#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Zscaler ThreatLabz провела расследование, в ходе которого были раскрыты детали цепочки атак DuckTail, и что участники угроз DuckTail являются активными продавцами в подпольной экономике краденых учетных записей в социальных сетях.
-----

Для того чтобы разобраться во вредоносных операциях DuckTail, специалисты Zscaler ThreatLabz провели глубокое расследование, длившееся 3 месяца в мае 2023 года. В ходе исследования мы выяснили важные детали различных элементов цепочки атак DuckTail, начиная с разведки и заканчивая процедурами после компрометации.

В основном DuckTail атакует пользователей, работающих в сфере цифрового маркетинга и рекламы, с помощью социальной инженерии, осуществляемой через сообщения LinkedIn. Полезная нагрузка вредоносного ПО обычно представляет собой исполняемые файлы .NET, но также может быть представлена в виде надстроек Excel или расширений для браузеров. Как правило, полезная нагрузка распространяется через вредоносные архивы, размещенные на публичных "облачных" хостингах, URL-адреса Rebrandly или поддельные сайты.

Угрозы DuckTail успешно используют в своих целях популярные в последнее время платформы генеративного искусственного интеллекта, такие как ChatGPT и Google Bard AI. Они также используют частные прокси-сервисы для входа во взломанные учетные записи и не дают жертвам возможности восстановить учетную запись.

По нашим наблюдениям, участники угроз DuckTail являются активными продавцами в подпольной экономике краденых аккаунтов в социальных сетях. Аккаунты продаются в зависимости от их свойств, таких как тип аккаунта (персональный или бизнес-менеджер), ежедневный рекламный бюджет, количество рекламных аккаунтов, которые он контролирует, возраст аккаунта, наличие и валидность сохраненных способов оплаты, история успешных платежей аккаунта. Низкокачественные аккаунты могут быть проданы примерно за 350 000 вьетнамских донгов (\~15 долл. США), а более ценные - за 8 000 000 вьетнамских донгов (\~340 долл. США).

Поняв тактику, технику и процедуры DuckTail, мы сможем лучше защитить себя от их вредоносной деятельности.

#ParsedReport #CompletenessLow
30-08-2023

Threat Actor Interplay \| Good Day s Victim Portals and Their Ties to Cloak

https://www.sentinelone.com/blog/threat-actor-interplay-good-days-victim-portals-and-their-ties-to-cloak

Report completeness: Low

Threats:
Good_day_ransomware
Arcrypt
Arcrypter
Babuk

Geo:
Germany, Taiwan, Italy, France

ChatGPT TTPs:
do not use without manual check
T1203, T1104, T1070, T1083, T1486, T1490, T1491

IOCs:
Email: 1
Hash: 5
File: 6
Command: 1

#ParsedReport #ExtractedSchema

Classified images:
code: 4, chats: 1, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Good Day/ARCrypter ransomware начала распространяться с мая 2023 года и в основном нацелена на Германию, Италию, Тайвань и Францию.-----

Программа Good Day (ARCrypter) ransomware впервые появилась в мае 2023 года, и с тех пор ее присутствие неуклонно растет. Жертвам рассылаются письма с выкупом, содержащие адрес электронной почты MikLYmAklY555@cock.li, и угрозы утечки данных или их продажи на сайте Cloak, если они не заплатят выкуп. Чаще всего эта программа-вымогатель атакует Германию, Италию, Тайвань и Францию.

Программа Good Day ransomware предназначена для запуска через дроппер или скрипт. После запуска он пытается перечислить все локальные тома и запущенные процессы, а также удалить теневые копии томов. Кроме того, он содержит жестко заданный список папок и файлов, которые должны быть исключены из шифрования. Наконец, он откладывает выполнение полезной нагрузки с помощью скрытой команды и проверяет, запущен ли он в отладчике.

Хотя связь между Good Day и сайтом утечки информации Cloak уже установлена, полезные нагрузки вымогательского ПО еще не развились на основе ARCrypter. Поэтому важно сохранять бдительность и следить за любыми изменениями, чтобы опередить потенциальных злоумышленников.

#ParsedReport #CompletenessLow
30-08-2023

An Ongoing Open Source Attack Reveals Roots Dating Back To 2021

https://checkmarx.com/blog/an-ongoing-open-source-attack-reveals-roots-dating-back-to-2021

Report completeness: Low

Victims:
Cryptocurrency developers

Industry:
Financial

IOCs:
File: 3
IP: 7
Domain: 12

Algorithms:
zip

YARA: Found

Links:
https://github.com/os-scar/yara-signatures/tree/main
https://gist.github.com/masteryoda101/01eee19e50054733dcde5b7364949550

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Вредоносный агент угроз с 2021 года атакует разработчиков криптовалют, используя пакеты npm для утечки конфиденциальных данных с компьютеров жертв. Угрожающий агент идентифицирован, и для защиты от атаки и понимания TTP злоумышленника необходимо собрать данные обо всех пакетах с открытым исходным кодом из различных репозиториев.
-----

Разработчики криптовалют подвергаются атакам злоумышленников, использующих пакеты npm для утечки конфиденциальных данных, таких как исходный код и конфигурационные файлы с компьютеров жертв. Судя по всему, угрожающий агент действует с 2021 года, постоянно публикуя вредоносный код. В данном отчете были представлены новые пакеты и индикаторы компрометации (IOC), связанные со злоумышленником.

Вредоносный пакет связан с криптовалютной областью и ссылается на такие организации, как CryptoRocket и Binarium. В результате изучения метаданных пакета его автор был идентифицирован как "lexi2". Дальнейший анализ пакетов с открытым исходным кодом в базе данных по перекрестным ссылкам на "lexi2" и другие специфические атрибуты кода выявил вредоносные пакеты, датируемые 2021 годом.

Важно понимать, что вредоносные пакеты npm - это не просто проблема пакетов, а проблема противника. Для эффективной защиты требуется комплексное объединение данных обо всех пакетах с открытым исходным кодом из различных репозиториев, что позволяет лучше понять тактику, технику и процедуры злоумышленника (TTP). Эти данные помогут выявить и предотвратить любые будущие атаки.

#ParsedReport #CompletenessHigh
30-08-2023

Diving Deep into UNC4841 Operations Following Barracuda ESG Zero-Day Remediation (CVE-2023-2868). Cyber Defense Self-Assessment

https://www.mandiant.com/resources/blog/unc4841-post-barracuda-zero-day-remediation

Report completeness: High

Actors/Campaigns:
Unc4841 (motivation: cyber_espionage)
Ghostemperor (motivation: cyber_espionage)
Famoussparrow (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)

Threats:
Skipjack
Depthcharge
Foxtrot
Timestomp_technique
Reptile
Fscan_tool
Seaspy
Saltwater
Seaside
Unc2286
Castletap
Driedmoat
Whirlpool
Seaspray

Victims:
U.s. and foreign government entities, High tech and information technology providers, Government and technology organizations, Government or government related organizations, Public and private sectors worldwide, Asean ministry of foreign affairs, Foreign trade offices, Academic research organizations in taiwan and hong kong, Religious based organizations, Local government, have more...

Industry:
Education, Telco, Biotechnology, Government, Aerospace, Healthcare

Geo:
Asia, American, Macau, Americas, Australian, Chinese, Taiwan, China

CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- barracuda email security gateway 300 firmware (le9.2.0.006)
- barracuda email security gateway 400 firmware (le9.2.0.006)
- barracuda email security gateway 600 firmware (le9.2.0.006)
- barracuda email security gateway 800 firmware (le9.2.0.006)
- barracuda email security gateway 900 firmware (le9.2.0.006)
have more...

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
IP: 66
Domain: 10
Hash: 119

Soft:
openssl, mysql, outlook, active directory

Algorithms:
aes-256, aes, xor, aes-256-cbc, base64

Languages:
lua

YARA: Found

Links:
https://github.com/f0rb1dd3n/Reptile/blob/1e17bc82ea8e4f9b4eaf15619ed6bcd283ad0e17/userland/include/config.h#L11C1-L11C34
https://github.com/f0rb1dd3n/Reptile/blob/1e17bc82ea8e4f9b4eaf15619ed6bcd283ad0e17/userland/shell.c

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 13, chart: 2, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Mandiant определила UNC4841 как хорошо обеспеченного ресурсами агента, использующего целый ряд вредоносных программ и инструментов для атак на различные организации в поддержку Китайской Народной Республики. Они рекомендуют клиентам Barracuda, подвергшимся воздействию, продолжать поиск активности UNC4841 и благодарят различные агентства за партнерство, сотрудничество и помощь.
-----

Компания Mandiant выявила продолжающуюся с октября 2022 года по июнь 2023 года кампанию по эксплуатации CVE-2023-2868 с помощью UNC4841.

Компания Barracuda опубликовала информацию о мерах по устранению последствий и уведомление общественности 23 мая 2023 года.

UNC4841 - это хорошо обеспеченный ресурсами агент, использующий ряд вредоносных программ и специально разработанных инструментов для проведения шпионских операций.

Mandiant наблюдала, как UNC4841 проводил внутреннюю разведку и действия по перемещению в сторону небольшого числа объектов-жертв.

Компания Mandiant с высокой степенью достоверности установила, что UNC4841 ведет шпионскую деятельность в поддержку Китайской Народной Республики.

Компания Mandiant предполагает, что UNC4841 будет и в будущем продолжать огибать устройства.

#ParsedReport #CompletenessHigh
30-08-2023

Earth Estries Targets Government, Tech for Cyberespionage

https://www.trendmicro.com/en_us/research/23/h/earth-estries-targets-government-tech-for-cyberespionage.html

Report completeness: High

Actors/Campaigns:
Earth_estries (motivation: cyber_espionage, cyber_criminal)
Famoussparrow (motivation: cyber_espionage)
Axiom

Threats:
Cobalt_strike
Zingdoor
Upx_tool
Dll_sideloading_technique
Trillclient
Hemigate
Meterpreter_tool
Plugx_rat
Iobit_tool
Lolbin_technique
Dns_tunneling_technique
Beacon

Victims:
Government and technology organizations in various countries

Industry:
Iot, Government

Geo:
Canada, India, Malaysia, Africa, Germany, Singapore, Taiwan, Philippines

ChatGPT TTPs:
do not use without manual check
T1105, T1036, T1090, T1086, T1135, T1218, T1045, T1078, T1074, T1107, have more...

IOCs:
File: 54
Hash: 29
Url: 2
Path: 4
Email: 2
Domain: 35
IP: 2

Soft:
curl, windows defender, windows service

Algorithms:
rc4, xor, sha256

#ParsedReport #ExtractedSchema

Classified images:
table: 3, code: 5, windows: 15, schema: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Earth Estries - сложная кибершпионская группа, действующая с 2020 года и использующая передовые технологии для атак на правительственные и технологические организации. Имеющиеся данные указывают на возможную связь между Earth Estries и FamousSparrow, которые используют оппортунистическую тактику для использования устаревших версий легитимных файлов. Организациям следует пересмотреть свои системы и усилить существующие меры безопасности, чтобы защитить себя от этой изощренной хакерской группы.
-----

Earth Estries - сложная кибершпионская группа, действующая с 2020 года и атакующая государственные и технологические организации в различных странах с помощью передовых технологий. Они были замечены в развертывании многочисленных бэкдоров и хакерских инструментов, использовании Zingdoor и атак на понижение уровня PowerShell, а также новых комбинаций боковой загрузки DLL для уклонения от обнаружения. Имеющиеся данные указывают на возможную связь между Earth Estries и FamousSparrow, поскольку IP-адреса и темы технического форматирования указывают на тесную связь между ними.

Известно, что после успешного заражения внутреннего сервера Earth Estries компрометирует существующие учетные записи с административными привилегиями. Для распространения бэкдоров и хакерских инструментов на других машинах в окружении жертвы они используют Server Message Block (SMB) и командную строку WMI (WMIC). Собранные данные из указанной папки архивируются в конце каждого раунда операций. После завершения работы они очищают имеющийся бэкдор и развертывают новую порцию вредоносного ПО для следующего раунда.

Одним из вредоносных инструментов, используемых Earth Estries, является Zingdoor - HTTP-бэкдор, написанный на языке Go, упакованный с помощью UPX и сильно обфусцированный с помощью собственного движка обфускатора. TrillClient - это пользовательская программа для кражи данных из браузера, написанная на языке Go, а HemiGate - это бэкдор, используемый Earth Estries, который исполняется через боковую загрузку DLL и связывается со своим C&C-сервером по порту 443. Для скрытия своего IP-адреса Earth Estries использует CDN-сервис Fastly, который также применяется другими группами, связанными с APT41, такими как Earth Longzhi и GroupCC. Наибольшее количество информации из публичных репозиториев и от сообщества специалистов по анализу угроз было получено от Smartlinkcorp.net, а сервер Cobalt Strike был размещен на ns2.smartlinkcorp.net.

Earth Estries использует оппортунистическую тактику, пользуясь устаревшими версиями легитимных файлов, которые часто игнорируются продуктами безопасности. Поэтому важно внедрить контроль версий и базовые линии приложений, чтобы обнаружить аномалии и не дать злоумышленникам закрепиться в корпоративной среде. Для отслеживания кампании было замечено, что Earth Estries использует ping для проверки доступности удаленного сервера перед обращением к нему.

Организациям в указанных странах следует проверить свои системы на предмет возможных вторжений и несанкционированного обмена трафиком, а также усилить существующие меры безопасности. Trend Vision One предоставляет командам безопасности и аналитикам единую платформу для мониторинга и отслеживания угроз. Понимание методов, используемых Earth Estries, поможет организациям усовершенствовать свои меры безопасности и защититься от этой изощренной хакерской группы.

#ParsedReport #CompletenessLow
31-08-2023

Tracking fileless malware distributed through spam mail

https://asec.ahnlab.com/ko/56438

Report completeness: Low

Threats:
Agent_tesla
Remcos_rat
Limerat
Trojan/win.generic.r526355

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1086, T1106, T1566, T1497

IOCs:
File: 5
Url: 2
Hash: 2

Algorithms:
base64

#ParsedReport #CompletenessMedium
31-08-2023

Analysis of Andariel s New Attack Activities

https://asec.ahnlab.com/en/56405

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Kimsuky

Threats:
Blackremote_rat
Nukesped_rat
Volgmer
Andardoor
Tiger_rat
Andarloader
Durianbeacon
Watering_hole_technique
Supply_chain_technique
Andarat
Phandoor
Rifdoor
Magicrat
Goatrat
Kisa
Carbon
Dotfuscator_tool
Log4shell_vuln
Mimikatz_tool
Backdoor/win.agent.r562183
Backdoor/win.andargodoor.c5405584
Backdoor/win.goat.c5472627
Backdoor/win.goat.c5472628
Backdoor/win.goat.c5472629
Infostealer/win.agent.c5472631
Trojan/win.agent.c5393280
Trojan/win.agent.c5451550
Trojan/win.andarinodoor.c5382101
Trojan/win.andarinodoor.c5382103
Trojan/win32.rl_mimikatz.r366782
Infostealer/mdp.behavior.m1965

Victims:
Korean corporations and organizations, korean universities, ict companies, electronic device manufacturers, shipbuilding industry, and the manufacturing industry

Industry:
Energy, Education, Logistic

Geo:
Korean, Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 1
File: 10
Hash: 27
Command: 1
Path: 5
Url: 13

Soft:
nnorix agent ab, goat rat …. 2, innorix agent, innorix, vmware horizon, internet explorer, chrome

Algorithms:
xor

Win Services:
netsvc

Languages:
php, rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Угрожающая группа Andariel - активный участник атак на корейские корпорации и организации с 2008 года, использующий различные вредоносные технологии, такие как spear phishing, watering hole, атаки на цепочки поставок, а также вредоносные программы TigerRAT, Black RAT и NukeSped. В феврале и марте 2023 года они распространяли вредоносное ПО в различных отраслях, включая национальную оборону, политические организации, университеты и ИКТ-компании. Также были созданы штаммы infostealer и DurianBeacon.
-----

Угрожающая группа Andariel атакует корейские корпорации и организации с 2008 года.

Основными целевыми отраслями являются отрасли, связанные с национальной безопасностью, такие как национальная оборона, политические организации, судостроение, энергетика и связь.

На начальном этапе компрометации группа использует фишинг (spear phishing), атаки типа "водяная яма" (watering hole) и атаки по цепочке поставок.

Группа известна созданием и использованием вредоносных программ различных типов, включая TigerRAT, Black RAT и NukeSped.

В марте 2023 года группа распространяла вредоносное ПО в ходе атак на предприятия оборонной промышленности Кореи и производителя электронных устройств.

Злоумышленники применяли атаки типа "spear phishing" и использовали в качестве целей одни и те же отрасли и сектора экономики.

#ParsedReport #CompletenessLow
31-08-2023

Ransomware Roundup - Rhysida

https://www.fortinet.com/blog/threat-research/ransomware-roundup-rhysida

Report completeness: Low

Threats:
Rhysida
Cobalt_strike

Industry:
Government, Healthcare, Education

Geo:
Asia, Apac, Africa, America, Pacific

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 10
File: 1

Crypto:
bitcoin

Algorithms:
chacha20, sha2

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhysida - это новый вариант Ransomware-as-a-Service, который атакует организации по всему миру и шифрует файлы с помощью алгоритма ChaCha. Она требует выкуп в размере 10 биткойнов, а наибольший объем похищенных данных составил 1,6 ТБ у одного из европейских правительственных учреждений.
-----

Компания FortiGuard Labs внимательно следит за развитием Rhysida ransomware - нового варианта рандомного ПО, использующего модель Ransomware-as-a-Service (RaaS). В мае 2023 года Rhysida была передана в общедоступный сервис сканирования файлов, а в августе 2023 года Координационный центр кибербезопасности сектора здравоохранения (HC3) выпустил предупреждение о Rhysida.

В качестве вектора заражения угрозы Rhysida используют фишинговые атаки, а Cobalt Strike - для латерального перемещения в сети жертвы и доставки полезной нагрузки. На сегодняшний день жертвами этой программы-вымогателя стали организации по всему миру, причем на образовательный сектор пришлось более 30% пострадавших. Наибольший объем похищенных данных составил 1,6 ТБ у одного из европейских государственных учреждений.

Программа шифрует файлы по алгоритму ChaCha, добавляя к ним расширение .rhysida. Кроме того, в PDF-файле под названием CriticalBreachDetected.pdf содержится записка с адресом TOR-сайта Rhysida, на котором жертвам предлагается договориться о выплате выкупа. Согласно анализу FortiGuard Labs, последнее требование составляло 10 биткойнов.

#ParsedReport #CompletenessMedium
31-08-2023

From Hidden Bee to Rhadamanthys The Evolution of Custom Executable Formats

https://research.checkpoint.com/2023/from-hidden-bee-to-rhadamanthys-the-evolution-of-custom-executable-formats

Report completeness: Medium

Threats:
Hidden_bee
Rhadamanthys
Heavens_gate_technique
Steganography_technique
Underminerek_tool
Procmon_tool
Ollydbg_tool
Process_hacker_tool
De4dot_tool
Amsi_bypass_technique
Infostealer.wins

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1218.001, T1036.003

IOCs:
File: 57
Hash: 41
Registry: 1
Path: 3

Soft:
telegram, windump, keepass

Wallets:
dashcore, harmony_wallet

Algorithms:
rc4, xor, base64, sha1, sha256

Win API:
RtlAddFunctionTable, ZwQueryInformationProcess, RtlDispatchException, HeapFree, HeapDestroy, LocalAlloc, LocalFree, VirtualAlloc, VirtualProtect, GetProcAddress, have more...

Languages:
lua

Platforms:
amd64

Links:
https://github.com/hasherezade/libpeconv
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/ns\_exe.cpp
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/rs\_exe.cpp
https://github.com/hasherezade/hidden\_bee\_tools/tree/master/bee\_lvl2\_converter
https://github.com/hasherezade/tiny\_tracer
https://gist.github.com/hasherezade/3a9417377cacd893c580bdffb85292c1
https://github.com/hasherezade/pe-bear
https://github.com/hasherezade/libpeconv/blob/master/tests/test\_case7/main.cpp
https://github.com/hasherezade/mal\_unpack
https://github.com/hasherezade/pe-sieve
https://github.com/hasherezade/hidden\_bee\_tools/tree/master/rdx\_converter
https://github.com/hasherezade/bee\_parser/tree/master/bee\_lvl2\_converter
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/hs\_exe.cpp
https://gist.github.com/hasherezade/1aeace26a02b9eb0f50b05eea3b67949
https://github.com/LordNoteworthy/al-khaser
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/xs\_exe.cpp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhadamanthys - это относительно новый крадущий модуль, в котором реализованы многие возможности, приемы обфускации и пользовательские форматы исполняемых файлов из Hidden Bee. Он также вызывает различные проверки среды и поддерживает до 100 скриптов. Системы Threat Emulation и Behavioral Guard компании Check Point имеют сигнатуры для обнаружения и защиты клиентов от угроз, описанных в данном исследовании.
-----

Rhadamanthys - это относительно новый стейлер, впервые появившийся в сентябре 2022 года. Он был написан King Crete и имеет очень богатый набор функций и хорошо отлаженный многоступенчатый дизайн. Rhadamanthys обладает некоторыми функциями обфускации, а основные модули поставляются в пользовательских исполняемых форматах. Анализ пользовательских исполняемых форматов Rhadamanthys и Hidden Bee выявил значительное совпадение в дизайне и реализации. В обоих случаях используются собственные исполняемые форматы, схожие виртуальные файловые системы, одинаковые пути к некоторым компонентам, повторно используемые функции, схожее применение стеганографии и использование LUA-скриптов.

Формат NE от Hidden Bee имеет некоторые функции, которые встречаются и в Rhadamanthys. Формат NS является прямым предшественником форматов, используемых в Rhadamanthys. В Rhadamanthys используются форматы RS и HS, которые имеют общие элементы с форматом NS из Hidden Bee. Формат HS наиболее близок к формату NS от Hidden Bee. Форматы RS, HS и XS имеют сходство с форматом PE, но при этом обладают и своими уникальными особенностями. Например, форматы RS и HS имеют собственную таблицу перемещений, а форматы XS используют альтернативный способ различения 32- и 64-разрядных версий.

Rhadamanthys также вызывает различные проверки среды, чтобы обойти "песочницы" и другие контролируемые среды. При успешном прохождении проверок устанавливается соединение с C2. Вредоносная программа поддерживает до 100 скриптов, но в проанализированных случаях использовалось только 60. KeePassHax.dll - исполняемый файл .NET, отвечающий за сброс учетных данных KeePass и их отправку на C2.

Hidden Bee и Rhadamanthys используют общую область памяти, доступ к которой осуществляется разными процессами через именованное отображение. Они также используют одинаковые пути для своих компонентов, например /bin/amd64/preload и /bin/amd4/coredll.bin . Виртуальные файловые системы, используемые Rhadamanthys, являются следующим шагом в эволюции тех, что применяются в Hidden Bee, с той же магией !Rex . Авторы обоих семейств вредоносных программ также используют Heaven's Gate - не документированную официально технику, позволяющую переключать интерпретацию кода с 32-битного на 64-битный.

Очевидно, что автор Rhadamanthys движется в направлении расширения возможностей настройки и постоянно совершенствует продукт, а также внедряет полученные методики и PoC. Защиты Threat Emulation и Behavioral Guard компании Check Point разработали и развернули сигнатуры для обнаружения и защиты клиентов от угроз, описанных в данном исследовании. Стоит следить за развитием пользовательских форматов, поскольку их преобразование в PE значительно упрощает и ускоряет процесс анализа.

#ParsedReport #CompletenessMedium
31-08-2023

VMConnect supply chain attack continues, evidence points to North Korea

https://www.reversinglabs.com/blog/vmconnect-supply-chain-campaign-continues

Report completeness: Medium

Actors/Campaigns:
Vmconnect
Lazarus
Cryptocore
Iconburst

Threats:
Supply_chain_technique
Sentinelsneak
Typosquatting_technique
Pythonhttpbackdoor
Jokerspy
Qrlog

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1036.004, T1105, T1090.001, T1036.003, T1027, T1071.001

IOCs:
File: 2
Domain: 1
IP: 1
Hash: 14

Soft:
macos, node.js

Algorithms:
xor, base64

Languages:
python, java

YARA: Found

Links:
https://github.com/MauroEldritch

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию в цепочке поставок, связанную с северокорейской Lazarus Group, в которой использовались опечатки и другие методы самозванства. Для предотвращения подобных атак организациям следует вкладывать средства в обучение и проведение информационных кампаний.
-----

В августе 2021 года компания ReversingLabs выявила вредоносную кампанию, в рамках которой в репозитории открытых исходных кодов PyPI было размещено два десятка вредоносных пакетов Python. Пакеты были разработаны для имитации популярных инструментов Python с открытым исходным кодом, таких как vConnector, eth-tester и базы данных. Впоследствии ReversingLabs обнаружила еще три вредоносных Python-пакета, которые, как предполагается, являются продолжением этой кампании и называются tablediter, request-plus и requestspro. Хотя команде не удалось получить копии вредоносного ПО Stage 2, использовавшегося в этой кампании, анализ вредоносных пакетов и их полезной нагрузки выявил связи с предыдущими кампаниями, приписываемыми северокорейской подгруппе Lazarus Group, Labyrinth Chollima.

Вредоносные пакеты использовали такие приемы обхода, как опечатки и другие способы выдачи себя за другого. Злоумышленники модифицировали файл __init__.py для запуска потока, выполняющего функцию из файла cookies.py. Файл cookies.py был модифицирован и содержал несколько вредоносных функций для сбора информации о зараженной машине и отправки ее обратно на C2-сервер. C2-сервер, связанный с кампанией, по умолчанию не предоставлял дополнительных команд, что затрудняет оценку всего масштаба кампании.

Сходство кода VMConnect с другими известными вредоносными кампаниями, а также общая инфраструктура C2 позволяют предположить связь с северокорейской Lazarus Group. В отчете JPCERT в качестве возможных образцов вредоносного ПО второго этапа, загруженных в рамках этой кампании, названы образцы, нацеленные на среды Windows, macOS и Linux с установленными операционными системами Python и Node.js, в том числе PythonHTTPBackdoor, JokerSpy и QRLog. Организациям следует вкладывать средства в обучение и информационные кампании, чтобы разработчики не попадали под опечатки и другие атаки, а также инвестировать в инструменты и процессы для оценки кода на наличие подозрительных или вредоносных индикаторов.