#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Luca Stealer - это вредоносный InfoStealer, предназначенный для атак на дорогостоящие криптовалюты, а его открытый исходный код позволяет злоумышленникам создавать уникальные варианты и модифицировать его поведение в соответствии со своими целями. Это представляет опасность для пользователей, поэтому важно знать об этой угрозе и предпринимать меры по защите от потенциальных атак.
-----

Недавно CRIL обнаружил вредоносный сайт, маскирующийся под легитимную платформу Microsoft Crypto Wallet, которая является готовящимся продуктом компании Microsoft для браузера Edge. Этот сайт, hxxps://microsoft-en.com/cryptowallet/, предназначен для любителей криптовалют и содержит вредоносный InfoStealer под названием Luca Stealer. Luca Stealer используется для сбора конфиденциальной информации и персональных данных ничего не подозревающих пользователей и создан с использованием языка программирования Rust. В нем реализованы технологии Clipper и AntiVM, позволяющие перехватывать и манипулировать криптовалютными адресами во время транзакций и уклоняться от обнаружения в виртуализированных средах соответственно.

Luca Stealer предназначен для кражи таких дорогих криптовалют, как Bitcoin, Ethereum, Ripple, Litecoin, Dogecoin и др. Кроме того, для скрытой передачи похищенных данных он использует платформу обмена сообщениями Telegram. Отличительной особенностью Luca Stealer от других инфокрадчиков является то, что он специализируется на поиске данных, связанных с криптовалютными кошельками и программным обеспечением для управления паролями. Еще большее беспокойство вызывает тот факт, что исходный код программы находится в открытом доступе, что позволяет злоумышленникам создавать уникальные варианты и модифицировать поведение Luca Stealer в соответствии со своими целями.

Потенциальная возможность злоумышленников использовать растущую популярность и стоимость криптовалют, а также возможность завладения конфиденциальными учетными данными вызывает опасения. Доступность исходного кода Luca Stealer еще больше усиливает этот риск, поскольку позволяет злоумышленникам создавать новые варианты вредоносной программы и модифицировать ее поведение под свои нужды. В результате можно ожидать постоянного роста числа двоичных файлов крадущего, нацеленных на пользователей. Поэтому важно знать об угрозе, исходящей от Luca Stealer, и предпринимать меры по защите от возможных атак.

#ParsedReport #CompletenessHigh
20-07-2023

Threat Group Assessment: Mallox Ransomware

https://unit42.paloaltonetworks.com/mallox-ransomware

Report completeness: High

Actors/Campaigns:
Mallox

Threats:
Targetcompany
Owassrf
Proxylogon_exploit
Proxyshell_vuln
Wildfire
Wevtutil_tool
Xollam
Process_injection_technique

Victims:
Microsoft (ms) windows systems

Industry:
Financial, Retail

Geo:
America, Emea, Apac, Japan

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 1
File: 18
Url: 1
Domain: 1
Hash: 71
IP: 21

Soft:
ms-sql, bcdedit, active directory, sqlbrowser, mssql, sqlagent

Algorithms:
chacha20, sha256

Win Services:
WebClient, sqlbrowser, sqlwriter, sqlservr, msmdsrv, SQLAGENT

Platforms:
intel

Links:
https://github.com/Neo23x0/Raccine

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 2, chart: 1, code: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа разработчиков антивирусного ПО Mallox активно атакует системы Microsoft Windows и использует незащищенные серверы MS-SQL для проникновения в сети. Кроме того, группа Mallox привлекает аффилированных лиц для участия в своей партнерской программе ransomware-as-a-service (RaaS), что может привести к расширению ее атакующих возможностей.
-----

Mallox, известный также под названиями TargetCompany, FARGO и Tohnichi, - это штамм вымогательского ПО, нацеленный на системы Microsoft (MS) Windows. Он активен с июня 2021 года и использует незащищенные серверы MS-SQL в качестве средства проникновения в сети своих жертв. Исследователи из компании Unit 42 отмечают рост активности вымогательского ПО Mallox почти на 174% по сравнению с предыдущим годом. Для получения доступа к сетям Mallox использует грубый форсинг, эксфильтрацию данных, сетевые сканеры и другие инструменты.

Mallox придерживается тенденции "двойного вымогательства", когда перед шифрованием файлов организации она похищает данные, а затем угрожает опубликовать их на сайте утечки информации, чтобы убедить жертву заплатить выкуп. Группа Mallox заявляет о сотнях жертв, хотя точное их число остается неизвестным. Телеметрия Unit 42 указывает на десятки потенциальных жертв в различных отраслях, таких как производство, профессиональные и юридические услуги, оптовая и розничная торговля.

С 2021 года группа придерживается одного и того же подхода: атакует незащищенные серверы MS-SQL с целью проникновения в сеть. Атака начинается с перебора словарей, после чего злоумышленники с помощью командной строки и PowerShell загружают с удаленного сервера полезную нагрузку Mallox ransomware. Эта полезная нагрузка пытается выполнить несколько действий: остановить и удалить службы, связанные с SQL, удалить тени томов, очистить журналы событий, изменить права доступа к файлам, завершить процессы безопасности и обойти защиту от вымогательства Raccine. Он шифрует файлы с помощью алгоритма шифрования ChaCha20, добавляет к зашифрованным файлам расширение .malox и оставляет записку с требованием выкупа в каждом каталоге на диске жертвы.

Группа Mallox, судя по всему, работает над расширением своей деятельности и набирает аффилированных лиц на хакерских форумах. Пользователь под ником Mallx недавно написал на хакерском форуме RAMP, что группа Mallox набирает аффилиатов для новой партнерской программы Mallox ransomware-as-a-service (RaaS). Другой пользователь под ником RansomR в мае 2022 года разместил на хакерском форуме nulled.to сообщение о том, что группа Mallox ищет аффилиатов для присоединения к своей команде. Если эти усилия будут успешными, то группа Mallox может расширить сферу своей деятельности и охватить больше организаций.

#ParsedReport #CompletenessLow
21-07-2023

Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

Report completeness: Low

Victims:
Critical infrastructure organization

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.1-37.159, <13.1-49.13, <13.0-91.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 1

Soft:
active directory, openssl, curl

Algorithms:
zip

Languages:
python, php

Links:
https://github.com/cisagov/Decider/

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Организация CISA выпустила совет по кибербезопасности, предупреждающий защитников сетей об уязвимости "нулевого дня" CVE-2023-3519 - неавторизованном удаленном выполнении кода (RCE) в контроллере доставки приложений NetScaler (ранее Citrix) и шлюзе NetScaler Gateway. Для снижения риска, связанного с эксплуатацией CVE-2023-3519, организациям следует провести обновление уязвимых систем и внедрить компенсирующие средства контроля, а также обеспечить всестороннюю инвентаризацию ИТ-активов для выявления несанкционированного доступа или модификации систем.
-----

CISA выпустила совет по кибербезопасности, предупреждающий об уязвимости нулевого дня, эксплуатирующей CVE-2023-3519.

Уязвимость затрагивает NetScaler (ранее Citrix) Application Delivery Controller (ADC) и NetScaler Gateway.

CISA добавила CVE-2023-3519 в свой каталог известных эксплуатируемых уязвимостей в июле 2023 года.

Угрожающие лица загрузили на устройство ADC файл TGZ, содержащий веб-шелл, скрипт обнаружения и двоичный файл setuid.

Защитники сети должны проверить наличие в различных местах файлов, более новых, чем последняя установка, а также просмотреть журналы сетевых и межсетевых экранов на предмет сканирования всей подсети.

Организациям следует незамедлительно выполнить исправление уязвимых систем и внедрить компенсирующие средства контроля для снижения риска.

Организации также должны обеспечить всестороннюю инвентаризацию своих ИТ-активов для выявления несанкционированного доступа или модификации систем.

#ParsedReport #CompletenessLow
21-07-2023

First Known Targeted OSS Supply Chain Attacks Against the Banking Sector

https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector

Report completeness: Low

Threats:
Supply_chain_technique
Havoc
C5pider_actor
Cobalt_strike
Brc4_tool
Sliver_tool
Ratel

Victims:
Banking sector

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036.003, T1071.001, T1027.002

IOCs:
Hash: 5

Soft:
macos, windows defender

Links:
https://github.com/Cracked5pider
https://github.com/HavocFramework/Havoc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Checkmarx обнаружила две различные атаки на цепочки поставок ПО с открытым исходным кодом, направленные на банковский сектор, и прогнозирует продолжение этой тенденции. Компания Checkmarx следит за развитием ситуации и прогнозирует дальнейшее развитие событий, поэтому ей необходимо внедрять проактивную архитектуру безопасности, включающую защитные меры на всех этапах разработки и до конечного пользователя.
-----

В апреле 2023 года команда Checkmarx по исследованию цепочек поставок обнаружила две различные атаки на цепочки поставок программного обеспечения с открытым исходным кодом, направленные, в частности, на банковский сектор. Злоумышленники использовали обманные приемы, чтобы придать своим вредоносным пакетам видимость легитимности и достоверности, например, создавали поддельные профили LinkedIn и собственные центры управления для каждой из целей. Несмотря на то, что вредоносные пакеты были удалены, Checkmarx прогнозирует, что тенденция атак на банковский сектор будет продолжаться и что существующих средств контроля, направленных на обнаружение и управление известными уязвимостями, может оказаться недостаточно для борьбы с ними.

Для усиления защиты от этих атак необходимо общеотраслевое сотрудничество. Банковская отрасль стала объектом нового вида киберугроз, требующих адаптации и бдительности. Организациям необходимо понять, что нельзя относиться к вредоносным пакетам так же, как к обычным уязвимостям, и принять проактивную, интегрированную архитектуру безопасности, включающую защитные меры от стадии разработки до конечного пользователя.

Тактика, методы и процедуры, использованные злоумышленниками, были идентифицированы и распространены с целью содействия коллективному пониманию и осознанию этих возникающих угроз. Клиенты Checkmarx, занимающиеся аналитикой цепочек поставок, защищены от этих атак, компания активно следит за ситуацией и будет информировать о дальнейшем развитии событий.

#ParsedReport #CompletenessLow
21-07-2023

Ransomware Roundup - Cl0p

https://www.fortinet.com/blog/threat-research/ransomware-roundup-cl0p

Report completeness: Low

Actors/Campaigns:
Fin11 (motivation: financially_motivated)

Threats:
Clop
Cryptomix
Cryptxxx
Cryptowall
Cobalt_strike
Dewmode
Lemurloot
Sdbot
Flawedammyy
Lockbit
Blackcat
Filecoder
Hydracrypt
W32/encoder.q!tr.ransom
W32/ransom.clop!tr

Victims:
419 victim organizations

Industry:
Financial, Healthcare

Geo:
America

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-27102 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- accellion fta (le9_12_411)

CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <15.1.5.1, <14.1.4.6, <13.1.5, <16.1.2.2)
- f5 big-ip analytics (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
have more...
CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)

CVE-2023-27351 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<21.2.11, <22.0.9, <20.1.7)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2021-35211 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- solarwinds serv-u (<15.2.3)

CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


IOCs:
File: 9
Hash: 8

Soft:
moveit, goanywhere, serv-u, big-ip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Cl0p ransomware - это финансово мотивированный агент угроз, проявляющий активность с начала 2019 года. Как правило, ее жертвами становятся компании, работающие в сфере бизнес-услуг, программного обеспечения и финансов, а большинство пострадавших находятся в Северной Америке и Европе.
-----

Группа Cl0p - один из наиболее активных на сегодняшний день угроз в сфере рансомного ПО. Эта группа связана с финансово-мотивированным игроком FIN11 (также известным как TA505 и Snakefly) и является потомком CryptoMix. Cl0p ransomware обычно используется для шифрования файлов после кражи информации, а FIN11 известна тем, что использует уязвимости высокой степени опасности, включая недавно раскрытую уязвимость MOVEit Transfer.

Эта группа вымогателей проявляет активность с начала 2019 года, а в 2023 году ее активность возросла по сравнению с предыдущими годами. Согласно данным, собранным с помощью сервиса FortiRecon компании Fortinet, в период с января по июнь 2023 года жертвами группы Cl0p стали представители нескольких отраслей, среди которых лидируют бизнес-услуги, за которыми следуют программное обеспечение и финансы. По регионам почти три четверти жертв находятся в Северной Америке и Европе, причем США занимают первое место со значительным отрывом. Группа также создала на TOR сайт утечки данных под названием CL0P^_-LEAKS, на котором размещает информацию, похищенную у жертв.

Основной мотивацией группы Cl0p ransomware является финансовая выгода, однако они не атакуют больницы и социальные учреждения. Для защиты от Cl0p ransomware и других разновидностей важно следить за тем, чтобы все системы были обновлены последними патчами и обновлениями безопасности.

#ParsedReport #CompletenessLow
21-07-2023

Reptile Malware Targeting Linux Systems

https://asec.ahnlab.com/ko/55379

Report completeness: Low

Actors/Campaigns:
Axiom

Threats:
Reptile
Syslogk_rootkit
Adoreng_rootkit
Rekoobe_rootkit
Mlofe
Kmatryoshka
Cloaking_technique
Smokeloader
Melofee

Victims:
Linux systems, fortinet's products, domestic companies

Geo:
China, Chinese

IOCs:
File: 6
Hash: 9

Algorithms:
hmac, sha1, aes-128

Functions:
init_module, sys_init_module, ip_rcv, inet_ioctl, fillonedir, filldir, filldir64, find_task_by_vpid, vfs_statx, getsid, have more...

Links:
https://github.com/milabs/kmatryoshka
https://github.com/f0rb1dd3n/Reptile
https://github.com/milabs/khook

#ParsedReport #ExtractedSchema

Classified images:
code: 26, windows: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что Reptile - это руткит с модулем ядра для Linux-систем, который использовался различными злоумышленниками и обеспечивает скрытность файлов/каталогов, процессов и сетевого взаимодействия. Он связан с группой атак Winnti и упаковывается с помощью kmatryoshka. Для передачи команд он использует KHOOK, механизм подцепления функций ядра Linux, и перехват портов. Также поддерживается маскировка файлов и каталогов, самоскрытие и сокрытие содержимого файлов. В качестве обратной оболочки используется TinySHell, а для поддержки перехвата портов - руткит Syslogk. Для шифрования данных используется алгоритм HMAC SHA1 и ключ AES-128.
-----

Reptile - это руткит для Linux-систем с модулем ядра, который был выпущен с открытым исходным кодом на GitHub и с тех пор используется различными злоумышленниками. Он обеспечивает скрытность файлов/каталогов и процессов, а также сетевого взаимодействия. Reptile поддерживает такие вредоносные программы и инструменты, используемые злоумышленниками, как Listener, Packet и Client, и упаковывается с помощью инструмента с открытым исходным кодом kmatryoshka. Reptile использует KHOOK, механизм подключения функций ядра Linux, для подключения функций ядра, а также port knocking в качестве метода доставки команд. Также поддерживается маскировка файлов и каталогов, самоскрытие и сокрытие содержимого файлов.

Недавно китайская атакующая группа Winnti использовала "нулевые дни" Fortinet, и в отчете ExaTrack, посвященном анализу вредоносной программы Mlofe, был обнаружен руткит Reptile, приписываемый группе Winnti. Вредоносная программа reverse shell, исполняемая руткитом Reptile, подключается к C&C-серверу и предоставляет оболочку. Обратный шелл основан на TinySHell, вредоносной программе-бэкдоре для Linux с открытым исходным кодом. Руткит Syslogk также поддерживает метод пробивания портов, который работает как триггер с Magic Packet. Для шифрования коммуникационных данных используется алгоритм HMAC SHA1 и ключ AES-128.

#ParsedReport #CompletenessLow
19-07-2023

Stealth Mode: Chinese Cyber Espionage Actors Continue to Evolve Tactics to Avoid Detection

https://www.mandiant.com/resources/blog/chinese-espionage-tactics

Report completeness: Low

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Unc4841 (motivation: cyber_espionage)
Apt5
Volt_typhoon (motivation: cyber_espionage)
Axiom (motivation: cyber_espionage)
Apt31 (motivation: cyber_espionage)
Playful_taurus (motivation: cyber_espionage)
Camaro_dragon (motivation: cyber_espionage)
Sparklinggoblin
Unc215

Threats:
Supply_chain_technique
Lolbin_technique
Thincrust
Castletap
Tableflip_tool
Reptile
Virtualpita
Virtualpie
Saltwater
Seaside
Seaspy
Seaspray
Skipjack
Horse_shell
Bpfdoor
Vulture
Sidewalk
Crosswalk
Zuo_rat
Aitm_technique
Daxin
Hyperbro
Focusfjord

Victims:
Defense industrial base (dib), telecommunication organizations, governments and organizations associated with verticals of high priority to china, ministries of foreign affairs (mfas) of asean member nations, foreign trade offices and academic research organizations in taiwan and hong kong, critical infrastructure organizations in the us, european foreign affairs organizations, a hong kong university

Industry:
Logistic, Iot, Government, Transport, Military, Education, Telco

Geo:
Asia, America, Taiwan, Asian, French, Chinese, China, Taiwanese

CVEs:
CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- vmware tools (<12.2.5)

CVE-2021-22893 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- pulsesecure pulse connect secure (9.0, 9.1)

CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- sophos sfos (le18.5.3)

CVE-2021-20023 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- sonicwall email security (<10.0.9.6173)
- sonicwall hosted email security (<10.0.9.6173)

CVE-2022-41328 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)
have more ...

IOCs:
File: 2

#ParsedReport #ExtractedSchema

Classified images:
schema: 15

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Китайские кибершпионы принимают чрезвычайные меры, чтобы остаться незамеченными, используя уязвимости "нулевого дня", внедряя пользовательские вредоносные программы и используя бот-сети скомпрометированных устройств для маскировки своей деятельности. Эти действия свидетельствуют об инвестициях китайского правительства в оснащение своих кибероператоров более совершенными средствами, и организациям следует принять меры по защите своих систем от этих угроз.
-----

По данным Mandiant Intelligence, в 2021 и 2022 годах китайские субъекты кибершпионажа будут все чаще использовать эксплойты "нулевого дня". В частности, они сосредоточились на использовании технологий безопасности, сетевых технологий и технологий виртуализации для получения и сохранения доступа к дорогостоящим сетям, принимая при этом меры для того, чтобы остаться незамеченными.

В качестве примера можно привести группу UNC3886, которая атаковала организации оборонно-промышленной базы (ОПК), технологические и телекоммуникационные организации в США и Азии. Для того чтобы остаться незамеченной, эта группа принимала чрезвычайные меры: использовала нетрадиционные протоколы, очищала и изменяла журналы, отключала проверку файловой системы при запуске. Они также использовали семейства вредоносных программ, разработанные для взаимодействия с устройствами Fortinet. Кроме того, по данным Mandiant, UNC3886 использовал уязвимость обхода пути (CVE-2022-41328) и уязвимость обхода аутентификации (CVE-2023-20867) на хостах ESXi.

Еще одним примером использования китайскими угрозами уязвимости нулевого дня является группа UNC4841, которая с октября 2022 года эксплуатировала уязвимость нулевого дня CVE-2023-2868 в устройствах Barracuda Email Security Gateway (ESG). Эта группа атаковала правительства и организации, связанные с приоритетными для Китая вертикалями экономики, министерства иностранных дел (МИД) стран-членов АСЕАН, внешнеторговые представительства и академические исследовательские организации Тайваня и Гонконга. Для эксплуатации уязвимости они использовали специально созданные вложения TAR-файлов, рассылали письма, которые попадали в спам-фильтры, разрабатывали собственные вредоносные программы, использовали легитимные временные самоподписанные сертификаты SSL и украденные сертификаты для маскировки трафика C2.

Компания Mandiant также отмечает, что предполагаемые китайские операторы кибершпионажа используют пользовательские вредоносные программы для ретрансляции и маскировки трафика в сетях жертв, например, с помощью перехвата DNS, HTTP и TCP/IP. Кроме того, для маскировки внешнего трафика между инфраструктурой C2 и средами жертв используются бот-сети из взломанных устройств Интернета вещей (IoT), смарт-устройств и маршрутизаторов, а также многочисленные семейства вредоносных программ, включающие функции для скрытой ретрансляции трафика злоумышленников внутри взломанных сетей.

Эти действия свидетельствуют о том, что китайские операторы кибершпионажа становятся все более искусными в применении сложных тактик, инструментов и эксплойтов для уклонения от обнаружения и затруднения атрибуции. Это говорит о том, что долгосрочные инвестиции китайского правительства в оснащение своих кибероператоров более совершенными средствами приносят свои плоды. Поэтому организациям следует сохранять бдительность и принимать меры по защите своих систем от этих угроз.

Make my day

#ParsedReport #CompletenessMedium
24-07-2023

NemesisProject. Technical Overview

https://medium.com/walmartglobaltech/nemesisproject-816ed5c1e8d5

Report completeness: Medium

Actors/Campaigns:
Carbanak
Dev-0960

Threats:
Nemesisproject
Lizar_loader
Botloaderstarter
Nemesis

Industry:
Financial

Geo:
Kyrgyzstan, Russia, Armenia, Moldova, Kazakhstan, Uzbekistan, Ukraine, Belarus, Azerbaijan

ChatGPT TTPs:
do not use without manual check
T1166, T1184, T1547, T1074, T1086

IOCs:
File: 249
IP: 6
Url: 1
Coin: 1

Soft:
avastbrowser, virtualbox, chromium, google chrome, opera, coolnovo, orbitum, amigo, torch, comodo dragon, have more...

Wallets:
electrum, jaxx, coinomi, guarda_wallet, zcash, metamask, tronlink

Crypto:
ethereum, binance

Algorithms:
rc4, base64, gzip

Functions:
CreateNoWindow

Win Services:
arsm, AvastSvc, ekrn, Mcshield, MsMpEng, ccSetMgr, tpvcgateway, tpautoconnsvc

Languages:
python

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 2, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NemesisProject - это мощный и эффективный фреймворк бэкдора, используемый FIN7 для доставки вредоносных полезных нагрузок и кражи данных из зараженных систем.
-----

NemesisProject - это фреймворк бэкдора с подключаемыми компонентами, который недавно был замечен в работе FIN7. BotLoaderStarter - это загрузчик, предназначенный для загрузки и запуска файла, который использует встроенную строку SeparateWord из настроек для поиска ключа RC4 и начала зашифрованных данных. Он способен использовать C2-трафик через Web, OneDrive или Azure.

Сообщалось также о компоненте кражи NemesisProject, который поставляется с собственной конфигурацией, позволяющей использовать его самостоятельно. Хотя он может работать по протоколу HTTP, он также проверяет страну системы, на которой запущен, на принадлежность к определенным странам. Если это так, то он попытается отключить определенные значения реестра. Кроме того, похититель попытается собрать с зараженной системы файлы, соответствующие списку расширений, включая DOCX, XLSX, PDF, TXT и JPG.

В целом NemesisProject является эффективным инструментом, используемым FIN7 для доставки вредоносной полезной нагрузки и кражи данных с зараженных систем. Загрузчик BotLoaderStarter отлично справляется с загрузкой и запуском файла, а компонент stealer способен проверять определенные значения реестра и собирать файлы определенных типов. Сочетание этих двух компонентов делает NemesisProject мощным и эффективным инструментом для получения доступа и утечки данных из зараженных систем.