#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 8, schema: 1, chart: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Gootloader - это вредоносная система доставки полезной нагрузки, использующая технологии SEO poisoning, чтобы нацелиться на ничего не подозревающих пользователей и доставить им вредоносную полезную нагрузку. Кроме того, он использует различные методы обфускации, чтобы избежать обнаружения.
-----

Gootloader - это система доставки вредоносной полезной нагрузки, случаи использования которой в последнее время заметно участились. Предполагается, что она работает по принципу "вредоносное ПО как услуга", предоставляя услуги по доставке вредоносного ПО исключительно другим участникам угроз. Gootloader получил широкую известность благодаря использованию взломанных сайтов WordPress для распространения вредоносных программ и применению методов SEO (Search Engine Optimization) отравления для достижения высоких позиций в результатах веб-поиска.

Первоначальный вектор этой атаки использует технику, называемую "отравлением поисковой оптимизации" (SEO). Вредоносные агенты контролируют взломанную веб-страницу WordPress и используют механизм маскировки для предотвращения загрузки для нецелевых пользователей. Целью злоумышленников являются пользователи из таких стран, как США, Австралия, Канада, Южная Корея и Германия. Загружается внешний JavaScript, который накладывается на фальшивую страницу форума. Когда пользователь нажимает на ссылку для загрузки, он перенаправляется на другую веб-страницу WordPress. ZIP-файл содержит вредоносный .JS-файл, скрытый внутри легитимной библиотеки JavaScript.

Файл JavaScript, находящийся в загружаемом ZIP-файле, выступает в роли инсталлятора и запуска последующих скриптов полезной нагрузки. Он использует легитимную библиотеку JavaScript с открытым исходным кодом для маскировки вредоносного кода, который разбивается на фрагменты обфусцированных строк и расходится по всей легитимной библиотеке. За сбор всех этих фрагментов строк, их объединение, деобфускацию скрытого кода и его выполнение отвечает специальная функция.

Затем вредоносная полезная нагрузка устанавливается и сохраняется с помощью запланированного задания. Также выполняется команда PowerShell, содержащая жестко закодированный фрагмент PowerShell, который выполняется в зависимости от того, запущен ли скрипт с cscript или wscript. Эта команда используется для установления соединения с контролируемым злоумышленником хостом для получения дальнейших команд. Эти команды могут отличаться в зависимости от предпочтений, выбранных клиентами Gootloader.

Технология SEO-отравителей Gootloader, нацеленная на поисковые запросы, связанные с юридической тематикой, представляет собой серьезную угрозу для организаций и частных лиц, ищущих юридическую информацию в Интернете. Манипулируя результатами поисковых систем и заманивая ничего не подозревающих пользователей на скомпрометированные сайты, Gootloader использует доверие пользователей к результатам поиска для доставки вредоносной полезной нагрузки. Кроме того, на каждом этапе атаки он использует различные методы обфускации, что создает дополнительные сложности и затрудняет обнаружение и идентификацию вируса исследователями безопасности.

#ParsedReport #CompletenessHigh
10-08-2023

MoustachedBouncer: Espionage against foreign diplomats in Belarus

https://www.welivesecurity.com/en/eset-research/moustachedbouncer-espionage-against-foreign-diplomats-in-belarus

Report completeness: High

Actors/Campaigns:
Moustachedbouncer (motivation: cyber_espionage)
Turla (motivation: cyber_espionage)
Winter_vivern (motivation: cyber_espionage)
Strongpity

Threats:
Aitm_technique
Nightclub
Disco
Sharpdisco
Mosquito
Beacon
Driverpack
Revsocks
Themida_tool
Lightneuron
Dns_tunneling_technique
Wingo

Victims:
Foreign embassies in belarus

Industry:
Telco

Geo:
Czech, Russian, Canadian, Belarus, Asia, Russia, Egypt, Turkey, Africa, Ukraine, Belarusian

CVEs:
CVE-2022-27926 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 6.1
X-Force: Patch: Official fix
Soft:
- zimbra collaboration (9.0.0)

CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1909, 2004, 20h2)
- microsoft windows server 2019 (-)
- microsoft windows server 2016 (1909, 2004, 20h2)


TTPs:
Tactics: 10
Technics: 21

IOCs:
Url: 3
Domain: 8
IP: 11
File: 19
Path: 22
Command: 1
Email: 4
Hash: 29

Soft:
zimbra, microsoft edge, microsoft edge update, windows service, outlook

Algorithms:
sha1, aes-cbc, crc-32, base64

Win API:
GetLogicalDrives, GetKeyState, BCryptImportKeyPair, BCryptDecrypt, CreateCompatibleDC, GetForegroundWindow, DnsQuery_A

Languages:
python, javascript

Platforms:
apple

Links:
https://github.com/kost/revsocks
https://github.com/zyantific/zydis
https://github.com/KaLendsi/CVE-2021-1732-Exploit/blob/main/ExploitTest/ExploitTest.cpp
https://github.com/korisk/csmtp/blob/master/CSmtp.cpp
https://github.com/kbinani/screenshot

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 15, schema: 2, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MoustachedBouncer - кибершпионская группа, действующая как минимум с 2014 г. и нацеленная на посольства иностранных государств в Беларуси и, вероятно, имеющая тесные связи с интересами этой страны. Группа использует два различных набора инструментов, NightClub и Disco, которые используют протоколы SMTP и IMAP для C&C-коммуникаций и доставляются с помощью AitM-атак для перенаправления проверок через портал захвата на C&C-сервер. MoustachedBouncer подозревается в использовании системы СОРМ в России для проведения своих операций.
-----

MoustachedBouncer - кибершпионская группа, действующая как минимум с 2014 года.

Группа нацелена на иностранные посольства в Беларуси и, скорее всего, придерживается белорусских интересов.

С 2020 года MoustachedBouncer использует технику "противник посередине" для перенаправления проверок через портал captive на C&C-сервер и доставки вредоносных плагинов через SMB-доли.

Вредоносная среда поддерживает такие шпионские модули, как скриншотер, аудиорекордер и похититель файлов.

Возможно, MoustachedBouncer тесно сотрудничает с другой группой, известной как Winter Vivern.

Первоначальным способом доступа к Disco является вмешательство в Интернет-доступ жертвы, возможно, на уровне провайдера.

Белорусские интернет-провайдеры должны обеспечить совместимость своего оборудования с системой СОРМ, которая позволяет властям осуществлять прямой удаленный доступ к коммуникациям пользователей и связанным с ними данным.

MoustachedBouncer оперирует двумя отдельными наборами инструментов под названиями NightClub и Disco.

Для осуществления своей деятельности MoustachedBouncer использует систему СОРМ.

Семейства вредоносных программ, используемых MoustachedBouncer, эволюционировали, и значительное изменение произошло в 2020 году, когда группа начала использовать атаки AitM.

#ParsedReport #CompletenessLow
10-08-2023

Xurum: New Magento Campaign Discovered

https://www.akamai.com/blog/security-research/new-sophisticated-magento-campaign-xurum-webshell

Report completeness: Low

Actors/Campaigns:
Xurum (motivation: cyber_criminal)
Magecart

Threats:
Wso-ng
Dirty_cow_vuln

Industry:
Financial

Geo:
Moscow, Netherlands, Russian, German, Guatemala, Germany

CVEs:
CVE-2022-24086 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- magento (le2.4.2, 2.4.3, 2.3.7, le2.3.6, <2.3.0)
- adobe commerce (2.3.7, 2.4.3, le2.4.2, le2.3.6, <2.3.0)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Official fix
Soft:
- canonical ubuntu linux (16.10, 14.04, 16.04, 12.04)
- linux linux kernel (<3.4.113, <3.2.83, <3.10.104, <3.12.66, <3.16.38, <3.18.44, <4.1.35, <4.4.26, <4.7.9, <4.8.3)
- redhat enterprise linux (7.0, 6.0, 5)
- redhat enterprise linux tus (6.5)
- redhat enterprise linux eus (6.7, 7.1, 6.6)
have more...

IOCs:
File: 2
IP: 4
Email: 2

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи компании Akamai обнаружили вредоносную кампанию, направленную на магазины Magento 2, использующую уязвимость инъекции шаблонов на стороне сервера (CVE-2022-24086) и другие вредоносные техники для получения конфиденциальной информации о пользователях. Злоумышленники демонстрируют высокий уровень экспертизы в Magento и нуждаются в дополнительных решениях безопасности для блокирования своих атак.
-----

Исследователи компании Akamai обнаружили вредоносную кампанию, направленную на магазины Magento 2 и получившую название Xurum.

Кампания активна с января 2023 года и эксплуатирует уязвимость инъекции шаблонов на стороне сервера (CVE-2022-24086).

Злоумышленники регистрируют новый компонент Magento, маскирующийся под GoogleShoppingAds, и используют расширенную веб-оболочку wso-ng, которая активизируется, когда злоумышленник отправляет cookie magemojo000 компоненту бэкдора.

Злоумышленники используют эксплойт Dirty COW (CVE-2016-5195) для попытки повышения привилегий в Linux.

Вредоносный PHP-скрипт, загружаемый с сервера xurum.com, имеет несколько стадий заражения.

Злоумышленники получают информацию о способах оплаты заказов на продажу за последние 10 дней и пересылают эти данные в свою зону падения xurum.com.

Злоумышленники создают пользователя-администратора с именем "mageworx" (или "mageplaza" в некоторых вариантах).

Судя по информации об IP-адресе, сервер xurum.com находится в Нидерландах и размещается у российской хостинговой компании VDSina.ru.

По крайней мере, один из сайтов был заражен простым веб-скаймером.

Злоумышленники используют старый добрый эксплойт Dirty COW (CVE-2016-5195) для локального повышения привилегий в Linux.

Злоумышленники демонстрируют высокий уровень экспертизы Magento и тратят значительное время на изучение его внутренних компонентов, создание инфраструктуры атаки и тестирование своих эксплойтов на реальных объектах.

#ParsedReport #CompletenessLow
10-08-2023

V3 Detects and Blocks Magniber Ransomware Injection (Direct Syscall Detection)

https://asec.ahnlab.com/en/55961

Report completeness: Low

Threats:
Magniber
Typosquatting_technique

Victims:
Chrome and edge users with the latest windows version

IOCs:
File: 3
Command: 1
Hash: 1
Url: 1

Soft:
internet explorer, windows security, chrome, task scheduler, windows defender

Crypto:
bitcoin

Functions:
Magniber

Win API:
NtGetContextThread, NtSetContextThread, NtCreateThreadEx, NtResumeThread

#ParsedReport #ExtractedSchema

Classified images:
code: 8, dump: 4, windows: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Magniber ransomware распространяется через тайпсквоттинг, ориентируясь на пользователей Chrome и Edge с последней версией Windows. Он внедряет вредоносный код в запущенный процесс, добавляет команду в планировщик задач для сохранения, удаляет теневые копии томов для невозможности восстановления и создает записки с требованием выкупа в биткоинах. Компания AhnLab предпринимает меры по обнаружению и удалению вредоносной активности.
-----

В течение последних нескольких лет стабильно распространяется программа Magniber, использующая в основном уязвимость Internet Explorer (IE). Однако в последнее время она переключила свое внимание на браузеры Edge и Chrome, маскируя вредоносные файлы под пакеты обновлений системы безопасности Windows. Поток заражения Magniber начинается с имени файла, например ERROR.Center.Security.msi. После выполнения он внедряет в запущенный процесс код ransomware для шифрования файлов. Затем он добавляет команду в планировщик задач для сохранения и удаляет теневые копии томов, чтобы исключить возможность восстановления.

Чтобы обойти метод подключения пользовательского режима, Magniber вызывает команду syscall API (NtCreateThreadEx) в месте, не входящем в ntdll.dll (0x000001C87630012). Эта техника, известная как Direct Syscall, может быть обнаружена с помощью новой функции в V3 (Direct Syscall Detection). После шифрования файлов пользователя Magniber создает в директориях с зашифрованными файлами примечания к выкупу (readme.htm) и представляет инструкцию по использованию браузера Tor для доступа к определенному URL-адресу для восстановления файлов. За восстановление файлов пользователя на странице доступа требуется заплатить биткоины.

В настоящее время Magniber распространяется в основном с помощью типосквоттинга, ориентируясь на пользователей Chrome и Edge с последней версией Windows. При распространении Magniber используются опечатки, допущенные при вводе доменов, поэтому при работе в Интернете следует соблюдать особую осторожность. В настоящее время компания AhnLab предпринимает меры по обнаружению и удалению вредоносной программы.

#ParsedReport #CompletenessLow
10-08-2023

Focus on DroxiDat/SystemBC

https://securelist.com/focus-on-droxidat-systembc/110302

Report completeness: Low

Actors/Campaigns:
Darkside
Fin12

Threats:
Droxidat
Systembc
Cobalt_strike
Beacon
Nokoyawa
Egregor
Ryuk

Victims:
Electric utility in southern africa/healthcare organization

Industry:
Energy, Government, Healthcare

Geo:
Brazil, Africa, African

ChatGPT TTPs:
do not use without manual check
T1090, T1064, T1036, T1546.002, T1547.003, T1545.006, T1560.002, T1565.001, T1543.002, T1566.003, have more...

IOCs:
Domain: 2
File: 1
Path: 12
IP: 5
Hash: 3

Crypto:
bitcoin

Algorithms:
sha1, sha256, xor

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Во втором квартале 2023 г. атака с использованием маяков CobaltStrike и DroxiDat, нового варианта полезной нагрузки SystemBC, была направлена на критически важную инфраструктуру в одной из стран Южной Африки. Анализ инцидента показал, что злоумышленниками, скорее всего, были русскоязычные RaaS-киберпреступники, нацеленные на индустрию здравоохранения.
-----

Во втором квартале 2023 года на объект критической инфраструктуры в одной из стран Южной Африки была совершена атака с использованием маяков CobaltStrike и DroxiDat - нового варианта полезной нагрузки SystemBC. SystemBC, предлагаемый в качестве вредоносного ПО как услуги с 2018 года, представляет собой вредоносный бэкдор, используемый для кражи системной информации, создания и удаления ключей и значений реестра, выполнения файлов и реализации возможностей клиента mini-TOR.

Злоумышленники использовали один и тот же каталог perflogs, последовательно сопрягая SystemBC с Cobalt Strike. Общие данные профилей на хостах Cobalt Strike позволили предположить, что злоумышленники могли быть русскоязычными и, скорее всего, принадлежали к группе, известной как Pistachio Tempest или FIN12, которая в 2022 году атаковала индустрию здравоохранения.

Полезная нагрузка DroxiDat/SystemBC была впервые обнаружена в тысячах объектов, используемых длинным списком филиалов ransomware. Это простой профилировщик системы, который получает имя/имя пользователя активной машины, локальный IP и серийную информацию о томе, а также может соединяться с удаленными слушателями, шифровать и отправлять собранную системную информацию. Его непосредственным адресатом в C2 является 93.115.25.41:443. Третий объект DroxiDat был отправлен на сервер с возможностью добавления исполняемых записей в ключ реестра Software\Microsoft\Windows\CurrentVersion\Run.

В системе также были обнаружены маяки Cobalt Strike, расположенные в том же каталоге и имеющие схожую инфраструктуру. Маячки имели C2, посвященные энергетике, такие как powersupportplan.com и epowersoftware.com, с одинаковым значением license_id "license_id": "0x282d4156". ssh-сервер на хосте epowersoftware имел ту же версию ssh и RSA-ключ(и), что и сервер на powersupportplan.com.

Дальнейший анализ инцидента показал, что наряду с DroxiDat злоумышленники также развернули вымогательское ПО Nokoyawa, что свидетельствует о том, что их целью, скорее всего, было здравоохранение. Хотя связь с APT так и не была установлена, постоянное использование одного и того же каталога perflogs в нескольких инцидентах, последовательное сопряжение SystemBC и CobaltStrike, а также общие данные профилей узлов CobaltStrike позволили подтвердить, что злоумышленники, скорее всего, являются русскоязычными RaaS-киберпреступниками.

#ParsedReport #CompletenessHigh
10-08-2023

Unraveling Scattered Spider: A Stealthy and Persistent Threat Actor Targeting Telecom Networks

https://www.avertium.com/resources/threat-reports/unraveling-scattered-spider-a-stealthy-and-persistent-threat-actor

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)
Lazarus

Threats:
Byovd_technique
Anydesk_tool
Dwservice_tool
Logmein_tool
Screenconnect_tool
Teamviewer_tool
Sorillus_rat
Rustscan_tool
Blackbyte
Aitm_technique

Victims:
Telecom and business process outsourcing sectors

Industry:
Financial, Healthcare, Telco, Bp_outsourcing

Geo:
Canada, Netherlands, North-korean, Belgium, France, Italy, Germany, Australia, Japan

CVEs:
CVE-2019-16098 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Unavailable
Soft:
- msi afterburner (4.6.2.15658)

CVE-2021-21551 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- dell dbutil 2 3.sys (-)

CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)

CVE-2021-35464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- forgerock am (<6.5.3)
- forgerock openam (<14.6.3)


TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 3
Hash: 18
IP: 10

Soft:
telegram, esxi, rsocx, azuread, beanywhere, domotz, pulseway, rport, trendmicro basecamp, zerotier, have more...

Algorithms:
sha256, sha1

Functions:
DbgPrintEx

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Scattered Spider - это финансово мотивированный угрожающий агент, использующий тактику социальной инженерии и старые уязвимости ядра для проникновения на целевые устройства, и организации должны предпринять шаги для предотвращения его проникновения в свои сети путем внедрения средств контроля безопасности, обнаружения, MFA и систем исправления.
-----

Scattered Spider, или UNC3944, - финансово мотивированный угрожающий агент, известный своим умным использованием тактики социальной инженерии для проникновения на целевые устройства. В декабре 2022 года компания CrowdStrike обнаружила кампанию Scattered Spider, направленную на телекоммуникационный сектор и сектор аутсорсинга бизнес-процессов с целью проникновения в сети мобильных операторов. С тех пор активность злоумышленников не прекращалась, и они даже попытались использовать старую уязвимость вредоносного драйвера ядра (CVE-2015-2291) в драйвере диагностики Intel Ethernet одной из целевых систем.

Scattered Spider использует методы социальной инженерии, такие как телефонные звонки, SMS и Telegram, чтобы выдать себя за ИТ-персонал и получить первичный доступ. Скомпрометированные учетные данные также используются для получения несанкционированного доступа к арендатору Azure. Попав внутрь, Scattered Spider использует утилиты и средства удаленного мониторинга и управления для поддержания постоянного доступа. Чтобы избежать обнаружения, они используют стандартную схему именования при подключении собственных систем к VPN-соединениям организации-жертвы и имитируют принятые в организации соглашения об именовании при настройке систем в инфраструктуре виртуальных рабочих столов. Кроме того, Scattered Spider ориентируется на гипервизоры VMware ESXi, устанавливая на ESXi-устройство два специфических инструмента: реверсивный прокси с открытым исходным кодом rsocx и средство удаленного мониторинга и управления (RMM) Level.

Угрожающий агент также пытается развернуть атаку Bring Your Own Vulnerable Driver (BYOVD) через старую уязвимость ядра (CVE-2015-2291). BYOVD позволяет использовать известные уязвимости в драйверах сторонних производителей, что приводит к компрометации системы, финансовым потерям и сбоям в работе. Компания Microsoft планировала блокировать драйверы с подтвержденными недостатками безопасности на устройствах под управлением Windows 10 с помощью технологий Defender for Endpoint attack surface reduction (ASR) и Windows Defender Application Control (WDAC). Однако в октябре 2022 года два тревожных инцидента пролили свет на опасность атак типа "принеси свое собственное уязвимое устройство" (BYOVD), подчеркнув потенциальные угрозы, с которыми сталкиваются организации.

Организации должны знать об инструментах и тактике, используемых Scattered Spider, и принимать меры по предотвращению их проникновения в свои сети. Для противодействия эволюционирующим угрозам, исходящим от этих противников, должны быть внедрены средства контроля и обнаружения. Для защиты учетных данных пользователей должна использоваться многофакторная аутентификация (MFA), пользователи должны быть осведомлены о тактике фишинга, а системы должны регулярно исправляться и обновляться. Кроме того, организации должны следить за своими сетями на предмет подозрительной активности и иметь планы реагирования на инциденты в случае утечки данных. Принятие этих мер позволяет снизить риск стать жертвой атаки Scattered Spider.

#ParsedReport #CompletenessHigh
11-08-2023

Stealthy Malicious MSI Loader Overlapping Technique and Infrastructure with BatLoader

https://www.cyfirma.com/outofband/stealthy-malicious-msi-loader-overlapping-technique-and-infrastructure-with-batloader

Report completeness: High

Threats:
Msi_loader
Batloader
Anydesk_tool
Emotet
Trickbot
Kovter
Andromeda
Carberp
Gozi
Process_injection_technique

Victims:
Organizations and individuals relying on windows operating systems

Industry:
Healthcare, Government, Financial

Geo:
Netherlands, Australia, Russia, Canada, America, Russian, Korea, Germany

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 3
Domain: 2
Url: 1
Path: 2
Hash: 2
IP: 3

Soft:
windows defender, net framework, microsoft windows defender

Algorithms:
exhibit, sha256

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследовательская группа Cyfirma Research обнаружила рекламируемый на подпольных форумах вредоносный MSI Loader, способный ускользать от обнаружения Windows Defender и Virus Total. Он используется в различных кампаниях по распространению вредоносного ПО, причем для маскировки используется настройка .NET Framework, а для широкого распространения - AnyDesk. Это создает высокий риск проникновения вредоносного ПО и компрометации данных.
-----

Команда Cyfirma Research обнаружила вредоносный MSI Loader, рекламируемый на подпольных форумах российским агентом угроз.

При установке загрузчик может маскироваться под доброкачественное обновление или установку .NET Framework и использоваться для запуска вредоносных программ на компьютерах ничего не подозревающих пользователей.

Угрожающий агент использует функцию Custom Action формата пакета MSI для выполнения сценария PowerShell, который выступает в роли загрузчика, загружающего ресурс с указанного URL.

Наши исследования OSINT позволили установить связь между MSI Loader и кампанией BatLoader, появившейся в марте 2023 года.

Виктимология загрузчика охватывает широкий круг потенциальных целей: под его действие попадают как организации, так и частные лица, работающие под управлением операционных систем Windows.

Способность загрузчика эффективно обходить как сканирование во время выполнения Windows Defender, так и VT-сканирование делает его мощной и неуловимой угрозой.

Угрожающий агент использует установку .NET Framework и приложение для удаленного рабочего стола AnyDesk в качестве маскировки для загрузчика, что говорит о расчетливой попытке использовать доверенные приложения для широкого распространения.

#ParsedReport #CompletenessHigh
10-08-2023

JanelaRAT: Repurposed BX Rat Variant Targeting LATAM FinTech

https://www.zscaler.com/blogs/security-research/janelarat-repurposed-bx-rat-variant-targeting-latam-fintech

Report completeness: High

Actors/Campaigns:
Blindeagle

Threats:
Janelarat
Dll_sideloading_technique
Pasta
Eazobfuscator_tool
Bancos

Victims:
Fintech users in the latam region

Industry:
Financial, Energy, Transport

Geo:
Portuguese, Mexico, Latam, American, Peru, Colombia

TTPs:
Tactics: 1
Technics: 13

IOCs:
Hash: 81
Path: 2
Url: 3
File: 24
Domain: 32
Command: 1
Registry: 1
IP: 6

Soft:
microsoft edge

Crypto:
solana, bitcoin, ethereum

Algorithms:
base64, aes, sha256, sha1, zip, cbc, rc4

Functions:
main, fetchemall

Win API:
GetLastInputInfo, SendMessage, ShowWindow

Languages:
visual_basic, python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Наша исследовательская группа в Zscaler ThreatLabz обнаружила JanelaRAT, сильно модифицированный вариант BX RAT, нацеленный на финансовые учреждения в странах Латинской Америки. JanelaRAT отличается сложной цепочкой атак, мерами защиты от обнаружения и стратегической тактикой взаимодействия. Для JanelaRAT доступно покрытие Zscaler по индикаторам компрометации.
-----

В июне 2023 года исследовательская группа Zscaler ThreatLabz обнаружила агента угроз, нацеленного на пользователей FinTech в регионе LATAM. JanelaRAT использует несколько тактик, техник и процедур (TTP), таких как боковая загрузка DLL, динамическая инфраструктура C2 и многоступенчатая атака. Последняя вредоносная программа, участвующая в этой кампании, представляет собой сильно модифицированный вариант BX RAT и поэтому получила название JanelaRAT.

Атакующая цепочка начинается с VBScript, отправляемого внутрь ZIP-архивов. После извлечения VBScript извлекает другой ZIP-архив и сбрасывает на конечную точку BAT-файл, подготавливающий систему к следующему этапу заражения. Второй ZIP-архив содержит два компонента, которые отвечают за выполнение остальных этапов цепочки заражения. Кроме того, в нем настроен постоянный механизм, благодаря которому образец JanelaRat автоматически запускается при каждой перезагрузке системы.

JanelaRAT представляет собой DLL, загружаемую сбоку от легитимного исполняемого файла, разработанную на языке C# для Microsoft .NET 4.0 и защищенную с помощью Eazobfuscator. Большинство строк зашифровано и хранится в специальном классе в качестве средства защиты от анализа. Для защиты от обнаружения JanelaRAT переходит в состояние покоя, если время с момента последнего входного события превышает 10 минут.

Вредоносная программа взаимодействует с C2-сетью злоумышленника через домен, который всегда один и тот же. В него встроена возможность перехвата и отправки информации о скомпрометированном хосте, открытия окон сообщений и выполнения ряда других действий. Она также способна делать и отправлять скриншоты, работать в специальных режимах выполнения и собирать дополнительную информацию об использовании зараженной системы.

Ключевым сходством между JanelaRAT и BX RAT является использование португальского языка в строках вредоносной программы, метаданных, расшифрованных строках и т.д. JanelaRAT также использует ту же технику динамических DNS-сервисов для организации C2-каналов от имплантов вредоносных программ к инфраструктуре злоумышленника.

Основной целью JanelaRAT являются финансовые данные в странах Латинской Америки. В нем реализован механизм чувствительности к заголовкам окон, позволяющий вредоносной программе перехватывать данные о заголовках окон и отправлять их злоумышленникам. Также в программе используется система динамической конфигурации сокетов, создающая сеть из 44 различных вариантов ZIP-архивов, хранящихся в base64-кодировке. Это позволяет злоумышленникам оставаться незаметными и избегать обнаружения.

Полученные нами данные о JanelaRAT свидетельствуют о том, что это сильно модифицированный вариант BX RAT, используемый для атак на финансовые учреждения в странах Латинской Америки. Она построена с использованием сложной цепочки атак, мер защиты от обнаружения и стратегической тактики коммуникации. Для JanelaRAT доступно покрытие Zscaler по индикаторам компрометации (IOC), перечисленным в Приложении. В комплект поставки также включены сценарии на языке Python, позволяющие автоматизировать процесс приближения к JanelaRAT.

#technique

all shell backdoor in the world

https://github.com/beruangsalju/shell-backdoor

#technique

Havoc Framework 0.6 update

https://github.com/HavocFramework/Havoc/pull/371