#ParsedReport #CompletenessMedium
19-01-2024

From Email to RAT: Deciphering a VB Script-Driven Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-email-to-rat-deciphering-a-vb-script-driven-campaign

Report completeness: Medium

Threats:
Agent_tesla
Remcos_rat
Cloudeye
Xworm_rat
Lokibot_stealer
Junk_code_technique

Industry:
Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1059.001, T1059.005, T1564.001, T1005, T1105, T1133, T1547.001, T1055, have more...

IOCs:
File: 4
Url: 2
IP: 2
Hash: 3

Soft:
Internet Explorer

Algorithms:
zip, base64, xor

Functions:
Mikr9

Win API:
VirtualAlloc, CallWindowProcA, NtProtectVirtualMemory

Languages:
powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 5, windows: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что McAfee Labs обнаружила сложную кампанию VBS, которая использует запутанные сценарии Visual Basic для доставки различных типов вредоносных программ. Кампания включает в себя несколько этапов, включая доставку электронной почты, выполнение PowerShell, загрузку шелл-кодов и внедрение полезной нагрузки Remcos RAT в законный процесс Windows. В тексте также подчеркивается, что Microsoft осуждает VBScript из-за его использования злоумышленниками, и рекомендуются упреждающие меры для снижения рисков безопасности.
-----

McAfee Labs обнаружила сложную кампанию VBS, которая изначально распространяла вредоносное ПО AgentTesla, но теперь эволюционировала для распространения других вредоносных программ, таких как Guloader, Remcos RAT, Xworm и Lokibot. В этой кампании используются запутанные скрипты Visual Basic (VBS) в качестве универсального механизма доставки. Процесс заражения начинается с файла VBS, доставленного по электронной почте, и проходит через этапы PowerShell, используя утилиту BitsTransfer для получения сценария PowerShell второго этапа. Шеллкод A скрывает и загружает шеллкод B, который в конечном итоге загружает зашифрованную полезную нагрузку Remcos RAT. Remcos RAT внедряется в законный процесс Windows wab.exe, обеспечивая скрытое развертывание и работу в среде Windows.

Сценарий VBS, используемый в этой кампании, сильно запутан, что затрудняет его анализ. Он включает мусорные переменные, функции-приманки, ненужные комментарии и запутанные вредоносные функции. После декодирования файла с именем mundhul.pfb обнаруживается код, похожий на изображение. Дальнейший анализ показывает конкретную инструкцию скрипта для перехода к смещению 229981 и извлечения 28050 единиц данных, что знаменует начало второго сценария PowerShell. Второй скрипт содержит комментарии и включает функцию для расшифровки строк. Скрипт PowerShell использует метод Invoke для выполнения своих команд и загружает функцию VirtualAlloc() для сохранения дескрипторов памяти в переменных. Он также содержит скрытый шеллкод, который выполняется двумя частями.

Основное действие шеллкода-A заключается в копировании шеллкода-B в память и расшифровке его с помощью операции XOR. Это позволяет расшифрованному шеллкоду выполнять предназначенные ему инструкции в памяти системы. Затем шеллкод устанавливает новый процесс с именем wab.exe и вводит расшифрованный шеллкод в его область памяти. Цель состоит в том, чтобы извлечь Remcos RAT из указанного URL-адреса и внедрить его в процесс wab.exe. Remcos RAT инициирует связь с IP-адресом через порт 2404, создает мьютекс и регистрирует данные, введенные с клавиатуры во время его работы. Сделанные скриншоты сохраняются в каталоге, а собранные данные хранятся в хранилище под названием Remcos.

В этой кампании освещается комплексный процесс заражения, инициированный файлом VBS, полученным по электронной почте. Он включает в себя несколько этапов, включая активацию скрипта VBS, выборку сценария PowerShell второго этапа, загрузку шелл-кодов, а также загрузку и внедрение окончательной полезной нагрузки Remcos RAT. Введенный wab.exe затем выполняет вредоносные действия как Remcos RAT.

В тексте также упоминается, что Microsoft осуждает VBScript из-за его использования злоумышленниками для распространения вредоносных программ. Microsoft стремится повысить безопасность, устраняя этот источник заражения и сокращая количество вредоносных кампаний, использующих функции Windows и Office. Компания рекомендует превентивные меры, такие как оперативное обновление, обучение по безопасности и постоянное информирование о жизненном цикле программного обеспечения для снижения рисков. Кроме того, применение бдительного и осторожного подхода к фишингу электронной почты может помочь предотвратить попадание в число жертв атак.

#ParsedReport #CompletenessLow
19-01-2024

SmartApeSG Delivering NetSupport RAT

https://www.esentire.com/blog/smartapesg-delivering-netsupport-rat

Report completeness: Low

Actors/Campaigns:
Smartapesg

Threats:
Netsupportmanager_rat

Geo:
America, Apac, Africa, Emea

TTPs:

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1562, T1059, T1027, T1560, T1112

IOCs:
Registry: 1
IP: 1
Hash: 21

Algorithms:
zip, base64

Languages:
javascript, php, powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SmartApeSG/smartapesg\_iocs\_1-11-2024.txt
https://github.com/RussianPanda95/Yara-Rules/blob/main/SmartApeSG/SmartApeSG\_JS\_dropper\_stage1.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение реагирования на угрозы eSentire (TRU) обнаружило субъекта угроз по имени SmartApeSG, использующего поддельные обновления браузера для распространения троянца удаленного доступа NetSupport (RAT). Команда TRU исследовала и локализовала угрозу, подчеркнув важность веб-безопасности и осторожности при загрузке файлов. Они также рассказали о методах запутывания и стратегиях развертывания, используемых участниками угроз, подчеркнув необходимость передовых мер кибербезопасности.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда квалифицированных охотников за угрозами и исследователей, специализирующихся на повышении устойчивости к кибербезопасности.

Команда TRU обнаружила вредоносный скрипт PowerShell, выполняемый SmartApeSG, который использует поддельные обновления браузера для распространения NetSupport RAT.

Сценарий PowerShell скрывает вредоносный код в допустимых разделах кода, извлекаемых по определенному URL-адресу и загружаемых с помощью команд PowerShell.

Декодированное содержимое сохраняется в виде ZIP-файла (rtrs.zip) и извлекается для проверки наличия исполняемого файла (client32.exe).

Создается новый элемент реестра, гарантирующий, что client32.exe запускается при запуске системы.

eSentire предоставляет правила Yara для обнаружения действий SmartApeSG и использует управляемое обнаружение и реагирование (MDR) для расследования и локализации угрозы.

Поддельные обновления браузера и скомпрометированные веб-страницы - это распространенные методы социальной инженерии, используемые злоумышленниками.

Методы обфускации используются для сокрытия вредоносного контента в законных разделах кода.

Понимание стратегий, используемых субъектами угроз, таких как загрузка, декодирование, выполнение, изменение элементов реестра и использование многоуровневых методов развертывания, имеет решающее значение для эффективного обнаружения и реагирования.

Сложный характер декодирования содержимого Base64 и раскрытия ZIP-архивов подчеркивает необходимость принятия передовых мер кибербезопасности.

#ParsedReport #CompletenessLow
19-01-2024

Chae$ Chronicles: Version 4.1 Dedicated to Morphisec Researchers

https://blog.morphisec.com/chaes-chronicles

Report completeness: Low

Threats:
Chaes

Victims:
Portuguese-speaking businesses

Geo:
Portuguese

ChatGPT TTPs:
do not use without manual check
T1192, T1204, T1213, T1027, T1071, T1486

IOCs:
Url: 3
File: 1

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Morphisec Threat Labs обнаружила новый вариант вредоносного ПО Chae$ под названием Chae$ 4.1. Это вредоносное ПО распространяется через фишинговое электронное письмо, которое выглядит срочным, и ссылки на веб-сайт, имитирующий сканирование системы. После активации Chae$ 4.1 отправляет данные на серверы управления, что указывает на присутствие организованной группы угроз. В тексте упоминается отчет для получения дополнительной информации о вредоносном ПО и о том, как предприятия могут защитить себя.
-----

Morphisec Threat Labs обратила свое внимание на Chae$ 4.1, обновленную версию серии Infostealer для вредоносных программ Chaes. Эта новая версия поставляется со значительными обновлениями, включая улучшенный модуль Chronod. Что делает его еще более интересным, так это то, что он содержит прямое сообщение команде Morphisec, встроенное в его исходный код.

Цепочка заражения Chae$ 4.1 начинается с электронного письма на португальском языке, которое выглядит как срочное сообщение от юриста, касающееся судебного дела. Электронное письмо создает у получателя ощущение срочности, требующее незамедлительного ответа или серьезных юридических последствий. Он содержит ссылку и пароль, которые предположительно обеспечивают доступ к документу, относящемуся к делу.

Перейдя по предоставленной ссылке, жертва попадает на веб-сайт под названием "webcamcheck.online". Этот веб-сайт утверждает, что сканирует компьютер жертвы на наличие рисков, и предлагает обновить драйвер компьютера после сканирования. Когда жертва нажимает на красную кнопку "ЗАБЛОКИРОВАТЬ", в фоновом режиме выполняется JavaScript. Этот скрипт имитирует законное сканирование системы, представляя жестко закодированный список файлов, создавая иллюзию тщательного анализа компьютера жертвы. После имитированного сканирования жертве выводится сообщение о том, что "Обнаружена угроза безопасности", и предлагается загрузить обновленный драйвер, чтобы устранить предполагаемый риск. Нажатие на кнопку загрузки запускает выполнение скрипта с именем "download.js", который декодирует сжатый двоичный объект base64 для контрабанды вредоносного установщика. Это активирует вредоносную программу Chae$ 4.1.

Как только Chae$ 4.1 успешно активирован на компьютере жертвы, он начинает фильтровать данные на серверы управления, используемые субъектом угрозы. Дальнейший анализ этих серверов выявил существование страницы входа в Chae$ team panel, указывающей на наличие хорошо организованной группы, стоящей за этим вредоносным ПО.

Чтобы узнать больше о механизме этого эволюционировавшего вредоносного ПО, его последствиях и о том, как предприятия могут защитить себя, ознакомьтесь с прилагаемым отчетом.

Примечание: Предоставленное резюме является вымышленным анализом, сгенерированным с помощью языковой модели OpenAI ChatGPT. Оно может неточно отражать события реального мира или угрозы кибербезопасности.

#ParsedReport #CompletenessLow
18-01-2024

Security Brief: TA866 Returns with a Large Email Campaign

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign

Report completeness: Low

Actors/Campaigns:
Ta866 (motivation: financially_motivated, cyber_criminal, cyber_espionage)
Ta571 (motivation: cyber_criminal)

Threats:
Wasabiseed
Rhadamanthys

Victims:
Various north american organisations

Geo:
America

ChatGPT TTPs:
do not use without manual check
T1193, T1204, T1064, T1105, T1053

IOCs:
File: 5
Url: 4
Hash: 7

Soft:
IrfanView, anView

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания Proofpoint, занимающаяся кибербезопасностью, обнаружила значительную кампанию угроз по электронной почте, нацеленную на Северную Америку. В кампании идентифицированы два участника угроз, TA571 и TA866. TA571 отвечает за распространение вредоносных PDF-файлов через спам-рассылки, в то время как TA866 участвует в действиях по постэксплуатации с использованием JavaScript и MSI-файлов. Кампания финансово мотивирована и указывает на то, что TA866 является организованным субъектом, способным проводить хорошо спланированные масштабные атаки. Цепочка атак эволюционировала с появлением новых PDF-вложений, что говорит о том, что злоумышленник постоянно адаптирует свою тактику.
-----

11 января 2024 года компания по кибербезопасности Proofpoint обнаружила значительную кампанию угроз по электронной почте, нацеленную на Северную Америку, которую они приписали двум субъектам угроз: TA571 и TA866. В кампании использовались электронные письма на тему счетов-фактур с вложениями в формате PDF, которые содержали URL-адреса OneDrive. Эти URL-адреса инициировали многоэтапную цепочку заражения, включающую выполнение JavaScript и MSI-файлов. Вредоносная программа представляла собой вариант пользовательского набора инструментов WasabiSeed и Screenshotter.

TA571, идентифицированный как распространитель спама, отвечал за доставку вредоносных PDF-файлов. Они известны тем, что проводят массовые кампании рассылки спама по электронной почте с целью распространения различных типов вредоносных программ среди своих клиентов-киберпреступников. С другой стороны, TA866, участник, стоящий за действиями после эксплуатации, был связан с файлами JavaScript и MSI, в частности с компонентами, относящимися к WasabiSeed и Screenshotter. Предыдущие случаи деятельности TA866 указывали на причастность как к преступному ПО, так и к кибершпионажу.

Считается, что текущая кампания мотивирована финансово, что позволяет предположить, что TA866 является организованным субъектом, способным проводить хорошо спланированные масштабные атаки. Proofpoint связывает эту оценку с доступностью пользовательских инструментов, используемых TA866, а также с их способностью приобретать дополнительные инструменты и услуги у других участников.

Стоит отметить, что кампании по электронной почте TA866 отсутствовали в списке угроз более девяти месяцев; однако есть признаки того, что в течение этого периода злоумышленник, возможно, использовал альтернативные методы распространения. Эта недавняя кампания совпадает с возвращением других участников угроз, которые обычно берут перерыв во время новогодних каникул, что приводит к повышению активности в общем ландшафте угроз.

Кампания была направлена на предоставление полезной нагрузки WasabiSeed downloader и Screenshotter. Однако остается неизвестным, какую последующую полезную нагрузку установит TA866, если они будут удовлетворены скриншотами, полученными с помощью Screenshotter. В предыдущих кампаниях с участием TA866 использовались AHK-бот и Rhadamanthys Stealer.

Эволюция цепочки атак, такая как внедрение новых PDF-вложений, является еще одним примечательным аспектом возвращения TA866 к угрозам по электронной почте. Это говорит о том, что злоумышленник постоянно адаптирует свою тактику для максимальной эффективности своих кампаний.

#ParsedReport #CompletenessLow
12-01-2024

Python s Poisoned Package: Another Blank Grabber Malware in PyPI

https://www.imperva.com/blog/blank-grabber-malware-in-pypi-package

Report completeness: Low

Actors/Campaigns:
Dropping_elephant

Threats:
Blankgrabber
Supply_chain_technique

Victims:
Users downloading from python package index (pypi)

ChatGPT TTPs:
do not use without manual check
T1195, T1204, T1213, T1048

IOCs:
File: 3
Domain: 1
Hash: 11

Soft:
Discord, roblox

Languages:
powershell, python

Links:
https://github.com/searxng/searxng

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Команда исследователей угроз Imperva обнаружила вредоносный пакет под названием sellpass-sdk в индексе пакетов Python (PyPI). Пакет содержал вредоносную программу infostealer Blank-Grabber и был быстро удален командой PyPI после получения сообщения. Вредоносная программа маскировалась под легальный пакет и использовала такие тактики, как имитация имени автора, чтобы обмануть пользователей. Пакет был размещен на подозрительном домене и использовал команду PowerShell для загрузки и запуска вредоносного ПО. Этот инцидент подчеркивает необходимость бдительности среди пользователей Python и роль сопровождающих репозитория в обнаружении таких вредоносных действий и сообщении о них. Решение Imperva для самозащиты приложений во время выполнения (RASP) обеспечивает защиту от подобных атак в цепочке поставок.
-----

Недавно Imperva Threat Research обнаружила вредоносный пакет в индексе пакетов Python (PyPI) под названием sellpass-sdk. Этот пакет был частью серии фиктивных вредоносных пакетов, которые, вероятно, были опубликованы в качестве тестов одним и тем же автором. Пакет sellpass-sdk распространял вредоносное ПО Blank-Grabber infostealer, которое крало данные жертвы и извлекало их через определенную ссылку Discord Canary. К счастью, после получения сообщения команда PyPI быстро удалила пакет.

Пакет sellpass-sdk был добавлен в репозиторий PyPI 27 декабря 2023 года и оставался там до 8 января, когда он был удален после публикации отчета. Пакет был разработан так, чтобы маскироваться под законный пакет с именем sellpass, который служит оболочкой Python для API Sellpass.io. Автор использовал различные тактики, чтобы воспользоваться доверием потенциальных пользователей.

Одной из использованных тактик было подражание имени автора. Слегка изменив имя автора с "xyss" на "xyss2", злоумышленник стремился создать иллюзию легитимности. Это изменение могло легко остаться незамеченным, особенно пользователями, которые не знакомы с первоначальным автором, или теми, кто не уделяет пристального внимания деталям. Эта тактика использовала существующее доверие, установленное первоначальным автором.

Пакет был размещен в домене o5.gg, менее распространенном и дешевом домене верхнего уровня, часто используемом злоумышленниками. Домен был зарегистрирован за день до загрузки вредоносного пакета. Само вредоносное ПО было размещено за маршрутом статического ресурса в поисковой системе под названием SearXNG. Для загрузки и выполнения двоичного файла использовалась команда PowerShell. Программа infostealer с именем python.exe была размещена на вредоносном домене в папке themes. Когда пакет был загружен и установлен, компьютер жертвы был заражен программой Blank-Grabber info stealer. Эта вредоносная программа отфильтровывала данные и отправляла их по определенной ссылке Discord Canary. Статический анализ подтвердил, что вредоносная программа является версией похитителя информации Blank-Grabber.

Важно отметить, что эта атака подчеркивает необходимость бдительности среди пользователей сообщества Python. Пользователям следует перепроверять имена пакетов, авторов и другие метаданные, особенно при работе над критически важными или конфиденциальными проектами. Кроме того, сопровождающие репозитория и сообщество играют жизненно важную роль в мониторинге и сообщении о таких вредоносных действиях для защиты экосистемы.

Клиенты Imperva RASP надежно защищены от такого типа атак в цепочке поставок. Решение Imperva для самозащиты приложений во время выполнения (RASP) блокирует неожиданное и потенциально вредоносное выполнение процессов, доступ к файлам и исходящие сетевые подключения в режиме реального времени, эффективно защищая от таких атак.

#ParsedReport #CompletenessLow
18-01-2024

Spreading Zephyr coin miner malware using Autoit

https://asec.ahnlab.com/ko/60432

Report completeness: Low

Threats:
Zephyrus_miner
Deathransom
Malware/mdp.inject.m2907

ChatGPT TTPs:
do not use without manual check
T1064, T1496, T1204, T1060, T1082

IOCs:
File: 11
Path: 1
Hash: 3

Algorithms:
md5, zip, base64

Languages:
autoit, javascript

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4