#ParsedReport #CompletenessLow
23-08-2023

From Conti to Akira \| Decoding the Latest Linux & ESXi Ransomware Families

https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families

Report completeness: Low

Actors/Campaigns:
Vice_society

Threats:
Conti
Monti
Akira_ransomware
Trigona
Lockbit
Babuk
Hellokitty

Victims:
Educational institutions, financial, manufacturing, real estate, medical industries

Industry:
Healthcare, Financial

IOCs:
File: 2
Hash: 7

Soft:
esxi, esxcli

Algorithms:
exhibit

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что в последние годы наблюдается рост числа атак Linux ransomware, и организации должны сохранять бдительность и адаптивность своей защиты, чтобы защитить свои активы от этих атак.
-----

Рост числа программ-вымогателей для Linux - новая тенденция в кибернетических атаках. Операторы программ-вымогателей сокращают временные промежутки между выпусками полезной нагрузки и обеспечивают паритет функциональности различных платформ. Такие семейства вымогательского ПО, как Conti, Babuk и Lockbit, способны атаковать как Linux, так и среды VMWare ESXi. MONTI locker имеет историю, восходящую к середине 2022 года, с несколькими параметрами командной строки. Он способен обновлять файл MOTD, а после заражения серверы, зашифрованные MONTI Locker, будут отображать настроенную записку с выкупом. Akira ransomware - еще одно семейство, наблюдаемое с июня 2023 года. Оно известно как атакующее образовательные учреждения, а также предприятия финансовой, производственной, риэлторской и медицинской отраслей. Его часто узнают по брендингу и темам в ретро-стиле. Trigona - семейство вымогательских программ, впервые обнаруженное в июне 2022 года, имеет самый большой разрыв между выпуском оригинальной полезной нагрузки для Windows и версий вымогательских программ для Linux. В марте 2023 года появился Abyss Locker, агрессивно атакующий среды VMware ESXi.

#ParsedReport #CompletenessHigh
23-08-2023

Unveiling the Stealthy Exploitation of Microsoft CMSTP Using Malicious LNK Files

https://cyble.com/blog/unveiling-the-stealthy-exploitation-of-microsoft-cmstp-using-malicious-lnk-files

Report completeness: High

Threats:
Uac_bypass_technique
Invicta
Quantum_locker
Conduit
Redline_stealer
Blankgrabber
Blackgrabber
Netsupportmanager_rat

Industry:
Entertainment

TTPs:
Tactics: 8
Technics: 12

IOCs:
File: 3
Path: 1
Url: 7
Hash: 33

Soft:
discord, telegram, chromium

Algorithms:
aes, sha256, sha1

Languages:
python

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 5, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Субъекты киберугроз адаптируют свою тактику, чтобы остаться незамеченными, используют вредоносные LNK-файлы, cmstp.exe и другие инструменты для выполнения прокси и обхода UAC, а также развертывают Blank Grabber, RedLine Stealer и NetSupport Manager. Организациям и пользователям необходимо принять превентивные меры для снижения рисков, связанных с этими сложными атаками.
-----

Субъекты киберугроз постоянно адаптируют свою тактику, чтобы оставаться незамеченными. В одном из недавних случаев злоумышленники использовали Microsoft Connection Manager Profile Installer (CMSTP.exe) для выполнения прокси и обхода UAC. Цепочка заражения начиналась с распространения вредоносного .zip или .iso файла, содержащего .lnk файл, замаскированный под PDF, который запускал удаленный VBScript. VBScript инициировал загрузчик PowerShell, который впоследствии активировал загрузчик PowerShell. Тот, в свою очередь, передавал вредоносный .inf-файл, при выполнении которого запускалась полезная нагрузка.

Вредоносный .inf-файл использовался для использования cmstp.exe для выполнения прокси и обхода UAC. Он создавал INF-файл (Information), содержащий путь к полезной нагрузке вредоносного ПО, и инициировал его выполнение путем запуска процесса cmstp с аргументами /au и $InfFileLocation. В данном случае скрипт пытался использовать процесс cmstp для выполнения команд, не вызывая приглашения UAC.

В число полезных нагрузок, связанных с этой атакой, входят Blank Grabber, RedLine Stealer и NetSupport Manager. Blank Grabber - это кража с открытым исходным кодом на языке Python, сопровождаемая GUI-конструктором для создания полезной нагрузки кражи. Он оснащен множеством антивирусных функций, включая обфусцированный код, ложные ошибки и привязку EXE. Он способен перехватывать данные браузера, токены Discord, игровые сессии, пароли и cookies. RedLine Stealer - коммерческий InfoStealer, доступный на киберпреступных форумах, способный похищать данные и внедрять в операционные системы дополнительные вредоносные программы. Наконец, NetSupport Manager - коммерческая RAT (Remote Administration Tool), предназначенная для легитимного удаленного доступа администраторов к компьютерам пользователей, но часто используемая не по назначению.

Использование cmstp.exe для выполнения прокси и обхода UAC свидетельствует об адаптивности злоумышленников. Кроме того, на киберпреступных форумах появились такие инструменты, как Quantum Lnk Builder, генерирующие вредоносные LNK-файлы, что упрощает злоумышленникам процесс экспериментирования с различными техниками и развертывания атак разных типов. Несмотря на то что компания Microsoft объявила об отключении макросов по умолчанию в документах Office в начале 2022 года, угрозы перешли к использованию вредоносных LNK-файлов для получения первоначального доступа. Поэтому организациям и пользователям важно сохранять бдительность и принимать превентивные меры для снижения рисков, связанных с такими сложными атаками.

#ParsedReport #CompletenessLow
23-08-2023

Agniane Stealer: Dark Web s Crypto Threat

https://www.zscaler.com/blogs/security-research/agniane-stealer-dark-webs-crypto-threat

Report completeness: Low

Threats:
Agniane
Cinoshi
Easycrypter
Process_hacker_tool
Netstat_tool
Confuserex_tool

ChatGPT TTPs:
do not use without manual check
T1193, T1059.001, T1083, T1082, T1036, T1064, T1089, T1057, T1045, T1055, have more...

IOCs:
Url: 2
File: 6
Hash: 7

Soft:
telegram, discord, winscp, virtualbox, chromium, browserpass, authy, aegis, lastpass, keepass, have more...

Wallets:
tronlink, nifty, metamask, math_wallet, coinbase, binancechain, brave_wallet, guarda_wallet, equal_wallet, bitapp, have more...

Crypto:
ethereum

Algorithms:
base64, zip

Functions:
GetModuleHandle, GetPropertyValue, GetEnumerator

Win API:
CheckRemoteDebuggerPresent

Platforms:
x86

Links:
https://github.com/yck1509/ConfuserEx

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Agniane Stealer - это вредоносная платформа, способная похищать учетные данные, системную информацию и данные сеансов из браузеров, токенов и средств передачи файлов. Кроме того, она активно атакует криптовалютные расширения и кошельки и использует методы антианализа, чтобы избежать обнаружения. Он доступен для продажи на темных веб-форумах и представляет собой значительную угрозу в сфере кибербезопасности.
-----

Команда Zscaler ThreatLabz недавно обнаружила новое семейство похитителей информации: Agniane Stealer. Это вредоносное ПО является частью вредоносной платформы Cinoshi Project, которая была обнаружена в начале 2023 года. Agniane Stealer похищает учетные данные, системную информацию и сведения о сеансах работы с браузерами, токенами и средствами передачи файлов. Кроме того, он активно атакует криптовалютные расширения и кошельки и передает похищенные данные на командно-контрольные (C&C) серверы, где угрожающие лица могут действовать на основе похищенной информации. Agniane Stealer был доступен для продажи на нескольких форумах в "темной паутине" и с течением времени становится все более изощренным.

Agniane Stealer написан на языке C# и отлично криптован массовыми крипторами. Он поддерживает кражу паролей и cookies из браузеров, сбор сессий Telegram, токенов Discord, сессий Steam, сессий Winscp и Filezilla, сохранение скриншотов, сбор информации о компьютере жертвы, запрет запуска на виртуальных компьютерах, защиту от Virustotal, AnyRun, повторных логов и пустых логов, сбор файлов с рабочего стола и документов пользователя. Для поддержания и регулярного обновления функционала и средств уклонения вредоносная программа использует упаковщики.

Наша команда Zscaler ThreatLabZ наблюдала Agniane Stealer и его разновидности в природе. Мы заметили, что последняя версия Agniane Stealer использует ConfuserEx Protector и применяет больше методов обфускации по сравнению с предыдущей версией. Это затрудняет его обнаружение модулями безопасности. Помимо возможностей захвата форм, Agniane Stealer также использует качества клиппера для эксфильтрации криптовалютных данных с широкой поддержкой почти 70+ криптовалютных расширений и 10+ криптовалютных кошельков.

Agniane Stealer оснащен технологиями антианализа, которые помогают ему обнаруживать и избегать обнаружения. Он вызывает Windows API CheckRemoteDebuggerPresent, чтобы проверить, запущен ли он в отладчике, и в случае положительного ответа выходит из памяти. Он также использует WMI-запросы для определения того, запущен ли он в виртуальной среде. Agniane Stealer также пытается получить handle нескольких DLL с помощью функции GetModuleHandle, чтобы скрыть себя от возможного обнаружения. Кроме того, он получает от сервера данные о геолокации и завершает выполнение, если машина жертвы принадлежит хостинг-провайдеру.

Наконец, Agniane Stealer загружает все похищенные данные на удаленный сервер. После загрузки похищенных данных вредоносная программа удаляет свои следы из системы жертвы, удаляя вложенную папку. Agniane Stealer является грозным дополнением к арсеналу вредоносных программ Cinoshi Project и представляет собой серьезную угрозу в сфере кибербезопасности. Специалисты по безопасности должны сохранять бдительность, проводить постоянные исследования и мониторинг активности, чтобы не пропустить эту опасную вредоносную программу.

#ParsedReport #CompletenessHigh
23-08-2023

Malware-as-a-Service: Redline Stealer Variants Demonstrate a Low-Barrier-to-Entry Threat

https://blog.eclecticiq.com/redline-stealer-variants-demonstrate-a-low-barrier-to-entry-threat

Report completeness: High

Actors/Campaigns:
Dev-0960

Threats:
Redline_stealer
Timestomp_technique
Rig_tool

Industry:
Biotechnology, Financial

Geo:
Ukrainian, Finland, Asia, Ukraine, Austrian, Russia, Austria, Malaysian

TTPs:
Tactics: 6
Technics: 23

IOCs:
IP: 4
Hash: 20

Soft:
chrome, coowon, windows service, chatgpt

Wallets:
coinomi

Algorithms:
rc4, xor

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что Redline Stealer - это постоянно развивающееся семейство вредоносных программ, использующее различные методы обхода систем безопасности, а его последняя итерация автоматизирована с помощью бот-сетей. Командам безопасности рекомендуется в качестве лучшей практики пресекать тактику "жизни за счет земли", применяемую вредоносной программой.
-----

RedLine Stealer - семейство вредоносных программ, нацеленных на получение финансовой информации и выполнение разведывательных функций.

Он наблюдался в спам-кампании в период с апреля по август 2023 года.

Для борьбы с ним службам безопасности рекомендуется нарушить "тактику жизни за счет земли", применяемую вредоносным ПО.

Он использует обфускацию кода и ключи реестра для обеспечения постоянства, а также WMI для управления запросами к локальной системе и снятия отпечатков пальцев.

Командные и управляющие узлы были размещены в Австрии и Финляндии.

Она автоматизирована с помощью бот-сетей, а авторские права связаны с малазийской биотехнологической компанией.

Лучшим способом применения ресурсов безопасности для борьбы с этим вредоносным ПО является фокусировка на основных моделях развития вредоносного ПО и блокирование попыток вредоносного воздействия с помощью белых списков приложений и мониторинга процессов.

#ParsedReport #CompletenessLow
23-08-2023

Ransomware Roundup Trash Panda and A New Minor Variant of NoCry

https://www.fortinet.com/blog/threat-research/ransomware-roundup-trash-panda-and-nocry-variant

Report completeness: Low

Threats:
Raccoon_stealer
Nocry
Tron

Victims:
Compromised machines, private bank in india, purported cybersecurity company based in california

Industry:
Financial

Geo:
California, Malaysia, Czech, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1573.001, T1486, T1497

IOCs:
Domain: 1
File: 1
Hash: 2

Soft:
telegram

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление таких разновидностей программ-вымогателей, как Trash Panda и NoCry, подчеркивает важность сохранения бдительности в отношении угроз кибербезопасности и принятия мер по защите от вредоносного ПО. Компаниям следует задуматься о внедрении комплексного решения безопасности для защиты от угроз вымогательства.
-----

В последнее время специалисты FortiGuard Labs отмечают увеличение числа вариантов программ-вымогателей, таких как Trash Panda и новый минорный вариант NoCry. Trash Panda - это программа-вымогатель, которая работает на платформе Windows, шифрует файлы, заменяет обои рабочего стола и высылает записку с выкупом, содержащую политические сообщения. Неизвестно, какой вектор заражения использует данная программа, однако она была представлена публичным службам сканирования файлов из многих стран. Размер выкупа для Trash Panda указан как USDT-TRC20.

NoCry - это также программа-вымогатель, предназначенная для платформы Windows, впервые обнаруженная в апреле 2021 года. Она генерируется сборщиками NoCry ransomware и продается на канале Telegram. Новый минорный вариант NoCry был размещен на сайте с URL-адресом, содержащим название частного банка в Индии. При его запуске запускается командная строка, сообщающая о шифровании файлов, и добавляется расширение .monochromebear. Кроме того, в HTML-файле под названием How to Decrypt My Files.html содержится отдельная записка с требованием выкупа. На кошелек злоумышленника было совершено несколько транзакций, однако все поступившие платежи не превышали 50 USDT.

Появление таких вариантов вымогательского ПО, как Trash Panda и NoCry, подчеркивает важность сохранения бдительности в отношении угроз кибербезопасности. Несмотря на то что вектор заражения, используемый агентом угрозы Trash Panda, неизвестен, важно принимать меры по защите от вредоносного ПО. К ним относятся использование надежного антивирусного ПО, обновление систем, отказ от получения подозрительных ссылок и вложений. Кроме того, компаниям следует рассмотреть возможность внедрения комплексного решения безопасности, обеспечивающего защиту от программ-рансомов, например, пакета FortiGuard компании Fortinet.

Уже завтра OFFZONE 2023
Планирую быть, но без докладов :)

https://offzone.moscow/

#ParsedReport #CompletenessLow
24-08-2023

Tunnel Warfare: Exposing DNS Tunneling Campaigns using Generative Models CoinLoader Case Study

https://research.checkpoint.com/2023/tunnel-warfare-exposing-dns-tunneling-campaigns-using-generative-models-coinloader-case-study

Report completeness: Low

Actors/Campaigns:
Comment_crew

Threats:
Dns_tunneling_technique
Coinloader
Dnstunnelling_technique
Sunburst
Platypus
Dll_sideloading_technique
Junk_code_technique
Sandbox_evasion_technique
Steganography_technique

IOCs:
Domain: 20
File: 15
Hash: 2

Soft:
torch

Wallets:
harmony_wallet

Algorithms:
base64, zip, xor

Functions:
GetCurrentDirectoryW, Indirect, test_get_name

Win API:
OpenProcess, VirtualProtect, LoadLibraryExA, GlobalReAlloc, GlobalAlloc, CreateThread, GlobalSize, VirtualAlloc, CreateProcessA, LoadLibraryExW, have more...

Languages:
python

#ParsedReport #CompletenessMedium
24-08-2023

Cisco Talos Intelligence Blog. Lazarus Group exploits ManageEngine vulnerability to deploy QuiteRAT

https://blog.talosintelligence.com/lazarus-quiterat

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Magicrat
Beacon

Victims:
Internet backbone infrastructure provider, healthcare entities in europe and the united states

Industry:
Healthcare

Geo:
Korean

CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

TTPs:

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1204, T1132, T1053, T1059, T1055

IOCs:
Path: 4
Url: 4
IP: 1
File: 3
Command: 5
Hash: 1

Soft:
dot net, curl

Algorithms:
base64, xor

Languages:
java

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/upload/main/2023/08

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Lazarus Group активно разрабатывает новую вредоносную угрозу QuiteRAT, которая меньше и труднее обнаруживается, чем ее предшественник MagicRAT, что делает ее серьезной угрозой.
-----

Недавно компания Cisco Talos обнаружила, что северокорейский государственный агент Lazarus Group атакует магистральную инфраструктуру Интернета и медицинские учреждения в Европе и США. Это уже третья задокументированная кампания, приписываемая этой группе менее чем за год, причем используется одна и та же инфраструктура. Используя уязвимость ManageEngine ServiceDesk (CVE-2022-47966), злоумышленники развернули новую вредоносную программу, известную как QuiteRAT. Этот имплант обладает теми же возможностями, что и более известная вредоносная программа MagicRAT, однако размер его файла значительно меньше.

QuiteRAT - это троян удаленного доступа (RAT), использующий встроенные библиотеки Qt и не имеющий графического интерфейса пользователя. Конфигурационные строки кодируются с помощью XOR и base64-кодировки, а данные отправляются на командно-контрольные (C2) серверы с помощью HTTP GET VERB. Вредоносная программа может выполнять команду ping и способна принимать команду с кодом sendmail. Последняя версия MagicRAT была скомпилирована в апреле 2022 года. QuiteRAT - гораздо более компактная реализация, ее средний размер составляет около 4-5 МБ. Это объясняется тем, что Lazarus Group включила в QuiteRAT лишь несколько необходимых библиотек Qt, в отличие от MagicRAT, в который встроен весь фреймворк Qt.

Между этими имплантами есть сходство, указывающее на то, что QuiteRAT является производной от MagicRAT. Помимо того, что оба импланта построены на фреймворке Qt, они обладают одинаковыми возможностями, включая выполнение произвольных команд на зараженной системе. Оба импланта также используют кодировку base64 для обфускации своих строк с дополнительными мерами, такими как XOR или добавление жестко закодированных данных, чтобы затруднить автоматическое декодирование строк. Кроме того, оба импланта используют схожую функциональность, позволяющую им оставаться в "спящем" состоянии на конечной точке путем задания C2-сервером периода сна.

Небольшой размер и сложный код QuiteRAT затрудняют его обнаружение. Это увеличивает сложность кода вредоносной программы, затрудняя ее анализ человеком по сравнению с угрозами, созданными с использованием более простых языков программирования, таких как C/C++, DOT NET и т.д. Кроме того, поскольку Qt редко используется при разработке вредоносного ПО, обнаружение угроз такого типа с помощью машинного обучения и эвристического анализа менее надежно.

Очевидно, что Lazarus Group активно развивает quiteRAT для расширения возможностей своего вредоносного ПО. Имплант может получить постоянный доступ к скомпрометированным системам и еще больше усложнить попытки обнаружения и защиты от него. Исследователям безопасности следует продолжать следить за новыми разработками Lazarus Group и других государственных структур, чтобы быть готовыми к отражению любых угроз.

#ParsedReport #CompletenessMedium
24-08-2023

Why LaZagne Makes D-Bus API Vigilance Crucial

https://unit42.paloaltonetworks.com/lazagne-leverages-d-bus

Report completeness: Medium

Actors/Campaigns:
Teamtnt
Charming_kitten
Prying_libra
Lightbasin
Chimaera

Threats:
Lazagne_tool
Wildfire
Ransomexx

Industry:
Telco, Iot, Military

Geo:
Emea, Japan, Italian, Apac, Iranian, America, Japanese

IOCs:
File: 1
Hash: 3

Soft:
pidgin, systemd, qemu, wordpress, sudo

Algorithms:
sha256

Functions:
dbus_message_new_method_call, dbus_message_append_args, dbus_connection_send_with_reply_and_block, dbus_message_get_args, D-Bus

YARA: Found

Links:
https://github.com/AlessandroZ/LaZagne/blob/8c9f96237265251c2cb5dc24e1333a1d6559e797/Linux/lazagne/softwares/chats/pidgin.py
https://github.com/iovisor/bpftrace
https://github.com/AlessandroZ/LaZagne/tree/8c9f96237265251c2cb5dc24e1333a1d6559e797/Linux/lazagne/softwares/wallet

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники все чаще атакуют Linux-системы, поэтому разработчикам и специалистам по кибербезопасности необходимо быть в курсе рисков и принимать необходимые меры для защиты приложений и конфиденциальных пользовательских данных.
-----

Злоумышленники все чаще атакуют Linux-системы, а легкость доступа к популярному средству восстановления паролей с открытым исходным кодом, такому как LaZagne, делает его еще более удобным для использования злоумышленниками в цепочках атак для сброса паролей. LaZagne использует API-интерфейсы Pidgin D-Bus для извлечения конфиденциальной информации, такой как имена пользователей и пароли, а также может быть использован для дампа паролей KDE Wallet (KWallet). За последние годы различные киберпреступные группы использовали LaZagne в нескольких кампаниях. В 2019 году Agent Serpens использовал LaZagne для сбора учетных данных с систем на базе Windows, а в 2020 году CL-CRI-0025 использовал виртуальную машину Quick Emulator (QEMU) Linux, содержащую LaZagne, для атак на итальянские и европейские объекты. В 2021 году Adept Libra использовала LaZagne для кражи паролей с сайта WordPress в среде Kubernetes в рамках кампании Chimaera.

Растущая тенденция целенаправленных атак на Linux-системы заставляет разработчиков и специалистов по кибербезопасности быть в курсе этих рисков и принимать необходимые меры для защиты приложений и конфиденциальных пользовательских данных. Мониторинг API-интерфейсов D-Bus является разумным шагом в области безопасности и может стать важным способом минимизации рисков, связанных с вредоносным ПО и хакерскими инструментами.

#ParsedReport #CompletenessMedium
24-08-2023

The Tale of Two Exploits - Breaking Down CVE-2023-36884 and the Infection Chain

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/breaking-down-cve-2023-36884-and-the-infection-chain.html

Report completeness: Medium

Actors/Campaigns:
Dev-0978

Threats:
Follina_vuln
Impacket_tool
Secretsdump_tool

Industry:
Government, Entertainment

Geo:
America, Ukraine

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2022-37985 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 20h2, 21h1, 21h2)
- microsoft windows server 2008 (r2, -)
- microsoft windows 7 (-)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
have more...
CVE-2021-40444 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2023-30190 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...
CVE-2017-1099 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.3
X-Force: Patch: Official fix
Soft:
- ibm rational collaborative lifecycle management (6.0.3, 5.0, 4.0.4, 6.0.2, 4.0.6, 4.0, 4.0.5, 4.0.3, 5.0.1, 6.0.1, 5.0.2, 4.0.2, 6.0, 4.0.7)
- ibm rational quality manager (4.0.1, 4.0.4, 6.0.1, 6.0.3, 4.0.7, 4.0.3, 6.0.2, 4.0.5, 6.0, 5.0.2, 4.0.2, 4.0.6, 5.0, 4.0, 5.0.1)
- ibm rational team concert (6.0.1, 6.0, 4.0.5, 4.0, 6.0.2, 4.0.6, 4.0.4, 4.0.7, 5.0, 4.0.1, 4.0.2, 5.0.1, 6.0.3, 4.0.3, 5.0.2)
- ibm rational doors next generation (6.0.3, 6.0, 4.0.7, 4.0.5, 4.0, 4.0.1, 5.0, 4.0.2, 4.0.3, 5.0.1, 6.0.1, 6.0.2, 4.0.6, 5.0.2, 4.0.4)
- ibm rational engineering lifecycle manager (4.0, 6.0, 4.0.2, 4.0.4, 4.0.7, 4.0.1, 5.0.2, 6.0.3, 6.0.1, 4.0.3, 6.0.2, 5.0, 4.0.5, 5.0.1, 4.0.6)
have more...

IOCs:
File: 29
Hash: 22
IP: 1

Soft:
windows search, microsoft office, windows graphics component, smb server

Algorithms:
sha1

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, code: 7, dump: 2, windows: 2, table: 1, schema: 1

#ParsedReport #CompletenessMedium
24-08-2023

Raccoon Stealer Resurfaces with New Enhancements. The Latest Version

https://socradar.io/raccoon-stealer-resurfaces-with-new-enhancements

Report completeness: Medium

Threats:
Raccoon_stealer
Bazarbackdoor

Geo:
Netherlands

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 4
IP: 2
Domain: 1
Url: 9
Hash: 1

Crypto:
bitcoin

Algorithms:
sha256, sha1

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Raccoon Stealer - это мощная вредоносная программа, способная похищать данные более чем из 60 приложений и обладающая рядом функций, облегчающих просмотр и понимание динамики трафика. В настоящее время последняя версия вредоносной программы доступна для приобретения по цене 125 долл. в неделю или 275 долл. в месяц.
-----

Raccoon Stealer - это разновидность вредоносного ПО для похищения информации, впервые появившаяся в 2019 году. Он способен похищать данные из более чем 60 приложений и с тех пор доступен для приобретения по подписке. В октябре 2022 года основной создатель Racco Марк Соколовский был арестован в Нидерландах, а ФБР ликвидировало инфраструктуру, поддерживающую работу вредоносной программы как услуги. С тех пор разработчики Raccoon Stealer работали над новой версией, v2.3.0.1, которая была выпущена 15 августа 2023 года с некоторыми незначительными изменениями и улучшениями.

Новая версия Raccoon Stealer поставляется в формате исполняемого файла (EXE), который взаимодействует с сервером Command and Control (C&C) и передает системную информацию, cookies браузера, учетные данные и криптовалютные кошельки. Его можно идентифицировать по IoC, найденным в приложении платформы SOCRadar. Вредоносная программа доступна для продажи за 125 долл. в неделю или 275 долл. в месяц.

Разработчики Raccoon Stealer реализовали новую систему, которая автоматически распознает необычные паттерны активности, например, многократные обращения с одного IP-адреса или одного диапазона IP-адресов. Если система обнаруживает подозрительную активность, то все записи, связанные с этими журналами, удаляются, а информация автоматически обновляется на каждом клиентском планшете.

Вредоносная программа также оснащена функцией статистики, позволяющей просматривать страны-лидеры по количеству логов в разбивке на топ-20, топ-100 или весь список стран, что дает возможность получить как общее, так и детальное представление о географии трафика. Кроме того, в программе предусмотрены графики журналов, отображающие динамику активности по различным сборкам в зависимости от выбранного периода - за день, неделю, месяц или год. Таким образом, пользователь может легко просмотреть и понять динамику лог-потока, в том числе и то, откуда идет трафик, из каких сборок и стран.

В целом Raccoon Stealer представляет собой мощную вредоносную программу, способную похищать данные из более чем 60 приложений и обладающую рядом функций, облегчающих пользователям просмотр и понимание динамики трафика. В настоящее время последняя версия вредоносной программы доступна для приобретения по цене 125 долл. в неделю или 275 долл. в месяц.