#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что OilRig, кибершпионская группировка из Ирана, переходит от протоколов на основе HTTP/DNS к использованию легитимных облачных провайдеров для C&C-коммуникаций в качестве способа скрыть вредоносные сообщения и замаскировать свою сетевую инфраструктуру.
-----

Исследователи ESET зафиксировали серию новых загрузчиков OilRig, использующих легитимных поставщиков облачных услуг для C&C-связи. Эти загрузчики нацелены на организации в сфере здравоохранения, производственную компанию, местную правительственную организацию и другие организации, расположенные в Израиле. Эти загрузчики использовались в нескольких кампаниях на протяжении 2022 года в рамках настойчивых попыток OilRig закрепиться во взломанных сетях.

OilRig - кибершпионская группа, действующая по меньшей мере с 2014 года и, как принято считать, базирующаяся в Иране. Ее целью являются правительства стран Ближнего Востока и различные бизнес-версии, включая химическую, энергетическую, финансовую и телекоммуникационную. Ранее она развернула кампании DNSpionage и HardPass в 2018-2020 годах, бэкдоры DanBot, Shark, Milan и Marlin в 2021 году, Solar и Mango в 2022-2023 годах, бэкдоры PowerExchange и MrPerfectionManager в 2023 году, а также SC5k (v1-v3), ODAgent, OilCheck и OilBooster.

В феврале 2022 года был обнаружен новый загрузчик OilRig, ODAgent. Этот загрузчик использует API Microsoft OneDrive для C&C-коммуникаций. Загрузчики используют "облачные" почтовые сервисы для C&C-коммуникаций, например загрузчик SampleCheck5000 (или SC5k), который использует API Microsoft Office EWS для взаимодействия с общей почтовой учетной записью Exchange. OilBooster, еще одна программа-загрузчик, использует Microsoft Graph API для доступа к общей учетной записи электронной почты Microsoft Office 365 Outlook и Microsoft Graph OneDrive API для доступа к общей учетной записи OneDrive для связи и эксфильтрации C&C.

OilRig переходит от протоколов на основе HTTP/DNS к использованию легитимных облачных провайдеров для сокрытия вредоносных сообщений и маскировки своей сетевой инфраструктуры. Все эти действия подтверждают постоянный переход на использование легитимных облачных провайдеров для связи с C&C, что позволяет скрыть вредоносную связь и замаскировать сетевую инфраструктуру группы. Постоянная разработка и тестирование новых вариантов, эксперименты с различными облачными сервисами и языками программирования, а также стремление снова и снова компрометировать одни и те же цели делают OilRig группой, за которой стоит следить.

#ParsedReport #CompletenessLow
14-12-2023

Unveiling NKAbuse: a new multiplatform threat abusing the NKN protocol

https://securelist.com/unveiling-nkabuse/111512

Report completeness: Low

Threats:
Nkabuse
Flooder

Industry:
Financial, Iot

Geo:
Mexico, Colombia, Vietnam

CVEs:
CVE-2017-5638 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache struts (2.3.5, 2.3.28, 2.3.20.2, 2.3.15, 2.3.25, 2.3.14, 2.3.13, 2.3.16, 2.3.24.2, 2.3.17, 2.3.24.1, 2.3.22, 2.3.9, 2.3.16.3, 2.3.23, 2.3.6, 2.3.24.3, 2.3.15.2, 2.3.29, 2.3.14.3, 2.3.19, 2.3.20.1, 2.3.8, 2.3.30, 2.3.7, 2.3.24, 2.3.28.1, 2.3.14.2, 2.3.20.3, 2.3.10, 2.3.15.1, 2.3.16.2, 2.3.26, 2.3.12, 2.3.27, 2.3.31, 2.3.21, 2.3.20, 2.3.11, 2.3.15.3, 2.3.16.1, 2.3.14.1, 2.5.9, 2.5.2, 2.5.10, 2.5.6, 2.5.1, 2.5.4, 2.5.7, 2.5, 2.5.5, 2.5.3, 2.5.8)


IOCs:
File: 1
Hash: 1

Soft:
Apache Struts2, crontab

Algorithms:
md5

Languages:
java

Platforms:
arm, mips, cross-platform, amd64

Links:
https://github.com/vulhub/vulhub/blob/master/struts2/s2-048/README.md

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Специалисты Глобальной группы реагирования на чрезвычайные ситуации Касперского (GERT) и GReAT выявили новую мультиплатформенную угрозу под названием NKAbuse, которая написана на языке Go и нацелена в первую очередь на настольные компьютеры Linux, но также может поражать IoT-устройства и MISP-системы. Она использует публичный протокол блокчейна NKN и обладает целым рядом возможностей, таких как флуд и бэкдор-доступ. Его отличительной особенностью является то, что он использует технологию blockchain для обеспечения надежности и анонимности.
-----

Специалисты Глобальной группы реагирования на чрезвычайные ситуации Касперского (GERT) и GReAT обнаружили новую мультиплатформенную угрозу под названием NKAbuse. Написанный на языке Go, зловред способен генерировать двоичные файлы, совместимые с различными архитектурами, и в первую очередь нацелен на настольные компьютеры Linux, хотя может также поражать IoT-устройства и MISP-системы. Вредоносная программа проникает в системы, загружая на хост жертвы имплант, который сохраняется с помощью задания cron и устанавливается в домашнюю папку хоста.

Анализ показывает, что это вредоносное ПО, скорее всего, использовалось для эксплуатации старой уязвимости, связанной с Struts2 (CVE-2017-5638 Apache Struts2), для атаки на финансовую организацию. Первоначальная атака осуществляется путем выполнения удаленного сценария оболочки, который загружает и выполняет содержимое сценария оболочки setup.sh, размещенного злоумышленником удаленно. Процесс установки проверяет тип ОС и загружает соответствующий вредоносный имплант для целевой архитектуры.

NKAbuse использует публичный протокол блокчейна NKN для осуществления своих атак и работы в качестве бэкдора в системах Linux. Он обладает широким спектром возможностей, таких как флуд и бэкдорный доступ к удаленному администрированию (RAT). Он также способен делать скриншоты зараженной машины и создавать файлы с определенным содержимым, удалять файлы из файловой системы и получать список файлов по определенному пути. Он может получить список процессов, запущенных в системе, и даже подробный список доступных сетевых интерфейсов. Кроме того, он может выполнять системные команды от имени текущего пользователя и отправлять результаты бот-мастеру.

Эта вредоносная программа отличается тем, что использует технологию блокчейн для обеспечения надежности и анонимности, что позволяет ей постоянно расширяться с течением времени без видимого центрального контроллера. Несмотря на отсутствие функции самораспространения, жертвы были обнаружены в Колумбии, Мексике и Вьетнаме. Все продукты Касперского обнаруживают эту угрозу как HEUR:Backdoor.Linux.NKAbuse.a, а пользователи закрытых отчетов Касперского Threat Intelligence Reports могут получить доступ к более подробному анализу последних версий NKAbuse.

#ParsedReport #CompletenessHigh
14-12-2023

TeamCity Intrusion Saga: APT29 Suspected Among the Attackers Exploiting CVE-2023-42793

https://www.fortinet.com/blog/threat-research/teamcity-intrusion-saga-apt29-suspected-exploiting-cve-2023-42793

Report completeness: High

Actors/Campaigns:
Duke
Backchannel_diplomacy
Bluebravo

Threats:
Graphicalproton
Netstat_tool
Opendir
Credential_dumping_technique
Mimikatz_tool
Ollydbg_tool
Phonzy
Anydesk_tool

Victims:
Us-based organization in the biomedical manufacturing industry

Industry:
Biotechnology, Education

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)


TTPs:
Tactics: 8
Technics: 22

IOCs:
File: 23
IP: 18
Command: 11
Path: 7
Url: 6
Domain: 5
Hash: 24
Registry: 3
Email: 1

Soft:
TeamCity, JetBrains TeamCity, JetBrains, curl, active directory, Microsoft Defender, Microsoft OneDrive, Windows Defender, Windows Task Scheduler

Algorithms:
sha1

Win API:
driveType, NtQueryObject

Win Services:
WebClient

Languages:
java, python, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания, занимающаяся производством биомедицинских изделий, была взломана в результате эксплуатации уязвимости TeamCity, при этом злоумышленники использовали Nuclei, эхо-команды и вредоносное ПО GraphicalProton. Команда безопасности жертвы смогла выполнить действия по сдерживанию и устранению последствий, чтобы остановить атаку.
-----

6 сентября 2023 года исследователи из Sonar обнаружили критическую уязвимость TeamCity On-Premises (CVE-2023-42793) с CVE-баллом 9.8. Эта уязвимость была добавлена в CISA's 'Known Exploited Vulnerabilities Catalog' 4 октября, а 27 сентября публичный эксплойт для этой уязвимости был выпущен компанией Rapid7. Это побудило команду FortiGuard Incident Response (IR) отправить вежливое уведомление организации, которая была скомпрометирована из-за этой уязвимости.

Пострадавшей организацией была американская компания по производству биомедицинских изделий, и первоначальный доступ к ней был получен в результате эксплуатации уязвимости CVE-2023-42793 TeamCity с помощью специально разработанного скрипта эксплойта, написанного на языке Python. Постэксплоит выявил наличие вредоносного ПО GraphicalProton, используемого APT29. Команда IR обнаружила шаблон Nuclei (CVE-2023-42793.yaml), предназначенный для выявления наличия уязвимости TeamCity, в официальном репозитории шаблонов Nuclei, что указывает на использование злоумышленниками сканера уязвимостей Nuclei с открытым исходным кодом.

Первым действием, приписываемым основному субъекту угрозы, было выполнение команды echo, что указывает на возможность использования Nuclei для идентификации потенциальных жертв. Последующие команды использовались для сбора информации о системе и привилегиях, а для доступа в среду второй жертвы был установлен SSH-сертификат. Основной участник угрозы также попытался загрузить вредоносный DLL-файл 'AclNumsInvertHost.dll.', который соответствовал правилу Yara для известного семейства вредоносных программ под названием 'GraphicalProton'. Злоумышленники использовали несколько легитимных программ и применяли различные техники латерального перемещения, такие как создание RDP-соединения и сброс учетных данных активной директории. Для поддержания устойчивости вредоносные файлы создавались с помощью запланированных задач.

Команда безопасности жертвы смогла выполнить действия по сдерживанию и устранению последствий, и в дальнейшем вредоносная активность не наблюдалась. Отдельный участник угрозы также попытался загрузить и выполнить исполняемый файл из ведра Amazon S3 и установил на HOST_1_TEAMCITY легитимное программное обеспечение для удаленного доступа AnyDesk с автозапуском при загрузке и включенным параметром --silent. Затем угрожающий агент установил пароль на AnyDesk и выполнил его с параметром --get-id' для получения идентификатора AnyDesk.

#ParsedReport #CompletenessHigh
15-12-2023

Opening a Can of Whoop Ads: Detecting and Disrupting a Malvertising Campaign Distributing Backdoors. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/detecting-disrupting-malvertising-backdoors

Report completeness: High

Actors/Campaigns:
Unc2975 (motivation: information_theft)
Unc3379
Wayback
Unc5085
Unc4962
Unc5051
Unc2500
Unc4393
Unc2956

Threats:
Danabot
Darkgate
Paperdrop
Papertear
Cloaking_technique
Screengrab
Junk_code_technique

Industry:
Government, Financial

TTPs:

IOCs:
Domain: 24
Url: 13
Path: 29
File: 25
IP: 11
Command: 2
Hash: 8

Soft:
curl, Windows Installer, Wininet API, Microsoft Edge, Internet Explorer, Windows service, Windows registry, outlook

Algorithms:
zip, md5

Functions:
Sleep

Win API:
decompress, ConvertStringSecurityDescriptorToSecurityDescriptorW

Languages:
delphi, autoit, visual_basic

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Mandiant выявила вредоносную рекламную кампанию, использующую невостребованные средства в качестве темы для заманивания жертв на загрузку вредоносного ПО, и приняла меры по защите пользователей в экосистеме Google с помощью своей команды по поиску угроз Managed Defense.
-----

Компания Mandiant обнаружила вредоносную рекламную кампанию, использующую тему невостребованных средств для заманивания жертв на загрузку вредоносного ПО. Вредоносное ПО включает бэкдоры DANABOT и DARKGATE, программы-загрузчики PAPERDROP и PAPERTEAR, двоичные файлы cURL, файлы .msi, исполняемые файлы AutoIt и вредоносные скрипты AutoIt. Эти вредоносные субъекты используют гранулярный контроль, чтобы нацелиться на определенную аудиторию, и были замечены в результатах поисковых систем, сообщениях в социальных сетях, рекламных платформах Microsoft и Google.

Первая цепочка заражения начинается со сценария Visual Basic, который запускает событие выполнения процесса и создает путь к временной папке. Затем загрузчик PAPERDROP подключается к IP-адресу через порт 443 и запускает приложение msiexec. Это приложение запускает процесс установки, который, в свою очередь, выполняет команду rundll32.exe. Зараженный процесс rundll32.exe связывается с двумя IP-адресами и создает службу Windows для постоянного выполнения.

Вторая цепочка заражения начинается с загрузчика PAPERTEAR, который выполняет HTTP POST-запрос к хосту. Затем он запускает командную оболочку Windows Command Shell, используя расширенный однострочный запрос. Это приводит к развертыванию полезной нагрузки DARKGATE, которая подделывает внешний вид приложения Cisco Umbrella Roaming и Box Edit.

Google принял меры против этих вредоносных рекламодателей, удалив более аккаунтов рекламодателей в 2022 году. Компания Mandiant отреагировала на это, создав команду по поиску угроз Managed Defense, которая выявляет поведение, связанное с участниками угроз и компрометацией конечных точек. Они создали дополнительные сигнатуры, чтобы быстрее выявлять будущую активность, и предоставляют информацию о субъектах угроз и их деятельности через Mandiant Advantage.

Вредоносная реклама становится все более серьезной проблемой: компания Mandiant отмечает увеличение числа расследований, связанных с вредоносной рекламой, с 2022 по 2023 год. Поэтому важно сохранять бдительность и принимать превентивные меры для защиты пользователей в экосистеме Google. Возможности Mandiant по поиску угроз могут обеспечить своевременную и эффективную защиту от вредоносных рекламных кампаний.

#ParsedReport #CompletenessMedium
14-12-2023

Ace in the Hole: exposing GambleForce, an SQL injection gang

https://www.group-ib.com/blog/gambleforce-gang

Report completeness: Medium

Actors/Campaigns:
Gambleforce
Winnti

Threats:
Cobalt_strike
Supershell

Victims:
Companies in the apac region

Industry:
Retail, Government

Geo:
Asia-pacific, Korea, Apac, India, Thailand, Brazil, Budapest, Australia, Philippines, China, Indonesia, Chinese

CVEs:
CVE-2023-23752 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- joomla joomla\! (le4.2.7)


IOCs:
Url: 1
Domain: 3
IP: 2
File: 1

Soft:
Tinyproxy, Joomla

Algorithms:
base64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что GambleForce - это киберпреступная группа, которая атаковала более 20 веб-сайтов в Азиатско-Тихоокеанском регионе и использует набор общедоступных инструментов с открытым исходным кодом для проведения атак. Подразделение аналитики угроз Group-IB ведет мониторинг этой группы, и корпоративные команды кибербезопасности должны знать о тактике и инструментах, используемых злоумышленниками, чтобы защититься от атак с использованием SQL-инъекций.
-----

GambleForce - киберпреступная группировка, действующая с середины сентября 2023 года и атаковавшая более 20 веб-сайтов в нескольких странах Азиатско-Тихоокеанского региона. Группа успешно атаковала 6 компаний, используя базовые методы атак, такие как SQL-инъекции, и была идентифицирована подразделением аналитики угроз Group-IB.

GambleForce использует набор общедоступных инструментов с открытым исходным кодом для пентестинга, таких как dirsearch, redis-rogue-getshell, Tinyproxy, sqlmap и Cobalt Strike. В одной из атак в Бразилии они попытались использовать CVE-2023-23752, уязвимость в CMS Joomla, но не смогли извлечь никаких данных. Group-IB уничтожила C&C банды и отправила уведомления выявленным жертвам.

Sqlmap может быть особенно опасен, поскольку с его помощью можно загрузить на серверы дополнительное вредоносное ПО, что позволит злоумышленникам двигаться в боковом направлении. Эта тактика была замечена подразделением аналитики угроз Group-IB в инциденте с участием APT41. GambleForce также изменяет настройки Cobalt Strike в своих интересах, используя командный сервер и слушателей с самоподписанными SSL-сертификатами для имитации Microsec e-Szigno Root CA и Cloudflare.

Специалисты подразделения аналитики угроз Group-IB считают, что группа может восстановить свою инфраструктуру в ближайшее время, и продолжают следить за ее активностью. Корпоративным службам кибербезопасности необходимо знать об этой тактике и инструментах с открытым исходным кодом, используемых злоумышленниками, чтобы лучше защищаться от атак с использованием SQL-инъекций.

#ParsedReport #CompletenessMedium
14-12-2023

Rhadamanthys v0.5.0 a deep dive into the stealers components. IOC/Analyzed samples

https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components

Report completeness: Medium

Threats:
Rhadamanthys
Hidden_bee
Heavens_gate_technique
Process_injection_technique
Teamviewer_tool
Putty_tool
Infostealer.wins

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1036, T1137, T1003, T1056, T1053, T1082, T1086, T1115, T1071, have more...

IOCs:
Hash: 20
File: 40
Path: 4

Soft:
Telegram, Discord, Chrome, KeePass, WinSCP, K-Meleon, FoxMail, Internet Explorer, CoreFTP, 360Browser, have more...

Wallets:
tronlink, tokenpocket, kardiachain, terra_station, metamask, dashcore, atomicdex, atomicwallet, bitcoincore, defichain-electrum, have more...

Crypto:
binance, dogecoin, monero

Algorithms:
rc4, sha1, aes, zip

Win API:
WaitForSingleObject, CloseHandle, VirtualAlloc, VirtualFree, VirtualProtect, HeapFree, HeapDestroy, LocalAlloc, LocalFree, TlsAlloc, have more...

Languages:
dotnet, jscript, lua, powershell

Platforms:
x64, x86, amd64

Links:
https://github.com/mandiant/flare-floss
https://github.com/hayasec/360SafeBrowsergetpass/blob/main/3Bpass/Program.cs
https://github.com/hasherezade/hidden\_bee\_tools/releases/
https://gist.github.com/hasherezade/ac63c0cbe7855276780126be006f7304
https://github.com/hasherezade/hidden\_bee\_tools/blob/17ed1f325b0918fc5e6c6cf0221e7b10084f67ea/bee\_lvl2\_converter/xs\_exe.h#L86
https://gist.github.com/hasherezade/c7701821784c436d40d1442c1a623614
https://github.com/hasherezade/pe-sieve
https://github.com/DaveGamble/cJSON
https://gist.github.com/hasherezade/51cb827b101cd31ef3061543d001b190
https://gist.github.com/hasherezade/47fa641d054d82de4059ff36c7e99918
https://gist.github.com/hasherezade/fb91598f6de62bdecf06edf9606a54fb
https://github.com/ARMmbed/mbed-crypto/blob/8cc246c6d33a139914d3070c6cf630aea6806aa4/library/ecp\_curves.c#L686C48-L686C80
https://github.com/ARMmbed/mbed-crypto/blob/development/library/ecp\_curves.c#L737
https://github.com/Mbed-TLS/mbedtls
https://github.com/hasherezade/tiny\_tracer

#ParsedReport #ExtractedSchema

Classified images:
code: 37, schema: 3, dump: 9, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rhadamanthys - это мощная и опасная вредоносная программа, продающаяся на черном рынке, которая регулярно обновляется и обладает функциями, позволяющими красть данные с зараженных машин. Он способен запускать LUA-скрипты, сценарии PowerShell и сборки .NET, а также имеет систему плагинов. Он включает в себя коллекцию встроенных похитителей и поддерживает до 100 LUA-расширений. Кроме того, он включает статически подключаемую библиотеку для SQLite и использует статически подключаемую библиотеку с эллиптическими кривыми.
-----

Rhadamanthys - это сложная и постоянно развивающаяся многоуровневая вредоносная программа, которая продается на черном рынке и часто обновляется. В недавно выпущенной версии 0.5.0 расширены возможности кражи и добавлены функции шпионажа общего назначения. Кроме того, в ней реализована система плагинов, позволяющая расширить ее возможности в соответствии с потребностями конкретного распространителя. Он способен запускать LUA-скрипты, PowerShell-скрипты и сборки .NET. Он также оснащен модулями для поддержки вторичной разработки пользовательских плагинов. В зависимости от команды, передаваемой с C2, вредоносная программа может выдавать себя за несколько приложений.

Вредоносная программа использует пользовательские форматы исполняемых файлов (XS1 и XS2) и проверяет имя исполняемого файла, чтобы убедиться, что он анализируется, и в случае положительного ответа выходит из программы. Добавляется новый раздел .textbss, который во время выполнения заполняется шеллкодом, используемым для распаковки и загрузки первого модуля из пакета. В функции инициализации сначала выделяется TLS, а значение, полученное от TlsAlloc, сохраняется в глобальной переменной. Затем вредоносная программа выделяет пользовательскую структуру с буфером и присоединяет ее к TLS. Алгоритмы, используемые для деобфускации строк, отличаются на разных этапах работы вредоносной программы.

Роль модулей, задействованных в Stage 2, не изменилась с момента выхода предыдущей версии. Операцию загрузки выполняет модуль netclient, а вредоносная программа внедряется во вновь созданный процесс. В зависимости от аргумента команды модуль может следовать одному из 4 различных путей выполнения. Вредоносная программа создает новый 64-битный процесс и использует технику Heaven's Gate для внедрения функций. Первым элементом, загружаемым из нового пакета, является шеллкод, который расшифровывает и распаковывает остальную часть загруженного пакета и извлекает главный модуль кражи. В конце концов, выполнение достигает главного модуля похитителя: coredll.bin (в формате XS2). Он координирует всю работу, собирает результаты и сообщает их C2.

Вредоносная программа поставляется с набором встроенных краж, которые могут быть включены или отключены в зависимости от конфигурации. Существуют две различные группы похитителей: пассивные и активные. Пассивные крадуны для получения сохраненных учетных данных используют чтение и разбор файлов, принадлежащих определенным приложениям. Активные похитители открывают запущенные процессы и внедряют дополнительные компоненты, такие как KeePassHax.dll, в процесс KeePass, чтобы украсть учетные данные из этого менеджера паролей с открытым исходным кодом. Кроме того, вредоносная программа поддерживает до 100 LUA-расширений, которые загружаются из пакета и используются для выполнения дополнительного набора крадников.

Помимо запуска модулей, встроенных в пакет, и отправки результатов, вредоносная программа устанавливает соединение с C2 для получения дополнительных инструкций. По запросу он может подбрасывать и запускать дополнительные исполняемые файлы или выполнять скрипты через другие модули. Содержимое, полученное от C2, передается в переменную и, в зависимости от специфики конкретной команды, может быть сохранено в файл или в именованное отображение.

#ParsedReport #CompletenessMedium
15-12-2023

PikaBot distributed via malicious search ads

https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads

Report completeness: Medium

Actors/Campaigns:
Ta577

Threats:
Pikabot
Fakebat
Qakbot
Matanbuchus
Cobalt_strike
Icedid
Systembc
Darkgate
Anydesk_tool

Victims:
Businesses, victims of malspam campaigns, users tricked to download malicious javascript, users exposed to malicious ads

IOCs:
Path: 2
Url: 1
File: 1
Domain: 3
Hash: 3
IP: 9

Soft:
curl, Zoom, Slack

Algorithms:
zip

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, table: 1