Тем временем draft RFC по IOC в августе добрался до релиза
https://www.rfc-editor.org/info/rfc9424
https://www.rfc-editor.org/info/rfc9424
👍1
#ParsedReport #CompletenessLow
04-09-2023
Tracking Fileless Malware Distributed Through Spam Mails
https://asec.ahnlab.com/en/56512
Report completeness: Low
Threats:
Agent_tesla
Remcos_rat
Limerat
Trojan/win.generic.r526355
Industry:
Financial
IOCs:
File: 5
Url: 2
Hash: 2
Algorithms:
base64
04-09-2023
Tracking Fileless Malware Distributed Through Spam Mails
https://asec.ahnlab.com/en/56512
Report completeness: Low
Threats:
Agent_tesla
Remcos_rat
Limerat
Trojan/win.generic.r526355
Industry:
Financial
IOCs:
File: 5
Url: 2
Hash: 2
Algorithms:
base64
ASEC
Tracking Fileless Malware Distributed Through Spam Mails - ASEC
Tracking Fileless Malware Distributed Through Spam Mails ASEC
#ParsedReport #CompletenessLow
04-09-2023
apt-c-55 kimsuky. 1. Attack activity analysis
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493300&idx=1&sn=614dda72d95b5dfd732916aec0662598&chksm=f9c1d5bdceb65cab316de9e368fef6a997b82e96ed1a70b9b53ea8ae3c5698a8d4c95488e956&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Kimsuky
Threats:
Harpoon
Victims:
South korean government departments, think tanks, government diplomacy, news organizations, educational and academic institutions, countries including the united states, russia, and european countries
Industry:
Government
Geo:
Korea, Russia, Korean
ChatGPT TTPs:
T1059.003, T1036.005, T1171, T1203, T1566.001, T1112, T1106, T1486
IOCs:
Hash: 7
Url: 6
File: 4
Path: 1
Soft:
chrome
Algorithms:
xor, base64
Languages:
php
Platforms:
x64
04-09-2023
apt-c-55 kimsuky. 1. Attack activity analysis
https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493300&idx=1&sn=614dda72d95b5dfd732916aec0662598&chksm=f9c1d5bdceb65cab316de9e368fef6a997b82e96ed1a70b9b53ea8ae3c5698a8d4c95488e956&scene=178&cur_album_id=1955835290309230595&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#rd
Report completeness: Low
Actors/Campaigns:
Kimsuky
Threats:
Harpoon
Victims:
South korean government departments, think tanks, government diplomacy, news organizations, educational and academic institutions, countries including the united states, russia, and european countries
Industry:
Government
Geo:
Korea, Russia, Korean
ChatGPT TTPs:
do not use without manual checkT1059.003, T1036.005, T1171, T1203, T1566.001, T1112, T1106, T1486
IOCs:
Hash: 7
Url: 6
File: 4
Path: 1
Soft:
chrome
Algorithms:
xor, base64
Languages:
php
Platforms:
x64
微信公众平台
APT-C-55(Kimsuky)组织使用韩文域名进行恶意活动
这轮攻击中Kimsuky组织使用了韩文域名进行恶意载荷下载、通信,并没有使用以往的英文域名
CTT Report Hub
#ParsedReport #CompletenessLow 04-09-2023 apt-c-55 kimsuky. 1. Attack activity analysis https://mp-weixin-qq-com.translate.goog/s?__biz=MzUyMjk4NzExMA==&mid=2247493300&idx=1&sn=614dda72d95b5dfd732916aec0662598&chksm=f9c1d5bdceb65cab316de9e368fef6a997b82…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Организация APT-C-55 (Kimsuky) на протяжении длительного времени атакует правительственные учреждения Южной Кореи с помощью образцов вредоносных макроатак, используя социальную инженерию, гарпунные письма, атаки "водяных ям" и другие средства. Недавно исследователи обнаружили последнюю атакующую кампанию этой организации, которая использует корейские доменные имена для загрузки и передачи вредоносной полезной нагрузки. Предполагается, что этот сайт мог быть захвачен организацией Kimsuky.
-----
Ключевые факты:.
Организация APT-C-55 (Kimsuky) уже давно нацелена на государственные ведомства Южной Кореи.
Для доставки вредоносных файлов организация использует социальную инженерию, гарпунные письма, атаки типа "водяная яма" и другие средства.
Атака начинается с lnk-файла, который содержит большое количество невидимых и бессмысленных символов, призванных снизить защиту жертвы.
После щелчка на lnk-файле будет расшифрован и освобожден от себя файл VBS-сценария, который будет выполнен.
Полезная нагрузка используется в основном для сбора информации и ее обратной передачи.
Доменное имя xn--vn4b27hka971hbue.kr фактически является корейским доменным именем .kr.
Домашняя страница доменного имени является домашней страницей компании под названием "Hansol Tape". Есть предположение, что этот сайт мог быть захвачен организацией Kimsuky.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Организация APT-C-55 (Kimsuky) на протяжении длительного времени атакует правительственные учреждения Южной Кореи с помощью образцов вредоносных макроатак, используя социальную инженерию, гарпунные письма, атаки "водяных ям" и другие средства. Недавно исследователи обнаружили последнюю атакующую кампанию этой организации, которая использует корейские доменные имена для загрузки и передачи вредоносной полезной нагрузки. Предполагается, что этот сайт мог быть захвачен организацией Kimsuky.
-----
Ключевые факты:.
Организация APT-C-55 (Kimsuky) уже давно нацелена на государственные ведомства Южной Кореи.
Для доставки вредоносных файлов организация использует социальную инженерию, гарпунные письма, атаки типа "водяная яма" и другие средства.
Атака начинается с lnk-файла, который содержит большое количество невидимых и бессмысленных символов, призванных снизить защиту жертвы.
После щелчка на lnk-файле будет расшифрован и освобожден от себя файл VBS-сценария, который будет выполнен.
Полезная нагрузка используется в основном для сбора информации и ее обратной передачи.
Доменное имя xn--vn4b27hka971hbue.kr фактически является корейским доменным именем .kr.
Домашняя страница доменного имени является домашней страницей компании под названием "Hansol Tape". Есть предположение, что этот сайт мог быть захвачен организацией Kimsuky.
#ParsedReport #CompletenessHigh
04-09-2023
ICYMI: Emotet Reappeared Early This Year, Unfortunately
https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html
Report completeness: High
Threats:
Emotet
Joao
Zipbomb_technique
Hiatusrat
Passview_tool
Process_injection_technique
Process_hollowing_technique
Amphitryon
Powerstats
Industry:
Healthcare, Energy, Government, Financial, Entertainment, E-commerce
Geo:
Ukraine, Thailand, Estonia, Singapore, Turkey, Portugal, Guatemala, Emirates, Italy, Israel
TTPs:
IOCs:
File: 12
IP: 87
Hash: 322
Soft:
microsoft word, microsoft onenote, onenote, microsoft office word, microsoft office
Algorithms:
ecc, zip, ecdh
Win API:
WinHttpSendRequest
Languages:
visual_basic, javascript
SIGMA: Found
04-09-2023
ICYMI: Emotet Reappeared Early This Year, Unfortunately
https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html
Report completeness: High
Threats:
Emotet
Joao
Zipbomb_technique
Hiatusrat
Passview_tool
Process_injection_technique
Process_hollowing_technique
Amphitryon
Powerstats
Industry:
Healthcare, Energy, Government, Financial, Entertainment, E-commerce
Geo:
Ukraine, Thailand, Estonia, Singapore, Turkey, Portugal, Guatemala, Emirates, Italy, Israel
TTPs:
IOCs:
File: 12
IP: 87
Hash: 322
Soft:
microsoft word, microsoft onenote, onenote, microsoft office word, microsoft office
Algorithms:
ecc, zip, ecdh
Win API:
WinHttpSendRequest
Languages:
visual_basic, javascript
SIGMA: Found
Trellix
ICYMI: Emotet Reappeared Early This Year, Unfortunately
Emotet resumed operations in March 2023. Trellix monitors it for new infection methods. Blog covers Global Prevalence, Infection Vectors, TTPs, and detection.
CTT Report Hub
#ParsedReport #CompletenessHigh 04-09-2023 ICYMI: Emotet Reappeared Early This Year, Unfortunately https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Trellix проводит мониторинг Emotet с целью выявления новых векторов заражения и изменений в его деятельности и методологии, обеспечивая защиту от его вредоносной тактики с помощью сигнатурного обнаружения и сигнатур Endpoint Security. Основным вектором заражения Emotet являются вредоносные почтовые кампании и перехваченные потоки писем.
-----
Emotet - опасная и живучая вредоносная программа, существующая с 2014 года. Несмотря на попытки уничтожить его в начале 2021 года, он продолжает представлять угрозу. Для защиты организаций от этого вредоносного ПО компания Trellix проводит мониторинг Emotet с целью выявления новых векторов заражения и изменений в его деятельности и методологии. В мире Emotet распространен в Эстонии, Таиланде, Гватемале, Израиле, Сингапуре, Турции, Италии, Объединенных Арабских Эмиратах, Украине и Португалии. 5 наиболее популярных отраслей - электронная коммерция, энергетика/коммунальное хозяйство, финансовые услуги, государственные учреждения и здравоохранение.
Основным вектором заражения Emotet являются вредоносные почтовые кампании и перехваченные потоки писем, причем в нескольких вариантах. Такие письма часто содержат вредоносные zip-вложения или сильно заполненные документы Microsoft Word или OneNote, предназначенные для того, чтобы заманить пользователя на включение макросов. Эти документы содержат вредоносные макросы VBA, которые выполняют функцию загрузчика Emotet, извлекают полезную нагрузку Emotet с контролируемых злоумышленниками серверов распространения и заражают системы, добавляя их в ботнет Emotet.
Вредоносный код сильно обфусцирован и может быть деобфусцирован путем замены команды execute на команду echo, которая позволяет wscript не выполнять, а печатать вывод. Деобфусцированное содержимое раскрывает жестко закодированные URL-адреса, с которых может быть загружена полезная нагрузка Emotet. Вредоносная программа также снимает отпечатки пальцев с зараженного компьютера и отправляет собранную информацию на сервер C2, зашифрованную с помощью алгоритма Elliptic Curve Cryptography.
Для того чтобы обойти защиту, основанную на процессах, угрозы внедряют вредоносный код в приостановленные и "полые" процессы. Этот код использует модули NirSoft для получения учетных данных браузера. Для внедрения кода вредоносная программа также использует копию программы CertUtil и создает файл .tmp для сохранения собранной информации.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Trellix проводит мониторинг Emotet с целью выявления новых векторов заражения и изменений в его деятельности и методологии, обеспечивая защиту от его вредоносной тактики с помощью сигнатурного обнаружения и сигнатур Endpoint Security. Основным вектором заражения Emotet являются вредоносные почтовые кампании и перехваченные потоки писем.
-----
Emotet - опасная и живучая вредоносная программа, существующая с 2014 года. Несмотря на попытки уничтожить его в начале 2021 года, он продолжает представлять угрозу. Для защиты организаций от этого вредоносного ПО компания Trellix проводит мониторинг Emotet с целью выявления новых векторов заражения и изменений в его деятельности и методологии. В мире Emotet распространен в Эстонии, Таиланде, Гватемале, Израиле, Сингапуре, Турции, Италии, Объединенных Арабских Эмиратах, Украине и Португалии. 5 наиболее популярных отраслей - электронная коммерция, энергетика/коммунальное хозяйство, финансовые услуги, государственные учреждения и здравоохранение.
Основным вектором заражения Emotet являются вредоносные почтовые кампании и перехваченные потоки писем, причем в нескольких вариантах. Такие письма часто содержат вредоносные zip-вложения или сильно заполненные документы Microsoft Word или OneNote, предназначенные для того, чтобы заманить пользователя на включение макросов. Эти документы содержат вредоносные макросы VBA, которые выполняют функцию загрузчика Emotet, извлекают полезную нагрузку Emotet с контролируемых злоумышленниками серверов распространения и заражают системы, добавляя их в ботнет Emotet.
Вредоносный код сильно обфусцирован и может быть деобфусцирован путем замены команды execute на команду echo, которая позволяет wscript не выполнять, а печатать вывод. Деобфусцированное содержимое раскрывает жестко закодированные URL-адреса, с которых может быть загружена полезная нагрузка Emotet. Вредоносная программа также снимает отпечатки пальцев с зараженного компьютера и отправляет собранную информацию на сервер C2, зашифрованную с помощью алгоритма Elliptic Curve Cryptography.
Для того чтобы обойти защиту, основанную на процессах, угрозы внедряют вредоносный код в приостановленные и "полые" процессы. Этот код использует модули NirSoft для получения учетных данных браузера. Для внедрения кода вредоносная программа также использует копию программы CertUtil и создает файл .tmp для сохранения собранной информации.
#ParsedReport #CompletenessMedium
04-09-2023
Executive Summary
https://interlab.or.kr/archives/19416
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Process_injection_technique
Process_hollowing_technique
Superbear
Quasar_rat
Bazarbackdoor
Victims:
Interlab, journalist, civil society groups
Geo:
Korean, Asia
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 3
IP: 1
Domain: 1
Email: 1
Hash: 2
Soft:
wordpress
Functions:
Windows, SetThreatContext
Win API:
CreateProcess, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, ResumeThread
Languages:
autoit
04-09-2023
Executive Summary
https://interlab.or.kr/archives/19416
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Process_injection_technique
Process_hollowing_technique
Superbear
Quasar_rat
Bazarbackdoor
Victims:
Interlab, journalist, civil society groups
Geo:
Korean, Asia
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 3
IP: 1
Domain: 1
Email: 1
Hash: 2
Soft:
wordpress
Functions:
Windows, SetThreatContext
Win API:
CreateProcess, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, ResumeThread
Languages:
autoit
interlab.or.kr
Interlab 인터랩 | Novel RAT discovered “SuperBear” targeting journalist covering geopolitics of Asia
Interlab is a non-profit organization based in Seoul with mission to create resilient digital safety net for freedom of citizens, providing free digital security consultations, trainings, incident response support and research of cyber threat toward civic…
CTT Report Hub
#ParsedReport #CompletenessMedium 04-09-2023 Executive Summary https://interlab.or.kr/archives/19416 Report completeness: Medium Actors/Campaigns: Kimsuky Threats: Process_injection_technique Process_hollowing_technique Superbear Quasar_rat Bazarbackdoor…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что компания Interlab обнаружила новый RAT и считает, что он может быть приписан северокорейской угрожающей группе Kimsuky. Они пригласили другие общественные организации и промышленные предприятия внести свой вклад в проводимое расследование.
-----
8/28/2023 г. в Interlab поступил образец, отправленный журналисту, с высокоцелевым содержанием, заманивающим открыть документ. Вредоносный документ был в формате .LNK и при выполнении загружал вредоносную команду powershell и легитимный DOCX, связанный с организацией. Анализ выявил выполнение AutoIT-скрипта, который использовался для инъекции процессов с помощью техники "впадения" в процесс. Эта техника инжектировала новую RAT, получившую в коде название SuperBear, которая устанавливала соединение с сервером C2, расположенным по адресу: По наблюдениям, SuperBear RAT выполняет одну из трех основных операций атаки: перехват и обработка системных данных, выполнение команд командной оболочки или загрузка вредоносной DLL на зараженную машину. Исследователь угроз Interlab Ovi опубликовал полный технический отчет по SuperBear RAT в своем блоге.
Основываясь на сходстве вектора атаки и корреляции с кодом нескольких кампаний, специалисты Interlab предполагают, что эта кампания принадлежит северокорейской группировке Kimsuky. Известно, что Kimsuky использует для своих операций инструментарий с открытым исходным кодом, например Quasar RAT, и данная кампания не является исключением. Скрипт AutoIT, обнаруженный в этой кампании, был взят с различных интернет-форумов. Это интересная и примечательная особенность операций, проводимых Kimsuky.
Interlab считает, что SuperBear RAT является новым из-за несоответствия сигнатур данных, обнаруженных в самом RAT. Им пока не удалось обнаружить аналогичный образец в ретро-охоте, хотя это может измениться. Interlab приглашает другие общественные группы и промышленные предприятия внести свой вклад в это продолжающееся расследование.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что компания Interlab обнаружила новый RAT и считает, что он может быть приписан северокорейской угрожающей группе Kimsuky. Они пригласили другие общественные организации и промышленные предприятия внести свой вклад в проводимое расследование.
-----
8/28/2023 г. в Interlab поступил образец, отправленный журналисту, с высокоцелевым содержанием, заманивающим открыть документ. Вредоносный документ был в формате .LNK и при выполнении загружал вредоносную команду powershell и легитимный DOCX, связанный с организацией. Анализ выявил выполнение AutoIT-скрипта, который использовался для инъекции процессов с помощью техники "впадения" в процесс. Эта техника инжектировала новую RAT, получившую в коде название SuperBear, которая устанавливала соединение с сервером C2, расположенным по адресу: По наблюдениям, SuperBear RAT выполняет одну из трех основных операций атаки: перехват и обработка системных данных, выполнение команд командной оболочки или загрузка вредоносной DLL на зараженную машину. Исследователь угроз Interlab Ovi опубликовал полный технический отчет по SuperBear RAT в своем блоге.
Основываясь на сходстве вектора атаки и корреляции с кодом нескольких кампаний, специалисты Interlab предполагают, что эта кампания принадлежит северокорейской группировке Kimsuky. Известно, что Kimsuky использует для своих операций инструментарий с открытым исходным кодом, например Quasar RAT, и данная кампания не является исключением. Скрипт AutoIT, обнаруженный в этой кампании, был взят с различных интернет-форумов. Это интересная и примечательная особенность операций, проводимых Kimsuky.
Interlab считает, что SuperBear RAT является новым из-за несоответствия сигнатур данных, обнаруженных в самом RAT. Им пока не удалось обнаружить аналогичный образец в ретро-охоте, хотя это может измениться. Interlab приглашает другие общественные группы и промышленные предприятия внести свой вклад в это продолжающееся расследование.
#ParsedReport #CompletenessLow
04-09-2023
Phishing script files that leak user information are being distributed using Telegram.
https://asec.ahnlab.com/ko/56551
Report completeness: Low
Industry:
Telco
IOCs:
File: 9
Hash: 1
Soft:
telegram
04-09-2023
Phishing script files that leak user information are being distributed using Telegram.
https://asec.ahnlab.com/ko/56551
Report completeness: Low
Industry:
Telco
IOCs:
File: 9
Hash: 1
Soft:
telegram
ASEC
Telegram을 활용하여 사용자 정보를 유출하는 피싱 스크립트 파일 유포중 - ASEC
Telegram을 활용하여 사용자 정보를 유출하는 피싱 스크립트 파일 유포중 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 04-09-2023 Phishing script files that leak user information are being distributed using Telegram. https://asec.ahnlab.com/ko/56551 Report completeness: Low Industry: Telco IOCs: File: 9 Hash: 1 Soft: telegram
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что фишинг становится все более распространенной угрозой кибербезопасности, и для защиты от него необходимо принимать меры предосторожности, например, не вводить учетные данные во вложениях к письмам от неизвестных источников и использовать современное антивирусное программное обеспечение.
-----
Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил новую фишинговую аферу, использующую вложения электронной почты. Вложенные файлы маскируются под программы просмотра PDF-документов и содержат вредоносные скрипты с такими ключевыми словами, как "purchase order", "order", "receipt" и "order". Фишинговая атака направлена на обман пользователей путем подключения их к рекламному сайту загрузки PDF-файлов, открыто предоставляемому отечественной ERP-компанией, при трехкратной попытке входа в систему. Кроме того, был выявлен скрипт, перенаправляющий пользователей на сайт с обычным файлом изображения, не содержащим вредоносных функций.
Установлено, что эти вредоносные скрипты используют сильные стороны Telegram - анонимность и логику шифрования - для отправки сообщений. Функция "sendTeleMsg" используется для передачи адреса электронной почты, пароля и IP-адреса пользователя в чат, созданный злоумышленником через Telegram API. Для получения не только IP-адреса, но и информации о провайдере, а также региональной информации, включая широту/долготу, используются сервисы с открытым исходным кодом, такие как json.geoiplookup.io.
Важно знать об этой новой фишинговой афере, так как она использует API обычных приложений и поэтому может обходиться без обнаружения антивирусными продуктами. Кроме того, с помощью API Telegram могут быть распространены учетные записи пользователей. Пользователям рекомендуется не вводить информацию об учетной записи во вложениях к письмам из неизвестных источников.
Фишинг становится все более распространенной угрозой кибербезопасности, причем мошенничества, подобные этому, с течением времени становятся все более изощренными. Важно не терять бдительности и защищаться от подобных атак, принимая меры предосторожности, например, не вводить информацию о счетах во вложениях к письмам из неизвестных источников, а также использовать современное антивирусное программное обеспечение. Эти меры помогут обеспечить сохранность вашей личной и финансовой информации.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что фишинг становится все более распространенной угрозой кибербезопасности, и для защиты от него необходимо принимать меры предосторожности, например, не вводить учетные данные во вложениях к письмам от неизвестных источников и использовать современное антивирусное программное обеспечение.
-----
Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил новую фишинговую аферу, использующую вложения электронной почты. Вложенные файлы маскируются под программы просмотра PDF-документов и содержат вредоносные скрипты с такими ключевыми словами, как "purchase order", "order", "receipt" и "order". Фишинговая атака направлена на обман пользователей путем подключения их к рекламному сайту загрузки PDF-файлов, открыто предоставляемому отечественной ERP-компанией, при трехкратной попытке входа в систему. Кроме того, был выявлен скрипт, перенаправляющий пользователей на сайт с обычным файлом изображения, не содержащим вредоносных функций.
Установлено, что эти вредоносные скрипты используют сильные стороны Telegram - анонимность и логику шифрования - для отправки сообщений. Функция "sendTeleMsg" используется для передачи адреса электронной почты, пароля и IP-адреса пользователя в чат, созданный злоумышленником через Telegram API. Для получения не только IP-адреса, но и информации о провайдере, а также региональной информации, включая широту/долготу, используются сервисы с открытым исходным кодом, такие как json.geoiplookup.io.
Важно знать об этой новой фишинговой афере, так как она использует API обычных приложений и поэтому может обходиться без обнаружения антивирусными продуктами. Кроме того, с помощью API Telegram могут быть распространены учетные записи пользователей. Пользователям рекомендуется не вводить информацию об учетной записи во вложениях к письмам из неизвестных источников.
Фишинг становится все более распространенной угрозой кибербезопасности, причем мошенничества, подобные этому, с течением времени становятся все более изощренными. Важно не терять бдительности и защищаться от подобных атак, принимая меры предосторожности, например, не вводить информацию о счетах во вложениях к письмам из неизвестных источников, а также использовать современное антивирусное программное обеспечение. Эти меры помогут обеспечить сохранность вашей личной и финансовой информации.
#ParsedReport #CompletenessLow
04-09-2023
CHM Malware Using Fukushima Contaminated Water Discharge: RedEyes (ScarCruft)
https://asec.ahnlab.com/ko/56654
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
M2rat
Victims:
Domestic users
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 4
Hash: 1
Algorithms:
zip
Languages:
javascript
04-09-2023
CHM Malware Using Fukushima Contaminated Water Discharge: RedEyes (ScarCruft)
https://asec.ahnlab.com/ko/56654
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
M2rat
Victims:
Domestic users
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 4
Hash: 1
Algorithms:
zip
Languages:
javascript
ASEC BLOG
후쿠시마 오염수 방류 내용을 이용한 CHM 악성코드 : RedEyes(ScarCruft) - ASEC BLOG
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹이 제작한 것으로 추정되는 CHM 악성코드가 최근 다시 유포되고 있는 정황을 포착하였다. 최근 유포 중인 CHM 악성코드는 지난 3월에 소개한 “국내 금융 기업 보안 메일을 사칭한 CHM 악성코드”[1] 와 유사한 방식으로 동작하며, 이번에도 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)”[2] 과정에서…
#ParsedReport #CompletenessMedium
04-09-2023
Low-profile Threat Actor observed imitating NoEscape Ransomware
https://cyble.com/blog/low-profile-threat-actor-observed-imitating-noescape-ransomware
Report completeness: Medium
Threats:
Noescape
Powershell_ransomware
Industry:
Education
TTPs:
Tactics: 7
Technics: 11
IOCs:
File: 3
Url: 2
Path: 1
Hash: 2
IP: 1
Soft:
1password
Crypto:
bitcoin
Algorithms:
aes, sha256, base64
YARA: Found
04-09-2023
Low-profile Threat Actor observed imitating NoEscape Ransomware
https://cyble.com/blog/low-profile-threat-actor-observed-imitating-noescape-ransomware
Report completeness: Medium
Threats:
Noescape
Powershell_ransomware
Industry:
Education
TTPs:
Tactics: 7
Technics: 11
IOCs:
File: 3
Url: 2
Path: 1
Hash: 2
IP: 1
Soft:
1password
Crypto:
bitcoin
Algorithms:
aes, sha256, base64
YARA: Found
Cyble
Low-profile Threat Actor observed imitating NoEscape Ransomware
Cyble Research and Intelligence Labs uncovers a possible crafty imitator of the infamous NoEscape Ransomware.
CTT Report Hub
#ParsedReport #CompletenessMedium 04-09-2023 Low-profile Threat Actor observed imitating NoEscape Ransomware https://cyble.com/blog/low-profile-threat-actor-observed-imitating-noescape-ransomware Report completeness: Medium Threats: Noescape Powershell_ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания CRIL обнаружила уникальный вариант программы-вымогателя, который не переименовывает файлы после шифрования и эволюционировал в течение двух дней. Важно сохранять бдительность и защищаться от этой угрозы.
-----
Компания Cyble Research & Intelligence Labs (CRIL) недавно обнаружила открытый каталог, содержащий подозрительный BAT-файл. В результате дальнейшего расследования было установлено, что этот пакетный файл используется для загрузки программ-вымогателей. Уникальность этого варианта ransomware заключается в том, что он не переименовывает файлы после шифрования, а также не использует никаких каналов связи или сайтов утечки информации. В записке с требованием выкупа содержится требование заплатить 30 биткойнов, что составляет примерно 780 000 долларов США, и утверждается, что угроза была нанесена учебному заведению.
Судя по всему, эта программа находится на стадии тестирования, поскольку ее эволюция происходила в течение двух дней. За это время TA ввела в процесс шифрования более 70 дополнительных расширений файлов, закодировала ключи шифрования в Base64 и добавила функцию определения публичного IP-адреса жертвы. Заражение начинается с пакетного файла, который имеет двойное расширение Readme.txt.bat, вероятно, в попытке обмануть пользователей, заставив их поверить, что это безобидный файл.
CRIL уже сообщал о существующем варианте вымогательского ПО NoEscape, который работает по модели Ransomware-as-a-Service (RaaS) и использует двойное вымогательство. Хотя этот вариант имитирует внешний вид NoEscape, он не использует те же методы, например, двойное вымогательство. Важно отметить, что злоумышленники все еще находятся на стадии тестирования и могут продолжать совершенствовать вредоносную программу. Поэтому необходимо сохранять бдительность и защищаться от этой угрозы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания CRIL обнаружила уникальный вариант программы-вымогателя, который не переименовывает файлы после шифрования и эволюционировал в течение двух дней. Важно сохранять бдительность и защищаться от этой угрозы.
-----
Компания Cyble Research & Intelligence Labs (CRIL) недавно обнаружила открытый каталог, содержащий подозрительный BAT-файл. В результате дальнейшего расследования было установлено, что этот пакетный файл используется для загрузки программ-вымогателей. Уникальность этого варианта ransomware заключается в том, что он не переименовывает файлы после шифрования, а также не использует никаких каналов связи или сайтов утечки информации. В записке с требованием выкупа содержится требование заплатить 30 биткойнов, что составляет примерно 780 000 долларов США, и утверждается, что угроза была нанесена учебному заведению.
Судя по всему, эта программа находится на стадии тестирования, поскольку ее эволюция происходила в течение двух дней. За это время TA ввела в процесс шифрования более 70 дополнительных расширений файлов, закодировала ключи шифрования в Base64 и добавила функцию определения публичного IP-адреса жертвы. Заражение начинается с пакетного файла, который имеет двойное расширение Readme.txt.bat, вероятно, в попытке обмануть пользователей, заставив их поверить, что это безобидный файл.
CRIL уже сообщал о существующем варианте вымогательского ПО NoEscape, который работает по модели Ransomware-as-a-Service (RaaS) и использует двойное вымогательство. Хотя этот вариант имитирует внешний вид NoEscape, он не использует те же методы, например, двойное вымогательство. Важно отметить, что злоумышленники все еще находятся на стадии тестирования и могут продолжать совершенствовать вредоносную программу. Поэтому необходимо сохранять бдительность и защищаться от этой угрозы.
#ParsedReport #CompletenessMedium
04-09-2023
Reverse engineering SuperBear RAT.
https://0x0v1.com/posts/superbear/superbear
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Superbear
Process_hollowing_technique
Process_injection_technique
Process_hacker_tool
Bazarbackdoor
Xrat_rat
Quasar_rat
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1055.003, T1036.005, T1071.001, T1082, T1083, T1190, T1093, T1074.002, T1218.012, T1105, have more...
IOCs:
File: 1
Domain: 1
Path: 2
Algorithms:
base64
Win API:
CreateMutexW, InternetOpenW, InternetConnectW, VirtualAlloc, InternetReadFile, VirtualFree, InternetCloseHandle, CreateToolhelp32Snapshot, ShellExecuteW
Languages:
php, autoit
YARA: Found
Links:
04-09-2023
Reverse engineering SuperBear RAT.
https://0x0v1.com/posts/superbear/superbear
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Superbear
Process_hollowing_technique
Process_injection_technique
Process_hacker_tool
Bazarbackdoor
Xrat_rat
Quasar_rat
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1055.003, T1036.005, T1071.001, T1082, T1083, T1190, T1093, T1074.002, T1218.012, T1105, have more...
IOCs:
File: 1
Domain: 1
Path: 2
Algorithms:
base64
Win API:
CreateMutexW, InternetOpenW, InternetConnectW, VirtualAlloc, InternetReadFile, VirtualFree, InternetCloseHandle, CreateToolhelp32Snapshot, ShellExecuteW
Languages:
php, autoit
YARA: Found
Links:
https://github.com/hasherezade/hollows\_hunter0X0V1
Reverse engineering SuperBear RAT. – 0x0v1
Blog posts written by Ovi.
CTT Report Hub
#ParsedReport #CompletenessMedium 04-09-2023 Reverse engineering SuperBear RAT. https://0x0v1.com/posts/superbear/superbear Report completeness: Medium Actors/Campaigns: Kimsuky Threats: Superbear Process_hollowing_technique Process_injection_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что в ходе анализа вредоносной кампании, направленной против общественных организаций, была обнаружена операция внедрения процессов, утечка данных, а также связи с Kimsuky и AutoIT.
-----
В данном тексте рассматривается технический анализ вредоносной программы, воздействовавшей на группы гражданского общества. Было обнаружено, что вредоносная программа была развернута с помощью AutoIT-скрипта, что является типичной особенностью AutoIT-скриптов. С помощью AutoITExtractor скрипт был декомпилирован и выявил операцию инъекции процесса путем выемки памяти из порожденного экземпляра Explorer.exe. При дальнейшем изучении было обнаружено, что вредоносный код создает объект мьютекса с помощью CreateMutexW, а имя мьютекса имеет вид BEARLDR-EURJ-RHRHR. Для эксфильтрации данных RAT с помощью CreateToolhelp32Snapshot создает снимок запущенных процессов и сохраняет его в файл, расположенный по адресу C:\Users\Public\Documents\proc.db.
Сервер C2 давал указание инициировать только разведку эксфильтрации в данном образце. Обнаружение данного типа вредоносного ПО является либо общим, либо эвристическим, поэтому неясно, сколько еще образцов будет замечено. Интересно отметить, что вредоносная программа демонстрирует функциональность, аналогичную xRAT/Quasar, но Kimsuky уже использовали ее в прошлом, что заставляет задуматься о том, почему они перешли от использования Quasar к чему-то подобному. Еще одним интересным моментом является использование AutoIT, поскольку в последнее время появились сообщения о том, что другие угрожающие группы в НК чаще используют инструментарий с открытым исходным кодом.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что в ходе анализа вредоносной кампании, направленной против общественных организаций, была обнаружена операция внедрения процессов, утечка данных, а также связи с Kimsuky и AutoIT.
-----
В данном тексте рассматривается технический анализ вредоносной программы, воздействовавшей на группы гражданского общества. Было обнаружено, что вредоносная программа была развернута с помощью AutoIT-скрипта, что является типичной особенностью AutoIT-скриптов. С помощью AutoITExtractor скрипт был декомпилирован и выявил операцию инъекции процесса путем выемки памяти из порожденного экземпляра Explorer.exe. При дальнейшем изучении было обнаружено, что вредоносный код создает объект мьютекса с помощью CreateMutexW, а имя мьютекса имеет вид BEARLDR-EURJ-RHRHR. Для эксфильтрации данных RAT с помощью CreateToolhelp32Snapshot создает снимок запущенных процессов и сохраняет его в файл, расположенный по адресу C:\Users\Public\Documents\proc.db.
Сервер C2 давал указание инициировать только разведку эксфильтрации в данном образце. Обнаружение данного типа вредоносного ПО является либо общим, либо эвристическим, поэтому неясно, сколько еще образцов будет замечено. Интересно отметить, что вредоносная программа демонстрирует функциональность, аналогичную xRAT/Quasar, но Kimsuky уже использовали ее в прошлом, что заставляет задуматься о том, почему они перешли от использования Quasar к чему-то подобному. Еще одним интересным моментом является использование AutoIT, поскольку в последнее время появились сообщения о том, что другие угрожающие группы в НК чаще используют инструментарий с открытым исходным кодом.
#ParsedReport #CompletenessMedium
05-09-2023
Analyzing a Facebook Profile Stealer Written in Node.js. Infection vector
https://www.trendmicro.com/en_us/research/23/i/analyzing-a-facebook-profile-stealer-written-in-node-js.html
Report completeness: Medium
Victims:
Chromium-based web browsers, facebook, gmail, outlook, business accounts, ad accounts
Industry:
Financial
Geo:
Vietnamese
ChatGPT TTPs:
T1083, T1064, T1036, T1082, T1056, T1057, T1060, T1083, T1036, T1090, have more...
IOCs:
File: 1
Hash: 88
Url: 6
Domain: 15
Soft:
node.js, telegram, chromium, tiktok, capcut, microsoft edge, google chrome, opera, operagx, chrome, have more...
Wallets:
metamask
Algorithms:
zip, base64, xor
Languages:
jscript, javascript
Links:
05-09-2023
Analyzing a Facebook Profile Stealer Written in Node.js. Infection vector
https://www.trendmicro.com/en_us/research/23/i/analyzing-a-facebook-profile-stealer-written-in-node-js.html
Report completeness: Medium
Victims:
Chromium-based web browsers, facebook, gmail, outlook, business accounts, ad accounts
Industry:
Financial
Geo:
Vietnamese
ChatGPT TTPs:
do not use without manual checkT1083, T1064, T1036, T1082, T1056, T1057, T1060, T1083, T1036, T1090, have more...
IOCs:
File: 1
Hash: 88
Url: 6
Domain: 15
Soft:
node.js, telegram, chromium, tiktok, capcut, microsoft edge, google chrome, opera, operagx, chrome, have more...
Wallets:
metamask
Algorithms:
zip, base64, xor
Languages:
jscript, javascript
Links:
https://github.com/zenparsing/zen-observableTrend Micro
Analyzing a Facebook Profile Stealer Written in Node js
We analyze an information stealer written in Node.js, packaged into an executable, exfiltrated stolen data via both Telegram bot API and a C&C server, and employed GraphQL as a channel for C&C communication.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-09-2023 Analyzing a Facebook Profile Stealer Written in Node.js. Infection vector https://www.trendmicro.com/en_us/research/23/i/analyzing-a-facebook-profile-stealer-written-in-node-js.html Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В этой записи блога рассматривается новый стиллер, написанный на Node.js, который собирает и выводит данные из веб-браузеров и учетных записей электронной почты. Он был обнаружен в ходе кампании по краже данных из Facebook и использует GraphQL в качестве канала связи с C&C. Кроме того, стиллер содержит механизмы, предотвращающие его слишком частый запуск.
-----
В этой записи блога рассматривается новый похититель, написанный на Node.js, упакованный в исполняемый файл, осуществляющий эксфильтрацию похищенных данных как через Telegram bot API, так и через C&C-сервер, и использующий GraphQL в качестве канала связи с C&C.
Он был обнаружен в ходе кампании по краже данных из Facebook, причем ключевые слова, использованные в названиях файлов, указывают на знание авторами вьетнамского языка. Стиллер ориентирована на веб-браузеры и собирает домашний путь пользователя, путь к профилю, путь к пользовательским данным, информацию о версии, зашифрованный ключ, базу cookie, cookie Facebook (xs), маркер доступа Facebook и дополнительную информацию о браузере.
В процессе эксфильтрации из Facebook извлекаются идентификационные номера, полные имена пользователей, адреса электронной почты, дни рождения, маркеры доступа, куки-файлы Facebook, имена браузеров, пути к исполняемым файлам, сохраненные логины, IP-адреса и коды стран. Кроме того, он удаляет учетные данные и файлы cookie Gmail, учетные данные и файлы cookie Outlook, дополнительную информацию Facebook, информацию о бизнес-аккаунте, информацию о странице и информацию о рекламном аккаунте.
Чтобы предотвратить слишком частые запуски, стиллер сохраняет метку времени своего последнего запуска в текстовом файле в домашнем каталоге. Если время, прошедшее с момента последнего запуска, меньше примерно 30 минут, то в этом случае процедура кражи пропускается. Кроме того, стиллер проверяет адрес резервного C&C-сервера, запрашивая его, и сохраняет ответ в другом текстовом файле для дальнейшего использования.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В этой записи блога рассматривается новый стиллер, написанный на Node.js, который собирает и выводит данные из веб-браузеров и учетных записей электронной почты. Он был обнаружен в ходе кампании по краже данных из Facebook и использует GraphQL в качестве канала связи с C&C. Кроме того, стиллер содержит механизмы, предотвращающие его слишком частый запуск.
-----
В этой записи блога рассматривается новый похититель, написанный на Node.js, упакованный в исполняемый файл, осуществляющий эксфильтрацию похищенных данных как через Telegram bot API, так и через C&C-сервер, и использующий GraphQL в качестве канала связи с C&C.
Он был обнаружен в ходе кампании по краже данных из Facebook, причем ключевые слова, использованные в названиях файлов, указывают на знание авторами вьетнамского языка. Стиллер ориентирована на веб-браузеры и собирает домашний путь пользователя, путь к профилю, путь к пользовательским данным, информацию о версии, зашифрованный ключ, базу cookie, cookie Facebook (xs), маркер доступа Facebook и дополнительную информацию о браузере.
В процессе эксфильтрации из Facebook извлекаются идентификационные номера, полные имена пользователей, адреса электронной почты, дни рождения, маркеры доступа, куки-файлы Facebook, имена браузеров, пути к исполняемым файлам, сохраненные логины, IP-адреса и коды стран. Кроме того, он удаляет учетные данные и файлы cookie Gmail, учетные данные и файлы cookie Outlook, дополнительную информацию Facebook, информацию о бизнес-аккаунте, информацию о странице и информацию о рекламном аккаунте.
Чтобы предотвратить слишком частые запуски, стиллер сохраняет метку времени своего последнего запуска в текстовом файле в домашнем каталоге. Если время, прошедшее с момента последнего запуска, меньше примерно 30 минут, то в этом случае процедура кражи пропускается. Кроме того, стиллер проверяет адрес резервного C&C-сервера, запрашивая его, и сохраняет ответ в другом текстовом файле для дальнейшего использования.
#ParsedReport #CompletenessLow
05-09-2023
Chae$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers
https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers
Report completeness: Low
Threats:
Chaes
Lolbin_technique
Lucifer
Victims:
Customers of prominent platforms and banks, e-commerce customers in latin america, especially brazil
Industry:
E-commerce, Logistic, Financial
Geo:
Brazil, America
IOCs:
File: 1
Soft:
whatsapp, wordpress, joomla, drupal, chromium, chrome
Wallets:
metamask
Languages:
java, python
05-09-2023
Chae$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers
https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers
Report completeness: Low
Threats:
Chaes
Lolbin_technique
Lucifer
Victims:
Customers of prominent platforms and banks, e-commerce customers in latin america, especially brazil
Industry:
E-commerce, Logistic, Financial
Geo:
Brazil, America
IOCs:
File: 1
Soft:
whatsapp, wordpress, joomla, drupal, chromium, chrome
Wallets:
metamask
Languages:
java, python
Morphisec
Chae$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers
Morphisec uncovers and details a new Chaes malware variant targeting banking and logistics industries and their customers.