#ParsedReport #CompletenessHigh
12-09-2023

Email campaigns leverage updated DBatLoader to deliver RATs, stealers

https://securityintelligence.com/posts/email-campaigns-leverage-updated-dbatloader-deliver-rats-stealers

Report completeness: High

Threats:
Dbatloader
Remcos_rat
Avemaria_rat
Formbook
Agent_tesla
Process_injection_technique
Uac_bypass_technique
Dll_hijacking_technique
Amsi_bypass_technique
Junk_code_technique
Process_hollowing_technique

Industry:
Transport

Geo:
Turkish, Spanish

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 28
File: 8
Path: 6
Command: 1
Url: 25
IP: 2
Hash: 22

Algorithms:
sha256, base64, xor, zip

Functions:
AmsiUacScan, timeSetEvent, NetpwNameValidate, NtProtectVirtualMemory, NtSetSecurityObject, NtOpenProcess, NtQueueApcThread, NtReadVirtualMemory, NtUnmapViewOfSection, NtFlushInstructionCache, have more...

Win API:
AmsiInitialize, AmsiOpenSession, VirtualProtect, NtWriteVirtualMemory, GetCPInfo, NtProtectVirtualMemory, ReportEventW, SaferiIsExecutableFileType, VerifySignature, SspiZeroAuthIdentity, have more...

Languages:
delphi

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
IBM X-Force обнаружила новые возможности в образцах вредоносного ПО DBatLoader, которые распространяются через кампании электронной почты. DBatLoader - это сложный штамм вредоносного ПО, который пытается манипулировать DLL-библиотеками для обхода антивирусного обнаружения, а также может внедрять полезную нагрузку в виде шелл-кода. X-Force ожидает, что в будущем число заражений DBatLoader и связанными с ним полезными нагрузками возрастет, поэтому службам безопасности следует знать о тактике работы с ними и принимать меры по снижению риска, например, использовать многофакторную аутентификацию и проверку автоматического монтирования ISO.
-----

Компания IBM X-Force недавно обнаружила новые возможности в образцах вредоносного ПО DBatLoader, которые были доставлены в ряде недавних почтовых кампаний. DBatLoader - это штамм вредоносного ПО, наблюдаемый с 2020 года и используемый для загрузки и выполнения конечной полезной нагрузки в товарных вредоносных кампаниях. Он может поставлять такие полезные нагрузки, как Remcos, Warzone, Formbook и AgentTesla. В почтовых кампаниях, направленных на убеждение цели открыть вложенный файл, обычно используются ISO-образы или архивные файлы, такие как 7-Zip, tar, zip или rar.

DBatLoader - это скомпилированный в Delphi исполняемый файл, который пытается манипулировать поведением определенных DLL в памяти с целью предотвращения обнаружения антивирусами. Он также разрешает все импорты и применяет соответствующую защиту памяти. Второй этап - это скомпилированная в Delphi DLL, и DBatLoader пытается найти и разобрать зашифрованный URL загрузки из родительского бинарного файла. Если включена опция persistence, то родительский двоичный файл будет записан в C:\Users\Public\Libraries\config_filename.PIF, а два .BAT-файла будут сброшены в C:\Users\Public\Libraries\Null и выполнены последними. DBatLoader также поддерживает инъекцию полезной нагрузки shellcode, при этом он использует технику "впаивания" процессов для перезаписи легитимного исполняемого файла с подключенным вредоносным PE внутри созданного процесса.

Изощренность фишинговых технологий DBatLoader и усовершенствование самой вредоносной программы делают вероятным заражение с помощью DBatLoader и последующих полезных нагрузок. IBM X-Force ожидает, что в будущем будет наблюдаться тенденция к росту числа заражений этим вредоносным ПО, а также другими RAT и инфопохитителями, связанными с DBatLoader. Для борьбы с этим командам безопасности следует обратить внимание на TTP, связанные с кампаниями DBatLoader, такие как использование инфраструктуры публичных облаков, а также на характеристики новых вариантов вредоносной программы, отмеченных X-Force. Кроме того, снизить риск вредоносной активности помогут изменения политик и процедур в виде внедрения многофакторной аутентификации, мониторинга утечки корпоративных учетных данных и пересмотра политик автоматического монтирования ISO.

#ParsedReport #CompletenessLow
13-09-2023

Malware distributor Storm-0324 facilitates ransomware access

https://www.microsoft.com/en-us/security/blog/2023/09/12/malware-distributor-storm-0324-facilitates-ransomware-access

Report completeness: Low

Actors/Campaigns:
Sagrid (motivation: financially_motivated)
Carbanak
Duke
Storm-0558
Dev-0978
Charming_kitten

Threats:
Jssloader
Carbon
Gozi
Nymaim
Trickbot
Gootkit
Dridex
Gandcrab
Icedid
Ekipa_rat

Industry:
Government, Financial

Geo:
Iranian, America

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...
CVE-2023-21715 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: 7.3
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)


Soft:
microsoft 365 defender, microsoft teams, microsoft defender, microsoft word, microsoft defender for endpoint, microsoft office, office 365, microsoft exchange, microsoft office 365

Algorithms:
zip

Win Services:
Quickbooks

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Компания Microsoft выявила фишинговую кампанию, проводимую финансово мотивированным агентом угроз Storm-0324, и предприняла меры по защите клиентов от этих атак. Корпорация приостановила действие выявленных учетных записей и арендаторов, связанных с неаутентичным или мошенническим поведением, ввела ограничения на создание доменов в рамках арендаторов, улучшила уведомления администраторов арендаторов о создании новых доменов и внедрила функцию Accept/Block в чатах "один на один" в Teams.
-----

Специалисты Microsoft Threat Intelligence обнаружили фишинговую кампанию, проводимую финансово мотивированным угрожающим агентом Storm-0324, направленную на оборонные и правительственные организации в Европе и Северной Америке. Угроза использует векторы первичного заражения, основанные на электронной почте, а затем передает доступ к скомпрометированным сетям другим угрозам. Заказчики Microsoft могут использовать Microsoft 365 Defender для обнаружения активности Storm-0324 и существенного ограничения воздействия этих атак.

Цепочка доставки Storm-0324 начинается с фишинговых писем, содержащих ссылку на сайт SharePoint, на котором размещен ZIP-архив с вредоносным JavaScript-кодом. Из этого кода выпадает DLL-библиотека варианта JSSLoader, за которой следует дополнительный инструментарий Sangria Tempest. В июле 2023 года угрожающий агент начал использовать фишинговые заманухи, рассылаемые через Microsoft Teams, с вредоносными ссылками, ведущими на вредоносный файл, размещенный в SharePoint. Компания Microsoft предприняла ряд мер для защиты клиентов от подобных фишинговых кампаний, в том числе приостановила действие выявленных учетных записей и арендаторов, связанных с неаутентичным или мошенническим поведением, ввела новые ограничения на создание доменов в рамках арендаторов и улучшила уведомления администраторов арендаторов о создании новых доменов в рамках их арендаторов.

#ParsedReport #CompletenessHigh
13-09-2023

Sponsor with batch-filed whiskers: Ballistic Bobcats scan and strike backdoor. MITRE ATT&CK techniques

https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor

Report completeness: High

Actors/Campaigns:
Charming_kitten
Sponsoring_access
Agrius
Apt42

Threats:
Sponsor_backdoor
Powerless
Plink_tool
Merlin_tool
Meterpreter_tool
Revsocks
Mimikatz_tool
Chisel_tool
Enigma
Putty_tool
Procdump_tool
Wingo
Passview_tool

Industry:
E-commerce, Education, Retail, Government, Telco, Foodtech, Healthcare, Financial

Geo:
Brazil, Emirates, Israel, Israeli

CVEs:
CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2013, 2019)


TTPs:
Tactics: 10
Technics: 13

IOCs:
Coin: 1
File: 22
IP: 5
Url: 2
Path: 13
Registry: 6
Command: 1
Hash: 15

Soft:
microsoft exchange, windows service, sysinternals, windows registry

Algorithms:
rc4, base64, sha256

Win API:
GetUserNameW, GetCurrentProcess, GetSystemPowerStatus

Platforms:
intel

Links:
https://github.com/IHosseini083/Host2IP
https://github.com/ginuerzh/gost
https://github.com/chop-dbhi/sql-extractor
https://github.com/kost/revsocks
https://github.com/Ne0nd0g/merlin
https://github.com/jpillora/chisel
https://github.com/Ne0nd0g/merlin-agent

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи ESET обнаружили вредоносную кампанию группы угроз Ballistic Bobcat, направленную на Всемирную организацию здравоохранения, фармацевтическую компанию Gilead Pharmaceuticals и персонал, занимающийся медицинскими исследованиями. Группа использовала новый бэкдор под названием Sponsor и ряд других инструментов, чтобы получить доступ и остаться незамеченной.
-----

Исследователи ESET недавно обнаружили кампанию группы угроз Ballistic Bobcat, в которой использовался новый бэкдор под названием Sponsor. Во время пандемии эта группа атаковала Всемирную организацию здравоохранения и фармацевтическую компанию Gilead Pharmaceuticals, а также персонал, занимающийся медицинскими исследованиями. Ballistic Bobcat получила первоначальный доступ к этим жертвам, используя известные уязвимости в открытых для доступа в Интернет серверах Microsoft Exchange. ESET обнаружила 34 жертвы в Бразилии, Израиле и Объединенных Арабских Эмиратах; эта деятельность получила название кампании "Спонсирование доступа".

Бэкдор Sponsor хранится на диске и разворачивается с помощью пакетных файлов, что позволяет ему оставаться незаметным при установке на целевую систему. По всей видимости, Ballistic Bobcat использовал известную уязвимость CVE-2021-26855 в серверах Microsoft Exchange, чтобы закрепиться на этих системах. Из 34 жертв 16 не были единственными субъектами угроз, имевшими доступ к их системам.

Для повышения скрытности Ballistic Bobcat использовал инструменты с открытым исходным кодом и создавал собственные приложения, включая бэкдор Sponsor. Бэкдор написан на языке C++ с указанием временных меток компиляции и путей к базе данных программ (PDB). Он также содержит ключ шифрования RC4 для связи с командно-контрольным (C&C) сервером и способен периодически обращаться к нему за командами. После выполнения Sponsor собирает информацию о хосте, на котором он запущен, и сообщает ее на C&C-сервер.

В период с августа по декабрь 2021 года Ballistic Bobcat устанавливала на системы жертв различные инструменты, включая бэкдор PowerLess, агент Merlin, Plink и MicrosoftOutLookUpdater.exe. Группа также использовала ряд инструментов с открытым исходным кодом и хранила вспомогательные средства на нескольких IP-адресах. Ballistic Bobcat продолжала использовать тот же C&C-сервер, что и в кампании PowerLess, а также новый C&C-сервер. К сожалению, в ходе этого расследования не было получено никаких конфигурационных или пакетных файлов, однако вполне вероятно, что они являются частью модульного процесса разработки, который предпочитает Ballistic Bobcat.

#ParsedReport #CompletenessLow
13-09-2023

Decoding Magecart: Credit Card Skimmers Concealed Through Pixels & Images

https://blog.sucuri.net/2023/09/decoding-magecart-credit-card-skimmers-concealed-through-pixels-images.html

Report completeness: Low

Actors/Campaigns:
Magecart

Threats:
Velar

Victims:
Ecommerce websites

Industry:
Retail, E-commerce

ChatGPT TTPs:
do not use without manual check
T1482, T1090, T1140, T1106, T1112, T1012, T1135, T1105, T1107

IOCs:
File: 3
Domain: 1
Url: 5

Soft:
wordpress

Algorithms:
base64, xor

Languages:
php, javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что MageCart - это разновидность вредоносного ПО для кражи кредитных карт, которая становится все более распространенной, и владельцам сайтов следует принять меры по защите от нее: обновлять программное обеспечение, использовать надежные пароли, следить за состоянием сайта и установить межсетевой экран веб-приложений.
-----

Веб-сайты электронной коммерции являются частой мишенью для злоумышленников, и MageCart - это особый тип вредоносного ПО для кражи данных с кредитных карт, который становится все более распространенным. Обычно это обфусцированный JavaScript, внедренный в таблицы базы данных Magento, вредоносные плагины или инъекции файлов ядра, установленные в средах WordPress/WooCommerce. Однако иногда MageCart может быть скрыт более хитроумно - недавно мы заметили, как один невидимый пиксель использовался в качестве "красной селедки", чтобы скрыть более широкую инфекцию на странице оформления заказа.

При расследовании случаев кражи кредитных карт просмотр исходного текста страницы оформления заказа позволяет получить представление о том, что происходит. Обычно вредоносная программа загружается в виде JavaScript после того, как пользователь добавил товар в корзину и готов ввести информацию о своей кредитной карте. Код обычно кодируется в XOR для предотвращения обнаружения и может использовать "ленивую загрузку" для отсрочки выполнения вредоносной программы или "видимость:скрытая" для ее сокрытия. Полезная нагрузка собирает информацию, введенную в поля оформления заказа, такую как номера кредитных карт, имена и адреса, а затем продает ее на черном рынке.

Для того чтобы избежать заражения как посетителя, так и владельца сайта, компания Adobe выпустила критические патчи безопасности для платформы Magento CMS, а посетителям сайта следует использовать расширение для блокировки скриптов, например NoScript, для обнаружения сомнительных ресурсов на странице оформления заказа. Владельцы сайтов должны регулярно обновлять все программное обеспечение сайта, использовать надежные и уникальные пароли, следить за состоянием сайта на предмет обнаружения признаков компрометации, вредоносных программ, несанкционированного доступа или изменений, а также внедрить межсетевой экран веб-приложений для блокирования вредоносных ботов, виртуального исправления известных уязвимостей и фильтрации вредоносных пакетов, поступающих на сервер и сайт.

#ParsedReport #CompletenessMedium
13-09-2023

RedLine/Vidar Abuses EV Certificates, Shifts to Ransomware

https://www.trendmicro.com/en_us/research/23/i/redline-vidar-first-abuses-ev-certificates.html

Report completeness: Medium

Threats:
Redline_stealer
Vidar_stealer
Qakbot
Process_injection_technique
Cyclops_blink

Industry:
Healthcare

IOCs:
Hash: 10
File: 18
Domain: 1
Url: 7
Path: 7

Soft:
microsoft excel

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, windows: 15, schema: 4, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что угрозы становятся все более изощренными в своей тактике киберпреступлений, используя сертификаты с кодовой подписью EV и фишинговые электронные письма для распространения вредоносных программ, похищающих информацию, и программ-вымогателей.
-----

С середины 2022 года угрозы используют сертификаты подписи кода EV для распространения вредоносных программ, похищающих информацию. RedLine и Vidar - два таких семейства вредоносных программ, используемых в фишинговых схемах, когда на электронные адреса рассылаются вредоносные письма с фразами, призывающими к действию и вызывающими чувство срочности, а также двойные расширения, позволяющие маскировать вредоносные файлы под доброкачественные, и LNK-файлы, позволяющие обойти обнаружение. Для передачи вредоносных файлов эти злоумышленники обходят даже встроенные протоколы Google Drive.

Более того, те же технологии доставки, которые использовались для распространения похитителей информации, теперь применяются и для распространения полезной нагрузки ransomware. С июля по август 2023 года было использовано более 30 образцов с кодовой подписью EV, относящихся к этому случаю. Неизвестно, каким образом угрожающий субъект получил доступ к закрытому ключу, а сертификат не был аннулирован, несмотря на сообщение о злоупотреблении, поскольку дата отзыва была установлена на дату сообщения о злоупотреблении, а не на дату подписания образца.

В число полезных нагрузок Ransomware, обнаруженных в данном случае, входит Ransom.Win64.CYCLOPS.A, который шифрует файлы с расширением .knight_l. Среди других способов доставки полезных нагрузок ransomware были отмечены фишинговые письма и пути.

Угрозы становятся все более изощренными в своей тактике и способны максимально использовать свои методы для различных целей и киберпреступлений. Подтверждением тому служит случай с RedLine/Vidar, который начался с похищения информации и перешел к полезной нагрузке в виде выкупа. Использовались фишинговые письма с такими вложениями, как TripAdvisor Complaint - Possible Suspension .exe, Doctor's opinion .exe и Doctor's recommendations .exe, а также дополнительные файлы .txt, .htm и .png, которые содержали двоичные файлы ransomware. Кроме того, использовался не вредоносный сайт, управляющий системами DOI.

#ParsedReport #CompletenessLow
13-09-2023

Microsoft Teams used to deliver DarkGate Loader malware

https://www.malwarebytes.com/blog/news/2023/09/microsoft-teams-used-to-deliver-darkgate-loader-malware

Report completeness: Low

Threats:
Darkgate
Rastafareye_actor

Victims:
Microsoft teams users

ChatGPT TTPs:
do not use without manual check
T1566.003, T1543.004, T1036.003, T1486

IOCs:
File: 2
IP: 1

Soft:
microsoft teams, office 365, curl

Algorithms:
zip

Languages:
autoit

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что исследователи обнаружили новый способ доставки вредоносной программы DarkGate Loader через Microsoft Teams, и что клиенты Malwarebytes защищены от этой атаки.
-----

Исследователи обнаружили новый способ распространения вредоносной программы DarkGate Loader, которая рекламируется на киберпреступных форумах с 16 июня 2023 года. DarkGate Loader используется для выполнения таких вредоносных действий, как удаленный доступ, добыча криптовалюты, кейлоггинг, кража буфера обмена и кража информации. Киберпреступники рассылают в чатах Microsoft Teams сообщения с вредоносными PDF-документами, чтобы заманить жертв на загрузку вредоносного файла.

Вредоносный файл инициирует загрузку и выполнение переименованного cURL, который, в свою очередь, загружает и выполняет Autoit3.exe и скрипт, содержащий новый файл с шелл-кодом. Этот шелл-код затем запускает DarkGate Loader. Удивительно, но существующие средства защиты Microsoft Teams, такие как Safe Attachments или Safe Links, не смогли обнаружить или блокировать эту атаку.

В июне 2023 г. издание BleepingComputer сообщило, что исследователи безопасности обнаружили простой способ доставки вредоносных программ через Microsoft Teams, несмотря на ограничения, действующие для файлов из внешних источников. Ограничение можно обойти, изменив идентификатор внутреннего и внешнего получателя в POST-запросе сообщения, что заставляет Microsoft Teams воспринимать внешнего пользователя как внутреннего.

К счастью, клиенты Malwarebytes защищены от этой атаки, поскольку Malwarebytes блокирует C2-сервер, на котором размещены вредоносные файлы. Malwarebytes также обнаруживает LNK-файл и скрипты как Trojan.DarkGate. Поэтому пользователям следует просканировать свое устройство с помощью Malwarebytes, чтобы обезопасить себя от этой атаки.

#ParsedReport #CompletenessLow
13-09-2023

New MidgeDropper Variant

https://www.fortinet.com/blog/threat-research/new-midgedropper-variant

Report completeness: Low

Threats:
Midgedropper

Victims:
Windows users

ChatGPT TTPs:
do not use without manual check
T1090, T1566

IOCs:
File: 2
Url: 3
Path: 2
IP: 2
Hash: 9

Soft:
microsoft office, microsoft visual c++

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MidgeDropper - ранее не встречавшийся вариант дроппера, использующий обфускацию кода и боковую загрузку для затруднения его обнаружения. Предполагается, что первоначально он распространялся через фишинговое письмо, и его конечная полезная нагрузка неизвестна.
-----

MidgeDropper - ранее не встречавшийся вариант дроппера, обнаруженный компанией FortiGuard Labs, со сложной цепочкой заражения, включающей обфускацию кода и боковую загрузку. Предполагается, что первоначально он распространялся через фишинговое письмо, содержащее вложение RAR. Исполняемый файл в RAR, 062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe, имеет большой размер (6,7 МБ) и выполняет в основном функцию дроппера для дополнительных этапов заражения.

Дроппер создает файл-приманку под названием seAgnt.exe, который сам по себе не представляет опасности. Однако он зависит от VCRUNTIME140_1.dll - легитимной DLL, входящей в состав пакета Microsoft Visual C++ runtime. К сожалению, конкретная версия, используемая в данном случае, является вредоносной. Такая техника называется боковой загрузкой (sideloading), поскольку она основана на перехвате зависимости от легитимного приложения для загрузки и выполнения вредоносного кода.

Дроппер также загружает с узла Command & Control еще один файл - 35g3498734gkb.dat, который по хэшу файла идентичен VCRUNTIME140_1.dll. Непонятно, зачем это сделано, поскольку это выглядит излишним.

К сожалению, конечная полезная нагрузка MidgeDropper не была доступна для анализа в FortiGuard Labs. Однако этот случай служит напоминанием о том, что вредоносные программы постоянно развиваются, и необходимо постоянно отслеживать новые угрозы. Это также показывает, как злоумышленники могут использовать обфускацию кода и боковую загрузку, чтобы затруднить обнаружение своих вредоносных программ.

#ParsedReport #CompletenessMedium
13-09-2023

3AM: New Ransomware Family Used As Fallback in Failed LockBit Attack

https://symantec-enterprise-blogs.security.com/threat-intelligence/3am-ransomware-lockbit

Report completeness: Medium

Threats:
3am_ransomware
Lockbit
Cobalt_strike
Netstat_tool
Conti
Wevtutil_tool

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059, T1060, T1064, T1070, T1074, T1077, T1098, T1112

IOCs:
File: 5
Command: 2
Hash: 5
IP: 3

Soft:
psexec, tor-browser, bcdedit

Algorithms:
base64, sha256

Win Services:
AcronisAgent, AcrSch2Svc, VeeamTransportSvc, VeeamNFSSvc, bedbg, DCAgent, EsgShKernel, FA_Scheduler, IISAdmin, McShield, have more...

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно появилось новое семейство программ-вымогателей под названием 3AM, которое ограниченно используется аффилированными с ним компаниями, пытающимися развернуть LockBit на целевых компьютерах. Предположительно, он написан на языке Rust, использует различные компоненты Cobalt Strike и пытается повысить привилегии на зараженном компьютере. Пока неясно, связаны ли его авторы с известными киберпреступными организациями, но в будущем он может появиться вновь.
-----

Недавно появилось новое семейство программ-вымогателей под названием 3AM, которое используется в ограниченном масштабе. Предполагается, что оно написано на языке Rust и представляет собой совершенно новое семейство вредоносных программ. По данным команды Symantec Threat Hunter Team, входящей в состав Broadcom, 3AM был развернут филиалом компании, пытавшимся внедрить LockBit в сеть объекта атаки. Злоумышленники прибегли к использованию 3AM, когда LockBit был заблокирован.

При запуске ransomware пытается остановить работу множества служб на зараженном компьютере, прежде чем приступить к шифрованию файлов. После завершения шифрования он пытается удалить теневые копии тома (VSS). После завершения шифрования 3AM добавляет к зашифрованным файлам расширение .threeamtime и создает в каждой сканируемой папке записку с выкупом.

Злоумышленники использовали различные компоненты Cobalt Strike и пытались повысить привилегии на компьютере с помощью PsExec. Кроме того, они выполняли такие команды разведки, как whoami, netstat, quser и net share, а также пытались перечислить другие серверы для бокового перемещения с помощью команд quser и net view. Кроме того, они добавили нового пользователя для обеспечения постоянства и использовали инструмент Wput для утечки файлов жертв на собственный FTP-сервер.

Аффилированные компании становятся все более независимыми от операторов вымогательских программ, и это видно на примере 3AM. Хотя пока неясно, имеют ли его авторы какие-либо связи с известными киберпреступными организациями, тот факт, что он использовался в качестве запасного варианта филиалом LockBit, говорит о том, что он может представлять интерес для злоумышленников и в будущем может быть замечен вновь.

#ParsedReport #CompletenessHigh
12-09-2023

A peek into APT36 s updated arsenal

https://www.zscaler.com/blogs/security-research/peek-apt36-s-updated-arsenal

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Steppy_kavach

Threats:
Lizar_loader
Globshell_tool
Pyshellfox_tool
Credential_harvesting_technique
Mythic
Costura_tool
Poseidon
Mythic_c2_tool

Industry:
Education, Healthcare, Government

Geo:
Pakistan, India, Indian, Asia

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 8
Url: 11
Domain: 18
IP: 8
Hash: 22
Email: 1

Soft:
telegram, android, net framework, libreoffice, windows subsystem for linux, crontab, pyinstaller, whatsapp, debian, microsoft office word, have more...

Algorithms:
zip, base64

Functions:
CplApplet, Program, MainAsync, getusername, Bot_OnMessage, buildforts, dosome

Languages:
python, php

Platforms:
intel

Links:
https://github.com/MythicAgents/poseidon

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа APT36, базирующаяся в Пакистане, была замечена в атаках на индийские государственные структуры с использованием новых инструментов и технологий, таких как ElizaRAT, конфигурационные файлы Linux и скомпилированные на Python двоичные файлы ELF. Zscaler рекомендует постоянно отслеживать новые угрозы и обновлять средства обнаружения для защиты от них.
-----

В июле 2023 года базирующаяся в Пакистане группа перспективных постоянных угроз (APT), известная как APT36, была замечена в атаках на государственные структуры Индии с использованием новых инструментов и технологий. Исследователи Zscaler ThreatLabz обнаружили новый инструмент удаленного администрирования (RAT) для Windows, новые инструменты для кибершпионажа на Linux-системах, инновационные методы распространения и дополнительные векторы атак, используемые против Linux-среды.

Windows RAT, получившая название ElizaRAT, распространяется в виде бинарного файла .NET внутри защищенного паролем архивного файла, размещенного по ссылкам на Google Drive. После запуска он устанавливает канал связи C2 через Telegram, что позволяет угрозам полностью контролировать целевую конечную точку. ElizaRAT также отвечает за сброс на машину жертвы файла-обманки PDF в ту же директорию, что и вредоносная DLL. В метаданных этого PDF-файла автором указан "Apolo Jones", а сам PDF-файл был сгенерирован с помощью Microsoft Office Word.

APT36 также использовала файлы конфигурации рабочего стола Linux, которые распространялись в zip-архивах. Полезная нагрузка Linux представляла собой кроссплатформенный бинарник, предназначенный для работы как на Linux, так и на WSL (Windows Subsystem for Linux) машинах. Эта полезная нагрузка загружает файл-обманку PDF с URL https://admin-dept.in/approved_copy.pdf и отображает его жертве. Затем она создает скрытый путь к каталогу local/share в домашнем каталоге пользователя, после чего загружает полезную нагрузку Linux с URL 64.227.133.222/zswap-xbusd и устанавливает под текущим именем пользователя задание cron для запуска содержимого скрипта /dev/shm/myc.txt. На сервере 64.227.133.222 работает Mythic Poseidon, фреймворк C2 с открытым исходным кодом.

Помимо полезной нагрузки для Linux, для кибершпионажа на Linux-системах APT36 также использовала скомпилированные на языке Python двоичные файлы ELF. Были выявлены два таких двоичных файла со схожей функциональностью. Первый из них, получивший название GLOBSHELL, представляет собой специализированную Linux-утилиту для эксфильтрации файлов, а второй, PYSHELLFOX, - специализированную Linux-утилиту для кражи сессий Firefox. Обе утилиты сканируют домашнюю директорию пользователя на наличие файлов с определенными расширениями и путями к ним, после чего передают их на контролируемую злоумышленником учетную запись mega.io.

Чтобы избежать атрибуции, злоумышленники предприняли ряд мер, чтобы скрыть связь с Пакистаном, создав видимость того, что инфраструктура контролируется индийскими злоумышленниками. В частности, были зарегистрированы домены, размещенные на сервере с IP-адресом 153.92.220.59, а страной-регистратором указана Индия. Также наблюдается совпадение инфраструктуры C2 между последней кампанией и предыдущими атаками APT36. Кроме того, злоумышленник использовал инфраструктуру для распространения вредоносных файлов входа на рабочий стол Linux и ложных PDF-файлов.

Мы относим эти новые атаки на базе Windows и Linux к APT36, поскольку их метод подачи ложных PDF-файлов, метаданные и команды Linux практически идентичны предыдущим атакам, связанным с ними. Кроме того, наблюдается совпадение инфраструктуры C2 с предыдущими атаками APT36. Для защиты от этих угроз Zscaler рекомендует постоянно отслеживать новые угрозы и обновлять средства обнаружения. Полный список индикаторов компрометации (IOC) доступен в конце блога.