#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что MageCart - это разновидность вредоносного ПО для кражи кредитных карт, которая становится все более распространенной, и владельцам сайтов следует принять меры по защите от нее: обновлять программное обеспечение, использовать надежные пароли, следить за состоянием сайта и установить межсетевой экран веб-приложений.
-----

Веб-сайты электронной коммерции являются частой мишенью для злоумышленников, и MageCart - это особый тип вредоносного ПО для кражи данных с кредитных карт, который становится все более распространенным. Обычно это обфусцированный JavaScript, внедренный в таблицы базы данных Magento, вредоносные плагины или инъекции файлов ядра, установленные в средах WordPress/WooCommerce. Однако иногда MageCart может быть скрыт более хитроумно - недавно мы заметили, как один невидимый пиксель использовался в качестве "красной селедки", чтобы скрыть более широкую инфекцию на странице оформления заказа.

При расследовании случаев кражи кредитных карт просмотр исходного текста страницы оформления заказа позволяет получить представление о том, что происходит. Обычно вредоносная программа загружается в виде JavaScript после того, как пользователь добавил товар в корзину и готов ввести информацию о своей кредитной карте. Код обычно кодируется в XOR для предотвращения обнаружения и может использовать "ленивую загрузку" для отсрочки выполнения вредоносной программы или "видимость:скрытая" для ее сокрытия. Полезная нагрузка собирает информацию, введенную в поля оформления заказа, такую как номера кредитных карт, имена и адреса, а затем продает ее на черном рынке.

Для того чтобы избежать заражения как посетителя, так и владельца сайта, компания Adobe выпустила критические патчи безопасности для платформы Magento CMS, а посетителям сайта следует использовать расширение для блокировки скриптов, например NoScript, для обнаружения сомнительных ресурсов на странице оформления заказа. Владельцы сайтов должны регулярно обновлять все программное обеспечение сайта, использовать надежные и уникальные пароли, следить за состоянием сайта на предмет обнаружения признаков компрометации, вредоносных программ, несанкционированного доступа или изменений, а также внедрить межсетевой экран веб-приложений для блокирования вредоносных ботов, виртуального исправления известных уязвимостей и фильтрации вредоносных пакетов, поступающих на сервер и сайт.

#ParsedReport #CompletenessMedium
13-09-2023

RedLine/Vidar Abuses EV Certificates, Shifts to Ransomware

https://www.trendmicro.com/en_us/research/23/i/redline-vidar-first-abuses-ev-certificates.html

Report completeness: Medium

Threats:
Redline_stealer
Vidar_stealer
Qakbot
Process_injection_technique
Cyclops_blink

Industry:
Healthcare

IOCs:
Hash: 10
File: 18
Domain: 1
Url: 7
Path: 7

Soft:
microsoft excel

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, windows: 15, schema: 4, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что угрозы становятся все более изощренными в своей тактике киберпреступлений, используя сертификаты с кодовой подписью EV и фишинговые электронные письма для распространения вредоносных программ, похищающих информацию, и программ-вымогателей.
-----

С середины 2022 года угрозы используют сертификаты подписи кода EV для распространения вредоносных программ, похищающих информацию. RedLine и Vidar - два таких семейства вредоносных программ, используемых в фишинговых схемах, когда на электронные адреса рассылаются вредоносные письма с фразами, призывающими к действию и вызывающими чувство срочности, а также двойные расширения, позволяющие маскировать вредоносные файлы под доброкачественные, и LNK-файлы, позволяющие обойти обнаружение. Для передачи вредоносных файлов эти злоумышленники обходят даже встроенные протоколы Google Drive.

Более того, те же технологии доставки, которые использовались для распространения похитителей информации, теперь применяются и для распространения полезной нагрузки ransomware. С июля по август 2023 года было использовано более 30 образцов с кодовой подписью EV, относящихся к этому случаю. Неизвестно, каким образом угрожающий субъект получил доступ к закрытому ключу, а сертификат не был аннулирован, несмотря на сообщение о злоупотреблении, поскольку дата отзыва была установлена на дату сообщения о злоупотреблении, а не на дату подписания образца.

В число полезных нагрузок Ransomware, обнаруженных в данном случае, входит Ransom.Win64.CYCLOPS.A, который шифрует файлы с расширением .knight_l. Среди других способов доставки полезных нагрузок ransomware были отмечены фишинговые письма и пути.

Угрозы становятся все более изощренными в своей тактике и способны максимально использовать свои методы для различных целей и киберпреступлений. Подтверждением тому служит случай с RedLine/Vidar, который начался с похищения информации и перешел к полезной нагрузке в виде выкупа. Использовались фишинговые письма с такими вложениями, как TripAdvisor Complaint - Possible Suspension .exe, Doctor's opinion .exe и Doctor's recommendations .exe, а также дополнительные файлы .txt, .htm и .png, которые содержали двоичные файлы ransomware. Кроме того, использовался не вредоносный сайт, управляющий системами DOI.

#ParsedReport #CompletenessLow
13-09-2023

Microsoft Teams used to deliver DarkGate Loader malware

https://www.malwarebytes.com/blog/news/2023/09/microsoft-teams-used-to-deliver-darkgate-loader-malware

Report completeness: Low

Threats:
Darkgate
Rastafareye_actor

Victims:
Microsoft teams users

ChatGPT TTPs:
do not use without manual check
T1566.003, T1543.004, T1036.003, T1486

IOCs:
File: 2
IP: 1

Soft:
microsoft teams, office 365, curl

Algorithms:
zip

Languages:
autoit

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что исследователи обнаружили новый способ доставки вредоносной программы DarkGate Loader через Microsoft Teams, и что клиенты Malwarebytes защищены от этой атаки.
-----

Исследователи обнаружили новый способ распространения вредоносной программы DarkGate Loader, которая рекламируется на киберпреступных форумах с 16 июня 2023 года. DarkGate Loader используется для выполнения таких вредоносных действий, как удаленный доступ, добыча криптовалюты, кейлоггинг, кража буфера обмена и кража информации. Киберпреступники рассылают в чатах Microsoft Teams сообщения с вредоносными PDF-документами, чтобы заманить жертв на загрузку вредоносного файла.

Вредоносный файл инициирует загрузку и выполнение переименованного cURL, который, в свою очередь, загружает и выполняет Autoit3.exe и скрипт, содержащий новый файл с шелл-кодом. Этот шелл-код затем запускает DarkGate Loader. Удивительно, но существующие средства защиты Microsoft Teams, такие как Safe Attachments или Safe Links, не смогли обнаружить или блокировать эту атаку.

В июне 2023 г. издание BleepingComputer сообщило, что исследователи безопасности обнаружили простой способ доставки вредоносных программ через Microsoft Teams, несмотря на ограничения, действующие для файлов из внешних источников. Ограничение можно обойти, изменив идентификатор внутреннего и внешнего получателя в POST-запросе сообщения, что заставляет Microsoft Teams воспринимать внешнего пользователя как внутреннего.

К счастью, клиенты Malwarebytes защищены от этой атаки, поскольку Malwarebytes блокирует C2-сервер, на котором размещены вредоносные файлы. Malwarebytes также обнаруживает LNK-файл и скрипты как Trojan.DarkGate. Поэтому пользователям следует просканировать свое устройство с помощью Malwarebytes, чтобы обезопасить себя от этой атаки.

#ParsedReport #CompletenessLow
13-09-2023

New MidgeDropper Variant

https://www.fortinet.com/blog/threat-research/new-midgedropper-variant

Report completeness: Low

Threats:
Midgedropper

Victims:
Windows users

ChatGPT TTPs:
do not use without manual check
T1090, T1566

IOCs:
File: 2
Url: 3
Path: 2
IP: 2
Hash: 9

Soft:
microsoft office, microsoft visual c++

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MidgeDropper - ранее не встречавшийся вариант дроппера, использующий обфускацию кода и боковую загрузку для затруднения его обнаружения. Предполагается, что первоначально он распространялся через фишинговое письмо, и его конечная полезная нагрузка неизвестна.
-----

MidgeDropper - ранее не встречавшийся вариант дроппера, обнаруженный компанией FortiGuard Labs, со сложной цепочкой заражения, включающей обфускацию кода и боковую загрузку. Предполагается, что первоначально он распространялся через фишинговое письмо, содержащее вложение RAR. Исполняемый файл в RAR, 062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe, имеет большой размер (6,7 МБ) и выполняет в основном функцию дроппера для дополнительных этапов заражения.

Дроппер создает файл-приманку под названием seAgnt.exe, который сам по себе не представляет опасности. Однако он зависит от VCRUNTIME140_1.dll - легитимной DLL, входящей в состав пакета Microsoft Visual C++ runtime. К сожалению, конкретная версия, используемая в данном случае, является вредоносной. Такая техника называется боковой загрузкой (sideloading), поскольку она основана на перехвате зависимости от легитимного приложения для загрузки и выполнения вредоносного кода.

Дроппер также загружает с узла Command & Control еще один файл - 35g3498734gkb.dat, который по хэшу файла идентичен VCRUNTIME140_1.dll. Непонятно, зачем это сделано, поскольку это выглядит излишним.

К сожалению, конечная полезная нагрузка MidgeDropper не была доступна для анализа в FortiGuard Labs. Однако этот случай служит напоминанием о том, что вредоносные программы постоянно развиваются, и необходимо постоянно отслеживать новые угрозы. Это также показывает, как злоумышленники могут использовать обфускацию кода и боковую загрузку, чтобы затруднить обнаружение своих вредоносных программ.

#ParsedReport #CompletenessMedium
13-09-2023

3AM: New Ransomware Family Used As Fallback in Failed LockBit Attack

https://symantec-enterprise-blogs.security.com/threat-intelligence/3am-ransomware-lockbit

Report completeness: Medium

Threats:
3am_ransomware
Lockbit
Cobalt_strike
Netstat_tool
Conti
Wevtutil_tool

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059, T1060, T1064, T1070, T1074, T1077, T1098, T1112

IOCs:
File: 5
Command: 2
Hash: 5
IP: 3

Soft:
psexec, tor-browser, bcdedit

Algorithms:
base64, sha256

Win Services:
AcronisAgent, AcrSch2Svc, VeeamTransportSvc, VeeamNFSSvc, bedbg, DCAgent, EsgShKernel, FA_Scheduler, IISAdmin, McShield, have more...

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно появилось новое семейство программ-вымогателей под названием 3AM, которое ограниченно используется аффилированными с ним компаниями, пытающимися развернуть LockBit на целевых компьютерах. Предположительно, он написан на языке Rust, использует различные компоненты Cobalt Strike и пытается повысить привилегии на зараженном компьютере. Пока неясно, связаны ли его авторы с известными киберпреступными организациями, но в будущем он может появиться вновь.
-----

Недавно появилось новое семейство программ-вымогателей под названием 3AM, которое используется в ограниченном масштабе. Предполагается, что оно написано на языке Rust и представляет собой совершенно новое семейство вредоносных программ. По данным команды Symantec Threat Hunter Team, входящей в состав Broadcom, 3AM был развернут филиалом компании, пытавшимся внедрить LockBit в сеть объекта атаки. Злоумышленники прибегли к использованию 3AM, когда LockBit был заблокирован.

При запуске ransomware пытается остановить работу множества служб на зараженном компьютере, прежде чем приступить к шифрованию файлов. После завершения шифрования он пытается удалить теневые копии тома (VSS). После завершения шифрования 3AM добавляет к зашифрованным файлам расширение .threeamtime и создает в каждой сканируемой папке записку с выкупом.

Злоумышленники использовали различные компоненты Cobalt Strike и пытались повысить привилегии на компьютере с помощью PsExec. Кроме того, они выполняли такие команды разведки, как whoami, netstat, quser и net share, а также пытались перечислить другие серверы для бокового перемещения с помощью команд quser и net view. Кроме того, они добавили нового пользователя для обеспечения постоянства и использовали инструмент Wput для утечки файлов жертв на собственный FTP-сервер.

Аффилированные компании становятся все более независимыми от операторов вымогательских программ, и это видно на примере 3AM. Хотя пока неясно, имеют ли его авторы какие-либо связи с известными киберпреступными организациями, тот факт, что он использовался в качестве запасного варианта филиалом LockBit, говорит о том, что он может представлять интерес для злоумышленников и в будущем может быть замечен вновь.

#ParsedReport #CompletenessHigh
12-09-2023

A peek into APT36 s updated arsenal

https://www.zscaler.com/blogs/security-research/peek-apt36-s-updated-arsenal

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Steppy_kavach

Threats:
Lizar_loader
Globshell_tool
Pyshellfox_tool
Credential_harvesting_technique
Mythic
Costura_tool
Poseidon
Mythic_c2_tool

Industry:
Education, Healthcare, Government

Geo:
Pakistan, India, Indian, Asia

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 8
Url: 11
Domain: 18
IP: 8
Hash: 22
Email: 1

Soft:
telegram, android, net framework, libreoffice, windows subsystem for linux, crontab, pyinstaller, whatsapp, debian, microsoft office word, have more...

Algorithms:
zip, base64

Functions:
CplApplet, Program, MainAsync, getusername, Bot_OnMessage, buildforts, dosome

Languages:
python, php

Platforms:
intel

Links:
https://github.com/MythicAgents/poseidon

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа APT36, базирующаяся в Пакистане, была замечена в атаках на индийские государственные структуры с использованием новых инструментов и технологий, таких как ElizaRAT, конфигурационные файлы Linux и скомпилированные на Python двоичные файлы ELF. Zscaler рекомендует постоянно отслеживать новые угрозы и обновлять средства обнаружения для защиты от них.
-----

В июле 2023 года базирующаяся в Пакистане группа перспективных постоянных угроз (APT), известная как APT36, была замечена в атаках на государственные структуры Индии с использованием новых инструментов и технологий. Исследователи Zscaler ThreatLabz обнаружили новый инструмент удаленного администрирования (RAT) для Windows, новые инструменты для кибершпионажа на Linux-системах, инновационные методы распространения и дополнительные векторы атак, используемые против Linux-среды.

Windows RAT, получившая название ElizaRAT, распространяется в виде бинарного файла .NET внутри защищенного паролем архивного файла, размещенного по ссылкам на Google Drive. После запуска он устанавливает канал связи C2 через Telegram, что позволяет угрозам полностью контролировать целевую конечную точку. ElizaRAT также отвечает за сброс на машину жертвы файла-обманки PDF в ту же директорию, что и вредоносная DLL. В метаданных этого PDF-файла автором указан "Apolo Jones", а сам PDF-файл был сгенерирован с помощью Microsoft Office Word.

APT36 также использовала файлы конфигурации рабочего стола Linux, которые распространялись в zip-архивах. Полезная нагрузка Linux представляла собой кроссплатформенный бинарник, предназначенный для работы как на Linux, так и на WSL (Windows Subsystem for Linux) машинах. Эта полезная нагрузка загружает файл-обманку PDF с URL https://admin-dept.in/approved_copy.pdf и отображает его жертве. Затем она создает скрытый путь к каталогу local/share в домашнем каталоге пользователя, после чего загружает полезную нагрузку Linux с URL 64.227.133.222/zswap-xbusd и устанавливает под текущим именем пользователя задание cron для запуска содержимого скрипта /dev/shm/myc.txt. На сервере 64.227.133.222 работает Mythic Poseidon, фреймворк C2 с открытым исходным кодом.

Помимо полезной нагрузки для Linux, для кибершпионажа на Linux-системах APT36 также использовала скомпилированные на языке Python двоичные файлы ELF. Были выявлены два таких двоичных файла со схожей функциональностью. Первый из них, получивший название GLOBSHELL, представляет собой специализированную Linux-утилиту для эксфильтрации файлов, а второй, PYSHELLFOX, - специализированную Linux-утилиту для кражи сессий Firefox. Обе утилиты сканируют домашнюю директорию пользователя на наличие файлов с определенными расширениями и путями к ним, после чего передают их на контролируемую злоумышленником учетную запись mega.io.

Чтобы избежать атрибуции, злоумышленники предприняли ряд мер, чтобы скрыть связь с Пакистаном, создав видимость того, что инфраструктура контролируется индийскими злоумышленниками. В частности, были зарегистрированы домены, размещенные на сервере с IP-адресом 153.92.220.59, а страной-регистратором указана Индия. Также наблюдается совпадение инфраструктуры C2 между последней кампанией и предыдущими атаками APT36. Кроме того, злоумышленник использовал инфраструктуру для распространения вредоносных файлов входа на рабочий стол Linux и ложных PDF-файлов.

Мы относим эти новые атаки на базе Windows и Linux к APT36, поскольку их метод подачи ложных PDF-файлов, метаданные и команды Linux практически идентичны предыдущим атакам, связанным с ними. Кроме того, наблюдается совпадение инфраструктуры C2 с предыдущими атаками APT36. Для защиты от этих угроз Zscaler рекомендует постоянно отслеживать новые угрозы и обновлять средства обнаружения. Полный список индикаторов компрометации (IOC) доступен в конце блога.

#ParsedReport #CompletenessLow
13-09-2023

Analysis of the latest mobile attack activities of Kongfuzi Organization

https://mp.weixin.qq.com/s/nMTQww-jHkdKBWFPYdfprA

Report completeness: Low

Actors/Campaigns:
Apt59
Confucius

Threats:
Sunbird_rat
Hornbill
Buzzout
Mobilespy

Victims:
Baccarose, jammu and kashmir government department staff, sanda office management pvt ltd, job seekers for android development, other south asian countries

Industry:
Healthcare, Government, Military

Geo:
California, Asian, Indian, Kashmir, Usa, India, Pakistan

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 41
IP: 2
Hash: 2

Soft:
telegram, whatsapp, android

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что APT-организация Confucius представляет собой активную угрозу, которая с 2013 года атакует правительственных и военных в Кашмире и других частях Индии и ответственна за разработку таких вредоносных программ для Android, как SunBird и Hornbill. Важно сохранять бдительность и принимать необходимые меры для защиты от подобных атак.
-----

Confucius, также известная как APT59, - организация, работающая с 2013 года в рамках программы Advanced Persistent Threat (APT). Она известна тем, что атакует правительственные учреждения, военнослужащих и ядерные институты в Пакистане и других странах Южной Азии. В 2021 году компания Lookout опубликовала информацию о том, что эта организация разработала вредоносные программы для Android - SunBird и Hornbill - на основе коммерческих программ-шпионов BuzzOut и MobileSpy соответственно, которые используются для кражи данных с устройств и извлечения содержимого зашифрованных приложений для обмена сообщениями, таких как WhatsApp.

Недавно специалисты по анализу угроз компании Antiy зафиксировали партию образцов мобильных атак, принадлежащих APT-организации Confucius. Было обнаружено, что структура кода и вредоносные функции этих образцов схожи со структурой кода вредоносных полезных нагрузок серии SunBird, раскрытых компанией Lookout в 2021 году. Эти образцы имитировали фреймворк обновлений Google и использовались для кражи пользовательских фотографий, текстовых сообщений, адресных книг и записей различных социальных чатов.

Анализ источника показал, что с одного и того же IP было установлено несколько серверных бэкендов, и в одной партии распространялось несколько вредоносных полезных нагрузок. Предполагается, что атака началась еще в мае 2023 года, и уже найдено более 50 сведений о жертвах. Предполагается, что среди жертв есть государственные служащие и военные, особенно в Кашмире и других частях Индии.

Сервер C2, используемый образцом, - 149.102.225.98, который принадлежит Лос-Анджелесу, штат Калифорния, США. Среди пострадавших - сотрудник индийского дистрибьютора косметической продукции Baccarose, чья учетная информация на странице входа в бэкэнд компании предположительно подверглась утечке. Кроме того, атаке подверглись сотрудники правительственных ведомств штата Джамму и Кашмир, у которых были похищены документы по тендеру на реализацию государственного проекта в области здравоохранения в 2023 году.

Еще одной жертвой стала компания Sanda Office Management Pvt Ltd, занимающаяся разработкой программного обеспечения и расположенная в Мумбаи (Индия). Она занималась набором соискателей для разработки android, и ее данные были скомпрометированы. Гомологичный поиск по характеристикам кода образца выявил гомологичный образец в библиотеке образцов Antiy Mobile. После анализа оказалось, что вредоносная функция не изменилась, а сервер c2 был http://23.81.246.170/doodle14, хотя в настоящее время он неактивен.

Очевидно, что данная партия образцов принадлежит к серии Android-троянцев SunBird, организованной компанией Kongfuzi. Вредоносные функции и структура кода очень похожи на образцы, раскрытые в 2021 году. Жертвы в основном находятся в Кашмире и других частях Индии, среди них есть государственные служащие и военные. APT-организация Confucius продолжает оставаться активной угрозой, поэтому важно сохранять бдительность и предпринимать необходимые меры для защиты от подобных атак.

#ParsedReport #CompletenessMedium
14-09-2023

Tatar-Language Users in the Crosshairs of Python Screenshotter

https://cyble.com/blog/tatar-language-users-in-the-crosshairs-of-python-screenshotter

Report completeness: Medium

Actors/Campaigns:
Ta866 (motivation: financially_motivated)

Threats:
Wasabiseed
Rhadamanthys
Cobalt_strike
Beacon

Victims:
Tatar language-speaking users primarily located in a particular region of russia

Geo:
Tatarstan, Germany, Russia

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 1
Url: 1
Hash: 7

Soft:
pyinstaller, task scheduler

Algorithms:
sha1, sha256, zip, base64

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 6, windows: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания CRIL выявила вредоносную кампанию, направленную на татароязычных пользователей в России, и предупредила пользователей о необходимости остерегаться фишинговых писем, использовать защитные решения и проявлять осторожность при предоставлении конфиденциальных данных в Интернете. Эта кампания демонстрирует изощренность и настойчивость угроз, направленных на компрометацию пользовательских систем.
-----

Компания CRIL выявила вредоносную кампанию, направленную на пользователей, говорящих на татарском языке, преимущественно в России. Атака начинается с фишингового письма, содержащего вложение или URL-адрес, который приводит к загрузке RAR-файла с иконкой, посвященной празднованию Дня Республики. Этот файл содержит как легитимные видеофайлы, так и замаскированный вредоносный исполняемый файл, созданный с помощью PyInstaller и имеющий SHA256-хэш 285c078e9c79e395a735567431de91544c164cc99a52e09104b439b75d7d4b23. После выполнения на экран выводится изображение в base64-кодировке, содержащее сообщение на татарском языке, а в фоновом режиме запускается вредоносный PowerShell-скрипт. Этот скрипт загружает и исполняет вредоносные файлы из Dropbox, а затем снимает и отправляет на FTP-сервер скриншоты экрана машины-жертвы.

Эта кампания похожа на другие, ранее замеченные компанией Proofpoint, которые проводились TA866, финансово мотивированным угрожающим агентом. В этих кампаниях были развернуты такие вредоносные полезные нагрузки, как WasabiSeed и Screenshotter. Кроме того, в некоторых случаях Proofpoint отмечала активность после эксплойта с участием AHK Bot и Rhadamanthys Stealer. Данная кампания демонстрирует изощренность и настойчивость угроз, направленных на компрометацию пользовательских систем.

CRIL предупредил пользователей о необходимости остерегаться фишинговых писем и не открывать подозрительные вложения. Они также должны использовать такие средства защиты, как межсетевые экраны, программы защиты от вредоносного ПО и веб-фильтры, и следить за тем, чтобы их системы регулярно обновлялись последними исправлениями. Кроме того, пользователям следует помнить о наличии злоумышленников и проявлять осторожность при предоставлении конфиденциальных данных в Интернете.

#ParsedReport #CompletenessLow
14-09-2023

Downloader Disguised With Contents on Violation of Intellectual Property Rights (Detected by MDS)

https://asec.ahnlab.com/en/57001

Report completeness: Low

Threats:
Mainbot
Trojan/win.agent.c5478091
Malware/win.generic.c5479395

Geo:
Taiwan, Korea

IOCs:
File: 6
Url: 1
Registry: 1
Hash: 2

Soft:
telegram, microsoft edge

Algorithms:
base64

Win API:
WmiMonitorBasicDisplayParams

#ParsedReport #CompletenessLow
14-09-2023

PSA: Ongoing Webex malvertising campaign drops BatLoader

https://www.malwarebytes.com/blog/threat-intelligence/2023/09/ongoing-webex-malvertising-drops-batloader

Report completeness: Low

Threats:
Batloader
Danabot
Cloaking_technique

Geo:
Mexico

IOCs:
Domain: 3
IP: 3
Hash: 2

Soft:
openssl

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Малвертайзинг - это растущая угроза, направленная на корпоративных пользователей и использующая преимущества поисковых систем, таких как Google. Для защиты от этой угрозы организациям требуются не только традиционные антивирусные решения. Обнаружение и реагирование на конечных точках (EDR) в сочетании с управляемым сервисом обнаружения и реагирования может обеспечить комплексную защиту, необходимую для обнаружения и предотвращения атак с использованием вредоносной рекламы.
-----

Малвертайзинг - это разновидность вредоносной рекламы, при которой угрожающие лица используют легитимную рекламу для распространения вредоносного ПО. В данном случае вредоносной рекламе подверглись корпоративные пользователи, искавшие популярное программное обеспечение для проведения веб-конференций Webex. Реклама выглядела вполне легитимной, поскольку использовала логотип Webex и показывала официальный сайт. Однако рекламодателем выступал некий человек из Мексики, не имеющий отношения к компании Cisco.

Вредоносная полезная нагрузка представляла собой загрузчик типа BatLoader, предназначенный для обхода обнаружения. BatLoader использовался для загрузки вторичной полезной нагрузки, DanaBot, которая уже была обнаружена без сигнатур с помощью "облачной" платформы безопасности Nebula компании Malwarebytes для предприятий.

Вредоносная реклама - это растущая угроза, которая продолжает нацеливаться на корпоративных пользователей, используя возможности поисковых систем, таких как Google. Поскольку вредоносная реклама выглядит вполне легитимно, можно не сомневаться, что люди будут нажимать на нее и посещать небезопасные сайты. Для защиты от этой угрозы организациям требуются не только традиционные антивирусные решения. Обнаружение и реагирование на конечных точках (EDR) в сочетании с управляемой службой обнаружения и реагирования может обеспечить комплексную защиту, необходимую для обнаружения и предотвращения атак, связанных с вредоносной рекламой.

#ParsedReport #CompletenessMedium
14-09-2023

HiddenGh0st malware attacking MS-SQL servers

https://asec.ahnlab.com/ko/57028

Report completeness: Medium

Threats:
Hiddengh0st
Gh0st_rat
Cringe_rat
Remcos_rat
Atmosphere
Mimikatz_tool
Purplefox
Cloaking_technique
Malware/win32.rl_generic.r356012
Trojan/win.generic.c4446276
Malware/mdp.behavior.m29

Victims:
Ms-sql servers, improperly managed ms-sql servers, database servers, qq messenger users

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1053, T1016, T1082, T1036, T1060, T1083, T1089, T1158, T1497, have more...

IOCs:
Hash: 4
File: 11
Registry: 3
Command: 2
Path: 2
IP: 1
Domain: 1

Soft:
ms-sql, mysql, internet explorer, windows kernel

Algorithms:
zip

Functions:
GetMP, ObRegisterCallbacks, PsSetCreateProcessNotifyRoutineEx, CmRegisterCallbackEx, NtLoadDriver

Win API:
DefineDosDeviceA

Win Services:
BITS, rvice

Platforms:
x64, x86