CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 CharmingCypress: Innovating Persistence https://www.volexity.com/blog/2024/02/13/charmingcypress-innovating-persistence Report completeness: High Actors/Campaigns: Charming_kitten Apt42 Educated_manticore Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в детальном мониторинге и анализе фишинговых кампаний, проводимых группой по борьбе с угрозами иранского происхождения CharmingCypress, которая нацелена на организации и отдельных лиц, занимающихся политической разведкой, аналитическими центрами, НПО и журналистикой. CharmingCypress использует различные тактики социальной инженерии, поддельные платформы для вебинаров, методы подмены и загруженные вредоносными программами VPN-приложения для развертывания вредоносных программ и ведения слежки за своими целями. Организациям и частным лицам рекомендуется ознакомиться с тактикой CharmingCypress и компонентами вредоносного ПО, чтобы усилить свою защиту от этой постоянной угрозы.
-----

Volexity отслеживает фишинговые кампании, проводимые хакером иранского происхождения CharmingCypress, нацеленные на аналитические центры, НПО и журналистов.

CharmingCypress использует тактику социальной инженерии в фишинговых кампаниях и недавно создала поддельную платформу для вебинаров для распространения вредоносных VPN-приложений.

CharmingCypress использует различные методы, включая подмену, домены с опечатками, цепочки перенаправлений, скомпрометированные учетные записи электронной почты и множество личностей в своей фишинговой деятельности.

Исполнитель угроз распространяет вредоносное ПО через архивы RAR, содержащие файлы LNK, и использует загруженные вредоносными программами VPN-приложения для развертывания вредоносного ПО.

CharmingCypress создала поддельные профили вебинаров, связанные с экспертами по ближневосточной политике, указав, что они были целями кампании.

Загруженные вредоносными программами VPN-приложения развернули бэкдоры под названием POWERLESS в системах Windows и NOKNOK в системах macOS.

Volexity обнаружила недокументированный бэкдор под названием BASICSTAR, используемый CharmingCypress для сбора системной информации и выполнения команд.

CharmingCypress использует дополнительные инструменты, такие как средства перехвата информации в браузере, модули сохранения и скрипты PowerShell для кражи данных и наблюдения.

Исполнитель угроз нацелен на журналистов, активистов, ученых и политических экспертов, демонстрируя высокий уровень приверженности проведению слежки и регулярно адаптируя методы для достижения максимального успеха.
#ParsedReport #CompletenessMedium
13-02-2024

Bumblebee Buzzes Back in Black

https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black

Report completeness: Medium

Actors/Campaigns:
Ta579
Ta576 (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta582
Ta2541
Ta571
Ta577
Ta544
Ta558

Threats:
Bumblebee
Smuggling_technique
Darkgate
Qakbot
Pikabot

Industry:
Aerospace

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1027, T1190, T1567, T1086, T1218

IOCs:
Email: 1
Url: 4
Hash: 4
Domain: 1
IP: 1

Algorithms:
rc4, sha256, zip

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Bumblebee Buzzes Back in Black https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black Report completeness: Medium Actors/Campaigns: Ta579 Ta576 (motivation: financially_motivated) Ta866…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в следующем: исследователи Proofpoint выявили возрождение вредоносного ПО Bumblebee, сложного загрузчика, пользующегося популярностью у киберпреступников, после четырехмесячного отсутствия. Эта недавняя кампания демонстрирует изменения в методах распространения и потенциальную привязку к известному субъекту угрозы в будущем. Возрождение Bumblebee является частью более широкого роста активности киберпреступников, когда различные субъекты угроз и вредоносное ПО возвращаются после периодов бездействия. Анализ показывает, что устойчиво высокие темпы работы киберпреступников, как ожидается, сохранятся в течение всего года.
-----

Исследователи Proofpoint недавно обнаружили возрождение вредоносного ПО Bumblebee 8 февраля 2024 года после четырехмесячного отсутствия. Bumblebee - это сложный загрузчик, пользующийся популярностью у различных участников киберпреступных угроз с момента его первоначального появления в марте 2022 года. Вредоносная программа работает, используя документы с поддержкой макросов VBA в своей цепочке атак, метод, который в последнее время реже используется участниками угроз из-за усиления мер безопасности, введенных Microsoft в 2022 году. Цепочка атак включает вредоносные документы Word, содержащие команду PowerShell, которая загружает и выполняет следующий этап с удаленного сервера, что в конечном итоге приводит к развертыванию библиотеки DLL Bumblebee.

Заслуживающие внимания изменения в этой недавней кампании Bumblebee включают в себя переход от ранее наблюдавшихся методов распространения. В прошлых кампаниях по распространению Bumblebee использовались электронные письма с URL-адресами, ведущими к загрузке DLL-файлов, HTML-вложения, использующие уязвимости WinRAR, заархивированные вложения VBS, использующие PowerShell, и заархивированные файлы LNK для загрузки исполняемых файлов. Из примерно 230 кампаний Bumblebee, выявленных с 2022 года, лишь небольшое число включало макросы, причем наиболее часто использовались макросы XL4 и VBA.

В настоящее время Proofpoint не относит это действие к конкретному субъекту угрозы, хотя некоторые характеристики, такие как тема приманки голосовой почты и использование URL-адресов OneDrive, предполагают сходство с предыдущими действиями TA579. Продолжение расследований может привести к тому, что в будущем эта кампания будет приписана известному исполнителю угрозы. Анализ показывает, что загрузчик Bumblebee с высокой степенью уверенности может служить в качестве средства первоначального доступа для доставки последующих полезных нагрузок, таких как программы-вымогатели.

Возрождение Bumblebee совпадает с более широким ростом активности киберпреступников, когда различные субъекты угроз и вредоносные программы возвращаются после длительных периодов бездействия. Примечательными примерами являются повторные появления TA576 на налоговую тематику, сложного TA866, оператора постэксплуатации TA582 и участника ecrime TA2541. Вредоносная программа DarkGate также появилась вновь, выпущенная TA571 с новым обновлением (версия 6.1.6) после некоторого перерыва. Кроме того, основные участники электронной преступности TA577, TA544 и TA558 вернулись в конце января, а TA577 повторно внедрила вредоносное ПО Qbot после его сбоя в августе.

В течение года исследователи Proofpoint ожидают сохранения высокого уровня активности киберугроз, при этом субъекты угроз внедряют новые цепочки атак, эволюционируют тактики уклонения и обновляют вредоносное ПО. Текущая тенденция предполагает сохранение высоких темпов работы киберпреступников до ожидаемых перерывов в летнее время.
#ParsedReport #CompletenessMedium
13-02-2024

Python s Colorama Typosquatting Meets Fade Stealer Malware

https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant

Threats:
W4sp
Typosquatting_technique

Victims:
Developers

Industry:
Entertainment, Financial

Geo:
French

ChatGPT TTPs:
do not use without manual check
T1588.001, T1199, T1550.002, T1003.001, T1036.001, T1583.005, T1071.001

IOCs:
Url: 1
Hash: 3

Soft:
Discord, Telegram, Roblox

Algorithms:
base64

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Python s Colorama Typosquatting Meets Fade Stealer Malware https://www.imperva.com/blog/pythons-colorama-typosquatting-meets-fade-stealer-malware Report completeness: Medium Actors/Campaigns: Dropping_elephant…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи киберугроз обнаружили попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python под названием Colorama, который в настоящее время входит в число самых загружаемых пакетов на PyPI. Это открытие выявляет тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения, в частности, нацеливаясь на пользователей Windows для извлечения конфиденциальных данных с популярных веб-сайтов. Анализ также подчеркивает необходимость бдительности в сообществе кибербезопасности для оперативного выявления таких действий и сообщения о них, а также важность тщательного изучения деталей пакетов, чтобы не стать жертвой этих атак.
-----

Исследование угроз Imperva выявило попытку замаскировать вредоносную программу Fade Stealer под популярный пакет Python Colorama, который в настоящее время занимает 44-е место среди наиболее загружаемых пакетов на PyPI. Это открытие высвечивает тревожную тенденцию, когда злоумышленники используют широко используемые пакеты для распространения вредоносного программного обеспечения и обмана ничего не подозревающих разработчиков. В прошлом году было выявлено несколько аналогичных попыток использовать пакет colorama с помощью typosquatting, таких как colarama, colourama и colorama-api, которые впоследствии были удалены из PyPI.

В ходе анализа кода setup.py была обнаружена ссылка на Fade Stealer, что привело к дальнейшему расследованию. Информация из различных блогов, в том числе из Fortinet, показала, что Fade Stealer в первую очередь нацелен на пользователей Windows, о чем свидетельствуют конкретные переменные среды и пути внутри вредоносного ПО. Вредоносная программа предназначена для извлечения конфиденциальных данных с популярных веб-сайтов в различных секторах, таких как игры, социальные сети и развлечения. Известные цели включают Facebook, Telegram, Roblox и Discord, с акцентом на получение платежных реквизитов от пользователей Discord. Используя Discord API с использованием обозначения @me, злоумышленник может получить доступ к токенам сеанса для несанкционированных действий.

Интересным наблюдением из анализа кода стало использование термина "methode", который указывает на возможного неродного носителя английского языка, стоящего за созданием Fade Stealer. Это расхождение в написании больше соответствует словам в других языках, таких как французский, а не стандартной английской терминологии. Комбинация тактик, включающих как Fade Stealer, так и typosquatting из Colorama, представляет собой новый подход в сфере кибербезопасности. В нем подчеркиваются изощренные методы, используемые участниками угроз для использования доверия сообщества Python, подчеркивается критическая важность тщательного изучения деталей пакета, включая имена и авторов, чтобы не стать жертвой таких атак.

Инцидент также подчеркивает ключевую роль сопровождающих репозитория и более широкого сообщества в оперативном обнаружении вредоносных действий и сообщении о них для защиты целостности экосистемы. Поддержание бдительности и внедрение надежных методов обеспечения безопасности необходимы для пресечения такой тактики обмана и обеспечения общей безопасности процессов разработки программного обеспечения. В заключение, этот случай служит предостерегающим напоминанием пользователям о необходимости проявлять осторожность и осмотрительность при работе с программными пакетами, особенно в критически важных проектах, где повышены риски компрометации.
#ParsedReport #CompletenessHigh
13-02-2024

From Cracked to Hacked: Malware Spread via YouTube Videos

https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos

Report completeness: High

Threats:
Redline_stealer
Raccoon_stealer
Smokeloader
Seo_poisoning_technique
Tropicracked_actor
Vidar_stealer
Privateloader
De4dot_tool
Process_injection_technique

Industry:
Education

Geo:
Spanish, Finland, American, Indonesian, Portuguese, Korean, French, America, Bangladesh, Italian

TTPs:
Tactics: 4
Technics: 8

IOCs:
File: 1
IP: 1
Hash: 2

Soft:
Adobe Animate, Microsoft Office, Telegram

Algorithms:
sha256

Win API:
decompress

Languages:
visual_basic

Links:
https://github.com/dnSpy/dnSpy
https://github.com/de4dot/de4dot
CTT Report Hub
#ParsedReport #CompletenessHigh 13-02-2024 From Cracked to Hacked: Malware Spread via YouTube Videos https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos Report completeness: High Threats: Redline_stealer Raccoon_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
В отчете об анализе угроз подчеркивается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносного ПО, замаскированного под взломанные версии популярного программного обеспечения, уделяя особое внимание недорогим целевым кампаниям в Южной Америке. В нем подчеркивается тактика, используемая субъектами угроз, распространенные типы вредоносных программ, такие как Redline и RacoonStealer, и конкретный субъект угроз с именем TropiCracked. В отчете рекомендуется обучать пользователей, обновлять системы обнаружения на основе сигнатур и внедрять механизмы обнаружения, основанные на поведении, такие как платформа защиты от киберугроз, для повышения безопасности от таких атак.
-----

В отчете об анализе угроз обсуждается, как злоумышленники используют скомпрометированные аккаунты YouTube для распространения вредоносных программ, в частности таких инфокрадов, как Redline и Racoonstealer, под видом взломанных версий популярного платного программного обеспечения. Эти атаки характеризуются недорогими кампаниями с медленным запуском, которые нацелены на жертв в основном в Южной Америке. Участники угроз используют различные методы, такие как SEO-отравление и поддельные положительные комментарии, чтобы заманить жертв на загрузку вредоносных файлов. Наиболее часто встречающиеся вредоносные программы включают Redline и RacoonStealer, оба из которых относительно дешевы и доступны для исполнителей угроз. В отчете также подробно описывается конкретный исполнитель угроз по имени TropiCracked, который скомпрометировал более 800 аккаунтов YouTube в Южной Америке для распространения вредоносной полезной нагрузки. TropiCracked использует облегченную архитектуру и использует такие платформы, как Telegraph и Mediafire, для размещения и распространения вредоносных программ. Часто обновляя ссылки для скачивания и полезную нагрузку, злоумышленники могут избежать обнаружения и продолжать нацеливаться на ничего не подозревающих пользователей.

Для защиты от таких атак организациям рекомендуется информировать пользователей о рисках загрузки программного обеспечения из ненадежных источников и регулярно обновлять механизмы обнаружения на основе сигнатур. Внедрение механизмов обнаружения, основанных на поведении, таких как платформа Cybereason Defense Platform, может помочь в обнаружении и предотвращении инфекций за счет блокирования вредоносных файлов и использования анализа угроз, машинного обучения и возможностей антивирусов нового поколения. Включение таких функций, как контроль приложений, защита от программ-вымогателей и защита от различных видов полезной нагрузки, может повысить уровень безопасности организации от вредоносных угроз.
#ParsedReport #CompletenessMedium
13-02-2024

Malware Development Competition Fuels Creation of 20+ Malware

https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware

Report completeness: Medium

Threats:
Xsslite
Dll_sideloading_technique
Timestomp_technique

Industry:
Healthcare

Geo:
Russian, Chinese

ChatGPT TTPs:
do not use without manual check
T1587, T1588, T1204, T1547, T1082, T1055, T1497, T1552, T1056, T1071, have more...

IOCs:
Hash: 1

Soft:
Flask, Hyper-V

Wallets:
metamask

Crypto:
dogecoin

Algorithms:
sha1, md5, sha256

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 13-02-2024 Malware Development Competition Fuels Creation of 20+ Malware https://www.cyfirma.com/outofband/malware-development-competition-fuels-creation-of-20-malware Report completeness: Medium Threats: Xsslite Dll_…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение появления XSSLite Stealer, разработанного в рамках конкурса вредоносных программ, организованного российским хакерским сообществом, и его последующего распространения в китайских хакерских сообществах. В тексте также освещаются возможности и функционал XSSLite Stealer, влияние конкуренции на ландшафт угроз и взаимосвязанный характер подпольной кибердеятельности.
-----

В отчете обсуждается появление программы XSSLite Stealer, которая была разработана в рамках конкурса разработчиков вредоносных программ под названием XSSWare, организованного российским хакерским сообществом, известным как XSS. Разработчик XSSLite поделился исходным кодом проекта и указал на переход к новому проекту. После публикации на российском форуме stealer был распространен среди китайских хакерских сообществ, демонстрируя его распространение за пределы первоначальной платформы.

Сообщается, что XSSLite Stealer, созданный на C# с веб-панелью, встроенной в Python Flask, претерпевает переход на C++. Вредоносная программа оснащена различными функциональными возможностями, такими как использование инструментария управления Windows (WMI) для вредоносных команд, использование дополнительной загрузки библиотеки DLL для выполнения полезных нагрузок, извлечение конфиденциальной информации об устройстве, использование контроля записи при выделении памяти и проверка файла hosts на наличие доступных конечных точек. Кроме того, он идентифицирует жертв с помощью проверки общедоступных IP-адресов, реализует методы обхода "песочницы" и защиты от отладки, а также осуществляет кражу учетных данных браузера и ведение журнала нажатий клавиш. Инструкции по настройке сборки для передачи журналов на частный сервер управления перед компиляцией указывают на ее расширенные возможности.

В ответ на объявление о конкурсе на разработку вредоносных программ более 20 разработчиков вредоносных программ представили свои разработки на Российском хакерском форуме, что позволило пользователям бесплатно получить доступ к этим вредоносным инструментам. Среди представленных материалов участник представил три различных вредоносных программы, в том числе XSSLite infostealer, а также средство проверки начальных фраз криптографических данных и брутер кошелька Metamask. Конкуренция спровоцировала распространение различных типов бесплатных вредоносных программ, начиная от утилит, связанных с криптографией, и заканчивая похитителями информации, демонстрируя широту распространения изобретательных и вредоносных инструментов.

Влияние конкуренции на ландшафт угроз очевидно, демонстрируя, как денежные стимулы и вовлечение общественности в такие мероприятия стимулируют производство и распространение опасных вредоносных программ. В условиях продолжающейся конкуренции, стимулирующей создание большего количества вредоносных программ, форум готов увидеть всплеск вредоносных кампаний, использующих разработанные инструменты. Взаимосвязанный характер этой подпольной кибердеятельности подчеркивает важность мониторинга и понимания меняющейся тактики, используемой субъектами угроз в цифровой сфере.
#ParsedReport #CompletenessLow
13-02-2024

Warzone RAT infrastructure seized

https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized

Report completeness: Low

Threats:
Warzone_rat
Avemaria_rat

Geo:
Malta, Nigeria

ChatGPT TTPs:
do not use without manual check
T1566, T1569.002, T1056.001, T1113, T1056.001, T1185

IOCs:
Hash: 7
File: 3
CTT Report Hub
#ParsedReport #CompletenessLow 13-02-2024 Warzone RAT infrastructure seized https://www.malwarebytes.com/blog/news/2024/02/warzone-rat-infrastructure-seized Report completeness: Low Threats: Warzone_rat Avemaria_rat Geo: Malta, Nigeria ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Министерство юстиции объявило об успешном захвате интернет-доменов, продающих вредоносное ПО для кражи информации под названием Warzone RAT, что привело к арестам на Мальте и в Нигерии. Аналитики выявили признаки компрометации, связанные с вредоносным ПО, призывая отдельных лиц сообщать об инцидентах в ФБР и применять передовые методы безопасности для защиты от RATs, таких как Warzone. Внедрение таких решений, как Malwarebytes и ThreatDown, может помочь в обнаружении и уничтожении вредоносных программ, подчеркивая важность упреждающих мер безопасности в свете растущих киберугроз.
-----

9 февраля 2024 года Министерство юстиции сделало важное заявление о международной операции, в ходе которой был успешно захвачен интернет-домен, связанный с продажей вредоносного ПО для кражи информации. Операция, проводимая федеральными властями в Бостоне, была нацелена на www.warzone.ws и три связанных домена, которые продавали вредоносное ПО Warzone RAT. Эта конкретная вредоносная программа, известная как троян удаленного доступа (RAT), была очень сложной и предоставляла киберпреступникам несанкционированный доступ к системам жертв. Используя Warzone RAT, злоумышленники могли перемещаться по файловым системам жертв, делать скриншоты, регистрировать нажатия клавиш, воровать имена пользователей и пароли и даже шпионить за жертвами с помощью их веб-камер, и все это тайно, без ведома или согласия жертв.

После операции 7 февраля 2024 года правоохранительные органы произвели аресты на Мальте и в Нигерии. Двое задержанных подозреваемых были обвинены в продаже вредоносного ПО Warzone RAT и оказании поддержки киберпреступникам, которые использовали его для вредоносных действий. Любому человеку, который считает, что он стал жертвой компьютерного вторжения с участием Warzone RAT, настоятельно рекомендуется незамедлительно сообщить об инциденте в ФБР.

В свете этих событий аналитики выявили несколько индикаторов компрометации (IOCs), связанных с последними версиями Warzone RAT, альтернативно известной как AveMaria Stealer. Вредоносное ПО обычно распространяется с помощью мошеннических кампаний по электронной почте, которые используют тактику социальной инженерии, чтобы обманом заставить получателей загрузить и активировать вредоносную полезную нагрузку. Следовательно, распознавание определенных признаков того, что RAT активен в вашей системе, имеет решающее значение для быстрого обнаружения и устранения потенциальных угроз.

Для защиты систем от опасностей, создаваемых RATs, важно придерживаться основных рекомендаций по обеспечению безопасности. Использование решений для обеспечения безопасности, таких как Malwarebytes и ThreatDown, может помочь в обнаружении и уничтожении Warzone RAT. Эти продукты предназначены для устранения любых остатков вредоносных программ и защиты систем от последующих атак, предлагая комплексную защиту от целого ряда киберугроз, включая программы-вымогатели.

Учитывая растущую распространенность сложных вредоносных программ, таких как Warzone RAT, компаниям и частным лицам настоятельно рекомендуется сохранять бдительность и принимать упреждающие меры безопасности для защиты своих активов и информации. Оставаясь в курсе возникающих угроз и инвестируя в надежные решения для кибербезопасности, организации могут снизить риски и предотвратить потенциально разрушительные киберинциденты. Заинтересованные стороны могут изучить дополнительные возможности повышения своей кибербезопасности, получив доступ к бесплатным пробным предложениям от авторитетных поставщиков услуг безопасности.
#ParsedReport #CompletenessHigh
12-02-2024

Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer (English ver.). Executive Summary

https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Troll-stealer
Supply_chain_technique
Appleseed
Alphaseed
Vmprotect_tool
Gobear
Meterpreter_tool

Victims:
Sga solutions

Industry:
Government

Geo:
Korean, Korea

TTPs:
Tactics: 8
Technics: 17

IOCs:
File: 3
Path: 15
Hash: 10
Command: 3
Url: 7
Domain: 6
IP: 1

Soft:
chrome

Algorithms:
sha512, md5, xor, sha256, rc4, base64, rsa-4096

Languages:
golang, powershell

Platforms:
x86

Links:
https://github.com/moonD4rk/HackBrowserData
https://github.com/moonD4rk/HackBrowserData/
https://github.com/kbinani/screenshot
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2024 Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer (English ver.). Executive Summary https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Центр исследования угроз и разведки S2W обнаружил новую вредоносную программу под названием Troll Stealer, связанную с группой Kimsuky, которая специализируется на краже информации из зараженных систем. Вредоносное ПО, замаскированное под программу безопасности, обладает сложными возможностями, приписываемыми Kimsuky на основе сходства кода, но с потенциальным участием другой группы. Вредоносное ПО использует методы уклонения, передовые методы шифрования и коммуникации с серверами C&C, что указывает на ориентацию на административные и общественные организации в Южной Корее. Возникают опасения по поводу будущих вредоносных действий в связи с обнаружением другой вредоносной программы GoBear, обладающей схожими характеристиками и подписанной тем же законным сертификатом.
-----

Центр исследований и разведки угроз S2W, Talon, недавно обнаружил новую вредоносную программу, предположительно связанную с группой Kimsuky. Названная Troll Stealer, эта вредоносная программа представляет собой угрозу для кражи информации, написанную на языке Go и способную красть различные данные из зараженных систем. Вредоносное ПО распространялось со страницы, которая перенаправляла пользователей на определенный сайт в Южной Корее, где предлагалась для скачивания программа безопасности. Было отмечено, что только 2 из 5 установщиков, распространяемых сайтом, содержали вредоносное ПО.

Вредоносная программа Troll Stealer работает путем удаления и запуска из файла-дроппера, замаскированного под установку программы безопасности от SGA Solutions. Как дроппер, так и сама вредоносная программа подписаны действительным сертификатом D2innovation Co.,LTD, что указывает на возможную кражу сертификата. Troll Stealer может извлекать такую информацию, как данные SSH, учетные данные FileZilla, файлы с диска C, активность браузера, системные сведения и даже делать снимки экрана, отправляя эти данные на свой сервер управления (C&C).

Одним из ключевых аспектов анализа является отнесение вредоносного ПО к группе Kimsuky на основе сходства кода с известными вредоносными программами, такими как AppleSeed и AlphaSeed. Однако определенные различия в тактике, методах и процедурах (TTP) привели к предположению, что к распространению вредоносного ПО может быть причастна другая группа, тесно связанная с Kimsuky. Примечательно, что Troll Stealer включает в себя функции таргетинга на папку GPKI в зараженных системах, что предполагает ориентацию на административные и общественные организации в Южной Корее.

Вредоносная программа использует различные методы уклонения, включая удаление определенных задач во время выполнения и шифрование украденных данных с использованием комбинации алгоритмов RC4 и RSA. Она также использует последовательности обмена данными, оптимизированные для эксфильтрации, удаления доказательств после передачи данных и самоудаления с помощью сценариев PowerShell. Детали анализа указывают на то, что поведение вредоносной программы Troll Stealer отражает поведение предыдущих угроз, связанных с Kimsuky, что усиливает принадлежность к этой группе.

Кроме того, обнаружение дополнительных вредоносных программ, подписанных тем же законным сертификатом, вызывает опасения по поводу потенциальных будущих вредоносных действий. Другая часть вредоносного ПО, названная GoBear, была идентифицирована как бэкдор на основе языка Go, подписанный тем же сертификатом. GoBear продемонстрировал возможности, согласованные с командами сервера C&C, при этом некоторые строки имен функций перекрывались с известной вредоносной программой-бэкдором на основе C++ под названием BetaSeed, используемой Kimsuky group.