#ParsedReport #CompletenessLow
06-09-2023

Distribution of Backdoor via Malicious LNK: RedEyes (ScarCruft)

https://asec.ahnlab.com/en/56756

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dropper/lnk.generic.s2241
Trojan/bat.psexec.s2247

Geo:
Korean

TTPs:

IOCs:
File: 8
Path: 2
Command: 1
Url: 4
Hash: 3

Soft:
psexec

Algorithms:
base64

#ParsedReport #CompletenessMedium
06-09-2023

Android Users in South Korea targeted by spyware linked to Chinese Threat Actor

https://cyble.com/blog/android-users-in-south-korea-targeted-by-spyware-linked-to-chinese-threat-actor

Report completeness: Medium

Actors/Campaigns:
Axiom

Victims:
South korean android users

Industry:
Financial

Geo:
China, Korean, Chinese, Korea

TTPs:
Tactics: 6
Technics: 6

IOCs:
Url: 12
IP: 1
File: 1
Hash: 15

Soft:
android

Algorithms:
sha1, sha256, exhibit

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи обнаружили новую шпионскую кампанию, направленную на южнокорейских пользователей Android и связанную с китайским разработчиком. Шпионская программа передает украденные данные на C&C-сервер и содержит незавершенный код кейлоггинга, что свидетельствует о том, что она все еще находится в стадии разработки. Это подчеркивает необходимость проявлять бдительность при работе в Интернете и принимать меры по защите своих данных.
-----

Исследователи CRIL выявили новую кампанию по распространению шпионского ПО для Android, нацеленную на южнокорейских пользователей Android с июля 2023 года. Вредоносная программа распространяется через обманчивые фишинговые сайты, которые выдают себя за сайты для взрослых, но на самом деле доставляют вредоносный APK-файл. Шпионская программа связана с китайским агентом угроз и, предположительно, имеет отношение к Коммунистической партии Китая. После установки вредоносная программа запрашивает разрешения на доступ к конфиденциальным данным и активно следит за приложениями, используемыми жертвой в данный момент. Он может похищать контакты, SMS-сообщения, журналы вызовов, изображения, аудиофайлы и делать скриншоты. Кроме того, он может перенаправлять входящие звонки и выборочно перехватывать входящие текстовые сообщения, что позволяет ТА целенаправленно и потенциально извлекать из них конфиденциальную информацию.

Шпионская программа передает похищенные данные на C&C-сервер, расположенный по адресу hxxps://jkweb255.top/api/. В ходе исследования C&C-сервера мы просмотрели некоторые записи похищенных данных на сервере, обнаружив, что на момент написания этой статьи было добавлено около 23 зараженных устройств. Кроме того, сервер содержит более 28 000 номеров мобильных телефонов, многие из которых связаны с банками и кредитными организациями Южной Кореи.

Шпионская программа также содержит недоработанный код для регистрации нажатий клавиш, что говорит о том, что она все еще находится в стадии разработки и может появиться с дополнительными функциями в ближайшие дни. Анализ кода показывает, что шпионская программа использует сервис Accessibility Service для регистрации нажатий клавиш, мониторинга выбранных приложений для обмена сообщениями и социальных сетей, а также инициирует другие действия. Наличие этого кода говорит о том, что TA, возможно, планирует заниматься финансовым мошенничеством с использованием украденных данных.

Выявление этой сложной шпионской кампании для Android свидетельствует о постоянной угрозе, исходящей от злоумышленников в цифровом пространстве. Это не только демонстрирует возможности ТА по созданию сложных атак, но и подчеркивает необходимость проявлять бдительность при работе в Интернете. Пользователи должны знать о потенциальных фишинговых сайтах и принимать меры по защите своих данных. В частности, регулярно обновлять свои устройства, избегать подозрительных ссылок и использовать для дополнительной защиты антивирусные программы.

#ParsedReport #CompletenessHigh
06-09-2023

Fake Update Utilizes New IDAT Loader To Execute StealC and Lumma Infostealers

https://www.rapid7.com/blog/post/2023/08/31/fake-update-utilizes-new-idat-loader-to-execute-stealc-and-lumma-infostealers

Report completeness: High

Threats:
Idat_loader
Stealc
Lumma_stealer
Sectop_rat
Amadey
Process_doppelganging_technique
Heavens_gate_technique
Clearfake
Socgholish_loader
Process_injection_technique

Victims:
Users downloading malicious binaries from the compromised site

TTPs:
Tactics: 2
Technics: 9

IOCs:
Url: 1
File: 7
Domain: 14
IP: 1
Hash: 12

Soft:
chrome, windows defender

Algorithms:
xor, base64

Win API:
ExpandEnvironmentStringsW, QueryPerformanceCounter, CreateProcessW, GetComputerNameW, SetEnvironmentVariableW, NtCreateSection, NtMapViewOfSection, NtWriteVirtualMemory, NtSuspendThread, NtResumeThread, have more...

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники используют новую вредоносную программу ClearFake для обмана пользователей, заставляя их выполнять вредоносные двоичные файлы, что приводит к доставке инфопохитителей типа Stealc, Lumma и Amadey. Вредоносная полезная нагрузка хранится в чанке IDAT формата PNG, а загрузчик использует такие техники уклонения, как Process Doppelgnging и Heaven's Gate.
-----

Недавно компания Rapid7 обнаружила замануху Fake Browser Update, которая обманом заставляла пользователей выполнять вредоносные двоичные файлы. Вредоносные двоичные файлы использовали сложный загрузчик под названием IDAT для выполнения инфопохитителей и RAT на скомпрометированных системах, включая StealC, Lumma и Amadey. Свое название IDAT-загрузчик получил потому, что угрожающий агент хранит вредоносную полезную нагрузку в IDAT-чанке файла формата PNG. Кроме того, в поток атак была включена недавно обнаруженная вредоносная программа ClearFake.

Кампания началась 19 июля 2023 г. Вредоносная программа ClearFake использовала base64 для обфускации вредоносного Javascript. Также было замечено, что единственным заметным отличием от SocGholish является отсутствие отслеживания посещений по IP-адресу или cookies, что означает большую вероятность обнаружения заражения владельцем сайта.

Когда пользователь нажимал кнопку "Обновить Chrome", в папку загрузки по умолчанию автоматически загружался двоичный файл. Этот двоичный файл назывался ChromeSetup.exe, который уже использовался в предыдущих атаках SocGholish, а теперь был принят ClearFake. Кроме того, специалисты Rapid7 заметили, что внешний вид и имя файла первоначального исполняемого файла дроппера могут меняться в зависимости от браузера пользователя при посещении скомпрометированной веб-страницы.

Исполняемые файлы содержали недействительные подписи и пытались загрузить и установить пакет MSI. При выполнении MSI-дроппер записывал легитимный исполняемый файл VMwareHostOpen.exe, несколько легитимных зависимостей и вредоносный файл библиотеки динамических связей (DLL) vmtools.dll. Кроме того, он передавал зашифрованный файл vmo.log, который имел структуру PNG и впоследствии был расшифрован вредоносной DLL.

Для обхода средств защиты загрузчик IDAT использовал динамический импорт и технику обхода "Heaven's Gate", создавая на основе вывода API-вызова QueryPerformanceCounter новую папку в каталоге %APPDATA% и рандомизируя ее значение. Затем он внедрял код в процесс cmd.exe, используя технику создания нового участка памяти, сопоставлял представление этого участка локальному вредоносному процессу и заполнял это представление шелл-кодом.

Затем код загрузчика извлекал переменную окружения TCBEDOPKVDTUFUSOCPTRQFD и считывал в память данные файла %TEMP%\89680228. Затем эти данные были XORed с ключом 3D ED C0 D3 и внедрены в процесс explorer.exe с помощью техники инъекции Process Doppelgnginging. Конечная полезная нагрузка, внедренная в процесс explorer.exe, была идентифицирована как Lumma Stealer.

Hard-Hit HardBit. Анализ версий шифровальщика семейства HardBit и декриптор

https://rt-solar.ru/analytics/reports/3676/

#rstcloud

К вопросу о том, насколько можно использовать открытые источники IOC для отслеживания трендов по угрозам.
Очень даже можно, на мой взгляд. Самое главное - правильно подбирать источники.

#ParsedReport #CompletenessLow
07-09-2023

macOS Pirrit Adware

https://labs.k7computing.com/index.php/macos-pirrit-adware

Report completeness: Low

Threats:
Pirrit
Supernova

ChatGPT TTPs:
do not use without manual check
T1036.003, T1036.005

IOCs:
File: 1
Hash: 5

Soft:
macos, photoshop, lightroom, autocad, operagx, flash player, gatekeeper, chatgpt, virtualbox, opera, have more...

Algorithms:
zip

Platforms:
x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Исследователи из K7 Labs обнаружили сайт crack(-)mac(.)com, на котором предлагалось взломанное программное обеспечение для macOS, однако загружаемые программы на самом деле являлись рекламным ПО Pirrit, которое может воздействовать на пользователей, перенаправляя их на вредоносные сайты, собирая пользовательские данные и выдавая назойливую рекламу.
-----

Недавно исследователи из K7 Labs обнаружили сайт, предоставляющий взломанное программное обеспечение для macOS. Сайт под названием crack(-)mac(.)com был хорошо оформлен и заявлял, что предоставляет безопасное, быстрое и бесплатное программное обеспечение. Однако на самом деле пользователи непреднамеренно загружали рекламное ПО Pirrit.

Pirrit - рекламное ПО для macOS, впервые обнаруженное в 2016 году и с тех пор активно распространяющееся. Оно воздействует на пользователей, перенаправляя их на вредоносные сайты, собирая пользовательские данные и выдавая назойливую рекламу. Vexfile - сайт, известный тем, что на нем размещается множество вредоносных файлов, также был подтвержден VT Relations. В результате изучения VM check и применения антиотладочных средств было установлено, что сайт может принадлежать рекламному ПО Pirrit. Об этом также упоминалось в обнаружениях VT.

В процессе установки программа предлагала загрузить другие приложения, такие как Supernova, Avast AV, Opera и CC Cleaner. Эти приложения могли содержать дополнительные вредоносные элементы, но выявить полезную нагрузку следующего этапа в ходе анализа не удалось. Существует блог, в котором описывается другая цепочка заражения этой рекламной программой Pirrit.

#ParsedReport #CompletenessMedium
06-09-2023

QakBot's Endgame: The Final Move Before the Takedown

https://www.trellix.com/content/mainsite/en-us/about/newsroom/stories/research/qakbots-endgame-the-final-move-before-the-takedown.html

Report completeness: Medium

Actors/Campaigns:
Ta570

Threats:
Qakbot
Emotet
Prolock
Egregor
Doppelpaymer
Process_injection_technique

Industry:
Entertainment, Financial

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 7
Registry: 1

Soft:
windows error reporting manager, windows error reporting

Algorithms:
ror13, base64

Win API:
ShellExecuteExW, BitBlt, VirtualAlloc, VirtualProtect

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 7, chart: 3, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Qakbot - это вредоносный банковский троян, действующий с 2007 года и использующийся для кражи конфиденциальных данных. Несмотря на глобальную операцию по уничтожению Qakbot летом 2023 года, организации и частные лица должны сохранять бдительность и принимать проактивные меры для защиты своих систем от подобных атак.
-----

Qakbot, известный также под названиями QBot, QuakBot и Pinkslipbot, - вредоносный банковский троян, действующий с 2007 года. Он предназначен для кражи конфиденциальных данных, включая учетные данные и финансовую информацию. Qakbot был связан с развертыванием программ-вымогателей и способен загружать и исполнять дополнительное вредоносное ПО. Последняя версия Qakbot, появившаяся в апреле 2023 года, использует в качестве начального вектора заражения файлы JavaScript. Сценарий атаки предполагает загрузку жертвой вредоносного JS-файла со встроенного URL-адреса, содержащегося в фишинговом письме. Для повышения эффективности вредоносных URL-адресов угрозы используют различные техники уклонения, такие как обфускация, уклонение от гео-адреса, уклонение от пустого содержимого и уклонение от перенаправления.

Вредоносная программа сложна и трудно поддается анализу. В нем используются сложные методы обфускации, закодированные строки, вызовы функций и динамически генерируемый код. После выполнения JS-файла происходит вызов закодированной команды PowerShell, которая отвечает за сброс вредоносного DLL-файла. Этот файл затем запускается с помощью приложения rundll32.exe. Поведение этого файла включает использование алгоритма ROR13 для вычисления адресов VirtualAlloc и VirtualProtect, расшифровку сильно обфусцированного шелл-кода и возврат в исходное состояние.

Летом 2023 года в результате глобальной операции, проведенной под руководством Министерства юстиции и ФБР, деятельность Qakbot была успешно ликвидирована. Несмотря на это, организации и частные лица должны сохранять проактивность в защите своих систем от подобных атак с использованием современных вредоносных программ. Важно проявлять осторожность и сохранять бдительность при получении подозрительных писем, поскольку они могут привести к загрузке вредоносных JS-файлов. Кроме того, для эффективного обнаружения, ослабления и нейтрализации этой угрозы необходимо применять надежные меры кибербезопасности.

#ParsedReport #CompletenessMedium
07-09-2023

Multiple Nation-State Threat Actors Exploit CVE-2022-47966 and CVE-2022-42475

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-250a

Report completeness: Medium

Threats:
Mirai
Connectwise_rat
Screenconnect_tool
Metasploit_tool
Meterpreter_tool
Mimikatz_tool
Procdump_tool
Credential_dumping_technique
Anydesk_tool
Daxin
Lockbit

Victims:
Aeronautical sector organization

Geo:
Brazil, Portuguese

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2022-47966 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine access manager plus (4.3)
- zohocorp manageengine ad360 (<4.3)
- zohocorp manageengine adaudit plus (7.0)
- zohocorp manageengine admanager plus (7.1)
- zohocorp manageengine adselfservice plus (6.2)
have more...
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)


TTPs:
Tactics: 7
Technics: 37

IOCs:
IP: 23
Path: 30
File: 21
Email: 1
Command: 2
Domain: 3

Soft:
local security authority, active directory, psexec, sysinternals, apache log4j, outlook, windows registry, windows service

Algorithms:
aes, zip

Win API:
CreateServiceW

Languages:
java, php, javascript

Platforms:
x86

Links:
https://github.com/cisagov/Decider/
https://github.com/projectdiscovery/interactsh

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CISA, ФБР и CNMF выявили признаки компрометации в одной из организаций авиационного сектора в январе 2023 г., где субъекты APT использовали две уязвимости для получения несанкционированного доступа и бокового перемещения по сети организации. CISA выпустила совместный совет по кибербезопасности, чтобы предоставить защитникам сетей тактику, методы и процедуры, индикаторы компрометации, а также методы обнаружения и защиты от аналогичной эксплуатации.
-----

В январе 2023 года субъекты APT использовали две отдельные уязвимости - CVE-2022-47966 и CVE-2022-42475 - для получения несанкционированного доступа в одной из организаций авиационного сектора.

Субъекты APT инициировали несколько TLS-шифрованных сессий на TCP-порту 10443, что свидетельствовало об успешном обмене передачей данных с межсетевого устройства.

Действующие лица APT использовали отключенные, легитимные учетные данные административной учетной записи ранее нанятого подрядчика.

CISA не удалось установить, был ли осуществлен доступ к служебной информации, ее изменение или утечка.

CISA выпустила совместный совет по кибербезопасности, в котором защитники сетей должны ознакомиться с тактикой, методами и процедурами, индикаторами компрометации, а также методами обнаружения и защиты от аналогичной эксплуатации.

Для предотвращения подобных атак в будущем CISA рекомендует вести журнал регистрации создания новых пользователей, отслеживать выполняемые команды и аргументы на предмет действий, связанных с созданием локальной учетной записи, отслеживать изменения, вносимые в запланированные задачи, и контролировать вызовы API, которые могут создавать или модифицировать Windows.

#ParsedReport #CompletenessMedium
07-09-2023

New Hive0117 phishing campaign imitates conscription summons to deliver DarkWatchman malware

https://securityintelligence.com/posts/new-hive0117-phishing-campaign-imitates-conscription-summons-deliver-darkwatchman-malware

Report completeness: Medium

Actors/Campaigns:
Hive0117

Threats:
Darkwatchman
Melissa
Beacon

Victims:
Individuals associated with major energy, finance, transport, and software security industries based in russia, kazakhstan, latvia, and estonia

Industry:
Government, Financial, Military, Energy

Geo:
Latvia, Moscow, Kazakhstan, Russia, Russian, Estonia, Ukraine

TTPs:

IOCs:
Email: 1
File: 5
Registry: 1
Command: 2
Hash: 17

Soft:
windows registry

Algorithms:
xor, zip, base64

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: IBM X-Force обнаружила новую фишинговую кампанию, проводимую компанией Hive0117, которая распространяет безфайловую вредоносную программу DarkWatchman, способную осуществлять кейлоггинг, сбор системной информации и развертывание вторичной полезной нагрузки. Вероятно, Hive0117 представляет угрозу для организаций и предприятий, находящихся в регионе, и X-Force рекомендует им сохранять повышенный уровень защиты.
-----

Компания IBM X-Force обнаружила новую фишинговую кампанию Hive0117, в ходе которой распространялось безфайловое вредоносное ПО DarkWatchman. Объектом атаки стали лица, связанные с крупными энергетическими, финансовыми, транспортными компаниями и компаниями, занимающимися защитой программного обеспечения, расположенными в России, Казахстане, Латвии и Эстонии. Фишинговые письма имитируют официальную переписку с российским правительством, связанную с недавними поправками, касающимися призыва в армию, создавая у получателя ощущение срочности. Вредоносная программа способна осуществлять кейлоггинг, сбор системной информации и развертывание вторичной полезной нагрузки.

Вредоносные письма были разосланы примерно 10 мая 2023 г., их темами были "Приказы о мобилизации". Письма содержали исполняемый файл, который при загрузке загружал вредоносную программу DarkWatchman. Эта вредоносная программа была похожа на вредоносную программу Hive0117, о которой сообщалось в апреле 2022 года, с тем лишь отличием, что она использует безфайловое поведение. Вредоносная программа DarkWatchman написана на языках JavaScript и C# и способна удалять следы своего существования на скомпрометированных системах. Он также использует алгоритмы генерации доменов (DGA) для формирования списка командно-контрольных доменов (C2), подключается к ним и обрабатывает любые команды, полученные с C2-сервера. Вредоносная программа также содержит кейлоггер, который написан на языке C# и хранится в виде закодированной в base64 команды PowerShell.

После установки вредоносная программа DarkWatchman создает запланированное задание с повышенными правами для сохранения устойчивости в системе, ищет файл, содержащий кейлоггер, считывает его содержимое и декодирует с помощью операций XOR. Кроме того, он запрашивает наличие считывателя смарт-карт, что может свидетельствовать о том, что Hive0117 нацелен на военные, правительственные или другие организации с повышенными требованиями к безопасности.

Бесфайловая природа вредоносной программы DarkWatchman, а также тот факт, что она написана на JavaScript и C# и способна удалять следы своего существования на скомпрометированных системах, свидетельствуют о достаточно сложных возможностях. Вероятно, Hive0117 представляет угрозу для организаций и предприятий, находящихся в регионе, поскольку для проведения операций используются новые политики, связанные с продолжающимся конфликтом на Украине. X-Force рекомендует организациям, находящимся в регионе, сохранять повышенный уровень обороноспособности.

#ParsedReport #CompletenessMedium
07-09-2023

Deep Dive into Supply Chain Compromise: Hospitality's Hidden Risks. Responsible Disclosure

https://www.bitdefender.com/blog/businessinsights/deep-dive-into-supply-chain-compromise-hospitalitys-hidden-risks

Report completeness: Medium

Threats:
Supply_chain_technique
Timestomp_technique
Xmodule
Printspoofer_tool
Themida_tool
Process_ghosting_technique
Upx_tool

Victims:
Small resort in the u.s.

Industry:
Healthcare, Financial

CVEs:
CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1709, 1803, 1809, 1903, 1909)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 1803, 1903, 1909)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1074, T1204, T1053, T1086, T1112, T1046, T1071, T1036, T1105, have more...

IOCs:
Path: 7
File: 9
Command: 2
Coin: 1
Domain: 1
Hash: 50

Soft:
asp.net

Algorithms:
xor, zip, base64

Languages:
javascript

Links:
https://github.com/Cr4sh/MicroBackdoor
https://github.com/IkerSaint/KingHamlet
https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION/tree/master/BitsArbitraryFileMove-master/BitsArbitraryFileMoveExploit
https://github.com/itm4n/PrintSpoofer

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют уязвимости в современном программном обеспечении для аренды жилья, как, например, в случае недавней атаки на небольшой курорт в США. Компаниям следует проявлять особую осторожность при выборе программного обеспечения и применять надежные меры безопасности для защиты своих клиентов.
-----

Современное программное обеспечение для аренды жилья становится все более популярным в гостиницах, курортах и других предприятиях. К сожалению, это означает, что у киберпреступников появляется все больше возможностей для использования уязвимостей и кражи конфиденциальной информации. Недавно на одном из небольших курортов США была обнаружена брешь в системе безопасности, где для использования уязвимостей в программном обеспечении компании Resort Data Processing, Inc. была применена специально разработанная вредоносная программа.

Наша команда пыталась связаться с компанией Resort Data Processing с мая 2023 года по поводу первоначальной уязвимости. Мы отправили электронные письма, но ответа не последовало. Мы продолжили попытки связаться с компанией через их программу bug bounty, Twitter и контакты в LinkedIn, но они так и не увенчались успехом. Атака началась летом 2022 года и была поддержана timestomping - техникой, используемой для подмешивания вредоносных файлов в легитимные с целью обмана следователей. Неизвестно, какая группа угроз стояла за атакой, но известно, что ее основной целью была финансовая выгода и незаконное получение персональных данных.

Злоумышленники использовали уязвимость в механизме бронирования для загрузки вредоносного кода и сохранения его в таблице UnitAdContent. Затем злоумышленники повышали привилегии с помощью PrintSpoofer и инструмента доказательства концепции CVE-2020-0787. Для создания персистентности использовалась запланированная задача ChkUpd. Вредоносный JavaScript устанавливал cookie с именем __gglmap, в котором хранились различные персональные данные, такие как имя, фамилия, адрес, электронная почта, данные кредитной карты и т.д. Модуль IIS XModule был интегрирован в механизм бронирования и осуществлял мониторинг трафика с целью перехвата информации или получения команд. В качестве минималистичного бэкдора для операционных систем Windows злоумышленник также использовал Micro Backdoor. XModule выступал в роли прокси между C2-сервером telecomptd.org и Micro Backdoor, позволяя агенту угроз собирать добытые данные и получать команды.

Важно отметить, что уязвимость цепочек поставок становится все более серьезной проблемой, связанной с использованием программных решений сторонних производителей. Особенно малым предприятиям следует проявлять повышенную осторожность при выборе программного обеспечения и обязательно отслеживать наличие проблем с безопасностью. Кроме того, крупные гостиничные сети и поисковые системы по туризму должны применять надежные меры безопасности для защиты своих клиентов.

#ParsedReport #CompletenessLow
07-09-2023

Rise in Tech-Support Scams Abusing Windows Action Center Notifications

https://www.zscaler.com/blogs/security-research/rise-tech-support-scams-abusing-windows-action-center-notifications

Report completeness: Low

Threats:
Melissa

Victims:
Users visiting pirated movie streaming websites

Geo:
Canada, Japan, Australia

ChatGPT TTPs:
do not use without manual check
T1499, T1064, T1490

IOCs:
File: 1
Domain: 30

Soft:
windows defender

Languages:
javascript