#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматриваются три недавние киберпреступные кампании: FakeSG, Akira ransomware и AMOS stealer, с подробным описанием каждой из них.
-----

Криминальный ландшафт невероятно разнообразен: киберпреступники постоянно создают новые вредоносные программы для эксплуатации своих жертв. За последние месяцы исследователи изучили множество различных тем, начиная от кросс-платформенного выкупного ПО и заканчивая похитителями macOS и кампаниями по распространению вредоносного ПО. В этой статье рассматриваются три такие кампании: FakeSG, Akira ransomware и AMOS stealer.

FakeSG - это кампания по распространению RAT от NetSupport. Она имитирует печально известную кампанию по распространению SocGholish: зараженные веб-сайты отображают уведомление о том, что браузер пользователя нуждается в обновлении. При нажатии на уведомление на устройство загружается вредоносный файл, который затем создает запланированное задание для сохранения вредоносной программы, извлекает и копирует ее. Вредоносный файл конфигурации содержит адрес C2.

Akira - относительно новый вариант вымогательского ПО, впервые обнаруженный в апреле 2020 года. Он написан на C++ и заразил более 60 организаций в различных отраслях, включая розничную торговлю, потребительские товары и образование. В некоторых аспектах он похож на Conti, включая список папок, исключенных из шифрования, и функцию обфускации строк. Панель C2, используемая Akira, отличается: в ней используется старый минималистичный веб-сайт с мерами безопасности.

Впервые AMOS был обнаружен в апреле 2023 года и был доступен для аренды злоумышленникам через Telegram за 1000 долларов в месяц. Теперь он написан на языке C вместо Go и распространяется через вредоносную рекламу. Он собирает имена пользователей, пароли, файлы, данные браузера и системные пароли и отправляет их в C2 по HTTP. Основными целями являются Россия и Бразилия.

#ParsedReport #CompletenessLow
13-12-2023

Threat actors misuse OAuth applications to automate financially driven attacks

https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks

Report completeness: Low

Actors/Campaigns:
Bec (motivation: financially_motivated)
Storm-1283
Storm-1286

Threats:
Password_spray_technique
Aitm_technique
Polymorphism_technique

Industry:
Financial

Geo:
Korea, Canada, France, Poland, Australia, Japan, Brazil

ChatGPT TTPs:
do not use without manual check
T1078, T1048, T1136, T1040, T1112, T1090, T1098, T1096, T1037, T1105, have more...

IOCs:
File: 2

Soft:
Microsoft Defender, Office 365, Microsoft 365 Defender, Microsoft Outlook, Microsoft Exchange, Azure Active Directory

Languages:
powershell

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках, таких как развертывание виртуальных машин для майнинга криптовалюты, создание постоянства после компрометации деловой электронной почты и запуск спам-рассылок с использованием ресурсов и доменного имени целевой организации. Microsoft заметила различные атаки, в которых приложения OAuth используются для широкого спектра вредоносных действий, и предложила меры по уменьшению площади атаки и обнаружению вредоносной активности.
-----

OAuth - это открытый стандарт аутентификации и авторизации на основе маркеров, который позволяет приложениям получать доступ к данным и ресурсам на основе разрешений, установленных пользователем.

Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках.

Угрожающие субъекты запускают фишинговые атаки или атаки с использованием паролей, чтобы скомпрометировать учетные записи пользователей.

Компания Microsoft наблюдала различные атаки, которые использовали приложения OAuth для широкого спектра вредоносных действий.

Развертывание MFA для всех пользователей, особенно для администраторов арендаторов и учетных записей с привилегиями Azure VM Contributor, может помочь ограничить риск.

Microsoft Defender XDR обнаруживает компоненты угроз, связанные с такими действиями, как компрометация пользователя в ходе фишинговой атаки AiTM, компрометация пользователя с помощью известного фишингового набора AiTM и разведка, связанная с финансовым мошенничеством BEC.

#ParsedReport #CompletenessMedium
13-12-2023

A pernicious potpourri of Python packages in PyPI

https://www.welivesecurity.com/en/eset-research/pernicious-potpourri-python-packages-pypi

Report completeness: Medium

Threats:
W4sp
Typosquatting_technique
Billythegoat_actor
Supply_chain_technique

Victims:
Python programmers

Geo:
Ukraine

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 7
Path: 1
Coin: 1
Domain: 1
Hash: 7
IP: 1

Crypto:
bitcoin, ethereum, monero, litecoin

Algorithms:
zip

Languages:
powershell, python

Links:
https://github.com/eset/malware-ioc/tree/master/pypi\_backdoor
https://github.com/mate-desktop/mate-user-share

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Кибератакующие злоупотребили открытым исходным кодом W4SP Stealer и развернули простой бэкдор в пакетах Python на PyPI, и эти пакеты были загружены более 10 000 раз. Разработчикам Python следует быть осторожными при загрузке кода из любого публичного репозитория программного обеспечения и проверять код перед установкой на свои системы. Компания ESET приняла меры против вредоносных пакетов, и теперь они отключены.
-----

Python Package Index (PyPI) - это официальный репозиторий пакетов Python, который широко используется программистами на Python. Однако компания ESET Research обнаружила в PyPI 116 вредоносных пакетов, которые были загружены более 10 000 раз с мая 2023 года. Эти пакеты предоставляют бэкдор, способный удаленно выполнять команды, осуществлять эксфильтрацию и делать скриншоты. В некоторых случаях вместо них поставляется W4SP Stealer или монитор буфера обмена, крадущий криптовалюту, или и то, и другое.

Пакеты Python в PyPI могут принимать две формы: исходные пакеты, содержащие весь исходный код проекта, и предварительно собранные пакеты (называемые "колесами"), которые могут содержать скомпилированные модули. В некоторых случаях вредоносный код присутствует только в собранном дистрибутиве, а не в исходном коде, поэтому он устанавливается, если явно не запросить иное. Злоумышленники, стоящие за этой кампанией, использовали три техники для встраивания вредоносного кода в пакеты Python: они импортировали вредоносный тестовый модуль в исходный код основного модуля пакета, встраивали код PowerShell в файл setup.py и создавали пакеты без легитимного кода, только вредоносный код в слегка обфусцированной форме.

В Windows полезной нагрузкой обычно является пользовательский бэкдор, реализованный на Python, а в Linux - бэкдор, реализованный на Go. В некоторых случаях вместо бэкдора в качестве полезной нагрузки используется вариант печально известного W4SP Stealer или простой монитор буфера обмена, который крадет криптовалюту.

Стойкость достигается путем размещения вредоносного элемента рабочего стола в каталоге \~/.config/autostart/ в Linux. В Windows вредоносный код записывается во временные файлы, а затем запускается с помощью pythonw.exe.

PyPI не является проблемой безопасности, а программное обеспечение, работающее на нем, соответствует общепринятым лучшим практикам. Кибератакующие продолжают злоупотреблять открытым исходным кодом W4SP Stealer, а также развернули простой, но эффективный бэкдор. Разработчикам Python следует быть осторожными при загрузке кода из любого публичного репозитория программного обеспечения и тщательно проверять код перед установкой в свои системы. ESET связалась с PyPI, чтобы принять меры против вредоносных пакетов, и теперь они отключены.

#ParsedReport #CompletenessMedium
13-12-2023

UTG-Q-003: Supply Chain Poisoning of 7ZIP on the Microsoft App Store

https://ti.qianxin.com/blog/articles/UTG-Q-003-Supply-Chain-Poisoning-of-7ZIP-on-the-Microsoft-App-Store-EN

Report completeness: Medium

Actors/Campaigns:
Utg-q-003

Threats:
Supply_chain_technique
Raindrop_tool
Lumma_stealer
Redline_stealer
Amadey

Geo:
Russia, Russian, Chinese, Ukraine, China, Asia

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 4
Domain: 36

Soft:
WordPress, Chrome, Android

Algorithms:
md5, 7zip

Languages:
java, php, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 3, code: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр анализа угроз QiAnXin обнаружил вредоносное программное обеспечение в Microsoft App Store и выяснил, что злоумышленники использовали методы социальной инженерии для распространения фишинговых ссылок, чтобы заставить жертв загрузить и открыть файлы-приманки. Этот инцидент подчеркивает плохую экологию загрузки программного обеспечения в Китае и необходимость для пользователей быть более бдительными при загрузке приложений из Microsoft App Store.
-----

Специалисты Центра анализа угроз QiAnXin обнаружили необычное поведение, при котором процесс под названием WindowsPackageManagerServer инициировал незамеченный Lumma Stealer. В ходе дальнейшего расследования в Microsoft App Store был обнаружен вредоносный установочный пакет, который представлялся как русская версия программы 7zip. О вредоносной программе быстро сообщили в Microsoft и удалили ее из App Store.

Злоумышленники использовали функцию библиотеки JPHP "jurl" для загрузки последующей полезной нагрузки с удаленного сервера. Их целью была кража различных типов файлов, включая txt, doc, rdp, key, wallet, seed, lnk и т. д. Вредоносные программы были представлены семействами Redline Malware, Lumma Stealer и Amadey. Злоумышленники также создали страницу защиты от DDoS-атак Cloudflare и десять доменов, перенаправляющих на browserneedupdate.com. Они использовали методы социальной инженерии для рассылки фишинговых ссылок, чтобы заставить жертв скачать и открыть файлы-приманки.

Согласно данным телеметрии, количество загрузок вредоносного установочного пакета из Microsoft App Store значительно увеличилось с августа, что может быть связано с уязвимостью WinRAR. Отечественные поисковые системы подверглись манипуляциям со стороны черношляпных SEO-групп, что затруднило поиск официального сайта загрузки 7zip. Это привело к тому, что пользователи стали загружать 7zip из Microsoft App Store, что привело к компрометации.

Регистрационная информация доменов, использованных злоумышленниками, относится к России и Украине, но происхождение жертв остается неизвестным. В связи с этим невозможно определить соответствующую атрибуцию. В целом, этот инцидент свидетельствует о плохой экологии загрузки программного обеспечения в Китае и о том, что пользователи должны быть более бдительными при загрузке приложений из Microsoft App Store.

#ParsedReport #CompletenessLow
14-12-2023

Gaza Cybergang \| Unified Front Targeting Hamas Opposition

https://www.sentinelone.com/labs/gaza-cybergang-unified-front-targeting-hamas-opposition

Report completeness: Low

Actors/Campaigns:
Molerats (motivation: cyber_espionage)
Wirte
Aridviper
Bearded_barbie
Lastconn

Threats:
Pierogi
Micropsia
Vamp
Barbwire
Bigbang

Victims:
Israeli and palestinian entities

Industry:
Military, Government

Geo:
Ukrainian, Israel, Israeli, Syria, Palestinian

IOCs:
Domain: 20
Hash: 27

Soft:
curl

Algorithms:
base64, sha1

Languages:
pascal, python, powershell, delphi

Links:
https://github.com/Gcow-Sec/GcowPublic/blob/master/APT-C-23\_report.pdf
https://github.com/curl/curl/tree/master/lib

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Gaza Cybergang - это зонтик, состоящий из множества подгрупп, которые с конца 2021 года атакуют израильские и палестинские организации, уделяя особое внимание палестинским организациям и новым бэкдорам в их арсенале вредоносного ПО. SentinelLabs продолжает следить за деятельностью Gaza Cybergang для дальнейшего расширения коллективных знаний о динамике развития группы.
-----

Кибербанда Газы - это зонтик, состоящий из нескольких подгрупп, которые с конца 2021 года атакуют израильские и палестинские организации. В большинстве случаев используются разновидности вредоносного ПО семейства Micropsia, при этом документы-обманки пишутся на арабском языке и заманивают цели политическими темами. В феврале 2020 года бэкдор Pierogi и его инфраструктура были связаны с Arid Viper, а самый последний вариант Pierogi - Pierogi++, впервые замеченный в 2022 и 2023 годах.

Бэкдор Pierogi++ реализован на C++ и маскируется под артефакты Windows, встроенные в макросы или Base64-кодировку, взаимодействуя с сервером C2 с помощью библиотеки curl. Большинство C2-серверов зарегистрированы на Namecheap и размещены компанией Stark Industries Solutions LTD. Предполагается, что кластеры TA402, WIRTE и Gaza Cybergang связаны и пересекаются друг с другом. Последние данные указывают на использование бэкдора BarbWire в кампании, направленной на израильских чиновников в правоохранительных органах, армии и экстренных службах.

Анализ вредоносного ПО Gaza Cybergang выявил устойчивую направленность на борьбу с палестинскими организациями, причем с начала войны между Израилем и Хамасом динамика развития не претерпела существенных изменений. Группа продолжает обновлять свой арсенал вредоносного ПО, добавляя новые бэкдоры, трансформируя старые реализации в новые инструменты, обмениваясь ТТП, вредоносным ПО и жертвами, что позволяет предположить, что она представляет собой единый фронт борьбы с интересами ХАМАС.

Вполне вероятно, что группа проходит процесс консолидации, включающий формирование внутренних и/или внешних линий поставок вредоносного ПО и упорядочивание поставок от внешних поставщиков. SentinelLabs продолжает следить за деятельностью Gaza Cybergang, чтобы расширить коллективные знания о динамике развития группы и предоставить индикаторы, которые будут полезны командам безопасности, защищающим свои организации и частных лиц от атак.

#ParsedReport #CompletenessMedium
13-12-2023

Analyzing AsyncRAT's Code Injection into aspnet_compiler.exe Across Multiple Incident Response Cases. The pivot point

https://www.trendmicro.com/en_us/research/23/l/analyzing-asyncrat-code-injection-into-aspnetcompiler-exe.html

Report completeness: Medium

Actors/Campaigns:
Spalax

Threats:
Asyncrat
Avemaria_rat
Process_injection_technique
Trojan.vbs.runner.aoe
Trojan.bat.powrun.aa
Trojan.ps1.runner.gbt
3losh

Industry:
Education

IOCs:
File: 20
IP: 4
Path: 12
Url: 1
Hash: 8
Domain: 3

Soft:
ASP.NET, Google Chrome, Chrome, Windows Explorer, Windows Task Scheduler

Wallets:
bitcoincore, coinbase, coinomi, electrum, rabby, tronlink, boolwallet

Crypto:
binance

Algorithms:
zip, exhibit

Languages:
powershell

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/tree/master/AsyncRAT-C%23
https://github.com/NYAN-x-CAT/LimeLogger/blob/master/LimeLogger/LimeLogger.cs

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 4, code: 12, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: AsyncRAT - это инструмент удаленного доступа (RAT), использовавшийся в фишинговой кампании под названием Operation Spalax. Обнаружить и блокировать вредоносную деятельность с использованием AsyncRAT сложно, поэтому важно применять проактивный мониторинг и меры безопасности, чтобы снизить риск заражения и вредоносной активности.
-----

Команда MxDR недавно занималась различными делами, связанными с AsyncRAT, средством удаленного доступа (RAT) с множеством возможностей. AsyncRAT является частью фишинговой кампании под названием Operation Spalax, которая использует HTML-вложения для доставки и рефлексивные методы загрузки. Как правило, вредоносная программа приходит через спам, а после установки создает и выполняет множество сценариев PowerShell (.ps1), VBScript (.vbs) и Batch-файлов (.bat). Кроме того, она подключается к IP-адресам 208 . 95 . 112 . 1:80 (ip-api . com ) и 45 . 141 . 215.40:4782 (httpswin10 . kozow . com ).

Бэкдор AsyncRAT имеет функции защиты от отладки и анализа, установки персистентности и кейлоггинга. Фрагмент кода проверяет, включен ли кейлоггинг во встроенной конфигурации embeddedConfig . Если да, то запускается новый поток для выполнения метода startKeylogging. Код динамически выбирает хост и порт из конфигурации, что позволяет субъектам угроз часто менять адреса серверов. В нем также есть механизмы обработки ошибок, позволяющие AsyncRAT пытаться установить альтернативные соединения или вернуться к конфигурации по умолчанию. При подключении к серверу полезная нагрузка собирает информацию о клиенте, включая имена пользователей, данные о компьютере, установленное антивирусное программное обеспечение и установленные криптовалютные кошельки.

По состоянию на начало 2023 года заражения AsyncRAT сохраняются и постоянно входят в десятку лучших еженедельных трендов вредоносного ПО. Динамические DNS-сервисы, такие как No-IP и DuckDNS, часто используются для сетевой инфраструктуры, что затрудняет обнаружение и блокировку вредоносной деятельности. В ходе недавних расследований мы обнаружили C&C-домены, зарегистрированные на No-IP и Dynu Systems, Inc, которые все разрешались на IP-адрес 185 . 150 . 25 . 181. Дальнейший анализ этого IP-адреса выявил связь с хостинг-провайдером Zap-Hosting.

Сценарий Webcentral.bat инициирует выполнение PowerShell сценария, расположенного по адресу C:\Users\Public\Webcentral.ps1 , который использует параметры -NoProfile , -WindowStyle Hidden , и -ExecutionPolicy Bypass . Hash.ps1 декодирует и загружает переносимые исполняемые файлы (PE), закодированные в msg.txt и runpe.txt, инициируя выполнение aspnet_compiler.exe. Этот код предназначен для внедрения вредоносного кода, что позволяет злоумышленникам выполнять дополнительный код в контексте легитимного процесса aspnet_compiler.exe.

Учитывая постоянный и развивающийся характер таких угроз, как AsyncRAT, важно внедрить надежные службы круглосуточного мониторинга, такие как MxDR, для проактивного обнаружения и предотвращения угроз. Кроме того, применение надежных мер защиты электронной почты может помочь в блокировании заражений AsyncRAT, доставляемых через спам. Мониторинг поведения и службы веб-репутации, а также ограничение или отключение выполнения сценариев VBScript и PowerShell для определенных пользователей - все это поможет ограничить возможности злоумышленников по использованию вредоносных сценариев. Такие меры помогут предотвратить вредоносную деятельность и минимизировать последствия заражения AsyncRAT.

#ParsedReport #CompletenessLow
14-12-2023

Routers Roasting on an Open Firewall: the KV-botnet Investigation

https://blog.lumen.com/routers-roasting-on-an-open-firewall-the-kv-botnet-investigation

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Kv-botnet
Beacon
Zuo_rat
Hiatusrat
Imminentmonitor_rat

Victims:
Internet service provider, two telecommunications firms, and a u.s. territorial government entity based in guam, us judicial organization and a us organization that manages a satellite-based network

Industry:
Government, Military, Energy, Telco, Iot

Geo:
Indo-pacific, Cameroon, China, Chinese, Guam, Asia

CVEs:
CVE-2022-27997 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 2
IP: 5

Soft:
curl

Languages:
lua

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/KVbotnet\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 2, chart: 1