#ParsedReport #CompletenessMedium
08-09-2023
RedEyes (ScarCruft) s CHM Malware Using the Topic of Fukushima Wastewater Release
https://asec.ahnlab.com/en/56857
Report completeness: Medium
Actors/Campaigns:
Scarcruft
Threats:
M2rat
Industry:
Financial
Geo:
Korea, Korean
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 4
Hash: 1
Soft:
task scheduler
Algorithms:
zip
Languages:
javascript
08-09-2023
RedEyes (ScarCruft) s CHM Malware Using the Topic of Fukushima Wastewater Release
https://asec.ahnlab.com/en/56857
Report completeness: Medium
Actors/Campaigns:
Scarcruft
Threats:
M2rat
Industry:
Financial
Geo:
Korea, Korean
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Command: 2
Path: 1
Registry: 1
IP: 1
Url: 4
Hash: 1
Soft:
task scheduler
Algorithms:
zip
Languages:
javascript
ASEC BLOG
RedEyes (ScarCruft)'s CHM Malware Using the Topic of Fukushima Wastewater Release - ASEC BLOG
The AhnLab Security Emergency response Center (ASEC) analysis team has recently discovered that the CHM malware, which is assumed to have been created by the RedEyes threat group, is being distributed again. The CHM malware in distribution operates in a similar…
#ParsedReport #CompletenessLow
08-09-2023
RomCom RAT: Not Your Typical Love Story
https://labs.k7computing.com/index.php/romcom-rat-not-your-typical-love-story
Report completeness: Low
Threats:
Romcom_rat
Vmprotect_tool
Geo:
Chinese, Japanese, Korean
IOCs:
Path: 2
Hash: 3
Soft:
3proxy, internet explorer
Algorithms:
xor
Win API:
IsProcessorFeaturePresent, QueryPerformanceCounter, GetOEMCP, WinHttpGetIEProxyConfigForCurrentUser, WinHttpReadData, ProcessIdToSessionId, FindFirstFileA, FindNextFileA, Process32FirstW, Process32NextW, have more...
08-09-2023
RomCom RAT: Not Your Typical Love Story
https://labs.k7computing.com/index.php/romcom-rat-not-your-typical-love-story
Report completeness: Low
Threats:
Romcom_rat
Vmprotect_tool
Geo:
Chinese, Japanese, Korean
IOCs:
Path: 2
Hash: 3
Soft:
3proxy, internet explorer
Algorithms:
xor
Win API:
IsProcessorFeaturePresent, QueryPerformanceCounter, GetOEMCP, WinHttpGetIEProxyConfigForCurrentUser, WinHttpReadData, ProcessIdToSessionId, FindFirstFileA, FindNextFileA, Process32FirstW, Process32NextW, have more...
K7 Labs
RomCom RAT: Not Your Typical Love Story
Remote Access Trojan (RAT) is a type of malware that, as the name suggests, can remotely access a victims’ system […]
CTT Report Hub
#ParsedReport #CompletenessLow 08-09-2023 RomCom RAT: Not Your Typical Love Story https://labs.k7computing.com/index.php/romcom-rat-not-your-typical-love-story Report completeness: Low Threats: Romcom_rat Vmprotect_tool Geo: Chinese, Japanese, Korean…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
RomCom RAT - это троянская программа удаленного доступа (RAT), которая используется для захвата контроля над скомпрометированной системой путем развертывания поддельных версий легитимных приложений. Для защиты от этого типа вредоносных программ пользователям следует использовать надежные продукты безопасности, такие как K7 Total Security, и поддерживать свои устройства в актуальном состоянии.
-----
RomCom RAT - это разновидность троянских программ удаленного доступа (RAT), которые используются для захвата контроля над взломанной системой путем развертывания на ней поддельных версий легитимных приложений. Вредоносная программа имеет цифровую подпись Noray Consulting Ltd., компании с фиктивной страницей в LinkedIn и сомнительным веб-сайтом. При дальнейшем анализе было обнаружено, что установочный файл сбрасывает файлы RomCom в C:\Users\Public\Libraries. Все сброшенные DLL-библиотеки были VMProtect ed файлами, причем один такой файл имел высокую энтропию. Затем вредоносная программа проверяет номер сборки ОС и идентификатор кодовой страницы, чтобы определить, относятся ли данные буфера обмена к китайскому, японскому или корейскому языку. Если это так, то вредоносный процесс выбрасывает исключение и завершает работу.
RomCom RAT также имеет возможность устанавливать переменную окружения и обходить обычный порядок загрузки DLL. При этом все статические данные, такие как URL, заголовок клиента, значение реестра и имя файла, сохраняются в зашифрованном виде. Затем он использует API WinHttpGetIEProxyConfigForCurrentUser для получения конфигурации прокси-сервера Internet Explorer для текущего пользователя, которая используется для утечки данных, полученных от жертвы. Также вредоносная программа пытается установить соединение с C2, а в случае неудачи переходит в спящий режим на некоторое время, после чего повторяет попытку. Кроме того, вредоносная программа обходит файловую систему, собирая список имен файлов и отправляя их на C2.
В ряде случаев участники угроз RomCom использовали для своей вредоносной деятельности поддельные веб-сайты и приложения. Для защиты от этого типа вредоносных программ пользователям следует использовать надежные продукты безопасности, такие как K7 Total Security, и поддерживать свои устройства в актуальном состоянии. K7 Labs обеспечивает обнаружение RomCom RAT и других типов угроз, которые могут присутствовать в системе. Это гарантирует безопасность устройства жертвы и содержащихся на нем данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
RomCom RAT - это троянская программа удаленного доступа (RAT), которая используется для захвата контроля над скомпрометированной системой путем развертывания поддельных версий легитимных приложений. Для защиты от этого типа вредоносных программ пользователям следует использовать надежные продукты безопасности, такие как K7 Total Security, и поддерживать свои устройства в актуальном состоянии.
-----
RomCom RAT - это разновидность троянских программ удаленного доступа (RAT), которые используются для захвата контроля над взломанной системой путем развертывания на ней поддельных версий легитимных приложений. Вредоносная программа имеет цифровую подпись Noray Consulting Ltd., компании с фиктивной страницей в LinkedIn и сомнительным веб-сайтом. При дальнейшем анализе было обнаружено, что установочный файл сбрасывает файлы RomCom в C:\Users\Public\Libraries. Все сброшенные DLL-библиотеки были VMProtect ed файлами, причем один такой файл имел высокую энтропию. Затем вредоносная программа проверяет номер сборки ОС и идентификатор кодовой страницы, чтобы определить, относятся ли данные буфера обмена к китайскому, японскому или корейскому языку. Если это так, то вредоносный процесс выбрасывает исключение и завершает работу.
RomCom RAT также имеет возможность устанавливать переменную окружения и обходить обычный порядок загрузки DLL. При этом все статические данные, такие как URL, заголовок клиента, значение реестра и имя файла, сохраняются в зашифрованном виде. Затем он использует API WinHttpGetIEProxyConfigForCurrentUser для получения конфигурации прокси-сервера Internet Explorer для текущего пользователя, которая используется для утечки данных, полученных от жертвы. Также вредоносная программа пытается установить соединение с C2, а в случае неудачи переходит в спящий режим на некоторое время, после чего повторяет попытку. Кроме того, вредоносная программа обходит файловую систему, собирая список имен файлов и отправляя их на C2.
В ряде случаев участники угроз RomCom использовали для своей вредоносной деятельности поддельные веб-сайты и приложения. Для защиты от этого типа вредоносных программ пользователям следует использовать надежные продукты безопасности, такие как K7 Total Security, и поддерживать свои устройства в актуальном состоянии. K7 Labs обеспечивает обнаружение RomCom RAT и других типов угроз, которые могут присутствовать в системе. Это гарантирует безопасность устройства жертвы и содержащихся на нем данных.
#ParsedReport #CompletenessMedium
08-09-2023
Technical Analysis of HijackLoader
https://www.zscaler.com/blogs/security-research/technical-analysis-hijackloader
Report completeness: Medium
Threats:
Hijackloader
Danabot
Systembc
Redline_stealer
Heavens_gate_technique
Dll_hijacking_technique
Rshell
Emotet
Qakbot
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1218.011, T1055.003, T1140.001, T1036.004
IOCs:
File: 23
Hash: 6
Url: 2
Soft:
microsoft windows defender
Algorithms:
crc-32, xor
Win API:
VirtualProtect
Win Services:
avastsvc, msmpeng, ekrn, epsecurityservice, mcshield, BITS
Languages:
python
08-09-2023
Technical Analysis of HijackLoader
https://www.zscaler.com/blogs/security-research/technical-analysis-hijackloader
Report completeness: Medium
Threats:
Hijackloader
Danabot
Systembc
Redline_stealer
Heavens_gate_technique
Dll_hijacking_technique
Rshell
Emotet
Qakbot
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1218.011, T1055.003, T1140.001, T1036.004
IOCs:
File: 23
Hash: 6
Url: 2
Soft:
microsoft windows defender
Algorithms:
crc-32, xor
Win API:
VirtualProtect
Win Services:
avastsvc, msmpeng, ekrn, epsecurityservice, mcshield, BITS
Languages:
python
Zscaler
HijackLoader | ThreatLabz
HijackLoader | Learn its tactics, evasion techniques, and modular architecture in our in-depth analysis.
CTT Report Hub
#ParsedReport #CompletenessMedium 08-09-2023 Technical Analysis of HijackLoader https://www.zscaler.com/blogs/security-research/technical-analysis-hijackloader Report completeness: Medium Threats: Hijackloader Danabot Systembc Redline_stealer Heavens_gate_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что HijackLoader - это мощный загрузчик вредоносного ПО с техниками уклонения, предоставляющий множество вариантов вредоносной полезной нагрузки, поэтому его популярность за последние несколько месяцев возросла. Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы, связанные с HijackLoader.
-----
HijackLoader - новый загрузчик вредоносных программ, который за последние несколько месяцев приобрел большую популярность благодаря своей модульной архитектуре и возможности внедрения и выполнения кода. Он используется для загрузки различных вредоносных полезных нагрузок, таких как Danabot, SystemBC и RedLine Stealer.
При исполнении HijackLoader начинает работу с выполнения модифицированной (hooked) функции Windows C Runtime (CRT), которая указывает на точку входа первого этапа. На первом этапе определяется, встроена ли конечная полезная нагрузка в бинарный файл или должна быть загружена с внешнего сервера. Для этого HijackLoader включает в себя зашифрованную конфигурацию, в которой хранится такая информация, как динамическая загрузка функций Windows API, выполнение HTTP-теста на подключение к легитимному сайту, задержка выполнения кода на различных этапах.
Затем HijackLoader использует встроенную таблицу модулей, которая обеспечивает гибкую инъекцию и выполнение кода. Это позволяет обнаружить и расшифровать полезную нагрузку второго этапа. Для обхода мониторинга со стороны средств защиты в HijackLoader также используется техника "Небесные врата", блок-лист процессов и пользовательская техника хеширования API. В таблице модулей хранятся модули HijackLoader и конечная полезная нагрузка.
Основной модуль инструментального шеллкода реализует большинство основных функций HijackLoader. Он повторно запускает исходный файл из нового места и с новыми параметрами, создает новый процесс, отображает в него перехваченный файл и внедряет основной инструментальный шелл-код. В зависимости от конфигурационных флагов он также выполняет модуль FIXED, который в дальнейшем может быть использован для инъекции кода. Также шелл-код расшифровывает полезную нагрузку с помощью побитовой операции XOR и в зависимости от типа файла полезной нагрузки и флага выполняет расшифрованную полезную нагрузку либо путем инъекции, либо прямым исполнением.
HijackLoader - это мощный загрузчик вредоносных программ с техникой уклонения, предоставляющий множество вариантов вредоносной полезной нагрузки. Он не обладает какими-либо расширенными возможностями, а качество кода оставляет желать лучшего, но, учитывая его растущую популярность, мы ожидаем улучшения кода и его дальнейшего использования большим количеством субъектов угроз. Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы, связанные с HijackLoader, на различных уровнях.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что HijackLoader - это мощный загрузчик вредоносного ПО с техниками уклонения, предоставляющий множество вариантов вредоносной полезной нагрузки, поэтому его популярность за последние несколько месяцев возросла. Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы, связанные с HijackLoader.
-----
HijackLoader - новый загрузчик вредоносных программ, который за последние несколько месяцев приобрел большую популярность благодаря своей модульной архитектуре и возможности внедрения и выполнения кода. Он используется для загрузки различных вредоносных полезных нагрузок, таких как Danabot, SystemBC и RedLine Stealer.
При исполнении HijackLoader начинает работу с выполнения модифицированной (hooked) функции Windows C Runtime (CRT), которая указывает на точку входа первого этапа. На первом этапе определяется, встроена ли конечная полезная нагрузка в бинарный файл или должна быть загружена с внешнего сервера. Для этого HijackLoader включает в себя зашифрованную конфигурацию, в которой хранится такая информация, как динамическая загрузка функций Windows API, выполнение HTTP-теста на подключение к легитимному сайту, задержка выполнения кода на различных этапах.
Затем HijackLoader использует встроенную таблицу модулей, которая обеспечивает гибкую инъекцию и выполнение кода. Это позволяет обнаружить и расшифровать полезную нагрузку второго этапа. Для обхода мониторинга со стороны средств защиты в HijackLoader также используется техника "Небесные врата", блок-лист процессов и пользовательская техника хеширования API. В таблице модулей хранятся модули HijackLoader и конечная полезная нагрузка.
Основной модуль инструментального шеллкода реализует большинство основных функций HijackLoader. Он повторно запускает исходный файл из нового места и с новыми параметрами, создает новый процесс, отображает в него перехваченный файл и внедряет основной инструментальный шелл-код. В зависимости от конфигурационных флагов он также выполняет модуль FIXED, который в дальнейшем может быть использован для инъекции кода. Также шелл-код расшифровывает полезную нагрузку с помощью побитовой операции XOR и в зависимости от типа файла полезной нагрузки и флага выполняет расшифрованную полезную нагрузку либо путем инъекции, либо прямым исполнением.
HijackLoader - это мощный загрузчик вредоносных программ с техникой уклонения, предоставляющий множество вариантов вредоносной полезной нагрузки. Он не обладает какими-либо расширенными возможностями, а качество кода оставляет желать лучшего, но, учитывая его растущую популярность, мы ожидаем улучшения кода и его дальнейшего использования большим количеством субъектов угроз. Многоуровневая платформа облачной безопасности Zscaler обнаруживает индикаторы, связанные с HijackLoader, на различных уровнях.
#ParsedReport #CompletenessMedium
11-09-2023
OriginBotnet Spreads via Malicious Word Document
https://www.fortinet.com/blog/threat-research/originbotnet-spreads-via-malicious-word-document
Report completeness: Medium
Actors/Campaigns:
Dev-0960
Threats:
Originbotnet
Redline_stealer
Agent_tesla
Clipbanker
Realvnc_tool
Tightvnc_tool
Victims:
Recipients of malicious word document
ChatGPT TTPs:
T1064, T1086, T1036, T1012, T1082, T1071, T1060, T1113, T1071, T1078, have more...
IOCs:
Url: 3
File: 15
Path: 3
Hash: 12
Domain: 3
Soft:
audacity, telegram, chromium, opera, 7star, torch, kometa, amigo, centbrowser, chedot, have more...
Crypto:
bitcoin, ethereum, dogecoin, litecoin, monero
Algorithms:
aes-cbc, sha256, xor, base64
Functions:
Sleep, Delation, Moschop, CreateInstance, Deserialize, ConstructPath, ExecuteBinder, Run, SetWindowsHookEx
Win API:
MoveFile, GetForegroundWindow, SetClipboardViewer
Languages:
java
Platforms:
x64
11-09-2023
OriginBotnet Spreads via Malicious Word Document
https://www.fortinet.com/blog/threat-research/originbotnet-spreads-via-malicious-word-document
Report completeness: Medium
Actors/Campaigns:
Dev-0960
Threats:
Originbotnet
Redline_stealer
Agent_tesla
Clipbanker
Realvnc_tool
Tightvnc_tool
Victims:
Recipients of malicious word document
ChatGPT TTPs:
do not use without manual checkT1064, T1086, T1036, T1012, T1082, T1071, T1060, T1113, T1071, T1078, have more...
IOCs:
Url: 3
File: 15
Path: 3
Hash: 12
Domain: 3
Soft:
audacity, telegram, chromium, opera, 7star, torch, kometa, amigo, centbrowser, chedot, have more...
Crypto:
bitcoin, ethereum, dogecoin, litecoin, monero
Algorithms:
aes-cbc, sha256, xor, base64
Functions:
Sleep, Delation, Moschop, CreateInstance, Deserialize, ConstructPath, ExecuteBinder, Run, SetWindowsHookEx
Win API:
MoveFile, GetForegroundWindow, SetClipboardViewer
Languages:
java
Platforms:
x64
Fortinet Blog
OriginBotnet Spreads via Malicious Word Document
FortiGuard Labs detected a Word doc with a malicious URL, leading to a 400MB loader, distributing OriginBotnet, RedLine Clipper, and AgentTesla. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessMedium 11-09-2023 OriginBotnet Spreads via Malicious Word Document https://www.fortinet.com/blog/threat-research/originbotnet-spreads-via-malicious-word-document Report completeness: Medium Actors/Campaigns: Dev-0960 Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания FortiGuard Labs обнаружила вредоносный документ Word, содержащий URL-адрес, по которому жертвам предлагается загрузить загрузчик вредоносного ПО, содержащий полезные нагрузки OriginBotnet, RedLine Clipper и AgentTesla. Эти полезные нагрузки специализируются на краже криптовалют, сборе информации и регистрации нажатий клавиш.
-----
В августе компания FortiGuard Labs обнаружила вредоносный документ Word, содержащий URL-адрес, предназначенный для загрузки загрузчика вредоносного ПО. Этот загрузчик использует уклонение от двоичной подложки для увеличения размера файла до 400 МБ и содержит полезную нагрузку OriginBotnet для кейлоггинга и подбора паролей, RedLine Clipper для кражи криптовалюты и AgentTesla для сбора информации. Вредоносный документ Word распространяется через фишинговые письма в виде вложения с намеренно размытым изображением и фальшивой reCAPTCHA, чтобы заманить получателя на клик по нему. При нажатии активируется встроенная вредоносная ссылка в файле \word_rels\document.xml.rels.
Изначально вредоносная программа исходит с URL https://softwarez . online/javau . exe. Он представляет собой исполняемый файл .NET, упакованный с помощью SmartAssembly. При расшифровке данных о ресурсах обнаруживается конечная полезная нагрузка - RedLine Clipper. RedLine Clipper специализируется на краже криптовалют путем манипулирования действиями системного буфера обмена пользователя и подмены адреса целевого кошелька на адрес, принадлежащий злоумышленнику. Данная версия поддерживает Bitcoin, Ethereum, Dogecoin, Litecoin, Dashcoin и Monero.
Второй файл представляет собой вариант Agent Tesla, хранящийся под именем COPPER.exe. Эта вредоносная программа может регистрировать нажатия клавиш, получать доступ к буферу обмена хоста, проводить сканирование диска с целью обнаружения учетных данных и другой ценной информации. Собранную информацию он может передавать на свой командно-контрольный сервер (C2) по нескольким каналам связи. Для обеспечения своей устойчивости вредоносная программа копирует себя в папку %AppData%\EbJgI\EbJgI.exe и создает в системном реестре запись об автозапуске.
Третья вредоносная программа - OriginBotnet, хранящаяся под именем david.exe. OriginBotnet обладает целым рядом возможностей, включая сбор конфиденциальных данных, установление связи со своим C2-сервером и загрузку дополнительных файлов для выполнения функций кейлоггинга или восстановления паролей. OriginBotnet соединяется с сервером C2 по адресу https://nitrosoftwares.shop/gate и выполняет такие команды, как downloadexecute, uninstall, update и load. Плагин Keylogger предназначен для записи и регистрации каждого нажатия клавиши на компьютере и мониторинга действий пользователя.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания FortiGuard Labs обнаружила вредоносный документ Word, содержащий URL-адрес, по которому жертвам предлагается загрузить загрузчик вредоносного ПО, содержащий полезные нагрузки OriginBotnet, RedLine Clipper и AgentTesla. Эти полезные нагрузки специализируются на краже криптовалют, сборе информации и регистрации нажатий клавиш.
-----
В августе компания FortiGuard Labs обнаружила вредоносный документ Word, содержащий URL-адрес, предназначенный для загрузки загрузчика вредоносного ПО. Этот загрузчик использует уклонение от двоичной подложки для увеличения размера файла до 400 МБ и содержит полезную нагрузку OriginBotnet для кейлоггинга и подбора паролей, RedLine Clipper для кражи криптовалюты и AgentTesla для сбора информации. Вредоносный документ Word распространяется через фишинговые письма в виде вложения с намеренно размытым изображением и фальшивой reCAPTCHA, чтобы заманить получателя на клик по нему. При нажатии активируется встроенная вредоносная ссылка в файле \word_rels\document.xml.rels.
Изначально вредоносная программа исходит с URL https://softwarez . online/javau . exe. Он представляет собой исполняемый файл .NET, упакованный с помощью SmartAssembly. При расшифровке данных о ресурсах обнаруживается конечная полезная нагрузка - RedLine Clipper. RedLine Clipper специализируется на краже криптовалют путем манипулирования действиями системного буфера обмена пользователя и подмены адреса целевого кошелька на адрес, принадлежащий злоумышленнику. Данная версия поддерживает Bitcoin, Ethereum, Dogecoin, Litecoin, Dashcoin и Monero.
Второй файл представляет собой вариант Agent Tesla, хранящийся под именем COPPER.exe. Эта вредоносная программа может регистрировать нажатия клавиш, получать доступ к буферу обмена хоста, проводить сканирование диска с целью обнаружения учетных данных и другой ценной информации. Собранную информацию он может передавать на свой командно-контрольный сервер (C2) по нескольким каналам связи. Для обеспечения своей устойчивости вредоносная программа копирует себя в папку %AppData%\EbJgI\EbJgI.exe и создает в системном реестре запись об автозапуске.
Третья вредоносная программа - OriginBotnet, хранящаяся под именем david.exe. OriginBotnet обладает целым рядом возможностей, включая сбор конфиденциальных данных, установление связи со своим C2-сервером и загрузку дополнительных файлов для выполнения функций кейлоггинга или восстановления паролей. OriginBotnet соединяется с сервером C2 по адресу https://nitrosoftwares.shop/gate и выполняет такие команды, как downloadexecute, uninstall, update и load. Плагин Keylogger предназначен для записи и регистрации каждого нажатия клавиши на компьютере и мониторинга действий пользователя.
#ParsedReport #CompletenessMedium
11-09-2023
ScarCruft analysis of attack activities targeting South Korean finance and universities issuing Chinotto backdoors
https://starmap-dbappsecurity-com-cn.translate.goog/blog/articles/2023/08/30/scarcruft-deliver-chinotto/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: Medium
Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Threats:
Chinotto
Steganography_technique
Victims:
South korean finance and universities
Industry:
Education, Financial
Geo:
Korean, Asia
ChatGPT TTPs:
T1064, T1086, T1218, T1204
IOCs:
File: 5
Path: 3
Url: 6
Hash: 7
Algorithms:
zip
Languages:
c_language, javascript
11-09-2023
ScarCruft analysis of attack activities targeting South Korean finance and universities issuing Chinotto backdoors
https://starmap-dbappsecurity-com-cn.translate.goog/blog/articles/2023/08/30/scarcruft-deliver-chinotto/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
Report completeness: Medium
Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Threats:
Chinotto
Steganography_technique
Victims:
South korean finance and universities
Industry:
Education, Financial
Geo:
Korean, Asia
ChatGPT TTPs:
do not use without manual checkT1064, T1086, T1218, T1204
IOCs:
File: 5
Path: 3
Url: 6
Hash: 7
Algorithms:
zip
Languages:
c_language, javascript
安恒威胁情报中心
ScarCruft针对韩国金融、高校下发Chinotto后门的攻击活动分析 - 安恒威胁情报中心
事件背景 ScarCruft采用多种Chinotto加载策略 ScarCruft是Kaspersky于2016年披露的东亚地区APT组织,该组织擅长在攻击活动中... Read More Read More
CTT Report Hub
#ParsedReport #CompletenessMedium 11-09-2023 ScarCruft analysis of attack activities targeting South Korean finance and universities issuing Chinotto backdoors https://starmap-dbappsecurity-com-cn.translate.goog/blog/articles/2023/08/30/scarcruft-deliver…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: ScarCruft - это APT-организация из Восточной Азии, использующая уязвимости 0-day, стеганографию изображений и легитимные облачные сервисы для осуществления кибершпионажа в отношении южнокорейских финансовых, образовательных и других отраслей. В основном эта деятельность была направлена на кражу данных кредитных карт и страховых счетов, а для доставки вредоносной полезной нагрузки использовались узконаправленные файлы-приманки. Anheng Cloud Sandbox поможет избежать компрометации хоста и атак троянских или вирусных файлов.
-----
ScarCruft - APT-организация в Восточной Азии, раскрытая компанией "Касперский" в 2016 году. Она известна тем, что использует уязвимости 0-day, стеганографию изображений и легальные облачные сервисы для осуществления кибершпионажа, направленного на южнокорейские финансовые, образовательные и другие отрасли. Недавно специалисты Anheng Shadow Lab обнаружили на одном из публичных сайтов вредоносный файл, размещенный ScarCruft, который использует различные техники для загрузки вредоносной полезной нагрузки Chinotto (версия Powershell).
В основном кражам подвергались кредитные карты и страховые счета, ориентированные на корейских индивидуальных пользователей. Некоторые из файлов-приманок требуют, чтобы перед их отображением была указана дата рождения цели. Это свидетельствует о том, что у злоумышленников была очень точная цель атаки. На общедоступных сайтах размещались различные полезные нагрузки атаки, которые в основном представляли собой сжатые пакеты ZIP или RAR, в том числе LNK или CHM-файлы, выполняющие инструкции вредоносных скриптов. После выполнения инструкций вредоносного скрипта происходит доставка бэкдора Chinotto Powershell и похитителя информации.
Файлы-приманки, использовавшиеся в атаке ScarCruft, были очень целевыми. Они имитировали различные страховые компании или банки и требовали от пользователя ввода пароля для просмотра содержимого. Тематика файлов-приманок включала банковские счета страховых компаний Dongbu Insurance и KBank. Кроме того, атаке подверглась Высшая школа администрации Сеульского национального университета.
Вредоносный файл содержал три различные цепочки атак, каждая из которых использовала ZIP- или RAR-файл, содержащий различные файлы. ZIP-файл содержал LNK-файл, подделывающий XLSX, а RAR-файлы содержали CHM-файлы. CHM-файлы содержали обфусцированные JavaScript-коды, которые расшифровывали файлы-приманки и загружали бэкдор Chinotto. RAR-файлы также содержали скомпилированный на C# InfoStealer, который похищал информацию о хосте и загружал ее в C2.
В Anheng Cloud Sandbox интегрированы массивы данных об угрозах и характеристики образцов, с помощью которых можно проводить анализ угроз подозрительных файлов и загружать отчеты об анализе. Это позволяет избежать компрометации хоста и атак троянских или вирусных файлов.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: ScarCruft - это APT-организация из Восточной Азии, использующая уязвимости 0-day, стеганографию изображений и легитимные облачные сервисы для осуществления кибершпионажа в отношении южнокорейских финансовых, образовательных и других отраслей. В основном эта деятельность была направлена на кражу данных кредитных карт и страховых счетов, а для доставки вредоносной полезной нагрузки использовались узконаправленные файлы-приманки. Anheng Cloud Sandbox поможет избежать компрометации хоста и атак троянских или вирусных файлов.
-----
ScarCruft - APT-организация в Восточной Азии, раскрытая компанией "Касперский" в 2016 году. Она известна тем, что использует уязвимости 0-day, стеганографию изображений и легальные облачные сервисы для осуществления кибершпионажа, направленного на южнокорейские финансовые, образовательные и другие отрасли. Недавно специалисты Anheng Shadow Lab обнаружили на одном из публичных сайтов вредоносный файл, размещенный ScarCruft, который использует различные техники для загрузки вредоносной полезной нагрузки Chinotto (версия Powershell).
В основном кражам подвергались кредитные карты и страховые счета, ориентированные на корейских индивидуальных пользователей. Некоторые из файлов-приманок требуют, чтобы перед их отображением была указана дата рождения цели. Это свидетельствует о том, что у злоумышленников была очень точная цель атаки. На общедоступных сайтах размещались различные полезные нагрузки атаки, которые в основном представляли собой сжатые пакеты ZIP или RAR, в том числе LNK или CHM-файлы, выполняющие инструкции вредоносных скриптов. После выполнения инструкций вредоносного скрипта происходит доставка бэкдора Chinotto Powershell и похитителя информации.
Файлы-приманки, использовавшиеся в атаке ScarCruft, были очень целевыми. Они имитировали различные страховые компании или банки и требовали от пользователя ввода пароля для просмотра содержимого. Тематика файлов-приманок включала банковские счета страховых компаний Dongbu Insurance и KBank. Кроме того, атаке подверглась Высшая школа администрации Сеульского национального университета.
Вредоносный файл содержал три различные цепочки атак, каждая из которых использовала ZIP- или RAR-файл, содержащий различные файлы. ZIP-файл содержал LNK-файл, подделывающий XLSX, а RAR-файлы содержали CHM-файлы. CHM-файлы содержали обфусцированные JavaScript-коды, которые расшифровывали файлы-приманки и загружали бэкдор Chinotto. RAR-файлы также содержали скомпилированный на C# InfoStealer, который похищал информацию о хосте и загружал ее в C2.
В Anheng Cloud Sandbox интегрированы массивы данных об угрозах и характеристики образцов, с помощью которых можно проводить анализ угроз подозрительных файлов и загружать отчеты об анализе. Это позволяет избежать компрометации хоста и атак троянских или вирусных файлов.
#ParsedReport #CompletenessMedium
11-09-2023
macOS MetaStealer \| New Family of Obfuscated Go Infostealers Spread in Targeted Attacks
https://www.sentinelone.com/blog/macos-metastealer-new-family-of-obfuscated-go-infostealers-spread-in-targeted-attacks
Report completeness: Medium
Threats:
Meta_stealer
Amos_stealer
Macstealer
Realst
Sliver_c2_tool
Poseidon
Typosquatting_technique
Victims:
Mac users
ChatGPT TTPs:
T1566.001, T1566.002, T1486, T1074, T1036
IOCs:
File: 9
Hash: 67
IP: 2
Domain: 3
Url: 2
Soft:
macos, photoshop, gatekeeper, telegram, tradingview
Algorithms:
zip
Platforms:
x86, intel, apple
Links:
11-09-2023
macOS MetaStealer \| New Family of Obfuscated Go Infostealers Spread in Targeted Attacks
https://www.sentinelone.com/blog/macos-metastealer-new-family-of-obfuscated-go-infostealers-spread-in-targeted-attacks
Report completeness: Medium
Threats:
Meta_stealer
Amos_stealer
Macstealer
Realst
Sliver_c2_tool
Poseidon
Typosquatting_technique
Victims:
Mac users
ChatGPT TTPs:
do not use without manual checkT1566.001, T1566.002, T1486, T1074, T1036
IOCs:
File: 9
Hash: 67
IP: 2
Domain: 3
Url: 2
Soft:
macos, photoshop, gatekeeper, telegram, tradingview
Algorithms:
zip
Platforms:
x86, intel, apple
Links:
https://github.com/burrowers/garbleSentinelOne
macOS MetaStealer | New Family of Obfuscated Go Infostealers Spread in Targeted Attacks
The rise of macOS infostealers continues with the latest entrant aiming to compromise business environments with targeted social engineering lures.
CTT Report Hub
#ParsedReport #CompletenessMedium 11-09-2023 macOS MetaStealer \| New Family of Obfuscated Go Infostealers Spread in Targeted Attacks https://www.sentinelone.com/blog/macos-metastealer-new-family-of-obfuscated-go-infostealers-spread-in-targeted-attacks …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что MetaStealer - это недавно замеченный инфостиллер, нацеленный на платформу macOS, и организациям следует убедиться, что у них установлены последние обновления безопасности и имеется надежное защитное решение, чтобы обезопасить себя от него.
-----
В этом году произошел всплеск числа инфостиллеров, нацеленных на платформу macOS, и одним из последних замеченных семейств стал MetaStealer. Судя по всему, он распространялся в виде пакетов вредоносных приложений, содержащихся в образах дисков типа .dmg, причем названия указывали на то, что его целью были бизнес-пользователи устройств Mac. Образы дисков содержат такие слова, как "Официальное краткое описание" и "Ссылки на обложку", что позволяет предположить, что они являются приманками, предназначенными для таких пользователей. Приложения, входящие в состав образов дисков MetaStealer, содержат необходимый минимум для формирования корректной связки macOS: файл Info.plist, папку Resources с изображением иконки и папку MacOS с вредоносным исполняемым файлом.
Основным исполняемым файлом является Intel x86 Mach-O, содержащий скомпилированный и сильно обфусцированный исходный код на языке Go. Образцы MetaStealer были замечены при обращении к одному из следующих доменов: MetaStealer также был замечен в попытках открыть исходящее TCP-соединение с одним из хостов 13 . 125.88 . 10 или 13 . 114.196 . 60 через порт 3000.
По сравнению с другими недавними похитителями, такими как Atomic Stealer, фактическое совпадение кода MetaStealer и Atomic Stealer незначительно. Однако не исключено, что за обоими похитителями стоит одна и та же команда разработчиков вредоносного ПО.
Важно отметить, что обновление Apple XProtect v2170 содержит сигнатуру обнаружения для некоторых версий MetaStealer, но не для всех. Организациям, не имеющим SentinelOne или другого решения для обеспечения безопасности, рекомендуется ознакомиться с индикаторами, которые помогут выявить MetaStealer в их средах. Чтобы обезопасить себя от вредоносного ПО MetaStealer, организациям следует убедиться в том, что у них установлены последние обновления безопасности и имеется надежное решение для защиты.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что MetaStealer - это недавно замеченный инфостиллер, нацеленный на платформу macOS, и организациям следует убедиться, что у них установлены последние обновления безопасности и имеется надежное защитное решение, чтобы обезопасить себя от него.
-----
В этом году произошел всплеск числа инфостиллеров, нацеленных на платформу macOS, и одним из последних замеченных семейств стал MetaStealer. Судя по всему, он распространялся в виде пакетов вредоносных приложений, содержащихся в образах дисков типа .dmg, причем названия указывали на то, что его целью были бизнес-пользователи устройств Mac. Образы дисков содержат такие слова, как "Официальное краткое описание" и "Ссылки на обложку", что позволяет предположить, что они являются приманками, предназначенными для таких пользователей. Приложения, входящие в состав образов дисков MetaStealer, содержат необходимый минимум для формирования корректной связки macOS: файл Info.plist, папку Resources с изображением иконки и папку MacOS с вредоносным исполняемым файлом.
Основным исполняемым файлом является Intel x86 Mach-O, содержащий скомпилированный и сильно обфусцированный исходный код на языке Go. Образцы MetaStealer были замечены при обращении к одному из следующих доменов: MetaStealer также был замечен в попытках открыть исходящее TCP-соединение с одним из хостов 13 . 125.88 . 10 или 13 . 114.196 . 60 через порт 3000.
По сравнению с другими недавними похитителями, такими как Atomic Stealer, фактическое совпадение кода MetaStealer и Atomic Stealer незначительно. Однако не исключено, что за обоими похитителями стоит одна и та же команда разработчиков вредоносного ПО.
Важно отметить, что обновление Apple XProtect v2170 содержит сигнатуру обнаружения для некоторых версий MetaStealer, но не для всех. Организациям, не имеющим SentinelOne или другого решения для обеспечения безопасности, рекомендуется ознакомиться с индикаторами, которые помогут выявить MetaStealer в их средах. Чтобы обезопасить себя от вредоносного ПО MetaStealer, организациям следует убедиться в том, что у них установлены последние обновления безопасности и имеется надежное решение для защиты.
#ParsedReport #CompletenessHigh
11-09-2023
From Caribbean shores to your devices: analyzing Cuba ransomware
https://securelist.com/cuba-ransomware/110533
Report completeness: High
Actors/Campaigns:
Tropical_scorpius (motivation: cyber_criminal)
Lazarus
Threats:
Cuba
Babuk
Colddraw
Lockbit
Avoslocker
Mimikatz_tool
Proxyshell_vuln
Proxylogon_exploit
Bughatch
Burntcigar_tool
Cobalt_strike
Hancitor
Termite
Systembc
Romcom_rat
Zerologon_vuln
Mosquito
Beacon
Metasploit_tool
Conti
Yanluowang
Byovd_technique
Gotoassist_tool
Victims:
Oil companies, financial services, government agencies and healthcare providers
Industry:
Petroleum, Government, Healthcare, Retail, Financial
Geo:
Russian, Asia, Canada, Australia
CVEs:
CVE-2022-26501 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (11.0.1.1261, 10.0.1.4854)
CVE-2022-26504 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (9.5.4.2615, 9.5.0.1536, 11.0.1.1261, 10.0.1.4854)
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)
CVE-2022-26522 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2010, 2013, 2019, 2016)
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2022-26500 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (9.5.4.2615, 9.5.0.1536, 11.0.1.1261, 10.0.1.4854)
CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-21551 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- dell dbutil 2 3.sys (-)
CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2013, 2019)
CVE-2022-26523 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
IOCs:
Url: 5
Path: 3
File: 11
Hash: 29
IP: 4
Coin: 18
Soft:
microsoft office, psexec, windows security
Crypto:
bitcoin
Algorithms:
xsalsa20, rsa-2048
Win API:
CreateThread, ZwTerminateProcess, NetUserAdd, VirtualAlloc
Platforms:
x86
YARA: Found
SIGMA: Found
Links:
11-09-2023
From Caribbean shores to your devices: analyzing Cuba ransomware
https://securelist.com/cuba-ransomware/110533
Report completeness: High
Actors/Campaigns:
Tropical_scorpius (motivation: cyber_criminal)
Lazarus
Threats:
Cuba
Babuk
Colddraw
Lockbit
Avoslocker
Mimikatz_tool
Proxyshell_vuln
Proxylogon_exploit
Bughatch
Burntcigar_tool
Cobalt_strike
Hancitor
Termite
Systembc
Romcom_rat
Zerologon_vuln
Mosquito
Beacon
Metasploit_tool
Conti
Yanluowang
Byovd_technique
Gotoassist_tool
Victims:
Oil companies, financial services, government agencies and healthcare providers
Industry:
Petroleum, Government, Healthcare, Retail, Financial
Geo:
Russian, Asia, Canada, Australia
CVEs:
CVE-2022-26501 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (11.0.1.1261, 10.0.1.4854)
CVE-2022-26504 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (9.5.4.2615, 9.5.0.1536, 11.0.1.1261, 10.0.1.4854)
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)
CVE-2022-26522 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2010, 2013, 2019, 2016)
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: 6.6
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2022-26500 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (9.5.4.2615, 9.5.0.1536, 11.0.1.1261, 10.0.1.4854)
CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2019, 2016)
CVE-2021-21551 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- dell dbutil 2 3.sys (-)
CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2013, 2019)
CVE-2022-26523 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
IOCs:
Url: 5
Path: 3
File: 11
Hash: 29
IP: 4
Coin: 18
Soft:
microsoft office, psexec, windows security
Crypto:
bitcoin
Algorithms:
xsalsa20, rsa-2048
Win API:
CreateThread, ZwTerminateProcess, NetUserAdd, VirtualAlloc
Platforms:
x86
YARA: Found
SIGMA: Found
Links:
https://github.com/BlureL/SigmaYara-RulesSecurelist
Analysis of Cuba ransomware gang activity and tooling
The article analyzes the malicious tactics, techniques and procedures (TTP) used by the operator of the Cuba ransomware, and details a Cuba attack incident.
CTT Report Hub
#ParsedReport #CompletenessHigh 11-09-2023 From Caribbean shores to your devices: analyzing Cuba ransomware https://securelist.com/cuba-ransomware/110533 Report completeness: High Actors/Campaigns: Tropical_scorpius (motivation: cyber_criminal) Lazarus…
#ParsedReport #ExtractedSchema
Classified images:
schema: 6, table: 6, windows: 1, dump: 3, chart: 1, code: 7
Classified images:
schema: 6, table: 6, windows: 1, dump: 3, chart: 1, code: 7
CTT Report Hub
#ParsedReport #CompletenessHigh 11-09-2023 From Caribbean shores to your devices: analyzing Cuba ransomware https://securelist.com/cuba-ransomware/110533 Report completeness: High Actors/Campaigns: Tropical_scorpius (motivation: cyber_criminal) Lazarus…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Киберпреступная группа Cuba - это организация, занимающаяся распространением программ-вымогателей (RaaS), которая с конца 2020 года атакует организации в США, Канаде и Европе. Для получения первоначального доступа к системе жертвы группа использует различные методы, включая использование уязвимостей в программном обеспечении и социальную инженерию. Известно также, что для выполнения вредоносных действий они используют метод Bring Your Own Vulnerable Driver (BYOVD). Изучение реальных кибератак и реагирование на инциденты является источником информации о тактике, технике и процедурах злоумышленников.
-----
Киберпреступная группировка Cuba - это организация, предоставляющая услуги выкупа (ransomware-as-a-service, RaaS), которая с конца 2020 года активно атакует организации в США, Канаде и Европе. Считается, что эта группировка является преемницей другой банды вымогателей - Babuk. Банда Cuba использует комбинацию эксплуатации уязвимостей программного обеспечения, социальной инженерии и скомпрометированных RDP-соединений для получения первоначального доступа. Известно также, что они используют четвертую модель вымогательства, при которой они распространяют информацию о взломе среди инвесторов, акционеров и клиентов жертвы.
Cuba ransomware использует гибридное шифрование, избегая определенных расширений файлов и папок, и нацелена на финансовые документы, банковские выписки, реквизиты счетов компаний и исходный код. При этом используются известные классические средства доступа к учетным данным, такие как mimikatz, самописные приложения, а также уязвимости в программном обеспечении, используемом компаниями-жертвами.
Банда была замечена в использовании техники под названием Bring Your Own Vulnerable Driver (BYOVD), которая заключается в установке легитимного подписанного драйвера, содержащего брешь в безопасности, и последующем его использовании для выполнения вредоносных действий внутри системы. Компания Microsoft опубликовала список рекомендаций по защите от подобных методов. Многие производители средств защиты также начали добавлять в свои продукты модуль самозащиты, предотвращающий завершение процессов вредоносным ПО и блокирующий все попытки эксплуатации уязвимых драйверов.
Предполагается, что в состав группы Cuba входят россияне, что следует из пути к PDB-файлу, содержащему папку с названием "mosquito" на русском языке ("komar"), и использования библиотеки komar65.dll, известной как Bughatch. Это еще раз подтвердилось, когда мы обнаружили новые версии Burntcigar, использующие зашифрованные данные для обхода защиты от вредоносного ПО.
В ходе расследования мы обнаружили новые и ранее не обнаруженные образцы вредоносной программы Cuba. Также были обнаружены артефакты, свидетельствующие о том, что по крайней мере некоторые члены банды владеют русским языком. Наше расследование показало, что эта банда использует обширный арсенал как общедоступных, так и созданных на заказ инструментов, которые постоянно обновляются, а также различные приемы и методы, в том числе достаточно опасные, такие как BYOVD.
Инцидент, о котором идет речь в данной статье, показывает, что расследование реальных кибератак и реагирование на инциденты, например управляемое обнаружение и реагирование (MDR), являются источниками самой свежей информации о тактиках, методах и процедурах вредоносного воздействия. Это также подчеркивает важность наличия сложных технологий, способных обнаруживать современные угрозы и защищать средства защиты от отключения, а также обширной, постоянно обновляемой базы знаний об угрозах, которая помогает обнаруживать вредоносные артефакты вручную.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Киберпреступная группа Cuba - это организация, занимающаяся распространением программ-вымогателей (RaaS), которая с конца 2020 года атакует организации в США, Канаде и Европе. Для получения первоначального доступа к системе жертвы группа использует различные методы, включая использование уязвимостей в программном обеспечении и социальную инженерию. Известно также, что для выполнения вредоносных действий они используют метод Bring Your Own Vulnerable Driver (BYOVD). Изучение реальных кибератак и реагирование на инциденты является источником информации о тактике, технике и процедурах злоумышленников.
-----
Киберпреступная группировка Cuba - это организация, предоставляющая услуги выкупа (ransomware-as-a-service, RaaS), которая с конца 2020 года активно атакует организации в США, Канаде и Европе. Считается, что эта группировка является преемницей другой банды вымогателей - Babuk. Банда Cuba использует комбинацию эксплуатации уязвимостей программного обеспечения, социальной инженерии и скомпрометированных RDP-соединений для получения первоначального доступа. Известно также, что они используют четвертую модель вымогательства, при которой они распространяют информацию о взломе среди инвесторов, акционеров и клиентов жертвы.
Cuba ransomware использует гибридное шифрование, избегая определенных расширений файлов и папок, и нацелена на финансовые документы, банковские выписки, реквизиты счетов компаний и исходный код. При этом используются известные классические средства доступа к учетным данным, такие как mimikatz, самописные приложения, а также уязвимости в программном обеспечении, используемом компаниями-жертвами.
Банда была замечена в использовании техники под названием Bring Your Own Vulnerable Driver (BYOVD), которая заключается в установке легитимного подписанного драйвера, содержащего брешь в безопасности, и последующем его использовании для выполнения вредоносных действий внутри системы. Компания Microsoft опубликовала список рекомендаций по защите от подобных методов. Многие производители средств защиты также начали добавлять в свои продукты модуль самозащиты, предотвращающий завершение процессов вредоносным ПО и блокирующий все попытки эксплуатации уязвимых драйверов.
Предполагается, что в состав группы Cuba входят россияне, что следует из пути к PDB-файлу, содержащему папку с названием "mosquito" на русском языке ("komar"), и использования библиотеки komar65.dll, известной как Bughatch. Это еще раз подтвердилось, когда мы обнаружили новые версии Burntcigar, использующие зашифрованные данные для обхода защиты от вредоносного ПО.
В ходе расследования мы обнаружили новые и ранее не обнаруженные образцы вредоносной программы Cuba. Также были обнаружены артефакты, свидетельствующие о том, что по крайней мере некоторые члены банды владеют русским языком. Наше расследование показало, что эта банда использует обширный арсенал как общедоступных, так и созданных на заказ инструментов, которые постоянно обновляются, а также различные приемы и методы, в том числе достаточно опасные, такие как BYOVD.
Инцидент, о котором идет речь в данной статье, показывает, что расследование реальных кибератак и реагирование на инциденты, например управляемое обнаружение и реагирование (MDR), являются источниками самой свежей информации о тактиках, методах и процедурах вредоносного воздействия. Это также подчеркивает важность наличия сложных технологий, способных обнаруживать современные угрозы и защищать средства защиты от отключения, а также обширной, постоянно обновляемой базы знаний об угрозах, которая помогает обнаруживать вредоносные артефакты вручную.
#ParsedReport #CompletenessLow
11-09-2023
Silent Push Threat Intelligence. 'From Russia with a 71': Uncovering Gamaredon's fast flux infrastructure. New apex domains and ASN/IP diversity patterns discovered.
https://www-silentpush-com.cdn.ampproject.org/c/s/www.silentpush.com/blog/from-russia-with-a-71?format=amp
Report completeness: Low
Actors/Campaigns:
Gamaredon
Threats:
Fastflux_technique
Victims:
Us and the indian subcontinent, and more recently in ukraine
Geo:
Kazakhstan, Russia, Indian, Russian, Ukraine
IOCs:
Domain: 11
Url: 2
IP: 4
11-09-2023
Silent Push Threat Intelligence. 'From Russia with a 71': Uncovering Gamaredon's fast flux infrastructure. New apex domains and ASN/IP diversity patterns discovered.
https://www-silentpush-com.cdn.ampproject.org/c/s/www.silentpush.com/blog/from-russia-with-a-71?format=amp
Report completeness: Low
Actors/Campaigns:
Gamaredon
Threats:
Fastflux_technique
Victims:
Us and the indian subcontinent, and more recently in ukraine
Geo:
Kazakhstan, Russia, Indian, Russian, Ukraine
IOCs:
Domain: 11
Url: 2
IP: 4
CTT Report Hub
#ParsedReport #CompletenessLow 11-09-2023 Silent Push Threat Intelligence. 'From Russia with a 71': Uncovering Gamaredon's fast flux infrastructure. New apex domains and ASN/IP diversity patterns discovered. https://www-silentpush-com.cdn.ampproject.org…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Silent Push недавно провела расследование деятельности группы Gamaredon по созданию быстрого потока и обнаружила большое количество вредоносных IOC апекс-домена. Они использовали собственные методы "отпечатков пальцев" для выявления развертывания новой инфраструктуры злоумышленников и раскрыли масштабы инфраструктуры быстрого потока Gamaredon. Для защиты от атак клиентам предлагается фид.
-----
Группа Gamaredon, известная также под названиями Primitive Bear, Actinium или Shuckworm, - это группа, занимающаяся распространением современных постоянных угроз (APT) и действующая по крайней мере с 2013 года. Это крайне воинственная группа, которая отличается от стандартной тактики "бей и беги", используемой другими APT-группами, распространяя продолжительные атаки, которые одновременно сильно замаскированы и уникально агрессивны.
Для доставки вредоносного ПО группа использует документы MS Word. Большое количество поддоменов Gamaredon, используемых в фишинговых атаках, связано с ДВУ .ru, зарегистрировано через REGRU-RU и содержит число 71. Gamaredon также оперирует бесчисленным количеством IP-адресов и использует подстановочные A-записи вместо определенных поддоменов, чтобы избежать обнаружения в технике, известной как fast fluxing.
Компания Silent Push недавно провела исследование масштабов быстротечной деятельности группы Gamaredon и обнаружила 300+ новых apex-доменных IOC с одного домена Gamaredon. Используя запатентованную технику "отпечатков пальцев", они смогли выявить развертывание новой инфраструктуры злоумышленников с помощью записей A с подстановочными знаками.
Расследование началось с ряда наблюдений, в частности, с сообщений в Twitter о вредоносном ПО, размещенном на сайте samiseto.ru. Virus Total подтвердил, что домен был помечен как вредоносный. Компания Silent Push обнаружила в общей сложности 98 записей A, связанных с доменом, которые находились в постоянной ротации.
Используя данные о разнообразии IP-адресов, компания Silent Push установила, что в течение 30-дневного периода сайт samiseto.ru указывал на 15 IP-адресов, все из которых, за исключением одного, были размещены на российской АСН GIR-AS, RU (207713), а остальные - на казахстанской IT-GRAD, KZ (212819).
С помощью передовых технологий DNS fingerprinting компании Silent Push удалось выявить масштабы инфраструктуры быстрого потока Gamaredon и создать канал раннего обнаружения с сотнями уникальных вредоносных доменов-апексов. Эта лента доступна корпоративным клиентам Silent Push, которые могут использовать ее для защиты от атак. В ленте содержатся IOC, связанные с инфраструктурой быстрого потока группы Gamaredon, с тегами #russo, #gamaredon и #apt.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Silent Push недавно провела расследование деятельности группы Gamaredon по созданию быстрого потока и обнаружила большое количество вредоносных IOC апекс-домена. Они использовали собственные методы "отпечатков пальцев" для выявления развертывания новой инфраструктуры злоумышленников и раскрыли масштабы инфраструктуры быстрого потока Gamaredon. Для защиты от атак клиентам предлагается фид.
-----
Группа Gamaredon, известная также под названиями Primitive Bear, Actinium или Shuckworm, - это группа, занимающаяся распространением современных постоянных угроз (APT) и действующая по крайней мере с 2013 года. Это крайне воинственная группа, которая отличается от стандартной тактики "бей и беги", используемой другими APT-группами, распространяя продолжительные атаки, которые одновременно сильно замаскированы и уникально агрессивны.
Для доставки вредоносного ПО группа использует документы MS Word. Большое количество поддоменов Gamaredon, используемых в фишинговых атаках, связано с ДВУ .ru, зарегистрировано через REGRU-RU и содержит число 71. Gamaredon также оперирует бесчисленным количеством IP-адресов и использует подстановочные A-записи вместо определенных поддоменов, чтобы избежать обнаружения в технике, известной как fast fluxing.
Компания Silent Push недавно провела исследование масштабов быстротечной деятельности группы Gamaredon и обнаружила 300+ новых apex-доменных IOC с одного домена Gamaredon. Используя запатентованную технику "отпечатков пальцев", они смогли выявить развертывание новой инфраструктуры злоумышленников с помощью записей A с подстановочными знаками.
Расследование началось с ряда наблюдений, в частности, с сообщений в Twitter о вредоносном ПО, размещенном на сайте samiseto.ru. Virus Total подтвердил, что домен был помечен как вредоносный. Компания Silent Push обнаружила в общей сложности 98 записей A, связанных с доменом, которые находились в постоянной ротации.
Используя данные о разнообразии IP-адресов, компания Silent Push установила, что в течение 30-дневного периода сайт samiseto.ru указывал на 15 IP-адресов, все из которых, за исключением одного, были размещены на российской АСН GIR-AS, RU (207713), а остальные - на казахстанской IT-GRAD, KZ (212819).
С помощью передовых технологий DNS fingerprinting компании Silent Push удалось выявить масштабы инфраструктуры быстрого потока Gamaredon и создать канал раннего обнаружения с сотнями уникальных вредоносных доменов-апексов. Эта лента доступна корпоративным клиентам Silent Push, которые могут использовать ее для защиты от атак. В ленте содержатся IOC, связанные с инфраструктурой быстрого потока группы Gamaredon, с тегами #russo, #gamaredon и #apt.
#ParsedReport #CompletenessHigh
11-09-2023
Qakbot Banking Trojan
https://cyberint.com/blog/financial-services/qakbot-banking-trojan
Report completeness: High
Threats:
Qakbot
Cobalt_strike
Beacon
Polymorphism_technique
Emotet
Babar
Trickbot
Process_injection_technique
Victims:
Corporate targets, governmental structures
Industry:
Financial
Geo:
French
TTPs:
Tactics: 2
Technics: 12
IOCs:
File: 15
Url: 42
Domain: 51
IP: 341
Hash: 5
Soft:
microsoft excel, microsoft office, visual basic for applications, windows task scheduler
Algorithms:
sha256, zip
Functions:
Auto_Open
Win API:
DllRegisterServer
11-09-2023
Qakbot Banking Trojan
https://cyberint.com/blog/financial-services/qakbot-banking-trojan
Report completeness: High
Threats:
Qakbot
Cobalt_strike
Beacon
Polymorphism_technique
Emotet
Babar
Trickbot
Process_injection_technique
Victims:
Corporate targets, governmental structures
Industry:
Financial
Geo:
French
TTPs:
Tactics: 2
Technics: 12
IOCs:
File: 15
Url: 42
Domain: 51
IP: 341
Hash: 5
Soft:
microsoft excel, microsoft office, visual basic for applications, windows task scheduler
Algorithms:
sha256, zip
Functions:
Auto_Open
Win API:
DllRegisterServer
Cyberint
Qakbot Banking Trojan
A notorious Banking Trojan designed to steal account credentials and online banking session information leading to account takeover fraud.
CTT Report Hub
#ParsedReport #CompletenessHigh 11-09-2023 Qakbot Banking Trojan https://cyberint.com/blog/financial-services/qakbot-banking-trojan Report completeness: High Threats: Qakbot Cobalt_strike Beacon Polymorphism_technique Emotet Babar Trickbot Process_inj…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В ходе операции "Утиная охота", проведенной под руководством ФБР, удалось уничтожить ботнет Qakbot, конфисковать почти 9 млн. долл. и передать их пострадавшим. Важно помнить о Qakbot и других подобных угрозах, особенно в части вредоносных электронных писем, а организациям следует обеспечить адекватные меры безопасности для защиты от этой угрозы.
-----
Qakbot - печально известный банковский троянец, существующий с 2007 года и предназначенный для кражи учетных данных и информации о сеансах интернет-банкинга, что может привести к мошенничеству с захватом счета. Обычно он распространяется через вредоносные незапрашиваемые письма (malspam) и обладает такими свойствами, как способность распространяться по сети в виде червя, передовые методы веб-инъекций для кражи учетных данных и механизм персистенции. Кроме того, Qakbot реализует функции антиотладки, антипесочницы и анти-VM для предотвращения попыток анализа и исследования безопасности, а также модифицирует себя даже после заражения конечной точки.
В марте 2023 года в ходе операции "Утиная охота", проводимой под руководством ФБР, удалось уничтожить ботнет Qakbot, захватить почти 9 млн. долл. и передать их пострадавшим. В операции участвовали такие партнеры, как Европол и полиция Франции. Для заражения корпоративных объектов Qakbot в основном использует вредоносную электронную почту (malspam) или фишинговые кампании. Жертвам предлагаются вредоносные документы, сжатые и прикрепленные в виде Zip-архивов с похожими именами файлов. После открытия вредоносного документа вредоносный код, встроенный в электронную таблицу, обфусцируется и разбивается на несколько ячеек макролиста Excel. Затем вредоносный код автоматически исполняется с помощью функции Auto_Open(). При этом полезная нагрузка подстраивается под конкретную кампанию и/или жертву, а для загрузки и выполнения полезной нагрузки в виде библиотеки динамических связей (DLL) используется макрос-загрузчик Microsoft Office.
Были определены IP-адреса, URL-адреса полезной нагрузки первого этапа, хэши, идентификаторы ботнетов и командно-контрольные (C2) IP-адреса, связанные с Qakbot. Эти данные могут быть использованы для получения информации о текущей угрозе Qakbot и предотвращения возможных вредоносных действий.
Заглядывая в будущее, следует помнить о существовании Qakbot и других подобных угроз, особенно в части вредоносных электронных писем. Организациям следует убедиться в том, что они располагают адекватными мерами безопасности для защиты от угрозы Qakbot и других подобных угроз, а также знать о различных индикаторах и признаках компрометации, связанных с ней. Успех операции "Утиная охота" свидетельствует о том, что правоохранительные органы намерены бороться с угрозой Qakbot и другими подобными угрозами, и мы надеемся, что подобные операции будут продолжаться и в дальнейшем, чтобы уничтожить этих злоумышленников.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В ходе операции "Утиная охота", проведенной под руководством ФБР, удалось уничтожить ботнет Qakbot, конфисковать почти 9 млн. долл. и передать их пострадавшим. Важно помнить о Qakbot и других подобных угрозах, особенно в части вредоносных электронных писем, а организациям следует обеспечить адекватные меры безопасности для защиты от этой угрозы.
-----
Qakbot - печально известный банковский троянец, существующий с 2007 года и предназначенный для кражи учетных данных и информации о сеансах интернет-банкинга, что может привести к мошенничеству с захватом счета. Обычно он распространяется через вредоносные незапрашиваемые письма (malspam) и обладает такими свойствами, как способность распространяться по сети в виде червя, передовые методы веб-инъекций для кражи учетных данных и механизм персистенции. Кроме того, Qakbot реализует функции антиотладки, антипесочницы и анти-VM для предотвращения попыток анализа и исследования безопасности, а также модифицирует себя даже после заражения конечной точки.
В марте 2023 года в ходе операции "Утиная охота", проводимой под руководством ФБР, удалось уничтожить ботнет Qakbot, захватить почти 9 млн. долл. и передать их пострадавшим. В операции участвовали такие партнеры, как Европол и полиция Франции. Для заражения корпоративных объектов Qakbot в основном использует вредоносную электронную почту (malspam) или фишинговые кампании. Жертвам предлагаются вредоносные документы, сжатые и прикрепленные в виде Zip-архивов с похожими именами файлов. После открытия вредоносного документа вредоносный код, встроенный в электронную таблицу, обфусцируется и разбивается на несколько ячеек макролиста Excel. Затем вредоносный код автоматически исполняется с помощью функции Auto_Open(). При этом полезная нагрузка подстраивается под конкретную кампанию и/или жертву, а для загрузки и выполнения полезной нагрузки в виде библиотеки динамических связей (DLL) используется макрос-загрузчик Microsoft Office.
Были определены IP-адреса, URL-адреса полезной нагрузки первого этапа, хэши, идентификаторы ботнетов и командно-контрольные (C2) IP-адреса, связанные с Qakbot. Эти данные могут быть использованы для получения информации о текущей угрозе Qakbot и предотвращения возможных вредоносных действий.
Заглядывая в будущее, следует помнить о существовании Qakbot и других подобных угроз, особенно в части вредоносных электронных писем. Организациям следует убедиться в том, что они располагают адекватными мерами безопасности для защиты от угрозы Qakbot и других подобных угроз, а также знать о различных индикаторах и признаках компрометации, связанных с ней. Успех операции "Утиная охота" свидетельствует о том, что правоохранительные органы намерены бороться с угрозой Qakbot и другими подобными угрозами, и мы надеемся, что подобные операции будут продолжаться и в дальнейшем, чтобы уничтожить этих злоумышленников.
#ParsedReport #CompletenessLow
11-09-2023
blue bird dreaming
https://wezard4u-tistory-com.translate.goog/6580?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Reaper
Threats:
Trojan/html.runner.s2208
Artemis
Mousejack
Virobot
Geo:
Russian, Korean, Korea, China, Moscow, Japan
ChatGPT TTPs:
T1078, T1036, T1117, T1059, T1053, T1105, T1083, T1125, T1064, T1086, have more...
IOCs:
File: 5
Hash: 3
Soft:
task scheduler
Algorithms:
sha1, crc-32, base64, sha256, zip
Languages:
javascript
11-09-2023
blue bird dreaming
https://wezard4u-tistory-com.translate.goog/6580?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Low
Actors/Campaigns:
Reaper
Threats:
Trojan/html.runner.s2208
Artemis
Mousejack
Virobot
Geo:
Russian, Korean, Korea, China, Moscow, Japan
ChatGPT TTPs:
do not use without manual checkT1078, T1036, T1117, T1059, T1053, T1105, T1083, T1125, T1064, T1086, have more...
IOCs:
File: 5
Hash: 3
Soft:
task scheduler
Algorithms:
sha1, crc-32, base64, sha256, zip
Languages:
javascript
꿈을꾸는 파랑새
북한 해킹 단체 Reaper(리퍼)에서 만든 후쿠시마 오염수 방류(후쿠시마 처리수) 내용을 악용한 악성코드-1.chm(2023.9.5)
오늘은 후쿠시마 오염수 방류 내용을 악용한 악성코드인 1.chm에 대해 글을 적어 보겠습니다. 일단 해당 정치적 이야기는 하지 않을 것이면 그냥 순수하게 악성코드만 분석하겠습니다. 일단 후쿠시마 오염수 방류(후쿠시마 처리수) 악성코드는 최근에 가장 핫한 이슈인 후쿠시마 오염수 방류(후쿠시마 처리수)내용을 다루고 있습니다. 먼저 악성코드 해쉬값은 다음과 같습니다. 파일명:1.chm 사이즈:12.6 KB CRC32:b4756c7d MD5:9e6a2914a…
CTT Report Hub
#ParsedReport #CompletenessLow 11-09-2023 blue bird dreaming https://wezard4u-tistory-com.translate.goog/6580?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp Report completeness: Low Actors/Campaigns: Reaper Threats: Trojan/html.runner.s2208 Artemis…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Обнаружен вредоносный код, использующий сброс загрязненной воды с АЭС "Фукусима" для атаки на компьютеры и манипулирования веб-страницами. Для защиты компьютеров от этого вредоносного кода необходимо принять меры безопасности.
-----
Вредоносный код использовал сброс загрязненной воды с АЭС "Фукусима" в качестве средства атаки на компьютеры и манипулирования веб-страницами. Код состоял из хэш-значения вредоносной программы, атаки социальной инженерии и скрипта, предназначенного для использования с HTML и JavaScript. Вредоносный код предназначен для выполнения команд, получения информации о файлах, сжатия каталогов, загрузки файлов, скачивания файлов, модификации реестра, создания запланированных задач, разархивирования ZIP-файлов, переименования файлов и каталогов, удаления файлов и каталогов. Для безопасной работы с компьютером необходимо использовать антивирус и соблюдать правила безопасности.
При запуске вредоносный код выдает команду, которая регистрируется в ключе RUN, что позволяет выполнить ее сразу же после запуска компьютера. Затем команда перенаправляет пользователя на российский сайт, где находится дополнительный вредоносный код. Этот код использует PowerShell для выполнения команд, а также подключается к российскому серверу через Tcpview и ProcessExplorer. Пользователям следует обратить внимание на эту активность и обеспечить защиту своего компьютера от подобных вредоносных угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Обнаружен вредоносный код, использующий сброс загрязненной воды с АЭС "Фукусима" для атаки на компьютеры и манипулирования веб-страницами. Для защиты компьютеров от этого вредоносного кода необходимо принять меры безопасности.
-----
Вредоносный код использовал сброс загрязненной воды с АЭС "Фукусима" в качестве средства атаки на компьютеры и манипулирования веб-страницами. Код состоял из хэш-значения вредоносной программы, атаки социальной инженерии и скрипта, предназначенного для использования с HTML и JavaScript. Вредоносный код предназначен для выполнения команд, получения информации о файлах, сжатия каталогов, загрузки файлов, скачивания файлов, модификации реестра, создания запланированных задач, разархивирования ZIP-файлов, переименования файлов и каталогов, удаления файлов и каталогов. Для безопасной работы с компьютером необходимо использовать антивирус и соблюдать правила безопасности.
При запуске вредоносный код выдает команду, которая регистрируется в ключе RUN, что позволяет выполнить ее сразу же после запуска компьютера. Затем команда перенаправляет пользователя на российский сайт, где находится дополнительный вредоносный код. Этот код использует PowerShell для выполнения команд, а также подключается к российскому серверу через Tcpview и ProcessExplorer. Пользователям следует обратить внимание на эту активность и обеспечить защиту своего компьютера от подобных вредоносных угроз.