#ParsedReport #CompletenessMedium
16-08-2023

Hakuna Matata Ransomware Targeting Korean Companies

https://asec.ahnlab.com/en/56010

Report completeness: Medium

Threats:
Hakuna_matata
Clipbanker
Process_hacker_tool
Bulletspassview_tool
Passview_tool
Messenpass_tool
Routerpassview_tool
Vncpassview_tool
Dharma
Lolkek
Medusalocker
Ransomware/win.generic.c5463415

Victims:
Korean companies

Industry:
Financial, Petroleum

Geo:
Korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 5
Command: 1
Email: 2
Coin: 1
Hash: 1

Soft:
windows security, bcdedit, mysql, thebat, thebat64, onenote, outlook, pccntmon, wordpad, defwatch, have more...

Crypto:
bitcoin

Algorithms:
zipx, lzma, aes-256, des, rsa-2048, cbc, aes

Win Services:
sqlwriter, sqbcoreservice, sqlagent, sqlbrowser, sqlservr, agntsvc, infopath, synctime, tbirdconfig, isqlplussvc, have more...

Languages:
lua

Platforms:
x86, arm, intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Для атак на корейские компании с помощью протокола удаленного рабочего стола (RDP) и функции ClipBanker используется программа Hakuna Matata ransomware. Для защиты систем от атаки ransomware компаниям следует отключить RDP, использовать сложный пароль учетной записи, который периодически меняется, обновить V3 до последней версии, разработать политику безопасности с регулярным резервным копированием.
-----

Недавно компания ASEC обнаружила программу-вымогатель Hakuna Matata, используемую для атак на корейские компании. Первое сообщение о Hakuna Matata появилось 6 июля 2023 г. в Twitter, а 14 июля в "темной паутине" появилась информация об акторе угроз, продвигающем эту программу. Из всех штаммов ransomware, загруженных на VirusTotal, первым был подтвержден файл, загруженный 2 июля. Функция ClipBanker в этом вымогательском ПО остается в системе, чтобы изменить адрес Bitcoin-кошелька на адрес угрожающего агента. Предполагается, что вектором атаки был протокол удаленного рабочего стола (RDP), поскольку угрожающий агент удалил журнал событий и штаммы вредоносного ПО, использовавшиеся в атаке, а также постоянно выявлялись атаки грубой силы, оставляющие журналы отказов при входе в систему.

Угрожающий агент устанавливает штаммы вредоносного ПО в различные каталоги и инструменты для извлечения учетных данных. Эти учетные данные затем используются для латерального перемещения с целью шифрования как можно большего числа систем в сети. Hakuna Matata отключает процессы, связанные с базами данных и MS Office, и начинает шифровать файлы, регистрирует себя в Run Key и меняет фон рабочего стола. Записка с выкупом содержит контактную информацию и предупреждение об утечке информации, если пользователь не свяжется с исполнителем угрозы. Кроме того, в состав программы входит функция ClipBanker, которая сканирует буфер обмена и изменяет адрес любого кошелька Bitcoin на адрес кошелька угрожающего агента.

Внешние системы с включенным RDP будут постоянно подвергаться атакам злоумышленников. Чтобы предотвратить это, пользователям следует отключать RDP, когда он не используется, и использовать сложный пароль учетной записи, который периодически меняется. Обновление V3 до последней версии также поможет предотвратить заражение вредоносным ПО. В компаниях также должна быть разработана политика безопасности, направленная на борьбу с атаками вымогателей. Это включает в себя регулярное резервное копирование данных для обеспечения возможности восстановления файлов в случае атаки. Выполнение этих действий поможет компаниям защитить свои системы от атак программ-вымогателей.

#ParsedReport #CompletenessLow
16-08-2023

Stories from the SOC - Unveiling the stealthy tactics of Aukill malware

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-silent-sabotage-unveiling-the-stealthy-tactics-of-aukill-malware

Report completeness: Low

Threats:
Aukill_tool
Medusalocker
Lockbit
Pchunter_tool
Dharma
Byovd_technique

Victims:
Home improvement business

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1022, T1036, T1546, T1485, T1497, T1496, T1543, T1574

IOCs:
Path: 1
File: 6

Soft:
process explorer, windows kernel, sysinternals

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Эта попытка атаки с использованием вымогательского ПО подчеркивает важность принятия мер по предотвращению получения злоумышленниками доступа к объекту и его компрометации.
-----

Злоумышленники пытались с помощью вредоносной программы AuKill отключить решение EDR SentinelOne на сервере печати клиента.

Злоумышленник ошибочно идентифицировал актив как контроллер домена (DC).

Злоумышленник использовал грубую силу для получения учетных данных локального администратора и доступа на уровне ядра.

Злоумышленник использовал PCHunter в качестве инструмента разведки.

Злоумышленник удалил теневые копии томов с сервера печати.

Злоумышленник заменил драйвер Process Explorer, PROCEXP152.sys, на устаревшую и уязвимую версию.

Злоумышленник нацелился на защищенные дескрипторы, связанные с процессами SentinelOne, запущенными на сервере печати.

Отсутствие признаков утечки или шифрования данных.

Клиент решил перестроить сервер печати и заново установить SentinelOne.

Обратите внимание, интересное исследование. Оно пересекается с тем, за что мы топим при очистке индикаторов.

#rstcloud
Внутренняя тула, которая берет выделенные слова/слово и проверят их по куче открытых Threat Intel порталов.
Экономит много времени, когда парсер TI-отчетов наталкивается на неизвестное название.

#technique

NoFilter - Abusing Windows Filtering Platform for Privilege Escalation

https://www.deepinstinct.com/blog/nofilter-abusing-windows-filtering-platform-for-privilege-escalation

#ParsedReport #CompletenessLow
17-08-2023

Gozi strikes again, targeting banks, cryptocurrency and more

https://securityintelligence.com/posts/gozi-strikes-again-targeting-banks-cryptocurrency-and-more

Report completeness: Low

Actors/Campaigns:
Sandworm (motivation: cyber_criminal)

Threats:
Gozi
76service_platform
Vawtrak
Zeus
Spyeye
Fake-trusteer

Victims:
Cryptocurrency exchange platforms, exchanges, wallets, and blockchain service providers

Industry:
Financial

Geo:
Romanian, Asia, Russian, Italian

ChatGPT TTPs:
do not use without manual check
T1113, T1036, T1078, T1205

IOCs:
Domain: 1
Url: 6
Hash: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа Gozi нацелена на банки, финансовые сервисы и криптовалютные платформы, поэтому важно обращать внимание на ссылки в электронной почте и проявлять осторожность при открытии вложений и переходе по ссылкам, чтобы не стать ее жертвой.-----

Gozi, также известная как Gozi CRM или Papras, - это разновидность вредоносного ПО, впервые появившаяся в 2006 году. Изначально она предлагалась в виде платформы "преступление как услуга" (CaaS) под названием 76Service и быстро приобрела известность благодаря своим расширенным возможностям. В 2010 году произошла утечка исходного кода конкретной версии библиотеки динамических связей (DLL) Gozi CRM, что позволило создать новые штаммы вредоносных программ, использующих кодовую базу Gozi. Со временем Gozi стали ассоциировать с другими штаммами вредоносных программ, такими как Ursnif (Snifula) и Vawtrak/Neverquest.

В последнее время, осознав прибыльность этих секторов, Gozi нацелилась на банки, финансовые услуги и криптовалютные платформы. Он может использовать учетные данные для входа на платформы обмена криптовалют, а также веб-инъекции для изменения содержимого легитимных сайтов, чтобы они казались подлинными для ничего не подозревающих пользователей. Азия является важным центром торговли и обмена криптовалютами, что делает ее привлекательной для киберпреступников.

#ParsedReport #CompletenessLow
17-08-2023

Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection

https://zimpstage.wpengine.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection

Report completeness: Low

Victims:
Android users

IOCs:
File: 26
Hash: 73

Soft:
android, apktool, macos

Algorithms:
sha1, zip

Win API:
Pie

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что выявлено более 3 тыс. вредоносных образцов Android, использующих технологии обхода обнаружения.
-----

Недавно было обнаружено более 3 тыс. вредоносных образцов Android, использующих различные технологии для обхода обнаружения. Эти образцы не доступны в Google Play Store и, скорее всего, распространяются через сторонние магазины или с помощью социальной инженерии/фишинговых атак. Многие из этих образцов содержат деформированные файлы AndroidManifest.xml и пулы строк, которые при разборе могут привести к сбоям в работе декомпилируемых инструментов с открытым исходным кодом, таких как Androguard.

В Android 4.3 и ниже код Java ZIP-обработки проверяет, является ли метод DEFLATE, и в случае несовпадения предполагает, что был использован метод STORED. Однако в версиях, превышающих Android 4.3, Android ZIP-обработка принимает метод сжатия за DEFLATE, если указанный метод не совпадает с STORED. Такое изменение в поведении позволяет корректно загружать вредоносные образцы в ОС Android.

#ParsedReport #CompletenessMedium
17-08-2023

PlayCrypt Ransomware Group Wreaks Havoc in Campaign Against Managed Service Providers

https://adlumin.com/post/playcrypt-ransomware

Report completeness: Medium

Threats:
Playcrypt
Havoc
Supply_chain_technique
Proxynotshell_vuln
Owassrf
Mimikatz_tool
Lolbin_technique

Victims:
Mid-market enterprises in the finance, software, legal, and shipping and logistics industries, as well as state, local, tribal and territorial (sltt) entities in the u.s., australia, u.k., and italy.

Industry:
Transport, Financial, Logistic

Geo:
Italy, Australia

CVEs:
CVE-2020-12812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- fortinet fortios (<6.2.4, 6.4.0, <6.0.10)

CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)


TTPs:
Tactics: 4
Technics: 0

Soft:
microsoft exchange server, windows registry, windows defender, psexec

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Adlumin обнаружила глобальную кампанию по борьбе с вымогательством с использованием сложной программы-вымогателя PlayCrypt, направленную на предприятия среднего бизнеса, организации SLTT и использующую межсетевые экраны FortiOS и другое программное обеспечение. В ответ на это компания Adlumin нейтрализовала угрозу, усилила защиту и выявила признаки компрометации, которые теперь служат защитой от будущих атак.
-----

Команда Adlumin Threat Research недавно обнаружила глобальную кампанию по борьбе с вымогательством, в которой используется сложная программа PlayCrypt ransomware. Эта программа связана с атакой на город Окленд в марте 2023 года и в настоящее время атакует предприятия среднего бизнеса, а также государственные, местные, племенные и территориальные организации (SLTT) в США, Австралии, Великобритании и Италии. Злоумышленники используют провайдеров управляемых услуг (MSP) этих предприятий, применяя в качестве векторов или точек входа в целевые системы такие технологии, как программное обеспечение для удаленного мониторинга и управления (RMM), которое обеспечивает полный административный доступ. Кроме того, злоумышленники используют межсетевые экраны FortiOS с уязвимостями 35-летней давности (CVE-2018-13379 и CVE-2020-12812), а также другое скомпрометированное программное обеспечение в цепочке поставок.

Код программы PlayCrypt ransomware сильно обфусцирован и демонстрирует устойчивость к типичным методам анализа. Кроме того, это первая группа ransomware, использующая прерывистое шифрование, при котором файлы частично шифруются фрагментами по 0x100000 байт в попытке избежать обнаружения. Кроме того, известно, что эта группа использует тактику двойного вымогательства, похищая данные жертв перед шифрованием их сетей. В последнее время он также расширил свой инструментарий новыми инструментами и эксплойтами, такими как ProxyNotShell, OWASSRF и удаленное выполнение кода Microsoft Exchange Server.

Для получения доступа к целевой системе злоумышленники используют Mimikatz для извлечения учетных данных и их использования для получения повышенных привилегий, что позволяет им перемещаться по сети и осуществлять эксфильтрацию данных. В ответ на этот инцидент компания Adlumin нейтрализовала угрозу, укрепила защитные системы и отменила использование сконструированных образцов вымогательского ПО PlayCrypt. В результате были обнаружены индикаторы компрометации (IOC), которые теперь служат защитой от будущих атак. Наличие таких индикаторов позволяет Adlumin гарантировать защиту данных клиентов и их приверженность принципам кибербезопасности.

#ParsedReport #CompletenessHigh
17-08-2023

Scattered Spider: The Modus Operandi

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/scattered-spider-the-modus-operandi.html

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: financially_motivated)
Muddled_libra (motivation: financially_motivated)

Threats:
Stonestop
Poortry
Anydesk_tool
Logmein_tool
Connectwise_rat
Credential_harvesting_technique
Blackcat
Supply_chain_technique
Powersploit
Linpeas_tool

Industry:
Entertainment, Financial, Telco, Bp_outsourcing

CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Unavailable
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)

CVE-2021-35464 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- forgerock am (<6.5.3)
- forgerock openam (<14.6.3)


TTPs:
Tactics: 2
Technics: 23

IOCs:
File: 5
Path: 1
Registry: 1
IP: 109
Hash: 5

Soft:
telegram, azure active directory

Algorithms:
sha256

Functions:
IOCTL

Languages:
java, javascript

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Scattered Spider - это передовая группа угроз, которая была замечена в атаках на организации критической инфраструктуры. Организациям следует принимать меры по обнаружению и предотвращению действий, связанных с Scattered Spider, например, регулярно обновлять программное обеспечение, использовать многофакторную аутентификацию, применять антивирусное/антивирусное ПО, внедрять средства контроля безопасности и т.д.
-----

Scattered Spider - финансово мотивированная группа угроз, действующая с мая 2022 года. Ее целью были телекоммуникационные компании и компании, занимающиеся аутсорсингом бизнес-процессов (BPO), а в последнее время она стала атаковать организации критической инфраструктуры. Для получения доступа группа использует различные тактики социальной инженерии, такие как фишинг в Telegram и SMS, подмена SIM-карт, усталость MFA и другие. В прошлом Scattered Spider была связана с несколькими фишинговыми кампаниями и развертыванием вредоносных драйверов ядра, включая подписанную, но вредоносную версию драйвера Intel Ethernet Diagnostics для Windows.

Группа использует различные уязвимости, включая CVE-2015-2291 и CVE-2021-35464, для развертывания вредоносных драйверов ядра и выполнения кода с повышенными привилегиями. Также были замечены случаи использования таких инструментов, как POORTRY и STONESTOP, для уничтожения защитного ПО и обхода обнаружения. В апреле 2023 года группа ALPHV (BlackCat) использовала обновленную версию POORTRY для компрометации американского платежного гиганта NCR, что привело к сбою в работе его платформы Aloha point of sale.

#ParsedReport #CompletenessMedium
17-08-2023

Chinese Entanglement \| DLL Hijacking in the Asian Gambling Sector

https://www.sentinelone.com/labs/chinese-entanglement-dll-hijacking-in-the-asian-gambling-sector

Report completeness: Medium

Actors/Campaigns:
Bronze_starlight (motivation: cyber_espionage, politically_motivated)
Chattygoblin
Stone_panda (motivation: cyber_espionage)
Ta410 (motivation: cyber_espionage)
A41apt (motivation: cyber_espionage)

Threats:
Dll_hijacking_technique
Cobalt_strike
Beacon
Hui_loader
Atomsilo
Nightsky
Lockbit
Pandora

Victims:
Gambling companies in the philippines, southeast asian gambling sector

Industry:
Government

Geo:
Philippines, Chinese, Germany, Singapore, Asia, China, France, India, Canada, Russia, Japanese, Asian

IOCs:
Domain: 15
File: 4
Hash: 12
Path: 1
Coin: 2
IP: 3
Url: 2

Soft:
microsoft edge, sharpunhooker

Algorithms:
zip, sha1

Win API:
LockFile

Links:
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/normal/office365\_calendar.profile
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/normal/gotomeeting.profile
https://github.com/GetRektBoy724/SharpUnhooker

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания SentinelLabs выявила предполагаемую китайскую вредоносную программу и инфраструктуру в рамках операций, направленных на сектор азартных игр в Юго-Восточной Азии, за которыми, вероятно, стоит связанная с Китаем группировка BRONZE STARLIGHT. Угрожающие кибершпионажу китайские злоумышленники делились вредоносным ПО, инфраструктурой и оперативной тактикой в прошлом и продолжают это делать, что затрудняет атрибуцию.
-----

Компания SentinelLabs выявила предположительно китайское вредоносное ПО и инфраструктуру в рамках операций, направленных на игорный сектор Юго-Восточной Азии. Угрожающие субъекты используют уязвимые исполняемые файлы Adobe Creative Cloud, Microsoft Edge и McAfee VirusScan для установки маяков Cobalt Strike. Индикаторы указывают на связанную с Китаем группировку BRONZE STARLIGHT, однако точная группировка остается неясной из-за взаимосвязи между различными китайскими APT-группировками.

Команда T5 сообщила о политических мотивах участия BRONZE STARLIGHT в игорном секторе Юго-Восточной Азии. В марте 2023 года компания ESET сообщила об атаке, связанной с ChattyGoblin, которая, вероятно, была приписана этой группе. Атака была связана с троянским приложением LiveHelp100, которое загружало загрузчик вредоносного ПО .NET под названием agentupdate_plugins.exe . Впоследствии SentinelLabs обнаружила родственные загрузчики вредоносного ПО, которые, по их мнению, являлись частью одного и того же кластера активности.

zip-архивы, загружаемые с помощью agentupdate_plugins.exe и AdventureQuest.exe, содержат возможности боковой загрузки, причем вредоносные библиотеки DLL маскируются под свои легитимные аналоги. Эти DLL экспортируют функции с одинаковыми именами, так что при их вызове легитимными исполняемыми файлами происходит расшифровка и выполнение кода, встроенного в файлы данных. Файлы данных реализовывали маячки Cobalt Strike, используя C2-домены 100helpchat.com и live100heip.com.

AdventureQuest.exe подписан сертификатом, выданным поставщику Ivacy VPN компании PMG PTE LTD. Вероятно, ключ подписи был украден - этот прием хорошо знаком известным китайским угрозам и позволяет им подписывать вредоносные программы. Вредоносные библиотеки DLL libcef.dll, msedge_elf.dll и LockDown.dll, распространяемые с помощью agentupdate_plugins.exe и AdventureQuest.exe, являются вариантами HUI Loader - пользовательского загрузчика вредоносного ПО, используемого несколькими китайскими группировками.

Варианты HUI Loader были обнаружены в ходе нескольких кибершпионажных операций, приписываемых группам APT10, TA410 и BRONZE STARLIGHT. Эти варианты также использовались в операциях с семействами вымогательских программ LockFile, AtomSilo, NightSky, LockBit 2.0 и Pandora, которые компания Secureworks приписывает BRONZE STARLIGHT. C2 GET и POST URI Cobalt Strike, связанные с доменом duckducklive.top операции ChattyGoblin, похожи на те, что наблюдались в операциях AtomSilo, Night Sky и Pandora, приписываемых BRONZE STARLIGHT.

Рассмотренные действия иллюстрируют сложную природу китайской угрозы. Китайские угрозы кибершпионажа постоянно обменивались вредоносным ПО, инфраструктурой и операционными тактиками в прошлом и продолжают это делать, совершенствуя свои операционные тактики, чтобы не допустить четкой атрибуции. Анализ SentinelLabs показывает, что сектор азартных игр в Юго-Восточной Азии находится в фокусе интересов Китая и что за его целевыми операциями, скорее всего, стоит BRONZE STARLIGHT.

#ParsedReport #CompletenessLow
17-08-2023

Tracking Adversaries: Scattered Spider, the BlackCat affiliate

https://blog.bushidotoken.net/2023/08/tracking-adversaries-scattered-spider.html

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft)

Threats:
Blackcat
Byovd_technique
Blacklotus
Poortry
Credential_harvesting_technique

Geo:
Canadian

IOCs:
Hash: 1
Domain: 2

Wallets:
coinbase

Algorithms:
zip

Links:
https://github.com/BushidoUK/BushidoUK/blob/master/ScatteredSpider\_0ktapus\_Talk%20FINAL.pdf

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Scattered Spider, предполагаемая англоязычная киберпреступная группировка, занимающаяся охотой на крупную дичь, объединилась с русскоязычной группировкой, известной как BlackCat, и подозревается в проведении атак типа "ransomware-as-a-service". Это тревожная тенденция, свидетельствующая о растущей изощренности и возможностях киберпреступных групп.
-----

Ландшафт киберпреступных угроз постоянно меняется и развивается, и за последние четыре года было замечено нечто новое - предполагаемая англоязычная группа киберпреступников, охотящаяся на крупную дичь, отслеживаемая CrowdStrike как Scattered Spider или Group-IB как 0ktapus, объединилась с русскоязычной группой разработчиков вымогательского ПО, известной как BlackCat (или ALPHV).

Группа Scattered Spider известна своим уникальным стилем атак, которые обычно начинаются либо с SMS-фишинга для сбора учетных данных, либо с вишинг-звонка с использованием социальной инженерии, чтобы получить учетные данные или заставить цель загрузить вредоносное ПО и предоставить доступ. Группа также использует многофакторную аутентификацию (MFA), рассылающую уведомления о запросе аутентификации на устройство пользователя до тех пор, пока он не согласится. Также используется подмена SIM-карт, в результате которой оператор мобильной связи объекта атаки обманом заставляет его предоставить доступ к SIM-карте.

Кроме того, Scattered Spider использует различные методы обхода защиты, такие как эксплойт bring-your-own-vulnerable-driver (BYOVD) и вредоносные драйверы, подписанные Microsoft, а также использует UEFI Bootkit под названием BlackLotus, который продается в киберпреступном подполье как готовое вредоносное ПО. Для командно-административного управления (C2) группа использует целый ряд легальных коммерческих программ для манипулирования целевыми системами, часто в том числе и с помощью бесплатных пробных версий.

Scattered Spider отслеживается под несколькими криптонимами различными поставщиками средств кибербезопасности Group-IB называет его 0ktapus, Mandiant - UNC3944, а Microsoft - Storm-0875. До недавнего времени эта группа была известна в основном вымогательством данных без внедрения выкупного ПО. Два наиболее ярких примера - атаки на Riot Games в январе 2023 года и Reddit в феврале 2023 года. Однако теперь есть несколько оснований полагать, что Scattered Spider пошла на поводу у группы BlackCat (ALPHV), занимающейся вымогательством вымогательского ПО как услуги (RaaS).

Это включает в себя временной, технический и поведенческий анализ. Связи, имеющиеся в открытых источниках (OSINT) между Scattered Spider и BlackCat, следующие: После взлома Reddit в феврале 2023 года сайт утечки данных BlackCat в июне 2023 года указал Reddit в качестве жертвы. Угрожающий агент, написавший сообщение об утечке в блоге BlackCat, также заявил, что операторы проникли на Reddit 5 февраля 2023 года и забрали 80 гигабайт данных (в формате zip). В мае 2023 года исследователи Trend Micro обнаружили, что некий филиал BlackCat использовал для обхода защиты идентичный драйвер с подписью Microsoft и тем же файл-хэшем (MD5: 909f3fc221acbe999483c87d9ead024a). В июле 2023 года Канадский центр кибербезопасности (Canadian Center for Cyber Security, CCCS) распространил комплексное оповещение об атаках BlackCat (ALPHV) на канадские организации, в котором описывались очень знакомые приемы работы Scattered Spider.

Технические, поведенческие и временные совпадения между Scattered Spider и последней партнерской кампанией BlackCat многочисленны, и, судя по всему, из-за непостоянного характера кампаний Scattered Spider до начала 2023 г. группа решила сменить тактику и присоединиться к русскоязычному сообществу киберпреступников - операторов программ-вымогателей. Это тревожная тенденция, свидетельствующая о растущей изощренности и возможностях киберпреступных групп, а также о необходимости для организаций сохранять бдительность в условиях постоянно меняющегося ландшафта киберпреступных угроз.

#ParsedReport #CompletenessLow
17-08-2023

Over 3,000 Android Malware Samples Using Multiple Techniques to Bypass Detection

https://www.zimperium.com/blog/over-3000-android-malware-samples-using-multiple-techniques-to-bypass-detection

Report completeness: Low

Victims:
Android os, Google playstore, Users

IOCs:
File: 26
Hash: 73

Soft:
android, macos

Algorithms:
sha1, zip

Win API:
Pie

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи компании Zimperium выявили более 3000 вредоносных приложений для Android, использующих различные технологии для обхода обнаружения.
-----

Недавно исследователи компании Zimperium выявили более 3000 вредоносных приложений для Android, использующих различные методы обхода обнаружения. Эти вредоносные программы используют различные методы, включая манипуляции с кодом Java ZIP-обработки, деформированные файлы AndroidManifest.xml и деформированные заголовки String Pool.

В версиях Android, предшествующих 4.3, код обработки ZIP в Java проверяет только наличие метода DEFLATE. Если указан другой метод, то предполагается, что вместо него использован метод STORED. Однако в версиях Android 4.3 и выше код обработки ZIP предполагает, что метод сжатия - DEFLATE, независимо от указанного метода.

Кроме того, вредоносные приложения часто содержат искаженный файл AndroidManifest.xml, в котором содержится завуалированная информация о приложении. Это может привести к аварийному завершению работы декомпиляторов с открытым исходным кодом, таких как Androguard, при попытке разобрать AndroidManifest. Наконец, вредоносные приложения также содержат деформированные заголовки пула строк, содержащие данные, которые ОС Android все же способна правильно загрузить.

На данный момент нет никаких доказательств того, что какое-либо из выявленных вредоносных приложений когда-либо было доступно в магазине Google Play. Вероятно, эти приложения распространялись через сторонние магазины или путем обмана пользователей, заставляя их загружать приложение с боковой стороны с помощью фишинга или атак социальной инженерии.