#ParsedReport #CompletenessLow
04-09-2023

CHM Malware Using Fukushima Contaminated Water Discharge: RedEyes (ScarCruft)

https://asec.ahnlab.com/ko/56654

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
M2rat

Victims:
Domestic users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 4
Hash: 1

Algorithms:
zip

Languages:
javascript

#ParsedReport #CompletenessMedium
04-09-2023

Low-profile Threat Actor observed imitating NoEscape Ransomware

https://cyble.com/blog/low-profile-threat-actor-observed-imitating-noescape-ransomware

Report completeness: Medium

Threats:
Noescape
Powershell_ransomware

Industry:
Education

TTPs:
Tactics: 7
Technics: 11

IOCs:
File: 3
Url: 2
Path: 1
Hash: 2
IP: 1

Soft:
1password

Crypto:
bitcoin

Algorithms:
aes, sha256, base64

YARA: Found

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания CRIL обнаружила уникальный вариант программы-вымогателя, который не переименовывает файлы после шифрования и эволюционировал в течение двух дней. Важно сохранять бдительность и защищаться от этой угрозы.
-----

Компания Cyble Research & Intelligence Labs (CRIL) недавно обнаружила открытый каталог, содержащий подозрительный BAT-файл. В результате дальнейшего расследования было установлено, что этот пакетный файл используется для загрузки программ-вымогателей. Уникальность этого варианта ransomware заключается в том, что он не переименовывает файлы после шифрования, а также не использует никаких каналов связи или сайтов утечки информации. В записке с требованием выкупа содержится требование заплатить 30 биткойнов, что составляет примерно 780 000 долларов США, и утверждается, что угроза была нанесена учебному заведению.

Судя по всему, эта программа находится на стадии тестирования, поскольку ее эволюция происходила в течение двух дней. За это время TA ввела в процесс шифрования более 70 дополнительных расширений файлов, закодировала ключи шифрования в Base64 и добавила функцию определения публичного IP-адреса жертвы. Заражение начинается с пакетного файла, который имеет двойное расширение Readme.txt.bat, вероятно, в попытке обмануть пользователей, заставив их поверить, что это безобидный файл.

CRIL уже сообщал о существующем варианте вымогательского ПО NoEscape, который работает по модели Ransomware-as-a-Service (RaaS) и использует двойное вымогательство. Хотя этот вариант имитирует внешний вид NoEscape, он не использует те же методы, например, двойное вымогательство. Важно отметить, что злоумышленники все еще находятся на стадии тестирования и могут продолжать совершенствовать вредоносную программу. Поэтому необходимо сохранять бдительность и защищаться от этой угрозы.

#ParsedReport #CompletenessMedium
04-09-2023

Reverse engineering SuperBear RAT.

https://0x0v1.com/posts/superbear/superbear

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Superbear
Process_hollowing_technique
Process_injection_technique
Process_hacker_tool
Bazarbackdoor
Xrat_rat
Quasar_rat

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.003, T1036.005, T1071.001, T1082, T1083, T1190, T1093, T1074.002, T1218.012, T1105, have more...

IOCs:
File: 1
Domain: 1
Path: 2

Algorithms:
base64

Win API:
CreateMutexW, InternetOpenW, InternetConnectW, VirtualAlloc, InternetReadFile, VirtualFree, InternetCloseHandle, CreateToolhelp32Snapshot, ShellExecuteW

Languages:
php, autoit

YARA: Found

Links:
https://github.com/hasherezade/hollows\_hunter

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что в ходе анализа вредоносной кампании, направленной против общественных организаций, была обнаружена операция внедрения процессов, утечка данных, а также связи с Kimsuky и AutoIT.
-----

В данном тексте рассматривается технический анализ вредоносной программы, воздействовавшей на группы гражданского общества. Было обнаружено, что вредоносная программа была развернута с помощью AutoIT-скрипта, что является типичной особенностью AutoIT-скриптов. С помощью AutoITExtractor скрипт был декомпилирован и выявил операцию инъекции процесса путем выемки памяти из порожденного экземпляра Explorer.exe. При дальнейшем изучении было обнаружено, что вредоносный код создает объект мьютекса с помощью CreateMutexW, а имя мьютекса имеет вид BEARLDR-EURJ-RHRHR. Для эксфильтрации данных RAT с помощью CreateToolhelp32Snapshot создает снимок запущенных процессов и сохраняет его в файл, расположенный по адресу C:\Users\Public\Documents\proc.db.

Сервер C2 давал указание инициировать только разведку эксфильтрации в данном образце. Обнаружение данного типа вредоносного ПО является либо общим, либо эвристическим, поэтому неясно, сколько еще образцов будет замечено. Интересно отметить, что вредоносная программа демонстрирует функциональность, аналогичную xRAT/Quasar, но Kimsuky уже использовали ее в прошлом, что заставляет задуматься о том, почему они перешли от использования Quasar к чему-то подобному. Еще одним интересным моментом является использование AutoIT, поскольку в последнее время появились сообщения о том, что другие угрожающие группы в НК чаще используют инструментарий с открытым исходным кодом.

#ParsedReport #CompletenessMedium
05-09-2023

Analyzing a Facebook Profile Stealer Written in Node.js. Infection vector

https://www.trendmicro.com/en_us/research/23/i/analyzing-a-facebook-profile-stealer-written-in-node-js.html

Report completeness: Medium

Victims:
Chromium-based web browsers, facebook, gmail, outlook, business accounts, ad accounts

Industry:
Financial

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1083, T1064, T1036, T1082, T1056, T1057, T1060, T1083, T1036, T1090, have more...

IOCs:
File: 1
Hash: 88
Url: 6
Domain: 15

Soft:
node.js, telegram, chromium, tiktok, capcut, microsoft edge, google chrome, opera, operagx, chrome, have more...

Wallets:
metamask

Algorithms:
zip, base64, xor

Languages:
jscript, javascript

Links:
https://github.com/zenparsing/zen-observable

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой записи блога рассматривается новый стиллер, написанный на Node.js, который собирает и выводит данные из веб-браузеров и учетных записей электронной почты. Он был обнаружен в ходе кампании по краже данных из Facebook и использует GraphQL в качестве канала связи с C&C. Кроме того, стиллер содержит механизмы, предотвращающие его слишком частый запуск.
-----

В этой записи блога рассматривается новый похититель, написанный на Node.js, упакованный в исполняемый файл, осуществляющий эксфильтрацию похищенных данных как через Telegram bot API, так и через C&C-сервер, и использующий GraphQL в качестве канала связи с C&C.

Он был обнаружен в ходе кампании по краже данных из Facebook, причем ключевые слова, использованные в названиях файлов, указывают на знание авторами вьетнамского языка. Стиллер ориентирована на веб-браузеры и собирает домашний путь пользователя, путь к профилю, путь к пользовательским данным, информацию о версии, зашифрованный ключ, базу cookie, cookie Facebook (xs), маркер доступа Facebook и дополнительную информацию о браузере.

В процессе эксфильтрации из Facebook извлекаются идентификационные номера, полные имена пользователей, адреса электронной почты, дни рождения, маркеры доступа, куки-файлы Facebook, имена браузеров, пути к исполняемым файлам, сохраненные логины, IP-адреса и коды стран. Кроме того, он удаляет учетные данные и файлы cookie Gmail, учетные данные и файлы cookie Outlook, дополнительную информацию Facebook, информацию о бизнес-аккаунте, информацию о странице и информацию о рекламном аккаунте.

Чтобы предотвратить слишком частые запуски, стиллер сохраняет метку времени своего последнего запуска в текстовом файле в домашнем каталоге. Если время, прошедшее с момента последнего запуска, меньше примерно 30 минут, то в этом случае процедура кражи пропускается. Кроме того, стиллер проверяет адрес резервного C&C-сервера, запрашивая его, и сохраняет ответ в другом текстовом файле для дальнейшего использования.

#ParsedReport #CompletenessLow
05-09-2023

Chae$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers

https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers

Report completeness: Low

Threats:
Chaes
Lolbin_technique
Lucifer

Victims:
Customers of prominent platforms and banks, e-commerce customers in latin america, especially brazil

Industry:
E-commerce, Logistic, Financial

Geo:
Brazil, America

IOCs:
File: 1

Soft:
whatsapp, wordpress, joomla, drupal, chromium, chrome

Wallets:
metamask

Languages:
java, python

#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Лаборатория Morphisec Threat Labs обнаружила новый вариант вредоносной программы Chaes, которая представляет собой сложное вредоносное ПО, написанное преимущественно на языке Python и предназначенное для кражи персональных данных, таких как учетные данные для входа в систему, информация о кредитных картах, cookies и другие данные. Она ориентирована в первую очередь на латиноамериканских клиентов электронной коммерции и банков и использует WebSockets и DGA для связи и динамического разрешения адреса C2-сервера.
-----

Лаборатория Morphisec Threat Labs обнаружила новый вариант вредоносной программы Chaes, получивший название Chae$ 4. Вредоносная программа Chaes написана преимущественно на языке Python и способна обходить традиционные системы безопасности. В первую очередь она нацелена на латиноамериканских клиентов электронной коммерции и банков. Ее целью являются учетные данные, информация о кредитных картах, cookies и другие персональные данные.

Впервые вредоносная программа Chaes была обнаружена компанией Cybereason в ноябре 2020 года, а в январе 2022 года компания Avast опубликовала отчет, свидетельствующий о всплеске активности Chaes. С тех пор вредоносная программа пережила четыре итерации, причем каждая из них становилась все более изощренной и лучше справлялась с обнаружением. Последняя версия Chaes полностью написана на языке Python и рассчитана на выполнение в памяти. Для связи между модулями и C2-сервером используются WebSockets, а также DGA для динамического разрешения адреса C2-сервера.

Цепочка заражения начинается с вредоносного MSI-инсталлятора, который устанавливает персистентность и переходит в целевые процессы. После этого запускаются различные модули для сбора различных типов данных. Модуль Init собирает обширные данные о зараженной системе, модуль Online отправляет атакующему ONLINE-сообщение, Chronod похищает учетные данные и банковскую информацию, Appita нацелен на приложение банка Itau, Chrautos - на банковские данные и данные WhatsApp, Stealer похищает данные логина, кредитных карт, cookies и автозаполнения, а File upload ищет и загружает файлы, связанные с расширением MetaMask для Chrome.

#ParsedReport #CompletenessLow
05-09-2023

Dark Web Profile: Medusa Ransomware (MedusaLocker)

https://socradar.io/dark-web-profile-medusa-ransomware-medusalocker

Report completeness: Low

Actors/Campaigns:
Gorgon
Bec

Threats:
Medusa_ransomware
Medusalocker
Iconicloader
Redeemer

Victims:
Minneapolis school district, corporate entities and institutions

Industry:
Financial, Education

Geo:
Greek, America, France

CVEs:
CVE-2022-2295 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<103.0.5060.114)
- fedoraproject extra packages for enterprise linux (8.0)
- fedoraproject fedora (35, 36)


TTPs:
Tactics: 11
Technics: 18

IOCs:
File: 7
Email: 16

Soft:
google chrome, telegram

Links:
https://github.com/threatlabz/ransomware\_notes/blob/main/medusa/!!!READ\_ME\_MEDUSA!!!.txt

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, code: 4, chart: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Medusa Ransomware представляет собой сложную киберугрозу, использующую модель Ransomware-as-a-Service (RaaS) для атак на корпоративные предприятия и учреждения, поэтому организации должны сохранять бдительность в отношении подобных угроз и принимать меры по защите своих систем и данных.
-----

Группа Medusa Ransomware представляет собой сложную киберугрозу, действующую по модели Ransomware-as-a-Service (RaaS). Эта программа получает доступ к системам преимущественно через уязвимые протоколы удаленных рабочих столов (RDP) и обманные фишинговые кампании, использует PowerShell для выполнения команд, систематически удаляет теневые копии резервных копий для предотвращения восстановления данных. При этом происходит повышение привилегий системы, деактивация защитных механизмов и распространение щупалец по сети. Кульминацией атаки является шифрование данных и предъявление записки с требованием заплатить выкуп за их расшифровку.

Программа Medusa Ransomware активна с июня 2021 года и использует различные расширения зашифрованных файлов, наиболее заметным из которых является безошибочно узнаваемое расширение .MEDUSA. У этой группы программ-рансоматов есть несколько разновидностей, цель которых одна - удерживать данные в заложниках и требовать от жертв оплаты. В Medusa Ransomware было замечено использование нескольких эксплойтов из 2022 года, в том числе уязвимости Type Confusion in V8 в Google Chrome (CVE-2022-2295), имеющей высокую степень опасности. Группа, занимающаяся распространением вымогательского ПО, публикует сообщения о своих жертвах в блоге Medusa Blog и атакует организации, работающие в секторе государственного управления в Европе.

Необходимость принятия надежных мер кибербезопасности как никогда актуальна в связи с развитием киберугроз. Medusa Ransomware использует сложные векторы атак в сочетании с совместной RaaS-моделью для эффективной атаки на корпоративные структуры и учреждения. Организации должны сохранять бдительность в отношении группы Medusa Ransomware и предпринимать необходимые меры для защиты своих систем и данных от подобных угроз.

#ParsedReport #CompletenessMedium
05-09-2023

BlueShell malware used in APT attacks targeting Korea and Thailand

https://asec.ahnlab.com/ko/56715

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Scarcruft
Lazarus
Dalbit

Threats:
Blueshell
Sliver_c2_tool
Spark_rat
Meterpreter_tool
Blackremote_rat
Goatrat
Beacon
Cobalt_strike
Metasploit_tool
Fscan_tool
Impacket_tool
Frpc_tool
Chinachopper
Godzilla_loader
Powershell_shell_tool
Trojan/win.frp.c5417731
Proxyvenom_tool

Victims:
Domestic companies, thai broadcasters

Geo:
Chinese, China, Korea, Thailand

IOCs:
IP: 4
Hash: 22
File: 17
Domain: 2

Soft:
sunlogin, ms-sql

Algorithms:
xor, base64

Functions:
ReadMe, init, hostname

Platforms:
x86, x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: BlueShell - это вредоносная программа с бэкдором, разработанная на языке Go и используемая группами APT (Advanced Persistent Threat) для атак на уязвимые серверы. Он становится все более популярным благодаря низкой сложности разработки и кроссплатформенной поддержке, а также возможности обхода сетевого обнаружения. Примером атаки с использованием BlueShell является Dalbit Group, китайская группа угроз.
-----

BlueShell - это вредоносная программа с бэкдором, разработанная на языке Go и опубликованная на Github. Она поддерживает операционные системы Windows, Linux и Mac и чаще всего используется группами APT (Advanced Persistent Threat) для атак на уязвимые серверы. Вредоносная программа может выполнять команды, загружать/выгружать файлы, а также выполнять такие функции, как Socks5-прокси, получая команды от зараженной системы. Кроме того, вредонос содержит пояснительный ReadMe-файл на китайском языке, что указывает на возможность того, что его создателем является пользователь из Китая.

В основном эта вредоносная программа используется для атак на Windows-системы отечественных компаний, однако известны случаи ее применения для атак на Linux-системы тайских вещательных компаний. Кроме того, BlueShell становится все более популярным среди угрожающих групп благодаря низкой сложности разработки и кроссплатформенной поддержке. Так, например, группа Kimsuky разработала вредоносную программу-загрузчик, устанавливающую Meterpreter на языке Go, а группа RedEyes (APT37) - бэкдор, эксплуатирующий сервис Ably.

BlueShell способен обходить сетевое обнаружение за счет поддержки TLS-шифрования для связи с C&C-сервером. Кроме того, она имеет три конфигурационных данных - IP-адрес C&C-сервера, номер порта и время ожидания, которые жестко закодированы в бинарном коде при создании вредоносного кода и устанавливаются в функции init() в процессе инициализации. Примером BlueShell-атаки может служить Dalbit Group - китайская угрожающая группа, основной целью которой является атака на уязвимые серверы с целью кражи информации или шифрования системы для получения денег. Злоумышленник использует общедоступные инструменты, такие как CobaltStrike, Metasploit, Ladaon и BlueShell, для загрузки веб-оболочки, эксплуатируя уязвимости WebLogic или уязвимости загрузки файлов.

#ParsedReport #CompletenessMedium
05-09-2023

New Agent Tesla Variant Being Spread by Crafted Excel Document

https://www.fortinet.com/blog/threat-research/agent-tesla-variant-spread-by-crafted-excel-document

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Agent_tesla
Process_hollowing_technique
Intellilock_tool
Cassa

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft word (2013, 2016, 2010, 2007)
- microsoft office (2007, 2013, 2010, 2016)
- microsoft office compatibility pack (-)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1064, T1117, T1086, T1140, T1082, T1036, T1071, T1057, T1023, T1035, have more...

IOCs:
File: 14
Url: 1
Path: 1
Hash: 2

Soft:
opera, chromium, 7star, torch, kometa, amigo, centbrowser, chedot, orbitum, comodo dragon, have more...

Algorithms:
gzip, sha256

Functions:
URLDownloadToFileW, DeleteMC, SetWindowsHookEx, Tesla

Win API:
ShellExecuteW, GetPixel, CreateProcess, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, GetLastInputInfo

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники используют уязвимость (CVE-2017-11882 / CVE-2018-0802) для распространения нового варианта Agent Tesla, который представляет собой троянца удаленного доступа (RAT) и похитителя данных на базе .Net. Для предотвращения подобных атак важно поддерживать системы в актуальном состоянии с помощью последних патчей безопасности.
-----

Недавно наши лаборатории FortiGuard Labs зафиксировали фишинговую кампанию, распространяющую новый вариант Agent Tesla, который представляет собой троянец удаленного доступа (RAT) и похититель данных на базе .Net. Вредоносное письмо замаскировано под уведомление о заказе на поставку и содержит документ Excel под названием Order 45232429.xls, при открытии которого срабатывает уязвимость CVE-2017-11882/CVE-2018-0802. Данная уязвимость позволяет выполнить произвольный код, который в данном случае представляет собой вредоносный шелл-код, загружающий и исполняющий дополнительный файл вредоносного ПО с URL-адреса на устройстве жертвы.

Этот вредоносный файл переименовывается в dasHost.exe и хранится в папке %TEMP%. Он защищен двумя упаковщиками, IntelliLock и .NET Reactor, и содержит два модуля бесфайлового исполнения: один - для модуля полезной нагрузки Agent Tesla, другой - для модуля Loader. Файл полезной нагрузки шифруется и расшифровывается с помощью API Bitmap.GetPixel() и Color.FromArgb(), а затем распаковывается с помощью gzip для восстановления файла полезной нагрузки. Затем он загружается как исполняемый модуль вызовом метода AppDomain.CurrentDomain.Load().

Агент Tesla сохраняется на устройстве жертвы даже при перезагрузке системы или завершении процесса. Он собирает конфиденциальные данные, такие как учетные данные, информацию о клавиатуре и скриншоты экрана жертвы. Для перехвата нажатий клавиш устанавливается процедура callback hook, которая записывает в локальный файл %Temp%/log.tmp заголовок программы, время и содержимое клавиатурного ввода жертвы. Также устанавливается таймер с 20-минутным интервалом, который проверяет наличие активности на устройстве и определяет, стоит ли записывать скриншот и отправлять его.

В этом варианте похищенные данные передаются по почтовому SMTP-протоколу с использованием жестко прописанных в варианте адреса и порта SMTP-сервера - "mail.daymon.cc" и 587. Тема письма - KL_{Имя пользователя/Имя компьютера}, где KL означает keylogger, а тело содержит записи нажатий клавиш жертвы, набранные в блокноте под названием Untitled - Notepad.

Несмотря на то что исправления для CVE-2017-11882 / CVE-2018-0802 были выпущены компанией Microsoft более пяти лет назад, угрожающие субъекты продолжают их эксплуатировать, что свидетельствует о том, что в природе все еще существуют непропатченные устройства. Мы наблюдаем и устраняем около 3000 атак в день на уровне IPS и около 1300 уязвимых устройств в день.

Этот анализ проливает свет на всю вредоносную кампанию - от первоначального фишингового письма до действий Agent Tesla, установленного на компьютере жертвы, и сбора конфиденциальной информации. Он показывает, насколько легко может быть использована уязвимость и как злоумышленники могут получить конфиденциальные данные с устройств жертв. Для предотвращения подобных атак важно поддерживать системы в актуальном состоянии с помощью последних патчей безопасности.

Промежуточный итог по TRAM.
1. Чуда не случилось.
2. SciBERT обучен на детект только 50 TTP.
3. На реальных отчетах точность предобученной модели не впечатлила.

Датасет для обучения надо явно расширять.

#ParsedReport #CompletenessMedium
06-09-2023

Bogus URL Shorteners Go Mobile-Only in AdSense Fraud Campaign

https://blog.sucuri.net/2023/09/bogus-url-shorteners-go-mobile-only-in-adsense-fraud-campaign.html

Report completeness: Medium

Threats:
Bogus_url_technique
Velar
Glitch

Geo:
Asia

IOCs:
Domain: 3
Url: 9
File: 5
IP: 3

Soft:
wordpress, openssl, cpanel

Algorithms:
gzip, base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С сентября 2022 года распространяется вредоносная программа, обнаруженная более чем на 24 тыс. сайтов. С начала кампании произошли изменения, и в конце мая 2023 года она стала более успешной. Владельцам и разработчикам сайтов необходимо принять меры по защите своих сайтов от злоумышленников.
-----

С сентября 2022 г. наша команда отслеживала кампанию по перенаправлению трафика с помощью фиктивного укорачивателя URL, которая началась с одного домена: ois.is. К началу 2023 года эта вредоносная кампания распространилась, перенаправляя трафик на низкокачественные сайты вопросов и ответов и монетизируя трафик через Google AdSense. Более того, только с начала этого года удаленный сканер сайтов Sucuri обнаружил различные штаммы этого вредоносного ПО на более чем 24 000 сайтов. В ходе недавнего анализа один из наших аналитиков по безопасности Пуджа Сривастава (Puja Srivastava) сообщил подробности о некоторых новых вариантах этой вредоносной кампании.

С начала кампании в инъекциях вредоносных программ произошло несколько заметных изменений. Весной 2023 года злоумышленники стали использовать теги сценариев, указывающие на внешние скрипты, размещенные на их коротких доменах, вместо прямой инъекции обфусцированного JavaScript-кода. С начала 2023 года наш внешний сканер вредоносных программ обнаружил такие скрипты на 93 различных фиктивных доменах-укоротителях URL на 6 105 сайтах.

В конце мая 2023 года злоумышленники перешли к созданию вредоносных .js-файлов типа /wp-includes/style.wp.includes.js, /wp-includes/jquery.wp.includes.js и /style.public.html.js и внедрению их на страницы WordPress с помощью инъекций в нижнюю часть файлов wp-config.php и themes functions.php. Этот штамм вредоносного ПО оказался очень успешным: за период июль-август 2023 года наш сканер SiteCheck обнаружил его более чем на 11 000 скомпрометированных сайтов. Он обозначался как redirect?location.8.8 и чаще всего внедрялся в страницы, посты, отзывы и даже комментарии WordPress.

Наиболее заметным изменением в этом варианте вредоносной программы является большой кусок кода для проверки браузеров посетителей на соответствие списку известных строк агентов пользователей мобильных устройств. Если используемый браузер или инструмент не исполняет скрипты, вредоносная программа не будет выполнять перенаправление. Если браузер или инструмент выполняет JavaScript, но не может быть идентифицирован как мобильный пользовательский агент, вредоносная программа не будет выполнять переадресацию. Даже если браузер или инструмент выполняет JavaScript и может быть идентифицирован как мобильный пользовательский агент, вредоносная программа все равно никуда не перенаправит, если пользователь (или инструмент) не щелкнет в любом месте веб-страницы. Это связано с тем, что вредоносный код выполняется как обработчик события onclick документа.

Данные, собранные нашим отчетом SiteCheck Report, показали, что спамеры используют отдельные поддомены для каждого спамерского блога. Несколько фиктивных доменов-укоротителей URL имеют собственные SSL-сертификаты, а управление сертификатами для таких доменов - дело непростое и постоянное. Все страницы, используемые в этой кампании, судя по всему, содержат уникальный контент и не были содраны со сторонних сайтов. Качество даже не очень плохое, что говорит о том, что спамеры используют многоуровневую систему защиты для обхода обычных проверок веб-безопасности.

Владельцы и разработчики сайтов должны регулярно обновлять программное обеспечение, использовать надежные и уникальные пароли, ограничивать доступ к страницам входа и администрирования, проверять их на наличие вредоносных программ и устанавливать межсетевой экран веб-приложений. Следить за появляющимися угрозами и понимать методы, используемые хакерами, - залог безопасности в Интернете.

#ParsedReport #CompletenessMedium
06-09-2023

Scarleteel 2.0 and the MITRE ATT&CK framework

https://sysdig.com/blog/scarleteel-mitre-attack

Report completeness: Medium

Actors/Campaigns:
Scarleteel (motivation: financially_motivated)

Threats:
Solarmarker
Pandora
Mirai
Xmrig_miner
Magnitude

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 9
Technics: 0

IOCs:
IP: 2
File: 1
Coin: 1
Domain: 1
Url: 1

Soft:
curl, systemd

Crypto:
monero

Algorithms:
base64

Languages:
perl, javascript