#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MidgeDropper - ранее не встречавшийся вариант дроппера, использующий обфускацию кода и боковую загрузку для затруднения его обнаружения. Предполагается, что первоначально он распространялся через фишинговое письмо, и его конечная полезная нагрузка неизвестна.
-----

MidgeDropper - ранее не встречавшийся вариант дроппера, обнаруженный компанией FortiGuard Labs, со сложной цепочкой заражения, включающей обфускацию кода и боковую загрузку. Предполагается, что первоначально он распространялся через фишинговое письмо, содержащее вложение RAR. Исполняемый файл в RAR, 062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe, имеет большой размер (6,7 МБ) и выполняет в основном функцию дроппера для дополнительных этапов заражения.

Дроппер создает файл-приманку под названием seAgnt.exe, который сам по себе не представляет опасности. Однако он зависит от VCRUNTIME140_1.dll - легитимной DLL, входящей в состав пакета Microsoft Visual C++ runtime. К сожалению, конкретная версия, используемая в данном случае, является вредоносной. Такая техника называется боковой загрузкой (sideloading), поскольку она основана на перехвате зависимости от легитимного приложения для загрузки и выполнения вредоносного кода.

Дроппер также загружает с узла Command & Control еще один файл - 35g3498734gkb.dat, который по хэшу файла идентичен VCRUNTIME140_1.dll. Непонятно, зачем это сделано, поскольку это выглядит излишним.

К сожалению, конечная полезная нагрузка MidgeDropper не была доступна для анализа в FortiGuard Labs. Однако этот случай служит напоминанием о том, что вредоносные программы постоянно развиваются, и необходимо постоянно отслеживать новые угрозы. Это также показывает, как злоумышленники могут использовать обфускацию кода и боковую загрузку, чтобы затруднить обнаружение своих вредоносных программ.

#ParsedReport #CompletenessMedium
13-09-2023

3AM: New Ransomware Family Used As Fallback in Failed LockBit Attack

https://symantec-enterprise-blogs.security.com/threat-intelligence/3am-ransomware-lockbit

Report completeness: Medium

Threats:
3am_ransomware
Lockbit
Cobalt_strike
Netstat_tool
Conti
Wevtutil_tool

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059, T1060, T1064, T1070, T1074, T1077, T1098, T1112

IOCs:
File: 5
Command: 2
Hash: 5
IP: 3

Soft:
psexec, tor-browser, bcdedit

Algorithms:
base64, sha256

Win Services:
AcronisAgent, AcrSch2Svc, VeeamTransportSvc, VeeamNFSSvc, bedbg, DCAgent, EsgShKernel, FA_Scheduler, IISAdmin, McShield, have more...

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавно появилось новое семейство программ-вымогателей под названием 3AM, которое ограниченно используется аффилированными с ним компаниями, пытающимися развернуть LockBit на целевых компьютерах. Предположительно, он написан на языке Rust, использует различные компоненты Cobalt Strike и пытается повысить привилегии на зараженном компьютере. Пока неясно, связаны ли его авторы с известными киберпреступными организациями, но в будущем он может появиться вновь.
-----

Недавно появилось новое семейство программ-вымогателей под названием 3AM, которое используется в ограниченном масштабе. Предполагается, что оно написано на языке Rust и представляет собой совершенно новое семейство вредоносных программ. По данным команды Symantec Threat Hunter Team, входящей в состав Broadcom, 3AM был развернут филиалом компании, пытавшимся внедрить LockBit в сеть объекта атаки. Злоумышленники прибегли к использованию 3AM, когда LockBit был заблокирован.

При запуске ransomware пытается остановить работу множества служб на зараженном компьютере, прежде чем приступить к шифрованию файлов. После завершения шифрования он пытается удалить теневые копии тома (VSS). После завершения шифрования 3AM добавляет к зашифрованным файлам расширение .threeamtime и создает в каждой сканируемой папке записку с выкупом.

Злоумышленники использовали различные компоненты Cobalt Strike и пытались повысить привилегии на компьютере с помощью PsExec. Кроме того, они выполняли такие команды разведки, как whoami, netstat, quser и net share, а также пытались перечислить другие серверы для бокового перемещения с помощью команд quser и net view. Кроме того, они добавили нового пользователя для обеспечения постоянства и использовали инструмент Wput для утечки файлов жертв на собственный FTP-сервер.

Аффилированные компании становятся все более независимыми от операторов вымогательских программ, и это видно на примере 3AM. Хотя пока неясно, имеют ли его авторы какие-либо связи с известными киберпреступными организациями, тот факт, что он использовался в качестве запасного варианта филиалом LockBit, говорит о том, что он может представлять интерес для злоумышленников и в будущем может быть замечен вновь.

#ParsedReport #CompletenessHigh
12-09-2023

A peek into APT36 s updated arsenal

https://www.zscaler.com/blogs/security-research/peek-apt36-s-updated-arsenal

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Steppy_kavach

Threats:
Lizar_loader
Globshell_tool
Pyshellfox_tool
Credential_harvesting_technique
Mythic
Costura_tool
Poseidon
Mythic_c2_tool

Industry:
Education, Healthcare, Government

Geo:
Pakistan, India, Indian, Asia

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 8
Url: 11
Domain: 18
IP: 8
Hash: 22
Email: 1

Soft:
telegram, android, net framework, libreoffice, windows subsystem for linux, crontab, pyinstaller, whatsapp, debian, microsoft office word, have more...

Algorithms:
zip, base64

Functions:
CplApplet, Program, MainAsync, getusername, Bot_OnMessage, buildforts, dosome

Languages:
python, php

Platforms:
intel

Links:
https://github.com/MythicAgents/poseidon

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа APT36, базирующаяся в Пакистане, была замечена в атаках на индийские государственные структуры с использованием новых инструментов и технологий, таких как ElizaRAT, конфигурационные файлы Linux и скомпилированные на Python двоичные файлы ELF. Zscaler рекомендует постоянно отслеживать новые угрозы и обновлять средства обнаружения для защиты от них.
-----

В июле 2023 года базирующаяся в Пакистане группа перспективных постоянных угроз (APT), известная как APT36, была замечена в атаках на государственные структуры Индии с использованием новых инструментов и технологий. Исследователи Zscaler ThreatLabz обнаружили новый инструмент удаленного администрирования (RAT) для Windows, новые инструменты для кибершпионажа на Linux-системах, инновационные методы распространения и дополнительные векторы атак, используемые против Linux-среды.

Windows RAT, получившая название ElizaRAT, распространяется в виде бинарного файла .NET внутри защищенного паролем архивного файла, размещенного по ссылкам на Google Drive. После запуска он устанавливает канал связи C2 через Telegram, что позволяет угрозам полностью контролировать целевую конечную точку. ElizaRAT также отвечает за сброс на машину жертвы файла-обманки PDF в ту же директорию, что и вредоносная DLL. В метаданных этого PDF-файла автором указан "Apolo Jones", а сам PDF-файл был сгенерирован с помощью Microsoft Office Word.

APT36 также использовала файлы конфигурации рабочего стола Linux, которые распространялись в zip-архивах. Полезная нагрузка Linux представляла собой кроссплатформенный бинарник, предназначенный для работы как на Linux, так и на WSL (Windows Subsystem for Linux) машинах. Эта полезная нагрузка загружает файл-обманку PDF с URL https://admin-dept.in/approved_copy.pdf и отображает его жертве. Затем она создает скрытый путь к каталогу local/share в домашнем каталоге пользователя, после чего загружает полезную нагрузку Linux с URL 64.227.133.222/zswap-xbusd и устанавливает под текущим именем пользователя задание cron для запуска содержимого скрипта /dev/shm/myc.txt. На сервере 64.227.133.222 работает Mythic Poseidon, фреймворк C2 с открытым исходным кодом.

Помимо полезной нагрузки для Linux, для кибершпионажа на Linux-системах APT36 также использовала скомпилированные на языке Python двоичные файлы ELF. Были выявлены два таких двоичных файла со схожей функциональностью. Первый из них, получивший название GLOBSHELL, представляет собой специализированную Linux-утилиту для эксфильтрации файлов, а второй, PYSHELLFOX, - специализированную Linux-утилиту для кражи сессий Firefox. Обе утилиты сканируют домашнюю директорию пользователя на наличие файлов с определенными расширениями и путями к ним, после чего передают их на контролируемую злоумышленником учетную запись mega.io.

Чтобы избежать атрибуции, злоумышленники предприняли ряд мер, чтобы скрыть связь с Пакистаном, создав видимость того, что инфраструктура контролируется индийскими злоумышленниками. В частности, были зарегистрированы домены, размещенные на сервере с IP-адресом 153.92.220.59, а страной-регистратором указана Индия. Также наблюдается совпадение инфраструктуры C2 между последней кампанией и предыдущими атаками APT36. Кроме того, злоумышленник использовал инфраструктуру для распространения вредоносных файлов входа на рабочий стол Linux и ложных PDF-файлов.

Мы относим эти новые атаки на базе Windows и Linux к APT36, поскольку их метод подачи ложных PDF-файлов, метаданные и команды Linux практически идентичны предыдущим атакам, связанным с ними. Кроме того, наблюдается совпадение инфраструктуры C2 с предыдущими атаками APT36. Для защиты от этих угроз Zscaler рекомендует постоянно отслеживать новые угрозы и обновлять средства обнаружения. Полный список индикаторов компрометации (IOC) доступен в конце блога.

#ParsedReport #CompletenessLow
13-09-2023

Analysis of the latest mobile attack activities of Kongfuzi Organization

https://mp.weixin.qq.com/s/nMTQww-jHkdKBWFPYdfprA

Report completeness: Low

Actors/Campaigns:
Apt59
Confucius

Threats:
Sunbird_rat
Hornbill
Buzzout
Mobilespy

Victims:
Baccarose, jammu and kashmir government department staff, sanda office management pvt ltd, job seekers for android development, other south asian countries

Industry:
Healthcare, Government, Military

Geo:
California, Asian, Indian, Kashmir, Usa, India, Pakistan

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 41
IP: 2
Hash: 2

Soft:
telegram, whatsapp, android

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что APT-организация Confucius представляет собой активную угрозу, которая с 2013 года атакует правительственных и военных в Кашмире и других частях Индии и ответственна за разработку таких вредоносных программ для Android, как SunBird и Hornbill. Важно сохранять бдительность и принимать необходимые меры для защиты от подобных атак.
-----

Confucius, также известная как APT59, - организация, работающая с 2013 года в рамках программы Advanced Persistent Threat (APT). Она известна тем, что атакует правительственные учреждения, военнослужащих и ядерные институты в Пакистане и других странах Южной Азии. В 2021 году компания Lookout опубликовала информацию о том, что эта организация разработала вредоносные программы для Android - SunBird и Hornbill - на основе коммерческих программ-шпионов BuzzOut и MobileSpy соответственно, которые используются для кражи данных с устройств и извлечения содержимого зашифрованных приложений для обмена сообщениями, таких как WhatsApp.

Недавно специалисты по анализу угроз компании Antiy зафиксировали партию образцов мобильных атак, принадлежащих APT-организации Confucius. Было обнаружено, что структура кода и вредоносные функции этих образцов схожи со структурой кода вредоносных полезных нагрузок серии SunBird, раскрытых компанией Lookout в 2021 году. Эти образцы имитировали фреймворк обновлений Google и использовались для кражи пользовательских фотографий, текстовых сообщений, адресных книг и записей различных социальных чатов.

Анализ источника показал, что с одного и того же IP было установлено несколько серверных бэкендов, и в одной партии распространялось несколько вредоносных полезных нагрузок. Предполагается, что атака началась еще в мае 2023 года, и уже найдено более 50 сведений о жертвах. Предполагается, что среди жертв есть государственные служащие и военные, особенно в Кашмире и других частях Индии.

Сервер C2, используемый образцом, - 149.102.225.98, который принадлежит Лос-Анджелесу, штат Калифорния, США. Среди пострадавших - сотрудник индийского дистрибьютора косметической продукции Baccarose, чья учетная информация на странице входа в бэкэнд компании предположительно подверглась утечке. Кроме того, атаке подверглись сотрудники правительственных ведомств штата Джамму и Кашмир, у которых были похищены документы по тендеру на реализацию государственного проекта в области здравоохранения в 2023 году.

Еще одной жертвой стала компания Sanda Office Management Pvt Ltd, занимающаяся разработкой программного обеспечения и расположенная в Мумбаи (Индия). Она занималась набором соискателей для разработки android, и ее данные были скомпрометированы. Гомологичный поиск по характеристикам кода образца выявил гомологичный образец в библиотеке образцов Antiy Mobile. После анализа оказалось, что вредоносная функция не изменилась, а сервер c2 был http://23.81.246.170/doodle14, хотя в настоящее время он неактивен.

Очевидно, что данная партия образцов принадлежит к серии Android-троянцев SunBird, организованной компанией Kongfuzi. Вредоносные функции и структура кода очень похожи на образцы, раскрытые в 2021 году. Жертвы в основном находятся в Кашмире и других частях Индии, среди них есть государственные служащие и военные. APT-организация Confucius продолжает оставаться активной угрозой, поэтому важно сохранять бдительность и предпринимать необходимые меры для защиты от подобных атак.

#ParsedReport #CompletenessMedium
14-09-2023

Tatar-Language Users in the Crosshairs of Python Screenshotter

https://cyble.com/blog/tatar-language-users-in-the-crosshairs-of-python-screenshotter

Report completeness: Medium

Actors/Campaigns:
Ta866 (motivation: financially_motivated)

Threats:
Wasabiseed
Rhadamanthys
Cobalt_strike
Beacon

Victims:
Tatar language-speaking users primarily located in a particular region of russia

Geo:
Tatarstan, Germany, Russia

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 1
Url: 1
Hash: 7

Soft:
pyinstaller, task scheduler

Algorithms:
sha1, sha256, zip, base64

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 6, windows: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания CRIL выявила вредоносную кампанию, направленную на татароязычных пользователей в России, и предупредила пользователей о необходимости остерегаться фишинговых писем, использовать защитные решения и проявлять осторожность при предоставлении конфиденциальных данных в Интернете. Эта кампания демонстрирует изощренность и настойчивость угроз, направленных на компрометацию пользовательских систем.
-----

Компания CRIL выявила вредоносную кампанию, направленную на пользователей, говорящих на татарском языке, преимущественно в России. Атака начинается с фишингового письма, содержащего вложение или URL-адрес, который приводит к загрузке RAR-файла с иконкой, посвященной празднованию Дня Республики. Этот файл содержит как легитимные видеофайлы, так и замаскированный вредоносный исполняемый файл, созданный с помощью PyInstaller и имеющий SHA256-хэш 285c078e9c79e395a735567431de91544c164cc99a52e09104b439b75d7d4b23. После выполнения на экран выводится изображение в base64-кодировке, содержащее сообщение на татарском языке, а в фоновом режиме запускается вредоносный PowerShell-скрипт. Этот скрипт загружает и исполняет вредоносные файлы из Dropbox, а затем снимает и отправляет на FTP-сервер скриншоты экрана машины-жертвы.

Эта кампания похожа на другие, ранее замеченные компанией Proofpoint, которые проводились TA866, финансово мотивированным угрожающим агентом. В этих кампаниях были развернуты такие вредоносные полезные нагрузки, как WasabiSeed и Screenshotter. Кроме того, в некоторых случаях Proofpoint отмечала активность после эксплойта с участием AHK Bot и Rhadamanthys Stealer. Данная кампания демонстрирует изощренность и настойчивость угроз, направленных на компрометацию пользовательских систем.

CRIL предупредил пользователей о необходимости остерегаться фишинговых писем и не открывать подозрительные вложения. Они также должны использовать такие средства защиты, как межсетевые экраны, программы защиты от вредоносного ПО и веб-фильтры, и следить за тем, чтобы их системы регулярно обновлялись последними исправлениями. Кроме того, пользователям следует помнить о наличии злоумышленников и проявлять осторожность при предоставлении конфиденциальных данных в Интернете.

#ParsedReport #CompletenessLow
14-09-2023

Downloader Disguised With Contents on Violation of Intellectual Property Rights (Detected by MDS)

https://asec.ahnlab.com/en/57001

Report completeness: Low

Threats:
Mainbot
Trojan/win.agent.c5478091
Malware/win.generic.c5479395

Geo:
Taiwan, Korea

IOCs:
File: 6
Url: 1
Registry: 1
Hash: 2

Soft:
telegram, microsoft edge

Algorithms:
base64

Win API:
WmiMonitorBasicDisplayParams

#ParsedReport #CompletenessLow
14-09-2023

PSA: Ongoing Webex malvertising campaign drops BatLoader

https://www.malwarebytes.com/blog/threat-intelligence/2023/09/ongoing-webex-malvertising-drops-batloader

Report completeness: Low

Threats:
Batloader
Danabot
Cloaking_technique

Geo:
Mexico

IOCs:
Domain: 3
IP: 3
Hash: 2

Soft:
openssl

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Малвертайзинг - это растущая угроза, направленная на корпоративных пользователей и использующая преимущества поисковых систем, таких как Google. Для защиты от этой угрозы организациям требуются не только традиционные антивирусные решения. Обнаружение и реагирование на конечных точках (EDR) в сочетании с управляемым сервисом обнаружения и реагирования может обеспечить комплексную защиту, необходимую для обнаружения и предотвращения атак с использованием вредоносной рекламы.
-----

Малвертайзинг - это разновидность вредоносной рекламы, при которой угрожающие лица используют легитимную рекламу для распространения вредоносного ПО. В данном случае вредоносной рекламе подверглись корпоративные пользователи, искавшие популярное программное обеспечение для проведения веб-конференций Webex. Реклама выглядела вполне легитимной, поскольку использовала логотип Webex и показывала официальный сайт. Однако рекламодателем выступал некий человек из Мексики, не имеющий отношения к компании Cisco.

Вредоносная полезная нагрузка представляла собой загрузчик типа BatLoader, предназначенный для обхода обнаружения. BatLoader использовался для загрузки вторичной полезной нагрузки, DanaBot, которая уже была обнаружена без сигнатур с помощью "облачной" платформы безопасности Nebula компании Malwarebytes для предприятий.

Вредоносная реклама - это растущая угроза, которая продолжает нацеливаться на корпоративных пользователей, используя возможности поисковых систем, таких как Google. Поскольку вредоносная реклама выглядит вполне легитимно, можно не сомневаться, что люди будут нажимать на нее и посещать небезопасные сайты. Для защиты от этой угрозы организациям требуются не только традиционные антивирусные решения. Обнаружение и реагирование на конечных точках (EDR) в сочетании с управляемой службой обнаружения и реагирования может обеспечить комплексную защиту, необходимую для обнаружения и предотвращения атак, связанных с вредоносной рекламой.

#ParsedReport #CompletenessMedium
14-09-2023

HiddenGh0st malware attacking MS-SQL servers

https://asec.ahnlab.com/ko/57028

Report completeness: Medium

Threats:
Hiddengh0st
Gh0st_rat
Cringe_rat
Remcos_rat
Atmosphere
Mimikatz_tool
Purplefox
Cloaking_technique
Malware/win32.rl_generic.r356012
Trojan/win.generic.c4446276
Malware/mdp.behavior.m29

Victims:
Ms-sql servers, improperly managed ms-sql servers, database servers, qq messenger users

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1053, T1016, T1082, T1036, T1060, T1083, T1089, T1158, T1497, have more...

IOCs:
Hash: 4
File: 11
Registry: 3
Command: 2
Path: 2
IP: 1
Domain: 1

Soft:
ms-sql, mysql, internet explorer, windows kernel

Algorithms:
zip

Functions:
GetMP, ObRegisterCallbacks, PsSetCreateProcessNotifyRoutineEx, CmRegisterCallbackEx, NtLoadDriver

Win API:
DefineDosDeviceA

Win Services:
BITS, rvice

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Gh0st RAT - это вредоносное программное средство, обычно используемое для атак на серверы MS-SQL, с вариантом, известным как HiddenGh0st, который может похищать информацию об учетной записи и включает в себя различные команды.
-----

Gh0st RAT - это вредоносное программное средство, разработанное китайскими злоумышленниками и широко используемое для атак на серверы MS-SQL. Это один из самых распространенных вариантов вредоносного ПО, на который приходится 29,0% атак, согласно статистике за второй квартал 2023 года. Распространяется вариант Gh0st RAT, известный как HiddenGh0st, который устанавливает скрытый руткит, имеющий открытый исходный код и доступный на GitHub для сокрытия и защиты вредоносного ПО, отвечающего за функцию бэкдора. Данный вариант включает функцию кражи учетной информации и поддерживает различные команды, такие как удаление кэша Internet Explorer, открытие и закрытие CD-ROM, скрытие панели задач, изменение положения левой и правой кнопок мыши.

#ParsedReport #CompletenessMedium
14-09-2023

Konni APT exploits WinRAR vulnerability (CVE-2023-38831) to attack the digital currency industry for the first time

https://paper-seebug-org.translate.goog/3032/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Scarcruft
Lazarus

Threats:
Uac_bypass_technique

Industry:
Military, Financial

Geo:
Korean, Koreas, Korea

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1546.001, T1190, T1068, T1086.001, T1117, T1203, T1075, T1218.002

IOCs:
File: 13
Domain: 2
Registry: 2
Command: 1
Hash: 1

Algorithms:
aes, base64

Languages:
php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
code: 21, windows: 3, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа перспективной разведки угроз Chuangyu 404 недавно опубликовала отчет о результатах исследования, в котором подробно описаны методы, используемые северокорейской группировкой Konni для атак на операции с цифровыми валютами. Для осуществления атаки Konni использовала уязвимость WinRAR (CVE-2023-38831) и вредоносную полезную нагрузку. Атака использовалась для установки дополнительных вредоносных программ, кражи учетных данных и проведения DDoS-атак.
-----

Группа перспективной разведки угроз Chuangyu 404 недавно выпустила исследовательский отчет под названием "Провокационная эскалация крупномасштабных совместных военных учений Южной Кореи и США?". В этом отчете подробно описаны методы, используемые поддерживаемой Северной Кореей группировкой Konni для атак на операции с цифровыми валютами, часто осуществляемые организацией Lazarus. В этой атаке Konni использовала уязвимость WinRAR (CVE-2023-38831), которая была недавно раскрыта компанией Group-IB.

Образец атаки имел имя wallet_Screenshot_2023_09_06_Qbao_Network.rar, и при нажатии жертвой на HTML-файл в сжатом файле выполнялась вредоносная полезная нагрузка. Краткий анализ уязвимости CVE-2023-38831 определял наличие или отсутствие сеанса удаленного подключения и, если таковой имелся, запускал файл trap.bat. Если такового не было, то определялось, является ли текущая система Win10 или нет, при этом Num устанавливался равным 4, если да, и 1 в противном случае. Затем он проверял, является ли система 64-битной, и выполнял wpnprv64.dll или wpnprv32.dll соответственно. Далее использовалась функция экспорта "IIIIIIIII", содержащая основной вредоносный код и выбирающая различные методы обхода UAC в соответствии с переданными параметрами.

При установке входящего параметра в значение 4 для осуществления обхода UAC использовались технологии подмены AppInfo RPC и PPID и запускался файл trap.bat. Далее на примере программы x64 выполнялся rdssvc.dll (Konni RAT). Она считывала файл rdssvc.dat и расшифровывала из него адрес C2. Этот C2-адрес использовался для установления соединения между атакующим и целевой машиной. Затем атака могла быть использована для установки дополнительных вредоносных полезных нагрузок, кражи учетных данных и проведения DDoS-атак.

#ParsedReport #CompletenessMedium
14-09-2023

New Python NodeStealer Goes Beyond Facebook Credentials, Now Stealing All Browser Cookies and Login Credentials

https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing-all-browser-cookies-and-login-credentials

Report completeness: Medium

Threats:
Nodestealer
Doorway

Victims:
Facebook business accounts with bogus facebook messages with a malicious file attached

Geo:
America

IOCs:
Domain: 1
Path: 1
File: 6
Url: 9
Hash: 5

Soft:
telegram, chrome, google chrome, microsoft edge, opera

Algorithms:
zip

Languages:
javascript, python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Netskope Threat Labs отслеживает кампанию, которая использует вредоносный файл-вложение для кражи cookies и учетных данных Facebook, а также данных из нескольких браузеров.
-----

Компания Netskope Threat Labs отслеживает кампанию, направленную на бизнес-аккаунты Facebook с помощью фальшивых сообщений, содержащих вложение с вредоносным файлом. Этот вредоносный файл представляет собой новый вариант NodeStealer на базе Python, целью которого является кража cookies и учетных данных Facebook, а также данных из нескольких браузеров. Вредоносный файл представляет собой пакетный файл, который при открытии с кодировкой UTF-8 загружает два zip-файла с вредоносного домена. Эти zip-файлы содержат интерпретатор Python, библиотеки и полезную нагрузку вредоносной программы. Вредоносная программа запускает Powershell для загрузки вредоносного Python-скрипта с именем project.py. Этот скрипт собирает IP-адрес пользователя, код страны, файлы браузера Google Chrome (Login Data, Cookies и Local State), а также файлы cookie с других сайтов. Все собранные файлы затем эксфильтрируются с помощью Telegram.

#technique
S4UTomato - Escalate Service Account To LocalSystem via Kerberos

https://paper-seebug-org.translate.goog/3034/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp