#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что APT-организация Confucius представляет собой активную угрозу, которая с 2013 года атакует правительственных и военных в Кашмире и других частях Индии и ответственна за разработку таких вредоносных программ для Android, как SunBird и Hornbill. Важно сохранять бдительность и принимать необходимые меры для защиты от подобных атак.
-----

Confucius, также известная как APT59, - организация, работающая с 2013 года в рамках программы Advanced Persistent Threat (APT). Она известна тем, что атакует правительственные учреждения, военнослужащих и ядерные институты в Пакистане и других странах Южной Азии. В 2021 году компания Lookout опубликовала информацию о том, что эта организация разработала вредоносные программы для Android - SunBird и Hornbill - на основе коммерческих программ-шпионов BuzzOut и MobileSpy соответственно, которые используются для кражи данных с устройств и извлечения содержимого зашифрованных приложений для обмена сообщениями, таких как WhatsApp.

Недавно специалисты по анализу угроз компании Antiy зафиксировали партию образцов мобильных атак, принадлежащих APT-организации Confucius. Было обнаружено, что структура кода и вредоносные функции этих образцов схожи со структурой кода вредоносных полезных нагрузок серии SunBird, раскрытых компанией Lookout в 2021 году. Эти образцы имитировали фреймворк обновлений Google и использовались для кражи пользовательских фотографий, текстовых сообщений, адресных книг и записей различных социальных чатов.

Анализ источника показал, что с одного и того же IP было установлено несколько серверных бэкендов, и в одной партии распространялось несколько вредоносных полезных нагрузок. Предполагается, что атака началась еще в мае 2023 года, и уже найдено более 50 сведений о жертвах. Предполагается, что среди жертв есть государственные служащие и военные, особенно в Кашмире и других частях Индии.

Сервер C2, используемый образцом, - 149.102.225.98, который принадлежит Лос-Анджелесу, штат Калифорния, США. Среди пострадавших - сотрудник индийского дистрибьютора косметической продукции Baccarose, чья учетная информация на странице входа в бэкэнд компании предположительно подверглась утечке. Кроме того, атаке подверглись сотрудники правительственных ведомств штата Джамму и Кашмир, у которых были похищены документы по тендеру на реализацию государственного проекта в области здравоохранения в 2023 году.

Еще одной жертвой стала компания Sanda Office Management Pvt Ltd, занимающаяся разработкой программного обеспечения и расположенная в Мумбаи (Индия). Она занималась набором соискателей для разработки android, и ее данные были скомпрометированы. Гомологичный поиск по характеристикам кода образца выявил гомологичный образец в библиотеке образцов Antiy Mobile. После анализа оказалось, что вредоносная функция не изменилась, а сервер c2 был http://23.81.246.170/doodle14, хотя в настоящее время он неактивен.

Очевидно, что данная партия образцов принадлежит к серии Android-троянцев SunBird, организованной компанией Kongfuzi. Вредоносные функции и структура кода очень похожи на образцы, раскрытые в 2021 году. Жертвы в основном находятся в Кашмире и других частях Индии, среди них есть государственные служащие и военные. APT-организация Confucius продолжает оставаться активной угрозой, поэтому важно сохранять бдительность и предпринимать необходимые меры для защиты от подобных атак.

#ParsedReport #CompletenessMedium
14-09-2023

Tatar-Language Users in the Crosshairs of Python Screenshotter

https://cyble.com/blog/tatar-language-users-in-the-crosshairs-of-python-screenshotter

Report completeness: Medium

Actors/Campaigns:
Ta866 (motivation: financially_motivated)

Threats:
Wasabiseed
Rhadamanthys
Cobalt_strike
Beacon

Victims:
Tatar language-speaking users primarily located in a particular region of russia

Geo:
Tatarstan, Germany, Russia

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 1
Url: 1
Hash: 7

Soft:
pyinstaller, task scheduler

Algorithms:
sha1, sha256, zip, base64

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 6, windows: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания CRIL выявила вредоносную кампанию, направленную на татароязычных пользователей в России, и предупредила пользователей о необходимости остерегаться фишинговых писем, использовать защитные решения и проявлять осторожность при предоставлении конфиденциальных данных в Интернете. Эта кампания демонстрирует изощренность и настойчивость угроз, направленных на компрометацию пользовательских систем.
-----

Компания CRIL выявила вредоносную кампанию, направленную на пользователей, говорящих на татарском языке, преимущественно в России. Атака начинается с фишингового письма, содержащего вложение или URL-адрес, который приводит к загрузке RAR-файла с иконкой, посвященной празднованию Дня Республики. Этот файл содержит как легитимные видеофайлы, так и замаскированный вредоносный исполняемый файл, созданный с помощью PyInstaller и имеющий SHA256-хэш 285c078e9c79e395a735567431de91544c164cc99a52e09104b439b75d7d4b23. После выполнения на экран выводится изображение в base64-кодировке, содержащее сообщение на татарском языке, а в фоновом режиме запускается вредоносный PowerShell-скрипт. Этот скрипт загружает и исполняет вредоносные файлы из Dropbox, а затем снимает и отправляет на FTP-сервер скриншоты экрана машины-жертвы.

Эта кампания похожа на другие, ранее замеченные компанией Proofpoint, которые проводились TA866, финансово мотивированным угрожающим агентом. В этих кампаниях были развернуты такие вредоносные полезные нагрузки, как WasabiSeed и Screenshotter. Кроме того, в некоторых случаях Proofpoint отмечала активность после эксплойта с участием AHK Bot и Rhadamanthys Stealer. Данная кампания демонстрирует изощренность и настойчивость угроз, направленных на компрометацию пользовательских систем.

CRIL предупредил пользователей о необходимости остерегаться фишинговых писем и не открывать подозрительные вложения. Они также должны использовать такие средства защиты, как межсетевые экраны, программы защиты от вредоносного ПО и веб-фильтры, и следить за тем, чтобы их системы регулярно обновлялись последними исправлениями. Кроме того, пользователям следует помнить о наличии злоумышленников и проявлять осторожность при предоставлении конфиденциальных данных в Интернете.

#ParsedReport #CompletenessLow
14-09-2023

Downloader Disguised With Contents on Violation of Intellectual Property Rights (Detected by MDS)

https://asec.ahnlab.com/en/57001

Report completeness: Low

Threats:
Mainbot
Trojan/win.agent.c5478091
Malware/win.generic.c5479395

Geo:
Taiwan, Korea

IOCs:
File: 6
Url: 1
Registry: 1
Hash: 2

Soft:
telegram, microsoft edge

Algorithms:
base64

Win API:
WmiMonitorBasicDisplayParams

#ParsedReport #CompletenessLow
14-09-2023

PSA: Ongoing Webex malvertising campaign drops BatLoader

https://www.malwarebytes.com/blog/threat-intelligence/2023/09/ongoing-webex-malvertising-drops-batloader

Report completeness: Low

Threats:
Batloader
Danabot
Cloaking_technique

Geo:
Mexico

IOCs:
Domain: 3
IP: 3
Hash: 2

Soft:
openssl

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Малвертайзинг - это растущая угроза, направленная на корпоративных пользователей и использующая преимущества поисковых систем, таких как Google. Для защиты от этой угрозы организациям требуются не только традиционные антивирусные решения. Обнаружение и реагирование на конечных точках (EDR) в сочетании с управляемым сервисом обнаружения и реагирования может обеспечить комплексную защиту, необходимую для обнаружения и предотвращения атак с использованием вредоносной рекламы.
-----

Малвертайзинг - это разновидность вредоносной рекламы, при которой угрожающие лица используют легитимную рекламу для распространения вредоносного ПО. В данном случае вредоносной рекламе подверглись корпоративные пользователи, искавшие популярное программное обеспечение для проведения веб-конференций Webex. Реклама выглядела вполне легитимной, поскольку использовала логотип Webex и показывала официальный сайт. Однако рекламодателем выступал некий человек из Мексики, не имеющий отношения к компании Cisco.

Вредоносная полезная нагрузка представляла собой загрузчик типа BatLoader, предназначенный для обхода обнаружения. BatLoader использовался для загрузки вторичной полезной нагрузки, DanaBot, которая уже была обнаружена без сигнатур с помощью "облачной" платформы безопасности Nebula компании Malwarebytes для предприятий.

Вредоносная реклама - это растущая угроза, которая продолжает нацеливаться на корпоративных пользователей, используя возможности поисковых систем, таких как Google. Поскольку вредоносная реклама выглядит вполне легитимно, можно не сомневаться, что люди будут нажимать на нее и посещать небезопасные сайты. Для защиты от этой угрозы организациям требуются не только традиционные антивирусные решения. Обнаружение и реагирование на конечных точках (EDR) в сочетании с управляемой службой обнаружения и реагирования может обеспечить комплексную защиту, необходимую для обнаружения и предотвращения атак, связанных с вредоносной рекламой.

#ParsedReport #CompletenessMedium
14-09-2023

HiddenGh0st malware attacking MS-SQL servers

https://asec.ahnlab.com/ko/57028

Report completeness: Medium

Threats:
Hiddengh0st
Gh0st_rat
Cringe_rat
Remcos_rat
Atmosphere
Mimikatz_tool
Purplefox
Cloaking_technique
Malware/win32.rl_generic.r356012
Trojan/win.generic.c4446276
Malware/mdp.behavior.m29

Victims:
Ms-sql servers, improperly managed ms-sql servers, database servers, qq messenger users

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1053, T1016, T1082, T1036, T1060, T1083, T1089, T1158, T1497, have more...

IOCs:
Hash: 4
File: 11
Registry: 3
Command: 2
Path: 2
IP: 1
Domain: 1

Soft:
ms-sql, mysql, internet explorer, windows kernel

Algorithms:
zip

Functions:
GetMP, ObRegisterCallbacks, PsSetCreateProcessNotifyRoutineEx, CmRegisterCallbackEx, NtLoadDriver

Win API:
DefineDosDeviceA

Win Services:
BITS, rvice

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Gh0st RAT - это вредоносное программное средство, обычно используемое для атак на серверы MS-SQL, с вариантом, известным как HiddenGh0st, который может похищать информацию об учетной записи и включает в себя различные команды.
-----

Gh0st RAT - это вредоносное программное средство, разработанное китайскими злоумышленниками и широко используемое для атак на серверы MS-SQL. Это один из самых распространенных вариантов вредоносного ПО, на который приходится 29,0% атак, согласно статистике за второй квартал 2023 года. Распространяется вариант Gh0st RAT, известный как HiddenGh0st, который устанавливает скрытый руткит, имеющий открытый исходный код и доступный на GitHub для сокрытия и защиты вредоносного ПО, отвечающего за функцию бэкдора. Данный вариант включает функцию кражи учетной информации и поддерживает различные команды, такие как удаление кэша Internet Explorer, открытие и закрытие CD-ROM, скрытие панели задач, изменение положения левой и правой кнопок мыши.

#ParsedReport #CompletenessMedium
14-09-2023

Konni APT exploits WinRAR vulnerability (CVE-2023-38831) to attack the digital currency industry for the first time

https://paper-seebug-org.translate.goog/3032/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Scarcruft
Lazarus

Threats:
Uac_bypass_technique

Industry:
Military, Financial

Geo:
Korean, Koreas, Korea

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1546.001, T1190, T1068, T1086.001, T1117, T1203, T1075, T1218.002

IOCs:
File: 13
Domain: 2
Registry: 2
Command: 1
Hash: 1

Algorithms:
aes, base64

Languages:
php

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
code: 21, windows: 3, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа перспективной разведки угроз Chuangyu 404 недавно опубликовала отчет о результатах исследования, в котором подробно описаны методы, используемые северокорейской группировкой Konni для атак на операции с цифровыми валютами. Для осуществления атаки Konni использовала уязвимость WinRAR (CVE-2023-38831) и вредоносную полезную нагрузку. Атака использовалась для установки дополнительных вредоносных программ, кражи учетных данных и проведения DDoS-атак.
-----

Группа перспективной разведки угроз Chuangyu 404 недавно выпустила исследовательский отчет под названием "Провокационная эскалация крупномасштабных совместных военных учений Южной Кореи и США?". В этом отчете подробно описаны методы, используемые поддерживаемой Северной Кореей группировкой Konni для атак на операции с цифровыми валютами, часто осуществляемые организацией Lazarus. В этой атаке Konni использовала уязвимость WinRAR (CVE-2023-38831), которая была недавно раскрыта компанией Group-IB.

Образец атаки имел имя wallet_Screenshot_2023_09_06_Qbao_Network.rar, и при нажатии жертвой на HTML-файл в сжатом файле выполнялась вредоносная полезная нагрузка. Краткий анализ уязвимости CVE-2023-38831 определял наличие или отсутствие сеанса удаленного подключения и, если таковой имелся, запускал файл trap.bat. Если такового не было, то определялось, является ли текущая система Win10 или нет, при этом Num устанавливался равным 4, если да, и 1 в противном случае. Затем он проверял, является ли система 64-битной, и выполнял wpnprv64.dll или wpnprv32.dll соответственно. Далее использовалась функция экспорта "IIIIIIIII", содержащая основной вредоносный код и выбирающая различные методы обхода UAC в соответствии с переданными параметрами.

При установке входящего параметра в значение 4 для осуществления обхода UAC использовались технологии подмены AppInfo RPC и PPID и запускался файл trap.bat. Далее на примере программы x64 выполнялся rdssvc.dll (Konni RAT). Она считывала файл rdssvc.dat и расшифровывала из него адрес C2. Этот C2-адрес использовался для установления соединения между атакующим и целевой машиной. Затем атака могла быть использована для установки дополнительных вредоносных полезных нагрузок, кражи учетных данных и проведения DDoS-атак.

#ParsedReport #CompletenessMedium
14-09-2023

New Python NodeStealer Goes Beyond Facebook Credentials, Now Stealing All Browser Cookies and Login Credentials

https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing-all-browser-cookies-and-login-credentials

Report completeness: Medium

Threats:
Nodestealer
Doorway

Victims:
Facebook business accounts with bogus facebook messages with a malicious file attached

Geo:
America

IOCs:
Domain: 1
Path: 1
File: 6
Url: 9
Hash: 5

Soft:
telegram, chrome, google chrome, microsoft edge, opera

Algorithms:
zip

Languages:
javascript, python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Netskope Threat Labs отслеживает кампанию, которая использует вредоносный файл-вложение для кражи cookies и учетных данных Facebook, а также данных из нескольких браузеров.
-----

Компания Netskope Threat Labs отслеживает кампанию, направленную на бизнес-аккаунты Facebook с помощью фальшивых сообщений, содержащих вложение с вредоносным файлом. Этот вредоносный файл представляет собой новый вариант NodeStealer на базе Python, целью которого является кража cookies и учетных данных Facebook, а также данных из нескольких браузеров. Вредоносный файл представляет собой пакетный файл, который при открытии с кодировкой UTF-8 загружает два zip-файла с вредоносного домена. Эти zip-файлы содержат интерпретатор Python, библиотеки и полезную нагрузку вредоносной программы. Вредоносная программа запускает Powershell для загрузки вредоносного Python-скрипта с именем project.py. Этот скрипт собирает IP-адрес пользователя, код страны, файлы браузера Google Chrome (Login Data, Cookies и Local State), а также файлы cookie с других сайтов. Все собранные файлы затем эксфильтрируются с помощью Telegram.

#technique
S4UTomato - Escalate Service Account To LocalSystem via Kerberos

https://paper-seebug-org.translate.goog/3034/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#ParsedReport #CompletenessHigh
15-09-2023

Threat Group Assessment: Turla (aka Pensive Ursa). Additional References

https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment

Report completeness: High

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Tomiris

Threats:
Mispadu
Wildfire
Capibar
Carbon
Agent_btz
Crutch
Turla_silentmoon
Quietcanary
Tinyturla
Uroburos
Kazuar
Kopiluwak
Sunburst
Perseus
Topinambour
Gazer
Dll_hijacking_technique
Process_injection_technique

Victims:
Various government entities, embassies, military organizations, education, research and pharmaceutical companies

Industry:
Financial, Military, Healthcare, Education, Government

Geo:
Asia, Russian, Ukrainian, Ukraine

TTPs:
Tactics: 12
Technics: 0

IOCs:
File: 5
Path: 1
Hash: 39
Url: 13
Domain: 13
IP: 4

Soft:
macos

Algorithms:
sha256, rc4

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, code: 4, schema: 6, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Pensive Ursa - российская APT-группа, созданная ФСБ и обладающая широким набором вредоносных инструментов и технологий, которые нанесли значительный ущерб организациям всех размеров и отраслей. Для защиты от Pensive Ursa и других APT-групп организациям необходимо уделять приоритетное внимание комплексным стратегиям безопасности и инвестировать в многоуровневые меры защиты.
-----

Группа перспективных постоянных угроз (APT) Pensive Ursa - это российская группа, работающая под руководством ФСБ и известная своими целенаправленными вторжениями и инновационной скрытностью. Группа действует как минимум с 2004 года, атакуя жертв в более чем 45 странах мира, а также в самых разных отраслях, включая государственные структуры, посольства и военные организации, а также образовательные, исследовательские и фармацевтические компании. Эта группа была выбрана в качестве объекта оценки MITRE ATT&CK 2023 года в связи с ее глобальным воздействием.

Мы изучили 10 основных типов вредоносных программ в арсенале Pensive Ursa и проследили их исполнение через призму продукта Cortex XDR компании Palo Alto Networks. К ним относятся Capibar (он же DeliveryCheck, GAMEDAY), Kazuar, Snake, Kopiluwak, QUIETCANARY/Tunnus, Crutch, ComRAT, Carbon, HyperStack и TinyTurla. Для каждого типа вредоносных программ приводится краткое описание и анализ, а также способы обнаружения и предотвращения угроз с помощью Cortex XDR.

Впервые Capibar был замечен в 2022 году и распространялся по электронной почте в виде документов с вредоносными макросами. Он предназначен для персистенции через запланированное задание, которое загружает и запускает полезную нагрузку в памяти. Kazuar предоставляет полный доступ к скомпрометированным системам и обладает мощным набором команд. Snake - наиболее сложный инструмент в наборе инструментов Pensive Ursa, используемый для достижения персистентности и эксфильтрации данных. QUIETCANARY - легкий бэкдор, написанный на .NET, способный выполнять различные команды и применяющий RC4-шифрование для защиты C2-коммуникаций. Вредоносная программа Kopiluwak распространяется в виде многослойной полезной нагрузки на JavaScript и собирает начальную профильную информацию об инфицированной машине. Crutch был обнаружен в декабре 2020 года и представляет собой бэкдор второго уровня, стойкость которого достигается за счет перехвата DLL. ComRAT - один из самых старых бэкдоров Pensive Ursa, впервые обнаруженный в 2007 году и разработанный на языке C++. Carbon - фреймворк с возможностями P2P-коммуникаций, используемый для отправки команд другим зараженным машинам в пораженной сети. HyperStack - бэкдор RPC, впервые обнаруженный в 2018 году и использовавшийся в операциях, направленных против государственных структур в Европе. Наконец, вредоносная программа TinyTurla была впервые обнаружена компанией Talos в 2021 году и устанавливается как служба под названием Windows Time Service.

Оповещения Cortex XDR сопоставляются с системой MITRE ATT&CK и содержат информацию о тактике и технике, связанной с угрозой. Деятельность и арсенал, связанные с "Урсой", вызвали в Cortex XDR многочисленные тревоги, которые были сопоставлены с тактикой и техникой, указанными в MITRE ATT&CK.

Потенциальный ущерб от APT-атаки Pensive Ursa может быть весьма значительным. Последствия не ограничиваются только финансовыми потерями и утечкой данных, но и возможностью проникновения атаки в критически важную инфраструктуру, что может иметь последствия для национальной безопасности и геополитики. Таким образом, каждая организация, независимо от ее размера и отрасли, должна уделять приоритетное внимание комплексным стратегиям безопасности и инвестировать в многоуровневые меры защиты, чтобы противостоять растущей угрозе APT-групп, подобных Pensive Ursa.

#ParsedReport #CompletenessMedium
15-09-2023

Covert Delivery of Cobalt Strike Beacon via Sophos Phishing Website. Overview

https://cyble.com/blog/covert-delivery-of-cobalt-strike-beacon-via-sophos-phishing-website

Report completeness: Medium

Threats:
Cobalt_strike
Beacon
Typosquatting_technique

Victims:
Sophos

TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 1
File: 4
IP: 1
Hash: 1

Soft:
internet explorer

Algorithms:
aes, gzip, sha256, base64, sha1

Functions:
click, AddScript, BeginInvoke

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Cyble Research & Intelligence Labs (CRIL) обнаружила опечатанный домен Sophos, который запускает загрузку вредоносного загрузчика .Net, содержащего маяк Cobalt Strike. Эта техника повышает уклончивость вредоносной программы, выполняя скрипты без порождения новых процессов и сохранения их на диске, что снижает вероятность обнаружения.
-----

Компания Cyble Research & Intelligence Labs (CRIL) обнаружила опечатанный домен компании Sophos - sopbos . com - с помощью поиска на VirusTotal. Этот фишинговый сайт выдает себя за установку Sophos Home, возможно, с помощью фишингового письма или рекламы, содержащей ссылку. При посещении сайта пользователь инициирует загрузку вредоносного .Net-загрузчика, не требующего никакого взаимодействия с пользователем. Этот загрузчик содержит встроенный сценарий PowerShell, который использует runspace для выполнения и развертывания маяка Cobalt Strike, создающего обратную TCP-оболочку.

JavaScript-код на фишинговом сайте при загрузке инициирует загрузку вредоносной программы. Он декодирует исполняемый файл в Base64-кодировке и сохраняет его в блобе. В зависимости от браузера пользователя он либо напрямую сохраняет или открывает блоб с помощью window.navigator.msSaveOrOpenBlob, либо динамически генерирует элемент якоря и имитирует событие щелчка мыши. Загружаемый файл представляет собой 64-разрядный двоичный файл .Net, использующий runspace для выполнения встроенного кода PowerShell. Этот код расшифровывает и выполняет финальный сценарий PowerShell - маяк Cobalt Strike, который создает обратную оболочку с IP-адресом, закодированным в шестнадцатеричном формате.

Cobalt Strike использовался агентами угроз (АУ) для распространения различных полезных нагрузок, включая программы-вымогатели и троянские программы удаленного доступа (RAT). Однако из-за недоступности C&C-сервера не удалось определить, какую именно полезную нагрузку собирались распространить TA. Несмотря на это, следует отметить, что для выполнения сценариев PowerShell через runspace во вредоносной программе использовался загрузчик .Net. Эта техника повышает уклончивость вредоносной программы, поскольку скрипты выполняются без порождения новых процессов и сохранения на диске, что снижает вероятность их обнаружения.

#ParsedReport #CompletenessLow
15-09-2023

Spreading of malicious LNK impersonating the National Tax Service

https://asec.ahnlab.com/ko/57088

Report completeness: Low

Threats:
Quasar_rat
Amadey
Infostealer/bat.generic.s2319
Trojan/bat.runner.sc192407

Geo:
Korean

IOCs:
File: 19
Url: 4
Hash: 7

Algorithms:
zip