели с помощью сбора учетных данных, фишинговых кампаний и атак на токены OAuth.

16 июня 2023 года компания Microsoft получила уведомление об аномальном доступе к данным Exchange Online, приписываемом злоумышленнику Storm-0558. Действующее лицо получало доступ к данным Exchange Online с помощью Outlook Web Access (OWA), подделывая токены аутентификации с использованием приобретенного корпоративного ключа подписи Azure AD. Дальнейший анализ показал, что в действительности злоумышленник подделывал токены Azure AD с помощью приобретенного потребительского ключа подписи учетной записи Microsoft (MSA) из-за ошибки проверки в коде Microsoft.

В ответ на это компания Microsoft предприняла меры по блокированию соответствующих злоупотреблений, аннулировала все ключи MSA, активные до инцидента, обновила свои системы, аннулировала все ранее активные ключи и выпустила новые ключи. Корпорация Microsoft увидела, что Storm-0558 перешел на другие методы, и не наблюдала никакой активности агентов, связанной с ключами, после аннулирования приобретенного агентом ключа подписи MSA. Microsoft продолжает изучать другие способы получения ключа и добавлять дополнительные меры защиты.

В ходе расследования Microsoft выявила несколько отличительных возможностей Storm-0558, которые способствуют применению угрожающим агентом методов вторжения. Эти возможности включают набор сценариев PowerShell и Python для выполнения вызовов REST API к службе OWA Exchange Store, маршрутизацию веб-запросов через прокси-сервер Tor или несколько жестко закодированных прокси-серверов SOCKS5, а также использование выделенной инфраструктуры под управлением прокси-программного обеспечения SoftEther.

Текущий мониторинг показал, что все действия агентов, связанные с этим инцидентом, были заблокированы. Microsoft продолжит отслеживать активность Storm-0558 и обеспечивать защиту наших клиентов. Корпорация Microsoft успешно заблокировала эту кампанию Storm-0558 и уведомила об этом затронутых клиентов. Корпорация Microsoft выявила основную причину, установила постоянное отслеживание кампании, пресекла вредоносную деятельность, обеспечила защиту среды, уведомила всех затронутых клиентов и скоординировала свои действия с различными государственными структурами.

#ParsedReport #CompletenessLow
19-07-2023

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/en/2023/07/dangerouspassword_dev.html

Report completeness: Low

Actors/Campaigns:
Cryptocore
Snatchcrypto

Threats:
Vmprotect_tool
Pythonhttpbackdoor
Jokerspy

Victims:
Developers of cryptocurrency exchange businesses

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.004, T1036, T1140, T1105, T1086, T1218, T1064, T1078, T1070, have more...

IOCs:
File: 6
Domain: 4
Hash: 19

Soft:
macos, node.js, task scheduler, mac os

Algorithms:
base64

Languages:
python, javascript

Links:
https://github.com/mnooner256/pyqrcode

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: JPCERT/CC выявил атаку, связанную с группой DangerousPassword, которая была направлена на разработчиков криптовалютных бирж с использованием вредоносного кода, вставленного в модуль Python, и двух других типов вредоносного ПО. Для защиты от такого рода атак разработчикам ПО следует использовать только фреймворки и внешние модули, полученные из легитимных репозиториев.
-----

JPCERT/CC, совместное предприятие Японской группы реагирования на чрезвычайные ситуации в компьютерной сфере и Координационного центра кибербезопасности, подтвердило факт атаки в мае 2023 года, направленной на разработчиков криптовалютных бирж. Предполагается, что эта атака была связана с целевой группой DangerousPassword и затрагивала среды Windows, macOS и Linux.

Атака начинается с вставки вредоносного кода в файл builder.py в модуле Python. Он выполняет дополнительные вредоносные программы и способен работать в средах Windows, macOS и Linux. Кроме того, он загружает и исполняет MSI-файлы из внешнего источника, отправляет на C2-сервер информацию об имени пользователя, ОС и процессах зараженных устройств в формате BASE64, а также сбрасывает DLL-файл devobj.dll.

JPCERT/CC также выявил еще два типа вредоносных программ, связанных с этой атакой. Первый - PythonHTTPBackdoor, содержащий простые команды, а второй - вредоносное ПО для Node.js под названием request.js. Обе эти программы имеют функции обнаружения среды ОС и нацелены на разработчиков, использующих строки, связанные с git.

Атака группы DangerousPassword уникальна тем, что она нацелена на среду разработчиков с различными платформами. Для защиты от этого типа атак разработчикам ПО следует использовать только фреймворки и внешние модули, полученные из легитимных репозиториев. JPCERT/CC также предоставляет информацию о C2 и хэш-значениях вредоносных программ, упомянутых в данном отчете.

#ParsedReport #CompletenessMedium
19-07-2023

FakeSG enters the 'FakeUpdates' arena to deliver NetSupport RAT

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/socgholish-copycat-delivers-netsupport-rat

Report completeness: Medium

Threats:
Netsupportmanager_rat
Fakesg
Socgholish_loader
Cobalt_strike
Mimikatz_tool
Scriptzzbn
Solarmarker

TTPs:
Tactics: 4
Technics: 13

IOCs:
Domain: 3
File: 6
IP: 3
Path: 1
Registry: 1

Soft:
wordpress, mastodon

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: FakeSG - это вредоносная кампания, использующая поддельные обновления браузеров для загрузки NetSupport RAT, которая затем используется для получения удаленного доступа и доставки дополнительной полезной нагрузки. От других кампаний она отличается тем, что использует различные уровни обфускации и методы доставки. Кроме того, она используется для кражи учетных данных, которые могут быть перепроданы и использованы для атак с целью получения выкупа.
-----

Поддельные обновления браузера - распространенная тактика, используемая авторами вредоносных программ для того, чтобы обманом заставить пользователей загрузить вредоносные файлы. Последняя кампания, использующая эту приманку, называется FakeSG и использует взломанные WordPress-сайты для отображения пользовательской целевой страницы, имитирующей браузер пользователя. После щелчка на фальшивом обновлении пользователю предлагается загрузить пакет в формате zip, содержащий NetSupport RAT, который используется для получения удаленного доступа и доставки дополнительной полезной нагрузки.

Кампания FakeSG отличается от своего предшественника SocGholish тем, что в ней используются различные уровни обфускации и технологии доставки, а также более современный исходный код шаблона. Кроме того, участники угрозы размещают файлы NetSupport RAT на том же скомпрометированном сайте WordPress, который ранее использовался для загрузки интернет-ярлыка. После успешного заражения происходит обратный вызов командно-контрольного сервера RAT.

Среди других кампаний, использовавших поддельные обновления браузеров, можно назвать Domen toolkit и sczriptzzbn, обе из которых распространяли SolarMarker, приводящий к появлению NetSupport RAT. Авторы вредоносных программ часто используют эти брокеры первоначального доступа для сбора информации и выполнения дополнительных действий с интересующими их жертвами. Украденные учетные данные могут быть перепроданы другим угрожающим субъектам, которые могут использовать их для организации атак с целью получения выкупа.

#ParsedReport #CompletenessLow
19-07-2023

Job Scams Using Bioscience Lures Target Universities

https://www.proofpoint.com/us/blog/threat-insight/job-scams-using-bioscience-lures-target-universities

Report completeness: Low

Victims:
University students, especially those who are currently job hunting

Industry:
Biotechnology, Financial, Transport, Healthcare, Education

Geo:
America

IOCs:
Email: 3
Domain: 29

Crypto:
bitcoin

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Proofpoint выявила серию кампаний, использующих поддельные предложения о работе, направленных на студентов университетов Северной Америки с конечной целью проведения мошеннических операций с авансовыми платежами.
-----

Компания Proofpoint выявила серию кампаний с использованием мошеннических предложений о работе, направленных на студентов университетов в Северной Америке. Активность началась еще в марте 2023 года и продолжалась до июня 2023 года. Электронные сообщения поступали от различных организаций, большинство из которых были связаны с биологическими науками, здравоохранением и биотехнологиями, а также от некоторых не связанных с ними организаций. Угрожающий агент создавал поддельные домены, которые якобы принадлежали легитимным компаниям, обычно добавляя к доменному имени слово "карьера". Поддельные организации, как правило, относились к сфере бионаук, здравоохранения, биотехнологий и смежных отраслей. Адреса электронной почты, как правило, выдавали себя за реальных сотрудников компаний, которые пытались подделать.

Университеты часто становятся мишенью для мошенничества с трудоустройством, поскольку студенты, скорее всего, более открыты для гибкой и удаленной работы, иностранные студенты могут не распознать признаки мошенничества по электронной почте так же хорошо, как носители английского языка, а растущая инфляция и стоимость обучения бьет по финансам студентов, делая обещание быстрых денег более привлекательным. Конечной целью этих кампаний, скорее всего, было мошенничество с авансовыми платежами (AFF). В некоторых случаях актер также может просить криптовалютные платежи для покрытия расходов на доставку товаров, которые они должны были приобрести.

Компания Proofpoint обнаружила в тех же кампаниях и другие темы, схожие по тактике, технике и процедурам. Исходя из наблюдаемых полезных нагрузок, виктимологии, объема кампаний и сообщений, компания Proofpoint с высокой степенью уверенности считает, что это кластер киберпреступной деятельности, имеющий финансовую мотивацию. Как правило, эта деятельность направлена на студентов вузов, особенно тех, кто находится в поиске работы.

#ParsedReport #CompletenessMedium
18-07-2023

Taking Microsoft Office by "Storm"

https://www.varonis.com/blog/taking-microsoft-office-by-storm

Report completeness: Medium

Actors/Campaigns:
Dev-0978 (motivation: cyber_criminal, financially_motivated, cyber_espionage)

Threats:
Romcom_rat
Trigona

Industry:
Financial, Government, Telco

Geo:
America, Ukrainian

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...

IOCs:
Domain: 2
Path: 1
File: 7
IP: 4
Hash: 5
Url: 14

Soft:
microsoft office, microsoft defender, microsoft word

Algorithms:
sha256

#ParsedReport #CompletenessMedium
19-07-2023

P2PInfect: The Rusty Peer-to-Peer Self-Replicating Worm

https://unit42.paloaltonetworks.com/peer-to-peer-worm-p2pinfect

Report completeness: Medium

Actors/Campaigns:
Purpleurchin
Teamtnt

Threats:
P2pinfect
Wildfire
Tsunami_botnet
Redigo
Kinsing_miner
Upx_tool

Victims:
Redis instances

Geo:
Emea, Japan, Apac, America

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Unavailable
Soft:
- redis (-)
- debian debian linux (9.0, 10.0, 11.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1090, T1086

IOCs:
Path: 1
File: 1
Hash: 4
IP: 5

Soft:
redis, debian

Algorithms:
sha256

Languages:
lua, rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Unit 42 обнаружило вредоносный P2P-червь P2PInfect, который использует уязвимость выхода из песочницы Lua, CVE-2022-0543, для получения начального доступа к облачным средам. В Национальной базе данных уязвимостей NIST он оценен по критической шкале CVSS в 10,0 баллов, и компания Palo Alto Networks обеспечивает защиту от этой угрозы.
-----

Unit 42 обнаружило 11 июля 2023 года вредоносный P2P-червь под названием P2PInfect. Этот червь нацелен на Redis, приложение для работы с базами данных с открытым исходным кодом, используемое в облачных средах, и использует уязвимость выхода из песочницы Lua, CVE-2022-0543, для получения начального доступа. За последние две недели Unit 42 выявило более 307 000 уникальных систем Redis, находящихся в открытом доступе, из которых 934 могут быть уязвимы для этого варианта P2P-червя.

P2PInfect представляет собой серьезную атаку, которую могут провести злоумышленники, использующие данную уязвимость, и входит в Национальную базу данных уязвимостей NIST с критической оценкой CVSS 10,0. Червь написан на Rust, высокомасштабируемом и удобном для облачных вычислений языке программирования, и использует P2P-сеть для распространения последующих вредоносных программ на новые зараженные системы или облачные инстанции. После первой компрометации системы он устанавливает сетевое соединение с P2P-сетью и загружает образцы используемого пользовательского протокола.

Червь P2PInfect обладает рядом особенностей, которые делают его эффективным в облачных контейнерных средах. Он способен автоматически обновлять вредоносную полезную нагрузку, что позволяет злоумышленникам изменять и повышать эффективность любой из вредоносных операций. Кроме того, он может сканировать открытые хосты Redis и порт 22 SSH, а также обладает способностью к самоудалению.

Важно отметить, что данная уязвимость не является уязвимостью приложения Redis, а представляет собой уязвимость песочницы Lua. Хотя P2PInfect и нацеливается на уязвимые экземпляры Redis, нет никаких связей с другими группами угроз, известными тем, что нацелены на Redis и развертывание червей.

#ParsedReport #CompletenessMedium
19-07-2023

Sophos Discovers Ransomware Abusing Sophos Name

https://news.sophos.com/en-us/2023/07/18/sophos-discovers-ransomware-abusing-sophos-name

Report completeness: Medium

Threats:
Cobalt_strike

Geo:
Russian

IOCs:
IP: 2
Domain: 1
Hash: 2
Url: 1

Soft:
jabber

Algorithms:
sha256

Languages:
rust

Links:
https://github.com/sophoslabs/IoCs/blob/master/Troj-Ransom-GXS.csv

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея заключается в том, что аналитик X-Ops обнаружил исполняемый файл ransomware, использующий в своем пользовательском интерфейсе название компании Sophos, и что в продуктах Sophos Intercept X имеются сигнатуры, блокирующие исполнение и вредоносное поведение этого ransomware.
-----

Этот исполняемый файл вымогательского ПО, использующий в своем пользовательском интерфейсе название компании Sophos, был обнаружен аналитиком X-Ops. Необычным в этой программе является то, что она не предоставляет дополнительных возможностей, как большинство современных ransomware. Он включает в себя такие способы связи с атакующим, как электронная почта и мессенджер Jabber, а также отказывается запускаться, если в языковых настройках установлен русский язык. Кроме того, исполняемый файл подключается к адресу командно-контрольного сервера в "темной паутине" Tor (.onion).

При запуске в консоли программа предлагает пользователю ввести строку информации, которая настраивает ее поведение и содержание письма с выкупом. После этого программа начинает шифровать файлы, переименовывая их в соответствии со значением токена и добавляя к каждому файлу уникальный идентификатор машины, адрес электронной почты, указанный при настройке, и суффикс .sophos. Кроме того, он меняет обои рабочего стола Windows на экран с надписью Sophos.

Кроме того, при запуске на компьютере, подключенном к Интернету, программа пытается подтвердить разрешение пользователя на использование программы. Если значение токена не принимается, программа выдает сообщение об ошибке и завершает работу. Если же программа запускается на компьютере, не подключенном к Интернету, то она продолжает свою работу и предлагает пользователю ввести 32-байтный пароль, контактную информацию и начать шифрование. В таблицах свойств исполняемых файлов ransomware указано, что они имеют версии 0.0.8 и 0.0.9 соответственно, и ни один из них не подписан.

Продукты Sophos Intercept X имеют сигнатуры, блокирующие исполнение и вредоносное поведение этой программы-вымогателя. CryptoGuard блокирует попытки шифрования выкупа во время выполнения программы, Impact_6a блокирует вредоносную активность на этапе Impact, Troj/Ransom-GXS обнаруживает вредоносный файл перед выполнением, Mal/Generic-R использует определение репутации для предотвращения выполнения вредоносной программы, а определение репутации для C2 IP блокирует доступ к C2, связанному с вредоносной программой. Несмотря на то, что данные образцы были обнаружены только в общедоступном репозитории вредоносного ПО, компания Sophos продолжит отслеживать использование этой программы-вымогателя в природе.

#ParsedReport #CompletenessMedium
19-07-2023

BYOS Bundle Your Own Stealer. Highlights:

https://research.checkpoint.com/2023/byos-bundle-your-own-stealer

Report completeness: Medium

Threats:
Bundlebot
Ducktail_stealer
Asmresolver_tool
Junk_code_technique
De4dot_tool
Infostealer.wins
Infostealer.win.fakegoogleai.a
Infostealer.win.fakegoogleai.b
Infostealer.win.fakegoogleai.c
Infostealer.win.fakegoogleai.d
Infostealer.win.fakegoogleai.e

Victims:
Facebook ads and compromised accounts

Industry:
Telco

IOCs:
Url: 12
File: 2
Path: 2
Registry: 1
IP: 5
Hash: 47

Soft:
net core, macos, telegram, discord, chrome, opera, coccoc

Wallets:
harmony_wallet

Algorithms:
gzip, sha256, zip, base64

Languages:
dotnet

Platforms:
x86

Links:
https://github.com/de4dot/de4dot
https://github.com/dnSpyEx/dnSpy/releases
https://github.com/Washi1337/AsmResolver
https://github.com/dnSpyEx/dnSpy
https://github.com/dnSpyEx/dnSpy/issues/48
https://github.com/icsharpcode/ILSpy
https://github.com/dotnet/sdk/blob/main/documentation/specs/runtime-configuration-file.md
https://github.com/dnSpyEx/dnSpy/releases/tag/v6.4.0

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Check Point Research (CPR) недавно обнаружила новый штамм вредоносного ПО под названием BundleBot, который распространяется через рекламные объявления Facebook и скомпрометированные учетные записи. Он способен похищать данные учетной записи Facebook, данные Telegram, токен Discord, информацию о компьютере, данные веб-браузеров и передавать их на командно-контрольный сервер по протоколу HTTPS. Он использует специализированную обфускацию, в основном сконцентрированную на обфускации имен и раздувании модулей dotnet нежелательным кодом.
-----

Компания Check Point Research (CPR) недавно обнаружила новый штамм вредоносного ПО, получивший название BundleBot. Он распространяется скрытно, используя самодостаточный формат dotnet bundle (однофайловый), что приводит к очень низкому уровню статического обнаружения или его полному отсутствию. Обычно BundleBot распространяется через рекламные объявления Facebook и скомпрометированные учетные записи и ведет на сайты, маскирующиеся под обычные программные утилиты, инструменты искусственного интеллекта и игры. CPR исследовала несколько методик, которые были признаны эффективными для реверс-инжиниринга dotnet bundle (single-file), self-contained format.

Содержимое автономного файла пакета dotnet может быть извлечено с помощью инструментов и библиотеки, основанных на графическом интерфейсе. Для отладки автономных файлов dotnet bundle рекомендуется использовать последнюю версию dnSpyEx (v6.4.0). Отладка обфусцированных сборок dotnet требует извлечения всего содержимого файла пакета, деобфусцирования сборок и модификации содержимого конфигурационных файлов. Самодостаточный (однофайловый) пакет dotnet может быть также преобразован в несамодостаточную, не однофайловую программу .NET путем установки той версии среды выполнения dotnet, от которой зависит приложение.

BundleBot способен похищать информацию об учетной записи Facebook. Его основной модуль - загрузчик, который скачивает с диска защищенный паролем ZIP-архив. В этом архиве содержится RiotClientServices.exe - dotnet bundle (однофайловое), самодостаточное приложение. Это приложение содержит два вредоносных модуля dotnet: BundleBot и сериализатор пакетных данных LibrarySharing.dll C2. BundleBot использует пользовательскую обфускацию, в основном сконцентрированную на обфускации имен и раздувании модулей dotnet нежелательным кодом. Он также использует обнаружение "спящих" патчей (Anti-Sandbox) и персистентную установку/деинсталляцию по пути реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, значение ApplicationName.

BundleBot способен передавать похищенные данные на командно-контрольный сервер по протоколу HTTPS с помощью URL https://cp.bemilcoin.io/api/cookiePc?cookie. Похищенная информация включает данные Telegram, токен Discord, информацию о компьютере, данные веб-браузеров, учетную запись Facebook.

#ParsedReport #CompletenessMedium
19-07-2023

DDoS Botnets Target Zyxel Vulnerability CVE-2023-28771

https://www.fortinet.com/blog/threat-research/ddos-botnets-target-zyxel-vulnerability-cve-2023-28771

Report completeness: Medium

Threats:
Mirai
Rapperbot
Udpflood_technique
Synflood_technique
Ackflood_technique

Victims:
Zyxel

Industry:
Iot

Geo:
Asia, America

CVEs:
CVE-2023-28771 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zyxel atp100 firmware (<5.36)
- zyxel atp100w firmware (<5.35)
- zyxel atp200 firmware (<5.36)
- zyxel atp500 firmware (<5.36)
- zyxel atp700 firmware (<5.36)
have more...

IOCs:
File: 7
IP: 9
Domain: 3
Hash: 19

Soft:
zyxel, curl, telegram

Algorithms:
exhibit, chacha20, xor

Platforms:
mips

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В июне 2023 года были обнаружены ботнеты, использующие уязвимость Zyxel, в том числе Dark.IoT, вариант Mirai и еще один ботнет, производный от варианта Mirai. Эти атаки демонстрируют необходимость проактивных мер безопасности для защиты уязвимых устройств.
-----

В июне 2023 года компания FortiGuard Labs обнаружила несколько бот-сетей, эксплуатирующих уязвимость Zyxel (CVE-2023-28771). Эта уязвимость получила оценку 9.8 по системе оценок CVSS и была впервые публично анонсирована 25 апреля. IP-адрес злоумышленника был идентифицирован, а атаки происходили в нескольких регионах. Одним из обнаруженных ботнетов был Dark.IoT - вариант, основанный на Mirai. В файлах сценариев, полученных в ходе этих атак, загружаются исключительно файлы, предназначенные для архитектуры MIPS, что свидетельствует о высокой специфичности цели.

Dark.IoT - это вредоносный ботнет, использующий уязвимые IoT-устройства и Linux-серверы. В апреле он обновил свой C2-сервер по адресу "raw.pastebin.com", а в июне была обнаружена более новая версия. Кроме того, для разрешения DNS используется сервер OpenNIC, а используемые им C2-серверы трудно отследить. Кроме того, он использует закодированные конфигурации и коллекцию XOR-ключей.

Другой ботнет, обнаруженный в этой кампании, был создан на основе варианта Mirai и использует индексный метод для декодирования данных, полученных из секции ".rodata". Затем он использует функцию декодирования XOR для получения серверов C2. Этот ботнет был первоначально обнаружен 25 мая 2023 года. Он включает 11 методов DDoS-атак и имеет группу в Telegram под названием "SHINJI.APP \| Katana botnet", которая активно занимается обновлением методов ботнета и выполнением задач по его обслуживанию.

Эти атаки служат напоминанием о важности принятия проактивных мер по обеспечению безопасности уязвимых устройств. Применение патчей и обновлений по мере возможности - лучший способ защиты от злоумышленников. Кроме того, пользователи должны регулярно следить за своими системами и выявлять любые подозрительные действия.

#ParsedReport #CompletenessLow
19-07-2023

DEV-0970/Storm-0970 : The Threat Actors Behind Big Head and Poop69 Ransomware

https://www.cyfirma.com/outofband/dev-0970-storm-0970-the-threat-actors-behind-big-head-and-poop69-ransomware

Report completeness: Low

Actors/Campaigns:
Dev-0970 (motivation: cyber_criminal, financially_motivated)

Threats:
Big_head_ransomware
Poop69
Big_head
Chaos_builder_tool

Industry:
Financial

Geo:
Georgian, Belarusian, Ukrainian, Russian

IOCs:
Email: 1
Hash: 35

Algorithms:
aes

Functions:
GetTheResource