#ParsedReport #CompletenessMedium
25-01-2024
Researcher Blog - ITOCHU Cyber & Intelligence Inc.. The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis
https://blog-en.itochuci.co.jp/entry/2024/01/24/134100
Report completeness: Medium
Actors/Campaigns:
Stone_panda
Threats:
Lodeinfo
Spear-phishing_technique
Dll_sideloading_technique
Junk_code_technique
Downiissa
Victims:
Japanese media, Diplomacy, Public institutions, Defense industries, Think tanks
Geo:
Japanese
ChatGPT TTPs:
T1566, T1078, T1001, T1055, T1055.001, T1213, T1221, T1036
IOCs:
Hash: 9
IP: 7
Url: 1
File: 2
Soft:
Microsoft Word, microsoft office
Algorithms:
sha1, xor, vigenere, hmac, aes, zip, base64, md5
25-01-2024
Researcher Blog - ITOCHU Cyber & Intelligence Inc.. The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis
https://blog-en.itochuci.co.jp/entry/2024/01/24/134100
Report completeness: Medium
Actors/Campaigns:
Stone_panda
Threats:
Lodeinfo
Spear-phishing_technique
Dll_sideloading_technique
Junk_code_technique
Downiissa
Victims:
Japanese media, Diplomacy, Public institutions, Defense industries, Think tanks
Geo:
Japanese
ChatGPT TTPs:
do not use without manual checkT1566, T1078, T1001, T1055, T1055.001, T1213, T1221, T1036
IOCs:
Hash: 9
IP: 7
Url: 1
File: 2
Soft:
Microsoft Word, microsoft office
Algorithms:
sha1, xor, vigenere, hmac, aes, zip, base64, md5
Researcher Blog - ITOCHU Cyber & Intelligence Inc.
The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis - Researcher Blog - ITOCHU Cyber & Intelligence…
What is the LODEINFO malware? Analysis of LODEINFO The infection flow Update of the Downloader Shellcode Remote Template Injection Maldoc VBA code embedded in M…
CTT Report Hub
#ParsedReport #CompletenessMedium 25-01-2024 Researcher Blog - ITOCHU Cyber & Intelligence Inc.. The Endless Struggle Against APT10: Insights from LODEINFO v0.6.6 - v0.7.3 Analysis https://blog-en.itochuci.co.jp/entry/2024/01/24/134100 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что LODEINFO - это вредоносная программа без файлов, которая была замечена в кампаниях фишинга с декабря 2019 года. Она нацелена на различные секторы, такие как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры. Считается, что к этим атакам причастна APT-группа APT10. В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку с обновлениями и новыми функциями. Вредоносная программа использует методы без использования файлов, и ее сложно обнаружить из-за того, что она сосредоточена на тактике сокрытия, методах и процедурах. Использование загрузчика и бэкдорного шеллкода является характерной особенностью LODEINFO. Вредоносная программа следует аналогичному пути заражения, полагаясь на вредоносные документы Word и удаленные инъекции шаблонов. Шеллкод загрузчика избегает обнаружения с помощью различных методов, включая проверку архитектуры и кодировку Base64. Различные версии LODEINFO демонстрируют различия в поведении, такие как языковые настройки и изменение имени файла. Анализ показывает необходимость в специализированных мерах обнаружения и продуктах для борьбы с LODEINFO. Шеллкод бэкдора обеспечивает удаленный доступ и работу с зараженными хостами, с изменениями в алгоритмах хэширования и добавлением команд бэкдора в разных версиях, что делает каждый образец уникальным и сложным для анализа и обнаружения.
-----
LODEINFO - это вредоносная программа без файлов, которая с декабря 2019 года используется в кампаниях по фишингу.
Он нацелен на такие секторы, как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры.
Считается, что к этим атакам причастна APT-группа APT10.
В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку.
LODEINFO скрывает свои тактики, методы и процедуры (TTP), чтобы затруднить обнаружение.
Ограниченная информация о методах обнаружения и небольшое количество образцов LODEINFO препятствуют обмену информацией.
Новая версия LODEINFO (v0.7.3) была замечена по состоянию на 24 января 2024 года.
LODEINFO использует методы вредоносного ПО без файлов, включая шеллкод загрузчика и шеллкод бэкдора.
Для обнаружения LODEINFO необходимо выполнить сканирование и обнаружить вредоносное ПО в памяти.
LODEINFO заражает системы с помощью вредоносных документов Word, используя удаленное внедрение шаблонов.
Шеллкод загрузчика LODEINFO избегает обнаружения с помощью проверок архитектуры операционной системы, методов кодирования и разделения.
Поведение LODEINFO варьируется в разных версиях, ориентируясь на конкретные языковые среды.
Существует сходство между шеллкодом загрузчика LODEINFO и другим загрузчиком под названием DOWNIISSA.
Бэкдорный шелл-код LODEINFO обеспечивает удаленный доступ и работу с зараженными хостами.
LODEINFO претерпевает изменения в вычислении хэша и командах бэкдора, что усложняет анализ и обнаружение.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что LODEINFO - это вредоносная программа без файлов, которая была замечена в кампаниях фишинга с декабря 2019 года. Она нацелена на различные секторы, такие как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры. Считается, что к этим атакам причастна APT-группа APT10. В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку с обновлениями и новыми функциями. Вредоносная программа использует методы без использования файлов, и ее сложно обнаружить из-за того, что она сосредоточена на тактике сокрытия, методах и процедурах. Использование загрузчика и бэкдорного шеллкода является характерной особенностью LODEINFO. Вредоносная программа следует аналогичному пути заражения, полагаясь на вредоносные документы Word и удаленные инъекции шаблонов. Шеллкод загрузчика избегает обнаружения с помощью различных методов, включая проверку архитектуры и кодировку Base64. Различные версии LODEINFO демонстрируют различия в поведении, такие как языковые настройки и изменение имени файла. Анализ показывает необходимость в специализированных мерах обнаружения и продуктах для борьбы с LODEINFO. Шеллкод бэкдора обеспечивает удаленный доступ и работу с зараженными хостами, с изменениями в алгоритмах хэширования и добавлением команд бэкдора в разных версиях, что делает каждый образец уникальным и сложным для анализа и обнаружения.
-----
LODEINFO - это вредоносная программа без файлов, которая с декабря 2019 года используется в кампаниях по фишингу.
Он нацелен на такие секторы, как японские СМИ, дипломатия, государственные учреждения, оборонная промышленность и аналитические центры.
Считается, что к этим атакам причастна APT-группа APT10.
В 2023 году было обнаружено несколько версий LODEINFO, что указывает на активную разработку.
LODEINFO скрывает свои тактики, методы и процедуры (TTP), чтобы затруднить обнаружение.
Ограниченная информация о методах обнаружения и небольшое количество образцов LODEINFO препятствуют обмену информацией.
Новая версия LODEINFO (v0.7.3) была замечена по состоянию на 24 января 2024 года.
LODEINFO использует методы вредоносного ПО без файлов, включая шеллкод загрузчика и шеллкод бэкдора.
Для обнаружения LODEINFO необходимо выполнить сканирование и обнаружить вредоносное ПО в памяти.
LODEINFO заражает системы с помощью вредоносных документов Word, используя удаленное внедрение шаблонов.
Шеллкод загрузчика LODEINFO избегает обнаружения с помощью проверок архитектуры операционной системы, методов кодирования и разделения.
Поведение LODEINFO варьируется в разных версиях, ориентируясь на конкретные языковые среды.
Существует сходство между шеллкодом загрузчика LODEINFO и другим загрузчиком под названием DOWNIISSA.
Бэкдорный шелл-код LODEINFO обеспечивает удаленный доступ и работу с зараженными хостами.
LODEINFO претерпевает изменения в вычислении хэша и командах бэкдора, что усложняет анализ и обнаружение.
#ParsedReport #CompletenessHigh
25-01-2024
NSPX30: A sophisticated AitM-enabled implant evolving since 2005
https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005
Report completeness: High
Actors/Campaigns:
Blackwood (motivation: cyber_espionage)
Daggerfly
Luoyu
Littlebear
Gelsemium
Red_delta
Blacktech
Threats:
Nspx30
Project_wood
Dark_specter
Aitm_technique
Upx_tool
Spear-phishing_technique
Uac_bypass_technique
Supply_chain_technique
Victims:
Chinese companies, Japanese companies, Individuals located in china, japan, and the united kingdom, High-profile public research university in the united kingdom, Large manufacturing and trading company in china, Japanese corporation in the engineering and manufacturing vertical
Industry:
Telco, Education
Geo:
Ukraine, Japanese, Japan, China, Chinese
TTPs:
Tactics: 11
Technics: 42
IOCs:
File: 29
Path: 3
Url: 1
IP: 4
Command: 2
Domain: 2
Hash: 13
Soft:
Sogou, Visual Studio, Internet Explorer, Windows Defender, WeChat, Telegram
Algorithms:
rc4, zip, base64, exhibit
Functions:
CreateTaveInstance, When
Win API:
ExitProcess, WSCInstallNameSpace, CoCreateInstance, waveInOpen, waveInClose, waveInAddBuffer, waveOutOpen, waveOutWrite, waveOutClose
Languages:
powershell, visual_basic
Platforms:
intel, x86
Links:
25-01-2024
NSPX30: A sophisticated AitM-enabled implant evolving since 2005
https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005
Report completeness: High
Actors/Campaigns:
Blackwood (motivation: cyber_espionage)
Daggerfly
Luoyu
Littlebear
Gelsemium
Red_delta
Blacktech
Threats:
Nspx30
Project_wood
Dark_specter
Aitm_technique
Upx_tool
Spear-phishing_technique
Uac_bypass_technique
Supply_chain_technique
Victims:
Chinese companies, Japanese companies, Individuals located in china, japan, and the united kingdom, High-profile public research university in the united kingdom, Large manufacturing and trading company in china, Japanese corporation in the engineering and manufacturing vertical
Industry:
Telco, Education
Geo:
Ukraine, Japanese, Japan, China, Chinese
TTPs:
Tactics: 11
Technics: 42
IOCs:
File: 29
Path: 3
Url: 1
IP: 4
Command: 2
Domain: 2
Hash: 13
Soft:
Sogou, Visual Studio, Internet Explorer, Windows Defender, WeChat, Telegram
Algorithms:
rc4, zip, base64, exhibit
Functions:
CreateTaveInstance, When
Win API:
ExitProcess, WSCInstallNameSpace, CoCreateInstance, waveInOpen, waveInClose, waveInAddBuffer, waveOutOpen, waveOutWrite, waveOutClose
Languages:
powershell, visual_basic
Platforms:
intel, x86
Links:
https://gist.github.com/hfiref0x/196af729106b780db1c73428b5a5d68dhttps://github.com/3gstudent/Use-COM-objects-to-bypass-UAC/blob/master/IARPUninstallStringLauncher.cppWelivesecurity
NSPX30: A sophisticated AitM-enabled implant evolving since 2005
ESET researchers uncover NSPX30, a sophisticated implant used by a new China-aligned APT group we have named Blackwood.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-01-2024 NSPX30: A sophisticated AitM-enabled implant evolving since 2005 https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005 Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи ESET обнаружили новую группу APT под названием Blackwood, которая, как полагают, связана с Китаем. Blackwood использует сложный имплантат под названием NSPX30 в операциях кибершпионажа, нацеленных на китайских и японских частных лиц и компании. Внедрение NSPX30 осуществляется с помощью атак "злоумышленник посередине" путем перехвата запросов на обновление от законного программного обеспечения. Внедрение представляет собой многоступенчатую вредоносную программу с возможностями перехвата пакетов и возможностью вносить себя в белый список некоторых китайских решений для защиты от вредоносных программ. Исследователи проследили эволюцию NSPX30 вплоть до бэкдора под названием Project Wood и наблюдали, как он использовался в целенаправленных атаках против различных целей. Злоумышленники взаимодействуют с имплантатом, добавляя данные к DNS-запросам для домена microsoft.com. Имплантат запускается через капельницу, замаскированную под Rising Antivirus, взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.
-----
Новая ориентированная на Китай группа APT под названием Blackwood действует как минимум с 2018 года.
Blackwood использует сложный имплантат под названием NSPX30 для операций кибершпионажа против китайских и японских объектов.
NSPX30 поставляется с помощью атак "противник посередине", перехватывающих запросы на обновление от законного программного обеспечения.
Имплантат NSPX30 включает в себя такие компоненты, как капельница, установщик, загрузчики, оркестратор и бэкдор.
NSPX30 может осуществлять перехват пакетов, чтобы скрыть инфраструктуру злоумышленников и внести себя в белый список китайских решений для защиты от вредоносных программ.
NSPX30 развился из бэкдора под названием Project Wood, впервые обнаруженного в 2005 году.
Blackwood использует NSPX30 для целенаправленных атак на компании и частных лиц в Китае, Японии и Великобритании.
Blackwood использует сетевые имплантаты, возможно, на маршрутизаторах или шлюзах, для компрометации целей.
NSPX30 поставляется в виде вредоносного обновления для таких программ, как Tencent QQ, Sogou Pinyin и WPS Office.
Имплантат взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что исследователи ESET обнаружили новую группу APT под названием Blackwood, которая, как полагают, связана с Китаем. Blackwood использует сложный имплантат под названием NSPX30 в операциях кибершпионажа, нацеленных на китайских и японских частных лиц и компании. Внедрение NSPX30 осуществляется с помощью атак "злоумышленник посередине" путем перехвата запросов на обновление от законного программного обеспечения. Внедрение представляет собой многоступенчатую вредоносную программу с возможностями перехвата пакетов и возможностью вносить себя в белый список некоторых китайских решений для защиты от вредоносных программ. Исследователи проследили эволюцию NSPX30 вплоть до бэкдора под названием Project Wood и наблюдали, как он использовался в целенаправленных атаках против различных целей. Злоумышленники взаимодействуют с имплантатом, добавляя данные к DNS-запросам для домена microsoft.com. Имплантат запускается через капельницу, замаскированную под Rising Antivirus, взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.
-----
Новая ориентированная на Китай группа APT под названием Blackwood действует как минимум с 2018 года.
Blackwood использует сложный имплантат под названием NSPX30 для операций кибершпионажа против китайских и японских объектов.
NSPX30 поставляется с помощью атак "противник посередине", перехватывающих запросы на обновление от законного программного обеспечения.
Имплантат NSPX30 включает в себя такие компоненты, как капельница, установщик, загрузчики, оркестратор и бэкдор.
NSPX30 может осуществлять перехват пакетов, чтобы скрыть инфраструктуру злоумышленников и внести себя в белый список китайских решений для защиты от вредоносных программ.
NSPX30 развился из бэкдора под названием Project Wood, впервые обнаруженного в 2005 году.
Blackwood использует NSPX30 для целенаправленных атак на компании и частных лиц в Китае, Японии и Великобритании.
Blackwood использует сетевые имплантаты, возможно, на маршрутизаторах или шлюзах, для компрометации целей.
NSPX30 поставляется в виде вредоносного обновления для таких программ, как Tencent QQ, Sogou Pinyin и WPS Office.
Имплантат взаимодействует со своим контроллером через незашифрованный файл и поддерживает команды для извлечения данных и шпионажа.
#ParsedReport #CompletenessMedium
26-01-2024
Another Phobos Ransomware Variant Launches Attack FAUST
https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust
Report completeness: Medium
Threats:
Phobos
Eking
8base
Process_injection_technique
Lizar_loader
Blackrock
Devos
Elbie
Mamba
Phoenix_keylogger
Karma
Makop
Logan
Industry:
Financial
ChatGPT TTPs:
T1486, T1212, T1137, T1059.001, T1055, T1055.003
IOCs:
Url: 2
File: 10
Command: 1
Path: 2
Registry: 1
Hash: 5
Soft:
Curl
Algorithms:
xor, base64, exhibit
Functions:
Workbook_Open
Win API:
NtWriteVirtualMemory, RtlCreateUserThread, ZwAllocateVirtualMemory, NtProtectVirtualMemory
Win Services:
db2
Languages:
powershell
26-01-2024
Another Phobos Ransomware Variant Launches Attack FAUST
https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust
Report completeness: Medium
Threats:
Phobos
Eking
8base
Process_injection_technique
Lizar_loader
Blackrock
Devos
Elbie
Mamba
Phoenix_keylogger
Karma
Makop
Logan
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1486, T1212, T1137, T1059.001, T1055, T1055.003
IOCs:
Url: 2
File: 10
Command: 1
Path: 2
Registry: 1
Hash: 5
Soft:
Curl
Algorithms:
xor, base64, exhibit
Functions:
Workbook_Open
Win API:
NtWriteVirtualMemory, RtlCreateUserThread, ZwAllocateVirtualMemory, NtProtectVirtualMemory
Win Services:
db2
Languages:
powershell
Fortinet Blog
Another Phobos Ransomware Variant Launches Attack – FAUST
Fortiguard Labs unveils a recent FAUST ransomware attack, a variant of the Phobos family that exploits an Office document and deploys on Windows systems. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessMedium 26-01-2024 Another Phobos Ransomware Variant Launches Attack FAUST https://www.fortinet.com/blog/threat-research/phobos-ransomware-variant-launches-attack-faust Report completeness: Medium Threats: Phobos Eking 8base …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что семейство программ-вымогателей Phobos, в частности его вариант под названием FAUST ransomware, активно нацеливается на системы и заражает их. Программа-вымогатель FAUST использует документ со встроенным скриптом VBA для загрузки данных в кодировке Base64 из Gitea, которые затем декодируются и выполняются в виде чистого файла XLSX, позволяя программе-вымогателю шифровать файлы на компьютере жертвы. Вариант FAUST демонстрирует устойчивость в среде, создает несколько потоков для эффективного выполнения и добавляет расширение ".faust" к каждому зашифрованному файлу. Злоумышленники, стоящие за программой-вымогателем, также используют специальные индексы для расширений файлов, имен файлов и каталогов в своей функции дешифрования.
-----
Семейство программ-вымогателей Phobos - хорошо известная группа вредоносных программ, появившаяся в 2019 году и участвовавшая в различных кибератаках. Она шифрует файлы на компьютере жертвы и требует выкуп в криптовалюте за ключ расшифровки. FortiGuard Labs обнаружила и сообщила о нескольких вариантах программы-вымогателя Phobos, включая EKING и 8Base. Недавно они обнаружили документ Office, содержащий скрипт VBA, целью которого является распространение программы-вымогателя FAUST, которая является еще одним вариантом Phobos.
Злоумышленники, стоящие за программой-вымогателем FAUST, использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Когда эти файлы вводятся в системную память, они инициируют атаку шифрования файлов. Цепочка атак подробно представлена на рисунке 1.
Исследователи обнаружили документ XLAM, содержащий встроенный скрипт VBA, который запускает PowerShell для загрузки данных в кодировке Base64 из Gitea при открытии документа. Эти данные могут быть декодированы в чистый файл XLSX, который сохраняется во временной папке и автоматически открывается, создавая иллюзию того, что процесс завершен и безвреден.
Исполняемый файл AVG update.exe действует как загрузчик и использует методы, позволяющие избежать обнаружения и анализа. Он использует внедрение процесса для внедрения вредоносного кода в память нового процесса. Кроме того, файл кодирует все свои строки и преобразует их в XOR с помощью определенных шестнадцатеричных ключей перед использованием. Примеры ассемблерного кода показаны на рисунке 6.
Программа-вымогатель FAUST, разновидность семейства Phobos, шифрует файлы на компьютере жертвы и добавляет расширение ".faust" к каждому зашифрованному файлу. Она генерирует файлы info.txt и info.hta для связи с злоумышленниками. Программа-вымогатель связана с конфигурацией запуска Windows, что позволяет ей автоматически запускаться. Зашифрованные файлы имеют расширение ".id-3512.babylon4367@proton.me.faust". В записке о выкупе жертвам предлагается связаться с злоумышленниками по электронной почте или токсичным сообщением.
Вариант FAUST демонстрирует способность поддерживать постоянство в среде и создавать несколько потоков для эффективного выполнения. В своей функции расшифровки он использует специальные индексы для расширений файлов, имен файлов и каталогов. Первоначальный продавец инициировал процесс продажи программы-вымогателя FAUST в ноябре 2023 года, и деятельность по продаже продолжается.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что семейство программ-вымогателей Phobos, в частности его вариант под названием FAUST ransomware, активно нацеливается на системы и заражает их. Программа-вымогатель FAUST использует документ со встроенным скриптом VBA для загрузки данных в кодировке Base64 из Gitea, которые затем декодируются и выполняются в виде чистого файла XLSX, позволяя программе-вымогателю шифровать файлы на компьютере жертвы. Вариант FAUST демонстрирует устойчивость в среде, создает несколько потоков для эффективного выполнения и добавляет расширение ".faust" к каждому зашифрованному файлу. Злоумышленники, стоящие за программой-вымогателем, также используют специальные индексы для расширений файлов, имен файлов и каталогов в своей функции дешифрования.
-----
Семейство программ-вымогателей Phobos - хорошо известная группа вредоносных программ, появившаяся в 2019 году и участвовавшая в различных кибератаках. Она шифрует файлы на компьютере жертвы и требует выкуп в криптовалюте за ключ расшифровки. FortiGuard Labs обнаружила и сообщила о нескольких вариантах программы-вымогателя Phobos, включая EKING и 8Base. Недавно они обнаружили документ Office, содержащий скрипт VBA, целью которого является распространение программы-вымогателя FAUST, которая является еще одним вариантом Phobos.
Злоумышленники, стоящие за программой-вымогателем FAUST, использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл. Когда эти файлы вводятся в системную память, они инициируют атаку шифрования файлов. Цепочка атак подробно представлена на рисунке 1.
Исследователи обнаружили документ XLAM, содержащий встроенный скрипт VBA, который запускает PowerShell для загрузки данных в кодировке Base64 из Gitea при открытии документа. Эти данные могут быть декодированы в чистый файл XLSX, который сохраняется во временной папке и автоматически открывается, создавая иллюзию того, что процесс завершен и безвреден.
Исполняемый файл AVG update.exe действует как загрузчик и использует методы, позволяющие избежать обнаружения и анализа. Он использует внедрение процесса для внедрения вредоносного кода в память нового процесса. Кроме того, файл кодирует все свои строки и преобразует их в XOR с помощью определенных шестнадцатеричных ключей перед использованием. Примеры ассемблерного кода показаны на рисунке 6.
Программа-вымогатель FAUST, разновидность семейства Phobos, шифрует файлы на компьютере жертвы и добавляет расширение ".faust" к каждому зашифрованному файлу. Она генерирует файлы info.txt и info.hta для связи с злоумышленниками. Программа-вымогатель связана с конфигурацией запуска Windows, что позволяет ей автоматически запускаться. Зашифрованные файлы имеют расширение ".id-3512.babylon4367@proton.me.faust". В записке о выкупе жертвам предлагается связаться с злоумышленниками по электронной почте или токсичным сообщением.
Вариант FAUST демонстрирует способность поддерживать постоянство в среде и создавать несколько потоков для эффективного выполнения. В своей функции расшифровки он использует специальные индексы для расширений файлов, имен файлов и каталогов. Первоначальный продавец инициировал процесс продажи программы-вымогателя FAUST в ноябре 2023 года, и деятельность по продаже продолжается.
#ParsedReport #CompletenessHigh
26-01-2024
Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT
https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat
Report completeness: High
Actors/Campaigns:
Sidecopy
Fin13
Threats:
Allakore_rat
Spear-phishing_technique
Victims:
Mexican banks, Cryptocurrency trading entities, Mexican entities with large revenues
Industry:
Transport, Financial, Foodtech, Retail, Government
Geo:
America, Spanish, Mexico, Mexican
TTPs:
Tactics: 7
Technics: 18
IOCs:
File: 15
Domain: 21
Hash: 159
Url: 3
IP: 10
Soft:
Chrome
Algorithms:
sha256, md5
Languages:
powershell, php, delphi
26-01-2024
Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT
https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat
Report completeness: High
Actors/Campaigns:
Sidecopy
Fin13
Threats:
Allakore_rat
Spear-phishing_technique
Victims:
Mexican banks, Cryptocurrency trading entities, Mexican entities with large revenues
Industry:
Transport, Financial, Foodtech, Retail, Government
Geo:
America, Spanish, Mexico, Mexican
TTPs:
Tactics: 7
Technics: 18
IOCs:
File: 15
Domain: 21
Hash: 159
Url: 3
IP: 10
Soft:
Chrome
Algorithms:
sha256, md5
Languages:
powershell, php, delphi
BlackBerry
Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT
A financially-motivated threat actor has been targeting Mexican banks and cryptocurrency trading entities with a modified version of AllaKore RAT.
CTT Report Hub
#ParsedReport #CompletenessHigh 26-01-2024 Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT https://blogs.blackberry.com/en/2024/01/mexican-banks-and-cryptocurrency-platforms-targeted-with-allakore-rat Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что финансово мотивированный субъект угроз нацелен на мексиканские банки и организации, торгующие криптовалютами, используя модифицированную версию AllaKore RAT. Субъекты угроз используют методы социальной инженерии, такие как использование приманок, имитирующих документы Мексиканского института социального обеспечения, для распространения своего вредоносного ПО. Модифицированный RAT позволяет им красть банковские учетные данные и аутентификационную информацию, которая затем используется в целях финансового мошенничества. Считается, что группа threat actor базируется в Латинской Америке, и их таргетинг не привязан к конкретной отрасли, а сосредоточен на крупных компаниях, отчитывающихся перед департаментом IMSS правительства Мексики, с доходами свыше 100 миллионов долларов США. Кампания активна, по крайней мере, с 2021 года и продолжает использовать согласованную инфраструктуру командования и контроля. Полезная нагрузка RAT обладает различными возможностями, включая кейлоггинг, захват экрана и дистанционное управление. Группа threat actor также использует специальные IP-адреса и VPN-сервисы в Мексике для доступа по протоколу удаленного рабочего стола к своим серверам управления. В целом, кампания была упорной и продолжается уже более двух лет, что требует постоянной бдительности и мер кибербезопасности.
-----
Финансово мотивированный субъект угрозы нацелен на мексиканские банки и организации, торгующие криптовалютами.
Они используют специальные упакованные установщики для доставки модифицированной версии AllaKore RAT.
В процессе установки используются приманки, имитирующие документы Мексиканского института социального обеспечения (IMSS), и ссылки на легальные файлы.
Модифицированный AllaKore RAT позволяет злоумышленникам красть банковские учетные данные и аутентификационную информацию.
Украденная информация отправляется обратно на сервер управления (C2) в целях финансового мошенничества.
Группа исполнителей угроз, скорее всего, базируется в Латинской Америке, используя IP-адреса Starlink в Мексике и инструкции на испанском языке.
Кампания активна как минимум с 2021 года и продолжает использовать согласованную инфраструктуру C2.
Полезная нагрузка RAT способна вести кейлоггинг, захват экрана, загрузку файлов и дистанционное управление.
Злоумышленники используют расширение Chrome для блокировки доступа к определенным URL-адресам.
Кампания в первую очередь нацелена на крупные мексиканские компании с выручкой более 100 миллионов долларов США.
RAT обладает пользовательской функциональностью для учетных данных, специфичных для конкретной цели, и данных, связанных с банковской инфраструктурой.
Кампания продолжается уже более двух лет и не имеет никаких признаков прекращения.
Для защиты от этих атак необходимы бдительность и меры кибербезопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что финансово мотивированный субъект угроз нацелен на мексиканские банки и организации, торгующие криптовалютами, используя модифицированную версию AllaKore RAT. Субъекты угроз используют методы социальной инженерии, такие как использование приманок, имитирующих документы Мексиканского института социального обеспечения, для распространения своего вредоносного ПО. Модифицированный RAT позволяет им красть банковские учетные данные и аутентификационную информацию, которая затем используется в целях финансового мошенничества. Считается, что группа threat actor базируется в Латинской Америке, и их таргетинг не привязан к конкретной отрасли, а сосредоточен на крупных компаниях, отчитывающихся перед департаментом IMSS правительства Мексики, с доходами свыше 100 миллионов долларов США. Кампания активна, по крайней мере, с 2021 года и продолжает использовать согласованную инфраструктуру командования и контроля. Полезная нагрузка RAT обладает различными возможностями, включая кейлоггинг, захват экрана и дистанционное управление. Группа threat actor также использует специальные IP-адреса и VPN-сервисы в Мексике для доступа по протоколу удаленного рабочего стола к своим серверам управления. В целом, кампания была упорной и продолжается уже более двух лет, что требует постоянной бдительности и мер кибербезопасности.
-----
Финансово мотивированный субъект угрозы нацелен на мексиканские банки и организации, торгующие криптовалютами.
Они используют специальные упакованные установщики для доставки модифицированной версии AllaKore RAT.
В процессе установки используются приманки, имитирующие документы Мексиканского института социального обеспечения (IMSS), и ссылки на легальные файлы.
Модифицированный AllaKore RAT позволяет злоумышленникам красть банковские учетные данные и аутентификационную информацию.
Украденная информация отправляется обратно на сервер управления (C2) в целях финансового мошенничества.
Группа исполнителей угроз, скорее всего, базируется в Латинской Америке, используя IP-адреса Starlink в Мексике и инструкции на испанском языке.
Кампания активна как минимум с 2021 года и продолжает использовать согласованную инфраструктуру C2.
Полезная нагрузка RAT способна вести кейлоггинг, захват экрана, загрузку файлов и дистанционное управление.
Злоумышленники используют расширение Chrome для блокировки доступа к определенным URL-адресам.
Кампания в первую очередь нацелена на крупные мексиканские компании с выручкой более 100 миллионов долларов США.
RAT обладает пользовательской функциональностью для учетных данных, специфичных для конкретной цели, и данных, связанных с банковской инфраструктурой.
Кампания продолжается уже более двух лет и не имеет никаких признаков прекращения.
Для защиты от этих атак необходимы бдительность и меры кибербезопасности.
#ParsedReport #CompletenessMedium
26-01-2024
Inside the SYSTEMBC Command-and-Control Server
https://www.kroll.com/en/insights/publications/cyber/inside-the-systembc-malware-server
Report completeness: Medium
Threats:
Systembc
Blackbasta
Cuba
Gootkit
Cobalt_strike
Emotet
Fastflux_technique
Procmon_tool
Meterpreter_tool
Rhysida
Advanced-port-scanner_tool
Anydesk_tool
Megasync_tool
Industry:
Petroleum, E-commerce, Healthcare
Geo:
Russian
ChatGPT TTPs:
T1078, T1486, T1485, T1108, T1133, T1046, T1110, T1190, T1006, T1108, have more...
IOCs:
File: 4
Soft:
UNIX
Functions:
Windows
Win API:
VirtualProtect, CreateThread
Languages:
php
Platforms:
intel
26-01-2024
Inside the SYSTEMBC Command-and-Control Server
https://www.kroll.com/en/insights/publications/cyber/inside-the-systembc-malware-server
Report completeness: Medium
Threats:
Systembc
Blackbasta
Cuba
Gootkit
Cobalt_strike
Emotet
Fastflux_technique
Procmon_tool
Meterpreter_tool
Rhysida
Advanced-port-scanner_tool
Anydesk_tool
Megasync_tool
Industry:
Petroleum, E-commerce, Healthcare
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1078, T1486, T1485, T1108, T1133, T1046, T1110, T1190, T1006, T1108, have more...
IOCs:
File: 4
Soft:
UNIX
Functions:
Windows
Win API:
VirtualProtect, CreateThread
Languages:
php
Platforms:
intel
Kroll
Throughout Q2 and Q3 2023, Kroll has observed an increased use of the malicious “SYSTEMBC" tool to maintain access in a compromised…
CTT Report Hub
#ParsedReport #CompletenessMedium 26-01-2024 Inside the SYSTEMBC Command-and-Control Server https://www.kroll.com/en/insights/publications/cyber/inside-the-systembc-malware-server Report completeness: Medium Threats: Systembc Blackbasta Cuba Gootkit Cobalt_strike…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что фирма по кибербезопасности Kroll обнаружила растущее использование вредоносного инструмента SYSTEMBC субъектами угроз. SYSTEMBC действует как прокси-сервер SOCKS5 и используется для поддержания доступа в скомпрометированных сетях. Он часто используется вместе с различными семействами вредоносных программ и может быть приобретен на подпольных рынках. Инструмент включает в себя имплантат, сервер управления и веб-портал администрирования. Панель SYSTEMBC написана в виде монолитного PHP-скрипта и обладает тремя основными функциональными возможностями: проксирование SOCKS5, функциональность загрузчика и загрузка модулей. Компания Kroll определила SYSTEMBC как предпочтительный инструмент операторов программ-вымогателей RHYSIDA и продемонстрировала его полезность при атаках на сети жертв.
-----
Важные факты из текста:.
Фирма по кибербезопасности Kroll заметила рост использования инструмента SYSTEMBC субъектами угроз для поддержания доступа к скомпрометированным сетям.
SYSTEMBC действует как прокси-сервер SOCKS5 и может использоваться для постоянного доступа или для того, чтобы оставить бэкдор для будущего доступа.
SYSTEMBC часто используется вместе с различными семействами вредоносных программ, такими как RHYSIDIA, BLACKBASTA, CUBA, GOOTLOADER, COBALTSTRIKE и EMOTET.
Инструмент SYSTEMBC можно приобрести на подпольных рынках, он поставляется с имплантатом, сервером управления (C2) и порталом веб-администрирования.
Панель SYSTEMBC написана на PHP и лишена использования функций, ориентируясь на скорость создания рабочего веб-интерфейса.
SYSTEMBC обладает тремя основными функциональными возможностями: проксирование SOCKS5, функциональность загрузчика для запуска отдельных скриптов и исполняемых файлов и загрузка модуля для расширения его основной функциональности.
Имплантат устанавливает исходящее сетевое соединение с компьютера-жертвы к серверу C2, который реализует протокол SOCKS5.
SYSTEMBC обладает функциональностью шеллкода, позволяющей выполнять вредоносный код без загрузки и выполнения файла.
Компания Kroll определила SYSTEMBC как предпочтительный инструмент операторов программ-вымогателей RHYSIDA.
SYSTEMBC использовался в качестве начальной точки опоры при атаках, а дополнительные инструменты, такие как Advanced Port Scanner, AnyDesk и MegaSync, использовались для обнаружения сети, удаленного доступа и эксфильтрации, соответственно.
Команда CTI из Kroll продемонстрировала полезность и простоту использования SYSTEMBC в качестве бэкдора в сеть жертвы.
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что фирма по кибербезопасности Kroll обнаружила растущее использование вредоносного инструмента SYSTEMBC субъектами угроз. SYSTEMBC действует как прокси-сервер SOCKS5 и используется для поддержания доступа в скомпрометированных сетях. Он часто используется вместе с различными семействами вредоносных программ и может быть приобретен на подпольных рынках. Инструмент включает в себя имплантат, сервер управления и веб-портал администрирования. Панель SYSTEMBC написана в виде монолитного PHP-скрипта и обладает тремя основными функциональными возможностями: проксирование SOCKS5, функциональность загрузчика и загрузка модулей. Компания Kroll определила SYSTEMBC как предпочтительный инструмент операторов программ-вымогателей RHYSIDA и продемонстрировала его полезность при атаках на сети жертв.
-----
Важные факты из текста:.
Фирма по кибербезопасности Kroll заметила рост использования инструмента SYSTEMBC субъектами угроз для поддержания доступа к скомпрометированным сетям.
SYSTEMBC действует как прокси-сервер SOCKS5 и может использоваться для постоянного доступа или для того, чтобы оставить бэкдор для будущего доступа.
SYSTEMBC часто используется вместе с различными семействами вредоносных программ, такими как RHYSIDIA, BLACKBASTA, CUBA, GOOTLOADER, COBALTSTRIKE и EMOTET.
Инструмент SYSTEMBC можно приобрести на подпольных рынках, он поставляется с имплантатом, сервером управления (C2) и порталом веб-администрирования.
Панель SYSTEMBC написана на PHP и лишена использования функций, ориентируясь на скорость создания рабочего веб-интерфейса.
SYSTEMBC обладает тремя основными функциональными возможностями: проксирование SOCKS5, функциональность загрузчика для запуска отдельных скриптов и исполняемых файлов и загрузка модуля для расширения его основной функциональности.
Имплантат устанавливает исходящее сетевое соединение с компьютера-жертвы к серверу C2, который реализует протокол SOCKS5.
SYSTEMBC обладает функциональностью шеллкода, позволяющей выполнять вредоносный код без загрузки и выполнения файла.
Компания Kroll определила SYSTEMBC как предпочтительный инструмент операторов программ-вымогателей RHYSIDA.
SYSTEMBC использовался в качестве начальной точки опоры при атаках, а дополнительные инструменты, такие как Advanced Port Scanner, AnyDesk и MegaSync, использовались для обнаружения сети, удаленного доступа и эксфильтрации, соответственно.
Команда CTI из Kroll продемонстрировала полезность и простоту использования SYSTEMBC в качестве бэкдора в сеть жертвы.
#ParsedReport #CompletenessLow
26-01-2024
Invoice Phishing Alert: TA866 Deploys WasabiSeed & Screenshotter Malware
https://www.proofpoint.com/us/newsroom/news/invoice-phishing-alert-ta866-deploys-wasabiseed-screenshotter-malware
Report completeness: Low
Actors/Campaigns:
Ta866 (motivation: financially_motivated, information_theft, cyber_espionage, cyber_criminal)
Asylum_ambuscade (motivation: cyber_espionage)
Ta571 (motivation: cyber_criminal)
Threats:
Wasabiseed
Rhadamanthys
Netsupportmanager_rat
Asyncrat
Icedid
Pikabot
Qakbot
Darkgate
Agent_tesla
Formbook
Industry:
Retail, Transport, Financial
Geo:
Italy, Australia, America, Korean, France, India
ChatGPT TTPs:
T1566, T1566.001, T1566.002, T1550, T1003, T1064, T1213, T1094.004, T1001, T1105, have more...
Soft:
AutoHotKey, WhatsApp, Telegram
Languages:
visual_basic, autoit
26-01-2024
Invoice Phishing Alert: TA866 Deploys WasabiSeed & Screenshotter Malware
https://www.proofpoint.com/us/newsroom/news/invoice-phishing-alert-ta866-deploys-wasabiseed-screenshotter-malware
Report completeness: Low
Actors/Campaigns:
Ta866 (motivation: financially_motivated, information_theft, cyber_espionage, cyber_criminal)
Asylum_ambuscade (motivation: cyber_espionage)
Ta571 (motivation: cyber_criminal)
Threats:
Wasabiseed
Rhadamanthys
Netsupportmanager_rat
Asyncrat
Icedid
Pikabot
Qakbot
Darkgate
Agent_tesla
Formbook
Industry:
Retail, Transport, Financial
Geo:
Italy, Australia, America, Korean, France, India
ChatGPT TTPs:
do not use without manual checkT1566, T1566.001, T1566.002, T1550, T1003, T1064, T1213, T1094.004, T1001, T1105, have more...
Soft:
AutoHotKey, WhatsApp, Telegram
Languages:
visual_basic, autoit