#ParsedReport #CompletenessLow
31-08-2023

Tracking fileless malware distributed through spam mail

https://asec.ahnlab.com/ko/56438

Report completeness: Low

Threats:
Agent_tesla
Remcos_rat
Limerat
Trojan/win.generic.r526355

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1086, T1106, T1566, T1497

IOCs:
File: 5
Url: 2
Hash: 2

Algorithms:
base64

#ParsedReport #CompletenessMedium
31-08-2023

Analysis of Andariel s New Attack Activities

https://asec.ahnlab.com/en/56405

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Kimsuky

Threats:
Blackremote_rat
Nukesped_rat
Volgmer
Andardoor
Tiger_rat
Andarloader
Durianbeacon
Watering_hole_technique
Supply_chain_technique
Andarat
Phandoor
Rifdoor
Magicrat
Goatrat
Kisa
Carbon
Dotfuscator_tool
Log4shell_vuln
Mimikatz_tool
Backdoor/win.agent.r562183
Backdoor/win.andargodoor.c5405584
Backdoor/win.goat.c5472627
Backdoor/win.goat.c5472628
Backdoor/win.goat.c5472629
Infostealer/win.agent.c5472631
Trojan/win.agent.c5393280
Trojan/win.agent.c5451550
Trojan/win.andarinodoor.c5382101
Trojan/win.andarinodoor.c5382103
Trojan/win32.rl_mimikatz.r366782
Infostealer/mdp.behavior.m1965

Victims:
Korean corporations and organizations, korean universities, ict companies, electronic device manufacturers, shipbuilding industry, and the manufacturing industry

Industry:
Energy, Education, Logistic

Geo:
Korean, Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Registry: 1
File: 10
Hash: 27
Command: 1
Path: 5
Url: 13

Soft:
nnorix agent ab, goat rat …. 2, innorix agent, innorix, vmware horizon, internet explorer, chrome

Algorithms:
xor

Win Services:
netsvc

Languages:
php, rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Угрожающая группа Andariel - активный участник атак на корейские корпорации и организации с 2008 года, использующий различные вредоносные технологии, такие как spear phishing, watering hole, атаки на цепочки поставок, а также вредоносные программы TigerRAT, Black RAT и NukeSped. В феврале и марте 2023 года они распространяли вредоносное ПО в различных отраслях, включая национальную оборону, политические организации, университеты и ИКТ-компании. Также были созданы штаммы infostealer и DurianBeacon.
-----

Угрожающая группа Andariel атакует корейские корпорации и организации с 2008 года.

Основными целевыми отраслями являются отрасли, связанные с национальной безопасностью, такие как национальная оборона, политические организации, судостроение, энергетика и связь.

На начальном этапе компрометации группа использует фишинг (spear phishing), атаки типа "водяная яма" (watering hole) и атаки по цепочке поставок.

Группа известна созданием и использованием вредоносных программ различных типов, включая TigerRAT, Black RAT и NukeSped.

В марте 2023 года группа распространяла вредоносное ПО в ходе атак на предприятия оборонной промышленности Кореи и производителя электронных устройств.

Злоумышленники применяли атаки типа "spear phishing" и использовали в качестве целей одни и те же отрасли и сектора экономики.

#ParsedReport #CompletenessLow
31-08-2023

Ransomware Roundup - Rhysida

https://www.fortinet.com/blog/threat-research/ransomware-roundup-rhysida

Report completeness: Low

Threats:
Rhysida
Cobalt_strike

Industry:
Government, Healthcare, Education

Geo:
Asia, Apac, Africa, America, Pacific

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 10
File: 1

Crypto:
bitcoin

Algorithms:
chacha20, sha2

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhysida - это новый вариант Ransomware-as-a-Service, который атакует организации по всему миру и шифрует файлы с помощью алгоритма ChaCha. Она требует выкуп в размере 10 биткойнов, а наибольший объем похищенных данных составил 1,6 ТБ у одного из европейских правительственных учреждений.
-----

Компания FortiGuard Labs внимательно следит за развитием Rhysida ransomware - нового варианта рандомного ПО, использующего модель Ransomware-as-a-Service (RaaS). В мае 2023 года Rhysida была передана в общедоступный сервис сканирования файлов, а в августе 2023 года Координационный центр кибербезопасности сектора здравоохранения (HC3) выпустил предупреждение о Rhysida.

В качестве вектора заражения угрозы Rhysida используют фишинговые атаки, а Cobalt Strike - для латерального перемещения в сети жертвы и доставки полезной нагрузки. На сегодняшний день жертвами этой программы-вымогателя стали организации по всему миру, причем на образовательный сектор пришлось более 30% пострадавших. Наибольший объем похищенных данных составил 1,6 ТБ у одного из европейских государственных учреждений.

Программа шифрует файлы по алгоритму ChaCha, добавляя к ним расширение .rhysida. Кроме того, в PDF-файле под названием CriticalBreachDetected.pdf содержится записка с адресом TOR-сайта Rhysida, на котором жертвам предлагается договориться о выплате выкупа. Согласно анализу FortiGuard Labs, последнее требование составляло 10 биткойнов.

#ParsedReport #CompletenessMedium
31-08-2023

From Hidden Bee to Rhadamanthys The Evolution of Custom Executable Formats

https://research.checkpoint.com/2023/from-hidden-bee-to-rhadamanthys-the-evolution-of-custom-executable-formats

Report completeness: Medium

Threats:
Hidden_bee
Rhadamanthys
Heavens_gate_technique
Steganography_technique
Underminerek_tool
Procmon_tool
Ollydbg_tool
Process_hacker_tool
De4dot_tool
Amsi_bypass_technique
Infostealer.wins

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1218.001, T1036.003

IOCs:
File: 57
Hash: 41
Registry: 1
Path: 3

Soft:
telegram, windump, keepass

Wallets:
dashcore, harmony_wallet

Algorithms:
rc4, xor, base64, sha1, sha256

Win API:
RtlAddFunctionTable, ZwQueryInformationProcess, RtlDispatchException, HeapFree, HeapDestroy, LocalAlloc, LocalFree, VirtualAlloc, VirtualProtect, GetProcAddress, have more...

Languages:
lua

Platforms:
amd64

Links:
https://github.com/hasherezade/libpeconv
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/ns\_exe.cpp
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/rs\_exe.cpp
https://github.com/hasherezade/hidden\_bee\_tools/tree/master/bee\_lvl2\_converter
https://github.com/hasherezade/tiny\_tracer
https://gist.github.com/hasherezade/3a9417377cacd893c580bdffb85292c1
https://github.com/hasherezade/pe-bear
https://github.com/hasherezade/libpeconv/blob/master/tests/test\_case7/main.cpp
https://github.com/hasherezade/mal\_unpack
https://github.com/hasherezade/pe-sieve
https://github.com/hasherezade/hidden\_bee\_tools/tree/master/rdx\_converter
https://github.com/hasherezade/bee\_parser/tree/master/bee\_lvl2\_converter
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/hs\_exe.cpp
https://gist.github.com/hasherezade/1aeace26a02b9eb0f50b05eea3b67949
https://github.com/LordNoteworthy/al-khaser
https://github.com/hasherezade/hidden\_bee\_tools/blob/master/bee\_lvl2\_converter/xs\_exe.cpp

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhadamanthys - это относительно новый крадущий модуль, в котором реализованы многие возможности, приемы обфускации и пользовательские форматы исполняемых файлов из Hidden Bee. Он также вызывает различные проверки среды и поддерживает до 100 скриптов. Системы Threat Emulation и Behavioral Guard компании Check Point имеют сигнатуры для обнаружения и защиты клиентов от угроз, описанных в данном исследовании.
-----

Rhadamanthys - это относительно новый стейлер, впервые появившийся в сентябре 2022 года. Он был написан King Crete и имеет очень богатый набор функций и хорошо отлаженный многоступенчатый дизайн. Rhadamanthys обладает некоторыми функциями обфускации, а основные модули поставляются в пользовательских исполняемых форматах. Анализ пользовательских исполняемых форматов Rhadamanthys и Hidden Bee выявил значительное совпадение в дизайне и реализации. В обоих случаях используются собственные исполняемые форматы, схожие виртуальные файловые системы, одинаковые пути к некоторым компонентам, повторно используемые функции, схожее применение стеганографии и использование LUA-скриптов.

Формат NE от Hidden Bee имеет некоторые функции, которые встречаются и в Rhadamanthys. Формат NS является прямым предшественником форматов, используемых в Rhadamanthys. В Rhadamanthys используются форматы RS и HS, которые имеют общие элементы с форматом NS из Hidden Bee. Формат HS наиболее близок к формату NS от Hidden Bee. Форматы RS, HS и XS имеют сходство с форматом PE, но при этом обладают и своими уникальными особенностями. Например, форматы RS и HS имеют собственную таблицу перемещений, а форматы XS используют альтернативный способ различения 32- и 64-разрядных версий.

Rhadamanthys также вызывает различные проверки среды, чтобы обойти "песочницы" и другие контролируемые среды. При успешном прохождении проверок устанавливается соединение с C2. Вредоносная программа поддерживает до 100 скриптов, но в проанализированных случаях использовалось только 60. KeePassHax.dll - исполняемый файл .NET, отвечающий за сброс учетных данных KeePass и их отправку на C2.

Hidden Bee и Rhadamanthys используют общую область памяти, доступ к которой осуществляется разными процессами через именованное отображение. Они также используют одинаковые пути для своих компонентов, например /bin/amd64/preload и /bin/amd4/coredll.bin . Виртуальные файловые системы, используемые Rhadamanthys, являются следующим шагом в эволюции тех, что применяются в Hidden Bee, с той же магией !Rex . Авторы обоих семейств вредоносных программ также используют Heaven's Gate - не документированную официально технику, позволяющую переключать интерпретацию кода с 32-битного на 64-битный.

Очевидно, что автор Rhadamanthys движется в направлении расширения возможностей настройки и постоянно совершенствует продукт, а также внедряет полученные методики и PoC. Защиты Threat Emulation и Behavioral Guard компании Check Point разработали и развернули сигнатуры для обнаружения и защиты клиентов от угроз, описанных в данном исследовании. Стоит следить за развитием пользовательских форматов, поскольку их преобразование в PE значительно упрощает и ускоряет процесс анализа.

#ParsedReport #CompletenessMedium
31-08-2023

VMConnect supply chain attack continues, evidence points to North Korea

https://www.reversinglabs.com/blog/vmconnect-supply-chain-campaign-continues

Report completeness: Medium

Actors/Campaigns:
Vmconnect
Lazarus
Cryptocore
Iconburst

Threats:
Supply_chain_technique
Sentinelsneak
Typosquatting_technique
Pythonhttpbackdoor
Jokerspy
Qrlog

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1036.004, T1105, T1090.001, T1036.003, T1027, T1071.001

IOCs:
File: 2
Domain: 1
IP: 1
Hash: 14

Soft:
macos, node.js

Algorithms:
xor, base64

Languages:
python, java

YARA: Found

Links:
https://github.com/MauroEldritch

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию в цепочке поставок, связанную с северокорейской Lazarus Group, в которой использовались опечатки и другие методы самозванства. Для предотвращения подобных атак организациям следует вкладывать средства в обучение и проведение информационных кампаний.
-----

В августе 2021 года компания ReversingLabs выявила вредоносную кампанию, в рамках которой в репозитории открытых исходных кодов PyPI было размещено два десятка вредоносных пакетов Python. Пакеты были разработаны для имитации популярных инструментов Python с открытым исходным кодом, таких как vConnector, eth-tester и базы данных. Впоследствии ReversingLabs обнаружила еще три вредоносных Python-пакета, которые, как предполагается, являются продолжением этой кампании и называются tablediter, request-plus и requestspro. Хотя команде не удалось получить копии вредоносного ПО Stage 2, использовавшегося в этой кампании, анализ вредоносных пакетов и их полезной нагрузки выявил связи с предыдущими кампаниями, приписываемыми северокорейской подгруппе Lazarus Group, Labyrinth Chollima.

Вредоносные пакеты использовали такие приемы обхода, как опечатки и другие способы выдачи себя за другого. Злоумышленники модифицировали файл __init__.py для запуска потока, выполняющего функцию из файла cookies.py. Файл cookies.py был модифицирован и содержал несколько вредоносных функций для сбора информации о зараженной машине и отправки ее обратно на C2-сервер. C2-сервер, связанный с кампанией, по умолчанию не предоставлял дополнительных команд, что затрудняет оценку всего масштаба кампании.

Сходство кода VMConnect с другими известными вредоносными кампаниями, а также общая инфраструктура C2 позволяют предположить связь с северокорейской Lazarus Group. В отчете JPCERT в качестве возможных образцов вредоносного ПО второго этапа, загруженных в рамках этой кампании, названы образцы, нацеленные на среды Windows, macOS и Linux с установленными операционными системами Python и Node.js, в том числе PythonHTTPBackdoor, JokerSpy и QRLog. Организациям следует вкладывать средства в обучение и информационные кампании, чтобы разработчики не попадали под опечатки и другие атаки, а также инвестировать в инструменты и процессы для оценки кода на наличие подозрительных или вредоносных индикаторов.

#ParsedReport #CompletenessMedium
30-08-2023

A Look Into DuckTail

https://www.zscaler.com/blogs/security-research/look-ducktail

Report completeness: Medium

Threats:
Ducktail_stealer
Timestomp_technique

Victims:
Facebook, tiktok business accounts, google ad accounts, linkedin accounts

Industry:
Financial

Geo:
Turkey, Vietnam, Vietnamese, American

TTPs:
Tactics: 1
Technics: 7

IOCs:
Domain: 58
File: 5

Soft:
tiktok, telegram, chatgpt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: DuckTail - это вьетнамские киберпреступники, которые используют Google Translate для общения с потенциальными жертвами через вредоносные ссылки в LinkedIn. Они используют различные облачные сервисы для размещения и распространения вредоносной полезной нагрузки, злоупотребляют сокращателем URL-адресов Rebrandly, используют прокси-сервисы по месту жительства, а также продают украденные аккаунты в социальных сетях на подпольных рынках.
-----

В ходе нашего расследования деятельности группы угроз DuckTail мы получили обширную информацию о тактике, технике и процедурах ее работы. Группой DuckTail управляют в основном вьетнамские киберпреступники, которые используют Google Translate для общения с потенциальными жертвами через LinkedIn. Угрозы нацелены на личные, бизнес- и рекламные аккаунты на таких платформах, как TikTok, Facebook, LinkedIn и Google, и используют социальную инженерию для заражения устройств. Вредоносная полезная нагрузка обычно представляет собой исполняемые файлы .NET, но в некоторых случаях она поставляется в виде надстроек Excel или расширений для браузеров. Вредоносная программа похищает сессионные cookies браузеров и, как правило, распространяется через вредоносные ссылки на LinkedIn.

Для размещения и распространения полезной нагрузки угрозы также используют различные облачные сервисы, включая iCloud, Google Drive, Dropbox, Transfer.sh и OneDrive. Они также используют платформу управления проектами Trello, загружая архивы в виде вложений в карточки Trello и предоставляя жертвам прямую ссылку на скачивание. Кроме того, известны случаи использования Rebrandly, сервиса сокращения URL-адресов, для придания загрузкам более легитимного вида.

Мы также заметили, что для получения доступа к взломанным учетным записям и уклонения от обнаружения угрожающие лица используют прокси-сервисы по месту жительства. Кроме того, для того чтобы остаться незамеченными, они используют "шифрованные уведомления" в Facebook. Кроме того, известны случаи, когда злоумышленники предпринимали дополнительные меры для продления жизни скомпрометированного рекламного аккаунта, например, меняли пароль и адрес электронной почты аккаунта Facebook во время захвата. Они также удаляют следы, очищая электронную почту LinkedIn.

Угрозы DuckTail являются активными продавцами на подпольном рынке краденых учетных записей в социальных сетях, где цены на них определяются исходя из их предполагаемой ценности. В зависимости от свойств учетной записи она может быть от очень ценной до практически бесполезной для покупателей. Возможно, некоторые из этих аккаунтов были приобретены на подпольных рынках. Цена низкосортного аккаунта составляет около 350 000 вьетнамских донгов (\~15 долл. США), а высококачественный аккаунт продается за 8 000 000 вьетнамских донгов (\~340 долл. США).

#ParsedReport #CompletenessLow
31-08-2023

New hierarchy, heightened threat: Classiscam s sustained global campaign

https://www.group-ib.com/blog/classiscam-2023

Report completeness: Low

Threats:
Classiscam

Victims:
Internet users in 79 countries, impersonating 251 unique brands from various sectors and industries

Industry:
E-commerce, Retail, Financial

Geo:
Australia, Apac, Italy, Germany, Cambodia, Russia, Iceland, Africa, Canada, Poland, Israel, France, Belgium, Spain, Luxembourg, Albania, Czech, Asia-pacific, Singapore, Libya, Thailand, Denmark, Romania

Soft:
telegram

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 5, chart: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Classiscam - это автоматизированная программа мошенничества как услуга, которая становится все более изощренной и широко распространенной, приносит доход в размере 64,5 млн. долл. и нацелена на пользователей Интернета в 79 странах.
-----

Classiscam - это автоматизированная мошенническая программа, запущенная в 2019 году, которая становится все более изощренной и широко распространенной. Исследователи Group-IB обнаружили 1 366 отдельных групп Classiscam в Telegram в период с первого полугодия 2020 года по первое полугодие 2023 года, что позволило получить доход в размере 64,5 млн долл. Эти группы были нацелены на интернет-пользователей в 79 странах и выдавали себя за 251 уникальный бренд из различных отраслей. Наиболее активным регионом для атак была Европа (62,2% от общего числа атак); наибольшая стоимость атак была зафиксирована в Германии - 26,5%, далее следуют Польша (21,9%), Испания (19,8%), Италия (13,0%) и Румыния (5,5%). Наибольшие средние денежные потери на одну транзакцию были зафиксированы в Великобритании - 865 долл.

Фишинговые операции стали автоматизированными, для создания новой схемы используются специализированные роли и инструменты. Мошенники используют приемы социальной инженерии, направляя потенциальных жертв на автоматически генерируемые фишинговые сайты. Иерархия пирамид для групп Classiscam расширилась и теперь включает в себя различные специализированные задачи. На фишинговые веб-страницы добавляется проверка баланса, позволяющая определить, сколько денег находится на банковском счете жертвы. В некоторых странах на фишинговые страницы добавляются фальшивые страницы входа в местные банки. Похитители информации используются для сбора паролей от учетных записей браузера и передачи их оператору.

#ParsedReport #CompletenessLow
31-08-2023

Cisco Talos Intelligence Blog. SapphireStealer: Open-source information stealer enables credential and data theft

https://blog.talosintelligence.com/sapphirestealer-goes-open-source

Report completeness: Low

Threats:
Sapphirestealer
Fud-loader
Dcrat
Njrat
Darkcomet_rat
Agent_tesla

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1565.001, T1195, T1036, T1059, T1064, T1086

IOCs:
File: 5
Url: 1
Path: 3

Soft:
discord, telegram, chrome, opera, google chrome, chromium, orbitum, kometa, microsoft edge, torch, have more...

Links:
https://github.com/0day2/SapphireStealer/
https://github.com/Cisco-Talos/IOCs/tree/main/2023/08
https://github.com/Cisco-Talos/osquery\_queries/blob/master/win\_malware/sapphirestealer\_path.yaml
https://github.com/0day2/FUD-Loader

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: SapphireStealer - это похититель информации с открытым исходным кодом, который используется угрожающими субъектами для утечки конфиденциальной информации и учетных данных из целевых систем. Кодовая база была усовершенствована и модифицирована различными угрожающими субъектами, что привело к созданию нескольких вариантов. Неопытные угрозы все чаще используют открытые кодовые базы вредоносных программ для проведения атак на похитителей информации, которые могут нанести серьезный ущерб корпоративным средам.
-----

SapphireStealer - это программа для кражи информации с открытым исходным кодом, которая с момента своего появления в декабре 2022 года все чаще встречается в открытых репозиториях вредоносного ПО. Он используется различными субъектами для утечки конфиденциальной информации из целевых систем, которая затем может быть перепродана другим угрожающим субъектам для дальнейших вредоносных действий, таких как шпионаж или вымогательство/вымогательство. SapphireStealer обычно поставляется в рамках многоступенчатого процесса заражения, причем для доставки полезной нагрузки жертвам угрозы используют загрузчик FUD-Loader с открытым исходным кодом.

Похитители информации становятся все более популярными среди угроз, поскольку предлагают простой способ получения и распространения конфиденциальной информации и данных, связанных с учетными записями. SapphireStealer предназначен для кражи различных баз данных и файлов учетных данных браузеров. Его кодовая база была усовершенствована и модифицирована различными участниками угроз, что привело к созданию нескольких вариантов. Эти варианты имеют различные расширения файлов, предназначенных для сбора данных, и были оптимизированы и рефакторингованы для повышения эффективности.

В некоторых случаях угрожающие лица не соблюдали оперативные меры безопасности, оставляя после себя личные учетные записи и доменные имена, связанные с деятельностью вредоносного ПО. Это свидетельствует о растущей тенденции использования неопытными угрозами легкодоступных кодовых баз вредоносных программ с открытым исходным кодом для проведения атак с целью хищения информации, которые могут нанести серьезный ущерб корпоративным средам.

#ParsedReport #CompletenessHigh
31-08-2023

Decrypting Key Group Ransomware: Emerging Financially Motivated Cyber Crime Gang

https://blog.eclecticiq.com/decrypting-key-group-ransomware-emerging-financially-motivated-cyber-crime-gang

Report completeness: High

Actors/Campaigns:
Key_wolf

Threats:
Keygroup_ransomware
Njrat
Chaos_ransomware
Lolbin_technique
Vssadmin_tool
Lolbas_technique

Industry:
E-commerce

Geo:
Ukraine, Russian, Russia

IOCs:
Domain: 3
Command: 1
IP: 1
Hash: 7
File: 13

Soft:
telegram, bcdedit, chatgpt

Algorithms:
cbc, base64, sha256, aes, pbkdf2

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Семейство программ-вымогателей Key Group - это малоискушенные, но опасные агенты угроз, ориентированные в первую очередь на получение финансовой выгоды путем продажи PII или первоначального доступа к скомпрометированным устройствам и получения выкупа. Они используют различные методы для поиска и заражения жертв и уклонения от обнаружения.
-----

Семейство программ-вымогателей Key Group было впервые обнаружено 6 января 2023 года и с тех пор не прекращало своей активности. По мнению исследователей EclecticIQ, эта группа представляет собой преимущественно русскоязычную, финансово мотивированную группу угроз, которая использует канал Telegram для переговоров о выкупе. Кроме того, у них есть закрытый канал, предназначенный только для приглашенных, для обмена информацией, такой как доксинг и наступательные инструменты. Вероятно, с 29 июня 2023 года группа использует NjRAT, инструмент удаленного администрирования (RAT), для удаленного доступа к устройствам жертв.

Программа использует CBC-режим Advanced Encryption Standard (AES) для шифрования файлов и передачи персональной информации (PII) с устройств жертв злоумышленникам. Зашифрованные файлы получают расширение .keygroup777tg. По оценке аналитиков EclecticIQ, программа Key Group ransomware может быть отнесена к категории угроз низкого уровня сложности. Это связано с тем, что в образцах ransomware были обнаружены многочисленные криптографические ошибки, которые позволили создать инструмент дешифрования 03.08.2023.

Участники Key Group используют darkweb-площадку Dark Store для обмена взломанными учетными записями в социальных сетях, частными VPN-сервисами и учетными записями электронной почты. Владелец группы действует под псевдонимом DARKZEUS. В предыдущих версиях вымогательского ПО Key Group для защиты российских жертв использовался конструктор вымогательского ПО Chaos 4.0.

Программа использует AES-шифрование, реализованное на языке C# с помощью класса RijndaelManaged. Он кодирует пароль в виде байтов UTF-8, а затем хэширует их по алгоритму SHA-256. Зашифрованные байты записываются в новый файл в том же каталоге с кодированным именем и расширением .keygroup777tg. Для шифрования данных используется статический ключ N0dQM0I1JCM=.

Программа Key Group ransomware отправляет злоумышленникам метаданные, связанные с сетью, используя сокращатель URL-адресов yip.su, перенаправляющий на сайт iplogger.org. Они включают отпечаток браузера, IP-адрес, геолокацию и дату заражения жертвы. Для удаления службы теневого копирования тома (Volume Shadow Copy Service, VSS) и предотвращения восстановления данных группировка также использует двоичные файлы (live-off-the-land binaries, LOLBINS). Кроме того, они могут отключать обновления от различных антивирусных решений путем модификации файла hosts.

Семейство программ-вымогателей Key Group - это малоискушенные, но опасные угрозы, ориентированные в первую очередь на получение финансовой выгоды путем продажи PII или первоначального доступа к скомпрометированным устройствам и получения выкупа. Группа использует различные методы для поиска и заражения жертв и ускользания от обнаружения. Частным лицам и организациям важно принять необходимые меры предосторожности для защиты своих данных и систем от такого рода атак.

#rstcloud

Добавили в фид источник с хэшами уязвимых драйверов.
Такие драйвера подвержены lolbins, BYOVD-атакам

Как использовать:

Самое простое - поставить на мониторинг по событиям от NGFW, или EDR. Если по сети пролетит такой драйвер (появится на хосте), то это повод насторожиться и повнимательнее посмотреть откуда, кто и как решил затащить этот драйвер в инфру.

Чуть сложнее - поискать на машинках файлы с данными хэшами, чтобы понять где в инфре есть потенциально уязвимые машины.

З.ы. На винде можно настроить блокировку уязвимых драйверов
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/design/microsoft-recommended-driver-block-rules#steps-to-download-and-apply-the-vulnerable-driver-blocklist-binary

#ParsedReport #CompletenessLow
01-09-2023

Backdoor LNK : RedEyes(ScarCruft)

https://asec.ahnlab.com/ko/56526

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dropper/lnk.generic.s2241
Trojan/bat.psexec.s2247

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1193, T1064, T1204

IOCs:
File: 9
Path: 2
Registry: 1
Command: 1
Url: 5
Hash: 3

Soft:
psexec

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленниками распространяются вредоносные LNK- и CHM-файлы, которые при исполнении могут выполнять различные вредоносные действия. Для защиты от подобных угроз пользователям следует избегать выполнения больших LNK-файлов неизвестного происхождения и проявлять повышенную осторожность при загрузке любых подозрительных файлов.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно подтвердил факт распространения вредоносного кода в виде LNK-файлов. Эти вредоносные файлы, загружаемые с именами REPORT.ZIP, KB_20230531.rar, attachment.rar и hanacard_20230610.rar, содержат ранее идентифицированные вредоносные CHM-файлы. После выполнения эти файлы запускают дополнительный скрипт с определенного URL через процесс mshta и получают команды с сервера злоумышленника. Затем этот код вредоносного скрипта выполняется в папке %Temp% с помощью команды PowerShell, в результате чего создается как обычный документ 'Status Survey.xlsx', так и вредоносный скрипт 'PMmVvG56FLC9y.bat'.

Учитывая различия между командами, приведенными в табл. 1, и ранее идентифицированными командами, можно предположить, что злоумышленник постоянно модифицирует код скрипта. Это означает, что наряду с уже подтвержденными функциями могут выполняться и другие вредоносные действия. Для защиты от этих угроз пользователям следует быть предельно внимательными при работе с файлами, имеющими неизвестного создателя и размер более 10 МБ.

Таким образом, злоумышленники распространяют вредоносные LNK- и CHM-файлы, при выполнении которых с определенного URL через процесс mshta запускается дополнительный скрипт, получающий команды с сервера злоумышленника. Затем эти вредоносные скрипты могут выполнять различные вредоносные действия, например, создавать в папке %Temp% обычные документы и вредоносные скрипты. Для защиты от подобных угроз пользователям следует избегать выполнения больших LNK-файлов неизвестного происхождения и проявлять повышенную осторожность при загрузке любых подозрительных файлов.