#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники используют уязвимость (CVE-2017-11882 / CVE-2018-0802) для распространения нового варианта Agent Tesla, который представляет собой троянца удаленного доступа (RAT) и похитителя данных на базе .Net. Для предотвращения подобных атак важно поддерживать системы в актуальном состоянии с помощью последних патчей безопасности.
-----

Недавно наши лаборатории FortiGuard Labs зафиксировали фишинговую кампанию, распространяющую новый вариант Agent Tesla, который представляет собой троянец удаленного доступа (RAT) и похититель данных на базе .Net. Вредоносное письмо замаскировано под уведомление о заказе на поставку и содержит документ Excel под названием Order 45232429.xls, при открытии которого срабатывает уязвимость CVE-2017-11882/CVE-2018-0802. Данная уязвимость позволяет выполнить произвольный код, который в данном случае представляет собой вредоносный шелл-код, загружающий и исполняющий дополнительный файл вредоносного ПО с URL-адреса на устройстве жертвы.

Этот вредоносный файл переименовывается в dasHost.exe и хранится в папке %TEMP%. Он защищен двумя упаковщиками, IntelliLock и .NET Reactor, и содержит два модуля бесфайлового исполнения: один - для модуля полезной нагрузки Agent Tesla, другой - для модуля Loader. Файл полезной нагрузки шифруется и расшифровывается с помощью API Bitmap.GetPixel() и Color.FromArgb(), а затем распаковывается с помощью gzip для восстановления файла полезной нагрузки. Затем он загружается как исполняемый модуль вызовом метода AppDomain.CurrentDomain.Load().

Агент Tesla сохраняется на устройстве жертвы даже при перезагрузке системы или завершении процесса. Он собирает конфиденциальные данные, такие как учетные данные, информацию о клавиатуре и скриншоты экрана жертвы. Для перехвата нажатий клавиш устанавливается процедура callback hook, которая записывает в локальный файл %Temp%/log.tmp заголовок программы, время и содержимое клавиатурного ввода жертвы. Также устанавливается таймер с 20-минутным интервалом, который проверяет наличие активности на устройстве и определяет, стоит ли записывать скриншот и отправлять его.

В этом варианте похищенные данные передаются по почтовому SMTP-протоколу с использованием жестко прописанных в варианте адреса и порта SMTP-сервера - "mail.daymon.cc" и 587. Тема письма - KL_{Имя пользователя/Имя компьютера}, где KL означает keylogger, а тело содержит записи нажатий клавиш жертвы, набранные в блокноте под названием Untitled - Notepad.

Несмотря на то что исправления для CVE-2017-11882 / CVE-2018-0802 были выпущены компанией Microsoft более пяти лет назад, угрожающие субъекты продолжают их эксплуатировать, что свидетельствует о том, что в природе все еще существуют непропатченные устройства. Мы наблюдаем и устраняем около 3000 атак в день на уровне IPS и около 1300 уязвимых устройств в день.

Этот анализ проливает свет на всю вредоносную кампанию - от первоначального фишингового письма до действий Agent Tesla, установленного на компьютере жертвы, и сбора конфиденциальной информации. Он показывает, насколько легко может быть использована уязвимость и как злоумышленники могут получить конфиденциальные данные с устройств жертв. Для предотвращения подобных атак важно поддерживать системы в актуальном состоянии с помощью последних патчей безопасности.

Промежуточный итог по TRAM.
1. Чуда не случилось.
2. SciBERT обучен на детект только 50 TTP.
3. На реальных отчетах точность предобученной модели не впечатлила.

Датасет для обучения надо явно расширять.

#ParsedReport #CompletenessMedium
06-09-2023

Bogus URL Shorteners Go Mobile-Only in AdSense Fraud Campaign

https://blog.sucuri.net/2023/09/bogus-url-shorteners-go-mobile-only-in-adsense-fraud-campaign.html

Report completeness: Medium

Threats:
Bogus_url_technique
Velar
Glitch

Geo:
Asia

IOCs:
Domain: 3
Url: 9
File: 5
IP: 3

Soft:
wordpress, openssl, cpanel

Algorithms:
gzip, base64

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: С сентября 2022 года распространяется вредоносная программа, обнаруженная более чем на 24 тыс. сайтов. С начала кампании произошли изменения, и в конце мая 2023 года она стала более успешной. Владельцам и разработчикам сайтов необходимо принять меры по защите своих сайтов от злоумышленников.
-----

С сентября 2022 г. наша команда отслеживала кампанию по перенаправлению трафика с помощью фиктивного укорачивателя URL, которая началась с одного домена: ois.is. К началу 2023 года эта вредоносная кампания распространилась, перенаправляя трафик на низкокачественные сайты вопросов и ответов и монетизируя трафик через Google AdSense. Более того, только с начала этого года удаленный сканер сайтов Sucuri обнаружил различные штаммы этого вредоносного ПО на более чем 24 000 сайтов. В ходе недавнего анализа один из наших аналитиков по безопасности Пуджа Сривастава (Puja Srivastava) сообщил подробности о некоторых новых вариантах этой вредоносной кампании.

С начала кампании в инъекциях вредоносных программ произошло несколько заметных изменений. Весной 2023 года злоумышленники стали использовать теги сценариев, указывающие на внешние скрипты, размещенные на их коротких доменах, вместо прямой инъекции обфусцированного JavaScript-кода. С начала 2023 года наш внешний сканер вредоносных программ обнаружил такие скрипты на 93 различных фиктивных доменах-укоротителях URL на 6 105 сайтах.

В конце мая 2023 года злоумышленники перешли к созданию вредоносных .js-файлов типа /wp-includes/style.wp.includes.js, /wp-includes/jquery.wp.includes.js и /style.public.html.js и внедрению их на страницы WordPress с помощью инъекций в нижнюю часть файлов wp-config.php и themes functions.php. Этот штамм вредоносного ПО оказался очень успешным: за период июль-август 2023 года наш сканер SiteCheck обнаружил его более чем на 11 000 скомпрометированных сайтов. Он обозначался как redirect?location.8.8 и чаще всего внедрялся в страницы, посты, отзывы и даже комментарии WordPress.

Наиболее заметным изменением в этом варианте вредоносной программы является большой кусок кода для проверки браузеров посетителей на соответствие списку известных строк агентов пользователей мобильных устройств. Если используемый браузер или инструмент не исполняет скрипты, вредоносная программа не будет выполнять перенаправление. Если браузер или инструмент выполняет JavaScript, но не может быть идентифицирован как мобильный пользовательский агент, вредоносная программа не будет выполнять переадресацию. Даже если браузер или инструмент выполняет JavaScript и может быть идентифицирован как мобильный пользовательский агент, вредоносная программа все равно никуда не перенаправит, если пользователь (или инструмент) не щелкнет в любом месте веб-страницы. Это связано с тем, что вредоносный код выполняется как обработчик события onclick документа.

Данные, собранные нашим отчетом SiteCheck Report, показали, что спамеры используют отдельные поддомены для каждого спамерского блога. Несколько фиктивных доменов-укоротителей URL имеют собственные SSL-сертификаты, а управление сертификатами для таких доменов - дело непростое и постоянное. Все страницы, используемые в этой кампании, судя по всему, содержат уникальный контент и не были содраны со сторонних сайтов. Качество даже не очень плохое, что говорит о том, что спамеры используют многоуровневую систему защиты для обхода обычных проверок веб-безопасности.

Владельцы и разработчики сайтов должны регулярно обновлять программное обеспечение, использовать надежные и уникальные пароли, ограничивать доступ к страницам входа и администрирования, проверять их на наличие вредоносных программ и устанавливать межсетевой экран веб-приложений. Следить за появляющимися угрозами и понимать методы, используемые хакерами, - залог безопасности в Интернете.

#ParsedReport #CompletenessMedium
06-09-2023

Scarleteel 2.0 and the MITRE ATT&CK framework

https://sysdig.com/blog/scarleteel-mitre-attack

Report completeness: Medium

Actors/Campaigns:
Scarleteel (motivation: financially_motivated)

Threats:
Solarmarker
Pandora
Mirai
Xmrig_miner
Magnitude

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 9
Technics: 0

IOCs:
IP: 2
File: 1
Coin: 1
Domain: 1
Url: 1

Soft:
curl, systemd

Crypto:
monero

Algorithms:
base64

Languages:
perl, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что для защиты от сложных угроз организации должны быть проактивными в области кибербезопасности, а фреймворк MITRE ATT&CK и возможности CNAPP компании Sysdig Secure могут помочь им в этом.
-----

Инцидент SCARLETEEL является ярким примером необходимости эффективной стратегии защиты от угроз кибербезопасности. Атака использовала уязвимости в контейнерах ноутбуков JupyterLab, развернутых в кластере Kubernetes, и с помощью учетных данных AWS получила доступ к AWS-инфраструктуре жертвы. Затем злоумышленники загружали вредоносное ПО Mirai Botnet и использовали Pacu для обнаружения и использования повышения привилегий в AWS-аккаунте жертвы. Злоумышленники устанавливали уникальные рабочие места для каждого инстанса, подключались к российским системам и осуществляли эксфильтрацию данных, используя такие конечные точки, как C2-домен 45.9.148.221.

Система MITRE ATT&CK может оказать неоценимую помощь специалистам по безопасности в изучении перемещений после инцидента. Интегрировав систему MITRE ATT&CK в систему безопасности организации, специалисты могут получить полное представление о маневрах злоумышленника. Чтобы обеспечить надежную защиту от сложных угроз, организации должны уделять первостепенное внимание профилактике, мониторингу и оперативному реагированию. Обнаружение и реагирование на угрозы в режиме реального времени, управление уязвимостями, управление поведением и правами доступа являются важнейшими компонентами эффективной стратегии защиты.

После инцидента с SCARLETEEL стало ясно, что организации должны занимать проактивную позицию в вопросах кибербезопасности. С помощью фреймворка MITRE ATT&CK и возможностей CNAPP компании Sysdig Secure организации могут лучше подготовиться к противостоянию потенциальным угрозам. Понимание принципов работы реальных кибернетических атак позволит организациям укрепить свои стратегии киберзащиты и укрепить свою облачную среду.

#ParsedReport #CompletenessHigh
06-09-2023

Securonix Threat Labs Security Advisory: Threat Actors Target MSSQL Servers in DB#JAMMER to Deliver FreeWorld Ransomware

https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware

Report completeness: High

Actors/Campaigns:
Db-jammer

Threats:
Anydesk_tool
Credential_dumping_technique
Cobalt_strike
Credential_stealing_technique
Mimic_ransomware
Mimikatz_tool
Akira_ransomware

Victims:
Exposed mssql databases

Industry:
Government

Geo:
German, Polish, Spanish

TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 17
Command: 3
Registry: 3
Coin: 1
Path: 8
Domain: 1
IP: 1
Hash: 27

Soft:
mssql, microsoft sql, windows defender, windows firewall, windows explorer, smb server

Algorithms:
7zip

Win API:
CreateThread, CreateRemoteThread, VirtualAllocEx

Win Services:
sqlservr

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа исследования угроз компании Securonix выявила атаку под названием DB#JAMMER, направленную на открытые сервисы Microsoft SQL (MSSQL) с использованием атак методом грубой силы. Для компрометации систем злоумышленники используют различные технологии, включая перечислительное ПО, полезную нагрузку RAT, программы для эксплуатации и кражи учетных данных, а также полезную нагрузку ransomware. Затем злоумышленники перешли к выполнению команд с помощью SMB-доставляемого двоичного файла svr.exe, который представляет собой командно-управляющую полезную нагрузку Cobalt Strike. Затем злоумышленники запускали Mimikatz, загружали и развертывали вымогательское ПО Mimic, а также осуществляли взаимодействие с узлами C2 с помощью различных процессов.
-----

Группа исследования угроз Securonix выявила интересную атакующую кампанию под названием DB#JAMMER, которая направлена на открытые сервисы Microsoft SQL (MSSQL) с использованием атак методом грубой силы. Предполагается, что злоумышленники хорошо оснащены и готовы к передаче полезных нагрузок типа ransomware и Cobalt Strike. В качестве вымогательской полезной нагрузки, судя по всему, используется новый вариант вымогательской программы Mimic под названием FreeWorld, который присутствует в именах двоичных файлов, а также в расширениях вымогательской программы.

Злоумышленники использовали различные технологии для компрометации систем, включая программы-перечислители, полезную нагрузку RAT, программы для эксплуатации и кражи учетных данных, а также полезную нагрузку ransomware. Для подключения к машине-жертве злоумышленники предпочитали использовать RDP, для чего применяли прокси-программу Ngrok. Затем злоумышленники вносили изменения в реестр, чтобы обеспечить успешное подключение. Кроме того, злоумышленники создавали сетевой ресурс для передачи файлов на систему жертвы и обратно, а также для установки вредоносных программ.

Затем злоумышленники перешли от выполнения команд методом xp_cmdshell к выполнению команд из SMB-доставляемого двоичного файла svr.exe, который, судя по всему, представляет собой командно-управляющую полезную нагрузку Cobalt Strike. Было замечено, что он устанавливает DNS-соединения с сайтом gelsd.com. Для дальнейшего доступа к системам злоумышленники прибегли к использованию AnyDesk - легитимного сервиса, функционирующего как RAT. Через процесс svr.exe был запущен пакетный файл (a2.bat) для загрузки и выполнения установки AnyDesk, однако он самоудалился, и его содержимое не было замечено.

Затем злоумышленники запускали Mimikatz через другой пакетный файл start.bat, расположенный по адресу c:\users\windows\desktop\start.bat. Этот пакетный файл модифицировал реестр для принудительного ввода учетных данных в открытом виде с помощью атаки WDigest downgrade. После этого злоумышленники загрузили и развернули на хосте программу Mimic ransomware, которая использовала легитимное приложение Everything для запроса и поиска целевых файлов для шифрования. Полезная нагрузка dc.exe извлекалась в пользовательский каталог appdata\local\ random_GUID \ и начинала шифровать хост жертвы, создавая зашифрованные файлы с расширением .FreeWorldEncryption.

Атакующие взаимодействовали с узлами C2 с помощью различных процессов, таких как Process Create, Process Create (rule: ProcessCreate), ProcessRollup2, Procstart, Process, Trace Executed Process и других. Адрес назначения был 45.148.122.63 или gelsd.com, порт назначения - 445 или 139, а адрес источника - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16. Кроме того, имя исходного процесса заканчивалось sqlservr.exe, а имя процесса назначения - cmd.exe или reg.exe.

#ParsedReport #CompletenessMedium
06-09-2023

Steal-It Campaign. MITRE ATT&CK TTP Mapping

https://www.zscaler.com/blogs/security-research/steal-it-campaign

Report completeness: Medium

Actors/Campaigns:
Steal-it (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)

Threats:
Nishang_tool

Geo:
Belgium, Russian, Australia, Ukrainian, Ukraine, Poland

TTPs:

IOCs:
Domain: 3
File: 16
Url: 7
Path: 1
Hash: 7

Soft:
microsoft edge, chrome

Algorithms:
base64, zip

Functions:
DownloadString

Win Services:
WebClient

Languages:
javascript

Links:
https://github.com/samratashok/nishang/blob/master/Utility/Start-CaptureServer.ps1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что специалисты Zscaler ThreatLabz обнаружили новую кампанию по краже под названием "Steal-It" и определили вредоносную полезную нагрузку и цепочку заражения, используемую участниками угрозы. Многоуровневая платформа облачной безопасности Zscaler помогает обнаружить угрозу и дает представление о поведении вредоносного ПО. Команда ThreatLabz компании Zscaler постоянно отслеживает новые угрозы и делится своими результатами с широким сообществом.
-----

Недавно лаборатория Zscaler ThreatLabz обнаружила новую кампанию по краже, получившую название "Steal-It". Эта кампания нацелена на такие регионы, как Австралия, Польша и Бельгия, и использует адаптированные версии сценария Start-CaptureServer PowerShell от Nishang для кражи хэшей NTLMv2. Затем эти украденные хэши передаются через API Mockbin. Анализ вредоносной полезной нагрузки показал, что злоумышленники использовали стратегию геозондирования, направленную на конкретные регионы, а также откровенные изображения моделей, чтобы заманить жертву на выполнение начальной полезной нагрузки. Наша команда считает, что кампания Steal-It может быть приписана APT28 (также известной как Fancy Bear) на основании ее сходства с кибератакой APT28, о которой сообщила CERT-UA.

Для анализа цепочки заражения Zscaler ThreatLabz разделил многочисленные образцы на разновидности в соответствии с наблюдаемыми тактиками, техниками и процедурами (TTP). Заражение начинается с ZIP-архива в комплекте с LNK-файлом, который загружает и выполняет сценарий PowerShell для перехвата хэшей NTLMv2. JavaScript-код используется для проверки наличия в заголовке userAgent ключевого слова "win" и проверки кода страны, чтобы определить, нацелена ли цепочка заражения на конкретную страну. Сценарий PowerShell, замаскированный под заголовок окна "Обновление Windows" и сообщение "Dynamic Cumulative Update for Windows (KB5023696)", загружается с сайта run.mocky.io, чтобы скрыть свои вредоносные намерения.

Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы на различных уровнях. В результате анализа "песочницы" были определены показатели угроз и конкретные методы MITRE ATT&CK, что позволило специалистам по кибербезопасности получить критически важные сведения о поведении вредоносного ПО. Такой комплексный подход позволяет им эффективно обнаруживать и противодействовать угрозам, исходящим от агентов угроз. Команда ThreatLabz компании Zscaler постоянно отслеживает новые угрозы и делится своими результатами с широким сообществом, чтобы опередить эти угрозы.

#ParsedReport #CompletenessLow
05-09-2023

Threat Actor Continues to Plague the Open-Source Ecosystem with Sophisticated Info-Stealing Malware

https://checkmarx.com/blog/threat-actor-continues-to-plague-the-open-source-ecosystem-with-sophisticated-info-stealing-malware

Report completeness: Low

Threats:
Plaguebot
White_snake
Supply_chain_technique
Mythic

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1217.003, T1543.003, T1547.001, T1566.001, T1036.003, T1084.001, T1124.004, T1497.001, T1537.001, T1571.003, have more...

IOCs:
File: 1
IP: 7
Hash: 3

Soft:
telegram, openssh

Algorithms:
base64, zip

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Checkmarx отслеживает вредоносную программу WhiteSnake, похищающую данные, и предоставляет средства связи и продукты для защиты клиентов от нее и других вредоносных угроз.
-----

Компания Checkmarx с мая 2021 года отслеживает вредоносного агента под ником PYTA31, который распространяет вредоносную программу WhiteSnake. WhiteSnake - это вредоносная программа, предназначенная для похищения данных из различных операционных систем, и предназначенная для утечки конфиденциальных данных, таких как информация о криптокошельках. Для того чтобы избежать обнаружения, вредоносная программа использует сложные методы, такие как загрузка и отправка массовых данных через файлообменный сервис и отправка ссылки на данные через канал Telegram. Вредоносная программа также загружает легитимное программное обеспечение OPENSSH для сохранения контроля над машинами под управлением Windows.

Компания Checkmarx и ее аффилированные лица предоставляют информацию о безопасности программного обеспечения, продуктах Checkmarx и услугах, помогающих защитить клиентов от вредоносной программы WhiteSnake и других вредоносных угроз. Благодаря аналитике цепочек поставок Checkmarx клиенты могут быть на шаг впереди злоумышленников и обеспечивать безопасность своих данных.

#ParsedReport #CompletenessLow
06-09-2023

Distribution of Backdoor via Malicious LNK: RedEyes (ScarCruft)

https://asec.ahnlab.com/en/56756

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dropper/lnk.generic.s2241
Trojan/bat.psexec.s2247

Geo:
Korean

TTPs:

IOCs:
File: 8
Path: 2
Command: 1
Url: 4
Hash: 3

Soft:
psexec

Algorithms:
base64

#ParsedReport #CompletenessMedium
06-09-2023

Android Users in South Korea targeted by spyware linked to Chinese Threat Actor

https://cyble.com/blog/android-users-in-south-korea-targeted-by-spyware-linked-to-chinese-threat-actor

Report completeness: Medium

Actors/Campaigns:
Axiom

Victims:
South korean android users

Industry:
Financial

Geo:
China, Korean, Chinese, Korea

TTPs:
Tactics: 6
Technics: 6

IOCs:
Url: 12
IP: 1
File: 1
Hash: 15

Soft:
android

Algorithms:
sha1, sha256, exhibit

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи обнаружили новую шпионскую кампанию, направленную на южнокорейских пользователей Android и связанную с китайским разработчиком. Шпионская программа передает украденные данные на C&C-сервер и содержит незавершенный код кейлоггинга, что свидетельствует о том, что она все еще находится в стадии разработки. Это подчеркивает необходимость проявлять бдительность при работе в Интернете и принимать меры по защите своих данных.
-----

Исследователи CRIL выявили новую кампанию по распространению шпионского ПО для Android, нацеленную на южнокорейских пользователей Android с июля 2023 года. Вредоносная программа распространяется через обманчивые фишинговые сайты, которые выдают себя за сайты для взрослых, но на самом деле доставляют вредоносный APK-файл. Шпионская программа связана с китайским агентом угроз и, предположительно, имеет отношение к Коммунистической партии Китая. После установки вредоносная программа запрашивает разрешения на доступ к конфиденциальным данным и активно следит за приложениями, используемыми жертвой в данный момент. Он может похищать контакты, SMS-сообщения, журналы вызовов, изображения, аудиофайлы и делать скриншоты. Кроме того, он может перенаправлять входящие звонки и выборочно перехватывать входящие текстовые сообщения, что позволяет ТА целенаправленно и потенциально извлекать из них конфиденциальную информацию.

Шпионская программа передает похищенные данные на C&C-сервер, расположенный по адресу hxxps://jkweb255.top/api/. В ходе исследования C&C-сервера мы просмотрели некоторые записи похищенных данных на сервере, обнаружив, что на момент написания этой статьи было добавлено около 23 зараженных устройств. Кроме того, сервер содержит более 28 000 номеров мобильных телефонов, многие из которых связаны с банками и кредитными организациями Южной Кореи.

Шпионская программа также содержит недоработанный код для регистрации нажатий клавиш, что говорит о том, что она все еще находится в стадии разработки и может появиться с дополнительными функциями в ближайшие дни. Анализ кода показывает, что шпионская программа использует сервис Accessibility Service для регистрации нажатий клавиш, мониторинга выбранных приложений для обмена сообщениями и социальных сетей, а также инициирует другие действия. Наличие этого кода говорит о том, что TA, возможно, планирует заниматься финансовым мошенничеством с использованием украденных данных.

Выявление этой сложной шпионской кампании для Android свидетельствует о постоянной угрозе, исходящей от злоумышленников в цифровом пространстве. Это не только демонстрирует возможности ТА по созданию сложных атак, но и подчеркивает необходимость проявлять бдительность при работе в Интернете. Пользователи должны знать о потенциальных фишинговых сайтах и принимать меры по защите своих данных. В частности, регулярно обновлять свои устройства, избегать подозрительных ссылок и использовать для дополнительной защиты антивирусные программы.

#ParsedReport #CompletenessHigh
06-09-2023

Fake Update Utilizes New IDAT Loader To Execute StealC and Lumma Infostealers

https://www.rapid7.com/blog/post/2023/08/31/fake-update-utilizes-new-idat-loader-to-execute-stealc-and-lumma-infostealers

Report completeness: High

Threats:
Idat_loader
Stealc
Lumma_stealer
Sectop_rat
Amadey
Process_doppelganging_technique
Heavens_gate_technique
Clearfake
Socgholish_loader
Process_injection_technique

Victims:
Users downloading malicious binaries from the compromised site

TTPs:
Tactics: 2
Technics: 9

IOCs:
Url: 1
File: 7
Domain: 14
IP: 1
Hash: 12

Soft:
chrome, windows defender

Algorithms:
xor, base64

Win API:
ExpandEnvironmentStringsW, QueryPerformanceCounter, CreateProcessW, GetComputerNameW, SetEnvironmentVariableW, NtCreateSection, NtMapViewOfSection, NtWriteVirtualMemory, NtSuspendThread, NtResumeThread, have more...

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют новую вредоносную программу ClearFake для обмана пользователей, заставляя их выполнять вредоносные двоичные файлы, что приводит к доставке инфопохитителей типа Stealc, Lumma и Amadey. Вредоносная полезная нагрузка хранится в чанке IDAT формата PNG, а загрузчик использует такие техники уклонения, как Process Doppelgnging и Heaven's Gate.
-----

Недавно компания Rapid7 обнаружила замануху Fake Browser Update, которая обманом заставляла пользователей выполнять вредоносные двоичные файлы. Вредоносные двоичные файлы использовали сложный загрузчик под названием IDAT для выполнения инфопохитителей и RAT на скомпрометированных системах, включая StealC, Lumma и Amadey. Свое название IDAT-загрузчик получил потому, что угрожающий агент хранит вредоносную полезную нагрузку в IDAT-чанке файла формата PNG. Кроме того, в поток атак была включена недавно обнаруженная вредоносная программа ClearFake.

Кампания началась 19 июля 2023 г. Вредоносная программа ClearFake использовала base64 для обфускации вредоносного Javascript. Также было замечено, что единственным заметным отличием от SocGholish является отсутствие отслеживания посещений по IP-адресу или cookies, что означает большую вероятность обнаружения заражения владельцем сайта.

Когда пользователь нажимал кнопку "Обновить Chrome", в папку загрузки по умолчанию автоматически загружался двоичный файл. Этот двоичный файл назывался ChromeSetup.exe, который уже использовался в предыдущих атаках SocGholish, а теперь был принят ClearFake. Кроме того, специалисты Rapid7 заметили, что внешний вид и имя файла первоначального исполняемого файла дроппера могут меняться в зависимости от браузера пользователя при посещении скомпрометированной веб-страницы.

Исполняемые файлы содержали недействительные подписи и пытались загрузить и установить пакет MSI. При выполнении MSI-дроппер записывал легитимный исполняемый файл VMwareHostOpen.exe, несколько легитимных зависимостей и вредоносный файл библиотеки динамических связей (DLL) vmtools.dll. Кроме того, он передавал зашифрованный файл vmo.log, который имел структуру PNG и впоследствии был расшифрован вредоносной DLL.

Для обхода средств защиты загрузчик IDAT использовал динамический импорт и технику обхода "Heaven's Gate", создавая на основе вывода API-вызова QueryPerformanceCounter новую папку в каталоге %APPDATA% и рандомизируя ее значение. Затем он внедрял код в процесс cmd.exe, используя технику создания нового участка памяти, сопоставлял представление этого участка локальному вредоносному процессу и заполнял это представление шелл-кодом.

Затем код загрузчика извлекал переменную окружения TCBEDOPKVDTUFUSOCPTRQFD и считывал в память данные файла %TEMP%\89680228. Затем эти данные были XORed с ключом 3D ED C0 D3 и внедрены в процесс explorer.exe с помощью техники инъекции Process Doppelgnginging. Конечная полезная нагрузка, внедренная в процесс explorer.exe, была идентифицирована как Lumma Stealer.

Hard-Hit HardBit. Анализ версий шифровальщика семейства HardBit и декриптор

https://rt-solar.ru/analytics/reports/3676/