#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавняя серия APT-атак на веб-серверы отечественных компаний продолжается уже несколько лет, и известно, что для получения доступа к системе злоумышленник использует вредоносные коды, хакерские инструменты с открытым кодом и легитимные программы. Администратору следует принять меры по защите от этих атак.
-----

Недавняя серия APT-атак на веб-серверы, принадлежащие отечественным компаниям, продолжается уже несколько лет. В большинстве зараженных систем злоумышленники используют учетную запись под именем 'tripod', и это один из немногих признаков, по которым их можно идентифицировать. Большинство целей - веб-серверы Windows IIS, ранее атакованные китайской группой Dalbit, группой Kimsuky, группой Lazarus и другими.

Предполагается, что целью этих атак является вставка рекламы в обычные веб-сервисы, однако, судя по журналам последних атак, к ним могут добавляться и другие цели, например, установка выкупного ПО. Первоначальный путь проникновения для этих атак - установка веб-оболочки, которая обычно осуществляется путем атаки на веб-сервер, который неправильно управляется или не был исправлен на предмет уязвимостей. Известно, что злоумышленник использует уязвимости загрузки файлов на домашней странице компании для загрузки веб-оболочки в виде вложения, а затем загружает вторую веб-оболочку, используя первую.

Известно, что для получения прав администратора злоумышленник использует такие вредоносные коды, как Potato malware, UserClone и Mimikatz. Вредоносная программа Potato в основном используется в атаках на веб-серверы IIS или серверы баз данных MS-SQL, а UserClone - это инструмент, создающий учетную запись в группе администраторов или копирующий привилегии определенной учетной записи в другую учетную запись. Mimikatz - инструмент, поддерживающий функцию извлечения учетной информации в среде операционной системы Windows. Он не только извлекает пароли в открытом виде или хэш-информацию, существующую в системе Windows, но и поддерживает атаки бокового перемещения с использованием полученной учетной информации. Известно также, что злоумышленник использует WinRAR для установки веб-оболочки в процессе персистенции, а также ProcDump, легитимную программу от Sysinternals, для обхода обнаружения продуктами безопасности. Вредоносные коды типа Runas, такие как RunasCs или Sy_Runas, также используются для выполнения команд с полномочиями конкретного пользователя.

Кроме того, в процессе атаки злоумышленник использовал Ladon, инструмент для взлома с открытым исходным кодом. Ladon поддерживает различные функции, необходимые в процессе атаки, поэтому после получения контроля над целевой системой злоумышленник может выполнять различные вредоносные действия, такие как сканирование, повышение привилегий и кража учетной информации. Известно также, что злоумышленник установил NetCat для использования в качестве обратной оболочки.

Администратор должен предпринять меры по защите от этих атак, например, проверить уязвимость загрузки файлов, существующую в веб-сервере, чтобы заранее предотвратить загрузку веб-оболочки, реагировать на атаки "бокового перемещения", периодически меняя пароли и настраивая контроль доступа, а также обновить V3 до последней версии, чтобы блокировать заражение вредоносным кодом.

#ParsedReport #CompletenessLow
14-08-2023

Monti Ransomware Unleashes a New Encryptor for Linux. Introduction

https://www.trendmicro.com/en_us/research/23/h/monti-ransomware-unleashes-a-new-encryptor-for-linux.html

Report completeness: Low

Threats:
Monti
Conti
Ransom.linux

Victims:
Institutions in the legal and government fields

Industry:
Healthcare, Government, Financial

ChatGPT TTPs:
do not use without manual check
T1193, T1486, T1490, T1543

IOCs:
File: 3
Hash: 1
Url: 2

Soft:
openssl

Algorithms:
aes-256-ctr, salsa20

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Коллективная программа-вымогатель Monti возобновила работу и внесла существенные изменения в свой код и алгоритм шифрования, чтобы избежать обнаружения. Организациям следует принимать упреждающие меры по защите своих систем от атак ransomware, внедряя эффективные стратегии защиты, такие как протоколы защиты данных и создание процедур резервного копирования и восстановления.
-----

Группа разработчиков вымогательского ПО Monti возобновила свою деятельность, сосредоточившись на учреждениях юридической и правительственной сферы. Одновременно с этим появился новый вариант Monti, основанный на платформе Linux и имеющий заметные отличия от предыдущих Linux-версий. Новый вариант использует параметр -type=soft для завершения работы виртуальных машин в системе и добавляет байт MONTI, за которым следуют дополнительные 256 байт, связанные с ключом шифрования. Также используется шифрование AES-256-CTR с использованием evp_enc из библиотеки OpenSSL вместо Salsa20. Кроме того, он содержит расширение .monti для зашифрованных файлов и помещает в каждый каталог заметку о выкупе readme.txt.

Было замечено, что группа Монти подражает тактике, технике и процедурам (ТТП) группы Конти, о чем свидетельствуют некоторые схожие функции. Однако они внесли существенные изменения в код, особенно в алгоритм шифрования, чтобы повысить его способность к уклонению от обнаружения. Поэтому организациям следует принимать упреждающие меры по защите своих систем от атак ransomware путем внедрения эффективных стратегий защиты. К ним относятся протоколы защиты данных и процедуры резервного копирования и восстановления.

При сравнении нового варианта со старым с помощью программы BinDiff уровень сходства составил 29%, в то время как уровень сходства старых вариантов и Conti составил 99%. На VirusTotal только три поставщика безопасности отметили этот образец как вредоносный, что свидетельствует об изощренности атаки. Кроме того, прежде чем приступить к шифрованию, программа-вымогатель проверяет определенные условия. В первую очередь проверяется, не превышает ли размер файла 261 байт, и если это условие выполняется, то начинается процесс заражения. Если нет, то проверяется последний 261 байт файла на наличие строки "MONTI". Если эта строка обнаружена, то файл будет пропущен, что свидетельствует о том, что он уже был зашифрован.

Операторы программы Monti подделали файлы /etc/motd и index.html, заменив их содержимое запиской с сообщением об успешном проникновении на сервер. Отметим, что MOTD (или Message of the Day) - это текстовое сообщение, отображаемое при входе пользователя в операционную систему Linux. Мы также обнаружили код дешифровки, который позволяет предположить, что угрожающий агент тестировал его работоспособность. Однако на данный момент код расшифровки неэффективен, поскольку для его использования требуется закрытый ключ, известный только автору вредоносной программы и не имеющий отношения к ее рутине.

#ParsedReport #CompletenessLow
14-08-2023

Phishing with hacked sites

https://securelist.com/phishing-with-hacked-sites/110334

Report completeness: Low

Threats:
Phisher

Victims:
Services and organization whose users are most frequently targeted by phishing pages on hacked websites, including netflix, european banks and popular delivery services

Industry:
Financial

Geo:
Chinese, French

IOCs:
File: 1

Soft:
telegram, wordpress

Languages:
php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники все чаще используют сложные методы воздействия на легитимные сайты, такие как фишинговые наборы, взлом, брутфорсинг и использование уязвимостей, для создания фишинговых ловушек. Такие ловушки часто содержат вредоносное содержимое, а URL-адреса можно определить по определенным признакам. Данные, вводимые посетителями, сохраняются в панели управления, и доступ к ним возможен, если установлена веб-оболочка.
-----

Киберпреступники используют все более изощренные методы организации фишинговых ловушек. Одна из них заключается в том, что на легитимные сайты, как активно поддерживаемые, так и давно не посещаемые, помещается вредоносный контент. Это особенно эффективно для небольших сайтов, у которых, возможно, нет средств для поддержания надежных мер безопасности или найма специалиста по безопасности.

Количество взломанных сайтов, используемых в фишинговых целях, стремительно растет. В период с середины мая по середину июня наши системы обнаружили около семи тысяч уникальных сайтов, которые были взломаны и использовались в фишинговых целях. В качестве примера можно привести использование средств автоматизации, таких как фишинговые наборы или боты Telegram, взлом сайтов и размещение на них вредоносного контента, а также перебор слабых паролей или использование утечки учетных данных для получения доступа к учетной записи администратора сайта.

Сайты WordPress особенно уязвимы для таких атак из-за большого количества сторонних плагинов, предназначенных для расширения функциональности этой популярной платформы. Регулярно обнаруживаются новые уязвимости, используемые хакерами, как в плагинах, так и в самом WordPress.

Для выявления фишинговых страниц, размещенных на взломанных сайтах, следует обратить внимание на несколько очевидных признаков: URL-адреса, содержащие такие папки, как /wp-content/, /wp-admin/ и /wp-includes/, а также веб-страницы с расширением .php. Кроме того, содержимое главной страницы может выглядеть не связанным с фишинговой страницей, а URL-адрес будет содержать правильное (или измененное) название сервиса, который мошенники пытаются имитировать, но это название не имеет ничего общего с названием самого сайта.

Такие данные, как учетные данные для входа на сайт, реквизиты банковской карты, включая CVV, или другая личная информация, в зависимости от типа мошенничества, будут сохранены в панели управления, если будут введены посетителем на поддельной странице. Если на сайте также установлена веб-оболочка и любой желающий может получить доступ к ее содержимому, то данные жертвы будут видны всем желающим.

#ParsedReport #CompletenessHigh
14-08-2023

Unwanted Guests: Mitigating Remote Access Trojan Infection Risk

https://www.uptycs.com/blog/remote-access-trojan-qwixx-telegram

Report completeness: High

Threats:
Telegramrat
Qwixxrat
Process_hacker_tool
Netstat_tool
Steamgrabber
Grabdesktop
Forkbomb

Industry:
Financial

Geo:
Russian

IOCs:
Hash: 2
File: 16
Url: 7
Domain: 1

Soft:
telegram, discord, virtualbox, chromium opera, epic privacy browser amigo vivaldi orbitum, kometa, torch, slimjet, maxthon3, nichrome, have more...

Crypto:
monero, ethereum, bitcoin

Algorithms:
zip

Functions:
GetModuleHandle, GetPropertyValue, GetSystemVersion, GetActiveWindowTitle, GetPasswords, GetCreditCards, GetHistory, GetBookmarks, GetCookies, GetDesktop, have more...

Win API:
MoveFile, CopyFile, MessageBox, BlockInput

Platforms:
x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: QwixxRAT - вредоносный троянец удаленного доступа, распространяемый через платформы Telegram и Discord и предназначенный для сбора обширной информации - от истории браузера и данных кредитных карт до сведений о клавиатурных ошибках. Он имеет 19 отдельных функций, включая функцию конфигурирования, механизм самоуничтожения, механизм мониторинга процессов, функцию обратного вызова клавиатурного крючка и механизм кражи cookie-файлов.
-----

QwixxRAT - вредоносный троянец удаленного доступа (RAT), недавно обнаруженный командой Uptycs Threat Research. Он распространяется через платформы Telegram и Discord, что позволяет злоумышленникам удаленно контролировать RAT и управлять его работой. QwixxRAT предназначен для сбора обширной информации - от историй браузеров и данных кредитных карт до сведений о клавиатурах, что делает его грозной угрозой. Угроза предлагает инструмент на продажу, указывая его стоимость, и дополнительно предоставляет ограниченную бесплатную версию.

Файл RAT представляет собой скомпилированный на языке C# двоичный файл, функционирующий как 32-разрядный исполняемый файл, предназначенный для работы на процессоре. Основная функция состоит из 19 отдельных функций, каждая из которых выполняет свою уникальную задачу. Она снабжена функцией конфигурирования, определяющей ее поведение на целевой машине, а также проверкой, работает ли текущее приложение в "песочнице". Кроме того, код содержит механизм самоуничтожения, механизм мониторинга процессов и функцию обратного вызова "клавиатурного крючка" для перехвата событий клавиатуры и записи их в файл. Кроме того, код выполняет функции механизма кражи cookie и поиска каталога установки Steam.

Не смотря на "перерыв", сам stealer вполне себе живет.
Если я правильно помню, то его код продавался, поэтому стиллером пользуются, пострадал только Maas-сервис, как я это понимаю.

Today Raccoon Stealer announced their return.

The Raccoon Stealer team informed us that the individual from their team arrested in October, 2022 was responsible for infrastructure. Following his arrest they decided to rebuild the entire infrastructure from scratch.

#ParsedReport #CompletenessLow
15-08-2023

Updated Kmsdx Binary Shows KmsdBot Is Targeting the IoT Landscape

https://www.akamai.com/blog/security-research/updated-kmsdbot-binary-targeting-iot

Report completeness: Low

Threats:
Kmsdbot

Victims:
Private gaming servers, cloud hosting providers, romanian government sites and spanish universities

Industry:
Entertainment, Iot, Government, Education

Geo:
Romanian, Spanish

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 11
Hash: 16

Soft:
hadoop, teamspeak, ubuntu

Functions:
main_telnet, main_isitfake

Platforms:
amd64, mips, arm, ppc64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Akamai SIRT занимается исследованием и документированием эволюции ботнетов, таких как KmsdBot, с целью информирования и защиты общественности. Недавнее обновление бинарного файла расширило его возможности и поверхность атаки, продемонстрировав тем самым, что IoT-устройства по-прежнему уязвимы в Интернете и что для защиты от таких атак необходимы строгие меры безопасности и регулярные обновления.
-----

Команда Akamai Security Intelligence Response Team (SIRT) отслеживает кампанию по борьбе с вредоносным ПО KmsdBot с ноября 2022 года и недавно обнаружила обновленный бинарный файл Kmsdx, нацеленный на устройства Интернета вещей (IoT). В новой версии появилась поддержка telnet-сканирования и большего числа процессорных архитектур, что расширило возможности и поверхность атаки. Эта вредоносная программа нацелена на частные игровые серверы, провайдеров облачного хостинга, а также некоторые правительственные и образовательные сайты.

Это вредоносное ПО представляет собой серьезную угрозу для Интернета и подтверждает необходимость регулярного принятия мер безопасности и обновления. Специалисты Akamai SIRT следили за кампанией ботнета Kmsdx и теперь обнаружили очередную ее эволюцию с добавлением IoT. Несмотря на то, что IoT существует уже несколько лет, это новое событие демонстрирует обширность угроз, исходящих от IoT.

Обновленный двоичный файл отвечает за проверку случайных IP-адресов на наличие открытых портов SSH и попытку входа в систему с помощью списка паролей, загруженного с сервера C2. Кроме того, в нем предусмотрена проверка легитимности IP-адреса на предмет его принадлежности к адресному пространству RFC 1918. Это придает проверке дополнительную глубину и указывает на то, что угроза может быть направлена на IoT-устройства, которые часто имеют списки прослушивания telnet и контроля доступа.

Благодаря этим обновлениям список двоичных файлов KmsdBot теперь охватывает большее количество процессорных архитектур, часто встречающихся в IoT-устройствах. Такое расширение говорит об успешности бот-сети, поскольку угрожающие субъекты не стали бы тратить время на ее частое обновление, если бы она не была эффективной.

Продолжающаяся деятельность вредоносной кампании KmsdBot свидетельствует о том, что IoT-устройства по-прежнему уязвимы в Интернете и являются привлекательными целями для создания сети зараженных систем. Это подчеркивает важность надежных мер безопасности и регулярных обновлений для защиты от подобных атак. Также необходимо проводить разъяснительную работу по вопросам IoT и угроз, которые они несут, поскольку случайный холодильник может легко стать невольным участником DDoS-атаки без ведома владельца.

Akamai SIRT занимается исследованием и документированием эволюции бот-сетей, таких как KmsdBot, с целью информирования и защиты общественности. Ознакомление с последними исследованиями в области безопасности позволяет людям оставаться в курсе событий и лучше подготовиться к противостоянию постоянно развивающимся угрозам, исходящим от вредоносных программ.

#ParsedReport #CompletenessLow
16-08-2023

Analysis of proxyjacking attacks against MS-SQL servers

https://asec.ahnlab.com/ko/56153

Report completeness: Low

Threats:
Proxyjacking_technique
Loveminer
Iproyal_pawns_tool
Peer2profit_tool
Traffmonetizer_tool
Proxyrack_tool
Packetstream_tool
Sqlshell_tool
Xmrig_miner
Dropper/win.proxyware.c5471194

Victims:
Ms-sql server

ChatGPT TTPs:
do not use without manual check
T1078, T1077, T1036, T1103, T1523, T1545, T1497, T1490

IOCs:
File: 13
Email: 1
Domain: 1
Hash: 8

Soft:
ms-sql

Functions:
p2p_start, GmpStart

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют простые пароли для получения доступа к незащищенным серверам MS-SQL и устанавливают вредоносные программы для кражи пропускной способности сети без согласия пользователя. Администраторы должны принимать превентивные меры для защиты сервера баз данных от атак и вредоносных кодов.
-----

Недавно Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) подтвердил факт атаки proxyjacking, направленной на неправильно управляемый сервер MS-SQL. Злоумышленники используют простые пароли для получения доступа к незащищенным серверам MS-SQL и устанавливают на них вредоносный код, например LoveMiner. Вредоносный код создается с использованием метода компиляции .NET Native AOT (ahead-of-time), что позволяет злоумышленнику красть пропускную способность сети без согласия пользователя.

В прошлом отчете Talos компании Cisco сообщалось о случае атаки Proxyjacking, которая устанавливается с помощью вредоносного кода, замаскированного под обычный установочный файл. Позже в блогах ASEC рассказывалось о рекламном ПО и атаках, направленных на неправильно управляемые серверы MS-SQL. Атаки Proxyjacking направлены не только на системы Windows, но и на системы Linux.

Злоумышленник LoveMiner атаковал некорректно управляемый MS-SQL-сервер с начала июня 2022 года и установил Proxyware от Peer2Profit под именем sdk.mdf. Вредоносный код использует CLR Assembly для загрузки Proxyware sdk.mdf и вызывает p2p_start(), экспортную функцию, для работы без ведома пользователя. При вызове p2p_start() в качестве фактора должен быть передан адрес электронной почты для получения прибыли, поэтому вредоносный код может проверить адрес электронной почты злоумышленника.

AhnLab Smart Defense (ASD) обнаруживает прокси-программу LoveMiner. LoveMiner подразделяется на CLR-сборку типа загрузчик и CLR-сборку типа загрузчик. Загрузчик отвечает за загрузку в память XMRig, хранящегося во внутреннем ресурсе gmp. Gmp также представляет собой настроенный XMRig и в начальной процедуре задает необходимую для майнинга информацию, например, адрес майнингового пула.

Недавно компания ASEC подтвердила, что злоумышленник LoveMiner создавал вредоносный код с именем winupdate0.mdf вместо sdk.mdf. Этот вредоносный код создается в методе компиляции .NET Native AOT, который напрямую компилирует .NET-код в нативный код, а не в CIL. Дроппер запускается косвенно с использованием warpstrat.dll вместо прямого запуска установленного Proxyware.

Первым делом устанавливается Traffmonetizer. Сначала злоумышленник создает по пути %APPDATA%\traffmonetizer\ файл settings.json, в котором хранится информация о токене злоумышленника. После этого создается файл s.zip, входящий в состав бинарного файла, и распаковывается по пути %APPDATA%\sraffzer\. В сжатом файле находятся программы Traffmonetizer, которые затем запускаются с помощью warpstrat. Если дважды щелкнуть по значку Traffmonetizer в трее, то можно проверить доход за последние 3 месяца.

IPRoyal Pawns - один из видов Proxyware, встречающийся в большинстве атак, в том числе и в прошлых случаях. Одной из особенностей IPRoyal Pawns является то, что при запуске Proxyware требуется ввести информацию об учетной записи. Это позволяет проверить адрес электронной почты и пароль злоумышленника в процессе установки. Proxyrack генерирует случайную строку в качестве device_id, запускает Proxyware с этим фактором, а затем регистрирует device_id в своей учетной записи на домашней странице для получения денег.

#ParsedReport #CompletenessLow
16-08-2023

Threat Actors Leverage Internet Services to Enhance Data Theft and Weaken Security Defenses

https://www.recordedfuture.com/threat-actors-leverage-internet-services-to-enhance-data-theft-and-weaken-security-defenses

Report completeness: Low

Soft:
telegram, discord

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что для борьбы с тенденцией злоупотребления злоумышленниками легитимными и злонамеренными интернет-сервисами организациям следует вкладывать ресурсы в понимание легитимного и злонамеренного использования интернет-сервисов и развивать комплексное представление о них для создания эффективных механизмов обнаружения и общей защиты.
-----

Использование легитимных интернет-сервисов (ЛИС) злоумышленниками - тенденция, которая набирает обороты, говорится в недавнем исследовании компании Insikt. В авангарде этой стратегии находятся группы, использующие перспективные постоянные угрозы (APT), их примеру следуют и другие, менее изощренные группы. Это подчеркивает необходимость адаптируемых стратегий защиты, которые развиваются в соответствии с меняющейся тактикой злоумышленников. Анализ более 400 семейств вредоносных программ показал, что 25% из них в той или иной мере используют LIS, причем 68,5% семейств используют более одного LIS. Инфозлоумышленники чаще всего используют LIS в связи с целями утечки данных и простотой создания инфраструктуры. Чаще всего злоупотребляют облачными платформами хранения данных, такими как Google Drive, а также приложениями для обмена сообщениями Telegram и Discord.

Для борьбы с этой тенденцией организациям следует вкладывать средства в понимание как легитимного, так и злонамеренного использования конкретных сервисов. Такое понимание будет способствовать разработке более эффективных и тонких методов обнаружения. Такие технологии, как перехват сети TLS, могут обеспечить лучшую видимость, однако они также создают проблемы с конфиденциальностью и соответствием нормативным требованиям. Необходимо также внедрять такие средства защиты, как блокирование или пометка вредоносного использования LIS, проактивный поиск угроз и использование разнообразных методов обнаружения.

Всестороннее понимание использования легитимных и вредоносных сервисов имеет решающее значение для создания эффективных механизмов обнаружения и общей защиты. Необходимость адаптации стратегий защиты к меняющейся тактике злоумышленников еще раз подчеркивается распространенностью злоупотребления LIS в устоявшихся семействах вредоносных программ, освоением этих методов новыми штаммами и быстрыми инновациями APT-групп. Следующий отчет из этой серии будет посвящен злоупотреблению конкретной категорией LIS, используемой в качестве вредоносной инфраструктуры.

#ParsedReport #CompletenessMedium
16-08-2023

ProxyNation: The dark nexus between proxy apps and malware

https://cybersecurity.att.com/blogs/labs-research/proxynation-the-dark-nexus-between-proxy-apps-and-malware

Report completeness: Medium

Actors/Campaigns:
Proxynation (motivation: financially_motivated)

Threats:
Darknexus_botnet
Adload_loader

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 1
Registry: 1
Path: 1
Url: 1
Hash: 38
Domain: 1

Soft:
macos, windows installer, windows setup

Algorithms:
sha256

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания AT&T Alien Labs обнаружила масштабную кампанию угроз, поставляющих приложение прокси-сервера на машины под управлением ОС Windows с вредоносными целями. Вредоносное ПО подписано, что позволяет ему оставаться незамеченным на операционных системах Windows, и монетизируется через партнерскую программу, увеличивающую распространение приложения. Для защиты от этих угроз пользователям следует сохранять бдительность и адаптивность, а также удалять объекты, связанные с полученными сведениями.
-----

Исследователи AT&T Alien Labs недавно обнаружили масштабную кампанию угроз, доставляющих на машины Windows приложение прокси-сервера. Эта полезная нагрузка используется компанией для взимания платы за прокси-сервис с трафика, проходящего через эти машины. Вредоносная программа написана на языке программирования Go и подписана, что позволяет ей оставаться незамеченной на операционных системах Windows. Прокси-приложение устанавливается без ведома и взаимодействия с пользователем, а монетизация прокси-сервиса осуществляется через партнерскую программу, что увеличивает скорость его распространения. Всего за одну неделю AT&T Alien Labs обнаружила в природе более тысячи новых образцов вредоносного ПО, распространяющих прокси-приложение.

Прокси-приложение поставляется в комплекте с Inno Setup и настроено на постоянство двумя способами. Оно постоянно собирает важную информацию с машины, включая список процессов, загрузку процессора, памяти и состояние батареи. Для получения дальнейших инструкций прокси связывается со своим командным портом 7001. Поскольку приложение прокси подписано, оно не имеет антивирусного обнаружения, оставаясь незамеченным для компаний, занимающихся безопасностью. Сайт прокси утверждает, что узлы выхода поступают только от пользователей, которые были проинформированы и дали согласие на использование своего устройства. Однако Alien Labs располагает данными о том, что авторы вредоносных программ бесшумно устанавливают прокси в зараженные системы, в результате чего появляется 400 тыс. прокси-ботов.

Этот вид киберугроз подчеркивает важность сохранения бдительности и адаптивности перед лицом постоянно развивающихся киберугроз. Создатели вредоносного ПО используют прокси-приложения в качестве выгодного вложения денег, чему способствуют партнерские программы. Эти прокси-приложения, скрытно устанавливаемые через заманчивые предложения или скомпрометированное программное обеспечение, служат каналами для несанкционированного получения финансовой выгоды. Чтобы удалить прокси-приложение из системы, удалите сущности, связанные с полученной информацией. Кроме того, следите за другими действиями, связанными с отчетом, обращаясь к OTX Pulse.

#ParsedReport #CompletenessMedium
16-08-2023

Hakuna Matata Ransomware Targeting Korean Companies

https://asec.ahnlab.com/en/56010

Report completeness: Medium

Threats:
Hakuna_matata
Clipbanker
Process_hacker_tool
Bulletspassview_tool
Passview_tool
Messenpass_tool
Routerpassview_tool
Vncpassview_tool
Dharma
Lolkek
Medusalocker
Ransomware/win.generic.c5463415

Victims:
Korean companies

Industry:
Financial, Petroleum

Geo:
Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 5
Command: 1
Email: 2
Coin: 1
Hash: 1

Soft:
windows security, bcdedit, mysql, thebat, thebat64, onenote, outlook, pccntmon, wordpad, defwatch, have more...

Crypto:
bitcoin

Algorithms:
zipx, lzma, aes-256, des, rsa-2048, cbc, aes

Win Services:
sqlwriter, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, agntsvc, infopath, synctime, tbirdconfig, isqlplussvc, have more...

Languages:
lua

Platforms:
x86, arm, intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Для атак на корейские компании с помощью протокола удаленного рабочего стола (RDP) и функции ClipBanker используется программа Hakuna Matata ransomware. Для защиты систем от атаки ransomware компаниям следует отключить RDP, использовать сложный пароль учетной записи, который периодически меняется, обновить V3 до последней версии, разработать политику безопасности с регулярным резервным копированием.
-----

Недавно компания ASEC обнаружила программу-вымогатель Hakuna Matata, используемую для атак на корейские компании. Первое сообщение о Hakuna Matata появилось 6 июля 2023 г. в Twitter, а 14 июля в "темной паутине" появилась информация об акторе угроз, продвигающем эту программу. Из всех штаммов ransomware, загруженных на VirusTotal, первым был подтвержден файл, загруженный 2 июля. Функция ClipBanker в этом вымогательском ПО остается в системе, чтобы изменить адрес Bitcoin-кошелька на адрес угрожающего агента. Предполагается, что вектором атаки был протокол удаленного рабочего стола (RDP), поскольку угрожающий агент удалил журнал событий и штаммы вредоносного ПО, использовавшиеся в атаке, а также постоянно выявлялись атаки грубой силы, оставляющие журналы отказов при входе в систему.

Угрожающий агент устанавливает штаммы вредоносного ПО в различные каталоги и инструменты для извлечения учетных данных. Эти учетные данные затем используются для латерального перемещения с целью шифрования как можно большего числа систем в сети. Hakuna Matata отключает процессы, связанные с базами данных и MS Office, и начинает шифровать файлы, регистрирует себя в Run Key и меняет фон рабочего стола. Записка с выкупом содержит контактную информацию и предупреждение об утечке информации, если пользователь не свяжется с исполнителем угрозы. Кроме того, в состав программы входит функция ClipBanker, которая сканирует буфер обмена и изменяет адрес любого кошелька Bitcoin на адрес кошелька угрожающего агента.

Внешние системы с включенным RDP будут постоянно подвергаться атакам злоумышленников. Чтобы предотвратить это, пользователям следует отключать RDP, когда он не используется, и использовать сложный пароль учетной записи, который периодически меняется. Обновление V3 до последней версии также поможет предотвратить заражение вредоносным ПО. В компаниях также должна быть разработана политика безопасности, направленная на борьбу с атаками вымогателей. Это включает в себя регулярное резервное копирование данных для обеспечения возможности восстановления файлов в случае атаки. Выполнение этих действий поможет компаниям защитить свои системы от атак программ-вымогателей.