#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Unit 42 обнаружило вредоносный P2P-червь P2PInfect, который использует уязвимость выхода из песочницы Lua, CVE-2022-0543, для получения начального доступа к облачным средам. В Национальной базе данных уязвимостей NIST он оценен по критической шкале CVSS в 10,0 баллов, и компания Palo Alto Networks обеспечивает защиту от этой угрозы.
-----

Unit 42 обнаружило 11 июля 2023 года вредоносный P2P-червь под названием P2PInfect. Этот червь нацелен на Redis, приложение для работы с базами данных с открытым исходным кодом, используемое в облачных средах, и использует уязвимость выхода из песочницы Lua, CVE-2022-0543, для получения начального доступа. За последние две недели Unit 42 выявило более 307 000 уникальных систем Redis, находящихся в открытом доступе, из которых 934 могут быть уязвимы для этого варианта P2P-червя.

P2PInfect представляет собой серьезную атаку, которую могут провести злоумышленники, использующие данную уязвимость, и входит в Национальную базу данных уязвимостей NIST с критической оценкой CVSS 10,0. Червь написан на Rust, высокомасштабируемом и удобном для облачных вычислений языке программирования, и использует P2P-сеть для распространения последующих вредоносных программ на новые зараженные системы или облачные инстанции. После первой компрометации системы он устанавливает сетевое соединение с P2P-сетью и загружает образцы используемого пользовательского протокола.

Червь P2PInfect обладает рядом особенностей, которые делают его эффективным в облачных контейнерных средах. Он способен автоматически обновлять вредоносную полезную нагрузку, что позволяет злоумышленникам изменять и повышать эффективность любой из вредоносных операций. Кроме того, он может сканировать открытые хосты Redis и порт 22 SSH, а также обладает способностью к самоудалению.

Важно отметить, что данная уязвимость не является уязвимостью приложения Redis, а представляет собой уязвимость песочницы Lua. Хотя P2PInfect и нацеливается на уязвимые экземпляры Redis, нет никаких связей с другими группами угроз, известными тем, что нацелены на Redis и развертывание червей.

#ParsedReport #CompletenessMedium
19-07-2023

Sophos Discovers Ransomware Abusing Sophos Name

https://news.sophos.com/en-us/2023/07/18/sophos-discovers-ransomware-abusing-sophos-name

Report completeness: Medium

Threats:
Cobalt_strike

Geo:
Russian

IOCs:
IP: 2
Domain: 1
Hash: 2
Url: 1

Soft:
jabber

Algorithms:
sha256

Languages:
rust

Links:
https://github.com/sophoslabs/IoCs/blob/master/Troj-Ransom-GXS.csv

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея заключается в том, что аналитик X-Ops обнаружил исполняемый файл ransomware, использующий в своем пользовательском интерфейсе название компании Sophos, и что в продуктах Sophos Intercept X имеются сигнатуры, блокирующие исполнение и вредоносное поведение этого ransomware.
-----

Этот исполняемый файл вымогательского ПО, использующий в своем пользовательском интерфейсе название компании Sophos, был обнаружен аналитиком X-Ops. Необычным в этой программе является то, что она не предоставляет дополнительных возможностей, как большинство современных ransomware. Он включает в себя такие способы связи с атакующим, как электронная почта и мессенджер Jabber, а также отказывается запускаться, если в языковых настройках установлен русский язык. Кроме того, исполняемый файл подключается к адресу командно-контрольного сервера в "темной паутине" Tor (.onion).

При запуске в консоли программа предлагает пользователю ввести строку информации, которая настраивает ее поведение и содержание письма с выкупом. После этого программа начинает шифровать файлы, переименовывая их в соответствии со значением токена и добавляя к каждому файлу уникальный идентификатор машины, адрес электронной почты, указанный при настройке, и суффикс .sophos. Кроме того, он меняет обои рабочего стола Windows на экран с надписью Sophos.

Кроме того, при запуске на компьютере, подключенном к Интернету, программа пытается подтвердить разрешение пользователя на использование программы. Если значение токена не принимается, программа выдает сообщение об ошибке и завершает работу. Если же программа запускается на компьютере, не подключенном к Интернету, то она продолжает свою работу и предлагает пользователю ввести 32-байтный пароль, контактную информацию и начать шифрование. В таблицах свойств исполняемых файлов ransomware указано, что они имеют версии 0.0.8 и 0.0.9 соответственно, и ни один из них не подписан.

Продукты Sophos Intercept X имеют сигнатуры, блокирующие исполнение и вредоносное поведение этой программы-вымогателя. CryptoGuard блокирует попытки шифрования выкупа во время выполнения программы, Impact_6a блокирует вредоносную активность на этапе Impact, Troj/Ransom-GXS обнаруживает вредоносный файл перед выполнением, Mal/Generic-R использует определение репутации для предотвращения выполнения вредоносной программы, а определение репутации для C2 IP блокирует доступ к C2, связанному с вредоносной программой. Несмотря на то, что данные образцы были обнаружены только в общедоступном репозитории вредоносного ПО, компания Sophos продолжит отслеживать использование этой программы-вымогателя в природе.

#ParsedReport #CompletenessMedium
19-07-2023

BYOS Bundle Your Own Stealer. Highlights:

https://research.checkpoint.com/2023/byos-bundle-your-own-stealer

Report completeness: Medium

Threats:
Bundlebot
Ducktail_stealer
Asmresolver_tool
Junk_code_technique
De4dot_tool
Infostealer.wins
Infostealer.win.fakegoogleai.a
Infostealer.win.fakegoogleai.b
Infostealer.win.fakegoogleai.c
Infostealer.win.fakegoogleai.d
Infostealer.win.fakegoogleai.e

Victims:
Facebook ads and compromised accounts

Industry:
Telco

IOCs:
Url: 12
File: 2
Path: 2
Registry: 1
IP: 5
Hash: 47

Soft:
net core, macos, telegram, discord, chrome, opera, coccoc

Wallets:
harmony_wallet

Algorithms:
gzip, sha256, zip, base64

Languages:
dotnet

Platforms:
x86

Links:
https://github.com/de4dot/de4dot
https://github.com/dnSpyEx/dnSpy/releases
https://github.com/Washi1337/AsmResolver
https://github.com/dnSpyEx/dnSpy
https://github.com/dnSpyEx/dnSpy/issues/48
https://github.com/icsharpcode/ILSpy
https://github.com/dotnet/sdk/blob/main/documentation/specs/runtime-configuration-file.md
https://github.com/dnSpyEx/dnSpy/releases/tag/v6.4.0

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Check Point Research (CPR) недавно обнаружила новый штамм вредоносного ПО под названием BundleBot, который распространяется через рекламные объявления Facebook и скомпрометированные учетные записи. Он способен похищать данные учетной записи Facebook, данные Telegram, токен Discord, информацию о компьютере, данные веб-браузеров и передавать их на командно-контрольный сервер по протоколу HTTPS. Он использует специализированную обфускацию, в основном сконцентрированную на обфускации имен и раздувании модулей dotnet нежелательным кодом.
-----

Компания Check Point Research (CPR) недавно обнаружила новый штамм вредоносного ПО, получивший название BundleBot. Он распространяется скрытно, используя самодостаточный формат dotnet bundle (однофайловый), что приводит к очень низкому уровню статического обнаружения или его полному отсутствию. Обычно BundleBot распространяется через рекламные объявления Facebook и скомпрометированные учетные записи и ведет на сайты, маскирующиеся под обычные программные утилиты, инструменты искусственного интеллекта и игры. CPR исследовала несколько методик, которые были признаны эффективными для реверс-инжиниринга dotnet bundle (single-file), self-contained format.

Содержимое автономного файла пакета dotnet может быть извлечено с помощью инструментов и библиотеки, основанных на графическом интерфейсе. Для отладки автономных файлов dotnet bundle рекомендуется использовать последнюю версию dnSpyEx (v6.4.0). Отладка обфусцированных сборок dotnet требует извлечения всего содержимого файла пакета, деобфусцирования сборок и модификации содержимого конфигурационных файлов. Самодостаточный (однофайловый) пакет dotnet может быть также преобразован в несамодостаточную, не однофайловую программу .NET путем установки той версии среды выполнения dotnet, от которой зависит приложение.

BundleBot способен похищать информацию об учетной записи Facebook. Его основной модуль - загрузчик, который скачивает с диска защищенный паролем ZIP-архив. В этом архиве содержится RiotClientServices.exe - dotnet bundle (однофайловое), самодостаточное приложение. Это приложение содержит два вредоносных модуля dotnet: BundleBot и сериализатор пакетных данных LibrarySharing.dll C2. BundleBot использует пользовательскую обфускацию, в основном сконцентрированную на обфускации имен и раздувании модулей dotnet нежелательным кодом. Он также использует обнаружение "спящих" патчей (Anti-Sandbox) и персистентную установку/деинсталляцию по пути реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, значение ApplicationName.

BundleBot способен передавать похищенные данные на командно-контрольный сервер по протоколу HTTPS с помощью URL https://cp.bemilcoin.io/api/cookiePc?cookie. Похищенная информация включает данные Telegram, токен Discord, информацию о компьютере, данные веб-браузеров, учетную запись Facebook.

#ParsedReport #CompletenessMedium
19-07-2023

DDoS Botnets Target Zyxel Vulnerability CVE-2023-28771

https://www.fortinet.com/blog/threat-research/ddos-botnets-target-zyxel-vulnerability-cve-2023-28771

Report completeness: Medium

Threats:
Mirai
Rapperbot
Udpflood_technique
Synflood_technique
Ackflood_technique

Victims:
Zyxel

Industry:
Iot

Geo:
Asia, America

CVEs:
CVE-2023-28771 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zyxel atp100 firmware (<5.36)
- zyxel atp100w firmware (<5.35)
- zyxel atp200 firmware (<5.36)
- zyxel atp500 firmware (<5.36)
- zyxel atp700 firmware (<5.36)
have more...

IOCs:
File: 7
IP: 9
Domain: 3
Hash: 19

Soft:
zyxel, curl, telegram

Algorithms:
exhibit, chacha20, xor

Platforms:
mips

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В июне 2023 года были обнаружены ботнеты, использующие уязвимость Zyxel, в том числе Dark.IoT, вариант Mirai и еще один ботнет, производный от варианта Mirai. Эти атаки демонстрируют необходимость проактивных мер безопасности для защиты уязвимых устройств.
-----

В июне 2023 года компания FortiGuard Labs обнаружила несколько бот-сетей, эксплуатирующих уязвимость Zyxel (CVE-2023-28771). Эта уязвимость получила оценку 9.8 по системе оценок CVSS и была впервые публично анонсирована 25 апреля. IP-адрес злоумышленника был идентифицирован, а атаки происходили в нескольких регионах. Одним из обнаруженных ботнетов был Dark.IoT - вариант, основанный на Mirai. В файлах сценариев, полученных в ходе этих атак, загружаются исключительно файлы, предназначенные для архитектуры MIPS, что свидетельствует о высокой специфичности цели.

Dark.IoT - это вредоносный ботнет, использующий уязвимые IoT-устройства и Linux-серверы. В апреле он обновил свой C2-сервер по адресу "raw.pastebin.com", а в июне была обнаружена более новая версия. Кроме того, для разрешения DNS используется сервер OpenNIC, а используемые им C2-серверы трудно отследить. Кроме того, он использует закодированные конфигурации и коллекцию XOR-ключей.

Другой ботнет, обнаруженный в этой кампании, был создан на основе варианта Mirai и использует индексный метод для декодирования данных, полученных из секции ".rodata". Затем он использует функцию декодирования XOR для получения серверов C2. Этот ботнет был первоначально обнаружен 25 мая 2023 года. Он включает 11 методов DDoS-атак и имеет группу в Telegram под названием "SHINJI.APP \| Katana botnet", которая активно занимается обновлением методов ботнета и выполнением задач по его обслуживанию.

Эти атаки служат напоминанием о важности принятия проактивных мер по обеспечению безопасности уязвимых устройств. Применение патчей и обновлений по мере возможности - лучший способ защиты от злоумышленников. Кроме того, пользователи должны регулярно следить за своими системами и выявлять любые подозрительные действия.

#ParsedReport #CompletenessLow
19-07-2023

DEV-0970/Storm-0970 : The Threat Actors Behind Big Head and Poop69 Ransomware

https://www.cyfirma.com/outofband/dev-0970-storm-0970-the-threat-actors-behind-big-head-and-poop69-ransomware

Report completeness: Low

Actors/Campaigns:
Dev-0970 (motivation: cyber_criminal, financially_motivated)

Threats:
Big_head_ransomware
Poop69
Big_head
Chaos_builder_tool

Industry:
Financial

Geo:
Georgian, Belarusian, Ukrainian, Russian

IOCs:
Email: 1
Hash: 35

Algorithms:
aes

Functions:
GetTheResource

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа угроз DEV-0970/Storm-0970 очень опасна, поскольку использует варианты ransomware и другие вредоносные программы для атак на операционные системы Windows, шифруя файлы и требуя выкуп за доступ к ним. Анализ временных меток компиляции и значений энтропии Poop69 и BIG HEAD позволяет предположить, что они происходят из региона СНГ.
-----

Исследовательская группа CYFIRMA недавно обнаружила финансово мотивированную группу угроз под названием DEV-0970/Storm-0970, которая использует конструктор вымогательского ПО для развертывания нескольких вариантов вымогательского ПО. Два наиболее заметных варианта, Poop69 и BIGHEAD, были замечены в дикой природе в мае 2023 года. Оба варианта имеют одинаковую контактную информацию и вредоносные библиотеки и, как предполагается, происходят из региона СНГ, поскольку в них не используются некоторые языки.

Анализ временных меток компиляции и значений энтропии Poop69 и BIG HEAD показывает, что Poop69 был создан 7 апреля 2023 года, а BIG HEAD - 12 апреля 2023 года. Кроме того, их контактная информация идентична: poop69news@gmail.com.

Среди вредоносных библиотек, используемых как Poop69, так и BIG HEAD, - AES_Decryptor для расшифровки файлов жертв и GetTheResource для сбора системной информации, сетевых данных и учетных данных. Общие ТТП указывают на то, что это один и тот же угрожающий агент, вероятно, использующий сборщик от оператора (операторов) "вредоносного ПО как услуги" (Malware-as-a-Service, MaaS).

Группа агентов угроз DEV-0970/Storm-0970 считается очень опасной, поскольку ее варианты роуд-программ нацелены на операционные системы Windows. Кроме того, вместе с выкупными программами они могут распространять трояны для кражи паролей и другие вредоносные программы, что еще больше усложняет ситуацию. Поскольку пока нет публичных сообщений о жертвах, возможно, они либо заплатили выкуп, либо злоумышленники пытаются продать похищенные данные или использовать их во вредоносных целях. Как следствие, файлы были зашифрованы, что сделало их недоступными до тех пор, пока не будет выплачен выкуп.

#ParsedReport #CompletenessLow
19-07-2023

New hacker group Quartz Wolf leverages legitimate software to attack the hospitality industry

https://bi.zone/eng/expertise/blog/novaya-gruppirovka-quartz-wolf-primenyaet-otechestvennoe-po-v-atakakh-na-gostinichnyy-biznes

Report completeness: Low

Actors/Campaigns:
Quartz_wolf (motivation: cyber_criminal)

Victims:
Ooo federal hotel service

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 6
Registry: 1
Url: 1
Hash: 2

Algorithms:
crc-32, rc4

Functions:
GetCommandLine

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Quartz Wolf - хакерская группа, использующая программное обеспечение удаленного доступа Assistant для обхода традиционных средств защиты и получения доступа к целевым системам.
-----

Quartz Wolf - хакерская группа, придумавшая уникальный способ обхода традиционных средств защиты. Используя программу удаленного доступа Assistant, группа пытается скомпрометировать системы своих жертв. Группа рассылает фишинговые письма под видом ООО "Федеральная гостиничная служба" со ссылкой на архив с вредоносным файлом. Вредоносный файл содержит следующий этап, который зашифрован в RC4, где ключом является контрольная сумма MD5, вычисленная по контрольной сумме CRC32 с адреса сервера C2. Угрожающие лица используют это редкое, но легитимное программное обеспечение для обхода традиционных средств защиты.

При загрузке вредоносного файла программа Assistant записывает контрольную сумму MD5 от известного злоумышленникам пароля, присваивает атрибуты Hidden и System всем файлам в текущем каталоге, обеспечивает автоматический запуск Assistant путем создания параметра tip в Software\Microsoft\Windows\CurrentVersion\RunOnce, создает уникальный идентификатор пользователя, вычисляя контрольную сумму MD5 из суммы контрольных сумм CRC32 версии ОС, имени пользователя и имени компьютера, и получает идентификатор пользователя Assistant из HKEY_CURRENT_USER\Software\safib\ast\SS - your_id. Кроме того, он многократно отправляет GET-запросы, содержащие идентификатор пользователя Assistant и уникальный идентификатор пользователя, на сервер C2 и передает параметры ast.exe -AHIDE -ASTART для скрытого запуска.

#ParsedReport #CompletenessMedium
19-07-2023

HotRat: The Risks of Illegal Software Downloads and Hidden AutoHotkey Script Within. Conclusion

https://decoded.avast.io/martinchlumecky/hotrat-the-risks-of-illegal-software-downloads-and-hidden-autohotkey-script-within

Report completeness: Medium

Actors/Campaigns:
Pyration

Threats:
Hotrat
Asyncrat_rat
Steganography_technique
Disabling_antivirus_technique
Empire_loader
Iobit_tool
Anydesk_tool

Victims:
Users downloading illegal software from unverified sources

Geo:
Africa, Asia, America

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1112, T1078, T1083, T1105, T1090, T1022, T1110, T1106, have more...

IOCs:
File: 6
Command: 1
Path: 9
IP: 4
Domain: 15

Soft:
autohotkey, photoshop, windows defender, task scheduler, discord, net framework, adobe illustrator, microsoft office, tiktok

Algorithms:
zip, exhibit

Platforms:
x64, x86

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа HotRat представляет собой усовершенствованную версию AsyncRAT, распространяемую через предварительно взломанное программное обеспечение и обладающую такими вредоносными возможностями, как кража учетных данных, криптовалютных кошельков, захват скриншотов, кейлоггинг и установка дополнительных вредоносных программ. Важно проявлять осторожность при загрузке программного обеспечения из непроверенных источников и использовать антивирусные программы для защиты от киберугроз.
-----

Проблема пиратства программного обеспечения продолжает оставаться актуальной, и распространение вредоносных программ является одним из возможных ее последствий. Недавно был замечен вариант вредоносной программы AsyncRAT (получивший название HotRat), который разворачивался с помощью скрипта AutoHotkey, прикрепленного к предварительно взломанному программному обеспечению. HotRat - это усовершенствованная версия AsyncRAT, способная похищать учетные данные, криптовалютные кошельки, делать снимки экрана, вести кейлоггинг и устанавливать другие вредоносные программы. Кроме того, он обладает стойкостью, используя запланированные задачи, что позволяет ему закрепиться на инфицированных системах.

Процесс развертывания прост и использует базовую форму шифрования - PNG-стеганографию - для доставки конечной полезной нагрузки. Кроме того, вредоносная программа демонстрирует стойкость, используя запланированные задачи, что позволяет ей удерживаться на зараженных системах. Он также способен уничтожать антивирусные программы, что ставит под угрозу общую безопасность системы.

В середине октября 2022 года начался значительный рост числа случаев заражения вредоносным ПО HotRat, который был отмечен в различных регионах мира. Чаще всего злоумышленники, использующие HotRat, взламывают такие программы, как Adobe Illustrator, Adobe Master Collection, Adobe Photoshop, Age of Empires IV, Microsoft Office и Windows. Для распространения вредоносной программы HotRat использовалась программа CCleaner.

Зараженные файлы обычно хранятся на общедоступных репозиториях, таких как krakenfiles.com, send.cm, easybytez.com, easyupload.io, wetransfer.com и www.mediafire.com. URL-адреса, ведущие к файлам, распространяются на машинах жертв через различные платформы, такие как социальные сети, торренты, форумы или публичные репозитории с возможностью поиска. Злоумышленники обычно применяют обманную тактику, активно участвуя в работе интернет-форумов.

Важно подчеркнуть, что загрузка сомнительного программного обеспечения из непроверенных источников поможет снизить риск заражения вредоносным ПО и утечки данных. Пользователи должны загружать программное обеспечение у легальных и проверенных поставщиков, что гарантирует безопасность, легальность и постоянную поддержку. Для защиты от киберугроз следует также использовать антивирусные программы.

#technique

Exploiting SteelSeries' Subapplication Mechanism for Privilege Escalation

https://www.akamai.com/blog/security-research/exploit-steelseries-subapp-privilege-escalation

#technique

Escalating Privileges via Third-Party Windows Installers

https://www.mandiant.com/resources/blog/privileges-third-party-windows-installers

#ParsedReport #CompletenessLow
20-07-2023

CVE-2023-34362 : MOVEit Transfer Exploitation Analysis

https://labs.k7computing.com/index.php/cve-2023-34362-moveit-transfer-exploitation-analysis

Report completeness: Low

Threats:
Clop

Victims:
High-profile government, finance, media, aviation and healthcare organisations

Industry:
Government, Financial, Healthcare, Aerospace

CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


IOCs:
File: 4
Path: 1
Hash: 5

Soft:
moveit

Links:
https://github.com/horizon3ai/CVE-2023-34362/blob/master/CVE-2023-34362.py

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Progress выпустила сообщение об обнаружении критической уязвимости SQL-инъекции в веб-приложении программного обеспечения MOVEit Transfer and Cloud, которая может быть использована для получения контроля над всей системой. Компания Progress рекомендовала предпринять ряд мер по устранению уязвимости, а пользователям настоятельно рекомендуется как можно скорее обновить свои системы для защиты от этой и других киберугроз.
-----

31 мая 2023 года компания Progress выпустила сообщение об обнаружении критической уязвимости SQL-инъекции в веб-приложении программного обеспечения MOVEit Transfer and Cloud. Эта уязвимость, отслеживаемая как CVE-2023-34362, может позволить злоумышленникам получить административный доступ, произвести утечку данных и выполнить произвольный код. Сообщалось, что группа CLOP, занимающаяся распространением вымогательского ПО, использовала эту уязвимость и провела множество атак на высокопоставленные государственные, финансовые, медийные, авиационные и медицинские организации.

Серьезность уязвимости оценивается как "критическая", и она может быть использована для получения повышенных прав на уязвимых системах. Уязвимость связана с недостаточной входной проверкой данных, предоставляемых пользователем, перед использованием в SQL-запросе. В случае успешной эксплуатации злоумышленник может получить неограниченный доступ к пораженной системе.

Злоумышленник, использующий эту уязвимость, может получить контроль над всей системой, включая полный доступ ко всем хранящимся в ней данным. Это может быть использовано для утечки конфиденциальной информации, модификации или удаления данных без ведома легитимного пользователя. Кроме того, злоумышленник может установить в систему вредоносный код, позволяющий удаленно управлять системой и проводить дальнейшие атаки.

Компания Progress рекомендовала ряд мер по устранению уязвимости, включая обновление до последней версии программного обеспечения и отключение служб, которые не требуются для нормальной работы системы. Кроме того, пользователи должны убедиться в том, что все остальные меры безопасности, такие как межсетевые экраны и антивирусное программное обеспечение, являются актуальными и эффективными.

Важно отметить, что Progress тесно сотрудничает с исследователями безопасности и правоохранительными органами для изучения и устранения этой уязвимости. Progress также выпустил патч для устранения уязвимости, и пользователям настоятельно рекомендуется как можно скорее обновить свои системы.

В связи с серьезностью этой уязвимости организациям необходимо принять необходимые меры для обеспечения безопасности своих систем. Регулярное обновление программного обеспечения, применение надежных мер безопасности и мониторинг сетевой активности помогут защититься от этой и других киберугроз. Как всегда, организациям следует регулярно создавать резервные копии важных данных и хранить их в удаленном месте на случай чрезвычайных ситуаций.

#ParsedReport #CompletenessMedium
20-07-2023

Kanti: A NIM-Based Ransomware Unleashed in the Wild

https://blog.cyble.com/2023/07/20/kanti-a-nim-based-ransomware-unleashed-in-the-wild

Report completeness: Medium

Threats:
Kanti
Dark_power_ransomware

Victims:
Cryptocurrency users

Industry:
Financial

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 3
Command: 2
Path: 1
IP: 1
Hash: 3

Crypto:
bitcoin

Algorithms:
sha256, sha1, zip

Win API:
FindFirstFileW, FindNextFileW, BCryptGenRandom, MoveFileExW

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники используют язык программирования NIM для создания новых вариантов рандомного ПО, ориентированных на криптовалютных пользователей, и одним из последних примеров является программа Kanti. В статье также рассказывается о том, как эта программа выборочно исключает определенные файлы/папки и расширения файлов, а также как она использует BCrypt.dll для генерации защищенных ключей. Наконец, в статье подчеркивается, что важно всегда быть в курсе последних событий, связанных с разработкой программ-вымогателей.
-----

NIM, язык программирования, специально разработанный для эффективного исполнения и повышения производительности, в последнее время стал объектом внимания разработчиков вредоносных программ благодаря своей уникальной новизне. Он обладает кроссплатформенной поддержкой, позволяя компилировать код в исполняемые файлы, пригодные как для операционных систем Windows, так и для Linux. Одна из известных групп рандомных программ, Dark Power ransomware, использовала язык программирования NIM для создания вариантов рандомных программ, способных шифровать файлы жертв, намеренно исключая критически важные системные файлы. Кроме того, эта программа способна очищать журналы и генерировать записку с выкупом в каждой зараженной папке.

Недавно компания Cyble Research and Intelligence Labs (CRIL) столкнулась с новым штаммом программы-рансома под названием Kanti. Эта программа изменяет расширение зашифрованного файла на .kanti и после завершения процесса шифрования высылает записку с требованием выкупа под названием Kanti.html. Эта программа специально нацелена на пользователей криптовалют, поскольку использует имена файлов, связанные с криптовалютными кошельками, в частности BTC (Bitcoin).

Название zip-файла говорит о том, что он, скорее всего, распространяется через спам-письма или с фишинговых сайтов. ZIP-файл содержит файл быстрого доступа для Windows под названием Open Private Keys For Access To Wallet.lnk, который призван обмануть пользователей и заставить их поверить в то, что он предоставляет доступ к закрытым ключам для разблокировки средств, хранящихся в ZIP-файле. При его выполнении запускается целевая команда cmd.exe /c start Locked_253_BTC.zip, которая обходит некорректную ассоциацию файлов и напрямую запускает ZIP-файл в качестве исполняемого файла.

Kanti ransomware выборочно исключает из шифрования определенные имена файлов/папок и расширения файлов. Для генерации защищенных ключей он использует модуль BCrypt.dll с флагом BCRYPT_USE_SYSTEM_PREFERRED_RNG. После шифрования файлов он заменяет оригинальные файлы их зашифрованными копиями и переименовывает их с расширением .kanti. После этого на рабочем столе появляется записка с выкупом Kanti.html, содержащая инструкции о том, как связаться со злоумышленниками.

В последнее время все большее внимание TA, занимающиеся атаками на вымогателей, уделяют пользователям криптовалют, поскольку они могут получить более высокий выкуп, анонимность криптовалютных транзакций и технические ноу-хау. Отсутствие в NIM надежных механизмов защиты и обнаружения по сравнению с более распространенными языками программирования дает возможность авторам вредоносных программ уходить от обнаружения и повышать эффективность своих атак. Cyble Research and Intelligence Labs постоянно отслеживает новые кампании по борьбе с вымогательством, обеспечивая наших читателей информацией о последних находках и разработках вредоносного ПО.