#ParsedReport #CompletenessLow
18-03-2024

AsukaStealer: The Next Chapter in ObserverStealer s Story

https://any.run/cybersecurity-blog/asukastealer-malware-analysis

Report completeness: Low

Threats:
Asukastealer
Observerstealer
White_snake
Terminator_tool

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1012, T1555, T1113, T1056, T1573

IOCs:
Hash: 4
File: 13
Path: 1

Soft:
Telegram, Google Chrome, Chrome

Algorithms:
sha256, md5, aes-256, base64, xor

Win API:
GetCurrentHwProfileA, GetNativeSystemInfo, GetUserDefaultLangID, GetUserNameW, EnumDisplayDevicesW, CreateToolhelp32Snapshot, Process32FirstW, GetDC, CreateCompatibleDC, GetDeviceCaps, have more...

Platforms:
intel

Links:
https://gist.github.com/RussianPanda95/c39a2954db693d50a097709228d22ee2
https://github.com/RussianPanda95/Yara-Rules/blob/main/AsukaStealer/mal\_asuka\_stealer.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ нового штамма вредоносного ПО под названием AsukaStealer, который продается за 80 долларов в месяц физическим лицом, ранее связанным с ObserverStealer. Анализ фокусируется на сходствах и различиях между двумя похитителями, особенно в их методах шифрования, методах сбора данных и тактике уклонения. В нем также обсуждается потенциальный ребрендинг ObserverStealer как AsukaStealer и освещается использование платформы ANY.RUN для анализа вредоносных программ.
-----

Анна Фам, известная как RussianPanda, старший исследователь по анализу угроз и приглашенный автор блога ANY.RUN, провела исследование AsukaStealer, которое было объявлено о продаже по цене 80 долларов в месяц физическим лицом под ником breakcore 19 мая 2023 года. AsukaStealer, разработанный на C++, предлагает возможности для развертывания дополнительных полезных нагрузок, настройки параметров FileGrabber и отправки журналов через Telegram. Ранее Breakcore продавала ObserverStealer до июля 2023 года, получив отрицательные отзывы. Этот анализ направлен на определение того, является ли AsukaStealer ребрендингом ObserverStealer.

AsukaStealer с хэшем MD5 32583272b5b5bd95e770661438b41daf - это программа на C++ с незашифрованной полезной нагрузкой размером около 440 КБ. При анализе в ANY.RUN было отмечено сходство с ObserverStealer, в частности, в кодировке base64 и шестнадцатеричных значениях. AsukaStealer использует шифрование XOR для адресов C2, используя определенный ключ для шифрования. Он отправляет системную информацию и установленные приложения на сервер C2, получая такие сведения, как профили оборудования, названия продуктов операционной системы, языковые предпочтения пользователя, архитектура системы и установленные приложения. Кроме того, он сканирует на наличие определенных процессов, таких как Telegram.exe и steam.exe, собирая соответствующие файлы, связанные с Steam Desktop Authenticator, и отправляя их на сервер для дальнейшей расшифровки.

При первоначальном заражении AsukaStealer извлекает уникальный идентификатор X-сеанса с сервера C2 для дальнейшей связи. Конфигурация stealer также получена с сервера C2 посредством специальных вызовов API. ObserverStealer и AsukaStealer имеют сходство в том, как они извлекают конфигурации, но различаются в своем подходе к анализу данных. ObserverStealer загружает DLL-зависимости для расшифровки данных на хосте, в то время как AsukaStealer выбирает операции на стороне сервера, сокращая свой цифровой след и избегая обнаружения.

AsukaStealer отличается от ObserverStealer тем, что устраняет необходимость во внешних зависимостях DLL, предпочитая операции на стороне сервера для анализа и дешифрования данных. Ребрендинг ObserverStealer как AsukaStealer, вероятно, связан с негативными отзывами и стремлением разработчиков улучшить stealer, основываясь на прошлой критике.

#ParsedReport #CompletenessLow
19-03-2024

Suspicious Text Messages Alert

https://labs.k7computing.com/index.php/suspicious-text-messages-alert

Report completeness: Low

Threats:
Cashback

Industry:
Financial

Geo:
Indian

IOCs:
File: 1
Hash: 1
Domain: 1

Soft:
Android

#ParsedReport #CompletenessHigh
18-03-2024

Securonix Threat Research Security Advisory: Analysis of New DEEP#GOSU Attack Campaign Likely Associated with North Korean Kimsuky Targeting Victims with Stealthy Malware

https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-deepgosu-attack-campaign

Report completeness: High

Actors/Campaigns:
Deep_gosu
Kimsuky
Darkpink

Threats:
Trurat
Tutclient_tool
Xrat_rat

Victims:
South korean victims, Korean airlines ceo choi hyun

Industry:
Aerospace

Geo:
Asia-pacific, Korean

TTPs:
Tactics: 7
Technics: 21

IOCs:
File: 14
Url: 4
Path: 1
Command: 2
Domain: 1
Hash: 8

Soft:
NET framework, Internet Explorer, Google Chrome, Windows Powershell

Algorithms:
base64, zip, gzip, aes

Functions:
GetWindowText

Win API:
decompress, messagebox, GetAsyncKeyState, GetClipboardSequenceNumber, GetForegroundWindow, GetTickCount

Languages:
visual_basic, powershell

Platforms:
x86

Links:
https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client/blob/master/TutClient/Program.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз Securonix обнаружила сложную многоэтапную кампанию атак, связанную с северокорейской группой Kimsuky, известной как DEEP#GOSU. Эта кампания использует этапы PowerShell и VBScript для скрытого заражения систем, используя RAT для управления, фоновые скрипты для сохранения и скрывая связь C2 через такие сервисы, как Dropbox. Вредоносная программа проникает в системы через замаскированные вложения электронной почты, выполняет сложные функции с помощью команд PowerShell, загружает дополнительный вредоносный код и использует расширенные графические возможности. Атака проходит различные этапы, демонстрируя такие возможности, как шифрование данных, эксфильтрация и непрерывный контроль над скомпрометированными системами.
-----

Исследовательская группа Securonix по изучению угроз выявила сложную многоэтапную кампанию атак, вероятно, связанную с северокорейской группой Kimsuky, обозначенной как DEEP#GOSU. Эта кампания предполагает переход к новой цепочке атак на основе сценариев с использованием этапов PowerShell и VBScript для скрытого заражения систем. Участники угрозы используют троян удаленного доступа (RAT) для полного контроля над скомпрометированными хостами, а также фоновые сценарии для сохранения и мониторинга. Связь C2 скрывается с помощью легальных сервисов, таких как Dropbox, чтобы избежать обнаружения, что позволяет выполнять динамические обновления и развертывание дополнительных модулей. Вредоносное ПО проникает в системы через вредоносные вложения электронной почты, содержащие замаскированный файл с расширением .lnk.

Метод выполнения кода в DEEP#GOSU включает в себя длинную команду PowerShell в файле быстрого доступа, предназначенную для выполнения сложных функций и извлечения встроенных файлов. Этот скрипт загружает дополнительный вредоносный код из Интернета, запускает документ PDF-приманки и запускает полезную нагрузку следующего этапа из Dropbox. Последующий этап включает загрузку и выполнение скрипта PowerShell.ЧИСТЫЙ ассемблерный код из Dropbox, обеспечивающий расширенные графические возможности. Программа RAT, известная как TruRat, TutRat или C# R.A.T., загружается в память, облегчая различные вредоносные действия, избегая при этом традиционного обнаружения антивирусом за счет выполнения без файлов.

Дальнейшие этапы включают создание и выполнение файла PowerShell на диске для систем под управлением Windows 10 или более поздней версии с использованием WMI для обеспечения сохраняемости и традиционных признаков вредоносного ПО. Скрипт PowerShell получает URL-адреса Google Docs для динамической выборки данных конфигурации для подключений к Dropbox, повышая скрытность и уменьшая возможности обнаружения. Дополнительные скрипты PowerShell выполняют расшифрованный контент непосредственно в памяти для дальнейших вредоносных действий.

Вредоносная программа проходит различные этапы, анализируя системы-жертвы, отправляя POST-запросы на отправку результатов подсчета и обеспечивая связь с сервером управления через Dropbox. Сценарии демонстрируют сложные возможности, такие как шифрование и эксфильтрация данных, шифрование/дешифрование AES, одноэлементное выполнение на основе мьютекса, переменные интервалы подключения к сети, мониторинг содержимого буфера обмена и непрерывный контроль над зараженными системами.

#ParsedReport #CompletenessLow
18-03-2024

Mirai Nomi: A Botnet Leveraging DGA. Overview

https://blog.xlab.qianxin.com/mirai-nomi-en

Report completeness: Low

Threats:
Mirai
Upx_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1568.002, T1027, T1041, T1571, T1553.002, T1486, T1070.004, T1057

IOCs:
File: 3
Hash: 3
IP: 1

Soft:
crontab

Algorithms:
aes-256-cbc, chacha20, sha1, xor, md5, aes, exhibit

Languages:
javascript

Platforms:
mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление нового варианта ботнета Mirai под названием Mirai.Nomi, который включает в себя алгоритм генерации домена (DGA) среди других функций. Несмотря на относительно низкую активность, этот вариант демонстрирует расширенные возможности и операционную изощренность, отражая меняющийся ландшафт угроз современных ботнетов. Исследователям безопасности рекомендуется отслеживать такие угрозы и устранять их, чтобы защитить критически важную инфраструктуру и сети от потенциальных вредоносных действий.
-----

Mirai.Nomi - это новый вариант семейства ботнетов Mirai, реализующий алгоритм генерации домена (DGA), который является редкой особенностью среди вариантов Mirai.

Mirai.Nomi внедрила постоянные функции, улучшила возможности скрытности за счет настройки магического числа упаковщика UPX и усложнила анализ с помощью операции XOR после декомпрессии.

Текущая активность атак, связанная с Mirai.Nomi выглядит подавленной, что позволяет предположить, что она, возможно, находится в стадии разработки, и необходимы фундаментальные работы для завершения инфраструктуры командования и контроля (C2).

Mirai.Nomi жестко запрограммировала несколько общедоступных DNS-серверов для установления каналов связи с механизмом проверки, включающим расшифровку доменных имен и 32-символьные проверочные коды для проверки удобства использования C2.

Mirai.Nomi продемонстрировала расширенные возможности, выходящие за рамки типичных операций Mirai, включая удаление файлов, завершение процесса, проверку выполнения и механизмы обратной связи, что указывает на растущую сложность вариантов Mirai в условиях киберугроз.

#ParsedReport #CompletenessLow
18-03-2024

Dark Web Profile: ShinyHunters

https://socradar.io/dark-web-profile-shinyhunters

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal, financially_motivated)
Gnosticplayer (motivation: cyber_criminal)

Threats:
Empire_loader
Baphomet_actor

Victims:
Tokopedia, Mathway, Microsoft, Wattpad, Pixlr, Pizza hut australia, At&t inc.

Industry:
E-commerce, Telco

Geo:
American, French, Indonesia, Australia, Usa, Indonesian

TTPs:
Tactics: 7
Technics: 13

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: ShinyHunters, высококвалифицированная группа по борьбе с киберугрозами, приобрела дурную славу за организацию крупных утечек данных, нацеленных на различные организации, используя сложные методы взлома. Их деятельность подчеркивает важность надежных мер кибербезопасности для защиты конфиденциальных данных и снижения рисков.
-----

ShinyHunters, также известная как ShinyCorp, является международной группой по борьбе с киберугрозами, которая появилась в 2020 году и получила дурную славу за организацию громких утечек данных. Несмотря на свое, казалось бы, безобидное название, навеянное покемонами, ShinyHunters глубоко вовлечены в киберпреступность, специализируясь на краже и продаже обширных баз данных. Они допустили утечку личной информации более миллиарда интернет-пользователей и нацелились на такие известные компании, как Tokopedia, Mathway и GitHub от Microsoft.

ShinyHunters используют сложные методы взлома, включая поиск в репозиториях GitHub, использование незащищенных облачных хранилищ, нацеливание на веб-сайты и инструменты разработчиков, развертывание фишинговых атак и использование темной сети для продажи украденной информации. Они известны своим методичным и хитроумным подходом к проникновению в системы и извлечению ценных данных.

Ключевые нарушения, приписываемые ShinyHunters, включают кражу 91 миллиона записей пользователей Tokopedia, 500 ГБ данных из частных хранилищ Microsoft на GitHub, 271 миллиона записей пользователей Wattpad, 1,9 миллиона записей пользователей Pixlr и 30 миллионов записей заказов клиентов из Pizza Hut Australia. Группа также заявляла о нарушениях, связанных с системами AT&T, хотя AT&T опровергла эти утверждения.

Группа была связана с закрытием RaidForums и последующим запуском BreachForums V2, одного из самых посещаемых хакерских форумов. Репутация ShinyHunters привлекла бывших участников, причастных к кибератакам, присоединиться к BreachForums, но опасения по поводу потенциального вмешательства правоохранительных органов отпугнули некоторых участников.

Себастьен Рауль, также известный как "Сезио Кайдзен", член ShinyHunters, был приговорен к трем годам тюремного заключения за свою роль в создании обманчивых веб-страниц для фишинговых схем. Несмотря на их первоначальный успех в продаже данных в даркнете, данные, распространяемые ShinyHunters, в конечном итоге попали на общедоступные форумы бесплатно.

В ответ на угрозы, подобные ShinyHunters, организации могут использовать такие инструменты, как модуль облачной безопасности SOCRadar и функция мониторинга утечки исходного кода, для эффективного обнаружения нарушений и реагирования на них. Наборы данных о нарушениях SOCRadar предоставляют доступ к обширным коллекциям данных о нарушениях, позволяя организациям определять масштабы затрагивающих их нарушений.

Деятельность ShinyHunters высвечивает опасности, исходящие от квалифицированных и опасных киберпреступников, и подчеркивает важность надежных мер кибербезопасности для защиты конфиденциальных данных и снижения рисков.

Интересный канал, собирающий фишинговые домены.

#ParsedReport #CompletenessMedium
20-03-2024

LockBit 4.0? - An Update on the LockBit Ransomware Group

https://explore.avertium.com/resource/lockbit-4-0-an-update-on-the-ransomware-group

Report completeness: Medium

Threats:
Lockbit
Mpress_tool
Akira_ransomware
Shadow_copies_delete_technique
Supply_chain_technique
Citrix_bleed_vuln
Blackout
Conti
Snatch_ransomware
Credential_dumping_technique

Victims:
Accenture, Pendragon, Oomiya, Kingfisher insurance, Thales, Boeing, Industrial and commercial bank of china, Equilend holdings, Fulton county

Industry:
Healthcare, E-commerce, Financial

Geo:
French, Georgia, India, France, Japanese, China, Indonesia, Russia, Germany, Ukraine

TTPs:
Tactics: 4
Technics: 8

Soft:
Windows PowerShell

Crypto:
bitcoin

Algorithms:
aes

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа программ-вымогателей LockBit была вовлечена во вредоносную деятельность по всему миру, нацеливаясь на организации и накапливая значительные суммы выкупа. Несмотря на вмешательство правоохранительных органов, LockBit продолжает свои атаки, и в настоящее время возникают опасения по поводу потенциального появления новой версии их вредоносного ПО. Организациям рекомендуется активно защищать себя от угроз программ-вымогателей, внедряя надежные меры безопасности и сотрудничая с надежными поставщиками кибербезопасности.
-----

Avertium внимательно следит за вредоносной деятельностью LockBit, плодовитой группы программ-вымогателей, которая нацелена на организации по всему миру, в том числе в таких странах, как США, Великобритания, Германия, Китай и других. Жертвами LockBit стали более 2000 организаций, накопив выплаты выкупа, превышающие 120 миллионов долларов, и выдвинув требования на общую сумму еще в сотни миллионов. Несмотря на перебои со стороны правоохранительных органов, LockBit продолжала свои атаки до февраля 2024 года. В то время Национальное агентство по борьбе с преступностью Великобритании в сотрудничестве с международными партнерами нарушило работу LockBit, захватив контроль над серверами и общедоступными веб-сайтами, используемыми администраторами.

Это вмешательство серьезно ограничило способность LockBit атаковать сети, шифровать их и вымогать деньги у жертв. Однако возникли опасения, что LockBit, возможно, разработала новую версию своей вредоносной программы для шифрования файлов, что потенциально может привести к появлению LockBit 4.0. LockBit - это программа-вымогатель как услуга (RaaS), которая на протяжении многих лет подвергалась ребрендингу, при этом такие версии, как LockBit 2.0 и LockBit 3.0, демонстрируют разные характеристики. тактика и нацеливание на различные секторы, включая BFSI.

У LockBit есть история тщательной разведки своих целей, что видно по атакам на такие значимые организации, как Accenture, Thales, Boeing и EquiLend Holdings. Группа известна ребрендингом и развитием своих методов обхода средств защиты и запуска сложных атак. Недавние действия LockBit включают в себя нацеливание на такие организации, как Pendragon, Oomiya, Kingfisher Insurance и Thales, требуя крупных выкупов и угрожая утечкой украденных данных, если требования не будут выполнены.

LockBit столкнулась со значительными проблемами из-за действий правоохранительных органов, таких как операция Cronos, которые нарушили их работу и ограничили их способность продолжать свою незаконную деятельность. Проведенный Trend Micro анализ последней версии LockBit, LockBit-NG-Dev или LockBit 4.0, раскрывает технические подробности о новом шифровальщике, включая режимы шифрования, возможности и параметры конфигурации. Несмотря на технические достижения, вмешательство правоохранительных органов нанесло серьезный удар по операторам LockBit, затруднив им возобновление своей незаконной деятельности.

Red Sense считает, что шансы LockBit на восстановление своей инфраструктуры невелики из-за технических ограничений и ухода ключевого персонала. Упадок группы еще больше подчеркивается потерей их блога и включением членов LockBit в список OFAC. Сохраняются опасения по поводу потенциальных финансовых спонсоров и будущих действий группы, высказываются предположения, что LockBit может прибегнуть к сбросу старых данных после удаления. В целом будущее LockBit остается неопределенным, а сообщество кибербезопасности сохраняет бдительность в отношении любого потенциального возрождения или новой тактики.

Организациям рекомендуется проявлять инициативу в защите от программ-вымогателей, таких как LockBit, внедряя надежные меры безопасности и сотрудничая с надежными поставщиками услуг кибербезопасности, такими как Avertium. Опережая потенциальные атаки и будучи готовыми, организации могут снизить риски, связанные с программами-вымогателями и другими киберугрозами.

#ParsedReport #CompletenessMedium
19-03-2024

Malicious code disguised as installation files of domestic public institutions (Kimsuky group)

https://asec.ahnlab.com/ko/62117

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Steal-it

Threats:
Trollagent
Endoor
Spear-phishing_technique
Nikidoor
Mimikatz_tool
Appleseed
Backdoor/win.kimgoback.c5385331

Geo:
Korea, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1547, T1112, T1059, T1071, T1027, T1553, T1140, T1564, have more...

IOCs:
File: 8
Url: 8
Domain: 1
Path: 1
Hash: 5

Soft:
task scheduler, Curl

Algorithms:
md5, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4