#ParsedReport #CompletenessMedium
24-08-2023

Raccoon Stealer Resurfaces with New Enhancements. The Latest Version

https://socradar.io/raccoon-stealer-resurfaces-with-new-enhancements

Report completeness: Medium

Threats:
Raccoon_stealer
Bazarbackdoor

Geo:
Netherlands

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 4
IP: 2
Domain: 1
Url: 9
Hash: 1

Crypto:
bitcoin

Algorithms:
sha256, sha1

Languages:
visual_basic

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Raccoon Stealer - это мощная вредоносная программа, способная похищать данные более чем из 60 приложений и обладающая рядом функций, облегчающих просмотр и понимание динамики трафика. В настоящее время последняя версия вредоносной программы доступна для приобретения по цене 125 долл. в неделю или 275 долл. в месяц.
-----

Raccoon Stealer - это разновидность вредоносного ПО для похищения информации, впервые появившаяся в 2019 году. Он способен похищать данные из более чем 60 приложений и с тех пор доступен для приобретения по подписке. В октябре 2022 года основной создатель Racco Марк Соколовский был арестован в Нидерландах, а ФБР ликвидировало инфраструктуру, поддерживающую работу вредоносной программы как услуги. С тех пор разработчики Raccoon Stealer работали над новой версией, v2.3.0.1, которая была выпущена 15 августа 2023 года с некоторыми незначительными изменениями и улучшениями.

Новая версия Raccoon Stealer поставляется в формате исполняемого файла (EXE), который взаимодействует с сервером Command and Control (C&C) и передает системную информацию, cookies браузера, учетные данные и криптовалютные кошельки. Его можно идентифицировать по IoC, найденным в приложении платформы SOCRadar. Вредоносная программа доступна для продажи за 125 долл. в неделю или 275 долл. в месяц.

Разработчики Raccoon Stealer реализовали новую систему, которая автоматически распознает необычные паттерны активности, например, многократные обращения с одного IP-адреса или одного диапазона IP-адресов. Если система обнаруживает подозрительную активность, то все записи, связанные с этими журналами, удаляются, а информация автоматически обновляется на каждом клиентском планшете.

Вредоносная программа также оснащена функцией статистики, позволяющей просматривать страны-лидеры по количеству логов в разбивке на топ-20, топ-100 или весь список стран, что дает возможность получить как общее, так и детальное представление о географии трафика. Кроме того, в программе предусмотрены графики журналов, отображающие динамику активности по различным сборкам в зависимости от выбранного периода - за день, неделю, месяц или год. Таким образом, пользователь может легко просмотреть и понять динамику лог-потока, в том числе и то, откуда идет трафик, из каких сборок и стран.

В целом Raccoon Stealer представляет собой мощную вредоносную программу, способную похищать данные из более чем 60 приложений и обладающую рядом функций, облегчающих пользователям просмотр и понимание динамики трафика. В настоящее время последняя версия вредоносной программы доступна для приобретения по цене 125 долл. в неделю или 275 долл. в месяц.

#ParsedReport #CompletenessHigh
23-08-2023

The Persistent Danger of Remcos RAT

https://www.cyfirma.com/outofband/the-persistent-danger-of-remcos-rat

Report completeness: High

Threats:
Remcos_rat
Newrem_botnet
Cloudeye
Process_injection_technique

Industry:
Financial, Entertainment

TTPs:
Tactics: 8
Technics: 15

IOCs:
IP: 4
Hash: 7
File: 6
Command: 2
Path: 3
Url: 2
Registry: 3

Soft:
openssl, windows defender, windows registry

Algorithms:
rc4, exhibit, sha256, zip

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
code: 3, windows: 7, schema: 2, dump: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Расследование, проведенное компанией Cyfirma, выявило сложную экосистему вредоносных действий, связанных с кампанией Remcos Remote Access Trojan (RAT), включая вредоносные IP-адреса, скрытую полезную нагрузку, вредоносные вложения, загрузки по принципу drive-by и тактику социальной инженерии, что подчеркивает необходимость разработки эффективных стратегий кибербезопасности.
-----

Компания Cyfirma занимается предоставлением актуальной информации о вредоносной деятельности, в частности о кампании по созданию троянца удаленного доступа (RAT) Remcos. Проведенное нами расследование позволило выявить сложную экосистему тактик, используемых субъектами угроз, таких как вредоносные IP-адреса и скрытые полезные нагрузки с расширенными функциональными возможностями. Первичное заражение происходит через вредоносные вложения, drive-by загрузки или тактику социальной инженерии, после чего бинарный файл Remcos RAT (RiotGames.exe) загружается из удаленного места. Для обеспечения устойчивости вредоносная программа использует ключи реестра Windows Run, может делать скриншоты рабочего стола, перехватывать нажатия клавиш и аудиозаписи.

Распространение многочисленных IP-адресов, на которых размещаются RAT и другие вредоносные файлы, вызывает серьезные опасения в связи с возможной утечкой конфиденциальных данных и учетных данных. Для противодействия этой угрозе необходимо реализовать эффективные стратегии кибербезопасности, включающие проактивный мониторинг, обмен оперативной информацией и адаптивную защиту.

Remcos RAT использует для потенциально вредоносных действий легитимные утилиты, такие как echo.exe и cmd.exe. Кроме того, для отвлечения внимания от присутствия более вредоносного содержимого или методов используются изображения-приманки. Это еще раз подчеркивает необходимость разработки комплексных мер безопасности, способных обнаруживать и реагировать на подобные вредоносные действия.

#ParsedReport #CompletenessHigh
24-08-2023

Cisco Talos Intelligence Blog. Lazarus Group's infrastructure reuse leads to discovery of new malware

https://blog.talosintelligence.com/lazarus-collectionrat

Report completeness: High

Actors/Campaigns:
Lazarus

Threats:
Quiterat
Collectionrat
Earlyrat
Deimos_botnet
Log4shell_vuln
Magicrat
Vsingle
Yamabot
Tiger_rat
Putty_tool
Plink_tool
Dtrack_rat
Credential_dumping_technique
Mimikatz_tool
Impacket_tool
Cobalt_strike
Sliver_c2_tool
Beacon
Credential_stealing_technique

Industry:
Healthcare, Government, Energy

Geo:
Korean, Japanese, Korea, Canada, Japan

CVEs:
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 2
IP: 4
Hash: 5
Url: 7

Soft:
zimbra, 3proxy

Languages:
golang

Links:
https://github.com/Cisco-Talos/IOCs/upload/main/2023/08

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Lazarus Group меняет свою тактику, все больше полагаясь на инструменты и фреймворки с открытым кодом на этапе первоначального доступа к атакам, в отличие от их строгого использования на этапе после компрометации. Так, в частности, были замечены случаи использования фреймворка DeimosC2, а также инструмента обратного туннелирования PuTTY Link в злонамеренных целях.
-----

Lazarus Group - северокорейский государственный агент, который в течение последнего года активно проводит кампании, направленные на поставщиков электроэнергии в США, Канаде и Японии. Они эксплуатируют уязвимость Log4j и используют различные семейства вредоносных программ, включая MagicRAT, VSingle, YamaBot и TigerRAT. В последнее время они стали использовать CVE-2022-47966, уязвимость ManageEngine ServiceDesk, для развертывания различных угроз. В дополнение к своей вредоносной программе QuiteRAT мы обнаружили, что Lazarus Group использует новую угрозу под названием CollectionRAT.

CollectionRAT обладает множеством стандартных возможностей RAT, в том числе способностью выполнять произвольные команды и управлять файлами на зараженной конечной точке. Анализ индикаторов компрометации (IOC) CollectionRAT позволил обнаружить связи с EarlyRAT - имплантом на базе PureBasic, который компания "Касперский" недавно приписала подгруппе Andariel. Мы обнаружили образец CollectionRAT, подписанный тем же сертификатом, который использовался для подписи старой версии EarlyRAT 2021 года. Это свидетельствует о том, что Lazarus Group меняет свою тактику, все больше полагаясь на инструменты и фреймворки с открытым исходным кодом на этапе первоначального доступа к атакам, в отличие от их строгого использования на этапе после компрометации.

Группа Lazarus Group была замечена в использовании фреймворка DeimosC2 в качестве средства первичного и постоянного доступа. DeimosC2 - это C2-фреймворк на языке GoLang, поддерживающий различные возможности RAT, аналогичные другим популярным C2-фреймворкам, таким как Cobalt Strike и Sliver. Помимо множества инструментов двойного назначения и фреймворков для постэксплойта, обнаруженных на хостинговой инфраструктуре Lazarus Group, мы обнаружили присутствие нового импланта, который был идентифицирован как маяк из фреймворка DeimosC2 с открытым кодом.

Кроме того, Lazarus Group была замечена в использовании инструмента обратного туннелирования PuTTY Link (Plink). Мы обнаружили, что теперь они генерируют вредоносные двоичные файлы Plink из исходного кода PuTTY, чтобы встроить строки команд обратного туннелирования в сам двоичный файл. Вредоносный Plink также создает мьютекс с именем Global\WindowsSvchost перед созданием удаленного туннеля, чтобы гарантировать, что между локальной машиной и C2 будет установлено только одно соединение.

#ParsedReport #CompletenessLow
24-08-2023

. Analysis of the activities of the "Snake" black production gang using WeChat to spread malicious code

https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Snake

Threats:
Gh0st_rat
Beacon

Victims:
Wechat users

ChatGPT TTPs:
do not use without manual check
T1071.001, T1086, T1029, T1082, T1098, T1089.001, T1036.005

IOCs:
File: 2
Email: 1
IP: 42
Hash: 63

Soft:
wechat, remote desktop services, windows firewall

Algorithms:
xor

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT раскрыл метод, используемый бандой Snake для запуска троянцев удаленного управления через WeChat, и рекомендовал способы защиты от них.
-----

Банда Snake - это вредоносная интернет-организация, использующая для распространения вредоносных программ социальное ПО, вредоносное поисковое продвижение, фишинговые письма и другие каналы. Недавно Antiy CERT обнаружил новую волну атак "банды Snake", использующей WeChat для распространения вредоносных кодов. Злоумышленники использовали FTP-серверы для загрузки файлов, содержащих троянца удаленного управления Gh0st. Затем этот троянец загружался на хосты жертв с целью получения удаленного доступа и кражи ценной информации.

Antiy CERT раскрыл метод, используемый бандой Snake для запуска троянцев удаленного управления через WeChat. Банда набирает членов через "агентов", которые помогают осуществлять масштабное распространение вредоносных программ и сбор данных о своих целях. В результате анализа было обнаружено, что, получив удаленный контроль над хостом, злоумышленники могут проводить более точные фишинговые атаки на WeChat или учетные записи компании-цели.

В данной атаке использовалась вредоносная программа Gh0st Trojan, обладающая технологией обфускации, позволяющей противостоять анализу, а также функциями кражи данных из браузера, мониторинга кнопок и обнаружения антивирусов. Злоумышленники создали как минимум три FTP-сервера и развернули на них несколько троянцев Gh0st с различными серверами управления (Command and Control, C2).

Для эффективного обнаружения и уничтожения троянца удаленного управления компания Antiy Security предлагает установить оборудование для обнаружения угроз сетевого трафика и использовать систему Intelligent Endpoint Protection System (IEP). Специалисты по безопасности также рекомендуют загрузить инструмент Antiy Security Threat Troubleshooting Tool для точного и комплексного устранения угроз, существующих на хосте жертвы. Они также рекомендуют своевременно изолировать атакованный хост и защитить сайт до тех пор, пока инженер по безопасности не сможет проверить компьютер. Кроме того, рекомендуется своевременно обновлять библиотеку функций и библиотеку правил таких продуктов, как система защиты терминалов Zhijia и система обнаружения угроз морской разведки, а также настраивать стратегии контроля безопасности и сигнализации.

#ParsedReport #CompletenessLow
24-08-2023

DarkGate reloaded via malvertising and SEO poisoning campaigns

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/darkgate-reloaded-via-malvertising-campaigns

Report completeness: Low

Actors/Campaigns:
0ktapus

Threats:
Seo_poisoning_technique
Darkgate
Credential_stealing_technique

IOCs:
File: 4
Domain: 7
IP: 4
Hash: 3

Languages:
autoit

Links:
https://github.com/esThreatIntelligence/RussianPanda/blob/main/darkgate\_config\_extractor.py
https://gist.github.com/0xToxin/43e25700510ad3cc6268994b56c9a710

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что DarkGate - это многоцелевой набор вредоносных программ, который недавно был обновлен и активно распространяется через вредоносный спам, вредоносную рекламу и отравление поисковых систем. Полезная нагрузка, связанная с этими кампаниями, использует расширенную проверку отпечатков пальцев и техники уклонения для минимизации системного следа.
-----

DarkGate - это многоцелевой набор инструментов вредоносного ПО, впервые выявленный в 2018 году и недавно обновленный с новыми возможностями и функциями. В настоящее время обновленная версия DarkGate активно распространяется через вредоносный спам, вредоносную рекламу и отравление поисковых систем. В июле 2023 года мы наблюдали вредоносную рекламную кампанию, которая заманивала потенциальных жертв на мошеннический сайт, посвященный инструменту управления ИТ-системой Windows. Файл-обманка представлял собой инсталлятор MSI, содержащий скрипт AutoIT, в котором полезная нагрузка была обфусцирована, чтобы избежать обнаружения. Это похоже на то, как DarkGate распространялся в прошлом - через торрент-сайты и почтовые вложения.

В начале августа 2023 г. в блогах появились две записи, содержащие подробности о недавних атаках на DarkGate. Служба реагирования на инциденты компании Aon Stroz Friedberg столкнулась с группой, похожей на ScatteredSpider (UNC3944), использующей новую версию DarkGate, а исследователь 0xToxin написал о фишинговых письмах, распространяющих загрузчик, ведущий к DarkGate.

13 июля 2023 г. мы также наблюдали рекламную кампанию в Google, причем тот же угрожающий агент размещал вредоносную рекламу и в Bing. С помощью SEO-травления злоумышленники могут играть с системой ранжирования поисковых систем, чтобы обманом заставить пользователей посещать вредоносные сайты.

В полезных нагрузках, связанных с этими кампаниями, реализована расширенная проверка отпечатков пальцев, которая становится все более распространенной из-за простоты использования. Для распространения DarkGate с минимальным системным следом полезная нагрузка использует комбинацию методов уклонения. Антивирус Malwarebytes обнаруживает эту вредоносную программу как Backdoor.DarkGate, а наша веб-защита блокирует ее известные командно-контрольные серверы.

#ParsedReport #CompletenessLow
25-08-2023

Analysis of MS-SQL Server Proxyjacking Cases

https://asec.ahnlab.com/en/56350

Report completeness: Low

Threats:
Proxyjacking_technique
Loveminer
Iproyal_pawns_tool
Peer2profit_tool
Traffmonetizer_tool
Proxyrack_tool
Packetstream_tool
Log4shell_vuln
Sqlshell_tool
Xmrig_miner
Dropper/win.proxyware.c5471194

Victims:
Publicly accessible ms-sql servers

ChatGPT TTPs:
do not use without manual check
T1559.003, T1545.001, T1543.003, T1220.002, T1574.001, T1566.001

IOCs:
File: 13
Email: 1
Domain: 1
Hash: 8

Soft:
ms-sql

Algorithms:
zip

Functions:
p2p_start, GmpStart

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил новую атаку proxyjacking, направленную на плохо управляемые MS-SQL-серверы, в которой используется различное прокси-программное обеспечение таких компаний, как IPRoyal, Traffmonetizer, Proxyrack и PacketStream. Угрожающий агент, стоящий за этой атакой, перешел к использованию sdk.mdf от компании Peer2Profit, а также вредоносных программ-дропперов LoveMiner, XMRig и winupdate0.mdf.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил новую атаку proxyjacking, направленную на плохо управляемые серверы MS-SQL. Этот тип атаки возникает, когда угрожающие лица получают доступ к системе и устанавливают вредоносное ПО, позволяющее им использовать пропускную способность системы в Интернете совместно с внешними источниками для получения финансовой выгоды. Угрожающий агент использует различные прокси-программы таких компаний, как IPRoyal, Traffmonetizer, Proxyrack и PacketStream, и компилирует свои вредоносные программы с помощью метода опережающей компиляции .NET Native (AOT).

Ранее ASEC исследовала другие атаки типа proxyjacking с использованием вредоносного ПО, замаскированного под обычные установочные файлы, атаки на уязвимость Log4Shell и атаки на SSH-серверы. По состоянию на июнь 2022 года угрожающий агент перешел к использованию sdk.mdf от компании Peer2Profit, который он загружает в системную память с помощью CLR-сборки под названием Tmp417C.tmp. Также используется программа LoveMiner, которая делится на загрузчик в виде CLR-сборки и загрузчик в виде CLR-сборки, и XMRig, который хранится во внутреннем ресурсе gmp.

В последнее время угрожающий агент создает вредоносные программы-дропперы под названием winupdate0.mdf, которые устанавливают на зараженные системы различные прокси-программы, такие как Traffmonetizer, IPRoyal, Proxyrack и PacketStream. Все эти программы устанавливаются в каталог %APPDATA%. Для выполнения IPRoyal Pawns необходимо указать адрес электронной почты и пароль, а Proxyrack требует ввести случайно сгенерированную строку device_id. PacketStream же относительно проще, он устанавливается по пути %APPDATA%\psexitnode.exe.

#ParsedReport #CompletenessHigh
25-08-2023

Flax Typhoon using legitimate software to quietly access Taiwanese organizations

https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations

Report completeness: High

Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)
Storm-0558
Volt_typhoon (motivation: cyber_espionage)
Dev-0978
Ethereal_panda

Threats:
Lolbin_technique
Juicypotato_tool
Potato_tool
Chinachopper
Metasploit_tool
Mimikatz_tool
Badpotato_tool
Bitsadmin
Winrm_tool
Passthehash_technique
Credential_stealing_technique

Industry:
Education, Government

Geo:
Chinese, Taiwan, Asia, China, Taiwanese, Africa, America

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 5
IP: 12
Hash: 4
Domain: 3

Soft:
microsoft 365 defender, microsoft defender, microsoft word, microsoft defender for endpoint, softether, windows terminal, windows service, console window host, component object model, local security authority, have more...

Languages:
java

Links:
https://github.com/SoftEtherVPN/SoftEtherVPN\_Stable/blob/master/WARNING.TXT
https://github.com/BeichenDream/BadPotato
https://github.com/ohpe/juicy-potato
https://github.com/SoftEtherVPN/SoftEtherVPN\_Stable

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Flax Typhoon - спонсируемый китайским государством угрожающий субъект, действующий с середины 2021 года и использующий различные техники для получения несанкционированного доступа к данным, инструментам и инфраструктуре электронной почты. Организациям необходимо принимать упреждающие меры по снижению риска будущих атак этого и других агентов угроз путем реализации комплексной стратегии "защита в глубину".
-----

Storm-0558, Volt Typhoon, Storm-0978 и Flax Typhoon - это китайские государственные угрозы, которые, по данным Microsoft, используют различные методы для получения несанкционированного доступа к данным электронной почты, инструментам и уникальным характеристикам инфраструктуры. Flax Typhoon действует с середины 2021 года и атакует государственные учреждения и образовательные учреждения, критически важные производственные и информационно-технологические организации на Тайване, а также в других регионах Юго-Восточной Азии, Северной Америки и Африки.

Известно, что Flax Typhoon использует веб-оболочку China Chopper, Metasploit, инструмент повышения привилегий Juicy Potato, Mimikatz и клиент виртуальной частной сети (VPN) SoftEther. Однако в первую очередь Flax Typhoon полагается на "живые" методы и работу с клавиатурой. Первоначальный доступ Flax Typhoon получает путем использования известных уязвимостей в публичных серверах и развертывания веб-оболочек. После получения доступа Flax Typhoon с помощью инструментов командной строки устанавливает постоянный доступ по протоколу удаленного рабочего стола, разворачивает VPN-соединение с сетевой инфраструктурой, контролируемой злоумышленниками, и собирает учетные данные со взломанных систем. После этого Flax Typhoon получает возможность сканировать уязвимости на целевых системах и организациях со взломанных систем.

Кроме того, серверы, предназначенные для публичного доступа, нуждаются в дополнительном контроле и защите. Мониторинг реестра Windows на предмет несанкционированных изменений. Используйте системы сетевого мониторинга и обнаружения вторжений для выявления необычного или несанкционированного сетевого трафика. Убедитесь, что системы Windows обновляются последними патчами безопасности. Внедрить политики многофакторной аутентификации. Рандомизировать пароли локального администратора. Включить правила уменьшения поверхности атаки. Усилить процесс LSASS. Включить "облачную" защиту в антивирусе Microsoft Defender. Запустить Microsoft Defender for Endpoint в блочном режиме.

Организациям необходимо принимать проактивные меры по снижению риска будущих атак со стороны этих и других угроз. Для минимизации потенциального воздействия таких атак необходима комплексная стратегия "защита на всю глубину".

#ParsedReport #CompletenessLow
25-08-2023

Smoke Loader Drops Whiffy Recon Wi-Fi Scanning and Geolocation Malware

https://www.secureworks.com/blog/smoke-loader-drops-whiffy-recon-wi-fi-scanning-and-geolocation-malware

Report completeness: Low

Threats:
Smokeloader
Whiffy_recon

ChatGPT TTPs:
do not use without manual check
T1543.001, T1060

IOCs:
File: 2
Path: 3
Hash: 2
IP: 1

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи Secureworks CTU заметили, что ботнет Smoke Loader сбрасывает пользовательский исполняемый файл для сканирования Wi-Fi под названием Whiffy Recon, который использует близлежащие точки доступа Wi-Fi для триангуляции положения зараженных систем и отправляет данные на сервер C2.-----

Исследователи Secureworks Counter Threat Unit (CTU) обнаружили, что 8 августа 2023 года ботнет Smoke Loader распространил на зараженные системы специальный исполняемый файл для сканирования Wi-Fi. Вредоносная программа получила название Whiffy Recon и использует близлежащие точки доступа Wi-Fi для триангуляции местоположения зараженных систем с помощью геолокационного API Google.

Whiffy Recon проверяет наличие службы WLANSVC на скомпрометированной системе. Эта служба указывает на наличие беспроводных возможностей в системах Windows. Если имя службы не существует, сканер завершает работу. Вредоносная программа сохраняется в системе, создавая ярлык wlan.lnk в папке Startup пользователя.

Основной код Whiffy Recon работает в виде двух циклов. В первом цикле проверяется наличие файла с именем %APPDATA%\wlan\str-12.bin. Если такой файл существует и содержит корректные параметры, то Whiffy Recon переходит во второй цикл для выполнения сканирования Wi-Fi. Если файл str-12.bin не существует, вредоносная программа регистрирует скомпрометированную систему на сервере C2, отправляя полезную нагрузку в формате JSON в запросе HTTPS POST. В заголовках HTTP содержится поле Authorization, содержащее жестко закодированный UUID. Тело запроса содержит три параметра - случайно сгенерированный UUID для botId, идентифицирующий систему, тип, установленный в "COMPUTER", и номер версии, равный 1. В случае успешной регистрации сервер C2 отвечает JSON-сообщением об успехе, включающим поле "secret", содержащее UUID. Этот секретный UUID затем используется вместо жестко закодированного UUID авторизации в последующих POST-запросах.

Второй цикл программы Whiffy Recon сканирует точки доступа Wi-Fi через Windows WLAN API. Этот цикл выполняется каждые 60 секунд. Результаты сканирования отображаются в JSON-структуру и отправляются в Google Geolocation API через HTTPS POST-запрос. Затем эти данные отправляются в виде POST-запроса на сервер C2 с использованием секретного UUID авторизации и URI /bots/ UUID /scanned.

#ParsedReport #CompletenessLow
25-08-2023

Suspected APT37 New Attack Weapon Fakecheck Analysis Report

https://paper.seebug.org/3012

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: information_theft)
Kimsuky

Threats:
Fakecheck

Victims:
Public organizations and private enterprises in south korea, japan, vietnam, middle east, and other regions

Industry:
Chemical, Financial, Healthcare, Aerospace

Geo:
Vietnam, Korea, Japan, Chinese, Korean

ChatGPT TTPs:
do not use without manual check
T1550.001

IOCs:
Path: 2
File: 3
Hash: 7

Soft:
chrome

Algorithms:
zip

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 13, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Fakecheck - троянская программа удаленного доступа (RAT), предположительно связанная с государственной организацией APT37. Он использует тактику обмана для атак на браузеры Chrome и Edge и собирает информацию о дисках и файлах из указанного каталога. Несмотря на то, что исследователи безопасности приписывают атаку APT37, прямых доказательств, связывающих ее с тактикой организации, нет.
-----

APT37 - это предполагаемая государственная организация, известная также под названиями ScarCruft, Reaper, RedEye и Ricochet Chollima, которая ведет свою деятельность с 2012 года. В основном она атакует государственные организации и частные предприятия в Южной Корее, но в последнее время расширила сферу своей деятельности, включив в нее химическую, электронную, производственную, аэрокосмическую, автомобильную и медицинскую отрасли в Японии, Вьетнаме, на Ближнем Востоке и в других регионах. Недавно сотрудники отдела перспективной разведки угроз Knownsec 404 в ходе проведения рутинной аналитической работы обнаружили вредоносный CHM-образец, содержащий вредоносные скрипты. Этот новый троянец получил название Fakecheck.

Fakecheck - это троянец удаленного доступа (RAT), отвечающий за выполнение удаленного управления. Он использует обманные приемы, например, выводит на экран окно с предложением переустановить .net 3.5. и нацеливается на пользовательские данные браузеров Chrome и Edge, включая настройки плагинов, историю просмотров, закладки и сохраненные пароли. Fakecheck собирает дисковую и файловую информацию из указанной директории, записывает ее в файл и загружает на командно-контрольный (C&C) сервер. Затем он получает данные с C&C-сервера, анализирует их и выполняет соответствующие команды.

Используемая злоумышленниками CHM-приманка ориентирована на темы, связанные в основном со страхованием, ценными бумагами и финансами, а также со счетами за услуги связи. В процессе атрибуции некоторые исследователи безопасности приписали атаку группе APT37. Однако на основании данных, которыми в настоящее время располагает группа перспективной разведки угроз KnownSec 404, прямых доказательств, связывающих ее с ТТП, используемыми APT37, нет. Метод использования CHM для загрузки вредоносного кода может применяться различными организациями, включая Kimsuky и APT37. Поэтому его нельзя напрямую отнести к известной организации. Для выявления более ценных разведывательных данных будет проводиться постоянное отслеживание аналогичных инцидентов.