#ParsedReport #CompletenessHigh
25-01-2024

CherryLoader: A New Go-based Loader Discovered in Recent Intrusions

https://arcticwolf.com/resources/blog/cherryloader-a-new-go-based-loader-discovered-in-recent-intrusions

Report completeness: High

Threats:
Cherryloader
Printspoofer_tool
Juicypotato_tool
Process_ghosting_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1574.007

IOCs:
IP: 1
File: 6
Command: 1
Hash: 10

Soft:
Microsoft Defender, Windows defender, windows service, Remote Desktop services

Algorithms:
sha256, xor, md5, aes

Functions:
CreateFile

Win API:
GetProcAddress, CreateFileW, CreateProcessW, DeleteFileW, RemoveDirectoryW, DeleteFile, NtSetInformationFile, WriteFile, NtCreateSection, CreateFileMappingA, have more...

Languages:
golang, python

Links:
https://github.com/antonioCoco/JuicyPotatoNG
https://github.com/itm4n/PrintSpoofer
https://github.com/giuspen/cherrytree

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Arctic Wolf Labs обнаружила новый загрузчик вредоносных программ под названием CherryLoader. Этот загрузчик позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции кода и замаскирован под законное приложение для создания заметок CherryTree. После выполнения CherryLoader отключает инструменты повышения привилегий, такие как PrintSpoofer и JuicyPotatoNG, чтобы обеспечить сохранение на устройстве жертвы. В анализе также выделяются различные действия, выполняемые участниками угроз для компрометации компьютера жертвы, и предлагаются меры по усилению защиты системы.
-----

Важные факты из текста:.

Arctic Wolf Labs обнаружила два вторжения, связанных с новым загрузчиком вредоносных программ на базе Go под названием CherryLoader.

CherryLoader позволяет злоумышленникам обмениваться эксплойтами без перекомпиляции какого-либо кода и маскируется под законное приложение для ведения заметок CherryTree.

Первоначальная атака использовала IP-адрес 141.11.187.70 для обслуживания CherryLoader и связанных с ним файлов. Загруженные файлы включают защищенный паролем rar-файл с именем Packed.rar и исполняемый файл с именем main.exe для распаковки.

CherryLoader удаляет PrintSpoofer или JuicyPotatoNG, инструменты повышения привилегий, чтобы установить постоянство на устройстве жертвы.

Вредоносную программу CherryLoader трудно проанализировать, поскольку она удаляет и уничтожает свою таблицу адресов импорта.

Arctic Wolf Labs создала скрипт на Python, который помогает расшифровать зашифрованные файлы Spof.Data и Juicy.Data.

CherryLoader использует призрачность процесса для замены Spof.Данные другим кодом эксплойта без перекомпиляции основного исполняемого файла.

Вторжения в CherryLoader были связаны с инструментами повышения привилегий PrintSpoofer и JuicyPotatoNG.

Злоумышленники выполнили различные действия, чтобы скомпрометировать компьютер жертвы, включая создание учетной записи администратора с неправильным именем пользователя и изменение настроек безопасности.

Arctic Wolf Labs внедрила средства обнаружения для CherryLoader и советует клиентам регулярно исправлять программное обеспечение и отслеживать изменения брандмауэра.

CherryTree.exe это инструмент расшифровки, используемый CherryLoader, в то время как File.log использует алгоритм AES ECB для расшифровки.

В команду Arctic Wolf Labs, ответственную за исследование, входят Хейди, старший исследователь по безопасности, и Кристофер, ведущий исследователь по безопасности.

#ParsedReport #CompletenessHigh
25-01-2024

Uncovering Atomic Stealer (AMOS) Strikes and the Rise of Dead Cookies Restoration

https://cyble.com/blog/uncovering-atomic-stealer-amos-strikes-and-the-rise-of-dead-cookies-restoration

Report completeness: High

Threats:
Amos_stealer
Revive_rat
Xehook
Seo_poisoning_technique
Applescript
Spear-phishing_technique

Industry:
Financial

TTPs:
Tactics: 6
Technics: 7

IOCs:
Url: 4
IP: 2
File: 2
Hash: 5

Soft:
Google Chrome, macOS, Telegram, Curl, Chrome, Opera, OperaGX, Vivaldi, Chromium, Mozilla Firefox, have more...

Wallets:
metamask, electrum, coinomi

Crypto:
binance

Algorithms:
zip, sha256, md5, sha1

Functions:
fivenet, sentdata

Win API:
Arc

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ведется постоянная фишинговая кампания, нацеленная на пользователей Mac, с использованием вредоносного ПО под названием AMOS Stealer. Кампания включает распространение мошеннических установщиков через обманчивые веб-сайты, выдающие себя за законные приложения для Mac. Вредоносная программа крадет конфиденциальные данные, такие как пароли, файлы cookie и финансовые данные с устройств Mac. Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и недавно присоединился к тенденции восстановления просроченных файлов cookie Google Chrome. Анализ также предполагает потенциальную связь между кампаниями или участниками угроз. Фишинговые веб-сайты и развивающиеся методы AMOS Stealer подчеркивают необходимость повышения бдительности в области кибербезопасности Mac.
-----

Продолжается фишинговая кампания, нацеленная на пользователей Mac.

Кампания распространяет вредоносное ПО AMOS Stealer, ориентированное на macOS, через обманчивые веб-сайты, выдающие себя за законные приложения для Mac.

Вредоносная программа крадет конфиденциальные данные, такие как автозаполнение, пароли, файлы cookie и финансовые данные.

Исполнитель угроз, стоящий за AMOS Stealer, предлагает дополнительные услуги и повысил цену на эти услуги.

В среде InfoStealer наблюдается тенденция восстановления просроченных файлов cookie Google Chrome, что вызывает озабоченность, поскольку они могут быть включены в полезные программы вредоносного ПО.

Анализ предполагает потенциальную связь между кампанией AMOS Stealer и предыдущими кампаниями с участием Atomic Stealer.

Вредоносная программа AMOS Stealer использует различные методы для сбора данных, включая запросы к каталогам браузеров и таргетинг на крипто-кошельки.

Он извлекает пароли из связки ключей macOS, уделяя особое внимание Google Chrome.

Собранные данные объединяются в единый каталог и отправляются на сервер управления.

Фишинговые веб-сайты, выдающие себя за подлинные приложения для Mac, и развивающиеся методы AMOS Stealer демонстрируют стремление злоумышленника совершенствовать свою вредоносную деятельность.

#ParsedReport #CompletenessMedium
25-01-2024

Researcher Blog - ITOCHU Cyber & Intelligence Inc.. The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis

https://blog-en.itochuci.co.jp/entry/2024/01/24/134100

Report completeness: Medium

Actors/Campaigns:
Stone_panda

Threats:
Lodeinfo
Spear-phishing_technique
Dll_sideloading_technique
Junk_code_technique
Downiissa

Victims:
Japanese media, Diplomacy, Public institutions, Defense industries, Think tanks

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1001, T1055, T1055.001, T1213, T1221, T1036

IOCs:
Hash: 9
IP: 7
Url: 1
File: 2

Soft:
Microsoft Word, microsoft office

Algorithms:
sha1, xor, vigenere, hmac, aes, zip, base64, md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 5, dump: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LODEINFO - это вредоносная программа без файлов, которая была замечена в кампаниях фишинга с декабря 2019 года. Она нацелена на различные секторы, такие как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры. Считается, что к этим атакам причастна APT-группа APT10. В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку с обновлениями и новыми функциями. Вредоносная программа использует методы без использования файлов, и ее сложно обнаружить из-за того, что она сосредоточена на тактике сокрытия, методах и процедурах. Использование загрузчика и бэкдорного шеллкода является характерной особенностью LODEINFO. Вредоносная программа следует аналогичному пути заражения, полагаясь на вредоносные документы Word и удаленные инъекции шаблонов. Шеллкод загрузчика избегает обнаружения с помощью различных методов, включая проверку архитектуры и кодировку Base64. Различные версии LODEINFO демонстрируют различия в поведении, такие как языковые настройки и изменение имени файла. Анализ показывает необходимость в специализированных мерах обнаружения и продуктах для борьбы с LODEINFO. Шеллкод бэкдора обеспечивает удаленный доступ и работу с зараженными хостами, с изменениями в алгоритмах хэширования и добавлением команд бэкдора в разных версиях, что делает каждый образец уникальным и сложным для анализа и обнаружения.
-----

LODEINFO - это вредоносная программа без файлов, которая с декабря 2019 года используется в кампаниях по фишингу.

Он нацелен на такие секторы, как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры.

Считается, что к этим атакам причастна APT-группа APT10.

В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку.

LODEINFO скрывает свои тактики, методы и процедуры (TTP), чтобы затруднить обнаружение.

Ограниченная информация о методах обнаружения и небольшое количество образцов LODEINFO препятствуют обмену информацией.

Новая версия LODEINFO (v0.7.3) была замечена по состоянию на 24 января 2024 года.

LODEINFO использует методы вредоносного ПО без файлов, включая шеллкод загрузчика и шеллкод бэкдора.

Для обнаружения LODEINFO необходимо выполнить сканирование и обнаружить вредоносное ПО в памяти.

LODEINFO заражает системы с помощью вредоносных документов Word, используя удаленное внедрение шаблонов.

Шеллкод загрузчика LODEINFO избегает обнаружения с помощью проверок архитектуры операционной системы, методов кодирования и разделения.

Поведение LODEINFO варьируется в разных версиях, ориентируясь на конкретные языковые среды.

Существует сходство между шеллкодом загрузчика LODEINFO и другим загрузчиком под названием DOWNIISSA.

Бэкдорный шелл-код LODEINFO обеспечивает удаленный доступ и работу с зараженными хостами.

LODEINFO претерпевает изменения в вычислении хэша и командах бэкдора, что усложняет анализ и обнаружение.

#ParsedReport #CompletenessHigh
25-01-2024

NSPX30: A sophisticated AitM-enabled implant evolving since 2005

https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005

Report completeness: High

Actors/Campaigns:
Blackwood (motivation: cyber_espionage)
Daggerfly
Luoyu
Littlebear
Gelsemium
Red_delta
Blacktech

Threats:
Nspx30
Project_wood
Dark_specter
Aitm_technique
Upx_tool
Spear-phishing_technique
Uac_bypass_technique
Supply_chain_technique

Victims:
Chinese companies, Japanese companies, Individuals located in china, japan, and the united kingdom, High-profile public research university in the united kingdom, Large manufacturing and trading company in china, Japanese corporation in the engineering and manufacturing vertical

Industry:
Telco, Education

Geo:
Ukraine, Japanese, Japan, China, Chinese

TTPs:
Tactics: 11
Technics: 42

IOCs:
File: 29
Path: 3
Url: 1
IP: 4
Command: 2
Domain: 2
Hash: 13

Soft:
Sogou, Visual Studio, Internet Explorer, Windows Defender, WeChat, Telegram

Algorithms:
rc4, zip, base64, exhibit

Functions:
CreateTaveInstance, When

Win API:
ExitProcess, WSCInstallNameSpace, CoCreateInstance, waveInOpen, waveInClose, waveInAddBuffer, waveOutOpen, waveOutWrite, waveOutClose

Languages:
powershell, visual_basic

Platforms:
intel, x86

Links:
https://gist.github.com/hfiref0x/196af729106b780db1c73428b5a5d68d
https://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/IARPUninstallStringLauncher.cpp

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили новую группу APT под названием Blackwood, которая, как полагают, связана с Китаем. Blackwood использует сложный имплантат под названием NSPX30 в операциях кибершпионажа, нацеленных на китайских и японских частных лиц и компании. Внедрение NSPX30 осуществляется с помощью атак "злоумышленник посередине" путем перехвата запросов на обновление от законного программного обеспечения. Внедрение представляет собой многоступенчатую вредоносную программу с возможностями перехвата пакетов и возможностью вносить себя в белый список некоторых китайских решений для защиты от вредоносных программ. Исследователи проследили эволюцию NSPX30 вплоть до бэкдора под названием Project Wood и наблюдали, как он использовался в целенаправленных атаках против различных целей. Злоумышленники взаимодействуют с имплантатом, добавляя данные к DNS-запросам для домена microsoft.com. Имплантат запускается через капельницу, замаскированную под Rising Antivirus, взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.
-----

Новая ориентированная на Китай группа APT под названием Blackwood действует как минимум с 2018 года.

Blackwood использует сложный имплантат под названием NSPX30 для операций кибершпионажа против китайских и японских объектов.

NSPX30 поставляется с помощью атак "противник посередине", перехватывающих запросы на обновление от законного программного обеспечения.

Имплантат NSPX30 включает в себя такие компоненты, как капельница, установщик, загрузчики, оркестратор и бэкдор.

NSPX30 может осуществлять перехват пакетов, чтобы скрыть инфраструктуру злоумышленников и внести себя в белый список китайских решений для защиты от вредоносных программ.

NSPX30 развился из бэкдора под названием Project Wood, впервые обнаруженного в 2005 году.

Blackwood использует NSPX30 для целенаправленных атак на компании и частных лиц в Китае, Японии и Великобритании.

Blackwood использует сетевые имплантаты, возможно, на маршрутизаторах или шлюзах, для компрометации целей.

NSPX30 поставляется в виде вредоносного обновления для таких программ, как Tencent QQ, Sogou Pinyin и WPS Office.

Имплантат взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.

#ParsedReport #CompletenessMedium
26-01-2024

Another Phobos Ransomware Variant Launches Attack FAUST

https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust

Report completeness: Medium

Threats:
Phobos
Eking
8base
Process_injection_technique
Lizar_loader
Blackrock
Devos
Elbie
Mamba
Phoenix_keylogger
Karma
Makop
Logan

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1212, T1137, T1059.001, T1055, T1055.003

IOCs:
Url: 2
File: 10
Command: 1
Path: 2
Registry: 1
Hash: 5

Soft:
Curl

Algorithms:
xor, base64, exhibit

Functions:
Workbook_Open

Win API:
NtWriteVirtualMemory, RtlCreateUserThread, ZwAllocateVirtualMemory, NtProtectVirtualMemory

Win Services:
db2

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, dump: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что семейство программ-вымогателей Phobos, в частности его вариант под названием FAUST ransomware, активно нацеливается на системы и заражает их. Программа-вымогатель FAUST использует документ со встроенным скриптом VBA для загрузки данных в кодировке Base64 из Gitea, которые затем декодируются и выполняются в виде чистого файла XLSX, позволяя программе-вымогателю шифровать файлы на компьютере жертвы. Вариант FAUST демонстрирует устойчивость в среде, создает несколько потоков для эффективного выполнения и добавляет расширение ".faust" к каждому зашифрованному файлу. Злоумышленники, стоящие за программой-вымогателем, также используют специальные индексы для расширений файлов, имен файлов и каталогов в своей функции дешифрования.
-----

Семейство программ-вымогателей Phobos - хорошо известная группа вредоносных программ, появившаяся в 2019 году и участвовавшая в различных кибератаках. Она шифрует файлы на компьютере жертвы и требует выкуп в криптовалюте за ключ расшифровки. FortiGuard Labs обнаружила и сообщила о нескольких вариантах программы-вымогателя Phobos, включая EKING и 8Base. Недавно они обнаружили документ Office, содержащий скрипт VBA, целью которого является распространение программы-вымогателя FAUST, которая является еще одним вариантом Phobos.

Злоумышленники, стоящие за программой-вымогателем FAUST, использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Когда эти файлы вводятся в системную память, они инициируют атаку шифрования файлов. Цепочка атак подробно представлена на рисунке 1.

Исследователи обнаружили документ XLAM, содержащий встроенный скрипт VBA, который запускает PowerShell для загрузки данных в кодировке Base64 из Gitea при открытии документа. Эти данные могут быть декодированы в чистый файл XLSX, который сохраняется во временной папке и автоматически открывается, создавая иллюзию того, что процесс завершен и безвреден.

Исполняемый файл AVG update.exe действует как загрузчик и использует методы, позволяющие избежать обнаружения и анализа. Он использует внедрение процесса для внедрения вредоносного кода в память нового процесса. Кроме того, файл кодирует все свои строки и преобразует их в XOR с помощью определенных шестнадцатеричных ключей перед использованием. Примеры ассемблерного кода показаны на рисунке 6.

Программа-вымогатель FAUST, разновидность семейства Phobos, шифрует файлы на компьютере жертвы и добавляет расширение ".faust" к каждому зашифрованному файлу. Она генерирует файлы info.txt и info.hta для связи с злоумышленниками. Программа-вымогатель связана с конфигурацией запуска Windows, что позволяет ей автоматически запускаться. Зашифрованные файлы имеют расширение ".id-3512.babylon4367@proton.me.faust". В записке о выкупе жертвам предлагается связаться с злоумышленниками по электронной почте или токсичным сообщением.

Вариант FAUST демонстрирует способность поддерживать постоянство в среде и создавать несколько потоков для эффективного выполнения. В своей функции расшифровки он использует специальные индексы для расширений файлов, имен файлов и каталогов. Первоначальный продавец инициировал процесс продажи программы-вымогателя FAUST в ноябре 2023 года, и деятельность по продаже продолжается.

#ParsedReport #CompletenessHigh
26-01-2024

Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT

https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat

Report completeness: High

Actors/Campaigns:
Sidecopy
Fin13

Threats:
Allakore_rat
Spear-phishing_technique

Victims:
Mexican banks, Cryptocurrency trading entities, Mexican entities with large revenues

Industry:
Transport, Financial, Foodtech, Retail, Government

Geo:
America, Spanish, Mexico, Mexican

TTPs:
Tactics: 7
Technics: 18

IOCs:
File: 15
Domain: 21
Hash: 159
Url: 3
IP: 10

Soft:
Chrome

Algorithms:
sha256, md5

Languages:
powershell, php, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что финансово мотивированный субъект угроз нацелен на мексиканские банки и организации, торгующие криптовалютами, используя модифицированную версию AllaKore RAT. Субъекты угроз используют методы социальной инженерии, такие как использование приманок, имитирующих документы Мексиканского института социального обеспечения, для распространения своего вредоносного ПО. Модифицированный RAT позволяет им красть банковские учетные данные и аутентификационную информацию, которая затем используется в целях финансового мошенничества. Считается, что группа threat actor базируется в Латинской Америке, и их таргетинг не привязан к конкретной отрасли, а сосредоточен на крупных компаниях, отчитывающихся перед департаментом IMSS правительства Мексики, с доходами свыше 100 миллионов долларов США. Кампания активна, по крайней мере, с 2021 года и продолжает использовать согласованную инфраструктуру командования и контроля. Полезная нагрузка RAT обладает различными возможностями, включая кейлоггинг, захват экрана и дистанционное управление. Группа threat actor также использует специальные IP-адреса и VPN-сервисы в Мексике для доступа по протоколу удаленного рабочего стола к своим серверам управления. В целом, кампания была упорной и продолжается уже более двух лет, что требует постоянной бдительности и мер кибербезопасности.
-----

Финансово мотивированный субъект угрозы нацелен на мексиканские банки и организации, торгующие криптовалютами.

Они используют специальные упакованные установщики для доставки модифицированной версии AllaKore RAT.

В процессе установки используются приманки, имитирующие документы Мексиканского института социального обеспечения (IMSS), и ссылки на легальные файлы.

Модифицированный AllaKore RAT позволяет злоумышленникам красть банковские учетные данные и аутентификационную информацию.

Украденная информация отправляется обратно на сервер управления (C2) в целях финансового мошенничества.

Группа исполнителей угроз, скорее всего, базируется в Латинской Америке, используя IP-адреса Starlink в Мексике и инструкции на испанском языке.

Кампания активна как минимум с 2021 года и продолжает использовать согласованную инфраструктуру C2.

Полезная нагрузка RAT способна вести кейлоггинг, захват экрана, загрузку файлов и дистанционное управление.

Злоумышленники используют расширение Chrome для блокировки доступа к определенным URL-адресам.

Кампания в первую очередь нацелена на крупные мексиканские компании с выручкой более 100 миллионов долларов США.

RAT обладает пользовательской функциональностью для учетных данных, специфичных для конкретной цели, и данных, связанных с банковской инфраструктурой.

Кампания продолжается уже более двух лет и не имеет никаких признаков прекращения.

Для защиты от этих атак необходимы бдительность и меры кибербезопасности.