#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что Redline Stealer - это постоянно развивающееся семейство вредоносных программ, использующее различные методы обхода систем безопасности, а его последняя итерация автоматизирована с помощью бот-сетей. Командам безопасности рекомендуется в качестве лучшей практики пресекать тактику "жизни за счет земли", применяемую вредоносной программой.
-----

RedLine Stealer - семейство вредоносных программ, нацеленных на получение финансовой информации и выполнение разведывательных функций.

Он наблюдался в спам-кампании в период с апреля по август 2023 года.

Для борьбы с ним службам безопасности рекомендуется нарушить "тактику жизни за счет земли", применяемую вредоносным ПО.

Он использует обфускацию кода и ключи реестра для обеспечения постоянства, а также WMI для управления запросами к локальной системе и снятия отпечатков пальцев.

Командные и управляющие узлы были размещены в Австрии и Финляндии.

Она автоматизирована с помощью бот-сетей, а авторские права связаны с малазийской биотехнологической компанией.

Лучшим способом применения ресурсов безопасности для борьбы с этим вредоносным ПО является фокусировка на основных моделях развития вредоносного ПО и блокирование попыток вредоносного воздействия с помощью белых списков приложений и мониторинга процессов.

#ParsedReport #CompletenessLow
23-08-2023

Ransomware Roundup Trash Panda and A New Minor Variant of NoCry

https://www.fortinet.com/blog/threat-research/ransomware-roundup-trash-panda-and-nocry-variant

Report completeness: Low

Threats:
Raccoon_stealer
Nocry
Tron

Victims:
Compromised machines, private bank in india, purported cybersecurity company based in california

Industry:
Financial

Geo:
California, Malaysia, Czech, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1573.001, T1486, T1497

IOCs:
Domain: 1
File: 1
Hash: 2

Soft:
telegram

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление таких разновидностей программ-вымогателей, как Trash Panda и NoCry, подчеркивает важность сохранения бдительности в отношении угроз кибербезопасности и принятия мер по защите от вредоносного ПО. Компаниям следует задуматься о внедрении комплексного решения безопасности для защиты от угроз вымогательства.
-----

В последнее время специалисты FortiGuard Labs отмечают увеличение числа вариантов программ-вымогателей, таких как Trash Panda и новый минорный вариант NoCry. Trash Panda - это программа-вымогатель, которая работает на платформе Windows, шифрует файлы, заменяет обои рабочего стола и высылает записку с выкупом, содержащую политические сообщения. Неизвестно, какой вектор заражения использует данная программа, однако она была представлена публичным службам сканирования файлов из многих стран. Размер выкупа для Trash Panda указан как USDT-TRC20.

NoCry - это также программа-вымогатель, предназначенная для платформы Windows, впервые обнаруженная в апреле 2021 года. Она генерируется сборщиками NoCry ransomware и продается на канале Telegram. Новый минорный вариант NoCry был размещен на сайте с URL-адресом, содержащим название частного банка в Индии. При его запуске запускается командная строка, сообщающая о шифровании файлов, и добавляется расширение .monochromebear. Кроме того, в HTML-файле под названием How to Decrypt My Files.html содержится отдельная записка с требованием выкупа. На кошелек злоумышленника было совершено несколько транзакций, однако все поступившие платежи не превышали 50 USDT.

Появление таких вариантов вымогательского ПО, как Trash Panda и NoCry, подчеркивает важность сохранения бдительности в отношении угроз кибербезопасности. Несмотря на то что вектор заражения, используемый агентом угрозы Trash Panda, неизвестен, важно принимать меры по защите от вредоносного ПО. К ним относятся использование надежного антивирусного ПО, обновление систем, отказ от получения подозрительных ссылок и вложений. Кроме того, компаниям следует рассмотреть возможность внедрения комплексного решения безопасности, обеспечивающего защиту от программ-рансомов, например, пакета FortiGuard компании Fortinet.

Уже завтра OFFZONE 2023
Планирую быть, но без докладов :)

https://offzone.moscow/

#ParsedReport #CompletenessLow
24-08-2023

Tunnel Warfare: Exposing DNS Tunneling Campaigns using Generative Models CoinLoader Case Study

https://research.checkpoint.com/2023/tunnel-warfare-exposing-dns-tunneling-campaigns-using-generative-models-coinloader-case-study

Report completeness: Low

Actors/Campaigns:
Comment_crew

Threats:
Dns_tunneling_technique
Coinloader
Dnstunnelling_technique
Sunburst
Platypus
Dll_sideloading_technique
Junk_code_technique
Sandbox_evasion_technique
Steganography_technique

IOCs:
Domain: 20
File: 15
Hash: 2

Soft:
torch

Wallets:
harmony_wallet

Algorithms:
base64, zip, xor

Functions:
GetCurrentDirectoryW, Indirect, test_get_name

Win API:
OpenProcess, VirtualProtect, LoadLibraryExA, GlobalReAlloc, GlobalAlloc, CreateThread, GlobalSize, VirtualAlloc, CreateProcessA, LoadLibraryExW, have more...

Languages:
python

#ParsedReport #CompletenessMedium
24-08-2023

Cisco Talos Intelligence Blog. Lazarus Group exploits ManageEngine vulnerability to deploy QuiteRAT

https://blog.talosintelligence.com/lazarus-quiterat

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Magicrat
Beacon

Victims:
Internet backbone infrastructure provider, healthcare entities in europe and the united states

Industry:
Healthcare

Geo:
Korean

CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

TTPs:

ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1204, T1132, T1053, T1059, T1055

IOCs:
Path: 4
Url: 4
IP: 1
File: 3
Command: 5
Hash: 1

Soft:
dot net, curl

Algorithms:
base64, xor

Languages:
java

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/upload/main/2023/08

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Lazarus Group активно разрабатывает новую вредоносную угрозу QuiteRAT, которая меньше и труднее обнаруживается, чем ее предшественник MagicRAT, что делает ее серьезной угрозой.
-----

Недавно компания Cisco Talos обнаружила, что северокорейский государственный агент Lazarus Group атакует магистральную инфраструктуру Интернета и медицинские учреждения в Европе и США. Это уже третья задокументированная кампания, приписываемая этой группе менее чем за год, причем используется одна и та же инфраструктура. Используя уязвимость ManageEngine ServiceDesk (CVE-2022-47966), злоумышленники развернули новую вредоносную программу, известную как QuiteRAT. Этот имплант обладает теми же возможностями, что и более известная вредоносная программа MagicRAT, однако размер его файла значительно меньше.

QuiteRAT - это троян удаленного доступа (RAT), использующий встроенные библиотеки Qt и не имеющий графического интерфейса пользователя. Конфигурационные строки кодируются с помощью XOR и base64-кодировки, а данные отправляются на командно-контрольные (C2) серверы с помощью HTTP GET VERB. Вредоносная программа может выполнять команду ping и способна принимать команду с кодом sendmail. Последняя версия MagicRAT была скомпилирована в апреле 2022 года. QuiteRAT - гораздо более компактная реализация, ее средний размер составляет около 4-5 МБ. Это объясняется тем, что Lazarus Group включила в QuiteRAT лишь несколько необходимых библиотек Qt, в отличие от MagicRAT, в который встроен весь фреймворк Qt.

Между этими имплантами есть сходство, указывающее на то, что QuiteRAT является производной от MagicRAT. Помимо того, что оба импланта построены на фреймворке Qt, они обладают одинаковыми возможностями, включая выполнение произвольных команд на зараженной системе. Оба импланта также используют кодировку base64 для обфускации своих строк с дополнительными мерами, такими как XOR или добавление жестко закодированных данных, чтобы затруднить автоматическое декодирование строк. Кроме того, оба импланта используют схожую функциональность, позволяющую им оставаться в "спящем" состоянии на конечной точке путем задания C2-сервером периода сна.

Небольшой размер и сложный код QuiteRAT затрудняют его обнаружение. Это увеличивает сложность кода вредоносной программы, затрудняя ее анализ человеком по сравнению с угрозами, созданными с использованием более простых языков программирования, таких как C/C++, DOT NET и т.д. Кроме того, поскольку Qt редко используется при разработке вредоносного ПО, обнаружение угроз такого типа с помощью машинного обучения и эвристического анализа менее надежно.

Очевидно, что Lazarus Group активно развивает quiteRAT для расширения возможностей своего вредоносного ПО. Имплант может получить постоянный доступ к скомпрометированным системам и еще больше усложнить попытки обнаружения и защиты от него. Исследователям безопасности следует продолжать следить за новыми разработками Lazarus Group и других государственных структур, чтобы быть готовыми к отражению любых угроз.

#ParsedReport #CompletenessMedium
24-08-2023

Why LaZagne Makes D-Bus API Vigilance Crucial

https://unit42.paloaltonetworks.com/lazagne-leverages-d-bus

Report completeness: Medium

Actors/Campaigns:
Teamtnt
Charming_kitten
Prying_libra
Lightbasin
Chimaera

Threats:
Lazagne_tool
Wildfire
Ransomexx

Industry:
Telco, Iot, Military

Geo:
Emea, Japan, Italian, Apac, Iranian, America, Japanese

IOCs:
File: 1
Hash: 3

Soft:
pidgin, systemd, qemu, wordpress, sudo

Algorithms:
sha256

Functions:
dbus_message_new_method_call, dbus_message_append_args, dbus_connection_send_with_reply_and_block, dbus_message_get_args, D-Bus

YARA: Found

Links:
https://github.com/AlessandroZ/LaZagne/blob/8c9f96237265251c2cb5dc24e1333a1d6559e797/Linux/lazagne/softwares/chats/pidgin.py
https://github.com/iovisor/bpftrace
https://github.com/AlessandroZ/LaZagne/tree/8c9f96237265251c2cb5dc24e1333a1d6559e797/Linux/lazagne/softwares/wallet

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники все чаще атакуют Linux-системы, поэтому разработчикам и специалистам по кибербезопасности необходимо быть в курсе рисков и принимать необходимые меры для защиты приложений и конфиденциальных пользовательских данных.
-----

Злоумышленники все чаще атакуют Linux-системы, а легкость доступа к популярному средству восстановления паролей с открытым исходным кодом, такому как LaZagne, делает его еще более удобным для использования злоумышленниками в цепочках атак для сброса паролей. LaZagne использует API-интерфейсы Pidgin D-Bus для извлечения конфиденциальной информации, такой как имена пользователей и пароли, а также может быть использован для дампа паролей KDE Wallet (KWallet). За последние годы различные киберпреступные группы использовали LaZagne в нескольких кампаниях. В 2019 году Agent Serpens использовал LaZagne для сбора учетных данных с систем на базе Windows, а в 2020 году CL-CRI-0025 использовал виртуальную машину Quick Emulator (QEMU) Linux, содержащую LaZagne, для атак на итальянские и европейские объекты. В 2021 году Adept Libra использовала LaZagne для кражи паролей с сайта WordPress в среде Kubernetes в рамках кампании Chimaera.

Растущая тенденция целенаправленных атак на Linux-системы заставляет разработчиков и специалистов по кибербезопасности быть в курсе этих рисков и принимать необходимые меры для защиты приложений и конфиденциальных пользовательских данных. Мониторинг API-интерфейсов D-Bus является разумным шагом в области безопасности и может стать важным способом минимизации рисков, связанных с вредоносным ПО и хакерскими инструментами.

#ParsedReport #CompletenessMedium
24-08-2023

The Tale of Two Exploits - Breaking Down CVE-2023-36884 and the Infection Chain

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/breaking-down-cve-2023-36884-and-the-infection-chain.html

Report completeness: Medium

Actors/Campaigns:
Dev-0978

Threats:
Follina_vuln
Impacket_tool
Secretsdump_tool

Industry:
Government, Entertainment

Geo:
America, Ukraine

CVEs:
CVE-2022-30190 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1809, 20h2, 21h1, 21h2)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-)
- microsoft windows server 2008 (-, r2)
have more...
CVE-2022-37985 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.5
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (-, 1607, 1809, 20h2, 21h1, 21h2)
- microsoft windows server 2008 (r2, -)
- microsoft windows 7 (-)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
have more...
CVE-2021-40444 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004, 20h2, 21h1)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.3
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)
- microsoft windows 7 (*)
- microsoft windows server 2008 (r2, *)
- microsoft windows vista (*)
- microsoft windows server 2012 (-)
have more...
CVE-2023-30190 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...
CVE-2017-1099 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 4.3
X-Force: Patch: Official fix
Soft:
- ibm rational collaborative lifecycle management (6.0.3, 5.0, 4.0.4, 6.0.2, 4.0.6, 4.0, 4.0.5, 4.0.3, 5.0.1, 6.0.1, 5.0.2, 4.0.2, 6.0, 4.0.7)
- ibm rational quality manager (4.0.1, 4.0.4, 6.0.1, 6.0.3, 4.0.7, 4.0.3, 6.0.2, 4.0.5, 6.0, 5.0.2, 4.0.2, 4.0.6, 5.0, 4.0, 5.0.1)
- ibm rational team concert (6.0.1, 6.0, 4.0.5, 4.0, 6.0.2, 4.0.6, 4.0.4, 4.0.7, 5.0, 4.0.1, 4.0.2, 5.0.1, 6.0.3, 4.0.3, 5.0.2)
- ibm rational doors next generation (6.0.3, 6.0, 4.0.7, 4.0.5, 4.0, 4.0.1, 5.0, 4.0.2, 4.0.3, 5.0.1, 6.0.1, 6.0.2, 4.0.6, 5.0.2, 4.0.4)
- ibm rational engineering lifecycle manager (4.0, 6.0, 4.0.2, 4.0.4, 4.0.7, 4.0.1, 5.0.2, 6.0.3, 6.0.1, 4.0.3, 6.0.2, 5.0, 4.0.5, 5.0.1, 4.0.6)
have more...

IOCs:
File: 29
Hash: 22
IP: 1

Soft:
windows search, microsoft office, windows graphics component, smb server

Algorithms:
sha1

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, code: 7, dump: 2, windows: 2, table: 1, schema: 1

#ParsedReport #CompletenessMedium
24-08-2023

Raccoon Stealer Resurfaces with New Enhancements. The Latest Version

https://socradar.io/raccoon-stealer-resurfaces-with-new-enhancements

Report completeness: Medium

Threats:
Raccoon_stealer
Bazarbackdoor

Geo:
Netherlands

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 4
IP: 2
Domain: 1
Url: 9
Hash: 1

Crypto:
bitcoin

Algorithms:
sha256, sha1

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Raccoon Stealer - это мощная вредоносная программа, способная похищать данные более чем из 60 приложений и обладающая рядом функций, облегчающих просмотр и понимание динамики трафика. В настоящее время последняя версия вредоносной программы доступна для приобретения по цене 125 долл. в неделю или 275 долл. в месяц.
-----

Raccoon Stealer - это разновидность вредоносного ПО для похищения информации, впервые появившаяся в 2019 году. Он способен похищать данные из более чем 60 приложений и с тех пор доступен для приобретения по подписке. В октябре 2022 года основной создатель Racco Марк Соколовский был арестован в Нидерландах, а ФБР ликвидировало инфраструктуру, поддерживающую работу вредоносной программы как услуги. С тех пор разработчики Raccoon Stealer работали над новой версией, v2.3.0.1, которая была выпущена 15 августа 2023 года с некоторыми незначительными изменениями и улучшениями.

Новая версия Raccoon Stealer поставляется в формате исполняемого файла (EXE), который взаимодействует с сервером Command and Control (C&C) и передает системную информацию, cookies браузера, учетные данные и криптовалютные кошельки. Его можно идентифицировать по IoC, найденным в приложении платформы SOCRadar. Вредоносная программа доступна для продажи за 125 долл. в неделю или 275 долл. в месяц.

Разработчики Raccoon Stealer реализовали новую систему, которая автоматически распознает необычные паттерны активности, например, многократные обращения с одного IP-адреса или одного диапазона IP-адресов. Если система обнаруживает подозрительную активность, то все записи, связанные с этими журналами, удаляются, а информация автоматически обновляется на каждом клиентском планшете.

Вредоносная программа также оснащена функцией статистики, позволяющей просматривать страны-лидеры по количеству логов в разбивке на топ-20, топ-100 или весь список стран, что дает возможность получить как общее, так и детальное представление о географии трафика. Кроме того, в программе предусмотрены графики журналов, отображающие динамику активности по различным сборкам в зависимости от выбранного периода - за день, неделю, месяц или год. Таким образом, пользователь может легко просмотреть и понять динамику лог-потока, в том числе и то, откуда идет трафик, из каких сборок и стран.

В целом Raccoon Stealer представляет собой мощную вредоносную программу, способную похищать данные из более чем 60 приложений и обладающую рядом функций, облегчающих пользователям просмотр и понимание динамики трафика. В настоящее время последняя версия вредоносной программы доступна для приобретения по цене 125 долл. в неделю или 275 долл. в месяц.

#ParsedReport #CompletenessHigh
23-08-2023

The Persistent Danger of Remcos RAT

https://www.cyfirma.com/outofband/the-persistent-danger-of-remcos-rat

Report completeness: High

Threats:
Remcos_rat
Newrem_botnet
Cloudeye
Process_injection_technique

Industry:
Financial, Entertainment

TTPs:
Tactics: 8
Technics: 15

IOCs:
IP: 4
Hash: 7
File: 6
Command: 2
Path: 3
Url: 2
Registry: 3

Soft:
openssl, windows defender, windows registry

Algorithms:
rc4, exhibit, sha256, zip

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
code: 3, windows: 7, schema: 2, dump: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Расследование, проведенное компанией Cyfirma, выявило сложную экосистему вредоносных действий, связанных с кампанией Remcos Remote Access Trojan (RAT), включая вредоносные IP-адреса, скрытую полезную нагрузку, вредоносные вложения, загрузки по принципу drive-by и тактику социальной инженерии, что подчеркивает необходимость разработки эффективных стратегий кибербезопасности.
-----

Компания Cyfirma занимается предоставлением актуальной информации о вредоносной деятельности, в частности о кампании по созданию троянца удаленного доступа (RAT) Remcos. Проведенное нами расследование позволило выявить сложную экосистему тактик, используемых субъектами угроз, таких как вредоносные IP-адреса и скрытые полезные нагрузки с расширенными функциональными возможностями. Первичное заражение происходит через вредоносные вложения, drive-by загрузки или тактику социальной инженерии, после чего бинарный файл Remcos RAT (RiotGames.exe) загружается из удаленного места. Для обеспечения устойчивости вредоносная программа использует ключи реестра Windows Run, может делать скриншоты рабочего стола, перехватывать нажатия клавиш и аудиозаписи.

Распространение многочисленных IP-адресов, на которых размещаются RAT и другие вредоносные файлы, вызывает серьезные опасения в связи с возможной утечкой конфиденциальных данных и учетных данных. Для противодействия этой угрозе необходимо реализовать эффективные стратегии кибербезопасности, включающие проактивный мониторинг, обмен оперативной информацией и адаптивную защиту.

Remcos RAT использует для потенциально вредоносных действий легитимные утилиты, такие как echo.exe и cmd.exe. Кроме того, для отвлечения внимания от присутствия более вредоносного содержимого или методов используются изображения-приманки. Это еще раз подчеркивает необходимость разработки комплексных мер безопасности, способных обнаруживать и реагировать на подобные вредоносные действия.

#ParsedReport #CompletenessHigh
24-08-2023

Cisco Talos Intelligence Blog. Lazarus Group's infrastructure reuse leads to discovery of new malware

https://blog.talosintelligence.com/lazarus-collectionrat

Report completeness: High

Actors/Campaigns:
Lazarus

Threats:
Quiterat
Collectionrat
Earlyrat
Deimos_botnet
Log4shell_vuln
Magicrat
Vsingle
Yamabot
Tiger_rat
Putty_tool
Plink_tool
Dtrack_rat
Credential_dumping_technique
Mimikatz_tool
Impacket_tool
Cobalt_strike
Sliver_c2_tool
Beacon
Credential_stealing_technique

Industry:
Healthcare, Government, Energy

Geo:
Korean, Japanese, Korea, Canada, Japan

CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 2
IP: 4
Hash: 5
Url: 7

Soft:
zimbra, 3proxy

Languages:
golang

Links:
https://github.com/Cisco-Talos/IOCs/upload/main/2023/08

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Lazarus Group меняет свою тактику, все больше полагаясь на инструменты и фреймворки с открытым кодом на этапе первоначального доступа к атакам, в отличие от их строгого использования на этапе после компрометации. Так, в частности, были замечены случаи использования фреймворка DeimosC2, а также инструмента обратного туннелирования PuTTY Link в злонамеренных целях.
-----

Lazarus Group - северокорейский государственный агент, который в течение последнего года активно проводит кампании, направленные на поставщиков электроэнергии в США, Канаде и Японии. Они эксплуатируют уязвимость Log4j и используют различные семейства вредоносных программ, включая MagicRAT, VSingle, YamaBot и TigerRAT. В последнее время они стали использовать CVE-2022-47966, уязвимость ManageEngine ServiceDesk, для развертывания различных угроз. В дополнение к своей вредоносной программе QuiteRAT мы обнаружили, что Lazarus Group использует новую угрозу под названием CollectionRAT.

CollectionRAT обладает множеством стандартных возможностей RAT, в том числе способностью выполнять произвольные команды и управлять файлами на зараженной конечной точке. Анализ индикаторов компрометации (IOC) CollectionRAT позволил обнаружить связи с EarlyRAT - имплантом на базе PureBasic, который компания "Касперский" недавно приписала подгруппе Andariel. Мы обнаружили образец CollectionRAT, подписанный тем же сертификатом, который использовался для подписи старой версии EarlyRAT 2021 года. Это свидетельствует о том, что Lazarus Group меняет свою тактику, все больше полагаясь на инструменты и фреймворки с открытым исходным кодом на этапе первоначального доступа к атакам, в отличие от их строгого использования на этапе после компрометации.

Группа Lazarus Group была замечена в использовании фреймворка DeimosC2 в качестве средства первичного и постоянного доступа. DeimosC2 - это C2-фреймворк на языке GoLang, поддерживающий различные возможности RAT, аналогичные другим популярным C2-фреймворкам, таким как Cobalt Strike и Sliver. Помимо множества инструментов двойного назначения и фреймворков для постэксплойта, обнаруженных на хостинговой инфраструктуре Lazarus Group, мы обнаружили присутствие нового импланта, который был идентифицирован как маяк из фреймворка DeimosC2 с открытым кодом.

Кроме того, Lazarus Group была замечена в использовании инструмента обратного туннелирования PuTTY Link (Plink). Мы обнаружили, что теперь они генерируют вредоносные двоичные файлы Plink из исходного кода PuTTY, чтобы встроить строки команд обратного туннелирования в сам двоичный файл. Вредоносный Plink также создает мьютекс с именем Global\WindowsSvchost перед созданием удаленного туннеля, чтобы гарантировать, что между локальной машиной и C2 будет установлено только одно соединение.

#ParsedReport #CompletenessLow
24-08-2023

. Analysis of the activities of the "Snake" black production gang using WeChat to spread malicious code

https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Snake

Threats:
Gh0st_rat
Beacon

Victims:
Wechat users

ChatGPT TTPs:
do not use without manual check
T1071.001, T1086, T1029, T1082, T1098, T1089.001, T1036.005

IOCs:
File: 2
Email: 1
IP: 42
Hash: 63

Soft:
wechat, remote desktop services, windows firewall

Algorithms:
xor

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT раскрыл метод, используемый бандой Snake для запуска троянцев удаленного управления через WeChat, и рекомендовал способы защиты от них.
-----

Банда Snake - это вредоносная интернет-организация, использующая для распространения вредоносных программ социальное ПО, вредоносное поисковое продвижение, фишинговые письма и другие каналы. Недавно Antiy CERT обнаружил новую волну атак "банды Snake", использующей WeChat для распространения вредоносных кодов. Злоумышленники использовали FTP-серверы для загрузки файлов, содержащих троянца удаленного управления Gh0st. Затем этот троянец загружался на хосты жертв с целью получения удаленного доступа и кражи ценной информации.

Antiy CERT раскрыл метод, используемый бандой Snake для запуска троянцев удаленного управления через WeChat. Банда набирает членов через "агентов", которые помогают осуществлять масштабное распространение вредоносных программ и сбор данных о своих целях. В результате анализа было обнаружено, что, получив удаленный контроль над хостом, злоумышленники могут проводить более точные фишинговые атаки на WeChat или учетные записи компании-цели.

В данной атаке использовалась вредоносная программа Gh0st Trojan, обладающая технологией обфускации, позволяющей противостоять анализу, а также функциями кражи данных из браузера, мониторинга кнопок и обнаружения антивирусов. Злоумышленники создали как минимум три FTP-сервера и развернули на них несколько троянцев Gh0st с различными серверами управления (Command and Control, C2).

Для эффективного обнаружения и уничтожения троянца удаленного управления компания Antiy Security предлагает установить оборудование для обнаружения угроз сетевого трафика и использовать систему Intelligent Endpoint Protection System (IEP). Специалисты по безопасности также рекомендуют загрузить инструмент Antiy Security Threat Troubleshooting Tool для точного и комплексного устранения угроз, существующих на хосте жертвы. Они также рекомендуют своевременно изолировать атакованный хост и защитить сайт до тех пор, пока инженер по безопасности не сможет проверить компьютер. Кроме того, рекомендуется своевременно обновлять библиотеку функций и библиотеку правил таких продуктов, как система защиты терминалов Zhijia и система обнаружения угроз морской разведки, а также настраивать стратегии контроля безопасности и сигнализации.

#ParsedReport #CompletenessLow
24-08-2023

DarkGate reloaded via malvertising and SEO poisoning campaigns

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/darkgate-reloaded-via-malvertising-campaigns

Report completeness: Low

Actors/Campaigns:
0ktapus

Threats:
Seo_poisoning_technique
Darkgate
Credential_stealing_technique

IOCs:
File: 4
Domain: 7
IP: 4
Hash: 3

Languages:
autoit

Links:
https://github.com/esThreatIntelligence/RussianPanda/blob/main/darkgate\_config\_extractor.py
https://gist.github.com/0xToxin/43e25700510ad3cc6268994b56c9a710