#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Conti - это киберпреступная группировка, связанная с кампанией Akira ransomware, которая направлена на малые и средние предприятия и попала под санкции правительств США и Великобритании. Выплата выкупа может рассматриваться как финансирование терроризма, поэтому жертвам следует рассмотреть другие варианты борьбы с атакой.
-----

Группа Conti - это киберпреступная группировка, действующая с 2022 года и не прекращающая своих кампаний. В феврале и сентябре 2023 года правительства США и Великобритании ввели санкции против нескольких членов группы Conti, официально приписав их к российским угрозам. В марте 2023 года появилась новая кампания по распространению вымогательского ПО под названием Akira, которая с тех пор стремительно развивается, скомпрометировав по меньшей мере 63 жертвы с требованиями выкупа от 200 тыс. до миллионов долларов США.

Вымогательское ПО Akira в основном нацелено на малые и средние предприятия в таких отраслях, как образование, финансовые услуги, производство, профессиональные услуги и здравоохранение. Первая версия Akira была написана на языке C++ и добавляла файлы с расширением .akira, а более поздняя версия была переписана на языке Rust и добавляла файлы с расширением .powerranges. Начальным вектором доступа для Akira обычно является брутфорсинг VPN-устройств Cisco с однофакторной аутентификацией. Получив доступ к цели, операторы используют сайт Tor Negotiation в стиле Green MS-DOS для переговоров со своими жертвами, и в случае отказа жертва попадает в список DLS Akira.

Conti и Akira - это двойные группы вымогательских программ-рансомов, нацеленные на один и тот же тип жертв и использующие схожую тактику. Были выявлены сходства в коде, а также одинаковый арсенал инструментов, используемых раз за разом. Кроме того, блокчейн-анализ биткойн-транзакций Akira показал, что средства выкупа как минимум в трех случаях отправлялись на адреса, связанные с известными кошельками Conti. Эти данные позволяют с высокой степенью уверенности утверждать, что операторы, стоящие за вымогательским ПО Akira, связаны с компанией Conti.

Выплата выкупа в таких случаях не только наносит финансовый ущерб, но и может рассматриваться как финансирование терроризма. Руководители компаний-жертв должны понимать последствия оплаты услуг российской киберпреступной группировки, находящейся под санкциями, и рассмотреть другие варианты борьбы с атакой.

#rstcloud
- Мы упаковали вытаскиваемые из TI-отчетов данные в STIX-формат.
- В первой версии в STIX присутствуют почти все объекты, которые мы умеем вытаскивать из отчетов + саммари отчета на русском.
- Запилили первую версию коннектора для OpenCTI.

Больше деталей будет на этой неделе.

#ParsedReport #CompletenessLow
19-09-2023

Cisco Talos Intelligence Blog. New ShroudedSnooper actor targets telecommunications firms in the Middle East with Novel Implants

https://blog.talosintelligence.com/introducing-shrouded-snooper

Report completeness: Low

Actors/Campaigns:
Shroudedsnooper
Lightbasin
Red_delta
Volatile_cedar
Muddywater

Threats:
Httpsnoop
Pipesnoop
Plugx_rat
Dll_hijacking_technique

Victims:
Telecommunications providers in the middle east

Industry:
Logistic, Telco, Government

Geo:
Chinese, Afghanistan, Asia, Middle-east, Israeli

ChatGPT TTPs:
do not use without manual check
T1543.001, T1486, T1071.001, T1543.002, T1546.004, T1046, T1543.003

IOCs:
File: 1

Soft:
officetrack

Algorithms:
xor, base64

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2023/09

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Cisco Talos обнаружила новое семейство вредоносных программ под названием HTTPSnoop, предназначенное для телекоммуникационных провайдеров на Ближнем Востоке и маскирующееся под легитимные компоненты защитного ПО. Он используется для получения первоначального доступа к серверам, выходящим в Интернет, а родственный ему имплант PipeSnoop может принимать произвольный шелл-код из именованного канала и исполнять его на зараженной конечной точке.
-----

Недавно специалисты Cisco Talos обнаружили новое семейство вредоносных программ под названием HTTPSnoop, предназначенное для атак на операторов связи на Ближнем Востоке. Вредоносная программа, состоящая из DLL- и EXE-версий, маскируется под легитимные компоненты защитного ПО, что затрудняет ее обнаружение. В его основе лежит новая технология, позволяющая взаимодействовать с драйверами и устройствами ядра Windows HTTP, прослушивать входящие запросы на определенные URL-адреса HTTP(S) и выполнять их на зараженной конечной точке. Также был обнаружен родственный HTTPSnoop имплант PipeSnoop, который может принимать произвольный шелл-код из именованного канала и исполнять его на зараженной конечной точке. Этот набор вторжений получил название ShroudedSnooper.

Судя по шаблонам HTTP-адресов, используемых имплантами, например, имитирующим платформу Exchange Web Services (EWS) компании Microsoft, вероятно, злоумышленники используют серверы, выходящие в Интернет, и применяют HTTPSnoop для получения первоначального доступа. Телекоммуникационные компании уже давно являются объектом атак со стороны государственных структур и изощренных противников. Компании CrowdStrike, McAfee, Recorded Future, Clearsky и Symantec сообщали об атаках, направленных на телекоммуникационные компании по всему миру.

Вредоносная DLL при активации XOR-декодирует конфигурацию и шелл-код Stage 2 и запускает его. Эта стадия 2 представляет собой однобайтовый XOR-декодированный шелл-код бэкдора, который открывает хэндл к \Device\Http\Communication и вызывает HTTP-драйвер API http.sys!UlCreateServerSession. Вредоносная программа прослушивает входящие HTTP-запросы, содержащие сконфигурированное ключевое слово. В качестве полезной нагрузки, получаемой от оператора, выступает произвольный шелл-код. Конечный результат выполнения произвольного шелл-кода возвращается запросчику в виде блоба с XOR-кодировкой в формате base64.

PipeSnoop - еще один имплант, созданный в мае 2023 года и предназначенный для запуска на зараженной конечной точке произвольного полезного кода shellcode путем чтения из IPC-трубы. В основном он используется в связке с другим компонентом, способным передать ему необходимый шелл-код. Вероятно, он предназначен для работы на скомпрометированном предприятии, а не на публичных серверах, таких как HTTPSnoop.

HTTPSnoop обычно настраивается на привязку к определенным HTTP-адресам на конечной точке для прослушивания входящих полезных нагрузок шелл-кода. Эти URL-адреса напоминают URL-адреса API - продукта, позволяющего приложениям получать доступ к элементам почтового ящика. Также было замечено, что импланты прослушивают шаблоны URL, которые создают впечатление, что зараженная система является сервером, на котором установлено приложение OfficeTrack, разработанное компанией OfficeCore, и предоставляющее услуги израильской телекоммуникационной компании.

#ParsedReport #CompletenessLow
19-09-2023

Multi-year Chinese APT Campaign Targets South Korean Academic, Government, and Political Entities

https://www.recordedfuture.com/multi-year-chinese-apt-campaign-targets-south-korean-academic-government-political-entities

Report completeness: Low

Actors/Campaigns:
Tick
Kimsuky
Scarcruft

Threats:
Revbshell
Korlia

Victims:
South korean academic, political, and government organizations, japanese, and russian organizations

Industry:
Education, Aerospace, Military, Government

Geo:
Chinese, Japanese, Taiwan, Korea, Korean, Japan, Indo-pacific, Russian, Russia, China

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TAG-74 - спонсируемая китайским государством группа, связанная с китайской военной разведкой. Группа атакует южнокорейские организации с целью получения интеллектуальной собственности и расширения влияния Китая в мире. Для проникновения в организации они используют различные ТТП, в том числе файлы .chm и пользовательские бэкдоры. Недавняя напряженность в отношениях между Китаем и Южной Кореей повысила вероятность того, что TAG-74 активизирует свою деятельность по сбору разведданных.
-----

TAG-74 - это долгосрочная кампания кибершпионажа, ответственность за которую возлагается на китайские государственные структуры. Основной целью TAG-74 является проникновение в южнокорейские научные, политические и правительственные организации с целью кражи интеллектуальной собственности и расширения влияния Китая в мире. Эта деятельность соответствует стремлению Китая получить преимущество в конкурентной борьбе с США и их союзниками в Индо-Тихоокеанском регионе. TTP, используемые TAG-74, включают в себя файлы .chm для запуска цепочек выполнения перехвата порядка поиска DLL и использование пользовательских бэкдоров, известных как ReVBShell и Bisonal. Упорство TAG-74 в атаках на южнокорейские организации и ее вероятное оперативное взаимодействие с командованием Северного театра военных действий позволяет предположить, что группа продолжит работу по сбору разведданных в Южной Корее, Японии и России. Поскольку использование файлов .chm получило широкое распространение среди угроз в последние годы, организациям следует быть внимательными и отслеживать их наличие.

Китайская государственная группа TAG-74, связанная с китайской военной разведкой, вызывает серьезную озабоченность у многих научных, аэрокосмических и оборонных, правительственных, военных и политических структур Южной Кореи, Японии и России. Мотивы шпионской деятельности TAG-74 обусловлены прежде всего региональной близостью и стратегической ролью Южной Кореи в конкурентной борьбе Китая с США и их региональными союзниками в Индо-Тихоокеанском регионе. Недавняя напряженность в отношениях между Китаем и Южной Кореей возникла из-за более тесных связей Южной Кореи с США и ее предполагаемого вмешательства в дела Тайваня, а также в связи со стремлением США и Японии сдерживать Китай. Таким образом, ожидается, что TAG-74 активизирует свою деятельность по сбору разведданных, которая уже направлена на поддельные домены и ложные документы, связанные с межкорейским сотрудничеством, с целью получения информации для формирования своих дипломатических и деловых отношений с южнокорейскими структурами.

Для проникновения в южнокорейские организации TAG-74 использует несколько тактик, методик и процедур (ТТП). Во-первых, они используют файлы .chm, которые запускают цепочку выполнения перехвата порядка поиска DLL для загрузки адаптированной версии VBScript-бэкдора ReVBShell. Кроме того, для расширения возможностей после получения первоначального доступа через ReVBShell используется пользовательский бэкдор, известный как Bisonal. Более того, сотрудничество между TAG-74 и другой близкородственной группой, Tick Group, указывает на то, что данный вариант ReVBShell, скорее всего, является общим для этих двух групп.

#ParsedReport #CompletenessMedium
19-09-2023

Fake CVE-2023-40477 Proof of Concept Leads to VenomRAT. Executive Summary

https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat

Report completeness: Medium

Threats:
Venomrat
Wildfire
Whalersplonk_actor
Putty_tool
Hvnc_tool

Geo:
Emea, Japan, Apac, America

CVEs:
CVE-2023-25157 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- osgeo geoserver (<2.22.2, <2.21.4, <2.20.7, <2.19.7, <2.18.7)

CVE-2023-40477 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1170, T1564, T1036, T1486, T1133

IOCs:
Domain: 16
Hash: 314
File: 2
Url: 17
Path: 3
Coin: 1
IP: 278

Soft:
burp suite, telegram

Algorithms:
zip

Languages:
python

Links:
https://github.com/pan-unit42/iocs/blob/master/venomrat\_iocs.csv
https://github.com/whalersplonk/CVE-2023-40477

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Угрожающий агент создал поддельный PoC-код для недавно обнаруженной уязвимости WinRAR, CVE-2023-40477, который запустил цепочку заражения, в итоге установив полезную нагрузку VenomRAT. К счастью, клиенты Palo Alto Networks были защищены еще до создания поддельного PoC-кода. Исследователи обнаружили два скриншота, связанных с вредоносным видео, загруженным на Streamable, а анализ временной шкалы показал, что домен, использовавшийся в цепочке заражения, был создан до публичного обнародования уязвимости. Компания Palo Alto Networks поделилась своими результатами с членами Cyber Threat Alliance (CTA).
-----

Когда 17 августа 2023 года в рамках инициативы Zero Day Initiative было опубликовано сообщение об уязвимости удаленного выполнения кода (RCE) в WinRAR под номером CVE-2023-40477, неизвестный угрожающий агент воспользовался этой возможностью и создал поддельный PoC для новой уязвимости. Используя псевдоним whalersplonk, он разместил поддельный PoC-скрипт в своем репозитории GitHub через четыре дня после появления сообщения об уязвимости. Вредоносный скрипт был основан на общедоступном коде доказательства концепции (PoC) для уязвимости SQL-инъекции в GeoServer, отслеживаемой как CVE-2023-25157.

Поддельный PoC не использовал уязвимость WinRAR, а запускал цепочку заражения, которая в конечном итоге устанавливала полезную нагрузку VenomRAT. К счастью, клиенты Palo Alto Networks были защищены еще до создания поддельного PoC-кода с помощью WildFire и Advanced URL Filtering, поскольку домен, на котором размещались различные файлы, необходимые для заражения, был автоматически классифицирован как вредоносный.

Исследователи обнаружили два скриншота, связанных с вредоносным видео, загруженным на Streamable, которые использовались в качестве миниатюр для отображения частей ролика. На первом изображении был показан рабочий стол угрожающего агента и диспетчер задач, а на втором - архив Burp Suite, пароль 311138 и клиент PuTTY. Предполагается, что злоумышленник хотел показать, как создать вредоносный архив и использовать скрипт для эксплуатации уязвимости CVE-2023-40477 в WinRAR.

Анализ временной шкалы показал, что домен checkblacklistwords.eu, используемый в цепочке заражения, был создан как минимум за десять дней до публичной публикации уязвимости и за четырнадцать дней до фиксации поддельного PoC на GitHub. Однако поле Last-Modified в HTTP-ответе домена указывает на то, что сервер мог быть создан более чем за месяц до этого.

Компания Palo Alto Networks поделилась полученными данными с членами альянса Cyber Threat Alliance (CTA). Члены CTA используют эти данные для быстрого развертывания средств защиты своих клиентов и пресечения деятельности злоумышленников.

#ParsedReport #CompletenessHigh
19-09-2023

Unveiling the Shadows: The Dark Alliance between GuLoader and Remcos

https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Cloudeye
Remcos_rat
Amadey
Formbook
Mitm_technique
Process_hacker_tool
Tron

Industry:
Financial, E-commerce

Geo:
Italian

IOCs:
Domain: 3
File: 6
IP: 7
Hash: 38
Url: 16
Email: 1

Soft:
telegram, windows defender, nsis installer, winscp, wordpress

Algorithms:
sha256, base64

Win API:
CallWindowProcA, DbgUiRemoteBreakIn, DbgBreakPoint

Languages:
visual_basic

Links:
https://github.com/sophoslabs/IoCs/blob/master/Troj\_GuLoader.csv

#ParsedReport #ExtractedSchema

Classified images:
chats: 3, code: 5, schema: 2, windows: 13, chart: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют для вредоносных действий легитимное программное обеспечение, например Remcos RAT и GuLoader, которые продаются одним человеком. Мы обнаружили доказательства причастности EMINM к атакам с использованием этих программ и выявили адрес кошелька Tron blockchain, связанный с EMINM. Для борьбы с ними правоохранительные органы и специалисты по кибербезопасности должны объединить усилия для выявления и нейтрализации этих угроз.
-----

Киберпреступники все чаще используют легальное программное обеспечение в злонамеренных целях. Наиболее яркими примерами этого являются Remcos RAT и GuLoader, которые продаются одним человеком, знающим об их использовании в киберпреступности. С помощью программы GuLoader Remcos может обходить антивирусную защиту. Доменные имена и IP-адреса, связанные с продавцом Remcos и GuLoader, фигурируют в отчетах аналитиков по вредоносному ПО, оба продукта продаются на хакерских форумах и на сайте BreakingSecurity.net.

В 2020 году появился VGO Store - еще один сайт для продажи Remcos. VGO Store предлагает полный пакет для распространения вредоносных программ и наборы инструментов начального доступа. Они рекламируют TheProtect как инструмент для обхода защитника Windows Defender. EMINM и другой администратор VGO рекламируют TheProtect в своих группах Telegram. Предлагаются два типа шифровальных сервисов - на базе NSIS и VBS. Script Protect и Private Protect продаются по цене $7000 за 4 защищенных файла в 30-дневный период.

Анализ образцов GuLoader показал, что его основная функциональность осталась прежней - зашифрованный шелл-код. Однако методы обфускации были обновлены, и появились новые версии, в каждой из которых количество образцов старых версий уменьшается. GuLoader теперь распространяется в виде VBS-скрипта или исполняемого файла NSIS. В нем используются антиотладочные приемы, исправления функций DbgUiRemoteBreakIn и DbgBreakPoint, а также обфускация данных с помощью арифметических операций для маскировки реального потока выполнения.

Дальнейшее исследование VGO Store показало, что единственное отличие TheProtect от GuLoader заключается в том, что шелл-код встраивается в VBScript в BASE64-кодированном виде и затем помещается в реестр. Инструмент TheProtect идентичен GuLoader и продается в VgoStore. Мы также обнаружили пять образцов Formbook, C&C-серверы которых имеют адреса, связанные с EMINM.

Мы обнаружили доказательства причастности EMINM к атакам не только с использованием Remcos и GuLoader, но и других вредоносных программ, таких как Formbook и Amadey Loader. Также нам удалось определить адрес кошелька Tron blockchain, связанного с EMINM, что позволило оценить ежемесячный доход от продаж Remcos и других услуг на сайте VgoStore - 15 000 долл.

Для борьбы с киберпреступностью необходимо, чтобы правоохранительные органы, специалисты по кибербезопасности и широкая общественность объединили усилия для выявления и нейтрализации этих угроз. Эмуляция угроз Check Point обеспечивает защиту от этих угроз.

#ParsedReport #CompletenessHigh
19-09-2023

Silent Skimmer: Online Payment Scraping Campaign Shifts Targets From APAC to NALA

https://blogs.blackberry.com/en/2023/09/silent-skimmer-online-payment-scraping-campaign-shifts-targets-from-apac-to-nala

Report completeness: High

Actors/Campaigns:
Silent_skimmer (motivation: financially_motivated)
Xegroup
Hafnium

Threats:
Juicypotato_tool
Cobalt_strike
Badpotato_tool
Godzilla_loader
Sharptoken_tool
Godpotato_tool
Beacon
Sweetpotato_tool
Fastflux_technique
Lolbas_technique
Timestomp_technique
Beichendream_tool
Chinachopper
Shellcodeloader
Safetykatz_tool
Crevlcmd
Netcat_tool
Shapweb
Potato_tool

Victims:
Vulnerable web applications worldwide, particularly those in the apac and nala regions, as well as canada and the united states

Industry:
Financial

Geo:
Chinese, America, Vietnamese, Canadian, Japan, Canada, Asia, Asia-pacific, Apac

CVEs:
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)


TTPs:
Tactics: 8
Technics: 19

IOCs:
File: 14
IP: 2
Domain: 1
Url: 2
Hash: 3

Soft:
winscp, asp.net

Algorithms:
zip, base64, aes

Languages:
javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
code: 4, dump: 1, table: 1, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Кампания Silent Skimmer - это финансово мотивированная атака, направленная на уязвимые предприятия, осуществляющие онлайн-платежи в Азиатско-Тихоокеанском регионе и Северной Америке, использующая различные инструменты с открытым кодом и уязвимости веб-серверов для кражи финансовых данных. Мотивы и геолокация злоумышленников остаются неизвестными, однако они все смелее атакуют более крупные и разнообразные организации и, скорее всего, продолжат расширять сферу своего влияния в будущем.
-----

Компания BlackBerry обнаружила финансово мотивированного участника угроз, получившего название "Silent Skimmer" и нацеленного на уязвимые предприятия, занимающиеся онлайн-платежами в Азиатско-Тихоокеанском регионе (APAC) и Северной Америке (NALA).

Вектор атаки заключается в использовании уязвимостей в веб-приложениях, размещенных на Internet Information Services (IIS), с основной целью компрометации страницы оформления платежа.

Злоумышленники используют инструменты с открытым исходным кодом: бинарные файлы и скрипты Living Off the Land Binaries and Scripts (LOLBAS), BadPotato, GodPotato, SharpToken, Juicy Potato и маячки Cobalt Strike.

Злоумышленник использует легитимное программное средство Telerik UI для эксплуатации CVE-2019-18935, что может привести к удаленному выполнению кода (RCE).

Эксфильтрация осуществляется через Cloudflare с использованием функции fast flux.

Жертвы этой кампании были выявлены в различных отраслях и регионах, причем традиционно она была направлена на регион АТР, а с октября 2022 года - на Канаду и США.

Угрожающий субъект или группа, стоящая за этой кампанией, остается неизвестной, однако, скорее всего, она владеет китайским языком и живет или действует в Азии.

Техническая сложность работы кампании Silent Skimmer намекает на то, что это может быть продвинутый или опытный актер.

В будущем следует ожидать новых атак на аналогичные системы в тех же и новых регионах.

#ParsedReport #CompletenessMedium
20-09-2023

Cado Security Labs Researchers Witness a 600X Increase in P2Pinfect Traffic

https://www.cadosecurity.com/cado-security-labs-researchers-witness-a-600x-increase-in-p2pinfect-traffic

Report completeness: Medium

Threats:
P2pinfect
Abcbot_botnet
Log4shell_vuln

Industry:
Healthcare

Geo:
Singapore, Japan, Germany, Asia, China, Pacific, American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1492, T1059, T1018, T1098

IOCs:
IP: 3
Hash: 3

Soft:
redis, unix, macos

Links:
https://github.com/cado-security

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, code: 4, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи Cado Security Labs отмечают быстрый рост и изменения в ботнете P2Pinfect с момента его обнаружения в июле 2023 года. Есть предположение, что создатели ботнета намерены либо внедрить дополнительный функционал в полезную нагрузку майнера, либо продать доступ к ботнету. Исследователи Cado продолжат наблюдение за ботнетом.
-----

С июля 2023 года исследователи Cado Security Labs отмечают стремительный рост распространения P2Pinfect - нового однорангового ботнета, нацеленного на серверы, содержащие общедоступные экземпляры Redis. Вредоносная программа включает механизм самообновления, позволяющий быстро выводить обновления на серверы, поэтому исследователи Cado смогли проанализировать четыре различных варианта полезной нагрузки.

Исследователи Cado идентифицировали 219 уникальных узлов, входящих в состав ботнета P2Pinfect, при этом 59,8% IP-адресов находились в Китае, 15% - в США и 5% - в Германии. 35,3% IP-адресов принадлежали ханчжоускому отделению Alibaba, 14,4% - шэньцзенскому отделению Tencent, а 11,2% - пользователям Amazon AWS.

На одном из сенсоров honeypot, предназначенном для мониторинга P2Pinfect, исследователи Cado наблюдали 4064 события, начиная с 24 августа 2023 года. За неделю до публикации этого блога активность P2Pinfect возросла на 12,3%. Кроме того, исследователи отмечают рост активности на 60216,7% с момента обнаружения вредоносной программы.

Последние образцы P2Pinfect были обновлены для регистрации персистентности с помощью более традиционного метода cron-задания в дополнение к оригинальному методу s bash_logout. Вторичная полезная нагрузка также отвечает за поддержание жизни основной полезной нагрузки и пытается изменить пароли пользователей на строку с префиксом Pa_.

Предполагается, что те, кто стоит за ботнетом, либо ждут реализации дополнительной функциональности в полезной нагрузке майнера, либо намерены продать доступ к ботнету другим лицам или группам. Учитывая текущий размер ботнета, его географическую распространенность, способность к самообновлению и быстрый рост, для большинства угроз он может рассматриваться как выгодный актив. Исследователи Cado Security Labs продолжат наблюдение за ботнетом и получат образцы агента для дальнейшего анализа.

#ParsedReport #CompletenessLow
20-09-2023

Compromised Free Download Manager website was delivering malware for years

https://www.malwarebytes.com/blog/news/2023/09/compromised-free-download-manager-website-was-delivering-malware-for-years

Report completeness: Low

Geo:
Ukrainian

IOCs:
Hash: 4
IP: 1

Soft:
macos, android, debian, unix, ubuntu

Algorithms:
sha256

#ParsedReport #CompletenessLow
20-09-2023

Coinminer distribution process of a compromised system (EDR detection)

https://asec.ahnlab.com/ko/57145

Report completeness: Low

Threats:
Process_hollowing_technique
Xmrig_miner

IOCs:
File: 3
Hash: 2
Url: 4

Algorithms:
des, base64